Habran notado, que ademas de iptables, hay parametros de kernel que se suelen configurar en lo que es el kernel mismo, bien se puede hacer por terminal o se puede cargar en /etc/sysctl.conf.
Muchas distro, no traen TODO lo que el sysctl nos puede dar, basicamente, porque son muchas las opciones y como viven updateando el kernel, cambia, ergo, antes que meter la pata... ponen lo que seguro va en todos.
Hay parametros conocidos como el de usar menos swap, si tenes un sistema con 4gb de ram por ej, o si notas que no usa nunca la swap, podes poner en rc.local esto:
sysctl -w vm.swappiness=5
O bien 0, si tenes un sistema con 8g de ram.
Pero hay parametro mas interesantes, como los de red, y aca es donde les doy algunos, y el resto, los pueden leer de su kernel, por ej:
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
Anula que el host responda el ping
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
Ignora los broadcasts
echo 1 > /proc/sys/net/ipv4/conf/eth0/rp_filter
Anular el posible spoof
echo 0 > /proc/sys/net/ipv4/tcp_timestamps
No dar informacion del uptime al atacante... (nmap)
Y asi sigue la lista, incluso, engañar la deteccion de OS, como?, este es un tip, hay mas, Windows usa un TTL de 128, Linux de 64, Unix de 255, lo mismo Solaris.
Si cambiamos el ttl a 128, y algunas cosas mas, el nmap se confunde y no sabe que poner, ademas, mostrara una salida de ttl 128, lo cual puede ser un Windows.
echo 128 /proc/sys/net/ipv4/ip_default_ttl
Hay mas tecnicas de evasion de OS fingerprint.
Todo lo referido a IP, lo pueden leer de /usr/src/tukernel/Documentation/networking/ip-sysctl.txt
Con el comando less lo pueden leer tranquilos y googlear si algo escapa a sus conocimientos o su ingles.
No hay comentarios:
Publicar un comentario