URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 17402
[ Назад ]

Исходное сообщение
"Есть несколько вопросов по безопасности FreeBsd"

Отправлено 0qwerty , 29-Май-02 10:46 
А именно такие:
1) Где то слышал что версию атакуемой машины можно опознать по TTL те каждая ось поддрживает свои TTL,отсюда вопрос - можно ли в системе (фря)поменять параметр TTL с 64 скажем на 32 или еще какое либо число ? и чем это может кончится ? ;-)
2) как сменить баннер программ,например SSH ?
просто когда я сканирую свою фрю с виндов сканером Shadowscan, мне говорится что версия проги такая то и тп,тоже самое с арачем ,ftp итд вопрос - где это сменить ?

Цель моих вопросов - проста ;-) обмануть потенциального взломщика уже на этапе сканирования машины ;-)пусть думает что не фря стоит а какая либа винда etc

ЗЫ Как смотрите на использование проги PORTSENTRY в качестве дополнительной проге по защите машины ?
она кстати мне поймала и забила в hosts.deny нескольких любителей посканировать чужие компы ;-)


Содержание

Сообщения в этом обсуждении
"RE: Есть несколько вопросов по безопасности FreeBsd"
Отправлено AD , 29-Май-02 10:50 
>А именно такие:
>1) Где то слышал что версию
>атакуемой машины можно опознать по
>TTL те каждая ось поддрживает
>свои TTL,отсюда вопрос - можно
>ли в системе (фря)поменять параметр
>TTL с 64 скажем на
>32 или еще какое либо
>число ? и чем это
>может кончится ? ;-)
>2) как сменить баннер программ,например SSH
>?
>просто когда я сканирую свою фрю
>с виндов сканером Shadowscan, мне
>говорится что версия проги такая
>то и тп,тоже самое с
>арачем ,ftp итд вопрос -
>где это сменить ?
>
>Цель моих вопросов - проста ;-)
>обмануть потенциального взломщика уже на
>этапе сканирования машины ;-)пусть думает
>что не фря стоит а
>какая либа винда etc
>
>ЗЫ Как смотрите на использование проги
>PORTSENTRY в качестве дополнительной проге
>по защите машины ?
>она кстати мне поймала и забила
>в hosts.deny нескольких любителей посканировать
>чужие компы ;-)
>


portsentry нормально работает, можно еще snort поставить/


"RE: Есть несколько вопросов по безопасности FreeBsd"
Отправлено Nightman , 29-Май-02 11:47 
>А именно такие:
>1) Где то слышал что версию
>атакуемой машины можно опознать по
>TTL те каждая ось поддрживает
>свои TTL,отсюда вопрос - можно
>ли в системе (фря)поменять параметр
>TTL с 64 скажем на
>32 или еще какое либо
>число ? и чем это
>может кончится ? ;-)
>2) как сменить баннер программ,например SSH
>?
>просто когда я сканирую свою фрю
>с виндов сканером Shadowscan, мне
>говорится что версия проги такая
>то и тп,тоже самое с
>арачем ,ftp итд вопрос -
>где это сменить ?
>
>Цель моих вопросов - проста ;-)
>обмануть потенциального взломщика уже на
>этапе сканирования машины ;-)пусть думает
>что не фря стоит а
>какая либа винда etc
>
>ЗЫ Как смотрите на использование проги
>PORTSENTRY в качестве дополнительной проге
>по защите машины ?
>она кстати мне поймала и забила
>в hosts.deny нескольких любителей посканировать
>чужие компы ;-)
>
а зачем, что это даст для системы в целом?!
ну забанишь ты этот хост, а окажется что этот хост промежуточный (nat там ) а ты их ррраз..и вот уже и почта оттуда не ходит и странички они твои не увидят...
Идея в том что можно вообще поставить
deny ip from any to any и все...как за каменной стеной , но нужно ли это...
Обновленный и грамотно настроенный софт залог безопасности



"RE: Есть несколько вопросов по безопасности FreeBsd"
Отправлено Евгений , 29-Май-02 17:45 
>ЗЫ Как смотрите на использование проги
>PORTSENTRY в качестве дополнительной проге
>по защите машины ?
>она кстати мне поймала и забила
>в hosts.deny нескольких любителей посканировать
>чужие компы ;-)

Нескольких любителей :)) ...
У меня за сутки лог от ipfw редко бывает меньше мегабайта кто мне что сканил и куда лез. Если я всех банить буду - шлюз уйдет в даун и кроме локалхоста скоро ничего не останется ;)

Кроме того - наблюдал всякие любопытные штуки типа: фонтан SYN-пакетов с левым source address и среди них - запрятан один реальный пакетик от злобного кулхацкера. Будешь давить всех - жертв среди "мирного населения" не избежать; NAT, proxy всякие, опять же.
Хотя для небольшой корпоративной сеточки - portsentry - самое то.

>как сменить баннер программ,например SSH?
Проще запустить на нестандартном порту и забанить доступ туда отовсюду кроме доверенных хостов/сетей.
А сменить баннер - правка исходников и рекомпиляция.


"RE: Есть несколько вопросов по безопасности FreeBsd"
Отправлено lavr , 29-Май-02 18:59 
>А именно такие:
>1) Где то слышал что версию
>атакуемой машины можно опознать по
>TTL те каждая ось поддрживает
>свои TTL,отсюда вопрос - можно
>ли в системе (фря)поменять параметр
>TTL с 64 скажем на
>32 или еще какое либо
>число ? и чем это
>может кончится ? ;-)
>2) как сменить баннер программ,например SSH
>?
>просто когда я сканирую свою фрю
>с виндов сканером Shadowscan, мне
>говорится что версия проги такая
>то и тп,тоже самое с
>арачем ,ftp итд вопрос -
>где это сменить ?
>
>Цель моих вопросов - проста ;-)
>обмануть потенциального взломщика уже на
>этапе сканирования машины ;-)пусть думает
>что не фря стоит а
>какая либа винда etc
>
>ЗЫ Как смотрите на использование проги
>PORTSENTRY в качестве дополнительной проге
>по защите машины ?
>она кстати мне поймала и забила
>в hosts.deny нескольких любителей посканировать
>чужие компы ;-)
>

зачем менять TTL!?

в firewall'е закрыть telnet/rsh/rexec/nfs/rpc/...
наружу и оставить их и другие нужные сервисы для
локалки

в SSH лучше ничего не менять, а поставить посвежее
и правильно настроить, чтобы знали версию и не
пытались ее долбать
В FTPD оставить лишь FTPD Server

Вобщем подход должен быть с умом и избирательный
по сервисам исходя из логических соображений

если кто-то разово просканил порты - то что в этом
страшного, это ж не продолжительный скан или долбежка.


"RE: Есть несколько вопросов по безопасности FreeBsd"
Отправлено BartSimpson , 30-Май-02 05:01 
>зачем менять TTL!?

А подробнее можно про TTL и оси?


"RE: Есть несколько вопросов по безопасности FreeBsd"
Отправлено Dawnshade , 30-Май-02 09:08 
На void.ru есть статья - Боремся с определением версии ОС. Так кажется называется. Не особо старая - там есть решение - патч ядра, меняющий не только ттл и туеву хучу других параметров.
ОС определяется не только по ттл. Вообщем там все прочтешь...


"RE: Есть несколько вопросов по безопасности FreeBsd"
Отправлено sassha , 30-Май-02 16:15 
чтобы поменять значение ttl
в sysctl.conf добавь

net.inet.ip.ttl=32