SCANNER

INTRODUCCIN
En esta unidad se examina los scanner, la funcin que pueden cumplir y cmo
podemos emplearlos para disminuir los riesgos de ataques, o determinar con
precisin los puntos vulnerables de nuestra red para poder fortalecerlos.

DEFINICION DE SCANNER
Un scanner es una herramienta de seguridad para detectar vulnerabilidades. Los
scanner modernos pueden advertir sobre cada vulnerabilidad conocida que se
encuentre a travs de algn mecanismo como correo electrnico o mensajes a un
beeper.
Existen diferentes tipos de scanner que buscan debilidades en la seguridad, pero en
general se clasifican en dos categoras: scanner del sistema o scanner de red.
Para poder usar estas herramientas selectivamente, debemos entender cmo
funciona el proceso que realiza un scanner, conocer los diferentes productos
disponibles y su proceso de desarrollo a travs del tiempo.

SCANNER DEL SISTEMA

Un scanner del sistema recorre el host en el cual se esta realizando la verificacin,
buscando todo tipo de vulnerabilidades de la seguridad, que surgen de pequeos
descuidos, fallas en la configuracin de los programas o servicios, versiones poco
recientes de programas y suplementos y problemas de configuracin del sistema
operativo que a veces, an los usuarios expertos, pasan por alto. Algunos ejemplos:
-

Permisos errneos o muy flexibles sobre los archivos.

Recursos compartidos por omisin.

Scanner - 1

Servicios activados por omisin.

Cuentas que el sistema crea por omisin y deben desactivarse.

Registros de identificacin de usuarios errneos o duplicados.

Para entender mejor como opera un scanner del sistema, vamos a usar como
ejemplo el Computer Oracle and Password System o sistema COPS:
COPS analiza el sistema e intenta detectar problemas comunes de configuracin,
debilidades y seales de advertencia que todava persistan o que puedan surgir en
sistemas operativos Unix y Linux incluyendo:
-

Permisos incorrectos, invlidos o equivocados en los archivos y dispositivos.

Passwords dbiles.

Seguridad aplicada pobremente a los archivos de passwords y grupos.

Uso inapropiado de permisos especiales de ejecucin su (bits SUID / SGID)

en los programas.

Cambios sospechosos en el mecanismo de verificacin de integridad o

"checksum" de algunos archivos.

Archivos a los que se requiere aplicar suplementos.

El tiempo que tarda el anlisis puede variar segn el sistema que se esta analizando.
Al termina el anlisis el programa guarda los resultados en un archivo.
Localizacin: http://metalab.unc.edu/pub/Linux/system/security/cops_104_linux.tgz

SCANNER DE RED
Los scanner de red, a diferencia de los de sistema, prueban las conexiones de red de
un host de forma similar a como lo hara un cracker;

Es decir que se prueba los

servicios disponibles y los puertos en busca de debilidades conocidas de las cuales

puede valerse un atacante remoto para penetrar un sistema.
Para entender mejor como opera un scanner de red, usamos como ejemplo el
producto I.S.S. (Internet Security System).

Scanner - 2

ISS INTERNET SECURITY SYSTEM

Al elaborar este programa se contempl la posibilidad de crear una herramienta que
pudiera detectar automticamente los agujeros y en algunos casos intentar penetrar
o vulnerar las debilidades obvias en conexiones de red.
Al observar el reporte que el programa

arroja despus de ejecutarse el scanner,

podemos ver que se hicieron varios intentos de conexin y realiza varias pruebas y
diagnsticos.
Para entender mejor la forma cmo un scanner identifica los servicios que estn
ejecutndose y los prueba intentando detectar posibles vulnerabilidades conocidas de
la seguridad que pueden atacarse remotamente, se puede analizar la documentacin
del producto.
ISS Soporta una interfase grafica intuitiva y varios mdulos para ataques nuevos
incluyendo soporte para ataques de negacin de servicio DoS como: ataques a log,
avalanchas o floods, avalanchas de SYN, time bomb, packet storm y otros.
La ultima versin de esta herramienta es una solucin muy completa.
Localizacin:
http://www.iss.net/download/
Versin para Linux:
http://www.atomicfrog.com/archives/exploits/crack-scan/iss.tar.gz

EVOLUCIN DE LOS SCANNER

An cuando los scanner del sistema y los de red difieren desde el punto de vista
tcnico, tienen algunas caractersticas comunes. La ms importante es el proceso
lgico.
La mayora de los scanner sigue este patrn:
-

Cargan un conjunto de normas o serie de ataques ("ruleset").

Prueban el objetivo con este parmetro.

Reportan los resultados.

Scanner - 3

Las reglas o los ataques pueden ser de diversos tipos. Por ejemplo, prueba de
permisos validos para acceso a archivos, verificacin de la estructura del archivo de
claves de ingreso, deteccin de programas que se sabe que tienen errores en su
escritura, servicios vulnerables abiertos, cuentas de ingreso creadas en el sistema
por omisin, etc.
Hoy da muchos scanner son ms complejos y flexibles, y en ciertos casos, ms
extensibles. A medida que emergen nuevas vulnerabilidades y nuevas tcnicas,
algunos desarrolladores de scanner las incorporan dentro de sus herramientas. Esto
ha

permitido

el

desarrollo

de

scanner

capaz

de

probar

centenares

de

vulnerabilidades.
En aos recientes, los patrones de desarrollo de los scanner han seguido tendencias
del mercado. Mientras que los primeros scanner se enfocaban casi exclusivamente a
servidores UNIX, los scanner modernos pueden probar ambientes heterogneos.
Algunas de estas herramientas de seguridad pueden evaluar varios sistemas
operativos en una sola pasada incluyendo: Unix, Linux, Novell NetWare, Microsoft
Windows 200x-Server y otros.
Las vulnerabilidades de un sistema y de la red varan en cada caso, a raz de que los
diferentes usuarios estn preocupados a cerca de diferentes aspectos de la
seguridad, por lo tanto existen muchas clases de scanner diferentes.
Algunos son especializados y prueban solamente ciertos servicios, mientras que otros
prueban los servicios bien conocidos pero agregan diferentes funcionalidades en sus
reportes.
SATAN (Security Administrators Tool for Analysing Networks)
Este scanner determin un giro en el desarrollo de este tipo de herramientas.
Cuando fue liberado, los diferentes scanner de red disponibles desempeaban tareas
relativamente simples. El personal de seguridad quera ms, y con SATAN lo podan
obtener. Fue el primer scanner que con un solo comando de activacin integraba
varias sondas para probar el sistema.

Scanner - 4

El producto esta basado en varios mdulos de scanning que pueden sondear

sistemas remotos y buscar debilidades en las siguientes reas:
-

Protocolos para transferencia de archivos (FTP).

Sistemas de filesystem en red exportados (NFS).

Servicio de informacin en red

Acceso por shell remoto (rsh).

Acceso para ejecucin remota de comandos rexecd.

Vulnerabilidad es del sistema de correo sendmail.

Vulnerabilidades en el servicio de transferencia de archivos por protocolo TFTP

Vulnerabilidades en servidor de ambientes grficos y control de acceso X-

(NIS).

Window.
Los mdulos de scanning escritos en C, sondean el sistema objetivo y reportan los
resultados a una base centralizada, desde la cual los scripts en Perl capturan esta
informacin y la despliegan en un navegador o browser.
Localizacin http://www.fish.com/satan/

SCANNER DE PROPSITO GENERAL

NESSUS
Es un scanner de uso libre, extremadamente verstil y actualizado, que esta
evolucionando constantemente.
En el web-site podemos encontrar un servidor de informacin que discute
diariamente a cerca de los cambios que se presentan a medida que el producto
evoluciona. Funciona sobre Linux, Windows 200x-Server y varios sabores de Unix.
Es una herramienta de scanning muy parecida a SATAN que tambin incluye otras
caractersticas. Soporta varios ataques que pueden ser cargados en formato plugins, hay pequeos mdulos que definen las reglas y los procedimientos de reporte
propios de una gran variedad de ataques.

Scanner - 5

Actualmente hay alrededor de 500 plug-ins para ataques y los desarrolladores del
producto crearon una aplicacin especial en formato API para administrarlos. Usando
este sistema es posible tomar cualquier nuevo ataque o vulnerabilidad (en formato
plug-ins), y enchufarlo o cargarlo al scanner. La interfase grafica es intuitiva. El
programa incluye tutoriales y explicaciones de cada vulnerabilidad que se encuentra.
La lista actualizada de las vulnerabilidades que NESSUS verifica se encuentra en:
http://cgi.nessus.org/plugins/
Localizacin del producto:
http://www.nessus.org/
SAINT (Security Administrators Integrated Network Tool)
Es como una versin ms avanzada de SATAN producida por WDDSIs que incluye
soporte para muchas vulnerabilidades recientes incluyendo ataques Web basados en
CGI, ataque de negacin de servicio "Denial-of-Service", ataques a protocolo de
correo POP, vulnerabilidad de SSH, y desbordamiento "Overflow" de buffer
causados remotamente, y otros.
Localizacin del producto:
www.wwdsi.com/saint/ <http://www.wwdsi.com/saint/

SCANNER PARA SERVICIOS ESPECFICOS

Connect

Verifica los sistemas en forma recursiva intentando detectar

servidores tftp.
Localizacin: http://wwwgiga.or.at/pub/hacker/unix/connect.tar.gz
Dnswalk

Es una herramienta de depuracin y diagnstico que recorre los

registros de DNS buscando registros sospechosos o inconsistentes. Es una buena

forma de mantener DNS limpio y actualizado.
Se pueden conectar a los mdulos de CPAN disponibles en: http://www.cpan.org
Localizacin del programa original:
http://www.visi.com/~barr/dnswalk/
http://www.cis.ohio-state.edu/-barr/dnswalk/

Scanner - 6

DOC

Domain Obscenity Control- Es una herramienta de depuracin

de DNS, que diagnostica dominios mal configurados e intenta reconciliar registros

incorrectos formulando consultas a los servidores de nombres apropiados.
Localizacin: ftp://coast.cs.purdue.edu/pub/tools/unix/doc.2.0.tar.z
Exscan

Es un scanner de puertos que ofrece deteccin de sistema

operativo remoto, y una versin pequea de funciones de recoleccin de inteligencia

para servidores http, telnet, FTP, etc.
Localizacin:
http://www.ussrback.com/UNIX/unixscanners.htm
http://exscan.netpedia.net/exscan.html
Getethers

Sondea la red local haciendo ping a cada estacin de trabajo y

registra su direccin ethernet [MAC] para evitar ataques por spoofing.

Localizacin http://ftp.unicamp.br/pub/unix-c/networks/getethers.tar.gz
IdentTCPscan

Intenta detectar el UID (user ID) de los procesos que se estn

ejecutando. Esto es til cuando se tiene una red grande y se quiere llegar a
determinar si una estacin de trabajo esta ejecutando procesos de servicio http que
se estn corriendo como sper-usuario, o si algn usuario se ha autenticado al
sistema con identificacin invalida.
Localizacin: http://www.giga.or.at/pub/hacker/unix/identTCPscan.c.gz

USO DE LOS SCANNER COMO HERRAMIENTA DE SEGURIDAD.

Los scanner son herramientas de seguridad esenciales que pueden economizar
muchas horas de trabajo. En particular los scanner de redes pueden cubrir un rea
extensa en periodos cortos de tiempo y ofrecen un mtodo fcil de implementar,
aconsejable como primer paso para evaluar la seguridad de la red, que puede usarse
para obtener una definicin bsica del sistema y sus debilidades en la seguridad, o
puede ser comparada contra los resultados de auditorias posteriores para verificar
detalles.

Scanner - 7

De esta forma se puede automatizar las especificaciones en cuanto a la seguridad en

la red, y asegurarse de que las nuevas estaciones de trabajo que se agreguen
cumplen con estos requerimientos bsicos.
En los servidores y las estaciones de trabajo crticas este tipo de herramientas deben
ejecutarse mnimo una vez cada dos meses.
Es posible obtener algn beneficio adicional usando diferentes scanner ya que An
cuando son herramientas excepcionalmente avanzadas, ningn producto nico
realiza absolutamente todas las pruebas.
Una forma de optimizar el rendimiento es escoger un scanner que soporte
extensiones, que permiten agregar o integrar rpidamente nuevos ataques en
formato de plug-ins, para lo cual exige muy poca demanda de tiempo y experiencia
tcnica.

LEGALIDAD DE LOS SCANNER

Actualmente la legalidad de los scanner es asunto de debate. Mientras algunas
personas consideran que esta actividad es criminal y que su uso es una intrusin,
otros sostienen que mantener un sitio en Internet es como dar consentimiento
implcito para ser sondeado.
Hoy en da ninguno de estos puntos de vista es respaldado por la ley criminal; An
cuando conceptualmente algunos estatutos podran aplicar, ninguna ley ha sido
escrita especficamente en referencia a la legalidad del uso de los scanner, de
manera que por el momento la respuesta es s, los scanner son legales.
Desde el punto de vista tico se puede tener el argumento de que, al ejecutar un
escner, ha estado tratando de mejorar la seguridad de la red que estaba
observando, pero es ms probable imaginar que se estaba tratando de vulnerarla. La
mayora de los administradores del sistema consideran que la nica razn valida para
sondear una red es detectar sus vulnerabilidades, entonces tambin se considera que

Scanner - 8

sondear una red seria una primera evidencia de un intento de vulneracin o de

crimen.
Si una persona o empresa sondea otras redes sin autorizacin, debe estar dispuesto
a afrontar problemas, no solamente con la entidad afectada, sino tambin con el
proveedor de Internet.
La mejor forma de aprender acerca de este tema es configurar una red interna en la
cual se pueda detectar cualquier vulnerabilidad del sistema operativo que se quiera
poner en prueba sin ofender los escenarios de ninguna persona.

DEFENSA CONTRA LOS ATAQUES POR SCANNER

Aun cuando los scanner no le dan a un atacante acceso inmediato a un servidor (a
menos que no se cubra algunos puntos bsico), la existencia de estas herramientas
puede representar cierto nivel de peligro ya que pueden revelar secretos importantes
de una red. El administrador encargado de la seguridad debe estar familiarizado con
la deteccin de scanner de modo que an cuando no se pueda detener a un atacante
que intenta hacer un sondeo a nuestro sistema, al menos podemos darnos cuenta de
que lo estn haciendo. Las siguientes son algunas herramientas que pueden ayudar
a detectar ataques causados por scanner:
Courtney - [Detecta SATAN y SAINT]
Es un script Perl que detecta sondeos por tcpdump, SATAN y SAINT. El programa
lleva registro de los mensajes de advertencias o alerta y la notificacin en formato
syslog standard en el archivo /var/log/messages. Localizacin:
ftp://ciac.llnl.gov/pub/ciac/sectools/unix/courtney/courtney.tar.Z
IcmpInfo - [detecta ICMP scan y bomba ICMP]
Detecta actividad sospechosa causada por trafico ICMP tal como bombas y sondeos.
Localizacin:
ftp://ftp1.sunet.se/pub/network/monitoring/icmpinfo/
ftp://hplyot.obspm.fr/net/icmpinfo

Scanner - 9

Klaxon
Es una herramienta sofisticada para detectar scanner por puerto y por servicio
construida con base en cdigo de ejecucin remota con algunas modificaciones para
reemplazar los servicios TCP y UDP en el archivo inetd.conf. Aun cuando este
programa no puede detectar algunos tipos de sondeos complejos y avanzados,
detecta, y registra la actividad, lo cual es apropiado para monitorear una gran
variedad de sondeos en servicios especficos. Localizacin:
ftp://ftp.eng.auburn.edu/pub/doug/klaxon.tar.gz
PortSentry [Psionic]
Es una herramienta avanzada que hace mas que simplemente detectar sondeos de
puerto, intenta identificar y bloquear al atacante en tiempo real.
Incluye deteccin de stealth-scan, soporte para FIN, puertos medio abiertos, NULL,
paquetes

oddball,

SYN

ataques

estilo

X-MS.

Soporta

extensin

de

caractersticas y puede hacer sondeo simultaneo de TCP y UDP de mltiples sockets,

incluso ejecutando una sola instancia del programa. Puede asignar automticamente
un registro de negacin de acceso en la configuracin de filtros o TCP Wrappers a las
estaciones de trabajo ofensoras que se detecte. Localizacin:
http://www.psionic.com/tools/portsentry-0.90.tar.gz

RESUMEN
Si usamos los scanner en forma apropiada, pueden ser una herramienta valiosa para
determinar el nivel de seguridad de los servidores y las estaciones de trabajo, pero
debemos tener presente que un atacante puede usar estas mismas herramientas
para detectar debilidades en la seguridad de nuestro sistema.
Este tipo de productos evolucionan muy rpidamente. Por esto mismo es importante
usar siempre la ultima versin disponible.

Scanner - 10