/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Sikkerhed
#NavnPoint
stl_s 37026
arlet 26827
miritdk 20260
o.v.n. 12167
als 8951
refi 8694
tedd 8272
BjarneD 7338
Klaudi 7257
10  molokyle 6481
Maskering af servernavne
Fra : Stig Meyer Jensen


Dato : 28-05-02 15:03

Mange af de nye smarte "sikkerheds-scanninger" virksomheder forsøger at
sælge indeholder råd om at man skal maskere navnene på sine servere, som fx:
Microsoft IIS/5.0 --> MinWebServer

Dette skulle så gøre det sværere at angribe serveren, hvilket jeg da godt
kan se en logik i. Men hvor vigtigt anser I det for at være? Serveren er
patchet op mod alle kendte problemer...

--

Stig Meyer Jensen
stig@smj.dk








 
 
Kasper Dupont (28-05-2002)
Kommentar
Fra : Kasper Dupont


Dato : 28-05-02 15:10

Stig Meyer Jensen wrote:
>
> Men hvor vigtigt anser I det for at være? Serveren er
> patchet op mod alle kendte problemer...

Hvis du har patches mod alle kendte problemer burde du være
rimeligt sikret. Det er i så fald kun et problem, hvis
angriberen kender problemer, vi andre ikke har hørt om.

Siden f.eks. de orme, der angriber kendte huller, alligvel
angriber alle, uafhængigt af hvilket system de bruger,
hjælper det nok ikke meget at skjule systemets navn.

Målrettede angreb mod et bestemt system er en anden sag,
men hvis man er usikker på hvilket system, du bruger, kunne
man jo prøve alt, hvad der kommer frem.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:razor-report@daimi.au.dk

Povl H. Pedersen (28-05-2002)
Kommentar
Fra : Povl H. Pedersen


Dato : 28-05-02 16:55

On Tue, 28 May 2002 16:02:57 +0200,
Stig Meyer Jensen <stig@smj.dk> wrote:
> Mange af de nye smarte "sikkerheds-scanninger" virksomheder forsøger at
> sælge indeholder råd om at man skal maskere navnene på sine servere, som fx:
> Microsoft IIS/5.0 --> MinWebServer

Og Microsoft får deres FreeBSD servere til at melde sig som Microsoft
IIS.

Det fortæller dem om din infrastruktur, og kan anvendes hvis man vil
lave manuelle scanninger og angreb. Dog kan man ofte også fingerprinte
IP stacken.

Jeg anser det kun for at være vigtigt at fjerne versionsnummer, da dette
kan fortælle om du er patchet op.

--
Povl H. Pedersen -
Use 2 letters from first+last name to form username@home.terminal.dk
This article was written without the use of Micros~1 Windows

Anders Lund (28-05-2002)
Kommentar
Fra : Anders Lund


Dato : 28-05-02 18:25

Povl H. Pedersen wrote:
> Jeg anser det kun for at være vigtigt at fjerne versionsnummer, da dette
> kan fortælle om du er patchet op.

De angreb der bliver udført scanner vel efter sårbarheder. Jeg kan da se i
flere logs fra min IIS, at der bliver smidt en række kommandoer imod
serveren. Men om det er fordi de først chekker at det er en IIS, ved jeg så
ikke.

--
Anders Lund - news@anders.adsl.dk
Message enhanced by "OE-QuoteFix" - http://home.in.tum.de/~jain/


Kent Friis (28-05-2002)
Kommentar
Fra : Kent Friis


Dato : 28-05-02 18:46

Den Tue, 28 May 2002 19:24:50 +0200 skrev Anders Lund:
>Povl H. Pedersen wrote:
>> Jeg anser det kun for at være vigtigt at fjerne versionsnummer, da dette
>> kan fortælle om du er patchet op.
>
>De angreb der bliver udført scanner vel efter sårbarheder. Jeg kan da se i
>flere logs fra min IIS, at der bliver smidt en række kommandoer imod
>serveren. Men om det er fordi de først chekker at det er en IIS, ved jeg så
>ikke.

Disse IIS-attacks ser vi andre også på Apache under Linux.

Mvh
Kent
--
Avoid the Gates of Hell. Use Linux
(Unknown source)

Anders Lund (28-05-2002)
Kommentar
Fra : Anders Lund


Dato : 28-05-02 19:31

Kent Friis wrote:
> Disse IIS-attacks ser vi andre også på Apache under Linux.

Ok, har ikke rodet særlig meget ved Apache - og slet ikke dens log filer!


--
Anders Lund - news@anders.adsl.dk
Message enhanced by "OE-QuoteFix" - http://home.in.tum.de/~jain/


Kent Friis (28-05-2002)
Kommentar
Fra : Kent Friis


Dato : 28-05-02 18:45

Den Tue, 28 May 2002 16:02:57 +0200 skrev Stig Meyer Jensen:
>Mange af de nye smarte "sikkerheds-scanninger" virksomheder forsøger at
>sælge indeholder råd om at man skal maskere navnene på sine servere, som fx:
>Microsoft IIS/5.0 --> MinWebServer
>
>Dette skulle så gøre det sværere at angribe serveren, hvilket jeg da godt
>kan se en logik i. Men hvor vigtigt anser I det for at være? Serveren er
>patchet op mod alle kendte problemer...

Lige så vigtigt som at file BMW-skiltet af, for at bilen ikke skal
blive stjålet.

Mvh
Kent
--
Running Windows on a Pentium is like having a brand new Porsche but only
be able to drive backwards with the handbrake on.
(Unknown source)

Peder Vendelbo Mikke~ (28-05-2002)
Kommentar
Fra : Peder Vendelbo Mikke~


Dato : 28-05-02 15:51

Stig Meyer Jensen skrev:

> Men hvor vigtigt anser I det for at være?

Jeg anser det for at være security by obscurity, for jeg har læst om
programmer som er i stand til at navngive maskinen korrekt alligevel
(ud fra analyse om hvordan maskinen svarer tilbage på forsøg på at
kontakte den).

Det vil nok kun stoppe scriptkiddies, fordi de ikke kender til disse
programmer og heller ikke ville være i stand til at anvende programmer-
ne hvis de kendte til dem.

Desværre virker min hukommelse dårligt i øjeblikket og jeg kan derfor
ikke komme i tanke om hvad navnet er på programmerne, men det kan an-
dre af gruppens skribenter sikkert.
--
Fix Outlook Express 5.*:
<URL: http://home.in.tum.de/~jain/software/quotefix.php >


Kent Friis (28-05-2002)
Kommentar
Fra : Kent Friis


Dato : 28-05-02 20:52

Den Tue, 28 May 2002 16:51:19 +0200 skrev Peder Vendelbo Mikkelsen:
>Stig Meyer Jensen skrev:
>
>> Men hvor vigtigt anser I det for at være?
>
>Jeg anser det for at være security by obscurity, for jeg har læst om
>programmer som er i stand til at navngive maskinen korrekt alligevel
>(ud fra analyse om hvordan maskinen svarer tilbage på forsøg på at
>kontakte den).
>
>Det vil nok kun stoppe scriptkiddies, fordi de ikke kender til disse
>programmer og heller ikke ville være i stand til at anvende programmer-
>ne hvis de kendte til dem.
>
>Desværre virker min hukommelse dårligt i øjeblikket og jeg kan derfor
>ikke komme i tanke om hvad navnet er på programmerne, men det kan an-
>dre af gruppens skribenter sikkert.

nmap -O plejer at være ret effektiv.

Mvh
Kent
--
echo f 0:0 ffff 0 | debug

Christian E. Lysel (28-05-2002)
Kommentar
Fra : Christian E. Lysel


Dato : 28-05-02 21:31

Kent Friis wrote:
> nmap -O plejer at være ret effektiv.

Hvis det er en proxy firewall, giver den kun et billed af firewallen og
ikke webserveren.


Povl H. Pedersen (28-05-2002)
Kommentar
Fra : Povl H. Pedersen


Dato : 28-05-02 22:01

On Tue, 28 May 2002 16:51:19 +0200,
Peder Vendelbo Mikkelsen <pedervm@myrealbox.com> wrote:
> Jeg anser det for at være security by obscurity, for jeg har læst om
> programmer som er i stand til at navngive maskinen korrekt alligevel
> (ud fra analyse om hvordan maskinen svarer tilbage på forsøg på at
> kontakte den).
>
> Det vil nok kun stoppe scriptkiddies, fordi de ikke kender til disse
> programmer og heller ikke ville være i stand til at anvende programmer-
> ne hvis de kendte til dem.

Hvis der er en fejl i en given version af f.eks. wu-ftpd, så vil en
god hacker starte med en anonym ftp, logge versionsnummeret, og så
markere denne maskine som et senere offer han kan overtage.

Så fjernelse af versionsnummer stopper ikke script kiddies, men gør
livet mere besværligt for dem der samler på liste af kendte remote
exploitable maskiner.

Og hvis man har en dårlig mailserver, så bør man få den til at melde
sig som qmail 1.03 :) Det skræmmer nogle væk fra denne port, og vil
vanskelliggøre deres arbejde.

Hvis de ikke kan gætte din version, så er der stor chance for at
de skal lave fejlslagne forsøg først for at detektere typen. Og
med noget smart IDS kan man så firewall'e dem ude i nogen tid. Der
er mange muligheder.
--
Povl H. Pedersen -
Use 2 letters from first+last name to form username@home.terminal.dk
This article was written without the use of Micros~1 Windows

Peder Vendelbo Mikke~ (29-05-2002)
Kommentar
Fra : Peder Vendelbo Mikke~


Dato : 29-05-02 07:23

Povl H. Pedersen skrev:

> Hvis der er en fejl i en given version af f.eks. wu-ftpd, så vil en
> god hacker starte med en anonym ftp, logge versionsnummeret, og så
> markere denne maskine som et senere offer han kan overtage.

Vil en god hacker virkelig gøre det manuelt?

> Og hvis man har en dårlig mailserver, så bør man få den til at melde
> sig som qmail 1.03 :) Det skræmmer nogle væk fra denne port, og vil
> vanskelliggøre deres arbejde.

Bider qmail eller sådan noget (siden du specifik nævner at man skal
lade som om mailserveren er qmail)?

Jeg synes at det er spild af tid at forsøge at maskere servere, tiden
er bedre brugt andre steder. Hvis man endelig skulle maskere, skulle
det da være med random navne og eventuelt med morsomheder, ved hjælp
af en eller anden form for automation.
--
Fix Outlook Express 5.*:
<URL: http://home.in.tum.de/~jain/software/quotefix.php >


Povl H. Pedersen (29-05-2002)
Kommentar
Fra : Povl H. Pedersen


Dato : 29-05-02 18:57

On Wed, 29 May 2002 08:22:34 +0200,
Peder Vendelbo Mikkelsen <pedervm@myrealbox.com> wrote:
> Povl H. Pedersen skrev:
>
>> Hvis der er en fejl i en given version af f.eks. wu-ftpd, så vil en
>> god hacker starte med en anonym ftp, logge versionsnummeret, og så
>> markere denne maskine som et senere offer han kan overtage.
>
> Vil en god hacker virkelig gøre det manuelt?

Ikke lige dette, men hackingen vil være manuel, da en grov maskinel
hacking vil starte en masse alarmer i IDS'en, og så ham til at ligne
en script kiddie.

>> Og hvis man har en dårlig mailserver, så bør man få den til at melde
>> sig som qmail 1.03 :) Det skræmmer nogle væk fra denne port, og vil
>> vanskelliggøre deres arbejde.
>
> Bider qmail eller sådan noget (siden du specifik nævner at man skal
> lade som om mailserveren er qmail)?

Næh. Den er bare sikker. Og der er en dusør på $50 til den første der
finder en sikkerhedsfejl i den.

> Jeg synes at det er spild af tid at forsøge at maskere servere, tiden
> er bedre brugt andre steder. Hvis man endelig skulle maskere, skulle
> det da være med random navne og eventuelt med morsomheder, ved hjælp
> af en eller anden form for automation.

Enig i at det er en lav-prioritet.


--
Povl H. Pedersen -
Use 2 letters from first+last name to form username@home.terminal.dk
This article was written without the use of Micros~1 Windows

Kasper Dupont (29-05-2002)
Kommentar
Fra : Kasper Dupont


Dato : 29-05-02 21:51

Peder Vendelbo Mikkelsen wrote:
>
> Jeg synes at det er spild af tid at forsøge at maskere servere, tiden
> er bedre brugt andre steder. Hvis man endelig skulle maskere, skulle
> det da være med random navne og eventuelt med morsomheder, ved hjælp
> af en eller anden form for automation.

Min port 25 siger:
220 server.name.is.invalid SMTP This is not a mail server

Om det er sjovt kan man jo diskutere, men det er i
hvert fald sandt.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:razor-report@daimi.au.dk

Alex Holst (28-05-2002)
Kommentar
Fra : Alex Holst


Dato : 28-05-02 21:32

Stig Meyer Jensen <stig@smj.dk> wrote:
> Mange af de nye smarte "sikkerheds-scanninger" virksomheder forsøger at
> sælge indeholder råd om at man skal maskere navnene på sine servere, som fx:
> Microsoft IIS/5.0 --> MinWebServer
>
> Dette skulle så gøre det sværere at angribe serveren, hvilket jeg da godt
> kan se en logik i. Men hvor vigtigt anser I det for at være? Serveren er
> patchet op mod alle kendte problemer...

Spild af tid. Der er mange andre ting man boer kaste sig over i
stedet/foerst, f.eks. en sikkerhedspolitik saa man ikke behoeve sidde
undre sig over om man boer bruge tid paa fjerne navn og versions-
nummer paa de services man koerer.

http://a.area51.dk/sikkerhed/infrastruktur
http://a.area51.dk/sikkerhed/servere

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/

Jonathan Stein (28-05-2002)
Kommentar
Fra : Jonathan Stein


Dato : 28-05-02 21:59

Stig Meyer Jensen wrote:

> Mange af de nye smarte "sikkerheds-scanninger" virksomheder forsøger at
> sælge indeholder råd om at man skal maskere navnene på sine servere, som fx:
> Microsoft IIS/5.0 --> MinWebServer

Jeg ville foreslå "Apache" i stedet for "MinWebServer". Ændringen kan
foretages på flere måder, som har forskellig betydning for om sikkerheden øges.


M.v.h.

Jonathan

--
Nyt alternativ til egen server: JSP Enterprise hotel med adgang til
Enterprise Java Beans, egen Java Virtual Machine og egen IP-adresse
(giver mulighed for eget SSL-certifikat).
http://www.jsp-hotel.dk/



Søg
Reklame
Statistik
Spørgsmål : 177549
Tips : 31968
Nyheder : 719565
Indlæg : 6408820
Brugere : 218887

Månedens bedste
Årets bedste
Sidste års bedste