HOWTO: Nmap täuschen am Beispiel von vsftpd/WU_FTPD

29.01.2007, 01:08

Einen Portscan generell zu blocken wie es viele Personal "Firewalls" tun, ist nicht sehr sinnvoll, denn dies ist sofort ersichtlich (extrem hohe anzahl an FILTERED Ports) und auch mit bestimmten Scanmethoden und Geschwindigkeiten umgehbar ist. Außerdem sind oft auch erwünschte Applikationen von der Blockade betroffen.

Vielmehr sollte man darauf bedacht sein, dass jene Dienste die man anbieten MUSS (nicht benötigte Dienste sowieso immer abschalten) nicht allzuviele Informationen (welcher Server, welche Version) ins Netz blasen.
Natürlich hilft es auch, nicht die Standardports zu verwenden, wenn der Port allerdings gescannt wird, erkennt Nmap mit der Option -A gnadenlos, was sich hinter dem exotischen Port verbirgt

konkretes Beispiel:
Auf einem meiner Server läuft vsftpd. Als ich diesen wieder mal routinemäßig genmapt habe (mit Service Discovery, option -A) stellte ich fest, dass er den FTP server nur als "vsftpd OR WU-FTPD" erkannte. Also habe ich mir schnell einen wu-ftpd auf einer testmaschine installiert und die default Banner message in die (völlig anpassbare) Banner message vom vsftpd kopiert.
Erzieltes Resultat: Server wird fälschlicherweise als WU-FTPD erkannt. Wunderbar.

Auf diese oder ähnliche Weise (man muss nur etwas Fantasie haben) lassen sich fast alle gängigen opensource-Server (und auch Closed-Source-Server, wenn sie gut konfigurierbar sind) anpassen und sicherer machen.

Nmap : www.insecure.org

P.S.:
Beim Apachen lassen sich durch die zwei Optionen

Code:

ServerTokens ProductOnly
ServerSignature Off

die Informationen auf das nötigste reduzieren.

29.01.2007, 01:08	#1
schichtleiter Gast Beiträge: n/a	HOWTO: Nmap täuschen am Beispiel von vsftpd/WU_FTPD Einen Portscan generell zu blocken wie es viele Personal "Firewalls" tun, ist nicht sehr sinnvoll, denn dies ist sofort ersichtlich (extrem hohe anzahl an FILTERED Ports) und auch mit bestimmten Scanmethoden und Geschwindigkeiten umgehbar ist. Außerdem sind oft auch erwünschte Applikationen von der Blockade betroffen. Vielmehr sollte man darauf bedacht sein, dass jene Dienste die man anbieten MUSS (nicht benötigte Dienste sowieso immer abschalten) nicht allzuviele Informationen (welcher Server, welche Version) ins Netz blasen. Natürlich hilft es auch, nicht die Standardports zu verwenden, wenn der Port allerdings gescannt wird, erkennt Nmap mit der Option -A gnadenlos, was sich hinter dem exotischen Port verbirgt konkretes Beispiel: Auf einem meiner Server läuft vsftpd. Als ich diesen wieder mal routinemäßig genmapt habe (mit Service Discovery, option -A) stellte ich fest, dass er den FTP server nur als "vsftpd OR WU-FTPD" erkannte. Also habe ich mir schnell einen wu-ftpd auf einer testmaschine installiert und die default Banner message in die (völlig anpassbare) Banner message vom vsftpd kopiert. Erzieltes Resultat: Server wird fälschlicherweise als WU-FTPD erkannt. Wunderbar. Auf diese oder ähnliche Weise (man muss nur etwas Fantasie haben) lassen sich fast alle gängigen opensource-Server (und auch Closed-Source-Server, wenn sie gut konfigurierbar sind) anpassen und sicherer machen. Nmap : www.insecure.org P.S.: Beim Apachen lassen sich durch die zwei Optionen Code: ServerTokens ProductOnly ServerSignature Off die Informationen auf das nötigste reduzieren.

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)