Блокирование отображения версий сервисов (на Fedora 13)

nmap показывает предпологаемые сервисы на хосте, определяя их по открытому порту. Как вариант настроить фаер для фильтрации портов. NMAP будет писать что порты отфильтрованны (можно сделать выводы по отфильтрованным портам). Можно сервис повесить на другой порт. В общем выходов существует много. Все зависит от кого защищаемся.

nmap я как пример привел, но да.. он так работает. «от кого защищаемся».. от эксплойтов например, т.е. ошибок в конкретной версии. Фаервол.. а как надежен реально метод, когда полностью сбрасываются все входящие соединения? именно у меня не сервер, так может и поможет.

а если сервер.. как минимум smtp, http и ssl должны быть открытыми?! а если сервер не веб, а еще что-нибудь!

Если сервер, то тут сложнее. Можно сервисы на другие порты повесить, переадресовывать порты с одного на другой и т.д. Стоит помнить что почти на все public сплойты выпущены обновления сервисов (программ). Так что если регулярно обновляется система, то они не очень страшны. А вот с private сплойтами сложнее.

С точки зрения безопасности, необходимо на одном сервере держать один сервис. Если это веб сервер, то smtp там не нужен (он должен быть на почтовом сервере).А если на одном сервре будут и веб сервер, почтовый сервер и фтп сервер, то его будет довольно сложно защитить.

> от эксплойтов например

Существуют еще и реверс сплойты, от которых фаер не поможет. Юзверь сам подключится к порту на удаленного компьютера.

Неприступных крепостей нет, все зависит от заинтересованности атакующего. Мучаться с десктопом на Линухе для заливки руткита глупо если более 70% пользователей сидят на виндах. Если серверную машину рассматривать как дёдик, то взлом идет немного по другому руслу. Опять же Win дедов в мире хватает.

Приведите пример сервера и цель атаки на него, можно будет подумать что можно сделать для его защиты.

>А что настраивают, чтобы эти версии не отображались после >сканирования?

У некоторых приложений есть настроенные параметры, в которых можно вписать другую версию и даже чужое имя приложения. Например: вместо sendmail написать qmail.
В других случаях открываем исходники, в них по заветному слову находим что отдает приложение, меняем и перекомпилируем.

Дело в том, что разные сервисы обрабатывают по разному запросы и посылают разные ответы (ответы тоже можно подменить). Подменять имена приложений дело хорошее, но от грамотно составленного запроса на спасет.

Больше Линукс интересует.

С примером сложновато, т.к. не собираюсь атаковать. Я работу писал.. как практика - сканирование и применение эксплоитов для получения root-прав в итоге. Вот хотел бы теперь узнать, как с этим бороться.

Один сервис на одном хосте.. наверное. а почему так безопаснее? (по 1 на 2-ух, а не 2 на 1-ом)

Посмотрел свои настройки фаервола.. в Trusted Services только SSH отмечено.. а даже простым nmap localhost их 8 штук открыто (портов разных)!! даже MySQL непонятно зачем там появился. Если в Iptables добавить правила сброса любых соединений извне на эти порты.. это сойдёт?

Хм.. если тем же Iptables перенаправлять пришедшие пакеты с одного порта на другой.. Nmap так и обманется и покажет другой сервис там???

Ещё.. вычитал про Portsentry - обнаруживает практически любые виды сканирования и в реальном времени тутже блокирует тот хост. Насколько надёжное такое решение и почему все это не ставят себе?

>Один сервис на одном хосте.. наверное. а почему так безопаснее? (по 1 на 2-ух, а не 2 на 1->ом)
В какой то мере не совсем безопаснее, при взломе одно сервиса остальные остаются не скомпроментированными (лишних подозрений не возникает). Никогда не видел системы где один хост -> один сервис. На практике обычно изолируют сервисы друг от друга и от OS (самое простое man chroot, самое сложное это что то в духе SE Linux – никогда не юзал).

это сойдёт?

Ответ не одназначный, разберитесь зачем открыты эти порты и нужны ли вам те приложения (сервисы) которые работают на этих портах. Может их просто выключить? Ну и прочитайте что нибуть про конфигурирования фаирвола что надо закрывать а что не надо закрывать (а то сеть вообще работать перестанет).

почему все это не ставят себе

Кто сказал что не ставят? Все чтото да ставят, патчи на юдро от переполнений итд. Портсентри стоял у меня, даже чтото там блокировал.

Когда сервер порутан изоляция скорее всего не поможет. А в теме эксплойт создается для этого.

Selinux довольно хорошее решение, основанное на групповых политиках, можно нашаманить много чего и ограничить много прав. Но это тоже приложение, соответственно тоже уязвимо.

> mysql

Базы данных необходимо настраивать так, что бы доступ был только с локалхоста.

nmap

Сканер определяет сервис исходя из порта на котором он запущен. При подмене портов и подмене ответов сервиса на запрос вероятнее всего сервис определен будет неверно.

Сканировать лучше не 127.0.0.1, а свой внешний ип.

>Базы данных необходимо настраивать так, что бы доступ был только с локалхоста.

Как это можно сделать? Фаерволом? например такое правило: iptables -I INPUT 4 -p tcp --dport 3306 ! --source 127.0.0.0/24 -j DROP

на 3306 порте у меня mysql.

Подмена портов.. это в конфиг-файлах искать, да?!

Могу посоветовать две книги. Автор Михаил Фленов. «Linux глазами хакера» и «Web сервер глазами хакера». Книги не новы, но материал в них очень хороший. Супер подсказок там не найдете, но ясность книги внесут.

Ну если очень хороший.. то спасибо :)

А что еще Вы бы порекомендовали на тему безопасности сетей/информации?

Нужно изучить принцип работы операционных систем, знать как работают сетевые протоколы. Читать багтраки, желательно найти регулярно обновляющиеся. А читать можно много чего. Литературу лучше выбирать нацеленную на атакующий сегмент. Зная как атакуют, можно атаку сорвать.

Что то определенное советовать трудно. В мире быстро все меняется. И ит безопасность не исключение. Спрашивайте, будем искать куда рыть, что курить.

>А что еще Вы бы порекомендовали на тему безопасности сетей/информации?
Как раз чуть выше вернули ссылку на FAQ по безопасности

http://www.linux.org.ru/wiki/en/Linux_Security_FAQ

x-nix.. Начну с Вашей первой предложенной книги Фленова. Смотрю у него много на такую тематику.

Aleks IZA.. за FAQ спасибо.. Полезное найду :)

Это вообще отличный специалист в области программирования и безопасности. Пишет он довольно хорошим и понятным языком. И у него довольно много книг не только из раздела «Глазами хакера».

А вот читать научную литературу (в смысле учебники и проч. лабуду) не советую, толкового там нет ничего... Как то в руки мне попал учебник по MSSQL Server , это нечто. Все в нем сводится к тому, что продуция мелкомягких - самая лучшая и безопаная... Сразу открыл раздел посвещенный безопасности и не нашел там ничего интересного для себя. Майкрософт улучшил, Майкрософт отключил и т.п. А СУБД как была дырявой так и остается. ИМХО бред.

А про журналы что скажете?

В журналах есть интересные статьи для общего ознакомления, но что бы читать их необходим навык в той или иной области. Очень часто выкладывается несколько измененный код, защита от ламера так сказать. Опытный пользователь, найдет ошибку и исправит ее.

Просматривая подшивки отечественных и зарубежных журналов, я нахожу 1-2 интересных статьи, остальное знаю и так.

Могу посоветовать SC Magazine (если с инязом в дружбе).

У Вас уровень наверное огого))

..мне учиться и учиться)

Уровень чего? Иняза? :-)

Я отношу себя к среднечкам. До Фёдора или Крыса мне далеко, но уровень скриптососов преодолел, немного соображаю. aleksand-noviko@mail.ru моя рабочая почта.Если что, то пишите. Чем смогу помогу. (Только в сообщении напишете, что с ЛОРа, а то жестко от спама защищаюсь:-) )

> знать как работают сетевые протоколы

да.. как глубоко это подразумевалось? Знать для чего наверняка даже близко не достаточно?!

Тема перешла в какой то оффтоп.

Что вы хотите? Набить побольше постов или действительно разобраться в информационной безопасности? Тут чем больше знаешь, тем крепче спишь. Для чего они существуют известно даже школьнику, а вот как они устроены знают немногие, а зря.

Знайте хотя бы распределение протоколов по уровням модели OSI, распределение протоколов по уровням модели TCP/IP и т.п.

Для того что бы чувствовать себя вообще комфортно научитесь формировать протоколы вручную. Остальное само придет при изучении.

а не проще своевременно обновлять систему?

Количество постов набить?? Шутите наверно..

В другом Вы правы.. Тема куда-то в другую сторону ушла. А за начальные ответы спасибо!

Если все еще актуально

Небольшая шутка для Nmap.

Если на машине функционирует только один сервис (допустим HTTPd), любой сканер портов (как и горе-хакера) можно свести с ума.

iptables -P INPUT DROP

iptables -A PREROUTING -t nat -p tcp ! --dport 80 \ -j REDIRECT --to-port 80 //Перенаправляем весь трафик к портам, отличным от 80, на 80 же порт

iptables -A INPUT -p tcp --syn --dport 80 \ -m connlimit ! --connlimit-above 10 -j ACCEPT //Ограничиваем количество одновременных соединений до 10 (понятно зачем)

Имена сервисов менять можно в соответствующем файле в etc

Например открываем /etc/lighttpd.conf и меняем значение опции server.tag на «Бла-бла-бла» (желательно указать какой нить дырявый сервис)

Надеюсь написанное будет полезным.

хм.. с конца..

lighttpd.conf - такого нету. Поискал.. это не апаче сервер. А для Апаче похожий приём есть? В конфигах подобных настроек не нашел. У меня Fedora.. а у неё уже вижу, что часто названия и параметры отличаются.

------------------------------------------------------------ server.tag =«lighttpd»: Use to setup lighttpd name and version number (default). This is security feature. You can setup it as follows: server.tag =«myWebServer v1.0» ------------------------------------------------------------

Хех.. чтоб везде так)

Nmap.. Допустим, на машине функционирует не один сервис. Но ведь для эксперимента это не важно должно быть?! Настроил iptables.. такое в целом теперь:

[root@localhost alexey]# iptables -L

Chain INPUT (policy DROP)

target prot opt source destination

ACCEPT all — anywhere anywhere state RELATED,ESTABLISHED

ACCEPT icmp — anywhere anywhere

ACCEPT all — anywhere anywhere

ACCEPT tcp — anywhere anywhere state NEW tcp dpt:ssh

REJECT all — anywhere anywhere reject-with icmp-host-prohibited

ACCEPT tcp — anywhere anywhere tcp dpt:http flags:FIN,SYN,RST,ACK/SYN #conn/32 <= 10

Chain FORWARD (policy ACCEPT)

target prot opt source destination REJECT all — anywhere anywhere reject-with icmp-host-prohibited

Chain OUTPUT (policy ACCEPT)

target prot opt source destination

--------------------------------------------------------------------

На Nmap само по себе это никак не повлияло.

Имена сервисов менять можно в соответствующем файле в etc

это ведь файл /etc/services?! Но он при чем? разве у Nmap своей таблицы такой нету?

В сервисах типа Apache необходимо менять исходники и собирать все ручками.

Если не изменяет память, то банер Apache исправляется редактированием файла include/ap_release.h

Строка #define AP_SERVER_BASEPRODUCT «Apache»

Пример для Nmap приведен только если действует один сервис. Сканер покажет что открыто куча портов, ведь фаер все подключения будет перенапрявлять на 80 порт.

это ведь файл /etc/services?! Но он при чем? разве у Nmap своей таблицы такой нету?

Nmap не телепат, он орпеделяет предположительно сервис, запущенный на хосте. Далее атакующий пробует подключиться к этому сервису, видит его название и пробует применить какой нить эксплойт. Допустим он прочитал «Welcome to ONIXFTPD version 23.18» Он начнет пробовать все уязвимости этого сервиса. Ну и толку от них, если там на самом деле vsftpd.

С iptables немного пошаманить и аналогичными командами перенаправить соеденения со всех портов, кроме задействованных, на тот же 80 порт.

В общем пока так, голова сегодня больше не придумывает.

P.S. Можно сделать фейковый сервис, который даже будет якобы принимать подключения, а потом неожиданно сбрасывать соединения. Можно целого бота написать, пусть скрипткидди переписываются с скриптом :-)

>Имена сервисов менять можно в соответствующем файле в etc

это ведь файл /etc/services?!

Нет, в папке etc есть еще conf файлы сервисов. Если есть возможность менять данные в conf файлах, то это попроще, если нет, то надо менять исходники.

Команду с редиректом соединения вроде бы правильно написал, хотя может и есть где нить ошибка... Проверьте.