Nascondere i numeri di versione aumenta la sicurezza? [duplicare]

Naviga le tue risposte
9

Attualmente sto cercando di migliorare la sicurezza del nostro lavoro. Questo suona molto ampio, ma, per esempio, sto penetrando nei nostri sistemi e controllo se i server sono vulnerabili a determinati exploit.

Ad esempio, SMTP mi ha dato questo risultato telnet: 

220 [redacted] Microsoft ESMTP MAIL Service, Version: 7.5.7601.17514 ready at Mon, 10 Mar 2014 14:15:30 +0100

Dopo alcune ore di ricerca di una soluzione, ho trovato un modo per nascondere i dettagli su questo server, risultando in questo risultato: 

220 [redacted] Ouch, sorry.. 404 - version not found.. Mon, 10 Mar 2014 14:15:57 +0100

Questo sembra molto più sicuro, in quanto non mostra più il numero di versione. La mia domanda è, ha fatto aumentare la sicurezza del mio server? O in realtà non fa molta differenza e dovrei ignorare i numeri di versione come vulnerabilità di sicurezza?

C'è un vantaggio di sicurezza nel nascondere il numero di versione di IIS?

    
posta Rob 10.03.2014 - 14:19
fonte

3 risposte

15

Se questa è la tua unica misura di sicurezza, questa è la cosiddetta sicurezza per oscurità.

La sicurezza dall'oscurità è cattiva se è l'unica cosa su cui ti affidi. La tua prima priorità dovrebbe sempre essere quella di garantire che il software non sia sfruttabile in primo luogo. Ciò significa applicare frequentemente le patch. Detto questo, non c'è motivo di gridare la versione esatta del software che si sta utilizzando. Se nascondere i numeri di versione rende più difficile la vita a un aggressore, farlo assolutamente. Assicurati di non avere un falso senso di sicurezza e che non è l'unica cosa che fai.

    
risposta data 10.03.2014 - 15:02
fonte
6

Qualsiasi numero di versione presente è una bandiera istantanea per un utente malintenzionato. Se hanno il numero di versione, possono ricercare le vulnerabilità di quella versione. Se un utente malintenzionato non trova immediatamente il numero di versione, a volte ha altri metodi come il rilevamento delle impronte digitali per scoprire la versione. Nella tua posizione, direi che hai aumentato la tua sicurezza almeno rallentandola. Per un aggressore meno esperto, forse smetterebbero di provare a quel punto, salvandoti da un attacco.

    
risposta data 10.03.2014 - 14:27
fonte
1

Come amministratore del sistema di posta, penso che sia prudente mostrare il numero di versione principale; un certo numero di volte ho risolto i problemi di recapitabilità in altri siti semplicemente ricercando problemi comuni con la versione principale, eliminando la necessità di eseguire estese procedure di risoluzione dei problemi con i Postmaster del sito remoto.

In termini pratici, il vantaggio in termini di sicurezza qui è minimo (sicurezza attraverso l'oscurità, come detto). Buone patch, isolamento appropriato del sistema, firewall ben configurati e una miriade di altre Best Practice che possono essere implementate renderebbe il server notevolmente più sicuro e renderebbe qualsiasi beneficio (reale o percepito) di questo cambiamento.

    
risposta data 10.03.2014 - 18:48
fonte

Leggi altre domande sui tag

Perché il client HTTP invierà solo le intestazioni di autenticazione una volta rifiutata una richiesta non autenticata? Qual è uno standard di revisione appropriato per uno studio legale?