[FUG-BR] Ocultar versão do FreeBSD no nmap

Antonio Torres antonio.torres em newspace.net.br
Qua Mar 29 22:04:24 BRT 2006


Rainer Alves wrote:
> Andre Pli wrote:
>> Pessoal, vocês saberiam me dizer como eu configuro o FreeBSd para quando 
>> rodarem nmap com a opção -O no IP do meu servidor, ele não informar a versão 
>> do SO? Gostaria de saber se é possivel ocultar isso.
> 
> Aqui faço isso no PF, habilitando o "scrub" e em seguida bloqueando 
> pacotes TCP característicos de fingerprinting do Nmap. Como exemplo 
> real, segue um trecho do pf.conf em um FreeBSD 6.1. Com essas regras, o 
> Nmap na outra ponta identifica o servidor como sendo um OpenBSD 3.6. 
> Ocultação melhor que isso você dificilmente irá conseguir.
> 
> set optimization normal
> set loginterface $rede
> set block-policy return
> scrub in all
> scrub out all no-df max-mss 1492 random-id
> ...
> block in quick proto tcp flags FUP/WEUAPRSF
> block in quick proto tcp flags WEUAPRSF/WEUAPRSF
> block in quick proto tcp flags SRAFU/WEUAPRSF
> block in quick proto tcp flags /WEUAPRSF
> block in quick proto tcp flags SR/SR
> block in quick proto tcp flags SF/SF
> 
> [rainer em server-com-pf ~]$ uname -r
> 6.1-PRERELEASE
> 
> Em outro servidor:
> Starting Nmap 4.01 ( http://www.insecure.org/nmap/ ) at 2006-03-29 19:29 
> BRST
> Insufficient responses for TCP sequencing (1), OS detection may be less 
> accurate
> Interesting ports on XXXXXXXXXXX (200.******):
> (The 1670 ports scanned but not shown below are in state: closed)
> PORT     STATE    SERVICE
> 22/tcp   open     ssh
> MAC Address: 00:02:55:XX:XX:XX (IBM)
> Device type: general purpose
> Running: OpenBSD 3.X
> OS details: OpenBSD 3.4, OpenBSD 3.5 or 3.6
> Nmap finished: 1 IP address (1 host up) scanned in 10.808 seconds
> 
> --
> Rainer Alves

Apesar de minha máxima desobedecer as regras de aquisição ferengui, 
quando se trata de segurança, devo segui-las:



no kernel habilite :
	options         TCP_DROP_SYNFIN

no /etc/sysctl.conf, acrescente:
	net.inet.ip.random_id=1
	net.inet.tcp.drop_synfin=1
	net.inet.tcp.blackhole=2
	net.inet.udp.blackhole=1

no ipfw, acrescente as seguintes regras:
(no começo, antes de qualquer outra regra)

	ipfw add deny log tcp from any to any ipoptions ssrr,lsrr,rr
	ipfw add deny log tcp from any to any tcpflags syn,fin
	ipfw add deny log tcp from any to any tcpflags syn,rst

estas não tem nada com o tópico, mas se voce está preocupado com nmap, 
então pode estar preocupado com ataques DOS:

	ipfw add deny log udp from any to any frag
	ipfw add deny log tcp from any to any frag
	ipfw add deny log udp from any 7 to any
	ipfw add deny log udp from any to any dst-port 7


Com isso o resultado de um nmap é o seguinte:


[laptop] ~# nmap -O  192.168.x.x

Starting Nmap 4.01 ( http://www.insecure.org/nmap/ ) at 2006-03-29 21:13 BRT
Warning:  OS detection will be MUCH less reliable because we did not 
find at least 1 open and 1 closed TCP port
Interesting ports on firewall (192.168.x.x):
(The 1667 ports scanned but not shown below are in state: filtered)
PORT    STATE SERVICE
22/tcp  open  ssh
25/tcp  open  smtp
80/tcp  open  http
110/tcp open  pop3
143/tcp open  imap
Device type: general purpose
Running (JUST GUESSING) : OpenBSD 3.X (93%), FreeBSD 5.X|4.x (92%), 
Linux 2.6.X (87%), Microsoft Windows NT/2K/XP|2003/.NET (86%), IBM AIX 
4.X (85%)
Aggressive OS guesses: OpenBSD 3.6 (93%), OpenBSD 3.7 (93%), FreeBSD 5.3 
(92%), DragonFly 1.1-Stable (FreeBSD-4 fork) (87%), Linux 2.6.10 (87%), 
Linux 2.6.7 (87%), OpenBSD 3.3 x86 with pf "scrub in all" (87%), OpenBSD 
3.5 or 3.6 (87%), FreeBSD 5.2 - 5.4 (86%), FreeBSD 5.4 (86%)
No exact OS matches for host (test conditions non-ideal).
Uptime 0.128 days (since Wed Mar 29 18:11:35 2006)

Nmap finished: 1 IP address (1 host up) scanned in 128.336 seconds
[laptop] ~#



[]s

Antonio Torres
_______________________________________________
freebsd mailing list
freebsd em fug.com.br
http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br



Mais detalhes sobre a lista de discussão freebsd