Maskování verze systému před nmapem

majtel_verejnej_IP

Maskování verze systému před nmapem
« kdy: 20. 08. 2018, 11:00:42 »
Zdravim

Nasiel som tento clanok, kde sa manipuluje s TTL, velkost TCP okien a timestaping a z Linuxu sa stava WinXP.
https://www.root.cz/clanky/sbirame-otisky-maskovani/

Je to stale aktualne? Clanok je stary 12 rokov. Idelne by som sa chcel hrat s OpenBSD. Hodnoty pre Win10 viem najst.

Vdaka
« Poslední změna: 20. 08. 2018, 12:29:23 od Petr Krčmář »


kkt1

  • *****
  • 796
    • Zobrazit profil
Re:maskovanie verzie OS pred NMAPom
« Odpověď #1 kdy: 20. 08. 2018, 11:34:16 »
Jj,neni nas to rozdrbat si tcp stack abych “osalil” nmap.

Re:maskovanie verzie OS pred NMAPom
« Odpověď #2 kdy: 20. 08. 2018, 17:12:40 »
Jj,neni nas to rozdrbat si tcp stack abych “osalil” nmap.

Maskovanie OS pomôže proti útokom.  Ale hlavne v prípade Windows. Najviac  malware je u nás na strojoch, ktoré  nmpa fingerprinting ukáže  so správnou verziou OS. Otázka či to otvorenie je príčinou alebo následkom

Oooo

Re:Maskování verze systému před nmapem
« Odpověď #3 kdy: 20. 08. 2018, 17:16:45 »
Ty tam mas openbsd a chces simulovat chovani windows.
proboha proc?

kkt1

  • *****
  • 796
    • Zobrazit profil
Re:Maskování verze systému před nmapem
« Odpověď #4 kdy: 20. 08. 2018, 17:43:22 »
Maskovani os pocet utoku nesnizi. Stroje se v dnesni dobe vyhledavaji ruznymi zpusoby a obvykle je jim jedno co za hlavicku dle tcp stacku nmap zjisti.


ghj

Re:Maskování verze systému před nmapem
« Odpověď #5 kdy: 21. 08. 2018, 06:54:35 »
Stroje se v dnesni dobe vyhledavaji ruznymi zpusoby a obvykle je jim jedno co za hlavicku dle tcp stacku nmap zjisti.

Napriklad?

j

Re:maskovanie verzie OS pred NMAPom
« Odpověď #6 kdy: 21. 08. 2018, 08:07:16 »
Maskovanie OS pomôže proti útokom....
Fakt? To si jako myslis, ze ti nekdo sezere na windows ssh nebo na linuxu rdp? A to neni zdaleka jedinej indikator.

Dan

Re:Maskování verze systému před nmapem
« Odpověď #7 kdy: 21. 08. 2018, 12:59:32 »
spíš než na maskování před nmap bych se zaměřil na aktivní filtraci provozu. nechat otevřených portů na firewallu co nejméně, port scan detection s následnou blokací útočníkovi IP, geoIP filtrace, atd. Pro SSH je spousta různých udělátek pro zlepšení bezpečnosti jako fail2ban, zákaz password login atd.

kkt1

  • *****
  • 796
    • Zobrazit profil
Re:Maskování verze systému před nmapem
« Odpověď #8 kdy: 21. 08. 2018, 13:20:50 »
Blokace utocnikovi IP je funkcni pro nejake dite. Utoky se obvykle provadeji distribuovane a dotaz na ssh prijde z nejake ip, dotaz na 80 z jine atd. Zakaz password login a pouzivani klicu je efektivni zpusob obrany ssh.

citanus006

Re:Maskování verze systému před nmapem
« Odpověď #9 kdy: 21. 08. 2018, 13:44:39 »
Blokace utocnikovi IP je funkcni pro nejake dite. Utoky se obvykle provadeji distribuovane a dotaz na ssh prijde z nejake ip, dotaz na 80 z jine atd. Zakaz password login a pouzivani klicu je efektivni zpusob obrany ssh.

prdlajs, metod maskovani je spousta, pouziva se i vas zmineny spoofing, ale daleko vice se maskuje za zname hosty a sken se rozhaze v case tak aby se nevesel do zadneho thresholdu a tim padem ani netrignurl alarm. eventa sice existuje, ale te si nikdo nevsimne dokud to nevykoreluje do alarmu.

ghj

Re:Maskování verze systému před nmapem
« Odpověď #10 kdy: 21. 08. 2018, 19:50:36 »
Nepokladal som za nutne rozvadzat moje ocakavania.

Ale realne/idealne tam bude jedna sluzba, ktora port otvori len na zaklepanie. A asi aj ta sluzba bude cez SSH alebo nejaky tunel cez ktoru to presmerujem. Vsetko ostatne bude zavrete. Ergo, sa ta IP bude tvarit ako nezapojena. Pripajat sa budu dve, tri zariadenia. Ide o domace pouzitie.

Teraz si uvedomujem, ze v takom pripade nmap neurci nic, ale aj tak nejake pakety sietou potecu a z tych by sa dalo co to urcit.

Lol Phirae

Re:Maskování verze systému před nmapem
« Odpověď #11 kdy: 21. 08. 2018, 20:04:21 »
Ergo, sa ta IP bude tvarit ako nezapojena.

Ne. Protože kdyby byla "nezapojená", tak se na ping vrátí "ICMP Destination Unreachable" (ICMP Type 3). Vytvářet černou díru rozhodně tvůj počítač nezneviditelní.

blfmpsẉẓ̌

Re:Maskování verze systému před nmapem
« Odpověď #12 kdy: 24. 08. 2018, 21:56:17 »
Blokace utocnikovi IP je funkcni pro nejake dite. Utoky se obvykle provadeji distribuovane a dotaz na ssh prijde z nejake ip, dotaz na 80 z jine atd. Zakaz password login a pouzivani klicu je efektivni zpusob obrany ssh.

Stačí silné heslo, pak takovéto totální nesmysly nejsou potřeba...

karlik

Re:Maskování verze systému před nmapem
« Odpověď #13 kdy: 24. 08. 2018, 23:02:54 »
Já bych se hesla bál, třeba pro MITM: :)
https://www.gremwell.com/ssh-mitm-public-key-authentication

kkt1

  • *****
  • 796
    • Zobrazit profil
Re:Maskování verze systému před nmapem
« Odpověď #14 kdy: 25. 08. 2018, 10:04:08 »
Ten mitm funguje jenom kdyz mas privatni klic serveru nebo kdyz na klientovi budes ignorovat varovani ze se zmenil fingerprint serveru.