Rainer Alves wrote:
> Andre Pli wrote:
>> Pessoal, vocês saberiam me dizer como eu configuro o FreeBSd para quando
>> rodarem nmap com a opção -O no IP do meu servidor, ele não informar a versão
>> do SO? Gostaria de saber se é possivel ocultar isso.
>
> Aqui faço isso no PF, habilitando o "scrub" e em seguida bloqueando
> pacotes TCP característicos de fingerprinting do Nmap. Como exemplo
> real, segue um trecho do pf.conf em um FreeBSD 6.1. Com essas regras, o
> Nmap na outra ponta identifica o servidor como sendo um OpenBSD 3.6.
> Ocultação melhor que isso você dificilmente irá conseguir.
>
> set optimization normal
> set loginterface $rede
> set block-policy return
> scrub in all
> scrub out all no-df max-mss 1492 random-id
> ...
> block in quick proto tcp flags FUP/WEUAPRSF
> block in quick proto tcp flags WEUAPRSF/WEUAPRSF
> block in quick proto tcp flags SRAFU/WEUAPRSF
> block in quick proto tcp flags /WEUAPRSF
> block in quick proto tcp flags SR/SR
> block in quick proto tcp flags SF/SF
>
> [EMAIL PROTECTED] ~]$ uname -r
> 6.1-PRERELEASE
>
> Em outro servidor:
> Starting Nmap 4.01 ( http://www.insecure.org/nmap/ ) at 2006-03-29 19:29
> BRST
> Insufficient responses for TCP sequencing (1), OS detection may be less
> accurate
> Interesting ports on XXXXXXXXXXX (200.******):
> (The 1670 ports scanned but not shown below are in state: closed)
> PORT STATE SERVICE
> 22/tcp open ssh
> MAC Address: 00:02:55:XX:XX:XX (IBM)
> Device type: general purpose
> Running: OpenBSD 3.X
> OS details: OpenBSD 3.4, OpenBSD 3.5 or 3.6
> Nmap finished: 1 IP address (1 host up) scanned in 10.808 seconds
>
> --
> Rainer Alves
Apesar de minha máxima desobedecer as regras de aquisição ferengui,
quando se trata de segurança, devo segui-las:
no kernel habilite :
options TCP_DROP_SYNFIN
no /etc/sysctl.conf, acrescente:
net.inet.ip.random_id=1
net.inet.tcp.drop_synfin=1
net.inet.tcp.blackhole=2
net.inet.udp.blackhole=1
no ipfw, acrescente as seguintes regras:
(no começo, antes de qualquer outra regra)
ipfw add deny log tcp from any to any ipoptions ssrr,lsrr,rr
ipfw add deny log tcp from any to any tcpflags syn,fin
ipfw add deny log tcp from any to any tcpflags syn,rst
estas não tem nada com o tópico, mas se voce está preocupado com nmap,
então pode estar preocupado com ataques DOS:
ipfw add deny log udp from any to any frag
ipfw add deny log tcp from any to any frag
ipfw add deny log udp from any 7 to any
ipfw add deny log udp from any to any dst-port 7
Com isso o resultado de um nmap é o seguinte:
[laptop] ~# nmap -O 192.168.x.x
Starting Nmap 4.01 ( http://www.insecure.org/nmap/ ) at 2006-03-29 21:13 BRT
Warning: OS detection will be MUCH less reliable because we did not
find at least 1 open and 1 closed TCP port
Interesting ports on firewall (192.168.x.x):
(The 1667 ports scanned but not shown below are in state: filtered)
PORT STATE SERVICE
22/tcp open ssh
25/tcp open smtp
80/tcp open http
110/tcp open pop3
143/tcp open imap
Device type: general purpose
Running (JUST GUESSING) : OpenBSD 3.X (93%), FreeBSD 5.X|4.x (92%),
Linux 2.6.X (87%), Microsoft Windows NT/2K/XP|2003/.NET (86%), IBM AIX
4.X (85%)
Aggressive OS guesses: OpenBSD 3.6 (93%), OpenBSD 3.7 (93%), FreeBSD 5.3
(92%), DragonFly 1.1-Stable (FreeBSD-4 fork) (87%), Linux 2.6.10 (87%),
Linux 2.6.7 (87%), OpenBSD 3.3 x86 with pf "scrub in all" (87%), OpenBSD
3.5 or 3.6 (87%), FreeBSD 5.2 - 5.4 (86%), FreeBSD 5.4 (86%)
No exact OS matches for host (test conditions non-ideal).
Uptime 0.128 days (since Wed Mar 29 18:11:35 2006)
Nmap finished: 1 IP address (1 host up) scanned in 128.336 seconds
[laptop] ~#
[]s
Antonio Torres
_______________________________________________
freebsd mailing list
freebsd@fug.com.br
http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br
