Fałszujemy rozpoznania skanerów #1

Fałszujemy rozpoznania skanerów #1

29/12/2015 w Bezpieczeństwo, Pen Test Brak komentarzy.  (artykuł nr 492, ilość słów: 356)

I

stnieje wiele poradników, instrukcji i tutoriali, jak korzystać z skanerów bezpieczeństwa, które pozwalają na szybkie zweryfikowanie pentesterom zewnętrznego bezpieczeństwa serwerów. Najbardziej znanym jest chyba nmap. Decydując się na tego typu automat należy pamiętać, że to są tylko automaty, a wyniki ich pracy powstają tylko i wyłącznie na interpretacji surowych danych przychodzących po wyzwoleniu określonej akcji. Narzędzia tego typu nie myślą. Spodziewają się pewnych zachowań od systemów i na ich podstawie tworzą jakieś założenia. Jeśli sobie tego nie uświadomimy bardzo szybko możemy nabrać się na fałszywe alarmy oraz utratę cennego czasu przy opracowywaniu raportu bezpieczeństwa.

Pierwszym przykładem będzie prosta sztuczka opierająca się na mechanizmie TCP – potrójnego „uścisku dłoni”. Odpowiadając pakietami SYN/ACK na każdy pakiet SYN możemy stworzyć wrażenie, że wybrane porty na serwerze dla automatu skanującego okażą się otwarte i prawdopodobnie nasłuchuje na nich wybrana usługa. Na serwerze „duchu” wklepujemy następujące regułki iptables:

1
2
3
4
5
# apt-get install xtables-addons-dkms
# modprobe xt_TARPIT
# iptables -A INPUT -p tcp -m tcp --dport 21 -j TARPIT
# iptables -A INPUT -p tcp -m tcp --dport 22 -j TARPIT
# iptables -A INPUT -p tcp -m tcp --dport 23 -j TARPIT

Spójrzmy, jakie rzeczywiście usługi nasłuchują na serwerze:

agresor@darkstar:~# ss -t4l
State       Recv-Q Send-Q     Local Address:Port     Peer Address:Port
agresor@darkstar:~#

Żadne. Jak widzi to skaner?

agresor@stardust:~# nmap -sS darkstar.lan

Starting Nmap 6.40 ( http://nmap.org ) at 2015-12-29 22:05 CET
Nmap scan report for darkstar.lan (192.168.1.2)
Host is up (0.00010s latency).
Other addresses for darkstar.lan (not scanned): 192.168.1.2
Not shown: 997 closed ports
PORT   STATE SERVICE
21/tcp open  ftp
22/tcp open  ssh
23/tcp open  telnet

Nmap done: 1 IP address (1 host up) scanned in 35.13 seconds

Trochę inaczej. Istnieje jednak sposób, aby rozpoznać takie fałszywe odpowiedzi wprowadzające w błąd skaner, ponieważ odpowiedzi z modułu TARPIT nigdy nie ustawiają pola MSS (Maximum Segment Size), co odróżnia je od normalnej komunikacji TCP. Pułapki tego typu są również z sukcesem stosowane do wprowadzania w błąd różnego rodzaju szkodliwego oprogramowania, czy ataków DoS

 

 

source: https://nfsec.pl/security/5769

Attachments
There are no attachments for this article.
Related Articles RSS Feed
20 Practical Examples of RPM Commands in Linux rpm
Viewed 8265 times since Mon, Feb 18, 2019
10 Linux rsync Examples to Exclude Files/Directories
Viewed 11171 times since Wed, Oct 31, 2018
OpenSSL: Check If Private Key Matches SSL Certificate & CSR
Viewed 3400 times since Mon, Feb 18, 2019
LVM: Reduce an existing Logical Volume / Filesystem
Viewed 3778 times since Sat, Jun 2, 2018
RHEL: Route network packets to go out via the same interface they came in
Viewed 3360 times since Sat, Jun 2, 2018
CentOS / RHEL : Configure yum automatic updates with yum-cron service
Viewed 3715 times since Fri, Oct 26, 2018
LVM: Extend an existing Logical Volume / Filesystem
Viewed 2741 times since Sat, Jun 2, 2018
A Quick and Practical Reference for tcpdump
Viewed 12726 times since Fri, Jul 27, 2018
Enabling or disabling a repository using Red Hat Subscription Management
Viewed 11279 times since Mon, Oct 29, 2018
Fedora 32: Simple Local File-Sharing with Samba CIFS Linux
Viewed 9062 times since Sun, Dec 6, 2020