Influance du tcp_timestamps
J'installe une RedHat chez un client...
je fais un petit nmap rien que sur un port ouvert..
yannick@yop:~$ sudo nmap -O 10.10.10.10 -p22
Starting nmap 3.75 ( http://www.insecure.org/nmap/ ) at 2005-05-26 17:32 CEST
Warning: OS detection will be MUCH less reliable because we did not find at least 1 open and 1 closed TCP port
Interesting ports on 10.10.10.10:
PORT STATE SERVICE
22/tcp open ssh
Device type: general purpose
Running: Linux 2.4.X
OS details: Linux 2.4.6 - 2.4.21
Uptime 0.097 days (since Thu May 26 15:12:15 2005)
Nmap run completed -- 1 IP address (1 host up) scanned in 2.409 seconds
normal, il voit un linux 2.4... mais aussi l'uptime..
Je lance donc sur ma RedHat 2.4.21-27.0.2.ELsmp la commande:
sysctl -w net.ipv4.tcp_timestamps=0
pour ne plus l'avoir...
(pour permanent a mettre dans le fichier fichier /etc/sysctl.conf)
je relance le même nmap...
yannick@yop:~$ sudo nmap -O 10.10.10.10 -p22 Starting nmap 3.75 ( http://www.insecure.org/nmap/ ) at 2005-05-26 17:38 CEST
Warning: OS detection will be MUCH less reliable because we did not find at least 1 open and 1 closed TCP port
Interesting ports on 10.10.10.10:
PORT STATE SERVICE
22/tcp open ssh
Device type: firewall
Running: Checkpoint Windows NT/2K/XP
OS details: Checkpoint SecurePlatform NG FP3
Nmap run completed -- 1 IP address (1 host up) scanned in 2.412 seconds
Bon..on a plus l'uptime, ce que je voulais... mais maintenant il pense à un CheckPoint... (SecurePlatform est basé sur une RedHat "hardened" je crois... ils ont du mettre cette valeur à 0 "de série" ce qui explique la valeur "OS detail" trouvée par nmap..)
Par contre le SecurePlatform RedHat qui fait tourner un CheckPoint Windows est assez original...
On peut également a travers /etc/sysctl.conf modifier un grand nombre d'autres paramètres IP (Icmp Redirect etc..)