LINUX.ORG.RU
решено ФорумSecurity

[nmap][fingerprint] Как отклонить запросы сканирований ??

 ,


0

0

Вобщем было бы неплохо, если бы мою машину вообще нельзя было идентифицировать в сети, только узнать ІР, MAC, список открытых портов.

Но самое главное, чтобы nmap fingerprint не идентифицировал мою ОС.

Нашел в инете какую-то старую статтю об этом, но там были настройки для FreeBSD, да и ядро старое.

Где можно найти доки по сабжу ??

nfs и порты mountd nlockmgr status
проблемы с HTTP over SSH (ssh -L ......) 

ipset -N kiddies iphash
iptables -t raw -N kiddies
iptables -t raw -A kiddies -j MARK --set-mark 13
iptables -t raw -A kiddies -j NOTRACK
iptables -t raw -I PREROUTING -m set --match-set kiddies src -j kiddies
iptables -N kiddies
iptables -A kiddies -p tcp -j CHAOS --tarpit
iptables -A kiddies -j DROP
iptables -N blklst_n_lock
iptables -A blklst_n_lock -j SET --add-set kiddies src
iptables -A blklst_n_lock -j kiddies
iptables -I INPUT -m psd -j blklst_n_lock
iptables -I INPUT -m mark --mark 13 -j kiddies

После этого большинство кульхацкеров и ботов окажутся с пролете и в блэклистах.

Также замечу, что определение операционной системы в большинстве случаев работает неточно и требует одного открытого и одного закрытого (именно закрытого, а не фильтруемого) порта на целевом хосте. Так что правильная настройка фаервола решает.

Аптайм оно обычно определяет по TCP timestamps, поэтому для канала в инет их стоит отключить. Правда, начиная с определенных скоростей, это может негативно сказаться на быстродействии сети, поэтому в локалке, где скорости достигают десятков и сотен мегабит, лучше так не делать.

nnz ★★★★
()
Ответ на: комментарий от nnz

Весьма необычный скрипт, спасибо. В арче пришлось ставить для него xtables-addons. Вот еще нашел чувака с настройками файрвола: 

http://www.linux.org.ru/forum/admin/1208784
но ИМХО ваш вариант будет лучше

rumly111
() автор топика
Ответ на: комментарий от rumly111

В арче пришлось ставить для него xtables-addons.

Это в любом дистре надо ставить, если хочешь хороший фаервол. Очень многие полезные плюшки в мейнстрим не включили и в обозримом будущем не собираются.

Вот еще нашел чувака с настройками файрвола

Ну, эти варианты являются взаимодополняющими :)

Мой вариант срабатывает против сканов с короткой (меньше трех секунд) задержкой между отправкой пакетов на разные порты (а по умолчанию у большинства сканеров она короткая). Если поставить задержку побольше, сканирование займет больше времени, но через предложенную мной защиту пройдет. Впрочем, можно увеличить таймаут детекции (параметр --psd-delay-threshold критерия psd, например, 1000 соответствует десяти секундам).

Предложенный там вариант помогает против _некоторых_ видов сканов, основанных на нестандартной комбинации TCP-флагов, независимо от задержек. Кстати, схема обработки сделана довольно неграмотно. Но идея, в общем, неплохая.

К этим двум вариантам я бы еще добавил блокировку обращений на заведомо неиспользуемые порты, например, 

iptables -I INPUT -p tcp -i <интерфейс_в_интернет> -m multiport --dports 139,445 -j blklst_n_lock
(блокирует и блеклистит всех, кто обращается на TCP-порты самбы из интернета, потому что хорошие ребята так не делают).

nnz ★★★★
()

а в чём профит? security by obscurity как бы, мягко выражаясь, не совсем верный подход. пусть себе знают с кем дело имеют.

beastie ★★★★★
()
Ответ на: комментарий от beastie

>security by obscurity как бы, мягко выражаясь, не совсем верный подход

Некорректен он только в том случае, если считается самодостаточным.
Если сочетать его с другими стандартными мерами безопасности, он проявляет себя очень неплохо.

пусть себе знают с кем дело имеют.


Получив по морде CHAOS --tarpit и попав в блеклист до следующего ребута (т.е. до следующего обновления ядра, на пару месяцев), они отлично поймут, с кем имеют дело.

nnz ★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
nfs и порты mountd nlockmgr status
Security
проблемы с HTTP over SSH (ssh -L ......)