[#]

iptables 1.4.6 с поддержкой критерия OS Fingerprinting

Вышел релиз iptables 1.4.6 — интерфейса к Linux-фаерволу netfilter.

Основным новшеством данного релиза является поддержка критерия osf (passive OS fingerprinting), аналогичного критерию os OpenBSD-фаервола pf. Оба этих критерия позволяют по TCP SYN-пакету определить семейство и, в некоторых случаях, даже примерную версию операционной системы, отправившей этот пакет. Детекция производится на основании анализа ряда характеристик пакета, таких как размер TCP-окна, максимальный размер сегмента (MSS), опции TCP, бит DF и т.п. Совокупность значений этих параметров, позволяющая однозначно идентифицировать систему-отправителя, называет сигнатурой. Существующий на настоящий момент список сигнатур, сопровождаемый сообществом OpenBSD, весьма обширен.

Пример использования:

 
iptables -I INPUT -p tcp -m osf --genre Windows --ttl 2 -j DROP

позволит заблокировать соединения, инициируемые операционными системами семейства Windows (опция --ttl 2 предписывает не учитывать TTL при детекции).

Критерий osf был реализован Евгением Поляковым (разработчиком POHMELFS и автором порта CARP под Linux) еще в 2003 году. Однако соответствующий модуль netfilter был принят в ядро лишь в июне текущего года, а интерфейс к нему на уровне iptables появился только сейчас.

Заметим, что для использования данного критерия необходима утилита nfnl_osf, обеспечивающая подгрузку базы сигнатур для модуля детекции через интерфейс nfnetlink. Будем надеяться, что мейнтейнеры соответствующих пакетов в наших любимых дистрибутивах вскоре обратят свое внимание на эту проблему. Пока же самые нетерпеливые могут собрать эту утилиту по старинке, через make bin (для сборки нужны заголовки библиотеки nfnetlink).

Среди других изменений в данном релизе iptables можно отметить поддержку ядра 2.6.32, исправление ряда мелких проблем в отдельных модулях (xt_iprange, xt_conntrack), поправки в man-страницах.

>>> ChangeLog.

Метки: iptables, linux, netfilter, openbsd, osf, pf, безопасность

nnz

(10.12.2009 5:08:00)
Проверено: maxcom (10.12.2009 9:04:06)

←	Вышел релиз sphinx 0.9.9 (OpenSource)

Второй конкурс для разработчиков Pocketbook (PDA)

→

сообщения отсортированы в порядке возрастания даты их написания

[страница ← 1 2 3 →]

[#]

Теперь можно будет закрывать доступ "меньшинству" на уровне провайдеров?

Igron

(10.12.2009 9:12:56)

[#] Ответ на: комментарий от Igron 10.12.2009 9:12:56

> Теперь можно будет закрывать доступ "меньшинству" на уровне провайдеров?

Нет, теперь наконец-то можно будет адекватно оценить количество "меньшинства", что не удалось сделать counter.li.org

annulen (10.12.2009 9:19:03)

[#]

iptables -I INPUT -p tcp -m osf --genre Windows --ttl 2 -j DROP

Это точно ОН!

ratatosk

(10.12.2009 9:22:03)

[#]

>iptables -I INPUT -p tcp -m osf --genre Windows --ttl 2 -j DROP
Тонко. :-)

Ramen

(10.12.2009 9:28:23)

[#] Ответ на: комментарий от Ramen 10.12.2009 9:28:23

теперь переводить пользователей на линукс будет в 9000 раз проще :)

d1337r (10.12.2009 9:43:48)

[#]

Пример использования мегазачётный :-))

Dimez

(10.12.2009 9:51:00)

[#]

>iptables -I INPUT -p tcp -m osf --genre Windows --ttl 2 -j DROP

пострадают многие видные бздунишки

registrant

(10.12.2009 9:51:16)

[#] Ответ на: комментарий от registrant 10.12.2009 9:51:16

это уже было в патч оф матик для йпи таблс

anonymous (10.12.2009 9:55:44)

[#]

Судя по этому:

http://www.openbsd.org/cgi-bin/cvsweb/src/etc/pf.os?rev=1.22;content-type=tex...

Ничего не получится, ну заблокируются хп-шки и 2003, а дальше окажется что вредят-то вистоводы :)

Вообще сигнатуры можно переделывать с рядом тулоз и еще в добавок генерировать.

gh0stwizard

(10.12.2009 10:10:20)

[#]

> iptables -I INPUT -p tcp -m osf --genre Windows --ttl 2 -j DROP

Ъ :)

YAR

(10.12.2009 10:17:40)

[#]

впереди планеты всей

lol'd hardly linux настолько продвинутый и быстрый, что наконец-то реализует функционал, имеющийся в бзде уже много лет. Более того, всего 6 лет понадобилось, чтобы принять нужные правки в ядро Нет предела совершенству!

anonymous (10.12.2009 10:18:52)

[#] Ответ на: комментарий от gh0stwizard 10.12.2009 10:10:20

> Вообще сигнатуры можно переделывать с рядом тулоз и еще в добавок генерировать.
Кхм, поясните, что именно должно было этим быть сказано?
То, что можно перекрутить параметры в пакетах и отпечаток уже будет другой итак понятно.

Lumi

(10.12.2009 10:21:00)

[#] Ответ на: впереди планеты всей от anonymous 10.12.2009 10:18:52

В виде набора патчей это было уже ой как давно. Кому было нужно, тем не составляло труда это использовать.

Lumi

(10.12.2009 10:22:50)

[#]

Ах..енно!!!!

anonymous (10.12.2009 10:23:20)

[#] Ответ на: комментарий от Lumi 10.12.2009 10:21:00

>Кхм, поясните, что именно должно было этим быть сказано?

Этим должно быть сказано, что идея хоть и хорошая, как и реализация, за что спасибо автору. Однако применения шибкого я этому не вижу. Можно, правда, всем виндузятником в сети ограничить скорость по этому параметру до 56Кб/с =))

gh0stwizard

(10.12.2009 10:32:17)

[#] Ответ на: комментарий от gh0stwizard 10.12.2009 10:32:17

нэ. зарезать виндузятникам порно, а для линускоидов оставить (мотивировав тем, что там вирусы). вот истинный план захвата мира!

anonymous (10.12.2009 10:34:00)

[#]

О! Теперь можно будет мух от котлет отделять )))

Alesh (10.12.2009 10:36:53)

[#]

Да, да!!! Макс, апгрейдимся!!! Я сам пересоберу для тебя ядро и iptables, и даже заверну в RPM!!! :-)

no-dashi

(10.12.2009 10:47:52)

[#]

Круто, чесно :)

lester_dev

(10.12.2009 10:54:52)

[#]

В реале все наоборот может получиться, средствами Linux блокируют доступ не Windows-машин.

praseodim (10.12.2009 10:54:57)

[#]

/me добавил эту фичу в ТЗ на систему управления трафиком.

ei-grad

(10.12.2009 10:57:56)

[#]

Не прошло и десяти лет...

anonymous (10.12.2009 10:59:27)

[#]

Здорово, я только вчера правда прикрутил блокировку windows машин по http_user_agent к nginx

ArtemZ (10.12.2009 11:02:42)

[#]

Единственное плохо, что теперь смогут nmap зарезать сразу.

dikiy

(10.12.2009 11:09:09)

[#] Ответ на: комментарий от gh0stwizard 10.12.2009 10:32:17

> Можно, правда, всем виндузятником в сети ограничить скорость по этому параметру до 56Кб/с =))

Чем инициировать массовую переустановку "окон" и как следствие - выделение большого количества тепла :) (шутка)

anTaRes (10.12.2009 11:14:08)

[#]

замечательно, теперь разрешат публиковать новости и скриншоты ЛОРа только с систем Linux/Mac/BSD ;))))

los_nikos

(10.12.2009 11:15:45)

[#] Ответ на: комментарий от gh0stwizard 10.12.2009 10:32:17

> Однако применения шибкого я этому не вижу.

Теперь усовершенствовать антивирусную защиту можно не только приказом по предприятию "Доступ в сеть интернет разрешается осуществлять только из UNIX-подобных операционных систем", но и подкрепить эту инструкцию техническими методами.

VladimirP

(10.12.2009 11:24:38)

[#] Ответ на: комментарий от ArtemZ 10.12.2009 11:02:42

Отлично, Артем! Следующим шагом продвижения вашего мегахостинга в ~~био~~массы станет ввод сфинктер-зондов клиентам?

shutty (10.12.2009 11:45:47)

[#]

Да, не прошло и десяти лет, как это теперь к люнеху прикрутили по дефолту :)

wilkomen-to-lor (10.12.2009 11:51:05)

[#] Ответ на: комментарий от anonymous 10.12.2009 10:34:00

вам нужны задроты^Wдрочеры?

wilkomen-to-lor (10.12.2009 11:53:54)

[#] Ответ на: комментарий от registrant 10.12.2009 9:51:16

наши потери не сравнятся с потерями люнехоидов

wilkomen-to-lor (10.12.2009 11:55:08)

[#] Ответ на: комментарий от dikiy 10.12.2009 11:09:09

> Единственное плохо, что теперь смогут nmap зарезать сразу.

Тогда в него добавят фичу притворяться заданной ОС. Если еще не.

praseodim (10.12.2009 11:56:47)

[#]

свисты и семерки разве нет нет в списке? тогда НЕ НУЖНО, можете закапывать!

wilkomen-to-lor (10.12.2009 11:58:53)

[#]

>>iptables -I INPUT -p tcp -m osf --genre Windows --ttl 2 -j DROP >Тонко. :-)

> теперь переводить пользователей на линукс будет в 9000 раз проще :)

> Пример использования мегазачётный :-))

>> iptables -I INPUT -p tcp -m osf --genre Windows --ttl 2 -j DROP >Ъ :)

> Можно, правда, всем виндузятником в сети ограничить скорость по этому параметру до 56Кб/с =))

> нэ. зарезать виндузятникам порно, а для линускоидов оставить (мотивировав тем, что там вирусы). вот истинный план захвата мира!

> О! Теперь можно будет мух от котлет отделять )))

> Здорово, я только вчера правда прикрутил блокировку windows машин по http_user_agent к nginx

Шикарно. ЛОР во всей красе. Отписалось толпа ололокающего школия. Кроме меленьких пакостей ничего в голову не пришло. Ну да, дверной звонок нужен для того, чтобы позвонить и гыгыкая убежать.

m00n (10.12.2009 12:00:44)

[#]

Кстати, я что-то не понимаю... я нечасто сюда заглядываю, но откуда столько идиотов с масками?

m00n (10.12.2009 12:03:43)

[#]

maxcom добавь эту волшебную строку iptables -I INPUT -p tcp -m osf --genre Windows --ttl 2 -j DROP на сервере linux.org.ru

aspel (10.12.2009 12:07:08)

[#] Ответ на: комментарий от m00n 10.12.2009 12:03:43

это матёрые вендузятнички, привыкшие жить с антивирусом на компе и вот теперь люто, бешено боящиеся заразиться свинным грипом по сети в своей windows7 ;)

wilkomen-to-lor (10.12.2009 12:08:17)

[#] Ответ на: комментарий от aspel 10.12.2009 12:07:08

ты так решил вылечиться от ЛОР-зависимости?

wilkomen-to-lor (10.12.2009 12:08:44)

[#]

*погладил шлюз на опенке с пф*

велосипедисты

wlan (10.12.2009 12:11:33)

[#] Ответ на: комментарий от m00n 10.12.2009 12:00:44

советую почитать на википедии, что такое юмор. если чтение в вашей цероквно-приходской школе проходили.

anonymous (10.12.2009 12:14:59)

[#] Ответ на: комментарий от registrant 10.12.2009 9:51:16

Толстый Тролль!

anonymous (10.12.2009 12:15:23)

[#] Ответ на: комментарий от wilkomen-to-lor 10.12.2009 12:08:44

xubuntu.
З.Ы. Предлагаю ввести на лоре неделю без Windows. Всех дропать волшебной строкой.

aspel (10.12.2009 12:16:16)

[#] Ответ на: комментарий от anonymous 10.12.2009 12:14:59

церковно-приходской fixed

anonymous (10.12.2009 12:16:41)

[#] Ответ на: комментарий от anonymous 10.12.2009 12:14:59

у вас степень бакалавра или магистра клоунских наук?

wilkomen-to-lor (10.12.2009 12:16:56)

[#] Ответ на: комментарий от m00n 10.12.2009 12:03:43

> Кстати, я что-то не понимаю... я нечасто сюда заглядываю, но откуда столько идиотов с масками?

они не c масках, просто притворяются пользователями Linux

los_nikos

(10.12.2009 12:22:23)

[#] Ответ на: комментарий от aspel 10.12.2009 12:16:16

по статистике, посетителей под ИЕ больше, чем вендузовых и бздевых тролей вместе взятых => вывод - большинство так называемых лунексоидов ещё большие вендузятники

но мой мнения такая - надо блочить :)

wilkomen-to-lor (10.12.2009 12:22:56)

[#] Ответ на: комментарий от anonymous 10.12.2009 12:14:59

> советую почитать на википедии, что такое юмор. если чтение в вашей цероквно-приходской школе проходили.

Евгений Вагиныч, Вы тоже тут?

m00n (10.12.2009 12:25:18)

[#] Ответ на: комментарий от VladimirP 10.12.2009 11:24:38

>> Однако применения шибкого я этому не вижу.

>Теперь усовершенствовать антивирусную защиту можно не только приказом по предприятию "Доступ в сеть интернет разрешается осуществлять только из UNIX-подобных операционных систем", но и подкрепить эту инструкцию техническими методами.

Класс! Вполне применимо ;)

mao-tm (10.12.2009 12:27:45)

[#] Ответ на: комментарий от mao-tm 10.12.2009 12:27:45

Когда понесешь приказ на подпись не забудь прихватить заявление о рассторжении по собственному желанию, чтоб 2 раза не бегать.

m00n (10.12.2009 12:31:05)

[#]

Теперь закрывать порты на шлюзах по которым распространяются windows вирусы можно только для ос windows. Замечательно.

bigfrogg (10.12.2009 12:36:12)

[страница ← 1 2 3 →]

←	Вышел релиз sphinx 0.9.9 (OpenSource)

Новости - Linux kernel

Второй конкурс для разработчиков Pocketbook (PDA)

→

	Регистрация - Вход Имя: Пароль:
	Новости - Галерея - Форум - Трекер - Wiki - Поиск