HOWTO: Nmap täuschen am Beispiel von vsftpd/WU_FTPD

29.01.2007, 01:08

Einen Portscan generell zu blocken wie es viele Personal "Firewalls" tun, ist nicht sehr sinnvoll, denn dies ist sofort ersichtlich (extrem hohe anzahl an FILTERED Ports) und auch mit bestimmten Scanmethoden und Geschwindigkeiten umgehbar ist. Außerdem sind oft auch erwünschte Applikationen von der Blockade betroffen.

Vielmehr sollte man darauf bedacht sein, dass jene Dienste die man anbieten MUSS (nicht benötigte Dienste sowieso immer abschalten) nicht allzuviele Informationen (welcher Server, welche Version) ins Netz blasen.
Natürlich hilft es auch, nicht die Standardports zu verwenden, wenn der Port allerdings gescannt wird, erkennt Nmap mit der Option -A gnadenlos, was sich hinter dem exotischen Port verbirgt

konkretes Beispiel:
Auf einem meiner Server läuft vsftpd. Als ich diesen wieder mal routinemäßig genmapt habe (mit Service Discovery, option -A) stellte ich fest, dass er den FTP server nur als "vsftpd OR WU-FTPD" erkannte. Also habe ich mir schnell einen wu-ftpd auf einer testmaschine installiert und die default Banner message in die (völlig anpassbare) Banner message vom vsftpd kopiert.
Erzieltes Resultat: Server wird fälschlicherweise als WU-FTPD erkannt. Wunderbar.

Auf diese oder ähnliche Weise (man muss nur etwas Fantasie haben) lassen sich fast alle gängigen opensource-Server (und auch Closed-Source-Server, wenn sie gut konfigurierbar sind) anpassen und sicherer machen.

Nmap : www.insecure.org

P.S.:
Beim Apachen lassen sich durch die zwei Optionen

Code:

ServerTokens ProductOnly
ServerSignature Off

die Informationen auf das nötigste reduzieren.

m@rio · 29.01.2007, 16:30

Security through obscurity.
Kein sehr sinnvoller Ansatz!

29.01.2007, 18:40

ZUSÄTZLICH zu anderen Sicherheitskonzepten kann ein wenig security by obscurity nie schaden...

Wikipedia:
"Eine gelungene Umsetzung von Security by Obscurity wäre dagegen das Anbringen eines weiteren, unbenutzten Schlosses an der Tür. Das eigentliche Schloss wird dadurch nicht sicherer, aber ein Einbrecher verschwendet eventuell Zeit auf das falsche Schloss oder versucht es lieber an einer anderen Tür, an der er nur ein Schloss sieht."

genau dieses Prinzip wird angewendet...
und beim Apachen is es doch so: ANGENOMMEN (natürlich der Super-GAU) es gibt eine ungepatchte remote exploitbare schwachstelle in apache. NATÜRLICH werden als ERSTES jene Server attackiert, von denen man anhand des Versionsstrings SOFORT erkennt, dass der server vuln ist.

Ein weiteres Beispiel sind nur auf Terminal 13 erlaubte root logins, viele potentielle angreifer sind dadurch schon aus dem rennen

Es geht hier einfach um Zeitgewinn und Abschreckung von Scriptkiddies. Gegen richtige Hacker kann man als Privatperson sicherheitstechnisch sowieso nichts ausrichten.

29.01.2007, 01:08	#1
schichtleiter Gast Beiträge: n/a	HOWTO: Nmap täuschen am Beispiel von vsftpd/WU_FTPD Einen Portscan generell zu blocken wie es viele Personal "Firewalls" tun, ist nicht sehr sinnvoll, denn dies ist sofort ersichtlich (extrem hohe anzahl an FILTERED Ports) und auch mit bestimmten Scanmethoden und Geschwindigkeiten umgehbar ist. Außerdem sind oft auch erwünschte Applikationen von der Blockade betroffen. Vielmehr sollte man darauf bedacht sein, dass jene Dienste die man anbieten MUSS (nicht benötigte Dienste sowieso immer abschalten) nicht allzuviele Informationen (welcher Server, welche Version) ins Netz blasen. Natürlich hilft es auch, nicht die Standardports zu verwenden, wenn der Port allerdings gescannt wird, erkennt Nmap mit der Option -A gnadenlos, was sich hinter dem exotischen Port verbirgt konkretes Beispiel: Auf einem meiner Server läuft vsftpd. Als ich diesen wieder mal routinemäßig genmapt habe (mit Service Discovery, option -A) stellte ich fest, dass er den FTP server nur als "vsftpd OR WU-FTPD" erkannte. Also habe ich mir schnell einen wu-ftpd auf einer testmaschine installiert und die default Banner message in die (völlig anpassbare) Banner message vom vsftpd kopiert. Erzieltes Resultat: Server wird fälschlicherweise als WU-FTPD erkannt. Wunderbar. Auf diese oder ähnliche Weise (man muss nur etwas Fantasie haben) lassen sich fast alle gängigen opensource-Server (und auch Closed-Source-Server, wenn sie gut konfigurierbar sind) anpassen und sicherer machen. Nmap : www.insecure.org P.S.: Beim Apachen lassen sich durch die zwei Optionen Code: ServerTokens ProductOnly ServerSignature Off die Informationen auf das nötigste reduzieren.

29.01.2007, 16:30	#2
m@rio Master Registriert seit: 10.10.2002 Beiträge: 711	Re: HOWTO: Nmap täuschen am Beispiel von vsftpd/WU_FTPD Security through obscurity. Kein sehr sinnvoller Ansatz!

29.01.2007, 18:40	#3
schichtleiter Gast Beiträge: n/a	ZUSÄTZLICH zu anderen Sicherheitskonzepten kann ein wenig security by obscurity nie schaden... Wikipedia: "Eine gelungene Umsetzung von Security by Obscurity wäre dagegen das Anbringen eines weiteren, unbenutzten Schlosses an der Tür. Das eigentliche Schloss wird dadurch nicht sicherer, aber ein Einbrecher verschwendet eventuell Zeit auf das falsche Schloss oder versucht es lieber an einer anderen Tür, an der er nur ein Schloss sieht." genau dieses Prinzip wird angewendet... und beim Apachen is es doch so: ANGENOMMEN (natürlich der Super-GAU) es gibt eine ungepatchte remote exploitbare schwachstelle in apache. NATÜRLICH werden als ERSTES jene Server attackiert, von denen man anhand des Versionsstrings SOFORT erkennt, dass der server vuln ist. Ein weiteres Beispiel sind nur auf Terminal 13 erlaubte root logins, viele potentielle angreifer sind dadurch schon aus dem rennen Es geht hier einfach um Zeitgewinn und Abschreckung von Scriptkiddies. Gegen richtige Hacker kann man als Privatperson sicherheitstechnisch sowieso nichts ausrichten.

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)