[FUG-BR] Bloquear nmap

[Rainer Alves]

Wendell,

Com relação ao "OS Fingerprinting" do nmap (opção -O), que tenta 
descobrir o sistema operacional do host, é possível bloquear sim usando 
o PF, basta bloquear os pacotes TCP que tiverem flags que podem levar à 
identificação do SO (coloque isso no pf.conf antes das outras regras):

set optimization normal
scrub in all
scrub out all no-df max-mss 1492 random-id
block in quick on em0 proto tcp from any to any flags FUP
block in quick on em0 proto tcp from any to any flags FUP/WEUAPRSF
block in quick on em0 proto tcp from any to any flags WEUAPRSF/WEUAPRSF
block in quick on em0 proto tcp from any to any flags SRAFU/WEUAPRSF
block in quick on em0 proto tcp from any to any flags /WEUAPRSF
block in quick on em0 proto tcp from any to any flags SR/SR
block in quick on em0 proto tcp from any to any flags SF/SF

Quanto a bloquear a identificação das portas abertas no servidor, o 
ideal é usar nelas o "port knocking". O conceito é simples, e é muito 
usado para fechar o SSH por exemplo: um daemon fica analisando o log do 
firewall (PF, no caso) esperando uma sequência de "knocks" em portas 
pré-definidas, se a sequência estiver certa, ele libera temporariamente 
aquela porta apenas para o seu IP. Dessa forma o nmap acharia que elas 
estão fechadas. A melhor implementação é o DoorMan [ 
http://doorman.sourceforge.net ], o port é o security/doorman [ 
http://www.freshports.org/security/doorman/ ]. Funciona com PF ou IPFW.

Att.,
Rainer Alves
BrasilTelecom




Wendell Martins Borges wrote:

>Estou com uma duvida, tem como bloquear, usando PF a ação do nmap ?
>
>
>Anteciosamente,
>
>Wendell Martins Borges [perlporter]
>
>  
>


_______________________________________________
Freebsd mailing list
Freebsd em fug.com.br
http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br