Audyt bezpieczeństwa (programy) cz. 2 Artur Sierszeń asiersz@kis.p.lodz.pl http://bzyczek.kis.p.lodz.pl
Audyt bezpieczeństwa programy cz. 2 Nikto SoftPerfect Network Scanner Global Network Inventory Infiltrator Network Security Scanner 2
Nikto 3
Nikto Nikto jest aplikacją, której działanie polega na przeprowadzeniu szeregu testów serwera WWW. Program wykrywa ponad 3500 błędów w plikach skryptów CGI oraz PHP. Daje informacje na temat wersji serwera oraz szczegóły dotyczące ewentualnych błędów w zainstalowanym oprogramowaniu (znaleziono błąd w oprogramowaniu i dostępny jest exploit, który potrafi go wykorzystać, zostaniemy o tym poinformowani). Dostępna jest również możliwość automatycznej aktualizacji programu, która powoduje uaktualnienie wszystkich danych dotyczących zabezpieczeń. Baza jest dość obszerna, a ilość dostępnych wtyczek pozwala na dowolne rozszerzenie możliwości skanera. 4
Nikto Nikto pozwala na stosunkowo szybka analizę systemu. Zawiera opcje, które pozwalają na ominiecie systemów wykrywania intruzów (IDS), które częsta zabezpieczają serwery. Do najważniejszych możliwości skanera w poszukiwaniu potencjalnych problemów i słabości bezpieczeństwa należy wykrywanie: Nieprawidłowości w konfiguracji serwera i oprogramowania, Domyślne programy i pliki, Niezabezpieczone pliki i programy, Brak aktualizacji serwerów i aplikacji. 5
Nikto Program Nikto jest aplikacja darmową. Kod programu jest otwarty i udostępniany na licencji GPL, jakkolwiek część plików używanych przez Nikto nie ma statusu wolnego oprogramowania. Autorem programu jest Chris Sullo. Od 2008 Sullo zrezygnował z prac nad projektem i w całości przekazał go do dyspozycji społeczności skupionej wokół wolnego oprogramowania. Aplikacja została wydana na wiele systemów operacyjnych może być uruchomiona na praktycznie każdej platformie, która posiada wsparcie dla środowiska języka PERL. Obecnie stabilna wersja to wersja oznaczona numerem 2.1.0. 6
Nikto./nikto.pl -h 192.168.0.1 Najbardziej standardowe skanowanie. Cel określony zostaje jako nazwa hosta lub adres IP, określony zostaje za pomocą opcji h (-host). Domyślnym portem skanowania jest port 80 TCP, jeśli inny nie zostanie podany to właśnie port numer 80 będzie skanowany../nikto.pl -h 192.168.0.1 -p 443 Skanowanie hosta o adresie 192.168.0.1 odbywa się na porcie 443 protokołu TCP. Można też podawać listę portów, postaci zakresu np. 21-80 lub wymieniając poszczególne porty(np. 22, 53, 80). 7
Nikto Jeśli znaleziony zostanie na danym porcie działający serwer, przeprowadzane jest pełne skanowanie chyba, że wyłączona zostanie opcja -f. Jeśli natomiast chcemy sprawdzić równocześnie czy serwer jest obecny na kilku portach np. 80, 120 oraz 443, podajemy poniższy zapis: nazwahosta.domena.org:80:120:443 Również i w tym miejscu zamiast nazwy serwera można podać adres IP. 8
Nikto Można również pełnego określenia adresu URL:./nikto.pl -h https://192.168.0.1:443/ Nie ma jednak potrzeby określania, że dla SSL ma być użyty port 443 Nikto najpierw testuje regularne HTTP, a jeśli się to nie powiedzie, skanuje HTTPS. Jeśli zaś istnieje pewność że badany serwer to serwer SSL, użycie opcji -s (-ssl) przyśpieszy testowanie:./nikto.pl -h 192.168.0.1 -p 443 ssl 9
Nikto Bardziej złożone skanowanie można uzyskać korzystając z opcji mutate. Dzięki temu zostaną przeprowadzone dodatkowe testy, z zestawu opcji mutate-options, np../nikto.pl -h 192.168.0.1 -mutate 3 -mutate-options user-list.txt Użycie -mutate 3, z lub bez dodatkowo określonego pliku, spowoduje próbę typu brute force (atak siłowy) na nazwy użytkownika, o ile serwer zezwala na użycie ~user URI. W programie dostępna jest opcja umożliwiająca ominięcia systemu IDS, opcja ta wywoływana jest z parametrem e(-evasion). Opcja ta jest opisywana przez dziewięć metod. 10
Nikto Funkcje dostępne w opcji -evasion Oznaczenie Opis 1 Losowe kodowanie URI 2 Dodanie do ścieżki odwołania do bieżącego katalogu (/./) 3 Przedwczesne zakończenie adresu URL 4 Dodawanie losowo wygenerowanego zestawu znaków na żądanie 5 Fałszywe nazwy plików w wywołaniu 6 Używanie zamiast spacji znaku tabulacji w żądaniu pliku 7 losowe zmienianie wielkości znaków na duże lub małe 8 Używanie separatora katalogów Windows ( \ ) zamiast uniksowego ( / ) 9 Dzielenie sesji na fragmenty Aby użyć jedna lub kilka z powyższych opcji należy wywołać polecenie z parametrem postaci np. e 2 (włączenie funkcji 2) e 245 (włączenie funkcji 2, 4 oraz 5). 11
Nikto Nikto jako złożony skaner bezpieczeństwa umożliwia, również integracje z innymi popularnymi narzędziami takimi jak Nmap i Nessus. Użycie Nmapa w Nikto powoduje zwiększenie prędkości skanowania. Wśród wielu opcji dostępnych w pliku konfiguracyjnym (config.txt) jest tez opcja NMAP, która służy do podania ścieżki do Nmapa. Nessus może zostać tak skonfigurowany, aby automatycznie wywoływać Nikto, gdy podczas skanowania Nessus napotka na serwer WWW. Należy umieścić Nikto (katalog zawierający nikto.pl) w lokalizacji zmiennych środowiskowych roota (Unix). 12
SoftPerfect Network Scanner 13
SoftPerfect Network Scanner 14
SoftPerfect Network Scanner 15
SoftPerfect Network Scanner SoftPerfect Network Scanner jest darmową aplikacją firmy SoftPerfect działającą w systemach z rodziny Windows. Jest to wielowątkowy skaner IP, NetBIOS i SNMP. Posiada nowoczesny i wygodny interfejs z rozbudowana ilością funkcji i opcji. Do działania nie wymaga uprawnień administracyjnych. Nie wymaga instalacji Jedynym plikiem SoftPerfect Network Scanner jest tylko plik wykonywalny. Scanner oprócz rozbudowanej funkcjonalności jako skaner, posiada opcje filtrowania rezultatów skanowania. 16
SoftPerfect Network Scanner 17
SoftPerfect Network Scanner - funkcje programu Pingowanie hostów (ICMP, NetBios, ARP), Wykrywanie wewnętrzne i zewnętrzne adresy IP wszystkich interfejsów sieciowych (autodetekcja ustawień sieciowych), Wykrywanie adresy sprzętowe nawet za ruterami, Wykrywanie ukryte foldery sieciowe (normalnie niewidoczne w otoczeniu sieciowym) i zapisuje dostępne zasoby sieciowe, Skanowanie portów TCP i usług SNMP, Wyświetla obecnie zalogowanych użytkowników, Umożliwia mapowanie i eksploracje zasobów sieciowych, 18
SoftPerfect Network Scanner - funkcje programu Umożliwia uruchomienie innych aplikacji, Posiada wsparcie dla IPv6 systemu Windows Vista lub 7 Posiada wsparcie dla funkcji Wake-On-LAN - zdalne wybudzenie komputera poprzez sieć Zdalnego wyłączania komputerów Wysyłanie wiadomości sieciowych, Wyświetla wszystkie potencjalnie dostępne informacje poprzez usługę Instrumentacji Zarządzania Widndows (WMI), Wyświetla informacje z Rejestru Zdalnego 19
SoftPerfect Network Scanner Wyniki skanowania można wyeksportować do formatów HTML, XML, CSV lub TXT. Program posiada funkcje automatycznego sprawdzania czy dostępna jest nowsza wersja programu. Obecna najnowsza wersja to wersja 4.4.3. Program można również uruchomić z parametrem lub kilkoma parametrami postaci: netscan.exe /parametr1/parametr2 Wśród opcji tak wywoływanych jest m.in. opcja hide umożliwiająca prace w trybie cichym bez wyświetlania okna głównego aplikacji. 20
Global Network Inventory 21
Global Network Inventory Wydawcą oprogramowania jest Magneto Software Obecnie aktualna wersja jest oznaczona jako wersja 2.3.1.1 Program jest aplikacja płatną standardowa cena obejmuje licencją 25 adresów IP, istnieje możliwość zwiększenie tej liczby za dodatkowa opłatą Istnieje możliwość skorzystania z wersji 30-dniowej wersji testowej, która posiada pełną funkcjonalność Program jest przeznaczony na wszystkie systemy z rodziny Windows, od Windows 98, w tym również i 64 bitowe Aplikacja dostępna jest tylko w języku angielskim Program był wielokrotnie wyróżniany i nagradzany przez portale i serwisy poświecone technologiom sieciowym i bezpieczeństwu w sieci 22
Global Network Inventory Global Network Inventory jest bardzo rozbudowana aplikacją przeznaczoną do pozyskiwania informacji o zasobach systemowych, zarówno o oprogramowaniu, jak i sprzęcie Może być używany jako skaner w audycie bezpieczeństwa w sieciach o bardzo rozbudowanej i rozproszonej architekturze Aplikacja ta może skanować zdalne stacje robocze i urządzenia sieciowe, takie jak drukarki sieciowe, huby, przełączniki czy centra informacji Duża ilość opcji skanowania, ułatwia dostosowanie tego procesu do indywidualnych potrzeb użytkownika 23
Global Network Inventory Program wymaga tylko administracyjnych praw dostępu, jeżeli użyty zostanie do wykonania audytu na żądanie na komputerach zdalnych Aplikacja może być wykorzystana jako narzędzie do przeprowadzania regularnych audytów, zainicjowanych przez skrypt logowania do domeny W takim przypadku informacje zebrane informacje są eksportowane do specjalnego folderu sieciowego, gdzie później mogą być dołączone do głównej bazy danych Komputery mogą być skanowane na podstawie: zakresu adresów IP, domeny, jako pojedyncze komputery lub bazując na specjalnym pliku, w którym mogą być również zdefiniowane pozostałe obiekty procesu skanowania 24
Global Network Inventory 25
Global Network Inventory Wśród dostępnych w Global Network Inventory opcji audytu są różnorodne kategorie informacji systemowych, pogrupowane w tematyczne zakładki. system operacyjny zainstalowane oprogramowanie usługi listy użytkowników udziały programy startujące z systemem operacyjnym urządzenia (kontrolery wideo, NetBIOS, system SNMP, pamięć, płyta główna i inne) 26
Global Network Inventory 27
Global Network Inventory Wyniki skanowania mogą być wyeksportowane do formatu: HTML XML Microsoft Excel formaty tekstowego Wysyłane przez e-mail. Global Network Inventory posiada zestaw szablonów raportów z możliwością dopasowania do indywidualnych potrzeb Aplikacja posiada, także możliwość przeprowadzania skanowania o określonej porze lub według zaplanowanego harmonogramu 28
Infiltrator Network Security Scanner 29
Infiltrator Network Security Scanner Infiltrator Network Security Scanner jest prostym w użyciu, intuicyjnym sieciowym skanerem bezpieczeństwa Umożliwia wykonanie szybkiego audytu komputerów w sieci, pod kątem podatności na ataki, wykorzystania eksploitów i wycieku informacji Infiltrator może ujawnić i skatalogować nadmiar informacji o skanowanych komputerach, np. o zainstalowanym oprogramowaniu, udziałach, użytkownikach, sprzęcie, poprawkach do programów, informacje NetBIOS i SNMP, otwartych portach Może dokonać audytu hasła i polityki bezpieczeństwa na każdym komputerze i zawiadomić kiedy należy dokonać zmian zwiększających bezpieczeństwo 30
Infiltrator Network Security Scanner Infiltrator Network Security Scanner wykorzystuje te same techniki skanowania, które są wykorzystywane przez hakerów i intruzów, chcących wykorzystać słabości środowiska sieciowego Osoba nie mająca złych zamiarów wobec danej sieci może za pomocą Infiltratora w sposób czytelny zobaczyć co byłby w stanie zobaczyć haker Ten pakiet narzędzi posiada bardzo rozbudowane mechanizmy służące do skanowania i zbieranie informacji o celu: 31
Infiltrator Network Security Scanner tablice NetBIOS i SNMP informacje uzyskiwane podczas pingowania informacje o serwerach WWW otwarte porty TCP i UDP startowe klucze rejestru zainstalowane oprogramowanie oraz poprawki i łatki do niego udostępnione pliki i drukarki polityka haseł, informacje o użytkownikach i grupach użytkowników zaplanowane zadania i sesje informacje o LSA (ang. Local Security Authority) informacje o systemie komputerowym 32
Infiltrator Network Security Scanner 33
Infiltrator Network Security Scanner Infiltrator może zaalarmować administratora w przypadku stwierdzenia naruszenia bezpieczeństwa, dokonanego na podstawie analizy porównawczej z własną wbudowaną (z możliwością aktualizacji) baza danych audytów bezpieczeństwa. Program zwraca uwagę na m.in. następujące zagrożenia: niezabezpieczone ustawienia rejestru, możliwe infekcje trojanami i robakami, podejrzane otwarte porty, słaba polityka haseł, potencjalnie niebezpieczne uruchomione procesy, zainstalowane eksploity CGI i skrypty, nieprawidłowości w konfiguracji kont użytkowników. 34
Infiltrator Network Security Scanner Programy wchodzące w skład pakietu Infiltrator Network Security Scanner Rodzaj narzędzia Fingerprinting Skanowanie Enumeracja zasobów Narzędzia do email Umożliwienie dostępu Narzędzie WhoIs Client Raw HTML Viewer Netstat Finger Port Scanner Ping Sweep Traceroute Shares Scanner Users Scanner Network Enumerator SNMP Enumerator SMTP Client EXPN oraz VRFY Checkers Email Tracer Share Brute Force Cracker SNMP Brute Force Cracker FTP Brute Force Cracker Password Revealer 35
Infiltrator Network Security Scanner 36
Audyt oprogramowania K O N I E C