Fórum Root.cz
Hlavní témata => Sítě => Téma založeno: majtel_verejnej_IP 20. 08. 2018, 11:00:42
-
Zdravim
Nasiel som tento clanok, kde sa manipuluje s TTL, velkost TCP okien a timestaping a z Linuxu sa stava WinXP.
https://www.root.cz/clanky/sbirame-otisky-maskovani/
Je to stale aktualne? Clanok je stary 12 rokov. Idelne by som sa chcel hrat s OpenBSD. Hodnoty pre Win10 viem najst.
Vdaka
-
Jj,neni nas to rozdrbat si tcp stack abych “osalil” nmap.
-
Jj,neni nas to rozdrbat si tcp stack abych “osalil” nmap.
Maskovanie OS pomôže proti útokom. Ale hlavne v prípade Windows. Najviac malware je u nás na strojoch, ktoré nmpa fingerprinting ukáže so správnou verziou OS. Otázka či to otvorenie je príčinou alebo následkom
-
Ty tam mas openbsd a chces simulovat chovani windows.
proboha proc?
-
Maskovani os pocet utoku nesnizi. Stroje se v dnesni dobe vyhledavaji ruznymi zpusoby a obvykle je jim jedno co za hlavicku dle tcp stacku nmap zjisti.
-
Stroje se v dnesni dobe vyhledavaji ruznymi zpusoby a obvykle je jim jedno co za hlavicku dle tcp stacku nmap zjisti.
Napriklad?
-
Maskovanie OS pomôže proti útokom....
Fakt? To si jako myslis, ze ti nekdo sezere na windows ssh nebo na linuxu rdp? A to neni zdaleka jedinej indikator.
-
spíš než na maskování před nmap bych se zaměřil na aktivní filtraci provozu. nechat otevřených portů na firewallu co nejméně, port scan detection s následnou blokací útočníkovi IP, geoIP filtrace, atd. Pro SSH je spousta různých udělátek pro zlepšení bezpečnosti jako fail2ban, zákaz password login atd.
-
Blokace utocnikovi IP je funkcni pro nejake dite. Utoky se obvykle provadeji distribuovane a dotaz na ssh prijde z nejake ip, dotaz na 80 z jine atd. Zakaz password login a pouzivani klicu je efektivni zpusob obrany ssh.
-
Blokace utocnikovi IP je funkcni pro nejake dite. Utoky se obvykle provadeji distribuovane a dotaz na ssh prijde z nejake ip, dotaz na 80 z jine atd. Zakaz password login a pouzivani klicu je efektivni zpusob obrany ssh.
prdlajs, metod maskovani je spousta, pouziva se i vas zmineny spoofing, ale daleko vice se maskuje za zname hosty a sken se rozhaze v case tak aby se nevesel do zadneho thresholdu a tim padem ani netrignurl alarm. eventa sice existuje, ale te si nikdo nevsimne dokud to nevykoreluje do alarmu.
-
Nepokladal som za nutne rozvadzat moje ocakavania.
Ale realne/idealne tam bude jedna sluzba, ktora port otvori len na zaklepanie. A asi aj ta sluzba bude cez SSH alebo nejaky tunel cez ktoru to presmerujem. Vsetko ostatne bude zavrete. Ergo, sa ta IP bude tvarit ako nezapojena. Pripajat sa budu dve, tri zariadenia. Ide o domace pouzitie.
Teraz si uvedomujem, ze v takom pripade nmap neurci nic, ale aj tak nejake pakety sietou potecu a z tych by sa dalo co to urcit.
-
Ergo, sa ta IP bude tvarit ako nezapojena.
Ne. Protože kdyby byla "nezapojená", tak se na ping vrátí "ICMP Destination Unreachable" (ICMP Type 3). Vytvářet černou díru rozhodně tvůj počítač nezneviditelní.
-
Blokace utocnikovi IP je funkcni pro nejake dite. Utoky se obvykle provadeji distribuovane a dotaz na ssh prijde z nejake ip, dotaz na 80 z jine atd. Zakaz password login a pouzivani klicu je efektivni zpusob obrany ssh.
Stačí silné heslo, pak takovéto totální nesmysly nejsou potřeba...
-
Já bych se hesla bál, třeba pro MITM: :)
https://www.gremwell.com/ssh-mitm-public-key-authentication (https://www.gremwell.com/ssh-mitm-public-key-authentication)
-
Ten mitm funguje jenom kdyz mas privatni klic serveru nebo kdyz na klientovi budes ignorovat varovani ze se zmenil fingerprint serveru.
-
Drtivou vetsinu utoku vedou boti a zrovna tak scanovani site. Proti takoveto forme utoku to je obrana ucina. Proti cilenemu utoku uz mene. Dokonce ani treba zasahovat do tcp stacku. PF firewall v OpenBSD to zvladne v pohode pri spravne konfiguraci. Na nevytizenem stroji to nebude problem.
-
Přečti si pořádně ten odkaz na MITM:
............
In case of password authentication the game is over: the attacker can see the password sent by the client, relay it to the server, and basically do whatever he or she wants.
...........
So public-key authentication has somewhat unexpected side effect of preventing MITM. Nice to know.
:)
-
Precti si to jeste jednou Karliku:
We assume that MITM attacker has already managed to circumvent the server host key validation and tricked the peers into establishing the connection.
Ssh ti rekne ze ti nesedi server figerprint u spojeni, jeste jsi nic nezadaval.
-
Je mi jasne, ze maskovanim OS bezpecnost nevyriesim. Jednoduch len nechcem aby to kricalo kade tade, ze tu OpenBSD s ttl 128.
Zatial som pokrocil k suboru kde su definicie ale nepreluskal som co vsetky tie cisla znamenaju.. az tak to neponahla.
-
Ghj, spise se zamer na to co vystavujes do sveta nez na faking ttl.