TCP OS Fingerprint abfangen

Von: , Frage gestellt am Fr, 5. Jan 2001

Hallo mal wieder!

Ich hab nochmal nen bisschen mit Test-Seiten für die Firewall experimentiert, und mir ist aufgefallen, das TCP OS Fingerprints nicht von meiner NIS2001 abgefangen werden, erst der dahintergeschaltete BlackICE registriert die Fingerprint-Versuche.
Wie funktionieren diese Fingerprints bzw. wie kann man sie mit einer "normalen" Firewall (wie NIS2001 im Gegensatz zu BlackICE) abfangen? Da die Prints irgendwie die Fehlermeldungen des Betriebssystems analysieren, muss man diese doch irgendwie abfangen können, oder? Ich hab nur kein Plan wie man das machen soll, weil das ja über die ganz normalen Kanäle läuft, die man ja auch zum Surfen braucht.
Habt ihr ne Idee?

thx,
Markus

6 Antworten zu dieser Frage

Antwort von nach 4 Stunden hilfreich

Re: TCP OS Fingerprint abfangen

Ich hab nochmal nen bisschen mit Test-Seiten für die Firewall
experimentiert, und mir ist aufgefallen, das TCP OS
Fingerprints nicht von meiner NIS2001 abgefangen werden, erst
der dahintergeschaltete BlackICE registriert die
Fingerprint-Versuche.
Na und? ;-) Wie funktionieren diese Fingerprints bzw. wie kann man sie mit
einer "normalen" Firewall (wie NIS2001
Kenn ich nicht im Gegensatz zu
BlackICE) abfangen? Da die Prints irgendwie die
Fehlermeldungen des Betriebssystems analysieren, muss man
diese doch irgendwie abfangen können, oder?
nicht wirklich fehlermeldungen, aber typische Reaktionen der Netzwerkbestandteile - TCP-Stack. ch hab nur kein
Plan wie man das machen soll, weil das ja über die ganz
normalen Kanäle läuft, die man ja auch zum Surfen braucht.
Man kann das ruhig durchlassen, entscheidend ist, daß man sonst die Sicherheit seines Systems überwacht und die Sache up-to-date hält. Alles andere sind Verrenkungen für (fast?) nichts.

Sebastian

Antwort von nach 5 Stunden hilfreich

Re^2: TCP OS Fingerprint abfangen

hallo! Man kann das ruhig durchlassen, entscheidend ist, daß man
sonst die Sicherheit seines Systems überwacht und die Sache
up-to-date hält. Alles andere sind Verrenkungen für (fast?)
nichts.
das seh ich nicht so, ich halte es für sicherer, wenn eventuelle eindringlinge so wenig wie möglich über den zielrechner in erfahrung bringen können, denn kein hacker kann in eine maschine einbrechen von der er nichtmal weiss das sie existiert bzw welche betriebssystem / software auf dem rechner laufen.
ist zwar kein aktives sicherheitsproblem, aber ein blocken der fingerprints kann zumindest eine weitere hürde für eventuelle eindringlinge darstellen, wenn sie nicht wissen mit was für einem rechner sie es zu tun haben.

markus
- Antwort von nach 5 Stunden hilfreich
  
  Re^3: TCP OS Fingerprint abfangen
  
  [...] das seh ich nicht so, ich halte es für sicherer, wenn
  eventuelle eindringlinge so wenig wie möglich über den
  zielrechner in erfahrung bringen können, denn kein hacker kann
  in eine maschine einbrechen von der er nichtmal weiss das sie
  existiert bzw welche betriebssystem / software auf dem rechner
  laufen.
  ist zwar kein aktives sicherheitsproblem, aber ein blocken der
  fingerprints kann zumindest eine weitere hürde für eventuelle
  eindringlinge darstellen, wenn sie nicht wissen mit was für
  einem rechner sie es zu tun haben.
  Wenn Du so extrem wertvolle Daten auf dem Rechner hast, dann gibt es nur eine Lösung: Netzwerkkabel rausziehen und nie wieder reinstecken.
  
  Gruss
  
  Jens
  - Antwort von nach 5 Stunden hilfreich
    
    Re^4: TCP OS Fingerprint abfangen
    
    Wenn Du so extrem wertvolle Daten auf dem Rechner hast, dann
    gibt es nur eine Lösung: Netzwerkkabel rausziehen und nie
    wieder reinstecken.
    
    Gruss
    
    Jens
    hallo!
    so war es nicht gemeint, mein rechner ist auch nicht wertvoll genug um sich da wer weiss was (:-)) für einen aufwand mit zu machen. ist nur so eine art privater wettbewerb gegen die testseiten (und einen hackerfreund).
    ausserdem interessiert mich it-sicherheit ziemlich und ich hab es halt lieber wenn die testseite sagt: kein einziger angriffsversuch hat resultate gebracht, als wenn ne meldung kommt, das nen satz ungültiger tcp-pakete meinen rechner dazu bringt sein betriebssystem zu offenbaren.
    
    wenn man die fingerprints nicht ohne weiteres rausfiltern kann ist das auch kein weltuntergang, mich würd nur halt interessieren wie man sowas macht und was man dagegen tun kann.
    
    markus
    - Antwort von nach 11 Stunden 2 hilfreich
      
      Re^5: TCP OS Fingerprint abfangen
      
      [...] ausserdem interessiert mich it-sicherheit ziemlich und ich hab
      es halt lieber wenn die testseite sagt: kein einziger
      angriffsversuch hat resultate gebracht, als wenn ne meldung
      kommt, das nen satz ungültiger tcp-pakete meinen rechner dazu
      bringt sein betriebssystem zu offenbaren.
      Das ist wie gesagt nicht besonders einfach, wenn man nebenbei auch noch sinnvoll im Internet arbeiten will. Die sog. "Fingerprints" sind nur bestimmte Reaktionen auf bestimmte -- durchaus normale -- Anfragen.
      
      Einen guten einführenden Artikel findest Du unter
      
      http://www.insecure.org/nmap/nmap-fingerprinting-art...
      
      Dort findest Du auch eine deutsche Übersetzung, sollte Dich das englische stören.
      
      Gruss
      
      Jens
- Antwort von nach 20 Stunden hilfreich
  
  Re^3: TCP OS Fingerprint abfangen
  
  hallo! Man kann das ruhig durchlassen, entscheidend ist, daß man
  sonst die Sicherheit seines Systems überwacht und die Sache
  up-to-date hält. Alles andere sind Verrenkungen für (fast?)
  nichts.
  das seh ich nicht so, ich halte es für sicherer, wenn
  eventuelle eindringlinge so wenig wie möglich über den
  zielrechner in erfahrung bringen können, denn kein hacker kann
  in eine maschine einbrechen von der er nichtmal weiss das sie
  existiert bzw welche betriebssystem / software auf dem rechner
  laufen.
  securitty through obscuryty? Keine gute Idee. Schadet nicht aber ist letzlichsinnlos verpulverte Energie.
  
  Sebastian

Keine passende Antwort gefunden? Jetzt eigene Frage stellen!