Escondendo banners de serviços

Neste artigo aprenderemos a esconder a versão de alguns serviços que rodam em nosso servidor Linux. Isso irá dificultar a vida dos invasores, que não terão acesso a tais informações e conseqüentemente terão maiores dificuldades em suas tentativas de invasão.

[ Hits: 46.439 ]

Por: Carlos Marcelo Morgado Rêgo em 06/05/2004


Removendo banners



ProFTPD


Arquivo de configuração: /etc/proftpd.conf
Altere a diretiva 'ServerIdent' para ficar semelhante a abaixo:

ServerIdent		on	"FTP servido por VOL"

Bind


Arquivo de configuração: /etc/named.conf
Inclua (caso não exista) a opção 'version' (dentro da seção 'options { };')

options {
      ...
      version "VOL"
      ...
};

Apache


Além de sua versão, o Apache nos informou a distribuição e a versão do PHP.

Arquivo de configuração: /etc/apache/conf/httpd.conf
Altere as diretivas 'ServerTokens' e 'ServerSignature':

ServerTokens Prod
ServerSignature Off
Página anterior     Próxima página

Páginas do artigo
   1. Introdução
   2. Scaneando o servidor
   3. Removendo banners
   4. Testando e finalizando
   5. Links úteis
Outros artigos deste autor

Como instalar um servidor de Counter-Strike

Sistema de backup com rsyncd

Leitura recomendada

SELinux na prática

Biometria facial na autenticação do usuário root

Ultimate Nmap

Criando VPN com o PFSense

Snort + BarnYard2 + Snorby no Slackware 14.1

  
Comentários
[1] Comentário enviado por fabio em 06/05/2004 - 05:11h

Ótimo artigo, parabéns!

[]'s

[2] Comentário enviado por zlow em 09/05/2004 - 02:04h

Essa sua "tecnica" seria funcional apenas para os kidda, pois 1 daemon fingerprint poe por agua a abaixo totalmente o seu falso conceito de segurança. O que é facilmente aplicado por atacante com conhecimentos intermediarios (não precisando nem ter conhecimento avançado).
O que não falta na net hoje eh documentação sobre esse assunto..
Talvez seja funcional contra kiddes, nada mais..

[3] Comentário enviado por dinho_rock em 09/05/2004 - 12:21h

Funciona contra kiddes, mas, a maioria das pessoas que tentam invadir sao kiddes, já é meio caminho andado se livrar deles.
Outra coisa, nao adianta ficar com um serviço desatualiado com a falsa sensação de que esta escondendo o banner esta seguro, o melhor é estar sempre com os programas que falam com a internet na versão mais estável.

Só uma dica, quando rodar o nessus, é interessante deixar os banners, pois algumas regras dele é baseada na versão que aparece o banner, e escondendo ele pode não avisar que aquela versão esta insegura.

Abraços

[4] Comentário enviado por alphainfo em 11/05/2004 - 10:49h

Com certeza, já é uma iniciativa... aqui, o meu nmap não reconheceu a flag -A ... seria essa mesmo a flag??

[]'s

Daniel Freire

[5] Comentário enviado por cmarcelo em 11/05/2004 - 13:45h

Obrigado pelos comentários, desculpem por eu não ter respondido antes, pois realmente estava sem tempo;

zlow: Eu não quis com esse artigo apontar uma solução 100% eficaz contra qualquer um que tentar uma invasão, apenas demonstrei um método que irá com certeza reduzir as chances de ataques vindos de "kiddies", que são os com menores conhecimentos, pois sem saberem qual a versão do servidor como irão tentar executar algum exploit? Como a maioria dos ataques são originados por "kiddies", você irá diminuir o sucesso nas tentativas de invasões. E em relação aos ' daemon fingerprints', pelo pouco que eu sei, esses capturam a versão dos serviços através dos banners dos mesmos.

dinho_rock: Com certeza, sempre devemos manter nossos servidores na última versão estavél possivél, por isso que coloquei alguns links sobre básico em sergurança no fim do artigo.

alphainfo: Verifique a versão do seu nmap, acredito que esta opção só entrou em vigor apartir da versão 3.48, baixe as fontes (ou rpm) do site do nmap (http://www.insecure.org/nmap).

Falow..

[6] Comentário enviado por zlow em 13/05/2004 - 21:49h

"E em relação aos ' daemon fingerprints', pelo pouco que eu sei, esses capturam a versão dos serviços através dos banners dos mesmos."

Daemon fingerprint naum fazem a captura por banners, mas sim por respostas padroes do daemons. Ex: help
Realmente é funcional contra kiddes.Parabens..
Mas me corrija se eu estiver errado.
Algumas IDS aplicam seus filtros de acordo com a versão do daemon capturando a versão dos mesmos pelos banner..
Seria trocar uma nota de 100 por uma de 50 .
visto que uma IDS é mais funcional, impedindo até mesmo a ação do nmap e outros scanners "populares".

Vale lembrar que isso naum eh uma critica, mas sim uma discução para poder ter vários pontos de vistas, e podermos chegar a uma visão mais ampla sobre o conceito de segurança.

Abraços..
Diego Maranhão

[7] Comentário enviado por alphainfo em 19/05/2004 - 12:26h

Obrigado, cmarcelo....

Foi atualizar o nmap e funfou...

[]'s à todos!

[8] Comentário enviado por faroffiuts em 14/06/2006 - 20:11h

lol
muito bom esse seu artigo!! vai ser muito util pra mim.. jah tah nos favoritos :)

[9] Comentário enviado por eugeniomarques em 24/07/2008 - 12:31h

Amigo.. achei interessante.. e pensei.. como eu poderia tirar o banner do SSH? aki no meu server.. eu mudei o nome do serviço.. mudei a porta.. e ficou quase ok..

um nmap -p 0-65535 acha minha porta e mostra unknow.. mas se eu der nmap com -sV ele informa: "porta/tcp open ssh OpenSSH 4.3p2 Debian 9 (protocol 2.0)"..

ou seja.. tudo.. tem como corrigir.. e esconder?


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts