Prevenire il fingerprinting del SO attivo con iptables

Naviga le tue risposte
2

Sto studiando la sicurezza della rete da solo e ho alcune domande teoriche di base qui.

Cadere ogni pacchetto in entrata a livello di rete è sufficiente per impedire il rilevamento attivo del sistema operativo? Immagino che questo possa essere fatto con iptables, giusto?
Immagino anche che, se fatto in questo modo, aprire qualsiasi porta sarebbe sufficiente per abilitare nuovamente le impronte digitali, è corretto?
Infine, esiste un modo meno restrittivo per difendersi dalle impronte digitali del sistema operativo? Se non in generale, almeno contro una certa implementazione come quella di nmap.

    
posta ambsrc 07.08.2015 - 21:37
fonte

2 risposte

1

Le impronte digitali del sistema operativo, come descritto, utilizzano le caratteristiche del traffico di rete del sistema operativo. Esistono alcune utilità per modificare i valori predefiniti al fine di mascherare il tipo di sistema operativo che si utilizza.

L'eliminazione di tutti i pacchetti in entrata funzionerebbe contro i tentativi di impronta digitale effettuati avviando nuovo traffico dall'esterno, ma non contro i tentativi di impronta digitale effettuati dalle destinazioni verso cui si avvia il traffico. L'apertura di una porta per rispondere al traffico avviato consentirebbe quel tipo di rilevamento delle impronte digitali.

È possibile eseguire il proxy di tutto il traffico attraverso un altro sistema operativo, mascherando il traffico con l'altro sistema operativo.

La domanda più grande da porre qui è "perché farlo?" Security of Obscurity ha un posto in una posizione di difesa, ma non è pensato per essere una misura protettiva, ma semplicemente per alzare il tiro un po 'su attacchi automatici. Se hai una sicurezza adeguata, mascherare le impostazioni di default del tuo sistema operativo non ti farà guadagnare molto. Trascorrere molto più tempo su difese più fondamentali che cercare di confondere una impronta digitale del sistema operativo.

    
risposta data 07.08.2015 - 22:14
fonte
0

iptables , come suggerisce il nome, funziona a livello di protocollo Internet (OSI: livello di rete) e potrebbe eliminare qualsiasi pacchetto in entrata.

Ma ci sono alcuni modi per "parlare" con quel sistema operativo al livello di collegamento inferiore:

  • Puoi chiederlo per l'indirizzo MAC e questo potrebbe dirti qualcosa sull'hardware e, a sua volta, sul software che lo esegue. Un Samsung OUI è più probabile che sia un telefono rispetto a specifici set Samsung OUI per telefoni Android.
  • L'annullamento dell'autenticazione del target da una rete wireless e la sua visione autenticata e potenzialmente l'utilizzo di DHCP potrebbero fornire ulteriori indizi a riguardo.
  • Un dispositivo che comunica protocolli di tunneling come i protocolli di rilevamento PPP, PPTP, L2TP o layer 2 potrebbe avere solo alcuni sistemi operativi specifici.
  • La latenza nelle risposte ARP potrebbe indicare se si tratta di un dispositivo lento incorporato o di uno multifunzione veloce.
  • Sistemi operativi diversi potrebbero agire diversamente in un flusso di livello 2 e rispondere in modo diverso, se non del tutto, alle richieste ARP.

Il controllo dell'interazione ARP può essere eseguito con l'utilità arptables .

    
risposta data 08.08.2015 - 00:02
fonte

Leggi altre domande sui tag

Generazione della chiave segreta condivisa utilizzando i destinatari esistenti chiave pubblica e chiave privata dei mittenti Comandi JavaScript selettivi - Evitare lo sfruttamento delle vulnerabilità