Ir al contenido principal

Asegurando Tomcat - Banner Grabbing para psi-probe

Dentro de los puntos que recomienda OWASP en Asegurando Tomcat, hace relación a la necesidad de no mostrar la versión de Tomcat que se utiliza, para poner un poco más difícil la preparación de un vector de ataque para el ciberdelincuente; este artículo mostrará como configurar las propiedades del Tomcat para que no muestre la versión, pero tiene un componente especial y es el uso de psi-probe, el cual es un fork que usan los sysadmin para la administración y el monitoreo de un servidor tomcat  y que genera problemas en el momento de querer hardenizar un servidor tomcat.

Para realizar esto fue necesario configurar un servidor Tomcat  y cuya configuración esta por fuera del alcance de este artículo.



Luego fue necesario configurar tomcat para que funcionara con psi-probe (hay diferentes versiones) y que puede seguir las instrucciones en este enlace.
Después  de tener configurado el Tomcat y  probe funcionando podemos ver una pantalla como esta:



Podemos analizar que si se realiza una petición http hacia una carpeta desconocida el Tomcat entrega un error 404 mostrando la versión que tiene.



A partir de este momento nos centraremos en el banner grabbing con el fin de que cuando haya un 404 No muestre la versión del servidor Tomcat o muestre algo diferente, para esto se debe realizar lo siguiente:

  • Modificar el archivo ServerInfo.properties
Este archivo se encuentra en el catalina.jar, ubicado en CATALINA_HOME/server/lib el cual es necesario desempaquetar (se puede hacer con 7zip, Winrar) o con la instrucción  

cd CATALINA_HOME/server/lib
jar xf catalina.jar org/apache/catalina/util/ServerInfo.properties

posterior a esto se edita el archivo ServerInfo.properties y se modifica la línea server.info como se muestra a continuación, se puede poner Apache o cualquier cosa por ejemplo: Nginx, Jboss o Whatever


#server.info=Apache Tomcat/7.0.50
server.info=Apache
#server.number=7.0.50.0
server.number=0.0.0.0
server.built=Dec 19 2015 10:18:12


Luego se empaqueta otra vez el archivo (o se salva la edición si se realizó en Winrar o en 7zip), lo hice con

 jar uf catalina.jar org/apache/catalina/util/ServerInfo.properties   

  • OWASP recomienda también modificar el archivo server.xml, ubicado generalmente en CATALINA_HOME/conf/server.xml en el tag Connector port
<Connector port="8080" ...
            server="Apache" />  <!-- server header is now Apache -->
  • Reiniciar los servicios de Tomcat, puede ser con 
        CATALINA_HOME/bin/catalina.sh stop
          CATALINA_HOME/bin/catalina.sh start

A este punto ya no debería aparecer la versión de Tomcat sino lo que hayamos puesto en la configuración anterior.





La imagen anterior, la uso para mostrar que efectivamente cambió el banner de apache- tomcat y solo quedo Apache, es necesario precisar, que cuando se está asegurando el servicio de Tomcat, este welcome no debería aparecer, porque es una de los puntos a hardenizar y que hace parte de las recomendaciones de OWASP.

Después de haber realizado los cambios necesarios para evitar mostrar la versión de Tomcat, quise probar o ingresar al psi-probe para realizar el monitoreo de los aplicativos y me encuentro con el siguiente error:



Al cabo de googlear un buen rato y realizar diferentes cambios en algunos archivos encontré la siguiente solución:

Se debe modificar el archivo spring-probe-resources.xml, que está dentro del WEB-INF del probe.war cambiando el containerWrapper, la linea de "forceFirstAdaptor" de "false" a "true" y asegurarse que el nombre como lo puso en el archivo ServerInfo.properties esté de primero en la lista de clases de adaptadores, de la siguiente forma:

<property name="forceFirstAdapter" value="true"/>
<property name="adapterClasses">
<list>
<value>com.googlecode.psiprobe.ApacheContainerAdapter</value> <value>com.googlecode.psiprobe.Tomcat60ContainerAdapter</value> <value>com.googlecode.psiprobe.Tomcat70ContainerAdapter</value> value>com.googlecode.psiprobe.Tomcat90ContainerAdapter</value>
<value>com.googlecode.psiprobe.Tomcat80ContainerAdapter</value>
                         </list>

Entonces el psi-probe opera sin ningún problema después de realizar la configuración adecuada



Si usted decidió poner en el archivo ServerInfo.properties Nginx, entonces en la primera línea deberá colocar
                        <value>com.googlecode.psiprobe.NginxContainerAdapter</value>


Para estar tranquilos recomiendo reiniciar el servicio de Tomcat en el momento de hacer los cambios.

Espero les sirva a los sysadmin que trabajan con probe, aunque también pueden usar JON.


Etiquetas:

Comentarios

Publicar un comentario

Debes estar registrado en el blog para poder enviar tus comentarios.

Entradas populares de este blog

Configurar Shorewall en CENTOS y Debian

Tomado de  http://www.com-sl.org/staticpages/index.php?page=config-shorewall-2da-parte Como   configurar un Firewall con Shorewall en dos Interfaces de Red con políticas DROP en CentOS y Debian . Autor:  Henry D. Rosado T. Correo electrónico:  bleycklinx@gmail.com Otros Datos:   Clic Aqui En este tutorial indicare como se configura un Firewall con Shorewall con políticas DROP en dos interfaces de red para CentOS y para Debian. Shorewall Shorewall  (Shoreline Firewall) es una robusta y extensible  herramienta de alto nivel para la configuración de muros cortafuego .  Shorewall  solo necesita se le proporcionen algunos datos en algunos ficheros de texto simple y éste creará las reglas de cortafuegos correspondientes a través de  iptables .  Shorewall  puede permitir utilizar un sistema como muro cortafuegos dedicado, sistema de múltiples funciones como  puerta de enlace, dispositivo de encaminamiento y servidor . Shorewall no solo le permite configurar un firewall seguro,  poderoso y rob...
3 comentarios
Leer más

Problemas de ASP error 0115

Cuando saca este error  Páginas Active Server error 'ASP 0115' Error inesperado /iscampus/admon/upload/upload_dest.asp Error capturable (C0000005) en un objeto externo. La secuencia de comandos no puede continuar Fue solucionado de la siguiente manera: W2K3 tiene  tiene limitada a 200 K el tamaño de los ficheros que pueden subirse con ASP, y se debe modificar el archivo C:\WINDOWS\system32\inetsrv\metabase.xml elvalor asignado a la entrada spMaxRequestEntityAllowed por el necesario.  Puede ser 10 MB. Para poder modificar el archivo es necesario parar el servicio IIS y configurar en la administracion de IIS en equipo Local click derecho, propiedades  activamos el checkbox que dice "Habilitar la modificación directa de archivos Metabase". Tambien puede ser necesario hacer lo siguiente: What does this error mean: 'error "ASP 0115" Unexpected error - A trappable error occurred in an external object.' It typically means that you are not running the ...
Publicar un comentario
Leer más

Cambiar Idioma en Servidores Linux

Para aquellos que tengan problemas tiene una versión de linux instalada en el servidor en un idioma diferente al vuestro, y claro, no tiene entorno gráfico y se hace bastante complicado el cambiar de idioma, aqui va la solución: Realmente, la información del idioma a mostrar en pantalla va dentro de cada paquete del programa, si el autor lo ha incluido. Se mostrará en pantalla la que diga la variable de entorno LANG. Para ello, por ejemplo, en una primera instancia, si hacemos: export LANG=”es_ES.UTF-8″ ya la tendríamos funcionando, pero posiblemente muchos programas no cojan esa configuración directamente. Para ello lo podemos colocar en varios sitios para que carguen automáticamente. Si os fijais, hemos escodigo es_ES que es idioma Español de España y el juego de caracteres UTF-8. Para ello, podemos editar el fichero /etc/bashrc y agregar esa linea ahí. De ésta manera, ese comando se cargará al iniciar linux y estará disponible para todos los usuarios. Si quieres que cada usuario ten...
Publicar un comentario
Leer más