Pular para o conteúdo

Escondendo banners de serviços

Neste artigo aprenderemos a esconder a versão de alguns serviços que rodam em nosso servidor Linux. Isso irá dificultar a vida dos invasores, que não terão acesso a tais informações e conseqüentemente terão maiores dificuldades em suas tentativas de invasão.
Carlos Marcelo Morgado Rêgo cmarcelo

Por Carlos Marcelo Morgado Rêgo em 06/05/2004

Hits: 48.164 Categoria: Linux Subcategoria: Segurança
  • Indicar
  • Impressora
  • Denunciar

Parte 2: Scaneando o servidor

Existem diversas formas para capturar banners dos servidores, utilizarei neste artigo o método que considero mais simples, através do nmap.

As versões mais recentes do nmap têm incluídas a flag '-A', que serve justamente para captura de banners. Exemplo de scanner:

# nmap -A tentando.invadir.com.br -P0
Starting nmap 3.50 ( http://www.insecure.org/nmap/ ) at 2004-04-24 13:41 BRT
Interesting ports on tentando.invadir.com.br (X.X.X.X):
(The 1653 ports scanned but not shown below are in state: closed)
PORT STATE SERVICE VERSION
21/tcp open ftp ProFTPD 1.2.9
53/tcp open domain ISC Bind 9.2.3
80/tcp open http Apache httpd 1.3.29 ((Debian GNU/Linux) PHP/4.3.4)
953/tcp open rndc?
Device type: general purpose
Running: Linux 2.4.X|2.5.X
OS details: Linux Kernel 2.4.0 - 2.5.20
Uptime 0.326 days (since Sat Apr 24 05:53:04 2004)

Com esse simples scan obtivemos:

FTP: ProFTPD 1.2.9
NAMED: ISC Bind 9.2.3
HTTP: Apache 1.3.29

E "de quebra" descobrimos também:

PHP: 4.3.4
OS: Linux
Distro: Debian
Kernel: 2.4.X / 2.5.X

Perceberam a quantidade de informações obtidas através de um simples scan?

Agora iremos descobrir como esconder informações sobre nossos servidores.

Páginas do artigo

   1. Introdução
   2. Scaneando o servidor
   3. Removendo banners
   4. Testando e finalizando
   5. Links úteis

Outros artigos deste autor

Como instalar um servidor de Counter-Strike

Sistema de backup com rsyncd

Leitura recomendada

Hidden Service - Disponibilizando seu site na Deep Web através do Tor

Instalação do Fail2Ban no CentOS 7

Sudoers 1.8.12 - Parte I - Manual

Incron - supervisionando sistemas de arquivos

Segurança com Iptables

Comentários

#1 Comentário enviado por fabio em 06/05/2004 - 05:11h
Ótimo artigo, parabéns!

[]'s
#2 Comentário enviado por zlow em 09/05/2004 - 02:04h
Essa sua "tecnica" seria funcional apenas para os kidda, pois 1 daemon fingerprint poe por agua a abaixo totalmente o seu falso conceito de segurança. O que é facilmente aplicado por atacante com conhecimentos intermediarios (não precisando nem ter conhecimento avançado).
O que não falta na net hoje eh documentação sobre esse assunto..
Talvez seja funcional contra kiddes, nada mais..
#3 Comentário enviado por dinho_rock em 09/05/2004 - 12:21h
Funciona contra kiddes, mas, a maioria das pessoas que tentam invadir sao kiddes, já é meio caminho andado se livrar deles.
Outra coisa, nao adianta ficar com um serviço desatualiado com a falsa sensação de que esta escondendo o banner esta seguro, o melhor é estar sempre com os programas que falam com a internet na versão mais estável.

Só uma dica, quando rodar o nessus, é interessante deixar os banners, pois algumas regras dele é baseada na versão que aparece o banner, e escondendo ele pode não avisar que aquela versão esta insegura.

Abraços
#4 Comentário enviado por alphainfo em 11/05/2004 - 10:49h
Com certeza, já é uma iniciativa... aqui, o meu nmap não reconheceu a flag -A ... seria essa mesmo a flag??

[]'s

Daniel Freire
#5 Comentário enviado por cmarcelo em 11/05/2004 - 13:45h
Obrigado pelos comentários, desculpem por eu não ter respondido antes, pois realmente estava sem tempo;

zlow: Eu não quis com esse artigo apontar uma solução 100% eficaz contra qualquer um que tentar uma invasão, apenas demonstrei um método que irá com certeza reduzir as chances de ataques vindos de "kiddies", que são os com menores conhecimentos, pois sem saberem qual a versão do servidor como irão tentar executar algum exploit? Como a maioria dos ataques são originados por "kiddies", você irá diminuir o sucesso nas tentativas de invasões. E em relação aos ' daemon fingerprints', pelo pouco que eu sei, esses capturam a versão dos serviços através dos banners dos mesmos.

dinho_rock: Com certeza, sempre devemos manter nossos servidores na última versão estavél possivél, por isso que coloquei alguns links sobre básico em sergurança no fim do artigo.

alphainfo: Verifique a versão do seu nmap, acredito que esta opção só entrou em vigor apartir da versão 3.48, baixe as fontes (ou rpm) do site do nmap (http://www.insecure.org/nmap).

Falow..
#6 Comentário enviado por zlow em 13/05/2004 - 21:49h
"E em relação aos ' daemon fingerprints', pelo pouco que eu sei, esses capturam a versão dos serviços através dos banners dos mesmos."

Daemon fingerprint naum fazem a captura por banners, mas sim por respostas padroes do daemons. Ex: help
Realmente é funcional contra kiddes.Parabens..
Mas me corrija se eu estiver errado.
Algumas IDS aplicam seus filtros de acordo com a versão do daemon capturando a versão dos mesmos pelos banner..
Seria trocar uma nota de 100 por uma de 50 .
visto que uma IDS é mais funcional, impedindo até mesmo a ação do nmap e outros scanners "populares".

Vale lembrar que isso naum eh uma critica, mas sim uma discução para poder ter vários pontos de vistas, e podermos chegar a uma visão mais ampla sobre o conceito de segurança.

Abraços..
Diego Maranhão
#7 Comentário enviado por alphainfo em 19/05/2004 - 12:26h
Obrigado, cmarcelo....

Foi atualizar o nmap e funfou...

[]'s à todos!
#8 Comentário enviado por faroffiuts em 14/06/2006 - 20:11h
lol
muito bom esse seu artigo!! vai ser muito util pra mim.. jah tah nos favoritos :)
#9 Comentário enviado por eugeniomarques em 24/07/2008 - 12:31h
Amigo.. achei interessante.. e pensei.. como eu poderia tirar o banner do SSH? aki no meu server.. eu mudei o nome do serviço.. mudei a porta.. e ficou quase ok..

um nmap -p 0-65535 acha minha porta e mostra unknow.. mas se eu der nmap com -sV ele informa: "porta/tcp open ssh OpenSSH 4.3p2 Debian 9 (protocol 2.0)"..

ou seja.. tudo.. tem como corrigir.. e esconder?

Contribuir com comentário

Entre na sua conta para comentar.