Protección de huellas dactilares del SO: ¿por qué no de forma predeterminada?

3

Este artículo describe cómo engañar a nmap en su detección de huellas dactilares del SO.

En resumen, nmap envía paquetes mal formados para abrir y cerrar puertos y escucha las respuestas. Debido a que cada sistema operativo implementa su propia pila TCP / IP, la respuesta se puede comparar con una base de datos de firmas conocidas y el sistema operativo adivinado.

Las dos formas de mitigar esto son

  • Parche la fuente del kernel con "parche de sigilo"
  

Este parche simplemente descarta los paquetes TCP / IP recibidos con el   siguientes coincidencias:

     
  1. Paquetes con SYN y FIN activados (tcp_ignore_synfin) (sonda QueSO).

  2.   
  3. Paquetes falsos: si el encabezado TCP tiene activo el bit res1 (uno de los bits reservados, entonces es un paquete falso) o no tiene ningún   de los siguientes activados: ACK, SYN, RST, FIN (prueba Nmap 2).

  4.   
  5. Paquetes con FIN, PUSH y URG activados (prueba Nmap 7).

  6.   
  • Parche las fuentes del núcleo con "Personalidad IP" para modificar el comportamiento de la pila TCP / IP en esas situaciones de esquina, emulando otro sistema operativo (Sega Dreamcast por ejemplo)

Aunque este último enfoque puede tener algunos problemas de eficiencia / estabilidad:

  

Los ajustes permiten engañar a un escáner pero podrían romper la conectividad regular al cambiar los parámetros de la red. También podría debilitar el sistema si la pila de IP emulada no es tan fuerte como la inicial.

el primero no tiene inconvenientes mencionados.

Por qué este comportamiento no es el predeterminado. ¿Por qué los sistemas operativos responden a esos paquetes?

    
pregunta Vorac 05.09.2013 - 13:51
fuente

1 respuesta

3

Los sistemas operativos responden a paquetes no válidos porque son muy útiles para diagnosticar problemas de configuración de red. Si envía un paquete y nadie responde, no tiene idea de lo que sucedió con el paquete: ¿algún enrutador se lo comió? ¿Fue su respuesta mal encaminada? ¿Hay algún problema de conectividad? ¿O el objetivo recibió el paquete pero no le gustó? Si el objetivo responde, sabes por qué se rechazó el paquete y tienes una gran posibilidad de poder solucionar el problema.

La toma de huellas dactilares del SO no es un problema de seguridad. Es útil para encontrar vulnerabilidades, pero solo en sistemas con agujeros de seguridad sin parches. Si tiene un sistema con agujeros de seguridad no parchados, parchelos: hacer que su sistema sea irreconocible mediante huellas digitales solo lo protegerá contra una pequeña proporción de escaneos automatizados que necesitan optimizar el ancho de banda.

La toma de huellas dactilares del SO es un pequeño problema de privacidad. No es importante: a la mayoría de las personas no les importa, por una buena razón.

Además, eliminar un método de toma de huellas digitales no es suficiente: tienes que eliminar todos los métodos. Por lo tanto, su protección anti huellas digitales solo es buena hasta que alguien intente otro método de toma de huellas digitales.

El beneficio es pequeño e incierto. El inconveniente es mayor. La protección de huellas dactilares del sistema operativo debería estar desactivada por defecto.

    
respondido por el Gilles 05.09.2013 - 14:16
fuente

Lea otras preguntas en las etiquetas