Introduzione. Scansione dei servizi di rete. Le porte (1) Internet Protocol. Le porte (2) Port Scanning. Cenni preliminari PortScan Satan Saint

Transcript

1 Corso di sicurezza su reti a.a.2002/2003 Introduzione Scansione dei servizi Docente del corso: Prof. De Santis Alfredo A cura di: Miele Alessandro Pagnotta Simona Cenni preliminari PortScan Satan Saint 1 2 Internet Protocol E la base per la comunicazione su internet. Quando si utilizza un web browser la macchina utilizza l IP per stabilire una connessione al web server e viceversa Le porte (1) Vengono usate da un computer per controllare quale servizio è disponibile quando viene stabilita una connessione. Esempio: Porta 25 (SMTP) Porta 80 (http) 3 4 Le porte (2) Port Scanning Caratterizzate da un numero compreso tra 0 e 1023 (well known port) Ben note agli amministratori dei sistemi e spesso usate soltanto per i processi di sistema o per i programmi utilizzati da utenti privilegiati Se gli intrusi attaccano una di queste porte, sono potenzialmente in grado di ottenere il controllo di un SERVER Processo di connessione a porte TCP e UDP del sistema nel quale si vuole tentare un intrusione al fine di determinare quali servizi siano in esecuzione o in stato di listening 5 6

2 Obiettivi Abusare dei servizi presenti sulla macchina Identificare il sistema operativo Identificare applicazioni specifiche o versioni di un dato servizio sul sistema Portscan in TCP Esistono varie modalità di scansione di una porta TCP Agevolato dal fatto che TCP è ORIENTATO alla CONNESSIONE Simula un collegamento diretto fra due macchine (realizza un circuito virtuale) 7 8 FLAG usati dal TCP/IP Tipi di scansione (1) URG ACK RST SYN PSH FIN indica dati urgenti conferma ricezione pacchetto reset connessione richiesta sincronizzazione pacchetti I dati per l'applicazione sono urgenti termine connessione Scan TCP connect() Si collega alla porta target e completa una procedura di hand-shake in tre fasi SYN SYN/ACK ACK SYN ACK SYN /ACK 9 10 Tipi di scansione (2) Tipi di scansione (3) Scan TCP SYN Detta anche scansione semiaperta, perché non viene realizzata una connessione TCP completa Scan TCP FIN Prevede l invio di un pacchetto FIN sulla porta target SYN port num ACK / RST (porta chiusa) Funziona solo con le implementazioni UNIX di TCP/IP Difficile da individuare 11 12

3 Tipi di scansione (4) TCP Null Scan, SYN/FIN Scan, FIN Scan, Xmas Scan, Full Xmas Scan, Nmap TCP ping Tipi di scansione (5) Scan ACK sweep Vengono inviati pacchetti ACK sulla porta 80 Sono tutti pacchetti di costruzione anomala; si differenziano per il settaggio dei bit del pacchetto ACK RST (se la macchina è attiva) Tipi di scansione (6) Tipi di scansione (7) Scan reverse ident Scan RPC L attaccante, dopo aver investigato le porte aperte sul server, utilizza IDENT per richiedere l identità del servizio a cui si sta connettendo Invia un pacchetto SunRPC NULL command per determinare se sono porte RPC e gli eventuali servizi disponibili Tipi di scansione (8) Portscan in UDP (1) ICMP ping sweep Ha lo scopo di verificare se un host è attivo su un determinato indirizzo IP. Se la macchina è attiva risponderà con un pacchetto ICMP echo reply Protocollo CONNECTIONLESS (non orientato alla connessione) Più difficile da sottoporre a scansione rispetto a TCP dal momento che non è obbligatorio che le porte UDP rispondano ai tentativi di connessione 17 18

4 Portscan in UDP (2) UDP scan Prevede l invio di un pacchetto UDP alla porta target, se la porta è chiusa si riceve un messaggio ICMP port unreachable PortScan (1) Tool per ambiente Windows Scansione di un intervallo di porte su un singolo host Attiva più scansioni in parallelo PortScan (2) Indirizzo IP PortScan (3) Intervallo di scansione Vantaggi Veloce e facile da usare Svantaggi Non permette la scansione di host multipli File di Log SATAN (1) SATAN (2) Sviluppato da Wietse Venema e Dan Farmer è l'acronimo di Security Administrator Tool for Analyzing Networks Scritto in PERL Open source Gira su piattaforma UNIX con varie architetture Ideato come tool per aiutare gli amministratori di sistema a gestire il problema dell'eventuale intrusione di qualcuno nel computer 23 24

5 Come funziona (1) Controlla gli host che vengono passati come parametro, procedendo innanzitutto alla risoluzione dell'host in IP Controlla se il portmapper è attivo ed in caso affermativo, i servizi RPC che sono stati mappati utilizza i limiti specificati nel file di configurazione di SATAN per determinare il livello di scansione da utilizzare Utilizza l elenco degli host per generare un elenco di sonde che devono essere eseguite su di essi Utilizza l elenco delle sonde generate per eseguire gli strumenti di raccolta dati corrispondenti, in modo da generare nuove informazioni Probes Data Probes Genera nuovi host di destinazione, nuove sonde e nuove informazioni Data Facts New probe Inference New Facts Probes Genera una serie di pagine web che possono essere visualizzate nel browser Data Facts Facts New probe New Facts Report Inference New Facts New target host New target host 29 30

6 SAINT Informazioni generali SecurityAdministrator s Integrated Network Tool Versione aggiornata di SATAN (1995) Sviluppato da Sam Kline,Margaret Lord, Carol Stull e Arek Grantham nel 1998 Aggiunge nuove funzionalità al suo predecessore Completo di una interfaccia grafica Opera in modalità client/server Multithread Funzionamento Requisiti di sistema Saint funziona in 4 passi: 1. Ricerca gli host attivi 2. Esegue il port scan 3. Verifica le vulnerabilità 4. Crea il report S.O. HP-UX 10.20, Linux(x86), SunOS 5.6, Solaris 2.6, FreeBSD(x86), OpenBSD(x86) Disco fisso: da 25 a 70 MB (incluso i tools ) RAM: circa 10 Mb (dipende dal numero di host) Altri software: 1. Perl 2. Browser Web 3. NMap (opzionale) 4. Samba (opzionale) Installazione Scansione L'inizio dell'esplorazione di SAINT avviene nella sezione ScanSetup dell'interfaccia grafica 35 36

7 Scansione (2) Esempio di scansione IP Host addresses name subnet file Opzione di esplorazione Livelli di scansione Data-Analysis Inizio scansione Analisi dei Dati Report 39 40