Uma abordagem prática para derrotar a Impressão digital do Nmap OS


Introdução

O objetivo deste documento é tentar enumerar e descrever resumidamente todos os aplicativos e técnicas implantados para derrotar o Nmap OS Fingerprint, mas em qualquer caso, a segurança por obscuridade não é uma boa abordagem; pode ser um bom medida de segurança, mas por favor, leve em conta que é mais importante ter um ambiente de segurança apertado (patches, firewalls, ids, ...) do que esconder o seu SO.


Aprender qual sistema operacional está sendo executado em um sistema remoto pode ser muito valioso para o pen-tester e o chapéu preto. Suponha que eles encontrem uma porta aberta em sua penetração (aprovada ou não); Conhecendo o sistema operacional torna mais fácil encontrar e executar uma exploração contra esse serviço, porque muitas vezes uma exploração é a versão do sistema operacional específico, e uma exploração do Sendmail em execução no HP-UX não funcionará para o Sendmail em execução no AIX ou mais preciso, uma exploração do AIX 4.3.3 não funcionaria em um sistema executando o 4.3.3 com a última manutenção código aplicado. Fyodor (autor do Nmap) escreveu um artigo detalhado sobre o Fingerprint do SO remoto, descrevendo alguns métodos diferentes para detectar com sucesso o sistema operacional remoto, desde os mais básicos, até os mais poderosos.


No início, a suposição do sistema operacional remoto foi feita pegando o banner que um serviço específico estava servindo. Por exemplo, um típico telnet ou banner de ftp sempre foi mostrado para o mundo inteiro, informando qual OS era executando, ou se o banner foi alterado ou removido, alguns comandos de serviço podem ser executados para saber o sistema operacional (lembre-se do SYST no FTP). Outras maneiras básicas de conhecer o sistema operacional podem estar procurando por HINFO entradas no servidor DNS, ou tentando obter informações usando snmp (muitos dispositivos têm ativado por padrão acesso snmp usando a string de comunidade 'pública'). Mesmo procurando os trabalhos da empresa-alvo que postam no Internet, mergulho no dumpster procurando por manuais de SO ou engenharia social são métodos válidos para se tentar saber o sistema operacional remoto.


Em seguida, algumas soluções mais avançadas ou em desenvolvimento foram implementadas, aproveitando cada fornecedor de sistema operacional TCP / IP. implementação de pilha. A idéia é enviar alguns pacotes para o sistema operacional remoto e aguardar sua resposta. Esses pacotes são "desagradáveis", criados com opções incomuns de TCP ou com opções "impossíveis". Cada sistema operacional tem sua própria implementação de pilha TCP / IP, não há uma implementação de pilha comum para todos os SOs problema permite criar uma classificação de diferentes sistemas operacionais e versões de acordo com suas respostas. Brincando por aí com esses pacotes complicados, é como as ferramentas remotas de Fingerprinting do sistema operacional funcionam; alguns deles usando o TCP / IP protocolo, e outros usando o protocolo ICMP.


Há um artigo sobre 'Derrotar Impressões Digitais em Pilha TCP / IP' que descreve em alto nível o design e implementação de um depurador de impressão digital da Pilha TCP / IP. Esse documento descreve por que e como você pode derrotar Impressão digital do sistema operacional TCP / IP, então não vou falar muito sobre isso; portanto, vou me concentrar no soluções disponíveis no mercado.




Advertisements