OS Fingerprinting - Debian 5

[davsharyan]

Драсте Господа ...

Вот мне вооше не нравится как моя системя отвечает на OS Fingerprinting. С наружи даже можно узнать uptime системы. Вот прочитал про EAL4, которая Дебиан к сожалению не поддерживает.

Commercial operating systems that provide conventional, user-based security features are typically evaluated at EAL4. Examples of such operating systems are AIX[1], HP-UX[1], FreeBSD, Novell NetWare, Solaris[1], SUSE Linux Enterprise Server 9[1][2], SUSE Linux Enterprise Server 10[3], Red Hat Enterprise Linux 5[4], Windows 2000 Service Pack 3, Windows 2003[1][5], Windows XP[1][5].

Воошпм, хотелось бы как можно меньше инфы бродкастить на ружу. Особенно интересует вариант, когда скажем моя системя Lenny x64 а снаружи она видна как Windows 7 or типа того ...

С какими параметрами нужно поиграть ? - sysctl, TTL ???

для закрытия ответа может что-то на уровне фаервола можно сделать ?

з.ы. вот на фаере OpenBSD ака pf можно сделать типа этого ...

Код: Выделить всё

set block-policy  return
block in log quick proto tcp flags FUP/WEUAPRSF
block in log quick proto tcp flags WEUAPRSF/WEUAPRSF
block in log quick proto tcp flags SRAFU/WEUAPRSF
block in log quick proto tcp flags /WEUAPRSF
block in log quick proto tcp flags SR/SR
block in log quick proto tcp flags SF/SF

TRJ

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[paix]

это все детское баловство.
вы еще iptables-mirror настройте..)

по делу, закрываем фаерволом все порты, которые можно закрыть, тушим ненужные сервисы, на ссш пускаем только доверенных, регулярно обновляем серверный софт, и разное third-party ПО, которое крутится на сервере.

на счет аптайма системы, не очень помню, но кажется это пинги выдают. Т.ч. следует разрешать только определенные типы icmp.

[ttys]

з.ы. вот на фаере OpenBSD ака pf можно сделать типа этого ...

Код: Выделить всё

set block-policy  return
block in log quick proto tcp flags FUP/WEUAPRSF
block in log quick proto tcp flags WEUAPRSF/WEUAPRSF
block in log quick proto tcp flags SRAFU/WEUAPRSF
block in log quick proto tcp flags /WEUAPRSF
block in log quick proto tcp flags SR/SR
block in log quick proto tcp flags SF/SF

а можно линк на это? или по подробнее.

[BlackCat]

а можно линк на это? или по подробнее.

Это блокировка TCP пакетов с нестандартным набором флагов, подробнее в описании правил pf. Такие приёмы (нестандартные флаги) используют различные сканеры, типа nmap для определения версии ОC на хосте, более подробнее в документации к nmap.

[ttys]

разве

Код: Выделить всё

block in quick from any os NMAP

не оно?

[BlackCat]

не оно?

Отчасти, т.к. pf может и ошибиться. Заблокировать явно - оно надёжнее получается, да и некоторый процент атак позволит отсеить, когда pf на шлюзе работает.