DAG TROND IDA STÅLE

SIKKERHETS ADMINISTRERINGS VERKTØY SAINT SARA

SIKKERHET Viktig å være bevisst risikoer og farer Viktig å planlegge sikkerhet Alle bør ha en sikkerhets policy Ikke glem fysisk sikring Bruk software for sikkerhets administrering

ULIKE VERKTØY CRACK – skjekker passord TRIPWIRE - rapporterer endring av filer COPS – skjekker viktige filer og innstilinger SATAN – skanner ett nettverk for å finne feil og sårbarheter.

SATAN Security Administrators Tool for Analyzing Networks Brukes for å finne sikkerhetshull i nettverket uten å utnytte dem Kom i ble raskt standard Få oppdateringer – ble etterhvert for dårlig Ideen var god og ble videreutviklet til nye produkter

SAINT Security Administrator’s Integrated Network Tool Produsert av WWDSI Skanner nettverk og maskiner for å avdekke sikkerhets feller Brukervenlig grensesnitt Enkelt å bruke Gratis

SARA Security Auditor's Research Assistant Produsert av ARC Skanner systemet på jakt etter feil Gratis Lett å bruke Oppdatert ca to ganger i måneden Samme grensesnitt som SAINT

Hvem vil ha glede av SAINT og SARA? Systemansvarlige og system administrator Siden alle kan skaffe seg det, bør alle bruke det.

VIRKEMÅTE Velger ut hva som skal skannes ved bruk av target-selection Undersøker nettverkstjenester som finger, NFS, NIS, ftp, tftp, rexd Data som samles inn lagres og vises i et HTML baser grensesnitt Gir også informasjon om nettverkstopologi, nettjenester, harware, software osv.

FARER Alle kan bruke programmene – det inkluderer hackere og badguys Skann kan tolkes som hackeforsøk Man kan skanne maskiner ved et ”uhell” og terge naboer Misbruk av tillit

KONTROLL Avgrensing av skanneområde –Proximity level –$only_attack_these –$don’t_attack_these Brannmurer –SARA og SAINT vil holde seg på innsiden av en eventuell brannmur.

SYSTEMKRAV Operativsystem –SunOS4.1.3._U1 –SunOS 5.3 – –IRIX 5.3 – 6.5 –Linux –FreeBSD ( SAINT)

SYSTEMKRAV Disk plass –SARA : ca 2 MB –SAINT: ca 3 MB –Hvis det ikke allered er innstallert kan man trenge opp til 70 MB til web browser og PERL (SAINT) Minne er avhengig av omfanget av et skann

Scanning Kjøre et scan i SARA: -kan scanne et stort antall verter i et nettverk (OBS! Tillatelse!) -bør aldri brukes til å scanne gjennom verter dersom du ikke har fått eksplisitt tillatelse fra eieren til å scanne den.

Identifisere et mål: URL IP IP-område ( ) Undernett (hele nettverket) /2

Scanningsnivå:

Scanne gjennom Brannmur: Viktig for SARA. Uten brannmur: ICMP-scan Med brannmur: TCP-scan –Gir økt funksjonalitet –Hvor SOCKS kobling er påkrevd

KOMMANDOLINJE- Grensesnittet Mangler en god nettleser. Tidsplanlagte scan. – cron Lite minne på maskinen. Tilgjengelig via UNIX Shell – modusen. Resultat av scan sendt til utmating i fast txtformat.

Resultatanalyse Vanskelig Intet korrekt sikkerthetsnivå. –Avhengig av POLICY Få admins vet om farene ved tillit og nettverksinformasjon. Les dokumentasjon.

SAINTs rapport og analyseverktøy Lett å bruke, vanskelig å tolke riktig. 3 kategorier: –Sårbarhet –Informasjon –Tillit Tett sammenknyttet. Kryssreferert i form av hyperlinker (pek og klikk)

Informasjonskategorier Sårbarheter. –Hva og hvor? Vertsinformasjon. –Lokasjon av servere i nettverk. –Identifikasjon av viktige verter –”Bryte” nettverket ned i undernett og organsisajonsdomener. Tillit. –Følge og identifisere nettet av tillit mellom systemer

Sårbarheter Omtrentlig farenivå –Sorterer alle problemer etter alvorlighetsgrad Type sårbarhet –Viser alle typer sårbarheter –Viser en korresponderende liste over verter med samme samme type sårbarheter. Samlet antall sårbarheter –Viser hvilke verter som har flest problemer

Vertsinformasjon Tjenesteklasse –Viser nettverkstjenestene som f.eks. FTP, WWW, POP3 osv. Systemtype –Deler opp de granskede vertene i maskinvaretype (Sun, SGI, Ultrix, osv.) –Hvis mulig etter etter OS-versjon. Blir avgjort av NMAP hvis tilgjengelig eller konkludert ut i fra bannerne til FTP, Telnet og Sendmail. Internettdomene –De forskjellige vertene blir brutt ned til DNS- domener.

Vertsinformasjon forts. Undernett –Blokk av opp til 256 nettverksadresser, den siste oktetten av IP-adressen Vertsnavn –Tillater en spørring av den nåværende databasen av granskningsinformasjon om en spesiell vert.

Alvorlighetsgrader  Kritiske problemer –Tjenester sårbare mot angrep. –Vesentlig skade hvis utnyttet.  Områder som vekker bekymring –Direkte/indirekte passordkompromittering eller annen informasjon til hjelp i et angrep  Potensielle problemer –Mulige sårbare tjenester avh. av versjon og konfigurasjon. –Videre undersøkelse nødvendig.  Tjenester –Tilsynelatende uten sårbarheter.

Litt om config-fila Viktig å kunne editere denne for å få mest mulig ut av SAINT og SARA. Gransk dine verter så tungt som mulig. Bruk en høy $proximity_descent verdi. Bruk en lav $max_proximity_level. det er nesten aldri nødvendig å bruke mer enn 2 –Bak brannmur Bruk $only_attack_these og $dont_attack_these til å kontrollere hvor dine scan foregår. Kritiske verter for din organisasjon og verter med tillit hos mange andre verter: scan tungt. INGEN hackere må få adgang til disse. Ta også med hele undernettet.

Et ytterst interessant eksperiment Vi skannet vår egen maskin Så hvilke sikkerhethull som ble funnet Prøvde å fikse disse.

Vi skannet først med normalinstillinger i SAINT

Resultat i SAINT:

Resultat i SARA:

Resultat av heavy+ resp extreme skann

Svakheten med WUFTP SITE EXEC Buffer Overflow  tilgang til server Setproctitle vulnerability  root access MAPPING_CHDIR Buffer Overflow  kjøre programmer fra root MESSAGE FILE Buffer Overflow  kjøre kommandoer på server SITE NEWER  avbryte tjenester PALMETTO Buffer Overflow  Kjøre kommandoer med sammer rettighet som FTP bruker har AIX ftpd Buffer Owerflow  root access Signal Handling Race Condition  lese/skrive filer med root access SITE EXEC and Race Condition  root access Trojan Horse  root access Access Control Vulnerability  tilgang til alle kontoer, inkludert root

POP Uvedkommende kan få tilgang til mail. Dette kan bli gjort ved å bruke et ’sniffer’ progam Som er beregnet for POP mail systemer. Sendmail Sjekker ikke hvor mailene kommer fra eller hvor hvem de sendes til. Svakheten med POP og SENDMAIL

Fjerne svakhetene med WUFTP Installere ny versjon av WUFTP. Fjerne FTP tjeneste Vi fjernet svakheten ved å installere en ny versjon av WUFTP

Fjerne svakhetene med POP, IMAP og SENDMAIL Installere nye versjoner av POP, IMAP og SENDMAIL Fjerne POP, IMAP og SENDMAIL tjenester.

Hvordan fjerne POP, IMAP og SENDMAIL tjenestene Siden vår oppgave ikke trenger noen mail server, så valgte vi å fjerne disse. Dette gjøres ved å editere fila etc/inetd.conf og etc/services som vist under. # Pop and imap mail services et al # #pop-2 stream tcp nowait root /usr/sbin/tcpdipop2d #pop-3 stream tcp nowait root /usr/sbin/tcpdipop3d #imap stream tcp nowait root /usr/sbin/tcpdimapd INETD:CONF: SERVICES: telnet23/tcp # 24 – private #smtp25/tcpmail # 26 - unassigned

Ny scan Vi skannet så på ny for å sjekke at vi har fikset sikkerhetshullene.

Hurra! Alle hullene var fikset og vi ble glade!