85484

Fingerprinting: Betriebssysteme identifizieren

08.06.2010 | 09:43 Uhr | Hans-Christian Dirscherl

In Zusammenhang mit Portscans sollte auch das OS-Fingerprinting erwähnt werden. Jedes Betriebssystem hinterlässt seinen eigenen Fingerabdruck im Internet, beispielsweise anhand der TCP/IP-Stack-Implementation. Diesen Vorgang nennt man OS-Fingerprinting. Ein Portscanner kann versuchen, anhand dieses Fingerabdrucks das Betriebssystem zu identifizieren. Da das auch die Vorgehensweise von Hackern ist, sollten Sie selbst auch einmal Ihr System daraufhin überprüfen, wie es sich nach außen hin zu erkennen gibt.

Man unterscheidet zudem zwischen aktiver und passiver Betriebssystemerkennung. Bei der aktiven wird dem gescannten Rechner quasi ein Datenpaket als Köder geschickt. Das Analyseprogramm schickt selbst Datenpakete an den zu untersuchenden Rechner. Der Zielrechner antwortet auf dieses Paket, aus der Antwort kann dann versucht werden, das System zu identifizieren. Dieses aktive Vorgehen liefert exaktere Ergebnisse, kann aber von einem Administrator auch leichter erkannt werden. Wenn Sie nur Ihr eigenes Netzwerk scannen, stellt das kein rechtliches Problem dar: Ihre eigenen Systeme dürfen Sie scannen, versuchen Sie also ruhig die aktive Methode. Bei der passiven Methode liest das Scannerprogramm nur den Traffic an den überwachten Rechner mit. Hier bleibt der Scannende zwar gut getarnt, weil er nur Pakete analysiert, die für den überwachten Host gedacht sind, dafür bekommt man aber auch weniger exakte Ergebnisse.

Ein aktiver Versuch zur Identifizierung des Betriebssystems des Zielrechners mit abgeschickten TCP-Paketen sieht beispielsweise so aus: nmap -sT -O Clientname (wenn man den Scanvorgang beschleunigen will, kann man zusätzlich mit "–p" auch noch gezielt den Port angeben, an den Nmap das Datenpaket schicken soll). Das "-O" steht für "Enable OS detection". Schutzmaßnahmen gegen Fingerprinting bestehen etwa darin, dass der Zielrechner so konfiguriert ist, dass er keine Informationen über sich preis gibt oder dass er sogar falsche Informationen sendet um den Angreifer zu verwirren.

Admins können einen Portscan unter Umständen mit Intrusion Detection Systemen erkennen. Nmap kann deshalb so konfiguriert werden, das er verborgen scannt: das nennt man dann einen Stealth-Scan. Dafür sind Rootrechte erforderlich.

Nmap und das auf der nächsten Seite erklärte Zenmap sind für die Betriebssystemerkennung nicht ohne Konkurrenz. Ähnliche Aufgaben übernimmt zum Beispiel Xprobe2. Auch p0f scannt Ports und versucht das Betriebssystem zu ermitteln.

PC-WELT Marktplatz

85484