[OSFP] y'a-t-il des moyens pour contrer 'nmap -O' ??
5 réponses
Amine Elleuch
Bonjour,
Je cherche des moyens de lutte contre les programmes de détection de OS
distants par prise d'enpreintes (FingerPrinting), genre "nmap -O" et
"xprobe2". Y'a-t-il des moyens vraiment efficace ? J'ai entendu parler
de IP personnality pour linux, qu'est ce que ça vaut ? Y'a-t-il des
moyens pour windows ?
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
VANHULLEBUS Yvan
Amine Elleuch writes:
Bonjour,
Salut.
Je cherche des moyens de lutte contre les programmes de détection de OS distants par prise d'enpreintes (FingerPrinting), genre "nmap -O" et "xprobe2". Y'a-t-il des moyens vraiment efficace ?
"Ca depend".
J'ai entendu parler de IP personnality pour linux, qu'est ce que ça vaut ? Y'a-t-il des moyens pour windows ?
La premiere solution, c'est de ne jamais envoyer de reponse a des paquets entrants (en tout cas depuis une IP inconnue). Tout a fait faisable (voire fortement recommande) pour un poste de travail, deja plus delicat pour un serveur......
Si on est oblige de repondre a des paquets entrants, alors effectivement, la "personnalisation" des reactions de la pile IP va permettre de fausser les resultats. On peut la faire sur la machine meme, sous Linux ou sous BSD, au moins (pour windows, je sais pas), ou sur un equipement reseau sur le chemin (certains permettent d'influer sur certains parametres, ca peut suffir pour fausser les resultats du probe).
Reste cependant a faire le tour des services du serveur quand meme, parceque ca sert a rien de s'embeter a fausser les resultats d'un probe TCP/IP si c'est pour avoir les details de la version de l'OS sur toutes les bannieres des services......
A +
VANHU.
Amine Elleuch <elleuch@telecom-paris.fr> writes:
Bonjour,
Salut.
Je cherche des moyens de lutte contre les programmes de détection de
OS distants par prise d'enpreintes (FingerPrinting), genre "nmap -O"
et "xprobe2". Y'a-t-il des moyens vraiment efficace ?
"Ca depend".
J'ai entendu
parler de IP personnality pour linux, qu'est ce que ça vaut ? Y'a-t-il
des moyens pour windows ?
La premiere solution, c'est de ne jamais envoyer de reponse a des
paquets entrants (en tout cas depuis une IP inconnue). Tout a fait
faisable (voire fortement recommande) pour un poste de travail, deja
plus delicat pour un serveur......
Si on est oblige de repondre a des paquets entrants, alors
effectivement, la "personnalisation" des reactions de la pile IP va
permettre de fausser les resultats. On peut la faire sur la machine
meme, sous Linux ou sous BSD, au moins (pour windows, je sais pas), ou
sur un equipement reseau sur le chemin (certains permettent d'influer
sur certains parametres, ca peut suffir pour fausser les resultats du
probe).
Reste cependant a faire le tour des services du serveur quand meme,
parceque ca sert a rien de s'embeter a fausser les resultats d'un
probe TCP/IP si c'est pour avoir les details de la version de l'OS sur
toutes les bannieres des services......
Je cherche des moyens de lutte contre les programmes de détection de OS distants par prise d'enpreintes (FingerPrinting), genre "nmap -O" et "xprobe2". Y'a-t-il des moyens vraiment efficace ?
"Ca depend".
J'ai entendu parler de IP personnality pour linux, qu'est ce que ça vaut ? Y'a-t-il des moyens pour windows ?
La premiere solution, c'est de ne jamais envoyer de reponse a des paquets entrants (en tout cas depuis une IP inconnue). Tout a fait faisable (voire fortement recommande) pour un poste de travail, deja plus delicat pour un serveur......
Si on est oblige de repondre a des paquets entrants, alors effectivement, la "personnalisation" des reactions de la pile IP va permettre de fausser les resultats. On peut la faire sur la machine meme, sous Linux ou sous BSD, au moins (pour windows, je sais pas), ou sur un equipement reseau sur le chemin (certains permettent d'influer sur certains parametres, ca peut suffir pour fausser les resultats du probe).
Reste cependant a faire le tour des services du serveur quand meme, parceque ca sert a rien de s'embeter a fausser les resultats d'un probe TCP/IP si c'est pour avoir les details de la version de l'OS sur toutes les bannieres des services......
A +
VANHU.
Amine Elleuch
merci pour ta réponse :)
Amine Elleuch writes:
parler de IP personnality pour linux, qu'est ce que ça vaut ? Y'a-t-il des moyens pour windows ?
La premiere solution, c'est de ne jamais envoyer de reponse a des paquets entrants (en tout cas depuis une IP inconnue). Tout a fait faisable (voire fortement recommande) pour un poste de travail, deja plus delicat pour un serveur.......
hmm, je cherche plutôt à protéger des serveurs
Si on est oblige de repondre a des paquets entrants, alors effectivement, la "personnalisation" des reactions de la pile IP va permettre de fausser les resultats. On peut la faire sur la machine meme, sous Linux ou sous BSD, au moins (pour windows, je sais pas), ou sur un equipement reseau sur le chemin (certains permettent d'influer sur certains parametres, ca peut suffir pour fausser les resultats du probe).
Reste cependant a faire le tour des services du serveur quand meme, parceque ca sert a rien de s'embeter a fausser les resultats d'un probe TCP/IP si c'est pour avoir les details de la version de l'OS sur toutes les bannieres des services......
je m'occuperai des bannières des services dans un deuxième temps. Mais sinon, le seul moyen est de fausser la pile TCP/IP ?? y'a pas des moyens plus faciles et plus immédiats ? et qui marchent avec plusieurs OS ?
A +
VANHU.
Amine,
merci pour ta réponse :)
Amine Elleuch <elleuch@telecom-paris.fr> writes:
parler de IP personnality pour linux, qu'est ce que ça vaut ? Y'a-t-il
des moyens pour windows ?
La premiere solution, c'est de ne jamais envoyer de reponse a des
paquets entrants (en tout cas depuis une IP inconnue). Tout a fait
faisable (voire fortement recommande) pour un poste de travail, deja
plus delicat pour un serveur.......
hmm, je cherche plutôt à protéger des serveurs
Si on est oblige de repondre a des paquets entrants, alors
effectivement, la "personnalisation" des reactions de la pile IP va
permettre de fausser les resultats. On peut la faire sur la machine
meme, sous Linux ou sous BSD, au moins (pour windows, je sais pas), ou
sur un equipement reseau sur le chemin (certains permettent d'influer
sur certains parametres, ca peut suffir pour fausser les resultats du
probe).
Reste cependant a faire le tour des services du serveur quand meme,
parceque ca sert a rien de s'embeter a fausser les resultats d'un
probe TCP/IP si c'est pour avoir les details de la version de l'OS sur
toutes les bannieres des services......
je m'occuperai des bannières des services dans un deuxième temps. Mais
sinon, le seul moyen est de fausser la pile TCP/IP ?? y'a pas des moyens
plus faciles et plus immédiats ? et qui marchent avec plusieurs OS ?
parler de IP personnality pour linux, qu'est ce que ça vaut ? Y'a-t-il des moyens pour windows ?
La premiere solution, c'est de ne jamais envoyer de reponse a des paquets entrants (en tout cas depuis une IP inconnue). Tout a fait faisable (voire fortement recommande) pour un poste de travail, deja plus delicat pour un serveur.......
hmm, je cherche plutôt à protéger des serveurs
Si on est oblige de repondre a des paquets entrants, alors effectivement, la "personnalisation" des reactions de la pile IP va permettre de fausser les resultats. On peut la faire sur la machine meme, sous Linux ou sous BSD, au moins (pour windows, je sais pas), ou sur un equipement reseau sur le chemin (certains permettent d'influer sur certains parametres, ca peut suffir pour fausser les resultats du probe).
Reste cependant a faire le tour des services du serveur quand meme, parceque ca sert a rien de s'embeter a fausser les resultats d'un probe TCP/IP si c'est pour avoir les details de la version de l'OS sur toutes les bannieres des services......
je m'occuperai des bannières des services dans un deuxième temps. Mais sinon, le seul moyen est de fausser la pile TCP/IP ?? y'a pas des moyens plus faciles et plus immédiats ? et qui marchent avec plusieurs OS ?
y'a pas des moyens plus faciles et plus immédiats ? et qui marchent avec plusieurs OS ?
Non moi je n'en connais pas. Et encore, ce que j'ai essayé necessitait de recompiler le kernel Linux, et ne fonctionnait que pour le masquer à nmap. En effet nmap utilise une base de donnée des comportement des OS. Il suffit donc de connaitre la base de donnée sur laquelle se base nmap et puis le tour est joué. Par contre ce même truc était inéfficace contre un autre outil qui n'utilise pas le même procédé.
Donc voila. Mais bon, depuis tout le temps ou mon OS n'est pas caché, je n'ai pas eu tant de problèmes que ça.
-- Mirroir de logiciels libres http://www.etud-orleans.fr Développement de logiciels libres http://aspo.rktmb.org/activites/developpement Infogerance de serveur dédié http://aspo.rktmb.org/activites/infogerance (En louant les services de l'ASPO vous luttez contre la fracture numerique)
y'a pas des moyens
plus faciles et plus immédiats ? et qui marchent avec plusieurs OS ?
Non moi je n'en connais pas. Et encore, ce que j'ai essayé necessitait de
recompiler le kernel Linux, et ne fonctionnait que pour le masquer
à nmap. En effet nmap utilise une base de donnée des comportement des
OS. Il suffit donc de connaitre la base de donnée sur laquelle se base
nmap et puis le tour est joué. Par contre ce même truc était
inéfficace contre un autre outil qui n'utilise pas le même procédé.
Donc voila. Mais bon, depuis tout le temps ou mon OS n'est pas caché, je
n'ai pas eu tant de problèmes que ça.
--
Mirroir de logiciels libres http://www.etud-orleans.fr
Développement de logiciels libres http://aspo.rktmb.org/activites/developpement
Infogerance de serveur dédié http://aspo.rktmb.org/activites/infogerance
(En louant les services de l'ASPO vous luttez contre la fracture numerique)
y'a pas des moyens plus faciles et plus immédiats ? et qui marchent avec plusieurs OS ?
Non moi je n'en connais pas. Et encore, ce que j'ai essayé necessitait de recompiler le kernel Linux, et ne fonctionnait que pour le masquer à nmap. En effet nmap utilise une base de donnée des comportement des OS. Il suffit donc de connaitre la base de donnée sur laquelle se base nmap et puis le tour est joué. Par contre ce même truc était inéfficace contre un autre outil qui n'utilise pas le même procédé.
Donc voila. Mais bon, depuis tout le temps ou mon OS n'est pas caché, je n'ai pas eu tant de problèmes que ça.
-- Mirroir de logiciels libres http://www.etud-orleans.fr Développement de logiciels libres http://aspo.rktmb.org/activites/developpement Infogerance de serveur dédié http://aspo.rktmb.org/activites/infogerance (En louant les services de l'ASPO vous luttez contre la fracture numerique)
Eric Razny
Le Tue, 24 May 2005 18:57:18 +0000, Rakotomandimby (R12y) Mihamina a écrit :
Donc voila. Mais bon, depuis tout le temps ou mon OS n'est pas caché, je n'ai pas eu tant de problèmes que ça.
Sauf grave problème sur la pile elle même est-ce si indispensable de la trafiquer pour se cacher de l'OS fingerprinting?
Amha il est plus utile d'éviter d'annoncer à tout vent la version des serveurs en place (ou alors en la trafiquant un peu :) ) pour éviter d'être dans la base de donnée des IP associées à la version X.Y.Z de trucmuche (pre-scan) lors de la découverte d'une vulnérabilité que de trafiquer sa pile IP.
Sans compter que cette modif peut avoir des conséquences désagréables. Il me semble que c'est Cédric qui nous avait parlé de quelqu'un qui s'était fait rooter sa machine en la faisant passer pour une console ou un truc comme ça :)
Autant il n'y a aucune raison de laisser passer des infos non nécessaires (tiens, tu en as plein rien que dans mes entêtes :) ) autant je pense que, sauf cas particulier, il y a bien des choses à règler avant de se préoccuper d'OSFP.
<provoc>Bon c'est facile à dire, je ne suis pas sous Windows</provoc>
Eric.
Le Tue, 24 May 2005 18:57:18 +0000, Rakotomandimby (R12y) Mihamina a
écrit :
Donc voila. Mais bon, depuis tout le temps ou mon OS n'est pas caché, je
n'ai pas eu tant de problèmes que ça.
Sauf grave problème sur la pile elle même est-ce si indispensable de la
trafiquer pour se cacher de l'OS fingerprinting?
Amha il est plus utile d'éviter d'annoncer à tout vent la version
des serveurs en place (ou alors en la trafiquant un peu :) ) pour éviter
d'être dans la base de donnée des IP associées à la version X.Y.Z de
trucmuche (pre-scan) lors de la découverte d'une vulnérabilité que de
trafiquer sa pile IP.
Sans compter que cette modif peut avoir des conséquences désagréables.
Il me semble que c'est Cédric qui nous avait parlé de quelqu'un qui
s'était fait rooter sa machine en la faisant passer pour une console ou
un truc comme ça :)
Autant il n'y a aucune raison de laisser passer des infos non nécessaires
(tiens, tu en as plein rien que dans mes entêtes :) )
autant je pense que, sauf cas particulier, il y a bien des choses à
règler avant de se préoccuper d'OSFP.
<provoc>Bon c'est facile à dire, je ne suis pas sous Windows</provoc>
Le Tue, 24 May 2005 18:57:18 +0000, Rakotomandimby (R12y) Mihamina a écrit :
Donc voila. Mais bon, depuis tout le temps ou mon OS n'est pas caché, je n'ai pas eu tant de problèmes que ça.
Sauf grave problème sur la pile elle même est-ce si indispensable de la trafiquer pour se cacher de l'OS fingerprinting?
Amha il est plus utile d'éviter d'annoncer à tout vent la version des serveurs en place (ou alors en la trafiquant un peu :) ) pour éviter d'être dans la base de donnée des IP associées à la version X.Y.Z de trucmuche (pre-scan) lors de la découverte d'une vulnérabilité que de trafiquer sa pile IP.
Sans compter que cette modif peut avoir des conséquences désagréables. Il me semble que c'est Cédric qui nous avait parlé de quelqu'un qui s'était fait rooter sa machine en la faisant passer pour une console ou un truc comme ça :)
Autant il n'y a aucune raison de laisser passer des infos non nécessaires (tiens, tu en as plein rien que dans mes entêtes :) ) autant je pense que, sauf cas particulier, il y a bien des choses à règler avant de se préoccuper d'OSFP.
<provoc>Bon c'est facile à dire, je ne suis pas sous Windows</provoc>
Eric.
Cedric Blancher
Le Wed, 25 May 2005 05:11:58 +0000, Eric Razny a écrit :
Sans compter que cette modif peut avoir des conséquences désagréables. Il me semble que c'est Cédric qui nous avait parlé de quelqu'un qui s'était fait rooter sa machine en la faisant passer pour une console ou un truc comme ça :)
En se faisant passer pour une Dreamcast et en se retrouvant avec un générateur d'ISN dépendant de la date. En outre, on se retrouve souvent avec un générateur d'IPID séquentiel, ce qui est bien utile pour ceux qui aiment les Idle Scans.
Je rejoins l'avis d'Éric. Il ya tellement de choses à faire en sécurité avant de commencer à jouer avec sa pile IP. Et puis, si on réfléchit 15s au fonctionnement d'une prise d'empreinte nmap, on s'aperçoit que :
. 3 tests nécessitent un port TCP ouvert . 3 tests nécessitent un port TCP fermé . 1 test nécessite un port UDP fermé
Si le filtrage IP implique un DROP sur les ports fermés, les 4 derniers tests échouent, ce qui suffit souvent à tromper nmap ou rendre son résultat suffisamment vague. Si on filtre correctement les ICMPs en plus, c'est Xprobe qui va avoir du mal.
Enfin, il restera ChronOS et p0f. ChronOS se base sur le nombre et les délais de retransmission des SYN-ACK. Là par contre, il va falloir jouer avec la pile, en modifiant des paramètres dans le sysctl, comme tcp_synack_retries et/ou tcp_retries*. p0f fait de la prise d'empreinte passive, on peut alors jouer sur la valeur de TTL par défaut (ip_default_ttl), ce qui suffit largement. Mais jouer avec les paramètres de la pile IP quand on ne sait pas ce qu'on fait, c'est pas toujours du meilleur effet sur les performances...
-- Pour chassez le diable, madame Langlois... Ma petite soeur vient ici. Crack ! Elle s'retrouve au ciel. Le commissaire Bertrand... Pareil. Ce pauvre Mario... Pareil. Alors, je me suis dit : "C'est l'endroit qu'est pas bon.". Même pour vous, je ne suis pas tranquille. C'est pas sain. -+- JPB, Flic ou Voyou
Le Wed, 25 May 2005 05:11:58 +0000, Eric Razny a écrit :
Sans compter que cette modif peut avoir des conséquences désagréables.
Il me semble que c'est Cédric qui nous avait parlé de quelqu'un qui
s'était fait rooter sa machine en la faisant passer pour une console ou
un truc comme ça :)
En se faisant passer pour une Dreamcast et en se retrouvant avec un
générateur d'ISN dépendant de la date. En outre, on se retrouve souvent
avec un générateur d'IPID séquentiel, ce qui est bien utile pour ceux
qui aiment les Idle Scans.
Je rejoins l'avis d'Éric. Il ya tellement de choses à faire en
sécurité avant de commencer à jouer avec sa pile IP. Et puis, si on
réfléchit 15s au fonctionnement d'une prise d'empreinte nmap, on
s'aperçoit que :
. 3 tests nécessitent un port TCP ouvert
. 3 tests nécessitent un port TCP fermé
. 1 test nécessite un port UDP fermé
Si le filtrage IP implique un DROP sur les ports fermés, les 4 derniers
tests échouent, ce qui suffit souvent à tromper nmap ou rendre son
résultat suffisamment vague. Si on filtre correctement les ICMPs en plus,
c'est Xprobe qui va avoir du mal.
Enfin, il restera ChronOS et p0f. ChronOS se base sur le nombre et les
délais de retransmission des SYN-ACK. Là par contre, il va falloir jouer
avec la pile, en modifiant des paramètres dans le sysctl, comme
tcp_synack_retries et/ou tcp_retries*. p0f fait de la prise d'empreinte
passive, on peut alors jouer sur la valeur de TTL par défaut
(ip_default_ttl), ce qui suffit largement. Mais jouer avec les paramètres
de la pile IP quand on ne sait pas ce qu'on fait, c'est pas toujours du
meilleur effet sur les performances...
--
Pour chassez le diable, madame Langlois... Ma petite soeur vient ici. Crack !
Elle s'retrouve au ciel. Le commissaire Bertrand... Pareil. Ce pauvre Mario...
Pareil. Alors, je me suis dit : "C'est l'endroit qu'est pas bon.". Même pour
vous, je ne suis pas tranquille. C'est pas sain. -+- JPB, Flic ou Voyou
Le Wed, 25 May 2005 05:11:58 +0000, Eric Razny a écrit :
Sans compter que cette modif peut avoir des conséquences désagréables. Il me semble que c'est Cédric qui nous avait parlé de quelqu'un qui s'était fait rooter sa machine en la faisant passer pour une console ou un truc comme ça :)
En se faisant passer pour une Dreamcast et en se retrouvant avec un générateur d'ISN dépendant de la date. En outre, on se retrouve souvent avec un générateur d'IPID séquentiel, ce qui est bien utile pour ceux qui aiment les Idle Scans.
Je rejoins l'avis d'Éric. Il ya tellement de choses à faire en sécurité avant de commencer à jouer avec sa pile IP. Et puis, si on réfléchit 15s au fonctionnement d'une prise d'empreinte nmap, on s'aperçoit que :
. 3 tests nécessitent un port TCP ouvert . 3 tests nécessitent un port TCP fermé . 1 test nécessite un port UDP fermé
Si le filtrage IP implique un DROP sur les ports fermés, les 4 derniers tests échouent, ce qui suffit souvent à tromper nmap ou rendre son résultat suffisamment vague. Si on filtre correctement les ICMPs en plus, c'est Xprobe qui va avoir du mal.
Enfin, il restera ChronOS et p0f. ChronOS se base sur le nombre et les délais de retransmission des SYN-ACK. Là par contre, il va falloir jouer avec la pile, en modifiant des paramètres dans le sysctl, comme tcp_synack_retries et/ou tcp_retries*. p0f fait de la prise d'empreinte passive, on peut alors jouer sur la valeur de TTL par défaut (ip_default_ttl), ce qui suffit largement. Mais jouer avec les paramètres de la pile IP quand on ne sait pas ce qu'on fait, c'est pas toujours du meilleur effet sur les performances...
-- Pour chassez le diable, madame Langlois... Ma petite soeur vient ici. Crack ! Elle s'retrouve au ciel. Le commissaire Bertrand... Pareil. Ce pauvre Mario... Pareil. Alors, je me suis dit : "C'est l'endroit qu'est pas bon.". Même pour vous, je ne suis pas tranquille. C'est pas sain. -+- JPB, Flic ou Voyou