SSH Versionsnummer verbergen

[Anonymous]

Eine frage an euch, ich hoffe Ihr könnt mir weiterhelfen. Ich bin grad dabei die Versionsnummern von den zwei diensten die auf meinen Server laufen zu unterbinden, beim apache klappt das ja wunderbar jedoch bekomme ich nach dem scan des Servers immernoch die Versionsnummer vom SSH mitgeteilt.

Code: Select all

SSH-2.0-OpenSSH_3.4p1 Debian 1:3.4p1-1.woody.3

Wie kann ich nun diese unterbinden, bzw. kann man das überhaupt?

[captaincrunch]

1. Wozu?

2. Kompilier das ganze aus den Sourcen, und ändere halt (vorsichtig) den resultierenden String.

[floschi]

Wie kann ich nun diese unterbinden, bzw. kann man das überhaupt?

Es ist sicher lustig, für ein dumpfbackiges Skriptkiddie einen Linuxserver als Windowsserver zu tarnen, aber mehr als ein breites Grinsen auf dem Gesicht des BOFH erwarte ich mir da nicht.

Fazit:

Das leidige Thema Security by obscurity ist meistens sinnfrei ;)

[cfuchs]

[quote="CaptainCrunch"]1. Wozu?
[/quote]

Natürlich eine berechtigte Frage. Ich halte Security by obscurity auch für Blödsinn, aber stelle dir folgendes Szenario vor:

Sicherheitslücke im sshd, $ScriptKiddie bekommt "k3wlen haX0r exploit" und checkt jetzt mit einem Scanner verschiedene Netze nach den sshd-Versionen und sucht die verwundbare. Wenn mein Server ihm dann keine richtige Versionsnummer zurückgibt, bin ich (für dieses eine Mal) fein raus.

Eventuell verschafft mir das die Stunde Vorsprung, bis ich das Update gemacht habe.

Wenn $ScriptKiddie sich nicht auf die Versionsnummer verlässt, dann hatte ich natürlich Pech, aber gerade bei so oft eingesetzter Software wie dem sshd bieten sich ja dann genügend Rechner an, die ohne entsprechende Patches laufen, deswegen wird sich ein ScriptKiddie vermutlich nicht konkret mit meinem Server beschäftigen, sofern er nicht gleich die "richtige" Versionsnummer zurückliefert (dumm ist es nur, wenn der Scanner sich nicht an den Versionsnummern orientiert oder $ScriptKiddie gleich den Exploit auf sämtliche Rechner loslässt).

Bei einem BOFH ist das natürlich was anderes.... :-)

[captaincrunch]

Sicherheitslücke im sshd, $ScriptKiddie bekommt "k3wlen haX0r exploit" und checkt jetzt mit einem Scanner verschiedene Netze nach den sshd-Versionen und sucht die verwundbare. Wenn mein Server ihm dann keine richtige Versionsnummer zurückgibt, bin ich (für dieses eine Mal) fein raus.

Gefährlicher Trugschluss, denn "$ScriptKiddie" versucht's wahllos, ohne auf die Versionsnummer zu schauen...wie du weiter unten bereits selbst bemerkt hast. Denkst du wirklich, dass ansonsten zigtausend Unix-Server Logfileeinträge aufweisen, mit denen sonst Windows-Kisten geknackt werden?

Eventuell verschafft mir das die Stunde Vorsprung, bis ich das Update gemacht habe.

Wenn du so viel Bammel davor hast, dass dir irgendein Spinner so viel Glück hat, und kurz bevor du bemerkt hast dass es ein Securityupdate gibt, warum beschäftigst du dich dann nicht lieber damit, die Kiste besser abzusichern statt mit Security by obscurity anzufangen?

[Joe User]

dumm ist es nur, wenn der Scanner sich nicht an den Versionsnummern orientiert oder $ScriptKiddie gleich den Exploit auf sämtliche Rechner loslässt

Eben, was glaubst Du welche "Toolz" in Zeiten von xDSL bevorzugt werden?

[Anonymous]

@CaptainCrunch
1. Es geht keinen was an.
2. Danke habs einwandfrei hinbekommen

@olfi
ich hoffe Du meinst nicht mich damit und ob es sinnvoll is oder nicht lasse ich mal dahin gestellt

[captaincrunch]

1. Es geht keinen was an.

Stimmt...ich hatte (mal wieder) vergessen, dass wir hier nur dazu da sind, Fragen stumpf nach Schema F zu beantworten, ohne uns dabei auch nur den kleinsten Hintergedanken zu machen, um erst gar nicht auf die saublöde Idee zu kommen, unter Umständen sogar noch auf "Nebensächlichkeiten" hinzuweisen...

Des weiteren: ich bin zwar nicht olfi, nehme mir aber direkt die nächste Frechheit heraus, und antworte dir trotzdem.

ich hoffe Du meinst nicht mich damit

Wo bitteschön kann man diese zwei Sätze bitteschön auf dich (oder den Fragesteller im allgemeinen) beziehen? Getroffene Hunde...ach, lassen wir das... :roll:

[nyxus]

1. Es geht keinen was an.

Stimmt...ich hatte (mal wieder) vergessen, dass wir hier nur dazu da sind, Fragen stumpf nach Schema F zu beantworten, ohne uns dabei auch nur den kleinsten Hintergedanken zu machen, um erst gar nicht auf die saublöde Idee zu kommen, unter Umständen sogar noch auf "Nebensächlichkeiten" hinzuweisen...

Da diese Diskussion hier ja öfter ist auch meinen Senf (mal wieder) dazu. Ich meine, daß das was er meint, wirklich keinen was angeht, was aber nicht das ist was Du meinst, das er es meinen würde ... ;-)

Also: Es geht wirklich keinen was an. Nämlich die Info, welche SSH-Version man benutzt. Zumindest keinen der nicht ein berechtigtes Interesse daran hätte. Und dabei sind die security-mäßigen "Vorteile" die man daraus hat auch eher nebensächlich. Es ist halt der minimalistische Ansatz "nicht mehr als nötig".

Er meinte ganz sicher nicht, daß es Dich nichts angeht warum er es verbergen will.

[Joe User]

Mir ist ein Dienst, welcher seine echte Version ausspuckt lieber, da dies oftmals nur die für diese Version relevanten Exploits beziehungsweise deren Anwendungsversuche nach sich zieht und nicht auch noch jene für alle älteren Versionen des Dienstes...

[captaincrunch]

Ich meine, daß das was er meint, wirklich keinen was angeht, was aber nicht das ist was Du meinst, das er es meinen würde ...

In dem Fall habe ich das ganze wohl in den komplett falschen Hals bekommen...

[nyxus]

Mir ist ein Dienst, welcher seine echte Version ausspuckt lieber, da dies oftmals nur die für diese Version relevanten Exploits beziehungsweise deren Anwendungsversuche nach sich zieht und nicht auch noch jene für alle älteren Versionen des Dienstes...

Interessante These. Hast Du irgendwelche Infos ob einen das in der Vergangenheit wirklich mal geschützt hätte? Sind wirklich manche Tools so "intelligent" oder beziehst Du dich dabei auf menschliche Angreifer?

[captaincrunch]

Hast Du irgendwelche Infos ob einen das in der Vergangenheit wirklich mal geschützt hätte?

Gegenfrage: hast du Infos, dass das Verbergen einer Versionnummer mal irgend jemandem vor einem (versuchten) Angriff geschützt hätte?

[nyxus]

Gegenfrage: hast du Infos, dass das Verbergen einer Versionnummer mal irgend jemandem vor einem (versuchten) Angriff geschützt hätte?

Konkret habe ich dazu keine Infos da. Aber in Zeiten, als automatisierte Tools noch nicht die Regel waren, konnte man damit sicher den einen oder anderen Angreifer stören (ich sage jetzt bewußt nicht, daß man einen Angriff verhindern konnte). Und wenn ich so in meine alten Security-Schulungsunterlagen schaue (z.B. aus dem Jahr 1998) wurde auch das noch als ein kleiner Baustein (halt ein Slide von ein paar hundert) in der Reihe der sinnvollen Aktionen dargestellt. Ob das gute Schulungsunterlagen waren sei mal dahingestellt. Es war eine der Vorgänger-Schulungen, die heute als Vorbereitung auf die TICSA-Zertifizierung (http://www.truesecure.com/knowledge/ticsa/index.shtml) empfohlen wird.

Eine Antwort auf meine ursprüngliche Frage würde mich aber immernoch interessieren. Denn daß es keinen nennenswerten Vorteil hat ist heutzutage klar. Aber daß es wirklich Nachteile haben sollte kann ich noch nicht glauben.

[Joe User]

Das Verbergen der Versionsnummern kann man fast einem SelfDoS gleichsetzen, denn 2 Exploitversuche für Version xyz stört den jeweiligen Dienst kaum, bei >200 versionsunabhängigen Versuchen ist er vorübergehend nicht erreichbar und/oder schmiert unter Umständen gar komplett ab...

[nyxus]

Das Verbergen der Versionsnummern kann man fast einem SelfDoS gleichsetzen, denn 2 Exploitversuche für Version xyz stört den jeweiligen Dienst kaum, bei >200 versionsunabhängigen Versuchen ist er vorübergehend nicht erreichbar und/oder schmiert unter Umständen gar komplett ab...

Muß kein Nachteil sein. Einen Versuch übersehe ich vielleicht im Monitoring. Bei 200 Alarmen des IDS-Systems auf eine IP ist das relativ unwahrscheinlich. Außerdem warum sollte ein systematisch vorgehender Angreifer (ich gehe mal nicht davon aus, daß das ein Script so extrem macht; wenn doch: welches?) mit einer so dicken Keule draufhauen? Denn daß man das merkt sollte jedem klar sein.

[outofbound]

Die Hauptgefahr bei so etwas ist, sich darauf zu verlassen und evtl. Leichtsinnig zu werden.
Solch eine "Schutzmassnahme" habe ich auch in meinen Securitydocus stehen, allerdings unter dem Punkt "After everything else has been accounted for, then..."

Gruss,

Out

[nyxus]

Die Hauptgefahr bei so etwas ist, sich darauf zu verlassen und evtl. Leichtsinnig zu werden.

ich traue (fast ;-) ) jedem erstmal zu auch selbst nachdenken zu können.
Und bisher (auch bei den bisherigen Diskussionen) sah es eigentlich nie so aus, als wenn sich jemand alleine darauf verlassen wollte.

Solch eine "Schutzmassnahme" habe ich auch in meinen Securitydocus stehen, allerdings unter dem Punkt "After everything else has been accounted for, then..."

ah, endlich ein zweiter der darin nichts wirklich böses sieht ... :lol:

[captaincrunch]

ah, endlich ein zweiter der darin nichts wirklich böses sieht ...

Wart's ab: der nächste ändert den haargenau falschen String...und sperrt sich damit selbst köstlich von der Kiste aus. ;)

[Anonymous]

ah, endlich ein zweiter der darin nichts wirklich böses sieht ...

Wart's ab: der nächste ändert den haargenau falschen String...und sperrt sich damit selbst köstlich von der Kiste aus. ;)

Das das einfach ist sagt ja auch keiner, man sollte schon halt wissen was man tut :-D.

Es sagt ja auch keiner das ich mich auf derartige Schutzmaßnahmen verlasse, war nur der letzte Punkt die Versionsnummern zu entfernen. Und ob das jetzt einen Vor- oder Nachteil is, für wenn auch immer ($ScriptKiddie oder für mich), ich sehe das persönlich als risiko und das zählt für mich.
Genauso ist es doch mit allen anderen dingen auch, wenn alle der gleichen Meinung wären bräuchte man kein Forum wie dieses.
Dann stellt man paar Tutorials zur Verfügung und das wars.

[nyxus]

ah, endlich ein zweiter der darin nichts wirklich böses sieht ...

Wart's ab: der nächste ändert den haargenau falschen String...und sperrt sich damit selbst köstlich von der Kiste aus. ;)

ok, wer sowas gleich an seinem Produktivsystem testet fällt dann halt aus meiner ersten "Klassifizierung" wieder raus. ;-)

[floschi]

Ist mir nur gerade als blöder Vergleich eingefallen:

Ein Einbrecher sieht, dass in einer Wohnung niemand daheim ist und erkennt eine Sicherheitslücke, da ein Fenster offen steht. Dem ist es ziemlich egal, was auf dem Türschild steht *g*

Schönen Sonntag noch ;)

[nyxus]

Ist mir nur gerade [...] eingefallen:

Ein sehr schönes Geschichtele, das ich gerne später meinen Enkeln zum Einschlafen erzählen werde. Aber was hat es mit diesem Fall zu tun? ;-)

[kase]

Jetzt stell dir mal vor, das Fenster ist offen, und am Türschild steht Polizei ;)

Allerdings bin ich auch der Ansicht, dass ein offener Port ein offener Port ist, ein Dienst ein Dienst, und eine Sicherheitslücke eine Sicherheitslücke.

Und es ist definitiv so, dass maximal ein Bruchteil aller Tools vorher die Version prüfen, denn die Version zu prüfen ist oftmals genauso viel Arbeit, wie den Exploit zu prüfen, warum dann also beides machen...

[dodolin]

Aber was hat es mit diesem Fall zu tun?

IMHO sehr viel. Wenn du den Zusammenhang nicht siehst, kann ich dir auch nicht helfen...

@olfi: Nette Geschichte!