Portscannern, die Auskunft übers OS verbieten..

royal1177
Posts: 31
Joined: 2007-12-14 19:48

Portscannern, die Auskunft übers OS verbieten..

Post by royal1177 »

hallo zusammen,

gibt es eine Möglichkeit, dass installierte OS zu 'verschleiern', so dass port und sicherheitsscannern wie nmap oder nessus, dieses nicht mehr herausfinden können ?

viele grüße
Top

Matthias Diehl
Posts: 315
Joined: 2002-09-24 13:26

Re: Portscannern, die Auskunft übers OS verbieten..

Post by Matthias Diehl »

Nope, das geht leider nicht.
Top

Matthias Diehl
Posts: 315
Joined: 2002-09-24 13:26

Re: Portscannern, die Auskunft übers OS verbieten..

Post by Matthias Diehl »

jedenfalls nicht das ich wüsste da diese Tools teilweise die Antwortzeiten verwenden um zu erkennen was für ein BS dahinter steckt. Richtig verraten wird das über die Ports direkt an sich nicht.
Top

chrisw
Posts: 57
Joined: 2006-07-26 13:21

Re: Portscannern, die Auskunft übers OS verbieten..

Post by chrisw »

Doch teilweise schon, je nach Config und Art des OS:

Code: Select all

Escape character is '^]'.
SSH-2.0-OpenSSH_4.3p2 Debian-9


Code: Select all

Escape character is '^]'.
220 server ESMTP Sendmail 8.13.4/8.12.10/SuSE Linux 0.7; Tue, 18 Dec 2007 11:15:29 +0100
Top

Matthias Diehl
Posts: 315
Joined: 2002-09-24 13:26

Re: Portscannern, die Auskunft übers OS verbieten..

Post by Matthias Diehl »

Dann dürfte die einzige Möglichkeit sein alle System selbst zu kompilieren und die Versionsinfo zu patchen bzw. alle Ports zu schliessen :)
Top

chrisw
Posts: 57
Joined: 2006-07-26 13:21

Re: Portscannern, die Auskunft übers OS verbieten..

Post by chrisw »

Schon. Aber du machst dir damit einen Wahnsinns-Aufwand, für eine Sache deren Sinn zumindest fragwürdig ist ;)
Top

gierig
Posts: 286
Joined: 2002-10-15 16:59
Location: WHV

Re: Portscannern, die Auskunft übers OS verbieten..

Post by gierig »

Na ja, das Fingerprinting hat wenig mit den Greets Massages zu tun die
die einzelnen Dinste gerne raushauen.

Für nmap gibt den netten Artikel, der klärt auf wies geht
http://insecure.org/nmap/nmap-fingerpri ... le-de.html

Damit sollte dann auch klar sein was zu tun ist um das zu verhindern.
entweder:

Netzwerkstecker ziehen
TCP/IP stack im Kernel umbauen damit der Fingerprint was
anderes anzeigt.

Wobei nur das erstere auf dauer nütze dürfte :lol:
Top

royal1177
Posts: 31
Joined: 2007-12-14 19:48

Re: Portscannern, die Auskunft übers OS verbieten..

Post by royal1177 »

hm.. wenn man nmap --osscan-guess auf netl??.com ausführt, kommt da keine vernünftige antwort bzgl des betriebssystems, habe ich mir sagen lassen :)
Last edited by royal1177 on 2007-12-18 11:43, edited 1 time in total.
Top

chrisw
Posts: 57
Joined: 2006-07-26 13:21

Re: Portscannern, die Auskunft übers OS verbieten..

Post by chrisw »

Wobei ich es nicht für vernünftig halte, nmap auf irgendwelche Seiten, die einem nicht gehören, loszulassen ;)

Und das "guess" sagt ja schon, dass man mit nicht vernünftigen Antworten zu rechnen hat ;)

Nmap im LAN mit einem vollen Scan über alle Ports dagegen trifft die Sache meistens sehr genau.
Top

royal1177
Posts: 31
Joined: 2007-12-14 19:48

Re: Portscannern, die Auskunft übers OS verbieten..

Post by royal1177 »

schon klar - aber der output von der genannten site ist schon ganz nett als verschleierung :-)

btw.. gibt es methoden, portscannern das handwerk zu legen, so dass diese erst gar nicht die eigenen server scannen können ?
Top

chrisw
Posts: 57
Joined: 2006-07-26 13:21

Re: Portscannern, die Auskunft übers OS verbieten..

Post by chrisw »

Netzwerkkabel ziehen ;)

Sonst hast du eigentlich ziemlich schlechte Karten, kannst du auf das Internet zugreifen, kann das Internet auch auf dich zugreifen.

Eine vorgeschaltete Hardware-Firewall wäre z.B. eine Möglichkeit, dann wird halt statt deines Servers die Firewall auf offene Ports abgeklopft (bis auf die Dienste, die halt extern verfügbar sein sollen, da antwortet dann dein Server)
Top

gierig
Posts: 286
Joined: 2002-10-15 16:59
Location: WHV

Re: Portscannern, die Auskunft übers OS verbieten..

Post by gierig »

Es gibt krücken um Portscans zu erkennen.

So als: Oh Port 14,15,16,17,18,19 wurden gescanntm den sperre ich mal.

Wird aber schwieriger wenn durcheinander scannt, oder halt nur
die üblichen verdächtigen (SMTP, POP, WWW, etc).

Sie geben aber keine Sicherheit sondern unterstützen einen nur.
Ansosnten wie ich oben schon sagte:
Netzwerkstecker ziehen oder DIESEFirewall installieren
Top

flo
RSAC
Posts: 2297
Joined: 2002-07-28 13:02
Location: Berlin

Re: Portscannern, die Auskunft übers OS verbieten..

Post by flo »

Will ich einen Rechner mit Versionsinfo scannen - d.h. mit Verbindungsaufbau zum Daemon - kann das durchaus mal länger dauern als einen Zyklus von Logrotate ;-)
Top

oxygen
RSAC
Posts: 2179
Joined: 2002-12-15 00:10
Location: Bergheim

Re: Portscannern, die Auskunft übers OS verbieten..

Post by oxygen »

Och das IP Fingerprinting zu verhindern ist gar nicht sooo schwierig. Man muss nur die Verbindung vorher normalisieren, mit einer vorgeschalteten Firewall bzw. einen NDIS. Ob das nun den Aufwand Wert ist, sei mal dahin gestellt.
Top

User avatar
daemotron
Administrator
Administrator
Posts: 2800
Joined: 2004-01-21 17:44

Re: Portscannern, die Auskunft übers OS verbieten..

Post by daemotron »

Na ja, es gibt schon Betriebssysteme bzw. Patches für den Linux-Kernel, die das Fingerprinting erschweren bzw. unzuverlässiger machen, etwa durch etwas "randomisiertes" Verhalten des IP-Stacks. Die Frage ist aber, was man damit erreicht... die meisten Angriffe erfolgen auf Anwendungsebene, und welche Webanwendung unter einer bestimmten URL zur Verfügung steht, kann sich ein potenzieller Angreifer schlicht und ergreifend angucken.

"Dumme" (weil sequenziell ausgeführte) Portscans kann man relativ leicht erkennen und unterbinden (entsprechende Source IP sperren). Ein intelligenter Angreifer würde in so einem Fall bei einem lohnenden Ziel den zu untersuchenden Portrange in (ggf. randomisierten) Sprüngen scannen oder sich gleich eines Botnetzes bedienen, so dass jeder Remote Host nur ein paar Ports überprüfen muss und es gar nicht bis auf die Blacklist schafft.
Top

Who is online

Users browsing this forum: No registered users and 1604 guests