В чем вы видите главный момент создание защищенной сети своего предприятия? Да, вы выделили особой сегмент сети, демилитаризованную зону (DMZ), вывели в нее "боевые" серверы, к примеру, почтовый сервер, веб-сервер на котором расположен представительский сайт вашей компании и прочие. Далее на внешнем межсетевом экране закрыли, в редких случаях сделали blackhole, неиспользуемые порты < 1024, оставив "торчать наружу" только вышеупомянутые сервисы и службы. Ваш системный администратор или администратор безопасности установили самые последние версии используемых сервисов, установлены последние обновления и патчи уязвимых систем. Введена система мониторинга и/или авто-обновления. Вы все еще уверены в полной своей безопасности извне??? Зря!!!
Возникает несколько интересных вопросов. Насколько велико время между обнаружением новой уязвимости и следующим за ней выпуском компании производителем security-patch на используемую у вас систему и его установкой на станциях вашей сети ??? Задумались?? А знаете ли вы что нередко, а зачастую и всегда, компания-производитель различного операционного и программного обеспечения узнает о уязвимости в их продукте от своих клиентов, чьи системы были скомпрометированы через неизвестные доселе широкой общественности уязвимости... Стоит задуматься над этим...

    Следуя из всего вышеперечисленного риск поражения вашей системы остается достаточно большим стоит лишь посмотреть ленту новостей какого-нибудь портала по информационной безопасности на котором явно видно что количество найденных уязвимостей растет день ото дня.

    Соответственно перед нами стоит задача максимально сократить риск поражения вашей системы. Так как любой кто сталкивался с проблемой оценки рисков знает что полностью устранить риски порой просто невозможно и все усилия затрачиваются на их снижение. Не знакомые со спецификой действия различных компьютерных злоумышленников администраторы абсолютно не уделяют внимания такому направлению в обеспечении безопасности сети как изменение различных признаков операционных систем и используемых сервисов. Ведь для того чтобы злоумышленнику поразить систему ему для начала нужно ее "узнать" Тут как в ситуации в знакомстве с девушкой. Не познакомившись с ней, вы не знаете что она любит или наоборот не любит, ей нравится или нет. Так вот в ситуации хакер-ваш сервер можно провести аналогию. Не зная какая система у вас используется он не может сказать что ей не нравится, соответственно и "взломать" ее.

    Если ваша сеть не была предварительно "заказана" то риск ее поражения возможен в 2х случаях. Когда хакеры используют автоматизированные средства 2х разновидностей: первые на основе известных уязвимостей производят собственно взлом системы. По методу обнаружения уязвимой системы -> реализация уязвимости -> автоматическое создание "черного" входа в систему. Соответственно хакеру потом просто остается установить соединение с данной системой и собственно все. Другой метод предусматривает создание некого банка данных. Это когда большой диапазон сетей класса B,C просто сканируется, и определяются версии ОС и служб. Потом после обнародования уязвимости хакер просто ищет подверженную систему и реализует атаку на нее. Для примера:

[press@kremlin grabbb]$ cat result_1**.1**.**.1*
1**.1**.**.1*:21: 220 ftp1 FTP server (Version wu-2.6.1-16.7x.1) ready.
1**.1**.**.1*:25: 220 www.***.ru ESMTP Sendmail 8.11.6/8.11.0; Wed, 23 Jul 2003 15:50:09 +0400
1**.1**.**.1*:25: 220 mail.***.ru ESMTP Sendmail 8.12.8/8.12.8; Wed, 23 Jul 2003 15:50:38 +0400
1**.1**.**.1*:80: Server: Apache/1.3.26 (Unix) PHP/4.2.2 mod_ssl/2.8.10 OpenSSL/0.9.6g rus/PL30.15
1**.1**.**.1*:25: 220 localhost ESMTP Sendmail 8.11.6/8.11.0; Wed, 23 Jul 2003 15:43:31 +0400

    Подобная информация накапливается у злоумышленника и при выходе эксплоита к примеру к Sendmail ему остается просто произвести поиск в своей базе. Соответственно изменение признаков и баннеров сервисов - это путь значительного (!!!) снижения вероятности того, что ваша система будет атакована.

    Вопрос изменения параметров TCP-стека в различных системах широко освещен в сети и, в частности, на нашем сайте. Поэтому вопросы Nmap и прочих сканеров мы оставим.

    В данной статье я рассмотрю принципы изменения типичных баннеров сервисом базированных на платформе Microsoft Windows NT. Во-первых, это признанный во всем мире корпоративный стандарт, во-вторых, полностью рассмотреть в данной статье все аспекты вопросов изменения признаков я не могу физически, так как это материал не одной книги.

    Предположим что в нашей системе видны извне только сервис электронной почты под управлением Microsoft Exchange Server 2000 и веб-сервер IIS.

Начнем с IIS.

    Как же злоумышленник определяет версию веб-сервиса, в нашем случае IIS. В подавляющем большинстве случаев это реализуется просмотром ответа сервера по HTTP протоколу при обращении к нему.

>telnet iisserver.com 80
HEAD / HTTP/1.0

ответ сервера:
HTTP/1.1 200 OK
Server: Microsoft-IIS/5.0
Date: Mon, 22 Sep 2003 01:59:20 GMT
Connection: Keep-Alive
Content-Length: 1270
Content-Type: text/html

    Как мы видим сервер без проблем возвращает нам свою версию. Также он и возвращает ее многочисленным автоматизированным средствам banner-grabbing'а. Всего способов определения IIS лично я знаю порядка 20 вариантов. Но мы рассмотрим этот из-за его повального распространения.

    Итак, какие же способы существуют на сегодняшний день.

    Во-первых это предлагаемый самой же Microsoft программы Urlscan. Его функциональные возможности я не буду рассматривать здесь, так как они уже широко известны.

    Компания KodeIT предлагает продукт IISBanner/1.0 обеспечивающий установку в вашей системе ISAPI-фильтра, которые и обрабатывает все Http-ответы сервера. Соответственно при его использовании результат будет примерно следующий:
ответ сервера:
HTTP/1.1 200 OK
Server: Powered By IISBanner/1.0 (KodeIT)
Date: Mon, 22 Sep 2003 01:59:20 GMT

    Я лично все недостатки вышеупомянутых продуктов вижу в том, что используемая вами система наследует уязвимости в данных продуктах. Многочисленные рекомендации по обеспечению безопасности в IIS говорят о том, что при возможности требуется полностью отключить серверные расширения ISAPI, FrontPage и прочие.
   
    Несмотря на то, что описанные ниже действия нарушают лицензионное соглашение между вами и Microsoft они оптимальны для решения возникшей перед нами проблемы.

    Баннер IIS хранится в w3svc.dll. Соответственно используя любой редактор бинарных файлов мы можете внести требуемые изменения. Эта процедура автоматизирована нами. Используя написанную нами утилиту IISh вы за минимальные сроки можете внести нужные изменения, а именно изменения баннера.

    Выдержки из Readme нашей программы:
-Данная программа используется для изменения баннера веб-сервера Microsoft IIS. -Она изменяет параметр Server: Microsoft IIS в библиотеке w3svc.dll -Это сделано для увеличения безопасности и снижения риска поражения вашей системы -автоматизированными сканнерами, использующими уязвимости в веб-сервере IIS. -Данная программа тестировалась на IIS 1.0 и IIS5.1 Она свободна доступна для скачивания на нашем сайте.

Теперь перейдем к баннерам Microsoft Exchange 2000 Server. Что мы можем видеть при установке соединения с сервером:

>telnet exchangeserver.com 25
220 hostname.domain.com Microsoft ESMTP MAIL Service, Version: 5.0.2195.1600 ready
at Sun, 21 Sep 2003 18:09:43 +0400

    Прежде чем перейти к изменению баннера полезно ознакомиться со статьями Microsoft под номерами Q281224 "How to Modify the SMTP Banner" и Q303513 "How to Modify the POP or IMAP Banner".

    Ну это вы сделаете потом а сейчас вернемся, как говорится, к нашим баранам.

    Для изменения smtp-баннера нужно скачать утилиту MetaEdit. Далее после ее запуска найдите:

Lm\Smtpsvc\значение виртуального сервера.

    выберите нужный параметр и в правом поле ввода введите 36907. Это и есть адрес искомого параметра. После чего измените этот параметр на нужный вам. Вы можете и оставить значение пустым но все же это может вызвать подозрение и простое любопытство у злоумышленника. Если вы поставите значение к примеру тот же ESMTP Sendmail 8.11.6/8.11.0; это опять же может привлечь внимание хакера к вашей системе если будет найдена уязвимость в Sendmail указанной версии. Что будете делать - решать вам.
После внесения изменений проверьте результат опять же установив соединение с 25 портом.

При установке соединения с pop/imap сервисами вы можете видеть следующее:

>telnet exchangeserver.com 110
Microsoft Exchange 2000 POP3 server version 6.0.4417.0 (kremlin.gov) ready.

Для внесения изменений остановите запущенный сервис, далее в режиме командной строки наберите следующую команду:
smtpmd SET -path imap4svc/1 -dtype STRING -prop 49884 -value "<новое значение на ваш выбор>"
Вот список значение в мета базе:
POP3ConnectionString - 41661
POP3DisconnectionString - 41662
IMAP4ConnectionString - 49884
IMAP4DisconnectionString - 49885

Опять же вы можете использовать значения выдаваемые системами Linux/Unix:

pop:
+OK Qpopper at kremlin.gov starting.
или
+OK QPOP (version 2.53) at UkRserv starting.

imap4:
OK Courier-IMAP ready. Copyright 1998-2001 Double Precision, Inc.
See COPYING for distribution information.

После этого запустите сервис и проверьте результативность проделанных изменений.

Данные изменения намного сократят риск поражения вашей системы автоматизированными средствами изучения и атаки, многочисленными "интеллектуальными" CGI-сканнерам, вызовут недоумение у относительно большого количества тех, кто причисляет себя к "хакерскому сообществу".