Pular para o conteúdo

Escondendo banners de serviços

Neste artigo aprenderemos a esconder a versão de alguns serviços que rodam em nosso servidor Linux. Isso irá dificultar a vida dos invasores, que não terão acesso a tais informações e conseqüentemente terão maiores dificuldades em suas tentativas de invasão.
Carlos Marcelo Morgado Rêgo cmarcelo

Por Carlos Marcelo Morgado Rêgo em 06/05/2004

Hits: 48.161 Categoria: Linux Subcategoria: Segurança
  • Indicar
  • Impressora
  • Denunciar

Parte 4: Testando e finalizando

Após essas pequenas alterações vamos novamente rodar o NMAP:

# nmap -A tentando.invadir.com.br -P0
Starting nmap 3.50 ( http://www.insecure.org/nmap/ ) at 2004-04-24 13:59 BRT
Interesting ports on tentando.invadir.com.br (X.X.X.X):
(The 1653 ports scanned but not shown below are in state: closed)
PORT STATE SERVICE VERSION
21/tcp open ftp
53/tcp open domain ISC Bind VOL
80/tcp open http Apache httpd
953/tcp open rndc?
Device type: general purpose
Running: Linux 2.4.X|2.5.X
OS details: Linux Kernel 2.4.0 - 2.5.20
Uptime 0.338 days (since Sat Apr 24 05:53:04 2004)

Agora as informações são mínimas e com certeza a falta de dados irá dificultar o trabalho do invasor.

A técnica de remoção de banners é relativamente simples, porém ajuda muito na prevenção de ataques. Exemplifiquei aqui em apenas três serviços, caso você queira implementá-la em outros servidores, busque informações na documentação do serviço ou no google :]

Não se esqueçam de manter sempre os servidores atualizados, as dicas passadas para vocês, obtive através da utilização do Nessus.

Páginas do artigo

   1. Introdução
   2. Scaneando o servidor
   3. Removendo banners
   4. Testando e finalizando
   5. Links úteis

Outros artigos deste autor

Sistema de backup com rsyncd

Como instalar um servidor de Counter-Strike

Leitura recomendada

Criptografar arquivos importantes no seu Linux

Servidor para centralização de logs - Fedora 7

Montando um completo servidor de backup usando Bacula

Construindo um Log Server utilizando Linux, Unix e Windows

Gerenciar e configurar inetd e serviços relacionados

Comentários

#1 Comentário enviado por fabio em 06/05/2004 - 05:11h
Ótimo artigo, parabéns!

[]'s
#2 Comentário enviado por zlow em 09/05/2004 - 02:04h
Essa sua "tecnica" seria funcional apenas para os kidda, pois 1 daemon fingerprint poe por agua a abaixo totalmente o seu falso conceito de segurança. O que é facilmente aplicado por atacante com conhecimentos intermediarios (não precisando nem ter conhecimento avançado).
O que não falta na net hoje eh documentação sobre esse assunto..
Talvez seja funcional contra kiddes, nada mais..
#3 Comentário enviado por dinho_rock em 09/05/2004 - 12:21h
Funciona contra kiddes, mas, a maioria das pessoas que tentam invadir sao kiddes, já é meio caminho andado se livrar deles.
Outra coisa, nao adianta ficar com um serviço desatualiado com a falsa sensação de que esta escondendo o banner esta seguro, o melhor é estar sempre com os programas que falam com a internet na versão mais estável.

Só uma dica, quando rodar o nessus, é interessante deixar os banners, pois algumas regras dele é baseada na versão que aparece o banner, e escondendo ele pode não avisar que aquela versão esta insegura.

Abraços
#4 Comentário enviado por alphainfo em 11/05/2004 - 10:49h
Com certeza, já é uma iniciativa... aqui, o meu nmap não reconheceu a flag -A ... seria essa mesmo a flag??

[]'s

Daniel Freire
#5 Comentário enviado por cmarcelo em 11/05/2004 - 13:45h
Obrigado pelos comentários, desculpem por eu não ter respondido antes, pois realmente estava sem tempo;

zlow: Eu não quis com esse artigo apontar uma solução 100% eficaz contra qualquer um que tentar uma invasão, apenas demonstrei um método que irá com certeza reduzir as chances de ataques vindos de "kiddies", que são os com menores conhecimentos, pois sem saberem qual a versão do servidor como irão tentar executar algum exploit? Como a maioria dos ataques são originados por "kiddies", você irá diminuir o sucesso nas tentativas de invasões. E em relação aos ' daemon fingerprints', pelo pouco que eu sei, esses capturam a versão dos serviços através dos banners dos mesmos.

dinho_rock: Com certeza, sempre devemos manter nossos servidores na última versão estavél possivél, por isso que coloquei alguns links sobre básico em sergurança no fim do artigo.

alphainfo: Verifique a versão do seu nmap, acredito que esta opção só entrou em vigor apartir da versão 3.48, baixe as fontes (ou rpm) do site do nmap (http://www.insecure.org/nmap).

Falow..
#6 Comentário enviado por zlow em 13/05/2004 - 21:49h
"E em relação aos ' daemon fingerprints', pelo pouco que eu sei, esses capturam a versão dos serviços através dos banners dos mesmos."

Daemon fingerprint naum fazem a captura por banners, mas sim por respostas padroes do daemons. Ex: help
Realmente é funcional contra kiddes.Parabens..
Mas me corrija se eu estiver errado.
Algumas IDS aplicam seus filtros de acordo com a versão do daemon capturando a versão dos mesmos pelos banner..
Seria trocar uma nota de 100 por uma de 50 .
visto que uma IDS é mais funcional, impedindo até mesmo a ação do nmap e outros scanners "populares".

Vale lembrar que isso naum eh uma critica, mas sim uma discução para poder ter vários pontos de vistas, e podermos chegar a uma visão mais ampla sobre o conceito de segurança.

Abraços..
Diego Maranhão
#7 Comentário enviado por alphainfo em 19/05/2004 - 12:26h
Obrigado, cmarcelo....

Foi atualizar o nmap e funfou...

[]'s à todos!
#8 Comentário enviado por faroffiuts em 14/06/2006 - 20:11h
lol
muito bom esse seu artigo!! vai ser muito util pra mim.. jah tah nos favoritos :)
#9 Comentário enviado por eugeniomarques em 24/07/2008 - 12:31h
Amigo.. achei interessante.. e pensei.. como eu poderia tirar o banner do SSH? aki no meu server.. eu mudei o nome do serviço.. mudei a porta.. e ficou quase ok..

um nmap -p 0-65535 acha minha porta e mostra unknow.. mas se eu der nmap com -sV ele informa: "porta/tcp open ssh OpenSSH 4.3p2 Debian 9 (protocol 2.0)"..

ou seja.. tudo.. tem como corrigir.. e esconder?

Contribuir com comentário

Entre na sua conta para comentar.