mod_secrurity + ServerSignature -Wie verschleiere ich OS und daemons-identitäten?

[tomotom]

Mit mod_security kann dem apache eine scheinbar andere Identität gegeben werden, um die wahre Identität zu verschleiern.

Code: Select all

SecServerSignature "IIS 2.0 (just kidding)"

Prüft man mit aktiviertem nmap die Identität erhält mal unten sichtbaren sehr eigenartiges Resultat was jedoch wiederum auf mod_security und apache schließen läßt. Da beißt sich die Katze in den Schwanz.

Ich test gerade die Regeln aus dem dep-paket 1.9 und damit gibt es das genannte Ergebnis. Ich denke da gibt es eine Lösung.

Wie sieht das nmap Ergebnis bei auch aus?
Und welche Regel verursacht solche Ergebnisse? Da kann ich ja viel ausschließen - alles nur eine Frage der Zeit...

Code: Select all

x~# nmap -sV -p 80 xyz.de

Starting nmap 3.81 ( http://www.insecure.org/nmap/ ) at 2006-10-31 23:18 CET
Interesting ports on xyz.de (1.2.3.4):
PORT   STATE SERVICE VERSION
80/tcp open  http?
1 service unrecognized despite returning data. If you know the service/version, please submit the following fingerprint at http://www.insecure.org/cgi-bin/servicefp-submit.cgi :
SF-Port80-TCP:V=3.81%D=10/31%Time=4547CBCA%P=i686-pc-linux-gnu%r(GetReques
SF:t,10F8,"HTTP/1.1x20200x20OKrnDate:x20Tue,x2031x20Octx202006x2
SF:022:18:29x20GMTrnServer:x20Apache/2rnLast-Modified:x20Tue,x2031
...
SF:ntent-Type:x20text/html;x20charset=iso-8859-1rnrn");

Nmap finished: 1 IP address (1 host up) scanned in 70.534 seconds

[pennybridge]

Wie sieht das nmap Ergebnis bei auch aus?
Und welche Regel verursacht solche Ergebnisse? Da kann ich ja viel ausschließen - alles nur eine Frage der Zeit...

Diese beiden Standardheader von IIS und Apache zeigen eigentlich
schon deutlich, wo die Logik beim Fingerprinting ist

Code: Select all

HTTP/1.1 200 OK
Date: Wed, 01 Nov 2006 00:29:00 GMT
Server: Apache/2.2.3 (Unix) mod_ssl/2.2.3 OpenSSL/0.9.7g
Last-Modified: Thu, 19 Oct 2006 15:34:51 GMT
ETag: "215bb-343b-4202bba78bcc0"
Accept-Ranges: bytes
Content-Length: 13371
Cache-Control: max-age=86400
Expires: Thu, 02 Nov 2006 00:29:00 GMT
Content-Type: text/html

Code: Select all

HTTP/1.1 200 OK
Date: Wed, 01 Nov 2006 00:29:00 GMT
Server: Microsoft-IIS/6.0
P3P: CP="ALL IND DSP COR ADM CONo CUR CUSo IVAo IVDo PSA PSD TAI TELo OUR SAMo CNT COM INT NAV ONL PHY PRE PUR UNI"
X-Powered-By: ASP.NET
X-AspNet-Version: 2.0.50727
Cache-Control: private
Content-Type: text/html; charset=utf-8
Content-Length: 32705

Und noch was zum Lesen
http://net-square.com/httprint/httprint_paper.html

[tomotom]

...
Und noch was zum Lesen
http://net-square.com/httprint/httprint_paper.html

Der Artikel ist ganz interessant. Wenn ich ihn richtig verstanden habe ist es gar nicht möglich die Identität eines Servers richtig zu verschleiern.


Meine Frage galt jedoch mehr dem mod_security und ob das im ersten post eingefügten nmap Ergebnis für mod_security normal ist.

Was für Möglichkeiten gibt es um das OS und andere Dienste sicher zu verschleiern?
Webserver lassen sich immer identifizieren aber gilt das auch für andere Dienste?