Контрмеры: защита от определения операционной системы
Обнаружение попыток определения операционной системы
Многие из упоминавшихся выше средств выявления сканирования с успехом могут служить и для обнаружения попыток определения типа операционной системы, Впрочем они не проинформируют вас о том, что выполнялось специальное сканирование при помощи программы nmap или queso, с их помощью все-таки удастся распознать сам факт подобного особого сканирования, к примеру с установкой флага SYN.
Предупреждение попыток определения операционной системы
Очень хочется порекомендовать какое-либо средство, позволяющее противодействовать попыткам определения операционной системы, хотя, к несчастью, вынуждены констатировать, что решить эту проблему вполне трудно. Естественно, возможно изменить исходный код операционной системы (конечно, если он есть в вашем распоряжении) или поменять ее характеристики, влияющие на параметры стека, хотя такое вмешательство может существенно изменить функциональность ОС. К примеру, в системе FREEBSD 4.x есть параметр ядра TCP_DROP_SYNFIN, который возможно применить для игнорирования пакетов SYN+FIN, используемых утилитой nmap в целях исследования стека. Инсталляция этого параметра поможет пресечь попытки определения типа операционной системы, хотя в то же время нарушит поддержку RFC 1644 (TCP Extensions for Transactions). Вместо этого мы предлагаем делать подобные сети, в которых сканированию имели возможность бы подвергнуться только надежные и неплохо защищенные proxy-серверы и брандмауэры, а не компьютеры внутренней сети. В этом случае, даже если взломщику и удастся разведать тип операционной системы какого-либо узла, проникновение ч/з устройства защиты будет существенно затруднено.
Пассивное определение операционной системы
Из прошлых разделов видно, насколько эффективными оказываются средства активного исследования стека, подобные как программы nmap и queso. Важно помнить о том, что рассмотренные выше приемы являются активными по собственной природе. При этом для определения особенных особенностей сетевого стека и применяемой операционной системы каждому узлу необходимо передавать тестовые пакеты. Так как все активные методы предполагают передачу пакетов, системам выявления вторжений сравнительно просто выявить все предпринимаемые попытки идентификации операционной системы. По-другому говоря, активное исследование является отнюдь не наиболее скрытым методом, к которому может прибегнуть хакер.