Impedir la toma de huellas dactilares del SO activo con iptables

Navega tus respuestas
2

Estoy estudiando la seguridad de la red por mi cuenta y tengo algunas preguntas teóricas básicas aquí.

¿Sería suficiente eliminar cada paquete entrante en la capa de red para evitar la toma de huellas dactilares del SO activo? Supongo que esto podría hacerse con iptables, ¿verdad?
También supongo que, si se hace de esta manera, abrir cualquier puerto sería suficiente para habilitar nuevamente la toma de huellas dactilares, ¿es correcto? Finalmente, ¿hay una forma menos restrictiva de defenderse contra las huellas digitales del sistema operativo? Si no es en general, al menos en contra de cierta implementación como las de nmap.

    
pregunta ambsrc 07.08.2015 - 21:37
fuente

2 respuestas

1

La toma de huellas dactilares del SO, como describió, utiliza las características de tráfico de red del SO. Existen algunas utilidades para modificar los valores predeterminados con el fin de enmascarar el tipo de sistema operativo que utiliza.

Eliminar todos los paquetes entrantes funcionaría contra los intentos de toma de huellas dactilares iniciando un nuevo tráfico desde el exterior, pero no contra los intentos de toma de huellas dactilares realizados por los destinos a los que se inicia el tráfico. Abrir un puerto para responder al tráfico iniciado permitiría ese tipo de huellas digitales.

Podrías enviar todo el tráfico a través de otro sistema operativo, ocultando así el tráfico con el otro sistema operativo.

La pregunta más importante que se debe hacer aquí es "¿por qué hacerlo?" La seguridad por la oscuridad tiene un lugar en la postura de defensa, pero no pretende ser una medida de protección, sino simplemente elevar un poco el nivel de los ataques automatizados. Si tiene implementada la seguridad adecuada, enmascarar los valores predeterminados de la red del sistema operativo no va a ganar mucho. Pasaría mucho más tiempo en defensas más fundamentales que tratando de confundir una huella digital del sistema operativo.

    
respondido por el schroeder 07.08.2015 - 22:14
fuente
0

iptables , como su nombre indica, funciona en la capa del Protocolo de Internet (OSI: capa de red) y podría eliminar cualquier paquete entrante.

Pero hay algunas formas de "hablar" con ese sistema operativo en la capa inferior, enlace:

  • Puede pedirle la dirección MAC y eso le dirá algo sobre el hardware y, a su vez, el software que lo ejecuta. Es más probable que un OUI de Samsung sea un teléfono que conjuntos específicos de OUI de Samsung para teléfonos con Android.
  • Deautenticar el objetivo desde una red inalámbrica y verlo autenticar y, potencialmente, usar DHCP podría dar más pistas al respecto.
  • Un dispositivo que habla de protocolos de tunelización como PPP, PPTP, L2TP o los protocolos de descubrimiento de capa 2 solo puede tener unos pocos sistemas operativos específicos.
  • La latencia en las respuestas de ARP podría indicar si se trata de un dispositivo lento integrado o uno rápido multipropósito.
  • Los diferentes sistemas operativos pueden actuar de manera diferente bajo una inundación de capa 2 y responder de manera diferente, si es que lo hacen, a las solicitudes de ARP.

El control de la interacción ARP se puede hacer con la utilidad arptables .

    
respondido por el Cristian Dobre 08.08.2015 - 00:02
fuente

Lea otras preguntas en las etiquetas

¿Cómo probar la vulnerabilidad de carga de imágenes en una aplicación móvil? Dominio dedicado para el registro de correo electrónico