Хитрый тюнинг и грамотная защита

Toxa (toxa@cterra.ru)

Спецвыпуск: Хакер, номер #047, стр. 047-080-4

reply(220, "%s FTP server (%s) ready.", hostname, version);

Она может встретиться несколько раз, так, во FreeBSD за баннер отвечает конструкция:

Листинг

if (hostinfo)

reply(220, "%s FTP server (%s) ready.", hostname, version);

else

reply(220, "FTP server ready.");

В обоих случаях в выводе строки можно написать, что душа пожелает (а можно поступить более 31337-но - изменить значение hostinfo на 0 перед вышеуказанным блоком if).

Эти нехитрые трюки, конечно, помогут тебе изменить поведение сервера, но они не закрывают уязвимостей в сервисах, так что маскировка не лишает тебя главной задачи - патчить, патчить и еще раз патчить. Желаю тебе как можно реже испытывать в этом необходимость.

Мнение эксперта

Андрей "Andrushock" Матвеев, редактор рубрики "Unixoid" журнала "Хакер":

«Идеальной или совершенной защиты не бывает. Мы можем только стремиться к обеспечению должного уровня безопасности за счет своевременного обновления программного обеспечения, грамотного разграничения доступа, корректной настройки интернет-служб и, конечно же, предотвращения утечек информации - здесь я подразумеваю весь спектр предпринимаемых действий начиная от сокрытия сервисных баннеров и заканчивая воспрепятствованию перехвату конфиденциальных данных организации. Очень многое зависит от системного администратора, от его политики, опыта, навыков работы и знаний. Известны случаи, когда правильно сконфигурированные серверы на базе Red Hat Linux могли похвастаться тысячедневными аптаймами, в то время как хосты под управлением OpenBSD не выдерживали и недельного натиска глобальной сети. За счет открытого исходного кода можно каждый день изменять поведение системы и/или стека TCP/IP, главное - придерживаться одного простого правила: не ломать стандарты, задокументированные в RFC.

Маршрутизация от источника - механизм, с помощью которого внешний хост может получить информацию о внутренних адресах сети. Механизм старый, мало где использующийся, кроме проблем, как правило, ничего не несет.

SYN-флуд – переполнение очереди открытых соединений в состоянии SYN-sent.

Утилита portsentry проверена временем – она написана еще в 1998 году.

Узнать конкретную версию какого-либо сервиса не из баннера значительно труднее.