Literatur. ITSec SS Teil 5/Scanner

Transkript

1 Literatur [5-1] Plötner, Johannes; Wendzel, Steffen: Netzwerk-Sicherheit. Galileo-Computing, 2005 [5-2] Jones, K.; Shema, M.; Johnson, B.: Das Anti-Hacker-Toolkit. mitp, 2003 [5-3] Hatch, B.; Lee, J.; Kurtz, G.: Das Anti-Hacker-Buch für LINUX. mitp, 2001 [5-4] anonymous: linux hacker's guide. Markt&Technik, 2000 [5-5] [5-6] [5-7] ftp://ciac.llnl.gov/pub/ciac/sectools/unix/ [5-8] 2

2 Übersicht Scannen eines Systems Scannen über das Netzwerk 3 Begriffe Scanner = Programm, das ein System systematisch auf Schwachstellen oder Probleme prüft und teilweise repariert System-Scanner = Scanner, der als Teil des zu analysie-renden Systems arbeitet, z. B. von CDROM gestartet Netzwerk-Scanner = Scanner, der Systeme über Netze scannt Typische Beispiele: Prüfen der Erreichbarkeit von Servern, z.b. Drucker Prüfung von Firewalls (offene Ports) 4

3 Ziele von System-Scannern Prüfen auf Fehlende Passwörter Zu leichte oder zu kurze Passwörter Laxe/fehlerhafte Dateirechte, z. B. suid root von Benutzerprogammen Laxe/fehlerhafte Konfigurationen, z. B. fehlerhafte.htaccess-, host.equiv-dateien etc. oder freies Upload bei FTP-Servern Aber auch Viren, Trojanische Pferde Modifikationen von Programmen 5 Beispiele für System-Scanner (Klassiker) Name Version Beschreibung tiger Testet auf Lücken und benachrichtigt tara Weiterentwicklung von tiger Diese Klassiker werden teilweise nicht mehr weiter entwickelt; aber sie funktionieren noch heute sehr gut. 6

4 Einfache Netzwerk-Scanner Einfache Werkzeuge ping traceroute [Linux]/tracert [Windows] Portscanner (Beispiele) nmap 6.* [LINUX, MacOS 10, Windows] strobe 1.03 SuperScan 4.0 [Windows] Xprobe2 [Linux] 7 Ping I Scannen eines IP-Adressraums durch ICMP Echo-Request- Pakete: Leicht zu identifizieren: "lautes Scannen" Unzuverlässig, da nicht jedes System antwortet, z. B. antworten i.d.r. keine Netzwerkdrucker Durch Variationen des ICMP-Pakets lassen sich u.u. aus der Ferne Betriebssysteme identifizieren Benutzen von Broadcast-Adressen Unzuverlässig, siehe RFC 1122, S.41/2 Noch leichter zu identifizieren: "sehr lautes Scannen" Kurzzeitige hohe Belastung des Netzes Basis der Smurf-DoS-Attacke Fingerprint von Betriebssystemen, z. B. Win NT 3.5 antwortet auf normales ping, nicht aber auf Broadcast-ping 8

5 Ping II Ping bzw. dessen Algorithmus wird von fast allen Portscannern und anderen Scannern verwendet, um zu erkennen, ob das entfernte System arbeitet. Wer sich also "tot stellen" will, muss seinen Kernel so konfigurieren, dass auf einen ping (ICMP-Echo-Request) keine Antwort gesendet wird. 9 Port Scanner zur Analyse von Schnittstellen Port Scanner = Programm, das (meist) von Außen die Reaktion eines Ports auf der Transportschicht und darüber prüft und einen Bericht darüber erstellt Verfahren: (teilweiser) Aufbau einer Verbindung und warten auf Antwort: Auswerten der empfangenen Informationen Identifizieren der Dienste: Bestimmung der Version Auswerten der Begrüßungstexte (Banner Grabbing) Darstellung der Ergebnisse oder Speichern in einer Datenbank Tarnung: Verteilt von mehreren Systemen Portnummern in zufälliger Reihenfolge Über langen Zeitraum verteilt 10

6 Arten von Portscans Portscans mit TCP Full-connect-Scan Half-connect-Scan FIN-Scans Portscans mit UDP 11 Full-connect Port-Scan I Es wird eine vollständige TCP-Verbindung aufgebaut, d.h. der volle 3-Wege-Handshake wird durchlaufen. Dann wird bei erfolgreicher Verbindung das erste Paket/die ersten Pakete des fremden Servers analysiert, um ein Fingerprint anzufertigen. Das nennt sich dann "Banner-Grabbing". Anwendungen für Banner-Grabbing, typisch telnet http Ftp SSH Apache Konsequenzen Banner weglassen (humorvolle) falsche Banner 12

7 Full-connect Port-Scan II Protokollablauf (H = Hackerhost, O = Opferhost) 1. H->O: SYN-Paket 2. O->H: SYN/ACK oder RST RST: Entweder zu diesem Zeitpunkt kein Verbindungsaufbau möglich oder "mit DIR rede ich nicht" Ist der Port geschlossen, gib es eine ICMP-Meldung oder gar nichts 3. H->O: ACK 4. O->H: Banner etc. 5. H->O: ACK und Abbau mit ordentlichen FIN Wird in der Regel protokolliert Beispiel: nmap O-Adresse SYN, ACK, RST, FIN sind die Flags im TCP-Paket. 13 Half-connect Port-Scan Protokollablauf (H = Hackerhost, O = Opferhost) 1. H->O: SYN-Paket 2. O->H: SYN/ACK oder RST RST: Entweder zu diesem Zeitpunkt kein Verbindungsaufbau möglich oder "mit DIR rede ich nicht" Ist der Port geschlossen, gibt es eine ICMP-Meldung oder gar nichts 3.H->O: ACK mit Abbau mit FIN 4.O->H: ACK mit FIN Es kommt keine Verbindung zustande. Wird meistens nicht protokolliert Beispiel nmap -ss O-Adresse 14

8 FIN-Scan Protokollablauf (H = Hackerhost, O = Opferhost) Es wird einfach ein FIN gesendet. Nach RFC 793 muss bei einem geschlossenen Port mit Reset geantwortet werden. Beim offenen Port wird das Paket verworfen. 15 Xmas- und Null-Scan Xmas-Scan Protokollablauf Es wird ein FIN-Paket mit allen Flags gesetzt gesendet. Darauf muss bei geschlossenem Port mit einem RST geantwortet werden, ansonsten wie bei FIN-Scan. Nul-Scan Protokollablauf Es wird ein FIN-Paket ohne ein einziges gesetztes Flag gesendet. Darauf muss bei geschlossenem Port mit einem RST geantwortet werden, ansonsten wie bei FIN-Scan. 16

9 Beispiel SuperScan 4.0 (Windows) 17 Scannen mit Spoofing Es wird eine unbelastete Maschine M gesucht. Diese wird mit hping -r (Verwendung inkrementeller IP-IDs) beobachtet: Steigen die IP-IDs um 1, so ist M unbelastet. Die Hacker-Maschine H überwacht mit ping M kontinuier-lich und wertet die IP-ID-Differenzen aus. Die Hacker-Maschine H testet parallel einen Port auf der Opfermaschine O mit der Absenderadresse von M. Antwortet O an M (und arbeitet sonst niemand auf M), so ist IP-ID um 2 erhöht, was durch das ping durch H festgestellt wird. Mit einem gewissen Risiko können die Ergebnisse als ein Portscan ausgewertet werden. 18

10 nmap I Sehr leistungsfähiges Werkzeug auf Shell-Ebene Es beherrscht Fast alle allgemeinen Scanntechniken OS-Fingerprinting (Fingerabdrücke von Betriebssystemen) Version Original für UNIX/LINUX mit Portierungen auf Windows und MacOS Portierung auf Windows: nmap-6.47-win32.zip Mit/Ohne einer Mausschnittstelle für Linux: nmap i386.rpm (ohne) zenmap noarch.rpm (mit Window-Oberfläche) 19 nmap II 20

11 nmap III... Interesting ports on ( ): (The ports scanned but not shown below are in state: closed) Port State Service 22/tcp open ssh 111/tcp open sunrpc 139/tcp open netbios-ssn 769/tcp open vid 901/tcp open samba-swat 6000/tcp open X /tcp open snet-sensor-mgmt 32895/tcp open unknown 32896/tcp open unknown OS-Fingerprinting I Beim OS-Fingerprinting wird versucht von außen anhand des Kommunikationsverhaltens das Betriebssystem so genau wie nur möglich festzustellen. Basis Fehlerhafte oder besondere TCP/IP-Stack-Implementierungen Von den RFC abweichende Verbesserungen Typische Verhaltensweisen, z. B. Bestimmte Inkremente beim Byte-Hochzählen Eigenarten des Kopierens von Daten bei ICMP Bestimmte Größe von Fenstern (Sliding Window) Datengröße beim Ping Zeitverhalten 22

12 OS-Fingerprinting Werkzeuge queso (Käse) in der Version ftp://coast.cs.purdue.edu/pub/tools/unix/scanners/queso/ nmap 6.* p0f (Linux, Windows, MacOS) Siehe: und: Im folgenden wird nmap 5.51 besprochen. Die aktuelleren Versionen arbeiten analog (und sind natürlich besser). 23 OS-Fingerprinting mit nmap I - Beispiel 01 # Windows Millenium Edition v # Windows 2000 Professional (x86) 03 # Windows Me or Windows 2000 RC1 through final release 04 # Microsoft Windows 2000 Advanced Server 05 # Winodws XP professional version 2002 on PC Intel processor 06 # Windows XP Build # Windows 2000 with SP2 and long fat pipe (RFC 1323) 08 # Windows 2K Service Pack 2 and latest hotfixes 09 # XP Professional 5.1 (build 2600).. all patches up to June 20, # Fingerprint Windows XP Pro with all current updates to May Fingerprint Windows Millennium Edition (Me), Win 2000, or WinXP 12 TSeq(Class=RI%gcd=<6%SI=<23726&>49C%IPID=I%TS=0) 13 T1(DF=Y%W=5B4 14F0... FFFF%ACK=S++%Flags=AS%Ops=NNT MNWNNT) 14 T2(Resp=Y N%DF=N%W=0%ACK=S%Flags=AR%Ops=) 15 T3(Resp=Y%DF=Y%W=5B4 14F0... FFFF%ACK=S++%Flags=AS%Ops=MNWNNT) 16 T4(DF=N%W=0%ACK=O%Flags=R%Ops=) 17 T5(DF=N%W=0%ACK=S++%Flags=AR%Ops=) 18 T6(DF=N%W=0%ACK=O%Flags=R%Ops=) 19 T7(DF=N%W=0%ACK=S++%Flags=AR%Ops=) 20 PU(DF=N%TOS=0%IPLEN=38%RIPTL=148%UCK=E F%ULEN=134%DAT=E) Beispiel eines Auszugs einer Definitionsdatei 24

13 OS-Fingerprinting mit nmap II 1-10 Kommentare 11 Definition der feststellbaren Betriebssysteme 12 Sequenznummernwahl 13 Test T1: SYN mit Optionen, DF=Y bedeutet, dass das don't Fragment-Bit gesetzt wird, ACK=S++ heißt, dass die Antwort mit einer Bestätigungsnummer kommen muss, die um 1 gegenüber der geschickten erhöht ist etc Weitere Tests 20 PU (Port unreachable)-test: Beschreibung des ICMP-Pakets Die einzelnen Optionen werden durch % getrennt. Es werden mehrere Tests spezifiziert, die für eine Identifikation durchlaufen werden müssen. Das Identifizieren kann per Parameter noch gesteuert werden. 25 Weitere Scanner Angry IP Scanner Siehe: NetScanTools (kommerziell) Siehe: Unicornscan Siehe: Übersicht Siehe: 26

14 Aufspüren von Netzwerk-Scanns - icmpinfo icmpinfo dient zum Aufspüren von ICMP-Scanns und ICMP-"Bomben" (zu häufige ICMP-Pakete) Version 1.11 Betriebssysteme: BSD, Ubuntu, Red Hat Basiert auf C und netint-includes Aufruf-Beispiel: icmpinfo -vvv Die Anzahl der v regelt den Umfang: vvv beobachtet alle ICMP- Pakete, also auch ping und traceroute 27 Aufspüren von Netzwerk-Scanns - PortSentry PortSentry identifiziert Portscanns Version 1.2 (Klassiker von 2003) ftp://coast.cs.purdue.edu/pub/tools/unix/logutils/sentry/ (1998) Basiert auf C, IP-Include Sehr gut kommentierter C-Code über Sockets (Lehrbeispiel) Es werden erkannt: Stealth-Scans TCP und UDP simultan Statusaufzeichnungen 28

15 Aufspüren von Netzwerk-Scanns - Personal Firewalls 29 Komplexe Netzwerk-Scanner Komplexe Scanner SATAN SAINT NESSUS openvas 30

16 Internet Security Scanner: ISS I Es gibt eine freie alte Version (1.3) oder eine kommerzielle, sehr gute Version. 1993: das erste derartige Programm ftp://coast.cs.purdue.edu/pub/tools/unix/scanners/iss/ Heute IBM: Tätigkeiten: Prüfung auf offene Ports (Portscanner) Probieren einiger Exploits: telnet-login NIS (Bestimmen des Domainnamens) Sendmail FTP ISS muss ausgepackt und übersetzt werden Aufruf, z. B../iss -p ISS II ISS gibt es als freie und auch als kommerzielle Version Frei: Version 1.3 Kommerziell: Version ab 5 Die kommerzielle Version zählt zu den besten, die es auf dem Markt gibt. 32

17 SATAN I 33 SATAN II SATAN = Security Administrator's Tool for Analyzing Networks 1995, recht bekannt durch lange Diskussionen über Moral Ist für BSD 4.4 geschrieben worden und benötigt für LINUX einen Patch sowie die netinet-include-dateien, C und Perl Die letzte Version wird nicht mehr weiter entwickelt. ftp://ciac.llnl.gov/pub/ciac/sectools/unix/ Prüft Schwachstellen bei FTP, TFTP NFS Rsh, (R-Tools) Sendmail X Starten mit Web-Schnittstelle oder über Kommandozeile 34

18 SATAN III Arbeitsweise 1. System per IP-Adresse auswählen 2. Scannen 3. Bericht mit Erklärungen/Tutorials ansehen In diesem Punkt war SATAN gegenüber den bisherigen Werkzeugen überlegen. Artikel N. Cook, M. Corbin: Flirting with SATAN. Zugriff ftp://ciac.llnl.gov/pub/ciac/sectools/unix/ 35 SARA und SAINT Auf der Idee oder auf dem Modell von SATAN wurden weitere andere Scanner entwickelt, wie z. B. SARA Security Auditor's Research Assistant (2009) wird nicht mehr weiter entwickelt ftp://coast.cs.purdue.edu/pub/tools/unix/scanners/sara/ SAINT (kommerziell geworden) ftp://coast.cs.purdue.edu/pub/tools/unix/scanners/saint/ 36

19 SAINT SAINT = Security Administrator's Integrated Network Tool Verbesserte Version von SATAN Nur noch kommerziell Ähnlich wie SATAN: C, Perl, BSD 4.4-netinfo-Include-Files und LINUX-Patch Prüft (über SATAN hinaus) folgende Schwachstellen CGI-Probleme DoS-Angriffe POP-Server-Probleme SSH-Probleme Pufferüberläufe Es gibt auch WebSAINT - SAINT mit Webschnittstelle 37 Courtney und Gabriel Courtney dient zum Aufspüren von Scanns durch SATAN und SAINT Version 1.3 Datei: courtney-1.3.tar.z Basiert auf tcpdump, libpcap und Perl Mit tcpdump wird die Ethernet-Schnittstelle abgehört und dessen Output unmittelbar analysiert. Links dazu: SAINT-Detector ftp://coast.cs.purdue.edu/pub/tools/unix/logutils/courtney/ 38

20 Nessus I Sehr leistungsfähiger, (fast) freier Netzwerk-Scanner Entwickelt seit April 1998, nun Version 6.* Basiert auf C, IP-Header-Dateien und gt (Bibliothek für X) Es gibt sehr viele Plugins, die einzelne Tests durchführen. Die Plugins werden in NASL oder C geschrieben, davon ca. 99% in NASL (Nessus Scripting Language) Damit kann Nessus sehr leicht auf aktuelle Probleme bzw. Lücken angepasst werden. Zu jeder Schwachstelle gibt es Hinweise und Tutorials. Nicht mehr Open Source Alternativer "fork": openvas: node.html 39 Nessus II Im Original nur für UNIX/LINUX; es gibt aber Portierungen des Servers auf Windows, MacOS, FreeBSD und Solaris. Bestandteile: Client (Früher eigenes Programm, nun Browser) Server: nessusd Hier passiert die eigentliche Arbeit. Plugins werden vom Server nessusd aufgerufen bzw. interpretiert und liefern die Ergebnisse an den nessusd zurück Die nun folgenden Snapshot-Dumps stammen von der Version für ein 64-bit-Linux-System (Red Hat). 40

21 Installation I 41 Installation II SSL-Zertifikat akzeptieren 42

22 Installation III Die User-ID zum Scannen definieren Dann den Code eingeben. 43 Installation IV Das Herunterladen und Initialisieren dauert eine Weile 44

23 Der erste Scann I 45 Der erste Scann II Zuerst muss der Scann definiert bzw. die vordefinierten benutzt werden. Dann starten 46

24 Der erste Scann III Die Ergebnisse 47 Der erste Scann IV Ein paar Details 48

25 Der erste Scann V Die Fritzbox hat von Innen einige Lücken 49 Der erste Scann VI Die Reports lassen sich auch in verschiedenen Formaten ausgeben. 50

26 Reportbeispiel (Version 2.3) SUMMARY - Number of hosts which were alive during the test : 9 - Number of security holes found : 54 - Number of security warnings found : Number of security notes found : 303 TESTED HOSTS (Security holes found) (Security holes found) (Security holes found) DETAILS :. List of open ports : o echo (7/tcp) (Security warnings found) o telnet (23/tcp) (Security hole found) o ssh (22/tcp) (Security hole found) o ftp (21/tcp) (Security hole found)... o finger (79/tcp) (Security warnings found) o sunrpc (111/tcp) (Security notes found) o exec (512/tcp) (Security warnings found) o printer (515/tcp) (Security notes found) o shell (514/tcp) (Security warnings found). Warning found on port echo (7/tcp) The 'echo' port is open. This port is not of any use nowadays, and may be a source of problems, since it can be used along with other ports to perform a denial of service. You should really disable this service. Risk factor : Low Solution : comment out 'echo' in /etc/inetd.conf CVE : CVE Information found on port echo (7/tcp) An echo server is running on this port. Vulnerability found on port telnet (23/tcp) : The Telnet server does not return an expected number of replies when it receives a long sequence of 'Are You There' commands. This probably means it overflows one of its internal buffers and crashes. It is likely an attacker could abuse this bug to gain control over the remote host's superuser. For more information, see: Solution: Comment out the 'telnet' line in /etc/inetd.conf. Risk factor : High CVE : CVE BID : NASL-Beispiel Sub7 I if(description) { script_id(10409); script_version ("$Revision: 1.13 $"); script_cve_id("can "); name["english"] = "SubSeven"; script_name(english:name["english"], francais:name["francais"]); desc["english"] = " This host seems to be running SubSeven on this port SubSeven is trojan which allows an intruder to take the control of the remote computer. An attacker may use it to steal your passwords, modify your data, and preventing you from working properly. Solution : reinstall your system Risk factor : High";... script_category(act_gather_info); family["english"] = "Backdoors"; script_family(english:family["english"], francais:family["francais"]); script_dependencie("nmap_osfingerprint.nes", "find_service.nes"); exit(0); } 52

27 NASL-Beispiel Sub7 II os = get_kb_item("host/os"); if(os) { if(!("windows" >< os))exit(0); } include("misc_func.inc"); port = get_kb_item("services/unknown"); # make sure that port!= 0 if (!port) exit(0); if (known_service(port: port)) exit(0); if(!get_port_state(port)) exit(0); soc = open_sock_tcp(port); if(!soc) exit(0); r = recv_line(socket:soc, length:2048); if(!r) exit(0); if(ereg(pattern:"^connected\..*, version:.*$", string:r)) { security_hole(port); } 53 Nessus Attack Scripting Language (NASL) Informationen: Using-Nessus-Attack-Scripting-Language-NASL-to-findapplication-vulnerabilities 54

28 Fallbeispiel: Windows 2000 SP2 I (2004) 56

29 Fallbeispiel: Windows 2000 SP2 II (2004) 57 Fallbeispiel: Windows 2000 SP2 III (2004) 58

30 Fallbeispiel: Windows 2000 SP2 IV (2004) 59 Hinweis auf die aktuellen Versionen Aktuell gibt es keinen Client, sondern es wird ein Browser benutzt. Dies hat den Vorteil, dass Standard-Software (Browser) verwendet wird, dies hat den Nachteil, dass damit Interaktivität verloren gegangen ist, d.h. Effekte des Refresh etc. sind ausbaufähig 60

31 Was gibt es alles noch? II Scanner für RPC-Dienste, z. B. rpcinfo Microsoft Baseline Security Analyzer Raccess Dante Security Scanner 2.1 Siehe 61 Was gibt es alles noch? III smtpscan cgi-scan http ike-scan THC Amap NBTScan Advanced IP Scanner Spricht sendmail-server an, um deren Versionsnummer bzw. deren Patchlevel zu erkunden, z.b. Es werden Web-Server mit CGI-Schnittstellen auf CGI- Dateien mit Sicherheitslücken untersucht. Banner der 404-Fehlermeldung sowie die Versionsangaben der Serverantworten VPN-Server Identifizieren von Diensten an unbekannten Ports Scanner für NETBIOS-Netze Scannen nach FTP-Servern u.a. 62

32 Nun wieder etwas entspannen... 63