23 abr 2011

Sysctl.conf

Habran notado, que ademas de iptables, hay parametros de kernel que se suelen configurar en lo que es el kernel mismo, bien se puede hacer por terminal o se puede cargar en /etc/sysctl.conf.
Muchas distro, no traen TODO lo que el sysctl nos puede dar, basicamente, porque son muchas las opciones y como viven updateando el kernel, cambia, ergo, antes que meter la pata... ponen lo que seguro va en todos.
Hay parametros conocidos como el de usar menos swap, si tenes un sistema con 4gb de ram por ej, o si notas que no usa nunca la swap, podes poner en rc.local esto:

sysctl -w vm.swappiness=5

O bien 0, si tenes un sistema con 8g de ram.

Pero hay parametro mas interesantes, como los de red, y aca es donde les doy algunos, y el resto, los pueden leer de su kernel, por ej:

echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all

Anula que el host responda el ping

echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts

Ignora los broadcasts

echo 1 > /proc/sys/net/ipv4/conf/eth0/rp_filter

Anular el posible spoof

echo 0 > /proc/sys/net/ipv4/tcp_timestamps

No dar informacion del uptime al atacante... (nmap)

Y asi sigue la lista, incluso, engañar la deteccion de OS, como?, este es un tip, hay mas, Windows usa un TTL de 128, Linux de 64, Unix de 255, lo mismo Solaris.
Si cambiamos el ttl a 128, y algunas cosas mas, el nmap se confunde y no sabe que poner, ademas, mostrara una salida de ttl 128, lo cual puede ser un Windows.

echo 128 /proc/sys/net/ipv4/ip_default_ttl

Hay mas tecnicas de evasion de OS fingerprint.

Todo lo referido a IP, lo pueden leer de /usr/src/tukernel/Documentation/networking/ip-sysctl.txt

Con el comando less lo pueden leer tranquilos y googlear si algo escapa a sus conocimientos o su ingles.

No hay comentarios: