Literaturwi.f4.htw-berlin.de/users/messer/LV/AI-ITSec-SS19/Folien/ISM-02WI/02... · Port Scanner zur Analyse von Schnittstellen • Port Scanner = Programm, das (meist) von Außen

2ITSec – WS 2016/17 - Teil 2/Scanner

Literatur

[2-1] Plötner, Johannes; Wendzel, Steffen: Netzwerk-Sicherheit. Galileo-Computing, 2005

[2-2] Jones, K.; Shema, M.; Johnson, B.: Das Anti-Hacker-Toolkit. mitp, 2003

[2-3] https://de.wikipedia.org/wiki/Portscanner

[2-4] http://sectools.org

[2-5] http://www.openwall.com

[2-6] http://people.ucalgary.ca/~mharasym/security/security_tools.html

[2-7] http://www.heise.de/ix/inhalt/2012/8/62/


Übersicht

• Scannen eines Systems

• Scannen über das Netzwerk


Begriffe

• Scanner = Programm, das ein System systematisch auf Schwachstellen oder Probleme prüft und teilweise repariert

• System-Scanner = Scanner, der als Teil des zu analysierenden Systems arbeitet, z. B. von CD gestartet

• Netzwerk-Scanner = Scanner, der Systeme über Netze scanntTypische Beispiele:– Prüfen der Erreichbarkeit von Servern, z.B. Drucker

– Prüfung von Firewalls (offene Ports)


Ziele von System-Scannern

Prüfen auf

• Fehlende Passwörter

• Zu leichte oder zu kurze Passwörter

• Laxe/fehlerhafte Dateirechte, z. B. suid root von Benutzerprogammen

• Laxe/fehlerhafte Konfigurationen, z. B. fehlerhafte .htaccess-, host.equiv-Dateien etc. oder freies Upload bei FTP-Servern

Aber auch

• Viren, Trojanische Pferde

• Modifikationen von Programmen


Beispiele für System-Scanner (Klassiker)

Name Version Beschreibung

tiger 3.2.3 Testet auf Lücken und benachrichtigthttp://download.savannah.gnu.org/releases/tiger/http://en.wikipedia.org/wiki/Tiger_(security_software)

http://www.nongnu.org/tiger/

tara 3.0.3 Weiterentwicklung von tigerhttp://www-arc.com/tara/

Diese Klassiker werden teilweise nicht mehr weiter entwickelt; aber siefunktionieren noch heute sehr gut.


Port Scanner zur Analyse von Schnittstellen

• Port Scanner = Programm, das (meist) von Außen die Reaktion eines Ports auf der Transportschicht und darüber prüft und einen Bericht darüber erstellt

• Verfahren: (teilweiser) Aufbau einer Verbindung und warten auf Antwort:– Auswerten der empfangenen Informationen– Identifizieren der Dienste: Bestimmung der Version– Auswerten der Begrüßungstexte (Banner Grabbing)

• Darstellung der Ergebnisse oder Speichern in einer Datenbank• Tarnung:

– Verteilt von mehreren Systemen– Portnummern in zufälliger Reihenfolge– Über langen Zeitraum verteilt


Portscanner-Beispiele

• nmap 7.* [LINUX, MacOS 10, Windows]

• strobe 1.03

• SuperScan 4.0 [Windows]

• Advanced Portscannerhttp://www.advanced-port-scanner.com/de/

• Xprobe2 [Linux]http://sourceforge.net/projects/xprobe/

• Angry IP ScannerSiehe: http://angryip.org/

• NetScanTools (kommerziell)Siehe: http://www.netscantools.com/

• UnicornscanSiehe: http://www.unicornscan.org/

• ÜbersichtSiehe: http://www.heise.de/download/netzwerk-server/sicherheit/portscanner-50000505427/


Arten von Portscans

• Portscans mit TCP– Full-connect-Scan

– Half-connect-Scan

– FIN-Scans

• Portscans mit UDP


Full-connect Port-Scan I

• Es wird eine vollständige TCP-Verbindung aufgebaut, d.h. der volle 3-Wege-Handshake wird durchlaufen.

• Dann wird bei erfolgreicher Verbindung das erste Paket/die ersten Pakete des fremden Servers analysiert, um ein Fingerprint anzufertigen.Das nennt sich dann "Banner-Grabbing".

• Anwendungen für Banner-Grabbing, typisch– telnet

– http

– Ftp

– SSH

– Apache

• Konsequenzen– Banner weglassen

– (humorvolle) falsche Banner


Full-connect Port-Scan II

• Protokollablauf (H = Hackerhost, O = Opferhost)1. H->O: SYN-Paket

2. O->H: SYN/ACK oder RSTRST: Entweder zu diesem Zeitpunkt kein Verbindungsaufbau möglich oder "mit DIR rede ich nicht"Ist der Port geschlossen, gib es eine ICMP-Meldung oder gar nichts

3. H->O: ACK

4. O->H: Banner etc.

5. H->O: ACK und Abbau mit ordentlichen FIN

• Wird in der Regel protokolliert• Beispiel:

nmap O-Adresse

SYN, ACK, RST, FIN sind die Flags im TCP-Paket.


Half-connect Port-Scan

• Protokollablauf (H = Hackerhost, O = Opferhost)1. H->O: SYN-Paket

2. O->H: SYN/ACK oder RSTRST: Entweder zu diesem Zeitpunkt kein Verbindungsaufbau möglich oder "mit DIR rede ich nicht"Ist der Port geschlossen, gibt es eine ICMP-Meldung oder gar nichts

3. H->O: ACK mit Abbau mit FIN

4. O->H: ACK mit FIN

• Es kommt keine Verbindung zustande.

• Wird meistens nicht protokolliert• Beispiel

nmap -sS O-Adresse


FIN-Scan

• Protokollablauf (H = Hackerhost, O = Opferhost)– Es wird einfach ein FIN gesendet.

– Nach RFC 793 muss bei einem geschlossenen Port mit Reset geantwortet werden.

– Beim offenen Port wird das Paket verworfen.


Xmas- und Null-Scan

• ProtokollablaufEs wird ein FIN-Paket mit allen Flags gesetzt gesendet.

• Darauf muss bei geschlossenem Port mit einem RST geantwortet werden, ansonsten wie bei FIN-Scan.

• Protokollablauf Es wird ein FIN-Paket ohne ein einziges gesetztes Flag gesendet.

• Darauf muss bei geschlossenem Port mit einem RST geantwortet werden, ansonsten wie bei FIN-Scan.

Xmas-Scan

Nul-Scan


Beispiel SuperScan 4.0 (Windows)

http://www.mcafee.com/us/downloads/free-tools/superscan.aspx


nmap I

• Sehr leistungsfähiges Werkzeug auf Shell-Ebene

• Es beherrscht– Fast alle allgemeinen Scanntechniken

– OS-Fingerprinting (Fingerabdrücke von Betriebssystemen)

• Version 7.30

• https://nmap.org/download.html

• Original für UNIX/LINUX mit Portierungen auf Windows und MacOS– Portierung auf Windows:

nmap-7.30-setup.exe

– Mit/Ohne einer Mausschnittstelle für Linux:nmap-7.30-1.i686.rpm (ohne)nmap-7.30-1.x86_64.rpm (ohne)zenmap-7.30-1.noarch.rpm (mit Window-Oberfläche)


nmap II


nmap III

....Interesting ports on (172.22.0.2):(The 65526 ports scanned but not shown below are in state: closed)Port State Service22/tcp open ssh 111/tcp open sunrpc 139/tcp open netbios-ssn 769/tcp open vid 901/tcp open samba-swat 6000/tcp open X11 10000/tcp open snet-sensor-mgmt 32895/tcp open unknown 32896/tcp open unknown

....


OS-Fingerprinting I

• Beim OS-Fingerprinting wird versucht von außen anhand des Kommunikationsverhaltens das Betriebssystem so genau wie nur möglich festzustellen.

• Basis– Fehlerhafte oder besondere TCP/IP-Stack-Implementierungen

– Von den RFC abweichende Verbesserungen

– Typische Verhaltensweisen, z. B.� Bestimmte Inkremente beim Byte-Hochzählen� Eigenarten des Kopierens von Daten bei ICMP

– Bestimmte Größe von Fenstern (Sliding Window)

– Datengröße beim Ping

– Zeitverhalten


OS-Fingerprinting

• Werkzeuge– queso (Käse) in der Version 980922

ftp://coast.cs.purdue.edu/pub/tools/unix/scanners/queso/

– nmap 7.*

– p0f (Linux, Windows, MacOS)Siehe: http://en.wikipedia.org/wiki/P0f und: http://lcamtuf.coredump.cx/p0f3/

• Im folgenden wird nmap 5.51 besprochen. Die aktuelleren Versionen arbeiten analog (und sind natürlich besser).


OS-Fingerprinting mit nmap I - Beispiel

01 # Windows Millenium Edition v4.90.30002 # Windows 2000 Professional (x86)03 # Windows Me or Windows 2000 RC1 through final release04 # Microsoft Windows 2000 Advanced Server05 # Winodws XP professional version 2002 on PC Intel processor06 # Windows XP Build 260007 # Windows 2000 with SP2 and long fat pipe (RFC 1323)08 # Windows 2K 5.00.2195 Service Pack 2 and latest hotfixes09 # XP Professional 5.1 (build 2600).. all patches up to June 20, 200210 # Fingerprint Windows XP Pro with all current updates to May 200211 Fingerprint Windows Millennium Edition (Me), Win 2000, or WinXP12 TSeq(Class=RI%gcd=<6%SI=<23726&>49C%IPID=I%TS=0)13 T1(DF=Y%W=5B4|14F0|....|FFFF%ACK=S++%Flags=AS%Ops=NNT|MNWNNT)14 T2(Resp=Y|N%DF=N%W=0%ACK=S%Flags=AR%Ops=)15 T3(Resp=Y%DF=Y%W=5B4|14F0|....|FFFF%ACK=S++%Flags=AS%Ops=MNWNNT)16 T4(DF=N%W=0%ACK=O%Flags=R%Ops=)17 T5(DF=N%W=0%ACK=S++%Flags=AR%Ops=)18 T6(DF=N%W=0%ACK=O%Flags=R%Ops=)19 T7(DF=N%W=0%ACK=S++%Flags=AR%Ops=)20 PU(DF=N%TOS=0%IPLEN=38%RIPTL=148%UCK=E|F%ULEN=134%DAT=E)

Beispiel eines Auszugs einer Definitionsdatei


OS-Fingerprinting mit nmap II

1-10 Kommentare

11 Definition der feststellbaren Betriebssysteme

12 Sequenznummernwahl

13 Test T1: SYN mit Optionen, DF=Y bedeutet, dass das don't Fragment-Bit gesetzt wird, ACK=S++ heißt, dass die Antwort mit einer Bestätigungsnummer kommen muss, die um 1 gegenüber der geschickten erhöht ist etc.

14..19 Weitere Tests

20 PU (Port unreachable)-Test: Beschreibung des ICMP-Pakets

Die einzelnen Optionen werden durch % getrennt. Es werden mehrere Tests spezifiziert, die für eine Identifikationdurchlaufen werden müssen.Das Identifizieren kann per Parameter noch gesteuert werden.


Aufspüren von Netzwerk-Scanns - PortSentry

• PortSentry identifiziert Portscanns

• Version 1.2 (Klassiker von 2003)http://sourceforge.net/projects/sentrytools/ ftp://coast.cs.purdue.edu/pub/tools/unix/logutils/sentry/ (1998)

• Basiert auf C, IP-Include

• Sehr gut kommentierter C-Code über Sockets (Lehrbeispiel)

• Es werden erkannt:– Stealth-Scans

– TCP und UDP simultan

– Statusaufzeichnungen


Komplexe Netzwerk-Scanner

• Komplexe Scanner– SATAN

– SAINT

– NESSUS

– openVAS


Internet Security Scanner: ISS

• Es gibt eine freie alte Version (1.3) oder eine kommerzielle, sehr gute Version.– Frei: Version 1.3

– Kommerziell: Version ab 5

• 1993: das erste derartige Programmftp://coast.cs.purdue.edu/pub/tools/unix/scanners/iss/Heute IBM: http://www.iss.net/

• Tätigkeiten:– Prüfung auf offene Ports (Portscanner)

– Probieren einiger Exploits:� telnet-login� NIS (Bestimmen des Domainnamens)� Sendmail� FTP

• ISS muss ausgepackt und übersetzt werden

• Aufruf, z. B. ./iss -p 172.22.2.20


SATAN I


SATAN II

• SATAN = Security Administrator's Tool for Analyzing Networks

• 1995, recht bekannt durch lange Diskussionen über Moral

• Ist für BSD 4.4 geschrieben worden und benötigt für LINUX einen Patch sowie die netinet-include-Dateien, C und Perl

• Die letzte Version 1.1.1 wird nicht mehr weiter entwickelt.

• ftp://ciac.llnl.gov/pub/ciac/sectools/unix/

• Prüft Schwachstellen bei– FTP, TFTP

– NFS

– Rsh, (R-Tools)

– Sendmail

– X

• Starten mit Web-Schnittstelle oder über Kommandozeile


SATAN III

• Arbeitsweise1. System per IP-Adresse auswählen

2. Scannen

3. Bericht mit Erklärungen/Tutorials ansehenIn diesem Punkt war SATAN gegenüber den bisherigen Werkzeugen überlegen.

• Artikel– N. Cook, M. Corbin: Flirting with SATAN. www.fish.com/auditing_course

– http://www.cerias.purdue.edu/about/history/coast/satan.php

• Zugriff– http://www.fish.com/satan

– ftp://ciac.llnl.gov/pub/ciac/sectools/unix/

– http://www.porcupine.org/satan/


SARA und SAINT

• Auf der Idee oder auf dem Modell von SATAN wurden weitere andere Scanner entwickelt, wie z. B.– SARA 7.9.1 Security Auditor's Research Assistant (2009)

wird nicht mehr weiter entwickelthttp://www-arc.com/sara/ ftp://coast.cs.purdue.edu/pub/tools/unix/scanners/sara/

– SAINT 3.1.4http://www.saintcorporation.com/(kommerziell geworden)ftp://coast.cs.purdue.edu/pub/tools/unix/scanners/saint/


SAINT

• SAINT = Security Administrator's Integrated Network Tool

• Verbesserte Version von SATAN

• Nur noch kommerziellhttp://www.saintcorporation.com/

• Ähnlich wie SATAN: C, Perl, BSD 4.4-netinfo-Include-Files und LINUX-Patch

• Prüft (über SATAN hinaus) folgende Schwachstellen– CGI-Probleme

– DoS-Angriffe

– POP-Server-Probleme

– SSH-Probleme

– Pufferüberläufe

• Es gibt auch WebSAINT - SAINT mit Webschnittstelle


Courtney und Gabriel

• Courtney dient zum Aufspüren von Scanns durch SATAN und SAINT

• Version 1.3Datei: courtney-1.3.tar.Z

• Basiert auf tcpdump, libpcap und Perl

• Mit tcpdump wird die Ethernet-Schnittstelle abgehört und dessen Output unmittelbar analysiert.

• Links dazu:– http://www.scribd.com/doc/78605517/156/courtney-SATAN-and-

SAINT-Detector

– ftp://coast.cs.purdue.edu/pub/tools/unix/logutils/courtney/


Nessus I

• Sehr leistungsfähiger, (fast) freier Netzwerk-Scanner

• Entwickelt seit April 1998, nun Version 6.*

• www.nessus.org

• Basiert auf C, IP-Header-Dateien und gt (Bibliothek für X)

• Es gibt sehr viele Plugins, die einzelne Tests durchführen.

• Die Plugins werden in NASL oder C geschrieben, davon ca. 99% in NASL (Nessus Scripting Language)

• Damit kann Nessus sehr leicht auf aktuelle Probleme bzw. Lücken angepasst werden.

• Zu jeder Schwachstelle gibt es Hinweise und Tutorials.

• Nicht mehr Open SourceAlternativer "fork": openVAS: http://www.openvas.org https://www.bsi.bund.de/DE/Themen/ProdukteTools/OpenVAS/OpenVAS_node.html


Nessus II

• Im Original nur für UNIX/LINUX; es gibt aber Portierungen des Servers auf Windows, MacOS, FreeBSD und Solaris.

• Bestandteile:– Client (Früher eigenes Programm, nun Browser)

– Server: nessusdHier passiert die eigentliche Arbeit.

– Plugins werden vom Server nessusd aufgerufen bzw. interpretiert und liefern die Ergebnisse an den nessusd zurück

Die nun folgenden Snapshot-Dumps stammen von derVersion 5.0.2 für ein 64-bit-Linux-System (Red Hat).


Installation I


Installation II

SSL-Zertifikat akzeptieren


Installation III

Die User-ID zum ScannendefinierenDann den Code eingeben.


Installation IV

Das Herunterladen undInitialisieren dauert eineWeile…


Der erste Scann I


Der erste Scann II

Zuerst muss der Scann definiertbzw. die vordefiniertenbenutzt werden.

Dann starten…


Der erste Scann III

Die Ergebnisse


Der erste Scann IV

Ein paar Details


Der erste Scann V

Die Fritzbox hat von Innen einige Lücken…


Der erste Scann VI

Die Reports lassen sich auchin verschiedenen Formatenausgeben.


Reportbeispiel (Version 2.3)

SUMMARY - Number of hosts which were alive during the test : 9 - Number of security holes found : 54 - Number of security warnings found : 113 - Number of security notes found : 303TESTED HOSTS10.163.156.10 (Security holes found)10.163.156.9 (Security holes found) .... 10.163.156.16 (Security holes found)DETAILS+ 10.163.156.10 : . List of open ports : o echo (7/tcp) (Security warnings found) o telnet (23/tcp) (Security hole found) o ssh (22/tcp) (Security hole found) o ftp (21/tcp) (Security hole found) ... o finger (79/tcp) (Security warnings found) o sunrpc (111/tcp) (Security notes found) o exec (512/tcp) (Security warnings found) o printer (515/tcp) (Security notes found) o shell (514/tcp) (Security warnings found)

. Warning found on port echo (7/tcp) The 'echo' port is open. This port is not of any use nowadays, and may be a source of problems, since it can be used along with other ports to perform a denial of service. You should really disable this service. Risk factor : Low Solution : comment out 'echo' in /etc/inetd.conf CVE : CVE-1999-0103

. Information found on port echo (7/tcp) An echo server is running on this port

. Vulnerability found on port telnet (23/tcp) : The Telnet server does not return an expected number of replies when it receives a long sequence of 'Are You There' commands. This probably means it overflows one of its internal buffers and crashes. It is likely an attacker could abuse this bug to gain control over the remote host's superuser. For more information, see: http://www.team-teso.net/advisories/teso-advisory-011.tar.gz Solution: Comment out the 'telnet' line in /etc/inetd.conf. Risk factor : High CVE : CVE-2001-0554 BID : 3064


NASL-Beispiel Sub7 I

if(description) { script_id(10409); script_version ("$Revision: 1.13 $"); script_cve_id("CAN-1999-0660"); name["english"] = "SubSeven"; script_name(english:name["english"], francais:name["francais"]);

desc["english"] = "This host seems to be running SubSeven on this portSubSeven is trojan which allows an intruder to take the control of the remote computer.An attacker may use it to steal your passwords, modify your data, and preventing you from working properly.Solution : reinstall your systemRisk factor : High";...script_category(ACT_GATHER_INFO); family["english"] = "Backdoors"; script_family(english:family["english"], francais:family["francais"]); script_dependencie("nmap_osfingerprint.nes", "find_service.nes"); exit(0); }


NASL-Beispiel Sub7 II

os = get_kb_item("Host/OS");if(os) { if(!("Windows" >< os))exit(0);}include("misc_func.inc");port = get_kb_item("Services/unknown");# make sure that port != 0if (!port) exit(0);

if (known_service(port: port)) exit(0);if(!get_port_state(port)) exit(0);soc = open_sock_tcp(port);if(!soc) exit(0);r = recv_line(socket:soc, length:2048);if(!r) exit(0);if(ereg(pattern:"^connected\. .*, version:.*$", string:r)){ security_hole(port);}


Nessus Attack Scripting Language (NASL)

• http://de.wikipedia.org/wiki/Nessus_(Software)

• http://virtualblueness.net/nasl.html

• http://searchsecurity.techtarget.com/tip/ Using-Nessus-Attack-Scripting-Language-NASL-to-find-application-vulnerabilities

• http://www.openvas.org/compendium/basic-structure-of-nasl-scripts.html

Informationen:


Fallbeispiel: Windows 2000 SP2 I (2004)


Fallbeispiel: Windows 2000 SP2 II (2004)


Fallbeispiel: Windows 2000 SP2 III (2004)


Fallbeispiel: Windows 2000 SP2 IV (2004)


Was gibt es alles noch? II

• Scanner für RPC-Dienste, z. B. rpcinfo– http://uw714doc.sco.com/en/man/html.1tcp/rpcinfo.1tcp.html

– http://www.selflinux.de/selflinux/html/nfs03.html

• Microsoft Baseline Security Analyzer

• Raccess– http://linux.about.com/cs/linux101/g/raccess.htm

• Dante Security Scanner 2.1Siehe http://www.computec.ch/download.php?list.19


Was gibt es alles noch? III

smtpscan Spricht sendmail-Server an, um deren Versionsnummer bzw. deren Patchlevel zu erkunden, z.B.http://packetstormsecurity.com/search/files/?q=smtpscan

cgi-scan Es werden Web-Server mit CGI-Schnittstellen auf CGI-Dateien mit Sicherheitslücken untersucht.

http Banner der 404-Fehlermeldung sowie die Versionsangaben der Serverantworten

ike-scan VPN-Serverhttp://www.nta-monitor.com/tools-resources/security-tools

THC Amap Identifizieren von Diensten an „unbekannten“ Portshttps://www.thc.org/thc-amap/

NBTScan Scanner für NETBIOS-Netzehttp://www.inetcat.net/software/nbtscan.html

Advanced IP Scanner

Scannen nach FTP-Servern u.a.http://www.advanced-ip-scanner.com/de/


Nun wieder etwas entspannen...

Documents

Literaturwi.f4.htw-berlin.de/users/messer/LV/AI-ITSec-SS19/Folien/ISM-02WI/02... · Port Scanner zur Analyse von Schnittstellen • Port Scanner = Programm, das (meist) von Außen