Protezione per impronte digitali OS: perché non per impostazione predefinita?

Naviga le tue risposte
3

Questo articolo descrive come imbrogliare nmap nel rilevamento di impronte digitali del sistema operativo.

In breve, nmap invia pacchetti malformati per aprire e chiudere le porte e ascoltare le risposte. Poiché ogni sistema operativo implementa il proprio stack TCP / IP, la risposta può essere confrontata con un database di firme note e il sistema operativo ipotizzato.

I due modi per mitigare questo sono

  • Patch il sorgente del kernel con "stealth patch"

This patch simply discards the TCP/IP packets received with the following matches:

  1. Packets with both SYN and FIN activated (tcp_ignore_synfin) (QueSO probe).

  2. Bogus Packets: if the TCP header has the res1 bit active (one of the reserved bits, then it's a bogus packet) or it does not have any of the following activated: ACK, SYN, RST, FIN (Nmap test 2).

  3. Packets with FIN, PUSH and URG activated (Nmap test 7).

  • Aggiustare i sorgenti del kernel con "Personalità IP" per modificare il comportamento dello stack TCP / IP in quelle situazioni minuscole, emulando un altro OS (Sega Dreamcast per esempio)

Mentre il secondo approccio può avere alcuni problemi di efficienza / stabilità:

Tweaking those allow to fool a scanner but might break regular connectivity by changing network parameters. It could also make the system weaker if the emulated IP stack is not as strong as the initial one

il primo non ha alcun inconveniente menzionato.

Perché questo comportamento non è predefinito. Perché i sistemi operativi rispondono a quei pacchetti?

    
posta Vorac 05.09.2013 - 13:51
fonte

1 risposta

3
I sistemi operativi

rispondono a pacchetti non validi, poiché ciò è molto utile per diagnosticare i problemi di configurazione della rete. Se invii un pacchetto e nessuno risponde, non hai idea di cosa sia successo al pacchetto: alcuni router lo hanno mangiato? La sua risposta è stata falsata? C'è un problema di connettività? O il bersaglio ha ricevuto il pacchetto ma non è piaciuto? Se l'obiettivo risponde, sai perché il pacchetto è stato rifiutato e hai una seria possibilità di essere in grado di risolvere il problema.

Il fingerprinting del sistema operativo non è un problema di sicurezza. È utile per la ricerca di vulnerabilità, ma solo su sistemi con buchi di sicurezza senza patch. Se disponi di un sistema con fori di sicurezza privi di patch, applica le patch: rendendo il sistema irriconoscibile con le impronte digitali ti proteggerà solo da una piccola percentuale di scansioni automatiche che devono ottimizzare la larghezza di banda.

Il fingerprinting del sistema operativo è un piccolo problema di privacy. Non è uno dei maggiori: alla maggior parte delle persone non interessa, per una buona ragione.

Inoltre, eliminare un metodo di fingerprinting non è sufficiente: devi eliminare tutti i metodi. Quindi la tua protezione anti-impronta digitale è valida solo finché qualcuno non prova un altro metodo di rilevamento delle impronte digitali.

Il vantaggio è piccolo e incerto. Lo svantaggio è importante. La protezione da impronte digitali del sistema operativo dovrebbe essere disattivata di default.

    
risposta data 05.09.2013 - 14:16
fonte

Leggi altre domande sui tag

Quali sono i rischi posti dall '"autenticazione pass-through" e come vengono mitigati? Qual è un modo sicuro per registrare le password di Firefox in Gnome Seahorse Keyring?