OS-Fingerprint und ICMP ausschalten

Tapir

New Member
Hallo zusammen,

hat jemand eine gute Dokumentation wie ich auf einem Netzwerk Interface:
  • ICMP Antworten abstelle
  • Den OS Fingerprint nicht beantworte

https://www.openbsd.org/faq/pf/filter.html

Auf dieser Seite habe ich schon viel gefunden und gelesen, doch fehlt mir ggf. der Fachbegriff um nach dem richtigem zu suchen.

Hier im Forum habe ich nach OS fingerprint gesucht aber auch nichts gefunden.

Danke für jeden Tipp.

Gruß
 

turrican

Well-Known Member
ICMP Antworten - blocke "icmp echo reply" mittels der pf

OS Fingerprinting - das Internetz sagt dazu:
Code:
set block-policy  return



block in log quick proto tcp flags FUP/WEUAPRSF

block in log quick proto tcp flags WEUAPRSF/WEUAPRSF

block in log quick proto tcp flags SRAFU/WEUAPRSF

block in log quick proto tcp flags /WEUAPRSF

block in log quick proto tcp flags SR/SR

block in log quick proto tcp flags SF/SF

Seite scheint schon gut abgehangen zu sein, evtl funktioniert das mittlerweile anders.
 

Tapir

New Member
Danke Dir.

Hat geholfen wieder etwas mehr zu verstehen und wonach ich suchen kann. Probiere das mal aus.

Code:
### block probes that can possibly determine our operating system by disallowing
### certain combinations that are commonly used by nmap, queso and xprobe2, who
### are attempting to fingerprint the server.
### * F : FIN  - Finish; end of session
### * S : SYN  - Synchronize; indicates request to start session
### * R : RST  - Reset; drop a connection
### * P : PUSH - Push; packet is sent immediately
### * A : ACK  - Acknowledgement
### * U : URG  - Urgent
### * E : ECE  - Explicit Congestion Notification Echo
### * W : CWR  - Congestion Window Reduced
block in quick on $ext_if proto tcp flags FUP/WEUAPRSF
block in quick on $ext_if proto tcp flags WEUAPRSF/WEUAPRSF
block in quick on $ext_if proto tcp flags SRAFU/WEUAPRSF
block in quick on $ext_if proto tcp flags /WEUAPRSF
block in quick on $ext_if proto tcp flags SR/SR
block in quick on $ext_if proto tcp flags SF/SF

ICMP Antworten - blocke "icmp echo reply" mittels der pf

OS Fingerprinting - das Internetz sagt dazu:
Code:
set block-policy  return



block in log quick proto tcp flags FUP/WEUAPRSF

block in log quick proto tcp flags WEUAPRSF/WEUAPRSF

block in log quick proto tcp flags SRAFU/WEUAPRSF

block in log quick proto tcp flags /WEUAPRSF

block in log quick proto tcp flags SR/SR

block in log quick proto tcp flags SF/SF

Seite scheint schon gut abgehangen zu sein, evtl funktioniert das mittlerweile anders.

Quelle: https://comodin.com/pf
 

turrican

Well-Known Member
Eleganter wäre m.E, wenn man die eigene OS Response auf so ein OS-Fingerprinting auf die Antwort eines anderen OS umbiegen könnte - also z.B. wenn das moderne OpenBSD als ein "Windows 98" antwortet xD
 

mr44er

moderater Moderator
Teammitglied
Ich hab lange nichts mehr manuell gemacht, aber default (ohne was zu konfigurieren) blockt pf sowieso erstmal alles.
 

Azazyel

Well-Known Member
ICMP Antworten abstelle

Ja nach Motivation für die Frage: Disabling ICMP and SNMP won’t increase security, but will impact network monitoring

ICMP Echo Reply (Type 0) würde ich keinesfalls deaktivieren. Das bringt in Sachen Sicherheit nichts, schafft nur Probleme und erschwert im Zweifelsfalle die Fehlerdiagnose.

Den OS Fingerprint nicht beantworte

OS Fingerprinting erschweren ist auch ein Ratschlag, der aus den 90ern stammt und heute völlig nutzlos ist. Kein Angreifer lässt sich mehr von sowas auch nur bremsen. Mit den heutzutage zu Verfügung stehenden Ressourcen und Bandbreiten wird einfach alles durchprobiert, egal als was sich das Zielsystem ausgibt.

Je nach Zielstellung der Eingangsfrage können wir hier auch gerne zeitgemäße Quellen beisteuern.
 
Zuletzt bearbeitet:

KobRheTilla

used register
Ich sehe das wie Azazyel, solche Maßnahmen bringen genau gar nichts hinsichtlich "Sicherheit" und erschweren die Analyse des Netzwerks im Fehlerfall.

Rob
 

turrican

Well-Known Member
obs Sinn macht oder nicht, sei dahingestellt - die Fragestellung war, wie es gemacht werden könnte
 

Tapir

New Member
Danke Euch für das ganz und vollumfängliche Feedback.
Mir geht es aber wirklich um das "wie" mache ich es.
 
Oben