[Jamal123]

Hallo Leute!
Ich bin dabei meine Linux Kentnisse ein wenig aufzuarbeiten und darum möchte ich das Kriterium Sicherheit nicht auser acht lassen.
Ich habe mir Jetzt auf einem zweitem PC Debian Linux Instaliert um den umgang mir Servern zu Lernen.
Auf meinem weg durch Google habe ich ein Kriterium entdekt das mir garnicht so dumm erscheint.
Den OS Fingerprint von Debian auf Windows NT zu setzten. Doch leider wahr niergendwo beschrieben in welcher Datei der Fingerprint steht!!

Könntet Ihr mir vieleicht helfen??

MfG
Jamal

[vmk]

Ähm, du weißt was der Fingerprint ist? Der Fingerprint ist die reaktionsweise des TCP/IP-Stacks und u.a. auch anderen Komponenten.

[Jamal123]

So wie es da Deklarierd wurde soll es sein das was bei einigen Ping Dingsta Schildern Rauskommt.
So ala Deine Ip:172.x.x.x.x dein ISP: t-com dein Betrybsystem: Windows XP Home Browser ist FireFox...
Das Hilft zwar nicht bei Profis, aber 80% der Kiddys raffen nicht wenn die den Server Pingen das es nicht Windows NT sondern Linux ist und ihn mit irgend einem Windows zeugs vollbomben.

MfG

[vmk]

*nix raff*

Das was du geschrieben hast, da peil ich den Zusammenhang nicht. Vielleicht kann dir ja noch jemand anderes helfen..

[Jamal123]

Hier der Artikel:

http://www.oreilly.de/catalog/netsec...er/hack40.html

Jedoch wird in Ihm erklärt wie ich es Blocke, nicht aber wie ich Ihn ändern kann.

So was ich also genau will:
Das andere Leute meinen Server nicht als Linux Debian sehn, sondern als Windows NT z.B.
Komplett Blocken will ich es erst später, also wenn Jemand geschafft hatt die Blockade die oben beschrieben worden ist zu umgen, soll Ihm eine Fake Fingerprint erhalten.

MfG

[vmk]

In dem Artikel ist von *BSD die rede, da scheint so was implementiert zu sein. Für den Linux gab es auch mal Kernel-Patches die so was bewirkt haben (grsecurity), aber das Projekt scheint mangels Interesse tot zu sein. http://www.grsecurity.net/ Ich merke gerade, die scheinen auch mal wieder was für Kernel über 2.6.7 oder so rauszubringen.

Welchen Vorteil erhoffst du dir eigentlich durch so was? Darf niemand erfahren, dass du Linux benutzt oder denkst du, deine PHP-Skripte auf deinem Server werden dadurch sicherer?

[Jamal123]

Ich erhoffe mir darus, Potenzielle Hacker auf eine Falsche Pferte zu locken!!
Kann man das nicht im nachhinein bei Linux ändern??
Bei Windows ist es doch auch nur ein Regestrie Eintrag der geändert werden muss.

MfG

[Toady]

Zitat:

Zitat von Jamal123 

Ich erhoffe mir darus, Potenzielle Hacker auf eine Falsche Pferte zu locken!!

Du drehst dich nun im Kreis, denn die nächste Frage vmks wäre "Was bringt es dir, wenn du ihn auf eine falsche Fährte lokst?" - wenn, dann musst du auch zB deinem Apache beibringen, dass er sich als Apache/Win32 meldet, udnd as wirst ohne Neukompilation nicht hinbekommen, und das müsstest du bei *allen* von außen erreichbaren Diensten machen.

Spätestens wenn du einen MTA (Mailserver) bei dir laufen hast wird es aus sein mit der Maskerade, denn weder EXIM, noch Sendmail noch postfix laufen unter Wintendo, und die erkennt schon der Laie am Verhalten.

Zitat:

Kann man das nicht im nachhinein bei Linux ändern??

Nein, du müsstest den TCP/IP-Stack neu kompilieren, der ist Teil des Kernels.
Du musst also einen eigenen Kernel bauen.

Was man machen kann ist, auf die bekannten Stealth-Scans (von zB nmap) mithilfe des Paketfilters das Verhalten zu maipulieren. Ein IP-paket trägt ja keinen Aufdruck wie "Linux_2.6.12-4", sondern der Scanner schließt durch bestimmte Reaktionen und die Gesatltung der Pakete auf das OS.

Mit iptables verhinderst du die nmap/xmas/usw-Scans zB mit folgenden Regeln, denn diese setzen in "freier Wildbahn" nicht vorkommende Flagkombinationen ein:

Code:

(...)$IPT -A NEW_TCP_UGLY -p tcp --tcp-flags ALL FIN,URG,PSH  -j PSCAN
$IPT -A NEW_TCP_UGLY -p tcp --tcp-flags ALL NONE -j PSCAN
$IPT -A NEW_TCP_UGLY -p tcp --tcp-flags ALL FIN -j PSCAN
$IPT -A NEW_TCP_UGLY -p tcp --tcp-flags SYN,RST SYN,RST -j PSCAN
$IPT -A NEW_TCP_UGLY -p tcp --tcp-flags SYN,FIN SYN,FIN -j PSCAN
(...)

Eine weitere Möglichkeit wäre, dass du solche Pakete spoofst, aber das geht nun in die Ecke "Security through obscurity"

Zitat:

Bei Windows ist es doch auch nur ein Regestrie Eintrag der geändert werden muss.

Das kann ich mir so nicht vorstellen, da ist auch eine Modifizierung des Stacks notwendig, oder man spoofed eben entsprechende Pakete.

[vmk]

Zitat:

Zitat von Toady 

Zitat:

Das kann ich mir so nicht vorstellen, da ist auch eine Modifizierung des Stacks notwendig, oder man spoofed eben entsprechende Pakete.

Ich kann es mir auch nicht vorstellen, dass das bei Windows so einfach ist. Aber wenn es so ist: Jamal123, kannst du uns sagen welchen Registry-Eintrag man setzen muss bzw. deine Quelle dafür verraten?

Und wie Toady schon sagt: Wenn dann müßten sich alle Dienste wie ein Windows verhalten - Und das bekommst du nicht hin.

[pwned]

hmm ... ich glaube nicht, dass ein "script kiddy" es bei einem einfachen ping belässt. auch denen sind tools wie z. b. nmap bekannt. mittels nmap kann man binnen sekunden das betriebssystem "erraten". mit jedem release von nmap werden die betriebssystem-signaturen (nmap-os-fingerprints) aktualisiert (http://insecure.org/nmap/osdetect/).

eine manipulation mittels eines einfachen registry eintrages kann ich mir bei windows auch nicht vorstellen. sonst gäbe es solche tools wie z. b. http://www.port80software.com/products/servermask/iis (ist jetzt nur ein beispiel) nicht. zumal die änderung des fingerprints alleine ziemlich sinnlos ist.

[Jamal123]

Also ist es defenitiv nicht möglich, Linux nach ausen als ein anderes System darzustellen??
Wenn das so ist, kann man diesen Thead Closen.
Bei Windows 98/ME/2000 War es der Schlüssel "Produkt ID".
Wie es bei XP / Vista ist muss ich nochmal nachschauen habe ich jetzt nicht im Kopf.

[vmk]

Product ID hat nichts mit TCP/IP zu tun - Kannst du mal eine Quelle bei technet nennen?

[Jamal123]

technet?? Nein das habe ich in meiner Ausbildung gelernt! Sobalt ich die möglichkeit habe sende ich es dir zu.

[vmk]

Zitat:

Zitat von Jamal123 

technet?? Nein das habe ich in meiner Ausbildung gelernt! Sobalt ich die möglichkeit habe sende ich es dir zu.

In technet findest du einiges an windows-interner Dokumentation und dort gibt es auch viele Tricks. Dachte du hättest die Info von der Seite gehabt.

Danke, dann bin ich mal gespannt :-)

[ultradna]

Ich denke Jamal123 hat sich nicht gedacht das er damit eine große Sicherheitslücke stopft.

Es ist einfach nur ein kleiner Spaß in den Logs zu sehen, wie versucht wird auf irgendwelche stinkige DLLs zuzugreifen (Scripts, HackTools,..) - nicht mehr, nicht weniger.

Gruß

[vmk]

Zitat:

Zitat von ultradna 

Es ist einfach nur ein kleiner Spaß in den Logs zu sehen, wie versucht wird auf irgendwelche stinkige DLLs zuzugreifen (Scripts, HackTools,..)

Da brauch ich nur so in die Logs gucken - Auf dem IIS werden Apache Exploits getestet und umgekehrt. Skriptkiddies testen blind IP-Ranges.

Und das was er vor hatte, dass hätte beim Server-Dienst selbst nichts geändert, er will ja nur den TCP/IP Stack so modifizieren, dass dieser sich anders verhält auf Portscans.