Strumenti di network mapping

Strumenti di network
mapping
Dott. Claudio Giulietti
CISA, CISM
Agenda
♦ Logiche di Network Mapping
♦ Il reperimento dei tool
♦ Esempi:
– LANGUARD
– DUMPACL
– HYENA
♦ Considerazioni
Logiche
♦ Individuare logiche di port scanning e
security scanning
♦ Introdurre alcuni strumenti di auditing di
rete utili al network administrator come
all’auditor.
♦ Creare reportistica utile alla risoluzione di
anomalie delle sicurezza.
“Non siamo qui per vendere ma per regalare”
La Sicurezza logica della rete
Viene molto spesso sottostimata
Conseguenze: male intenzionati hanno
facilmente accesso a macchine e dati altrui
attraverso l’utilizzo di trucchi e bachi noti,
relazioni di trust e setting di default.
La maggior parte di questi attacchi non
richiedono un gran conoscenza e mettono a
serio rischio gli asset aziendali.
La Sicurezza logica della rete
La maggior parte degli utenti non necessita di accessi a
macchine differenti dal proprio pc, a funzioni di
amministrazione, a dispositivi di rete…
Scusante: la flessibilità è necessaria per eseguire le
attività giornaliere.
E’ stimato che almeno l’80% degli attachi di rete
avvengono per mano di dipendenti e dall’interno della
rete (ComputerWorld, Gennaio 2004)
La Sicurezza logica della rete
Lo scopo degli strumenti di network mapping
o network security scanning permettono
l’auditing e l’identificazione delle falle.
♦Non parliamo di penetration testing.
♦Razionalizziamo informazioni liberamente
ottenibili dalla nostra rete.
Reperimento dei tool
♦ http://www.insecure.org
♦ http://www.gfi.com
♦ http://www.systemtools.com
♦ http://www.securityinfos.com
LAGUARD
LAGUARD
♦ Individuare possibili entry points
♦ Applicazione di diversi metodi di ricerca
♦ Visualizzazione di alerts
♦ Realizzazione di reportistica
♦ Caratteristiche extra
LAGUARD:entry points
♦ Servizi e porte TCP e UDP aperte
♦ Bachi nella gestione del servizio SNMP
♦ Bachi nei programmi CGI
♦ Utenti e semplici programmi backdoor
♦ Trojan horses
♦ Condivisioni aperte
♦ Password di rete deboli
♦ Identificazione degli utenti, servizi, infrastrutture
LAGUARD: Metodi
♦ Acquisizione di informazioni
♦ Identificazione delle infrastrutture di rete
attive
♦ Identificazione di sistemi operativi
utilizzati
♦ Identificazione di bachi di sicurezza noti
nei pacchetti software
LAGUARD:Alerts e reporting
♦ Problemi di sicurezza noti e facilmente identificabili
♦ Lista delle Hot fixes e Service Packs mancanti
NT/2000/XP
♦ Intelligent scanning (ports, services, users…)
♦ Report: HTML, XML e XLS
♦ Reportistica personalizzabile (XLS)
LAGUARD:Caratteristiche extra
♦
♦
♦
♦
♦
♦
♦
♦
♦
Vulnerabilità NETBIOS Windows 95/98/ME
SNMP auditing
MS SQL auditing
Trace route
DNS lookup
WhoIs client
Remote machine shutdown
Tecniche di social engineering
LANS - scripting language per personalizzare gli
alerts
LANGUARD
LANGUARD
1.
2.
3.
Scan one Computer:Permette lo scan di una sola
apparecchiature di rete
Scan List or range of Computers: I computer
possono essere aggiunti uno alla volta o per range
di indirizzi sia attraverso testo scritto che in
maniera interattiva
Scan Computers part of a Network Domain: Si
possono selezionare le macchine utilizzando il
browsing dei workgroups e domini
LANGUARD: analisi dei risultati
LANGUARD:i risultati
♦
♦
♦
♦
♦
♦
♦
♦
♦
♦
♦
Dispositivi di rete: IP, Nomi, Sistemi Operativi
Netbios Names
Trusted Domains
Shares
Local Users & Groups
Servizi & Processi
Informazioni generali (devices, drivers..)
Password Policy
Registry
Auditing options (windows)
Open Ports
LANGUARD:Alerts
♦ Missing Patches Windows NT/2000/XP
♦ Intrusioni a CGI Apache, Netscape, IIS e altri web
server.
♦ FTP Alerts, DNS Alerts, Mail Alerts,
RPC Alerts e Miscellaneous Alerts
♦ Alerts per servizi aperti
♦ Registry Alerts Windows
♦ Information Alerts
LANGUARD: onsite scan
♦ La prima analisi è buona
norma farla con la
cosiddetta NULL
Session e in un secondo
momento con il vs.
utente
♦ Se avete a disposizione
un utente di
amministrazione potete
poi ripetere l’esercizio
♦ Potete a questo punto
comparare i risultati
LANGUARD
LANGUARD
DUMPACL
DUMPACL
♦ Permette di catturare la lista di:
– permission (DACL)
– audit settings (SACL)
per file system, registry, printers e shares
♦ user, group e informazioni per le repliche.
DUMPACL
DUMPACL
Selezionando Report->Select computer
DUMPACL
Selezionando Report->Dump Policies
DUMPACL
Selezionando Report->Dump Services
DUMPACL
Selezionando Report->Dump Rights
DUMPACL
Selezionando Report->Dump Users
DUMPACL
Selezionando File->Save Report As
HYENA
Hyena
♦ Raggruppa le maggiori funzioni di amministrazione
di Windows NT e 2000:
• User Manager
• Server Manager
• File Manager/Explorer
• Altri componenti MMC Windows 2000
♦ Permette la visualizzazione delle informazioni come
per il semplice browsing delle risorse di Windows
E’un vero tool di amministrazione percui….
HYENA: principali funzioni
♦
♦
♦
♦
♦
♦
♦
♦
♦
♦
♦
Crea, modifica, cancella e visualizza utenti, gruppi e group
membership
Modifica le proprietà degli utenti (inclusi terminal server and
Exchange mailbox settings)
Crea home directory, home shares e security settings per gli
utenti
Esporta utenti, gruppi, stampanti, computers, gruppi, servizi di
rete su file di testo
Browse, copy, delete di tutte le share dei server e dei contenuti
Visualizza eventi, sessioni, shares, processi e file aperti per ogni
server
Visualizza e controlla servizi e drivers per uno o più computers.
Gestisce share e file permissions, crea nuove shares e rivede i
diritti di accesso
Schedula remotamente i jobs
Shutdown e reboot remoto
Gestisce il quota server
HYENA
Per fare tutto ciò però bisognerebbe essere
amministratori….
…..all’auditor che non dispone di diritti di
amministrazione è per cui concesso solo
vedere.
HYENA
HYENA: Domini
•I domini sono rappresentati dal simbolo
del mappamondo e sono navigabili
attraverso una struttura ad albero come
qui riportato.
•Hyena include automaticamente il
dominio di default dell’utente. E’
possibile aggiungere altri domini
attraverso l’opzione
File->Add Domain
HYENA: Domini
♦ Audit Policy
♦ Account Policy
♦ Relazioni di Trusts
♦ Send Message
♦ Syncronizza Domini interi
HYENA: Oggetti
Considerazioni
1.
2.
3.
4.
5.
Massima cautela nelle analisi
(non siamo onnipotenti)
Non andiamo oltre i confini dei nostri compiti (non
siamo gli amministratori)
Non basta installare il tool per essere esperti di
sistemi distribuiti (chiediamo spiegazioni)
Azione coordinata di più strumenti
(aggiunge conoscenza)
Falsi positivi vanno verificati attentamente
(attenzione alle cantonate)
Contatti:
Claudio Giulietti
[email protected]