PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : nmap Portscan / Versionsausgaben mit Iptables verhindern ?


jan_dortmund
04.12.07, 11:12
Hallo,

ist es möglich mit IPTables einen Portscan und insbesondere durch z.b. die ausführung von

nmap -O server.tld oder --osscan-guess

die ausgabe von versionsnummern der offenen ports/dienste und des betriebssystems zu verhindern ?

viele dank im voraus

gruß
jan
marce
04.12.07, 11:18
AFAIK nein.

Da kann man maximal was in der Dienste-Konfiguration drehen (wobei sich nmap nicht nur darauf verlässt...)
jan_dortmund
04.12.07, 11:24
mein post war auf die ausgabe von einer seite bezogen .. dieser gibt müll für den portscanner aus, wenn man auf das OS bzw. Versionsnummern scannt...:

Not shown: 1679 closed ports
PORT STATE SERVICE VERSION
80/tcp open http Apache httpd
No OS matches for host (If you know what OS is running on it, see http://www.insecure.org/cgi-bin/nmap-submit.cgi).
TCP/IP fingerprint:
SInfo(V=4.11%P=x86_64-unknown-linux-gnu%D=12/4%Tm=475530A4%O=80%C=1)
TSeq(Class=TR%IPID=RD%TS=U)
T1(Resp=Y%DF=Y%W=1FFE%ACK=S++%Flags=AS%Ops=M)
T2(Resp=Y%DF=Y%W=2009%ACK=S%Flags=R%Ops=)
T3(Resp=Y%DF=Y%W=1FFE%ACK=S++%Flags=AS%Ops=M)
T4(Resp=N)
T5(Resp=Y%DF=Y%W=2009%ACK=S++%Flags=AR%Ops=)
T6(Resp=Y%DF=Y%W=2009%ACK=S%Flags=R%Ops=)
T7(Resp=Y%DF=Y%W=2009%ACK=S++%Flags=R%Ops=)
PU(Resp=Y%DF=N%TOS=0%IPLEN=38%RIPTL=148%RID=E%RIPC K=E K=E%ULEN=134%DAT=E)




wie ist sowas zu realisieren ?
derRichard
04.12.07, 14:09
hallo!

das hat mit iptables nichts zu tun.

die identifikation der dienste kann man zum teil selber festlegen.
beim apache geht das recht gut. (siehe doku).

wenn nicht willlst, dass man viel über dein betriebssystem herausfindet, dann wird es nicht so einfach.

wenn das sysctl "net.ipv4.tcp_timestamps" auf null setztst, dann kann man schonmal deine uptime nicht mehr herausfinden.
du kannst dann noch sachen wie fenstergröße der ip-pakete verändern, etc.. das sollte auch was helfen.
musst nur mal nach os fingerprinting suchen, dazu gibt es vieles.

über die sinnhaftigkeit solcher aktionen kann man jedoch streiten...

hth,
//richard
marce
04.12.07, 14:12
Na, "security by obscurity" vermutlich...
403
04.12.07, 22:32
mal im Ernst. Man muesste doch - abgesehen von sec-by-obs das Timing Verhalten der Dienste aendern. Und dann: Haelt sich ein Dienst ans RFC, oder nicht.