Этого вполне достаточно, чтобы легко распознать эти системы. Кроме этого можно проводить исследования:

n  значения поля ACK в TCP-заголовке в ответах на нестандартные запросы;

n  закона изменения ISN сервера;

n  флага DontFragment в IP-заголовке;

n  ICMP-заголовка эхо-ответа;

n  время отсылки повторных пакетов в реализации TCP;

n  модели протокола TCP (TCP-reno, TCP-Vegas, TCP-Tahoe, TCP-newreno, TCP-SACK), которые по-разному реагируют на ухудшение пропускной способности канала, появление частых ошибок и пропадание связи.

Fingerprinting публичных сервисов

Большинство публичных сервисов или служб используют достаточно сложные протоколы, которые подвержены снятию отпечатков (SMTP, IMAP, Telnet, FTP, HTTP, LPD, IKE, SNMP). Отправка большого количества нестандартных или неправильных команд позволяет определить как версию публичного сервиса на сервере, так и операционную систему. Подробности об активном fingerprinting вы можете найти в  [1, 2].

Пассивное исследование реализаций протоколов

Это анализ проходящего через систему сетевого трафика с выделением некоторых ключевых параметров. Этот метод, как и предыдущий, основывается на особенностях реализации протоколов в различных системах. Только вот зачастую приходится довольствоваться меньшей точностью.

Идея пассивного fingerprinting заключается в анализе информации, доступной без непосредственного воздействия на исследуемую систему. Чаще всего он применяется во внутренней сети организации, когда мы имеем непосредственный доступ к нормальному рабочему трафику. Это одно из первых действий при моделировании внутреннего нарушителя для обнаружения слабостей политики безопасности внутренней сети. Примеры пассивного fingerprinting можно посмотреть по ссылкам [3, 4, 5].

Исследование технических характеристик системы

Это анализ таких отличительных характеристик, как время работы сервера с момента последней перезагрузки, отклонение таймера системных часов, серийные номера физических частей сервера (например, MAC-адрес сервера в том же сегменте сети). Подробнее об этом: http://www.caida.org/outreach/papers/2005/fingerprinting.

Возможность исследования технических характеристик системы может быть полезна в первую очередь как косвенная улика при инцидентах безопасности.

Итак, мы разобрали, почему возможен fingerprinting операционной системы и публичных сервисов, теперь рассмотрим, как с ним бороться.

Способы защиты от fingerprinting

В идеале необходимо внедрять защиту от fingerprinting как комплексную меру как на уровне сети, операционных систем и приложений, а также и на уровне процедур безопасности. Тем не менее защита даже на одном уровне (например, настройка межсетевого экрана) принесет свои плоды и не позволит определить версию ОС или публичного сервиса первой попавшейся утилитой.

Внедрение в концепцию безопасности на верхнем уровне

В политике безопасности необходимо обозначить отношение организации к тайне программного обеспечения. Информацию о версии операционной системы, версии публичного сервиса или другого установленного на сервере программного обеспечения необходимо отнести к категории коммерческой или конфиденциальной. Необходимо изложить требования к организации процесса защиты от сетевой разведки, в каких процедурах описан этот процесс и кто ответственен за реализацию процедур, какая предусмотрена отчетность.

Внедрение в процедуры и инструкции на нижнем уровне

Необходимо ввести специальную процедуру, например, защиты от сетевой разведки. В ней указываются:

n  цели, которые преследует организация, внедряя этот документ, – например, недопущение утечки информации ограниченного распространения;

n  условия, которые необходимы для выполнения целей, – например, наличие демилитаризованной зоны, фильтрация трафика, защита от НСД к архиву эталонного программного обеспечения;

n  различные профили защиты – например, публичный сервис, локальный сервис, критический сервис;

n  разделение обязанностей сотрудников – например, администратор сети отвечает за реализацию процедуры на уровне компьютерной сети, администратор серверов – за реализацию процедуры на уровне системы, администратор информационной безопасности – за контроль и оценку достаточности выполненных мероприятий;