Webserver tarnen als Honeypot
Durch das vortäuschen eines unsicheren Systems wird der Angreifer zur einem Angriff auf das System verleitet um anschließend sein Vorgehen zu analisieren. Das heißt dass wir auf einem Linux Rechner mit IDS, Sniffer und vorgetäuschten IIS Server, Angriffe auf dieses beobachten können.
Webserver tarnen aus Sicherheitsgründen
Bevor ein Hacker ein Exploit auf unser System loslassen kann, muss er wiesen welchen Webserver wir einsetzen und welche Version unser Webserver hat. Wenn wir also den Angreifer von vorneherein falsche Informationen zur dem eingesetzten Webserver liefern, wird er mit Exploits oder Angriffsmethoden arbeiten die im Endeffekt zur keinen Ergebnissen führen werden.
Was ist ein Serverbanner?
Banner ist eine kleine Begrüßungsmehldung die ein Server an uns zurück schickt. In dieser Begrüßungsmehldung ist der Name des eingesetzten Servers und dessen Version enthalten.
Hier ist der Banner von Microsofts IIS Webservers.
Microsoft-IIS/5.0
Microsoft IIS Webserver mit der Version 5.0 wird hier eingesetzt.
Und das ist der Banner von Apache Webserver.
Apache/1.3.27 (Unix) mod_log_bytes/1.2 mod_bwlimited/1.0 PHP/4.3.1 FrontPage/5.0.2.2510 mod_ssl/2.8.14 OpenSSL/0.9.6b
Apache Webserver mit der Version 1.3.27 mit einer Reihe von Modulen werden auf diesem Server betrieben.
Der Banner wird mit jedem Dokument oder einem Bild an uns geschickt, denn der Browser dann beim Anzeigen des Dokuments ausblendet.
Apache Banner austauschen
Da der Quellcode von Apache frei verfügbar ist, können wir dien Apache Banner vor der Kompilierung austauschen. Dieses Beispiel wird an der Version 1.3.29 gezeigt. Es kann jedoch in jeder Apache Version verändert werden das einzige was anders ist sind die Zeilennummern.
Nachdem wir den Quellcode downloadet und entpackt haben, müssen wir die Datei httpd.h editieren um zwei Konstanten zu verändern. Httpd.h findet man unter apache_1.3.29/src/include/.
Zeile 433
#define SERVER_BASEPRODUCT "Apache"
aus Apache machen wir “Microsoft-IIS” und
Zeile 434
#define SERVER_BASEREVISION "1.3.29"
aus 1.3.29 machen wir “5.0“.
Jetzt wird Apache kompiliert und installiert.
Jetzt müssen wir nur noch den Eintrag “ServerTokens Minimal“ in die Konfigurationsdatei http.conf einfügen. Apache starten und testen ob der Banner so aussieht wie er soll.
Unter Konsole telnet Kommando ausführen.
telnet servername 80
Dann vollgendes eintippen und zweimal Enter drücken.
GET / http/1.0
In der Ausgabe von Apache müssten wir folgendes sehen.
Date: Sun, 14 Mar 2004 21:14:32 GMT
Server: Microsoft-IIS/5.0
Connection: close
Content-Type: text/html
Es sieht schon nach Microsofts Webserver.
IIS Banner austauschen
Bei dem Microsoft Webserver ist die Manipulation von dem Banner wesentlich schwieriger da das Programm keinerlei Möglichkeiten bittet um den Webserver Banner zu ändern. Man könnte natürlich mit einem Hexeditor den Banner aus der Datei w3srv.dll rausnehmen oder aber auch austauschen.
Das Einzige was wir tun können ist den Banner komplett wegzublenden. Dazu verwenden wir das kostenlose Programm Namens “IIS Lockdown“ welches man von den Microsoft Server downloaden muss. Nach der Installation von ISS Lockdown findet man in den Installationsverzeichnis (meist c:/winnt/system32/inetsrv/urlscan) eine Datei Namens urlscan.ini. Diese Datei wird geöffnet und in der Zeile “RemoveServerHeader=0“ wird der Wert von 0 auf 1 gesetzt und die Datei gespeichert. Und zuallerletzt wird der Dienst “IIS Admin Dienst“ neu gestartet. Wenn wir jetzt die Antwort des Servers betrachten, werden wir feststellen dass die Zeile mit dem Webserverbanner komplett fehlt.
HTTP/1.1 400 Bad Request
Content-Type: text/html
Content-Length: 87
Connection: close
Weitere Änderungen
Der eingesetzte Webserver verrät sich aber auch durch die Fehlermeldungen zum Beispiel “Fehler 404 Seite nicht gefunden“. Auch das kann man ändern um die Täuschung perfekt zumachen.
|
