Escondendo banners de serviços

cmarcelo

Neste artigo aprenderemos a esconder a versão de alguns serviços que rodam em nosso servidor Linux. Isso irá dificultar a vida dos invasores, que não terão acesso a tais informações e conseqüentemente terão maiores dificuldades em suas tentativas de invasão.

[ Hits: 45.880 ]

Por: Carlos Marcelo Morgado Rêgo em 06/05/2004

2 0

Denuncie Favoritos Indicar Impressora

Testando e finalizando

Após essas pequenas alterações vamos novamente rodar o NMAP:

# nmap -A tentando.invadir.com.br -P0
Starting nmap 3.50 ( http://www.insecure.org/nmap/ ) at 2004-04-24 13:59 BRT
Interesting ports on tentando.invadir.com.br (X.X.X.X):
(The 1653 ports scanned but not shown below are in state: closed)
PORT STATE SERVICE VERSION
21/tcp open ftp
53/tcp open domain ISC Bind VOL
80/tcp open http Apache httpd
953/tcp open rndc?
Device type: general purpose
Running: Linux 2.4.X|2.5.X
OS details: Linux Kernel 2.4.0 - 2.5.20
Uptime 0.338 days (since Sat Apr 24 05:53:04 2004)

Agora as informações são mínimas e com certeza a falta de dados irá dificultar o trabalho do invasor.

A técnica de remoção de banners é relativamente simples, porém ajuda muito na prevenção de ataques. Exemplifiquei aqui em apenas três serviços, caso você queira implementá-la em outros servidores, busque informações na documentação do serviço ou no google :]

Não se esqueçam de manter sempre os servidores atualizados, as dicas passadas para vocês, obtive através da utilização do Nessus.

Página anterior Próxima página

Páginas do artigo

   1. Introdução
   2. Scaneando o servidor
   3. Removendo banners
   4. Testando e finalizando
   5. Links úteis

Outros artigos deste autor

Como instalar um servidor de Counter-Strike

Sistema de backup com rsyncd

Leitura recomendada

Instalar o Nagios 4 no Ubuntu ou Debian

Ferramentas de segurança - uma pequena compilação

Matriz <-> Filial com o OpenVPN

Análise Passiva: Analisando seu tráfego de maneira segura

Security Hacks: Linux & BSD

Comentários

[1] Comentário enviado por fabio em 06/05/2004 - 05:11h

Ótimo artigo, parabéns!

[]'s

0 0

[2] Comentário enviado por zlow em 09/05/2004 - 02:04h

Essa sua "tecnica" seria funcional apenas para os kidda, pois 1 daemon fingerprint poe por agua a abaixo totalmente o seu falso conceito de segurança. O que é facilmente aplicado por atacante com conhecimentos intermediarios (não precisando nem ter conhecimento avançado).
O que não falta na net hoje eh documentação sobre esse assunto..
Talvez seja funcional contra kiddes, nada mais..

0 0

[3] Comentário enviado por dinho_rock em 09/05/2004 - 12:21h

Funciona contra kiddes, mas, a maioria das pessoas que tentam invadir sao kiddes, já é meio caminho andado se livrar deles.
Outra coisa, nao adianta ficar com um serviço desatualiado com a falsa sensação de que esta escondendo o banner esta seguro, o melhor é estar sempre com os programas que falam com a internet na versão mais estável.

Só uma dica, quando rodar o nessus, é interessante deixar os banners, pois algumas regras dele é baseada na versão que aparece o banner, e escondendo ele pode não avisar que aquela versão esta insegura.

Abraços

0 0

[4] Comentário enviado por alphainfo em 11/05/2004 - 10:49h

Com certeza, já é uma iniciativa... aqui, o meu nmap não reconheceu a flag -A ... seria essa mesmo a flag??

[]'s

Daniel Freire

0 0

[5] Comentário enviado por cmarcelo em 11/05/2004 - 13:45h

Obrigado pelos comentários, desculpem por eu não ter respondido antes, pois realmente estava sem tempo;

zlow: Eu não quis com esse artigo apontar uma solução 100% eficaz contra qualquer um que tentar uma invasão, apenas demonstrei um método que irá com certeza reduzir as chances de ataques vindos de "kiddies", que são os com menores conhecimentos, pois sem saberem qual a versão do servidor como irão tentar executar algum exploit? Como a maioria dos ataques são originados por "kiddies", você irá diminuir o sucesso nas tentativas de invasões. E em relação aos ' daemon fingerprints', pelo pouco que eu sei, esses capturam a versão dos serviços através dos banners dos mesmos.

dinho_rock: Com certeza, sempre devemos manter nossos servidores na última versão estavél possivél, por isso que coloquei alguns links sobre básico em sergurança no fim do artigo.

alphainfo: Verifique a versão do seu nmap, acredito que esta opção só entrou em vigor apartir da versão 3.48, baixe as fontes (ou rpm) do site do nmap (http://www.insecure.org/nmap).

Falow..

0 0

[6] Comentário enviado por zlow em 13/05/2004 - 21:49h

"E em relação aos ' daemon fingerprints', pelo pouco que eu sei, esses capturam a versão dos serviços através dos banners dos mesmos."

Daemon fingerprint naum fazem a captura por banners, mas sim por respostas padroes do daemons. Ex: help
Realmente é funcional contra kiddes.Parabens..
Mas me corrija se eu estiver errado.
Algumas IDS aplicam seus filtros de acordo com a versão do daemon capturando a versão dos mesmos pelos banner..
Seria trocar uma nota de 100 por uma de 50 .
visto que uma IDS é mais funcional, impedindo até mesmo a ação do nmap e outros scanners "populares".

Vale lembrar que isso naum eh uma critica, mas sim uma discução para poder ter vários pontos de vistas, e podermos chegar a uma visão mais ampla sobre o conceito de segurança.

Abraços..
Diego Maranhão

0 0

[7] Comentário enviado por alphainfo em 19/05/2004 - 12:26h

Obrigado, cmarcelo....

Foi atualizar o nmap e funfou...

[]'s à todos!

0 0

[8] Comentário enviado por faroffiuts em 14/06/2006 - 20:11h

lol
muito bom esse seu artigo!! vai ser muito util pra mim.. jah tah nos favoritos :)

0 0

[9] Comentário enviado por eugeniomarques em 24/07/2008 - 12:31h

Amigo.. achei interessante.. e pensei.. como eu poderia tirar o banner do SSH? aki no meu server.. eu mudei o nome do serviço.. mudei a porta.. e ficou quase ok..

um nmap -p 0-65535 acha minha porta e mostra unknow.. mas se eu der nmap com -sV ele informa: "porta/tcp open ssh OpenSSH 4.3p2 Debian 9 (protocol 2.0)"..

ou seja.. tudo.. tem como corrigir.. e esconder?

0 0