Escondendo banners de serviços

Ótimo artigo, parabéns!

[]'s

Essa sua "tecnica" seria funcional apenas para os kidda, pois 1 daemon fingerprint poe por agua a abaixo totalmente o seu falso conceito de segurança. O que é facilmente aplicado por atacante com conhecimentos intermediarios (não precisando nem ter conhecimento avançado).
O que não falta na net hoje eh documentação sobre esse assunto..
Talvez seja funcional contra kiddes, nada mais..

Funciona contra kiddes, mas, a maioria das pessoas que tentam invadir sao kiddes, já é meio caminho andado se livrar deles.
Outra coisa, nao adianta ficar com um serviço desatualiado com a falsa sensação de que esta escondendo o banner esta seguro, o melhor é estar sempre com os programas que falam com a internet na versão mais estável.

Só uma dica, quando rodar o nessus, é interessante deixar os banners, pois algumas regras dele é baseada na versão que aparece o banner, e escondendo ele pode não avisar que aquela versão esta insegura.

Abraços

Com certeza, já é uma iniciativa... aqui, o meu nmap não reconheceu a flag -A ... seria essa mesmo a flag??

[]'s

Daniel Freire

Obrigado pelos comentários, desculpem por eu não ter respondido antes, pois realmente estava sem tempo;

zlow: Eu não quis com esse artigo apontar uma solução 100% eficaz contra qualquer um que tentar uma invasão, apenas demonstrei um método que irá com certeza reduzir as chances de ataques vindos de "kiddies", que são os com menores conhecimentos, pois sem saberem qual a versão do servidor como irão tentar executar algum exploit? Como a maioria dos ataques são originados por "kiddies", você irá diminuir o sucesso nas tentativas de invasões. E em relação aos ' daemon fingerprints', pelo pouco que eu sei, esses capturam a versão dos serviços através dos banners dos mesmos.

dinho_rock: Com certeza, sempre devemos manter nossos servidores na última versão estavél possivél, por isso que coloquei alguns links sobre básico em sergurança no fim do artigo.

alphainfo: Verifique a versão do seu nmap, acredito que esta opção só entrou em vigor apartir da versão 3.48, baixe as fontes (ou rpm) do site do nmap (http://www.insecure.org/nmap).

Falow..

"E em relação aos ' daemon fingerprints', pelo pouco que eu sei, esses capturam a versão dos serviços através dos banners dos mesmos."

Daemon fingerprint naum fazem a captura por banners, mas sim por respostas padroes do daemons. Ex: help
Realmente é funcional contra kiddes.Parabens..
Mas me corrija se eu estiver errado.
Algumas IDS aplicam seus filtros de acordo com a versão do daemon capturando a versão dos mesmos pelos banner..
Seria trocar uma nota de 100 por uma de 50 .
visto que uma IDS é mais funcional, impedindo até mesmo a ação do nmap e outros scanners "populares".

Vale lembrar que isso naum eh uma critica, mas sim uma discução para poder ter vários pontos de vistas, e podermos chegar a uma visão mais ampla sobre o conceito de segurança.

Abraços..
Diego Maranhão

Obrigado, cmarcelo....

Foi atualizar o nmap e funfou...

[]'s à todos!

lol
muito bom esse seu artigo!! vai ser muito util pra mim.. jah tah nos favoritos :)

Amigo.. achei interessante.. e pensei.. como eu poderia tirar o banner do SSH? aki no meu server.. eu mudei o nome do serviço.. mudei a porta.. e ficou quase ok..

um nmap -p 0-65535 acha minha porta e mostra unknow.. mas se eu der nmap com -sV ele informa: "porta/tcp open ssh OpenSSH 4.3p2 Debian 9 (protocol 2.0)"..

ou seja.. tudo.. tem como corrigir.. e esconder?