Portscannern, die Auskunft übers OS verbieten..

[royal1177]

hallo zusammen,

gibt es eine Möglichkeit, dass installierte OS zu 'verschleiern', so dass port und sicherheitsscannern wie nmap oder nessus, dieses nicht mehr herausfinden können ?

viele grüße

[Matthias Diehl]

Nope, das geht leider nicht.

[Matthias Diehl]

jedenfalls nicht das ich wüsste da diese Tools teilweise die Antwortzeiten verwenden um zu erkennen was für ein BS dahinter steckt. Richtig verraten wird das über die Ports direkt an sich nicht.

[chrisw]

Doch teilweise schon, je nach Config und Art des OS:

Code: Select all

Escape character is '^]'.
SSH-2.0-OpenSSH_4.3p2 Debian-9

Code: Select all

Escape character is '^]'.
220 server ESMTP Sendmail 8.13.4/8.12.10/SuSE Linux 0.7; Tue, 18 Dec 2007 11:15:29 +0100

[Matthias Diehl]

Dann dürfte die einzige Möglichkeit sein alle System selbst zu kompilieren und die Versionsinfo zu patchen bzw. alle Ports zu schliessen :)

[chrisw]

Schon. Aber du machst dir damit einen Wahnsinns-Aufwand, für eine Sache deren Sinn zumindest fragwürdig ist ;)

[gierig]

Na ja, das Fingerprinting hat wenig mit den Greets Massages zu tun die
die einzelnen Dinste gerne raushauen.

Für nmap gibt den netten Artikel, der klärt auf wies geht
http://insecure.org/nmap/nmap-fingerpri ... le-de.html

Damit sollte dann auch klar sein was zu tun ist um das zu verhindern.
entweder:

Netzwerkstecker ziehen
TCP/IP stack im Kernel umbauen damit der Fingerprint was
anderes anzeigt.

Wobei nur das erstere auf dauer nütze dürfte :lol:

[royal1177]

hm.. wenn man nmap --osscan-guess auf netl??.com ausführt, kommt da keine vernünftige antwort bzgl des betriebssystems, habe ich mir sagen lassen :)

[chrisw]

Wobei ich es nicht für vernünftig halte, nmap auf irgendwelche Seiten, die einem nicht gehören, loszulassen ;)

Und das "guess" sagt ja schon, dass man mit nicht vernünftigen Antworten zu rechnen hat ;)

Nmap im LAN mit einem vollen Scan über alle Ports dagegen trifft die Sache meistens sehr genau.

[royal1177]

schon klar - aber der output von der genannten site ist schon ganz nett als verschleierung :-)

btw.. gibt es methoden, portscannern das handwerk zu legen, so dass diese erst gar nicht die eigenen server scannen können ?

[chrisw]

Netzwerkkabel ziehen ;)

Sonst hast du eigentlich ziemlich schlechte Karten, kannst du auf das Internet zugreifen, kann das Internet auch auf dich zugreifen.

Eine vorgeschaltete Hardware-Firewall wäre z.B. eine Möglichkeit, dann wird halt statt deines Servers die Firewall auf offene Ports abgeklopft (bis auf die Dienste, die halt extern verfügbar sein sollen, da antwortet dann dein Server)

[gierig]

Es gibt krücken um Portscans zu erkennen.

So als: Oh Port 14,15,16,17,18,19 wurden gescanntm den sperre ich mal.

Wird aber schwieriger wenn durcheinander scannt, oder halt nur
die üblichen verdächtigen (SMTP, POP, WWW, etc).

Sie geben aber keine Sicherheit sondern unterstützen einen nur.
Ansosnten wie ich oben schon sagte:
Netzwerkstecker ziehen oder DIESEFirewall installieren

[flo]

Will ich einen Rechner mit Versionsinfo scannen - d.h. mit Verbindungsaufbau zum Daemon - kann das durchaus mal länger dauern als einen Zyklus von Logrotate ;-)

[oxygen]

Och das IP Fingerprinting zu verhindern ist gar nicht sooo schwierig. Man muss nur die Verbindung vorher normalisieren, mit einer vorgeschalteten Firewall bzw. einen NDIS. Ob das nun den Aufwand Wert ist, sei mal dahin gestellt.

[daemotron]

Na ja, es gibt schon Betriebssysteme bzw. Patches für den Linux-Kernel, die das Fingerprinting erschweren bzw. unzuverlässiger machen, etwa durch etwas "randomisiertes" Verhalten des IP-Stacks. Die Frage ist aber, was man damit erreicht... die meisten Angriffe erfolgen auf Anwendungsebene, und welche Webanwendung unter einer bestimmten URL zur Verfügung steht, kann sich ein potenzieller Angreifer schlicht und ergreifend angucken.

"Dumme" (weil sequenziell ausgeführte) Portscans kann man relativ leicht erkennen und unterbinden (entsprechende Source IP sperren). Ein intelligenter Angreifer würde in so einem Fall bei einem lohnenden Ziel den zu untersuchenden Portrange in (ggf. randomisierten) Sprüngen scannen oder sich gleich eines Botnetzes bedienen, so dass jeder Remote Host nur ein paar Ports überprüfen muss und es gar nicht bis auf die Blacklist schafft.