# Включаем анализатор протоколов приложений. Какие точно правила фильтрации использует PIX, не ясно. Но тот факт,

# что реально клиент устанавливает соединение не с сервером приложений, а с PIX затрудняет fingerprinting

fuxup protocol ftp 21

fixup protocol smtp 25

# Для фильтрации нестандартных или неправильных TCP/IP-пакетов PIX использует встроенную IDS

# с фиксированным набором сигнатур

ip audit name fingeraudit atack action alarm drop

ip audit name fingeraudit info action alarm drop

# Выберем только те сигнатуры, которые имеют отношение к fingerprinting

# Нужные нам сигнатуры:

#       ID    Название                    Тип

400000  1000  IP options-Bad option list  Informational

400002  1002  IP options-Timestamp        Informational

400007  1100  IP Fragment Attack          Attack

400008  1101  IP Unknown IP Protocol      Attack

        1102  Impossible IP Packet        Attack

400009  1103  IP Fragments Overlap        Attack

400023  2150  Fragmented ICMP Traffic      Attack

400026  3040  TCP NULL flags               Attack

400027  3041  TCP SYN+FIN flags            Attack

400028  3042  TCP FIN only flags           Attack

# Остальные сигнатуры можно исключить из политики

no ip audit name fingeraudit signature sigN

ip audit interface outside fingeraudit

Остальные межсетевые экраны можно сконфигурировать соответствующим образом.

Практическая реализация на уровне системы

В зависимости от выбранной стратегии, возможно скрыть часть параметров системы, усложнив тем самым вероятность обнаружения версии системы, или изменить некоторые параметры системы так, чтобы ввести атакующего в заблуждение. В различных публичных сервисах необходимо изменить их демаскирующие признаки.

Изменение параметров стека TCP/IP операционных систем

Так, в Windows мы можем менять следующие параметры стека TCP/IP в разделах реестра HKEY_LOCAL_MACHINESYSTEMCurrent ControlSetServicesTcpipParameters и HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServi-cesTcpipParametersInterfacesID of Adapter: