---

Mange af de nye smarte "sikkerheds-scanninger" virksomheder forsøger at
sælge indeholder råd om at man skal maskere navnene på sine servere, som fx:
Microsoft IIS/5.0 --> MinWebServer

Dette skulle så gøre det sværere at angribe serveren, hvilket jeg da godt
kan se en logik i. Men hvor vigtigt anser I det for at være? Serveren er
patchet op mod alle kendte problemer...

--

Stig Meyer Jensen
stig@smj.dk

---

Stig Meyer Jensen wrote:
>
> Men hvor vigtigt anser I det for at være? Serveren er
> patchet op mod alle kendte problemer...

Hvis du har patches mod alle kendte problemer burde du være
rimeligt sikret. Det er i så fald kun et problem, hvis
angriberen kender problemer, vi andre ikke har hørt om.

Siden f.eks. de orme, der angriber kendte huller, alligvel
angriber alle, uafhængigt af hvilket system de bruger,
hjælper det nok ikke meget at skjule systemets navn.

Målrettede angreb mod et bestemt system er en anden sag,
men hvis man er usikker på hvilket system, du bruger, kunne
man jo prøve alt, hvad der kommer frem.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:razor-report@daimi.au.dk

---

On Tue, 28 May 2002 16:02:57 +0200,
Stig Meyer Jensen <stig@smj.dk> wrote:
> Mange af de nye smarte "sikkerheds-scanninger" virksomheder forsøger at
> sælge indeholder råd om at man skal maskere navnene på sine servere, som fx:
> Microsoft IIS/5.0 --> MinWebServer

Og Microsoft får deres FreeBSD servere til at melde sig som Microsoft
IIS.

Det fortæller dem om din infrastruktur, og kan anvendes hvis man vil
lave manuelle scanninger og angreb. Dog kan man ofte også fingerprinte
IP stacken.

Jeg anser det kun for at være vigtigt at fjerne versionsnummer, da dette
kan fortælle om du er patchet op.

--
Povl H. Pedersen -
Use 2 letters from first+last name to form username@home.terminal.dk
This article was written without the use of Micros~1 Windows

---

Povl H. Pedersen wrote:
> Jeg anser det kun for at være vigtigt at fjerne versionsnummer, da dette
> kan fortælle om du er patchet op.

De angreb der bliver udført scanner vel efter sårbarheder. Jeg kan da se i
flere logs fra min IIS, at der bliver smidt en række kommandoer imod
serveren. Men om det er fordi de først chekker at det er en IIS, ved jeg så
ikke.

--
Anders Lund - news@anders.adsl.dk
Message enhanced by "OE-QuoteFix" - http://home.in.tum.de/~jain/

---

Den Tue, 28 May 2002 19:24:50 +0200 skrev Anders Lund:
>Povl H. Pedersen wrote:
>> Jeg anser det kun for at være vigtigt at fjerne versionsnummer, da dette
>> kan fortælle om du er patchet op.
>
>De angreb der bliver udført scanner vel efter sårbarheder. Jeg kan da se i
>flere logs fra min IIS, at der bliver smidt en række kommandoer imod
>serveren. Men om det er fordi de først chekker at det er en IIS, ved jeg så
>ikke.

Disse IIS-attacks ser vi andre også på Apache under Linux.

Mvh
Kent
--
Avoid the Gates of Hell. Use Linux
(Unknown source)

---

Kent Friis wrote:
> Disse IIS-attacks ser vi andre også på Apache under Linux.

Ok, har ikke rodet særlig meget ved Apache - og slet ikke dens log filer!


--
Anders Lund - news@anders.adsl.dk
Message enhanced by "OE-QuoteFix" - http://home.in.tum.de/~jain/

---

Den Tue, 28 May 2002 16:02:57 +0200 skrev Stig Meyer Jensen:
>Mange af de nye smarte "sikkerheds-scanninger" virksomheder forsøger at
>sælge indeholder råd om at man skal maskere navnene på sine servere, som fx:
>Microsoft IIS/5.0 --> MinWebServer
>
>Dette skulle så gøre det sværere at angribe serveren, hvilket jeg da godt
>kan se en logik i. Men hvor vigtigt anser I det for at være? Serveren er
>patchet op mod alle kendte problemer...

Lige så vigtigt som at file BMW-skiltet af, for at bilen ikke skal
blive stjålet.

Mvh
Kent
--
Running Windows on a Pentium is like having a brand new Porsche but only
be able to drive backwards with the handbrake on.
(Unknown source)

---

Stig Meyer Jensen skrev:

> Men hvor vigtigt anser I det for at være?

Jeg anser det for at være security by obscurity, for jeg har læst om
programmer som er i stand til at navngive maskinen korrekt alligevel
(ud fra analyse om hvordan maskinen svarer tilbage på forsøg på at
kontakte den).

Det vil nok kun stoppe scriptkiddies, fordi de ikke kender til disse
programmer og heller ikke ville være i stand til at anvende programmer-
ne hvis de kendte til dem.

Desværre virker min hukommelse dårligt i øjeblikket og jeg kan derfor
ikke komme i tanke om hvad navnet er på programmerne, men det kan an-
dre af gruppens skribenter sikkert.
--
Fix Outlook Express 5.*:
<URL: http://home.in.tum.de/~jain/software/quotefix.php >

---

Den Tue, 28 May 2002 16:51:19 +0200 skrev Peder Vendelbo Mikkelsen:
>Stig Meyer Jensen skrev:
>
>> Men hvor vigtigt anser I det for at være?
>
>Jeg anser det for at være security by obscurity, for jeg har læst om
>programmer som er i stand til at navngive maskinen korrekt alligevel
>(ud fra analyse om hvordan maskinen svarer tilbage på forsøg på at
>kontakte den).
>
>Det vil nok kun stoppe scriptkiddies, fordi de ikke kender til disse
>programmer og heller ikke ville være i stand til at anvende programmer-
>ne hvis de kendte til dem.
>
>Desværre virker min hukommelse dårligt i øjeblikket og jeg kan derfor
>ikke komme i tanke om hvad navnet er på programmerne, men det kan an-
>dre af gruppens skribenter sikkert.

nmap -O plejer at være ret effektiv.

Mvh
Kent
--
echo f 0:0 ffff 0 | debug

---

Kent Friis wrote:
> nmap -O plejer at være ret effektiv.

Hvis det er en proxy firewall, giver den kun et billed af firewallen og
ikke webserveren.

---

On Tue, 28 May 2002 16:51:19 +0200,
Peder Vendelbo Mikkelsen <pedervm@myrealbox.com> wrote:
> Jeg anser det for at være security by obscurity, for jeg har læst om
> programmer som er i stand til at navngive maskinen korrekt alligevel
> (ud fra analyse om hvordan maskinen svarer tilbage på forsøg på at
> kontakte den).
>
> Det vil nok kun stoppe scriptkiddies, fordi de ikke kender til disse
> programmer og heller ikke ville være i stand til at anvende programmer-
> ne hvis de kendte til dem.

Hvis der er en fejl i en given version af f.eks. wu-ftpd, så vil en
god hacker starte med en anonym ftp, logge versionsnummeret, og så
markere denne maskine som et senere offer han kan overtage.

Så fjernelse af versionsnummer stopper ikke script kiddies, men gør
livet mere besværligt for dem der samler på liste af kendte remote
exploitable maskiner.

Og hvis man har en dårlig mailserver, så bør man få den til at melde
sig som qmail 1.03 :) Det skræmmer nogle væk fra denne port, og vil
vanskelliggøre deres arbejde.

Hvis de ikke kan gætte din version, så er der stor chance for at
de skal lave fejlslagne forsøg først for at detektere typen. Og
med noget smart IDS kan man så firewall'e dem ude i nogen tid. Der
er mange muligheder.
--
Povl H. Pedersen -
Use 2 letters from first+last name to form username@home.terminal.dk
This article was written without the use of Micros~1 Windows

---

Povl H. Pedersen skrev:

> Hvis der er en fejl i en given version af f.eks. wu-ftpd, så vil en
> god hacker starte med en anonym ftp, logge versionsnummeret, og så
> markere denne maskine som et senere offer han kan overtage.

Vil en god hacker virkelig gøre det manuelt?

> Og hvis man har en dårlig mailserver, så bør man få den til at melde
> sig som qmail 1.03 :) Det skræmmer nogle væk fra denne port, og vil
> vanskelliggøre deres arbejde.

Bider qmail eller sådan noget (siden du specifik nævner at man skal
lade som om mailserveren er qmail)?

Jeg synes at det er spild af tid at forsøge at maskere servere, tiden
er bedre brugt andre steder. Hvis man endelig skulle maskere, skulle
det da være med random navne og eventuelt med morsomheder, ved hjælp
af en eller anden form for automation.
--
Fix Outlook Express 5.*:
<URL: http://home.in.tum.de/~jain/software/quotefix.php >

---

On Wed, 29 May 2002 08:22:34 +0200,
Peder Vendelbo Mikkelsen <pedervm@myrealbox.com> wrote:
> Povl H. Pedersen skrev:
>
>> Hvis der er en fejl i en given version af f.eks. wu-ftpd, så vil en
>> god hacker starte med en anonym ftp, logge versionsnummeret, og så
>> markere denne maskine som et senere offer han kan overtage.
>
> Vil en god hacker virkelig gøre det manuelt?

Ikke lige dette, men hackingen vil være manuel, da en grov maskinel
hacking vil starte en masse alarmer i IDS'en, og så ham til at ligne
en script kiddie.

>> Og hvis man har en dårlig mailserver, så bør man få den til at melde
>> sig som qmail 1.03 :) Det skræmmer nogle væk fra denne port, og vil
>> vanskelliggøre deres arbejde.
>
> Bider qmail eller sådan noget (siden du specifik nævner at man skal
> lade som om mailserveren er qmail)?

Næh. Den er bare sikker. Og der er en dusør på $50 til den første der
finder en sikkerhedsfejl i den.

> Jeg synes at det er spild af tid at forsøge at maskere servere, tiden
> er bedre brugt andre steder. Hvis man endelig skulle maskere, skulle
> det da være med random navne og eventuelt med morsomheder, ved hjælp
> af en eller anden form for automation.

Enig i at det er en lav-prioritet.


--
Povl H. Pedersen -
Use 2 letters from first+last name to form username@home.terminal.dk
This article was written without the use of Micros~1 Windows

---

Peder Vendelbo Mikkelsen wrote:
>
> Jeg synes at det er spild af tid at forsøge at maskere servere, tiden
> er bedre brugt andre steder. Hvis man endelig skulle maskere, skulle
> det da være med random navne og eventuelt med morsomheder, ved hjælp
> af en eller anden form for automation.

Min port 25 siger:
220 server.name.is.invalid SMTP This is not a mail server

Om det er sjovt kan man jo diskutere, men det er i
hvert fald sandt.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:razor-report@daimi.au.dk

---

Stig Meyer Jensen <stig@smj.dk> wrote:
> Mange af de nye smarte "sikkerheds-scanninger" virksomheder forsøger at
> sælge indeholder råd om at man skal maskere navnene på sine servere, som fx:
> Microsoft IIS/5.0 --> MinWebServer
>
> Dette skulle så gøre det sværere at angribe serveren, hvilket jeg da godt
> kan se en logik i. Men hvor vigtigt anser I det for at være? Serveren er
> patchet op mod alle kendte problemer...

Spild af tid. Der er mange andre ting man boer kaste sig over i
stedet/foerst, f.eks. en sikkerhedspolitik saa man ikke behoeve sidde
undre sig over om man boer bruge tid paa fjerne navn og versions-
nummer paa de services man koerer.

http://a.area51.dk/sikkerhed/infrastruktur
http://a.area51.dk/sikkerhed/servere

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/

---

Stig Meyer Jensen wrote:

> Mange af de nye smarte "sikkerheds-scanninger" virksomheder forsøger at
> sælge indeholder råd om at man skal maskere navnene på sine servere, som fx:
> Microsoft IIS/5.0 --> MinWebServer

Jeg ville foreslå "Apache" i stedet for "MinWebServer". Ændringen kan
foretages på flere måder, som har forskellig betydning for om sikkerheden øges.


M.v.h.

Jonathan

--
Nyt alternativ til egen server: JSP Enterprise hotel med adgang til
Enterprise Java Beans, egen Java Virtual Machine og egen IP-adresse
(giver mulighed for eget SSL-certifikat).
http://www.jsp-hotel.dk/