Guía de Seguridad del Administrador de Linux - Escaneo / herramientas de prueba de intrusos

Durante los últimos años ha crecido de forma dramática el número de herramientas de seguridad para Windows y UNIX, siendo incluso más sorprendente el hecho de que la mayoría de ellas estén disponibles gratuitamente en Internet. Sólo me ocuparé de las herramientas gratuitas, puesto que la mayoría de las herramientas comerciales son ridículamente caras, no son código abierto, y en muchos casos han demostrado incluir graves fallos (como almacenar las contraseñas en texto plano después de la instalación). Cualquier cracker/hacker serio tiene estas herramientas a su disposición, de modo que ¿por qué no tenerlas tú?

Existen diferentes categorías principales de herramientas, las que escanean hosts desde el mismo host, las que escanean otros hosts e informan acerca del tipo de SO que están ejecutando (utilizando una técnica llamada huella TCP-IP), los servicios disponibles, etc., estando en la cima de la cadena alimenticia las herramientas de intrusión que intentan ejecutar exploits, e informan acerca de los que funcionaron y los que no, y finalmente incluyo la categoría de exploits, que si bien no son una herramienta de intrusión per se, existen y se debería tener conocimiento de ellos.



Escaneo de Hosts

Cops

El Cops es extremadamente obsoleto y su lugar habitual del ftp del CERT ha desaparecido.



Tiger

El Tiger es obsoleto, pero he pensado mencionarlo por exactitud histórica, la Universidad de Agricultura y Mecánica de Texas solía requerir que un host UNIX pasara por el tiger antes de que se le permitiese conectar a la red desde fuera. Se puede conseguir en: ftp://net.tamu.edu/pub/security/TAMU/∞



SBScan

El SBScan es un scanner basado en host, busca una variedad de problemas como ficheros rhosts malignos, puertos abiertos, cuentas de contraseñas, y escanea la red buscando otro tipo de inconveniencias. El SBScan ya no se encuentra en desarrollo, pero está disponible en: http://www.haqd.demon.co.uk/∞



check.pl

check.pl es un interesante programa en perl que comprueba los permisos de ficheros y directorios, e informará acerca de cualquier cosa sospechosa o de los "malos" (setuid, setgid, directorios con permiso de escritura, etc.). Muy útil pero tiende a encontrar un montón de falsos positivos. Se encuentra disponible en: http://opop.nols.com/proggie.html∞



Scanners de Red

Strobe

El Strobe es una de las más veteranas herramientas de escaneo de puertos, simplemente se intenta conectar a varios puertos de una máquina(s) e informa del resultado (si existe). Es simple de utilizar y muy rápido, pero no tiene ninguna de las características que tienen los nuevos escaners de puertos. El Strobe se encuentra disponible desde la mayoría de las distribuciones, como parte de la misma, o como un paquete contribuido, los fuentes se encuentran disponibles en: ftp://suburbia.net/pub/∞



Nmap

El Nmap es una herramienta de escaneo más reciente y con más características. Tiene técnicas avanzadas, como las huellas TCP-IP, un método por el cual se examinan los paquetes TCP-IP devueltos, y se deduce el SO del host basándose en diferentes peculiaridades presentes en todas las pilas TCP-IP. El Nmap soporta un número de métodos de escaneo, desde los escaneos normales de TCP (simplemente tratar de abrir una conexión como es habitual) hasta escaneos clandestinos (stealth scanning) y escaneos SYN semi-abiertos (fenomenales para cascar pilas TCP-IP inestables). Este es indiscutiblemente uno de los mejores programas de escaneo de puertos disponibles, ya sea comercial o de cualquier otro tipo. Nmap se encuentra disponible en: http://www.insecure.org/nmap/index.html∞. También existe un interesante artículo disponible en: http://raven.genome.washington.edu/security/nmap.txt∞ sobre nmap y acerca del uso de sus características más avanzadas.



MNS

http://www.thegrid.net/gravitino/products.html∞



Bronc Buster vs. Michael Jackson

http://www.thegrid.net/gravitino/products.html∞



Leet scanner

http://www.thegrid.net/gravitino/products.html∞



Soup scanner

http://www.thegrid.net/gravitino/products.html∞



Network Superscanner

http://members.tripod.de/linux_progz/∞



Portscanner

Portscanner es un pequeño escaneador de puertos (¡qué sorpresa!) que tiene diferentes niveles de salida, lo cual le hacen sencillo de utilizar en scripts y por humanos. Es código abierto y de uso gratuito, se puede conseguir en: http://www.ameth.org/~veilleux/portscan.html∞



Queso

El Queso no es un scanner per se, pero te dirá con un grado de exactitud bastante alto el SO que está utilizando un host remoto. Utilizando una variedad de paquetes tcp válidos e inválidos para probar el host remoto, compara la respuesta con una lista de respuestas conocidas para diferentes sistemas operativos, y te dirá qué SO está ejecutando el host remoto. Se puede conseguir desde: http://www.apostols.org/projectz/queso/∞



Escáners de Intrusos

Nessus

Nessus es relativamente nuevo pero rápidamente se está perfilando como una de las mejores herramientas de escaneo de intrusos. Tiene una arquitectura cliente/servidor, el servidor se ejecuta en Linux, FreeBSD, NetBSD y Solaris, y los clientes están disponibles para Linux, Windows y hay un cliente Java. La comunicación entre el servidor y el cliente va cifrada, para mayor seguridad, todo en un hábil trozo de código. El Nessus soporta escaneo de puertos, y ataques, basado en direcciones IP o nombres de host(s). También puede buscar a través de la información DNS de la red, y atacar hosts los relativos, según tu interés. Nessus es relativamente lento en modo ataque, lo cual no es sorprendente. Sin embargo, en la actualidad cuenta con 200 ataques y un lenguaje de plug-ins, de forma que puedas escribir los tuyos propios. Está disponible en: http://www.nessus.org/∞



Saint

Saint es el sucesor de Satan, un escáner de seguridad de red hecho famoso por los medios de comunicación hace unos años (había serias preocupaciones de que los malos acabaran con Internet haciendo uso de el). Saint también utiliza una arquitectura cliente /servidor, pero utiliza un interfaz www en lugar de un programa cliente. El Saint produce una salida muy fácil de leer y entender, graduando por prioridad los problemas de seguridad (aunque no siempre de forma correcta) y también soporta módulos de escaneo añadidos, lo cual le hace muy flexible. Saint está disponible en: http://www.wwdsi.com/saint/∞



Cheops

Si bien no es un escáner per se, es útil para detectar el SO de un host y manejar un gran número de hosts rápidamente. El Cheops es un "entorno de red" con esteroides, construye una imagen de un dominio, o bloque IP, qué está ejecutando cada host y así sucesivamente. Es extremadamente útil para preparar un escaneo inicial, pues se pueden localizar elementos interesantes (Impresoras HP, routers Ascend, etc) con rapidez. El Cheops está disponible en: http://www.marko.net/cheops/∞



Ftpcheck / Relaycheck

Dos sencillas utilidades que escanean en busca de servidores ftp y de correo que permitan retransmisión, bueno para hacerse una idea de qué usuarios molestos están instalando servicios que no deberían (o simplemente desconfigurándolos), disponible desde: http://david.weekly.org/code/∞



SARA

Asistente de Búsqueda para el Auditor de Seguridad, Security Auditor’s Research Assistant, es una herramienta de funciones similares a las de SATAN y Saint. El SARA soporta múltiples hilos para escaneos más rápidos, guarda sus datos en una base de datos para facilidad de acceso y genera interesantes informes en HTML. SARA es de uso gratuito y está disponible en: http://home.arc.com/sara/∞



BASS

El BASS, "Escáner de Seguridad de Auditoría Masiva", "Bulk Auditing Security Scanner", te permite escanear internet en busca de una variedad de exploits bien conocidos. En esencia, fue una prueba del concepto de que Internet no es seguro. Se puede conseguir en: http://www.securityfocus.com/data/tools/network/bass-1.0.7.tar.gz∞



Escáners de Cortafuegos

Firewalk

Firewalk es un programa que utiliza un estilo similar al traceroute para escanear un cortafuegos e intentar deducir las reglas impuestas en ese cortafuegos. Al enviar paquetes con diferentes tiempos de vida y ver dónde mueren o si son rechazados, se puede engañar al cortafuegos para que revele sus reglas. No existe una defensa real contra esto, aparte de denegar silenciosamente los paquetes en lugar de enviar un mensaje de rechazo, lo cual con suerte revelará menos cosas. Te recomendaría utilizar esta herramienta para escanear tus sistemas, pues los resultados te pueden ayudar a reforzar la seguridad. El Firewalk se encuentra disponible en: http://www.packetfactory.net/firewalk/∞



Exploits

No me voy a dedicar a tratar los exploits específicamente, puesto que existen cientos, si no miles de ellos rondando por ahí. Simplemente indicaré los principales archivos:

http://www.rootshell.com/∞

Uno de los principales archivos en cuanto a exploits, tiene casi cualquier cosa y de todo, un motor de búsqueda adecuado y generalmente exploits completos.