n  порядок проверки эффективности и процедуры – например, тестирование с использованием методов, описанных в статье, как извне, так и внутри организации, и порядок пересмотра процедуры;

n  ответственность сотрудников – например, хранителя архивов эталонного программного обеспечения, за неразглашение информации, администраторов – за своевременность мероприятий.

Помимо этого в инструкции по организации безопасности серверов и компьютерной сети необходимо внести соответствующие пункты о защите от сетевой разведки.

Практическая реализация на уровне сети

Грамотная топология сети – это самая эффективная контрмера удаленному исследованию систем.

Первая возможная мера – фильтрация трафика с использованием межсетевого экрана. Лучше всего оставить открытым доступ только к одному порту публичного сервиса, фильтровать нестандартные сетевые запросы, icmp-трафик. Используя межсетевой экран, можно подменять часть трафика на уровне приложений. Возможна замена приветственных баннеров и ответов при ошибке на универсальные и отражающие корпоративную политику в целом. Это будет альтернативой изменению настроек на каждом сервере.

Выделение демилитаризованной зоны, четкое разделение внутренних и внешних сервисов – эти механизмы помимо своих основных задач увеличивают защищенность от fingerprinting.

Размещение двух публичных сервисов на одном сервере приводит к резкому повышению вероятности определения версии системы. Если по каким-то причинам невозможно от этого отказаться, тогда можно разместить сервисы в различных виртуальных машинах (jail) или с помощью настройки NAT межсетевого экрана связать один внутренний IP-адрес c несколькими внешними IP-адресами, по одному на каждый сервис. Тогда внешнему исследователю будет казаться, что приложения запущены на разных серверах.

Сегментация трафика, активный поиск слушающих устройств, рассылка ложных пакетов (с поддельными заголовками) в локальной сети уменьшают опасность пассивного fingerprinting.

Приведу несколько примеров части конфигурации различных межсетевых экранов, которая поможет реализовать защиту от fingerprinting.

Пример 1. Конфигурация межсетевого экрана IPFW (для ОС семейства *BSD)

# Отбрасываем пакеты с нестандартными IP-опциями

/sbin/ipfw add deny log all from any to 195.195.195.1 in via xl0 ipoptions ssrr

/sbin/ipfw add deny log all from any to 195.195.195.1 in via xl0 ipoptions lsrr

/sbin/ipfw add deny log all from any to 195.195.195.1 in via xl0 ipoptions rr

# Запрещаем пакеты с Timestampf

#/sbin/ipfw add deny log all from any to 195.195.195.1 in via xl0 ipoptions ts

# Запрещаем пакеты с некорректными TCP-флагами.

# NULL-пакеты – второй тест nmap

/sbin/ipfw add deny log tcp from any to 195.195.195.1 in via xl0 tcpflags !syn,!ack,!rst

# XMAS-пакеты – третий тест nmap

/sbin/ipfw add deny log tcp from any to 195.195.195.1 in via xl0 tcpflags syn,fin,urg,psh,!ack

/sbin/ipfw add deny log tcp from any to 195.195.195.1 in via xl0 tcpflags syn,fin,!ack,

# Седьмой тест nmap

/sbin/ipfw add deny log tcp from any to 195.195.195.1 in via xl0 tcpflags fin,urg,psh,!ack

/sbin/ipfw add deny log tcp from any to 195.195.195.1 in via xl0 tcpflags fin,!ack