サービスバージョン検出の無効化

サービスバージョン検出の無効化

nmapオープンポートとそれに関連するサービスを検出するために使用できます。また、-sVフラグを使用してサービスのバージョンを確認できます。

このサーバーのバージョン検出を無効にする方法はありますか?ハッカーがバージョンの詳細を知っている場合は、システムを攻撃する可能性があります。

たとえば、Ubuntu-20.04で特定の範囲内でサービスバージョンを検出した結果は次のとおりです。

SHW@system:~$ nmap -sV -p 631 localhost
Starting Nmap 7.80 ( https://nmap.org ) at 2022-05-16 18:11 IST
Nmap scan report for localhost (127.0.0.1)
Host is up (0.00022s latency).
rDNS record for 127.0.0.1: view-localhost

PORT    STATE  SERVICE   VERSION
631/tcp open   ipp       CUPS 2.3   <== Version detected

Service detection performed. Please report any incorrect results 
at https://nmap.org/submit/.
Nmap done: 1 IP address (1 host up) scanned in 7.58 seconds

それでは、ポート631のサービスバージョンをブロックするためにUbuntuでどのような修正が必要ですか?

答え1

ポート631でHTTPリクエストを実行すると、cup自体が<title>提供するHTMLページのプロパティにバージョンを簡単に提供できることがわかります。/

これは、出荷時にCUPSに付属の設定テンプレートファイルから読み取られます/usr/share/cups/www/index.html。したがって。これバージョン文字列を取得するのは非常に簡単です。設定ファイルを変更するだけです。 :)

しかし、これは実際には単なる外観です。そのファイルのリンクを見ると、完全に書き直すことにしたとしても、これがCUPS(他のIPPサーバーではない)であることを非常に簡単に推論できます。

さらに、CUPSは次のように存在します。目的を達成する;これを行う方法は、そのバージョンを正しく識別するのに十分です。バージョンごとに詳細が異なるため、バージョンが異なります。多くの労力を必要とせずに、誰かがCHANGELOGs / gitレコードを閲覧し、応答をトリガーするためにクエリするエンドポイントを特定してバージョンを決定できます。

問題は次のとおりです。わずかな自由度(タイミングのみがある場合、または応答で空白の量が無視される場合)を残すすべてのプロトコルは異なる実装を許可します(他のバージョンは異なる実装です)。動作が異なります。確かにそうです。。これからバージョンを推論できます。

唯一のバージョンはプロトコルです非常に最小限、制限的であり、許可されています。正確にアクション。 (これらのプロトコルがある場合、プロトコル実装を提供するサーバーでも新しいバージョンが表示されない可能性があります。)これらのプロトコルは非常にまれであり、IPPは明らかに反対です。柔軟な転送(複雑なHTTPベースのプロトコル))! )、柔軟な検出と柔軟な応答機能を備えています。このプロトコルの2つの実装は決して同じではありません!


長い話を短く:一般的に言えばそうではありません。特にIPP(CUPSがこのポートで提供するもの)ほど複雑なプロトコルの場合、バージョンを完全に混在させることはできません。唯一のオプションは、CUPSの重要な部分を異なる方法で再実装することです。その後、基本的にそれで別のソフトウェアを作成し、検出可能なバージョンと独自のセキュリティ問題を取得します。


このステートメントについていくつかの質問があります。

ハッカーがバージョンの詳細を知っている場合は、システムを攻撃する可能性があります。

実際にはそうではありません。一つ行政どのサービスをアップグレードする必要があるかを知っていれば、システムを修正できますが、攻撃者は存在する脆弱性を悪用しようとするだけです。攻撃者はバージョンをまったく気にしません。脆弱性の存在だけを気にしますが、これはしばしばバージョン番号と同じくらい把握するのが難しいため、攻撃者はどのバージョンであるかを調べようとするのではなく、いくつかの既知の脆弱性を試すことがよくあります。のソフトウェアが使用されています - 脆弱性を含まないようにパッチが適用されたか、適用されていない可能性があります!

したがって、隠しバージョンを使用しても何の利点もありません。私が話しているCUPSがプリンタのローカルスキャンをトリガーして悪用する可能性がある二重の無料の脆弱性があることがわかった場合は、その脆弱性をトリガーしようとします。これは単なる要求です。

関連情報