Iptables screening masquerading os

Cuando intentas protegerte contra posibles ataques a través del firewall de iptables, me viene a la cabeza la técnica conocida como seguridad por oscuridad. Consiste en no dar más información de la necesaria al atacante, e intentar enmascarar cualquier tipo de información que se muestre, ya sea de una aplicación que ofrece un servicio a través de internet o de una intranet, ya sea a nivel de sistema operativo.

Seguramente ya conozcáis de qué voy a hablar a continuación, y es de que con una simple prueba de ping, puedes obtener información de un sistema remoto en base a su ttl. En el siguiente enlace http://noahdavids.org/self_published/TTL_values.html podréis ver a qué me refiero.

Cada sistema operativo de los descritos posee un valor que si no se cambia a nivel de sistema (pila tcp/ip) o instalar módulos de iptables como osf,  o a través de iptables, con herramientas como nmap, nessus o similares es posible que vean el sistema que corre en una determinada plataforma. Quise ver  si a nivel de iptables, podemos enmascarar el sistema que administramos de tal manera que no tengamos que modificar nada a nivel de sistema ni añadir módulos al kernel de linux.

Viendo que la tabla mangle de iptables se utiliza para la modificación de paquetes. En este caso nos interesa modificar los paquetes que salen de nuestra máquina, siendo el TTL lo que pretendemos modificar, por lo que deberíamos aplicar una regla como la siguiente:

iptables -t mangle -I OUTPUT -j TTL –ttl-set 200

Esto puede ayudarnos a prevenir exploits como los que hacen referencia en este artículo, que detectan el sistema operativo y en función de este, lanzan el troyano apropiado para ese sistema: http://www.theregister.co.uk/2012/07/11/multi_platform_backdoor/. De esta manera se engaña al exploit

 

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s