¿La ocultación de las versiones de software del servidor tiene un efecto notable en la seguridad?

8

Los servidores web pueden agregar Server , X-Powered-By y encabezados similares en las respuestas HTTP. Parece que el consenso es dichos encabezados deben eliminarse para que los escáneres automáticos de vulnerabilidades no sepan de inmediato qué versión de qué software estamos tratando y por lo tanto el descubrimiento automático de vulnerabilidades se vuelve más difícil.

Suena bien, pero ... A menudo es fácil encontrar qué software ejecuta un servicio desde otras fuentes. Por ejemplo, es bien sabido que Stack Exchange se ejecuta en IIS y ASP.NET, entonces parece que no importa mucho si Stack Exchange suprime Server y X-Powered-By .

¿Qué tan importante es eso? ¿En qué medida ayuda la eliminación de estos encabezados? ¿Es solo para sentirse más seguro o tiene un efecto real y notable?

    
pregunta sharptooth 14.06.2012 - 13:40
fuente

3 respuestas

7

Dado que una gran cantidad de ataques se automatizan y pasan de los escaneos para identificar el sistema operativo / plataforma, esto tiene un efecto positivo neto. Y como el esfuerzo para implementar esto es casi nulo, siempre recomendamos que se haga.

Los escaneos automáticos (no de un atacante que se dirige específicamente a usted) primero ejecutarán un paso de huella, para identificar la plataforma; esto es a menudo tan simple como un agarre de banner, ya que es rápido, y falsear el banner significará que su sistema ganó no se pueden comparar en su base de datos de vulnerabilidades de la plataforma ||.

¡Esto tiene un valor aún mayor si su plataforma tiene vulnerabilidades conocidas, ya que el banner lo anunciaría de manera efectiva!

(por supuesto, si usan nmap o varias otras opciones, aún podrán identificar la plataforma, por lo que esto no es una bala de plata, sino simplemente una mejora)

    
respondido por el Rory Alsop 14.06.2012 - 16:22
fuente
12

La pregunta es sobre "Seguridad a través de la oscuridad" 1 . ¿La ocultación de su diseño / implementación (por ejemplo, qué servidor está ejecutando) lleva a menos casos de explotación? Este es un tema largamente debatido con argumentos razonables en ambos lados de la cerca.

Todas las prácticas de seguridad son una compensación entre el costo (por ejemplo, esfuerzo, facilidad de mantenimiento, dinero) y beneficio (menor cantidad de casos de explotación, menor impacto de los casos inevitables). En este caso, el costo es el esfuerzo necesario para cambiar la cadena y el beneficio es cierto grado de oscuridad. Sin embargo, (como anotó) en un ataque dirigido (y con eso quiero decir que alguien está decidido a ingresar a sus sistemas), existen otros métodos para cancelar ese beneficio (por ejemplo, ver páginas de error predeterminadas. archivos predeterminados, cosas oscuras como el manejo de cookies y pwning algo más). En un ataque no dirigido (y con eso me refiero a algún skiddie que busca fruta de baja altura o un software automatizado que explora internet, lo mismo) evita el hostigamiento.

SIN EMBARGO, las acciones necesarias para protegerse contra un ataque dirigido (actualizaciones periódicas, controles de acceso, configuración sana, buena higiene de datos) protegerían contra los ataques no dirigidos mencionados anteriormente . Estos son, con mucho, el mejor valor para el dólar y lo que deberías estar haciendo.

Entonces, si no tienes otras cosas que hacer, entonces sigue adelante y oculta tus tokens de servidor. Evitará que la gente se dé cuenta de la caída de la fruta si está super tarde en la aplicación de parches o si algo falla. Sin embargo, tenga en cuenta que en ese caso es posible que ya esté muerto en el agua. Entonces, si queda algo, es mejor dedicar su tiempo a eso o a hacer preguntas como esta.

Personalmente prefiero agregar tokens de servidor cómicos para hacer reír a los atacantes o tokens de servidor incorrectos para confundirlos. minorcrash.com (cuando está arriba) actualmente tiene una inyección DOM que muestra una imagen de un gato golpeado por una bola de nieve.

    
respondido por el chao-mu 14.06.2012 - 15:31
fuente
3

Ocultar la captura de banners y modificar la respuesta del servidor definitivamente no afectará tu postura general de seguridad, pero en mi opinión tampoco ayuda drásticamente. Estás hablando de "seguridad a través de la oscuridad". Si bien la modificación de estos banners puede impedir que algunos análisis ejecuten "ataques" adicionales contra usted, no va a detener a nadie que esté semi determinado a ingresar a su red. Sin embargo, hay algunas regulaciones, como PCI, que le fallarán si tiene información de versión de SSH disponible para los usuarios. Por lo tanto, en estos casos, aunque la ganancia de seguridad sea mínima, debe hacerlo para el cumplimiento. Dicho todo esto, tratar de ocultar la información de los atacantes siempre es una buena idea para hacer que trabajen un poco más, pero simplemente no confían en ella de ninguna manera. Continúe usando las mejores prácticas para cualquier sistema operativo o aplicación que use, céntrese en el fortalecimiento del sistema y asegúrese de que solo tenga abiertos los puertos / aplicaciones necesarios a través de su firewall. La seguridad tiene que ver con las capas, y tratar de ocultar la información es una capa de muy bajo nivel.

    
respondido por el Eric 14.06.2012 - 15:15
fuente

Lea otras preguntas en las etiquetas