L'effetto dei banner di servizio nascosti o falsificati sugli scanner di vulnerabilità

4

La domanda collegata si riferisce alle pagine di errore, sebbene le stesse informazioni siano spesso disponibili nelle intestazioni HTTP, se seguo le best practice per nascondere i banner di servizio:

Visualizza il server in cui sono in esecuzione nelle pagine di errore un rischio per la sicurezza?

ostacolerei l'efficacia degli scanner di vulnerabilità come Nessus o OpenVAS? Ad esempio, supponiamo che eseguo il fittizio server web Foobar v1.1 e che ci sia una vulnerabilità che riguarda le versioni di Foobar < v2.0 .

Se NVT funziona controllando il banner di servizio, nascondere il banner significherebbe che la vulnerabilità non verrebbe rilevata da test di vulnerabilità della rete automatizzati.

Qual è la raccomandazione generale qui? Sarebbe meglio che il banner venisse nascosto e quindi questa vulnerabilità verrebbe rilevata durante un test manuale della penna piuttosto che una scansione automatica? Gli strumenti di test di penetrazione come Metasploit Pro tenteranno automaticamente di sfruttarlo, anche se il banner è mancante o falsificato (ad esempio qualcuno lo ha modificato per dire Foobar v2.0 quando era in effetti v1.1 )?

Si noti che non sto dicendo che nascondere o spoofing dello striscione sarebbe un buon modo per gestire i difetti di sicurezza, tuttavia sono preoccupato che gli scanner possano perdere vulnerabilità in situazioni simili.

    
posta SilverlightFox 02.12.2014 - 13:23
fonte

2 risposte

8

La prima cosa da notare qui è che l'acquisizione di banner è un modo incline agli errori di verificare la presenza di vulnerabilità in molti casi (poiché i fornitori di sistemi operativi supportano il backup delle correzioni di sicurezza senza aggiornare i numeri di versione). Nessus come esempio proverà a risolverlo, ma non è infallibile.

Il modo migliore per affrontare il controllo della sicurezza con gli scanner è di indurli a fare il controllo delle credenziali. È molto più accurato e completo rispetto al controllo noncredenziale. Non prende il posto di una penna manuale appropriata. prova perché ci sono cose che gli scanner non trovano, ma che vale comunque la pena fare.

Per quanto riguarda il fatto che dovresti nascondere i banner, non sono d'accordo con @limbenjamin e dico che rimuovere banner è generalmente una buona idea purché non sia molto difficile da fare. La ragione di ciò è che fa sì che un utente malintenzionato lavori di più per scoprire quale software stai utilizzando, il che rende più "rumore" che può essere rilevato dai sistemi di rilevamento come IDS (vedi anche questa domanda )

    
risposta data 02.12.2014 - 14:05
fonte
2

Questo suona molto simile alla sicurezza per l'oscurità per me. Stai tentando di nascondere la vulnerabilità dagli scanner automatici.

Mentre una misura del genere potrebbe eliminare semplici scansioni, in realtà non risolve il problema reale. Dovresti comunque essere aggiornato con le patch per proteggere il tuo server.

Come accennato, potrebbe creare un falso senso di sicurezza poiché le scansioni automatiche potrebbero non raccogliere la vulnerabilità. La mia opinione è di non oscurare il banner ma di concentrarsi sulla sicurezza effettiva del server

    
risposta data 02.12.2014 - 13:54
fonte