El efecto de los banners de servicio ocultos o falsificados en los escáneres de vulnerabilidad

4

La pregunta vinculada se relaciona con las páginas de error, aunque la misma información a menudo está disponible en los encabezados HTTP, si sigo la mejor práctica de ocultar los banners de servicio:

¿Es un riesgo de seguridad mostrar el servidor que estoy ejecutando en las páginas de error?

¿Estaría obstaculizando la efectividad de los escáneres de vulnerabilidad como Nessus o OpenVAS? Por ejemplo, digamos que estoy ejecutando el servidor web ficticio Foobar v1.1 y hay una vulnerabilidad que afecta a las versiones de Foobar < v2.0 .

Si el NVT funciona al verificar el banner de servicio, ocultar el banner significaría que la vulnerabilidad no se detectará mediante ninguna prueba automatizada de vulnerabilidad de la red.

¿Cuál es la recomendación general aquí? ¿Sería mejor que el banner estuviera oculto y luego se detectaría esta vulnerabilidad durante una prueba de lápiz manual en lugar de un escaneo automático? ¿Las herramientas de prueba de penetración, como Metasploit Pro, intentarán explotarlo automáticamente, incluso si el banner no se encuentra o está falsificado (digamos que alguien lo cambió para decir Foobar v2.0 cuando en realidad era v1.1 )?

Tenga en cuenta que no estoy diciendo que ocultar o falsificar el banner sea una buena manera de manejar fallas de seguridad, sin embargo, me preocupa que los escáneres no detecten vulnerabilidades en situaciones similares.

    
pregunta SilverlightFox 02.12.2014 - 13:23
fuente

2 respuestas

8

Lo primero que se debe tener en cuenta aquí es que la captura de banners es una forma propensa a errores de verificar vulnerabilidades en muchos casos (ya que los proveedores de sistemas operativos realizan correcciones de seguridad de backport sin actualizar los números de versión). Nessus como ejemplo tratará de solucionarlo, pero no es infalible.

La mejor manera de abordar la verificación de su seguridad con escáneres es hacer que realicen una verificación con credenciales. Es mucho más preciso y completo que la verificación sin credenciales. No sustituye a un bolígrafo manual adecuado. pruebe como hay cosas que los escáneres no encuentran, pero vale la pena hacerlas.

En cuanto a si debes ocultar los banners, no estaré de acuerdo con @limbenjamin y diré que quitarlos es generalmente una buena idea, siempre y cuando no sea realmente difícil de hacer. La razón de esto es que hace que un atacante trabaje más duro para averiguar qué software está ejecutando, lo que hace más "ruido" que puede ser detectado por sistemas de detectives como IDS (vea también esta pregunta )

    
respondido por el Rоry McCune 02.12.2014 - 14:05
fuente
2

Esto me parece mucho a la seguridad por la oscuridad. Está intentando ocultar la vulnerabilidad de los escáneres automatizados.

Si bien una medida de este tipo podría desviar las exploraciones simples, en realidad no aborda el problema real. Aún tendría que mantenerse al día con los parches para asegurar su servidor.

Como mencionó, podría crear una falsa sensación de seguridad, ya que los análisis automatizados podrían no detectar la vulnerabilidad. Mi opinión no es ocultar el banner, sino centrarse en la seguridad real de su servidor

    
respondido por el limbenjamin 02.12.2014 - 13:54
fuente

Lea otras preguntas en las etiquetas