Académique Documents
Professionnel Documents
Culture Documents
INTRODUCCIN
En esta unidad se examina los scanner, la funcin que pueden cumplir y cmo
podemos emplearlos para disminuir los riesgos de ataques, o determinar con
precisin los puntos vulnerables de nuestra red para poder fortalecerlos.
DEFINICION DE SCANNER
Un scanner es una herramienta de seguridad para detectar vulnerabilidades. Los
scanner modernos pueden advertir sobre cada vulnerabilidad conocida que se
encuentre a travs de algn mecanismo como correo electrnico o mensajes a un
beeper.
Existen diferentes tipos de scanner que buscan debilidades en la seguridad, pero en
general se clasifican en dos categoras: scanner del sistema o scanner de red.
Para poder usar estas herramientas selectivamente, debemos entender cmo
funciona el proceso que realiza un scanner, conocer los diferentes productos
disponibles y su proceso de desarrollo a travs del tiempo.
Scanner - 1
Para entender mejor como opera un scanner del sistema, vamos a usar como
ejemplo el Computer Oracle and Password System o sistema COPS:
COPS analiza el sistema e intenta detectar problemas comunes de configuracin,
debilidades y seales de advertencia que todava persistan o que puedan surgir en
sistemas operativos Unix y Linux incluyendo:
-
Passwords dbiles.
El tiempo que tarda el anlisis puede variar segn el sistema que se esta analizando.
Al termina el anlisis el programa guarda los resultados en un archivo.
Localizacin: http://metalab.unc.edu/pub/Linux/system/security/cops_104_linux.tgz
SCANNER DE RED
Los scanner de red, a diferencia de los de sistema, prueban las conexiones de red de
un host de forma similar a como lo hara un cracker;
Scanner - 2
podemos ver que se hicieron varios intentos de conexin y realiza varias pruebas y
diagnsticos.
Para entender mejor la forma cmo un scanner identifica los servicios que estn
ejecutndose y los prueba intentando detectar posibles vulnerabilidades conocidas de
la seguridad que pueden atacarse remotamente, se puede analizar la documentacin
del producto.
ISS Soporta una interfase grafica intuitiva y varios mdulos para ataques nuevos
incluyendo soporte para ataques de negacin de servicio DoS como: ataques a log,
avalanchas o floods, avalanchas de SYN, time bomb, packet storm y otros.
La ultima versin de esta herramienta es una solucin muy completa.
Localizacin:
http://www.iss.net/download/
Versin para Linux:
http://www.atomicfrog.com/archives/exploits/crack-scan/iss.tar.gz
Scanner - 3
Las reglas o los ataques pueden ser de diversos tipos. Por ejemplo, prueba de
permisos validos para acceso a archivos, verificacin de la estructura del archivo de
claves de ingreso, deteccin de programas que se sabe que tienen errores en su
escritura, servicios vulnerables abiertos, cuentas de ingreso creadas en el sistema
por omisin, etc.
Hoy da muchos scanner son ms complejos y flexibles, y en ciertos casos, ms
extensibles. A medida que emergen nuevas vulnerabilidades y nuevas tcnicas,
algunos desarrolladores de scanner las incorporan dentro de sus herramientas. Esto
ha
permitido
el
desarrollo
de
scanner
capaz
de
probar
centenares
de
vulnerabilidades.
En aos recientes, los patrones de desarrollo de los scanner han seguido tendencias
del mercado. Mientras que los primeros scanner se enfocaban casi exclusivamente a
servidores UNIX, los scanner modernos pueden probar ambientes heterogneos.
Algunas de estas herramientas de seguridad pueden evaluar varios sistemas
operativos en una sola pasada incluyendo: Unix, Linux, Novell NetWare, Microsoft
Windows 200x-Server y otros.
Las vulnerabilidades de un sistema y de la red varan en cada caso, a raz de que los
diferentes usuarios estn preocupados a cerca de diferentes aspectos de la
seguridad, por lo tanto existen muchas clases de scanner diferentes.
Algunos son especializados y prueban solamente ciertos servicios, mientras que otros
prueban los servicios bien conocidos pero agregan diferentes funcionalidades en sus
reportes.
SATAN (Security Administrators Tool for Analysing Networks)
Este scanner determin un giro en el desarrollo de este tipo de herramientas.
Cuando fue liberado, los diferentes scanner de red disponibles desempeaban tareas
relativamente simples. El personal de seguridad quera ms, y con SATAN lo podan
obtener. Fue el primer scanner que con un solo comando de activacin integraba
varias sondas para probar el sistema.
Scanner - 4
(NIS).
Window.
Los mdulos de scanning escritos en C, sondean el sistema objetivo y reportan los
resultados a una base centralizada, desde la cual los scripts en Perl capturan esta
informacin y la despliegan en un navegador o browser.
Localizacin http://www.fish.com/satan/
Scanner - 5
Actualmente hay alrededor de 500 plug-ins para ataques y los desarrolladores del
producto crearon una aplicacin especial en formato API para administrarlos. Usando
este sistema es posible tomar cualquier nuevo ataque o vulnerabilidad (en formato
plug-ins), y enchufarlo o cargarlo al scanner. La interfase grafica es intuitiva. El
programa incluye tutoriales y explicaciones de cada vulnerabilidad que se encuentra.
La lista actualizada de las vulnerabilidades que NESSUS verifica se encuentra en:
http://cgi.nessus.org/plugins/
Localizacin del producto:
http://www.nessus.org/
SAINT (Security Administrators Integrated Network Tool)
Es como una versin ms avanzada de SATAN producida por WDDSIs que incluye
soporte para muchas vulnerabilidades recientes incluyendo ataques Web basados en
CGI, ataque de negacin de servicio "Denial-of-Service", ataques a protocolo de
correo POP, vulnerabilidad de SSH, y desbordamiento "Overflow" de buffer
causados remotamente, y otros.
Localizacin del producto:
www.wwdsi.com/saint/ <http://www.wwdsi.com/saint/
servidores tftp.
Localizacin: http://wwwgiga.or.at/pub/hacker/unix/connect.tar.gz
Dnswalk
Scanner - 6
DOC
ejecutando. Esto es til cuando se tiene una red grande y se quiere llegar a
determinar si una estacin de trabajo esta ejecutando procesos de servicio http que
se estn corriendo como sper-usuario, o si algn usuario se ha autenticado al
sistema con identificacin invalida.
Localizacin: http://www.giga.or.at/pub/hacker/unix/identTCPscan.c.gz
Scanner - 7
Scanner - 8
Scanner - 9
Klaxon
Es una herramienta sofisticada para detectar scanner por puerto y por servicio
construida con base en cdigo de ejecucin remota con algunas modificaciones para
reemplazar los servicios TCP y UDP en el archivo inetd.conf. Aun cuando este
programa no puede detectar algunos tipos de sondeos complejos y avanzados,
detecta, y registra la actividad, lo cual es apropiado para monitorear una gran
variedad de sondeos en servicios especficos. Localizacin:
ftp://ftp.eng.auburn.edu/pub/doug/klaxon.tar.gz
PortSentry [Psionic]
Es una herramienta avanzada que hace mas que simplemente detectar sondeos de
puerto, intenta identificar y bloquear al atacante en tiempo real.
Incluye deteccin de stealth-scan, soporte para FIN, puertos medio abiertos, NULL,
paquetes
oddball,
SYN
ataques
estilo
X-MS.
Soporta
extensin
de
RESUMEN
Si usamos los scanner en forma apropiada, pueden ser una herramienta valiosa para
determinar el nivel de seguridad de los servidores y las estaciones de trabajo, pero
debemos tener presente que un atacante puede usar estas mismas herramientas
para detectar debilidades en la seguridad de nuestro sistema.
Este tipo de productos evolucionan muy rpidamente. Por esto mismo es importante
usar siempre la ultima versin disponible.
Scanner - 10