Zabawy ze stosem, czyli Linux udaje innego Linuksa

Walczymy dalej

Następnym elementem będzie "przycięcie" zgodności z kilkoma istotnymi standardami. Zrobimy coś, co ujdzie w wolnych LAN-ach (Internet, stare Wi-Fi), ale z czym raczej nie wolno eksperymentować z sieciach lokalnych - skończy się bowiem niższymi transferami i wyższym obciążeniem procesora.

Wytnijmy mianowicie kompatybilność z RFC1323. Wyłączymy możliwość skalowania okna (tcp_window_scaling) i znaki czasowe (tcp_timestamps):

echo "0">tcp_window_scaling

echo "0">tcp_timestamps

Zniszczona kompatybilność z RFC1323 natychmiast zmienia "twarz" naszego Linuksa

Zniszczona kompatybilność z RFC1323 natychmiast zmienia "twarz" naszego Linuksa

Świetnie, wreszcie widać zmiany! NMap uznał, że ma do czynienia z Linuksem, ale tym razem w wersji 2.4.7. Być może to jeszcze nie Windows, ale już zamydliliśmy oczy naszemu cyberwłamywaczowi...

Ciężka artyleria

W ostatnim kroku przetestujemy jeszcze starą sztuczkę stosowaną przez patch grsecurity, który miał zwiększać bezpieczeństwo Linuksa:

echo "1">tcp_tw_recycle

Modyfikacja tcp_tw_recycle narobiła sporo zamieszania

Modyfikacja tcp_tw_recycle narobiła sporo zamieszania

Nasz system jeszcze bardziej zmutował, NMap dał się oszukać. Z wszystkich przetestowanych przez nas opcji ta jest jedną z najwygodniejszych - nie wpływa na szybkość pracy sieci, a pozwala na zapędzenie użytkownika NMapa w ślepą uliczkę. Jego próby ataku na dziury w kernelu 2.4.x z grsecurity spełzną bowiem na niczym.

Co? Już koniec?

Postanowiliśmy w tym miejscu przerwać naszą zabawę ze stosem. Nie udało nam się całkowicie oszukać NMapa (a już na pewno nie p0fa), ale na pewno zamydliliśmy mu oczy. Nasz Linux to przedstawiał się jako wersja 2.6.x, to 2.4.x, to 2.4-2.5 z patchem grsecurity.

Oczywiście żadne to zabezpieczenie, jeśli otworzymy porty dla starych i dziurawych usług. Modyfikacja parametrów stosu może jednak stanowić jedną z warstw zabezpieczenia - pamiętajmy o "modelu cebuli"! - która ochroni nas przed zbyt dociekliwymi cyberprzestępcami.

Z drugiej strony: gdybyśmy zbyt poważnie zmodyfikowali parametry stosu, gdyby zaczął się przedstawiać jak Windows 98, zamiast omamić włamywaczy, moglibyśmy ich dodatkowo zachęcić. A to chyba nie jest to, o co nam chodziło... Pamiętajmy: każda zmiana musi być poważnie przemyślana i nie powinna być jedynym elementem zabezpieczającym system - bo łańcuch zawsze jest tylko tak silny, jak silne jest jego najsłabsze ogniwo.