pf: Os Fingerprinting geht nicht für FreeBSD 6.1 Client

R

Reks30

Well-Known Member
Hallo,

ich habe eine OpenBSD 4.0 Firewall und filtere auch von innen und zwar vorranging nach Betriebssystem des Clients (damit Windowstrojaner ihre Herrchen nicht erreichen können). Beispielsweise FTP-Kontakte gestatte ich ich für einige "vertraute" Betriebssysteme. Dies sind Linux, OpenBSD, FreeBSD, NetBSD und Solaris.

Nun habe ich einen FreeBSD 6.1 Client aufgesetzt und der wurde nicht nach draussen gelassen. Erst nachdem ich für diesen eine eigene Regel geschrieben hatte gelang eine FTP-Verbindung. Ich habe dann auch mal ein nmap mit Betriebssystemerkennung auf den Rechner gemacht. Das Ergebnis könnte ich einpflegen oder es den OpenBSD Entwicklern schicken.

Meine Frage ist nur: Macht es Sinn den neuen Fingerprint an die OpenBSD Entwickler zu schicken oder werden die den neuen Fingerprint sicherlich sowieso aufnehmen (da FreeBSD 6.1 schließlich für einen OpenBSDler kein so exotisches System ist und die Entwickler daher die Änderung des Fingerprints ohnehin schon bemerkt haben).

Außerdem: kann ich den neuen Fingerprint meinen System selber irgendwie beibringen?

Gruß
Reks30
 
Reks30 schrieb:
Außerdem: kann ich den neuen Fingerprint meinen System selber irgendwie beibringen?
Zum Vergrößern anklicken....

Ja, siehe pf.os(5) sowie das p0f-Paket (security/p0f im Portstree). Ggf. kannst Du dann auch Deine gefundenen Fingerprints mit denen, die schon in der p0f-Datenbank enthalten sind, abgleichen und das ganze dann erstmal in Ruhe testen.
 
OK, habe es geschafft. Wer wissen will wie der Eintrag aussieht:
Code: 
65535:64:1:64:M*,N,W1,N,N,T,S:  FreeBSD:6.1::FreeBSD 6.1 (1)
65535:64:1:64:M*,N,W0,N,N,T,S:  FreeBSD:6.1::FreeBSD 6.1 (2)

Mit der WSCALE Option ist anscheinend tatsächlich beides möglich W0 und W1. Gerade dieser Punkt hat mich viel Zeit gekostet, da mir ein tcpdump W1 gesagt hat es aber damit nicht ging bis ich dies gefunden habe:

http://lists.freebsd.org/pipermail/freebsd-questions/2006-September/131893.html

Der erste Eintrag deckte sich mit dem was ich aus meinem tcpdump ermittelt habe.

Nach obiger Url gilt wohl das gleiche für FreeBSD 6.0, das kann ich aber nicht überprüfen.

Gruß
Reks30
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben