Scanners de portas e de vulnerabilidades

[helldanger1]

Nesse artigo será apresentada a teoria do Scan, como esta é dividida e quais as ferramentas mais utilizadas para esta atividade.

Por: Matuzalém Guimarães


Definição e tipos de scan
Conforme Ulbrich; Valle (2003) Scan é a técnica utilizada por algum tipo de software projetado para efetuar varreduras em redes de computadores em busca de vulnerabilidades. Os softwares utilizados neste processo são chamados de scanners de rede.

Cheswick; Bellovin; Rubin (2003) declaram que para uma tentativa de invasão, o atacante deverá conhecer bem a rede e o host que estão sendo investigados, sendo que a maneira mais direta é através de scanners de rede. Essas ferramentas analisam o sistema alvo em busca de informações, tais como: quais serviços estão ativos, quais portas estão sendo usadas por estes serviços e quais falhas de segurança que poderiam permitir uma possível invasão.


Tipos de scan
Ulbrich; Della Valle (2003) esclarece que existem dois tipos de scanners:
os scanners de portas (port scanners) e;
scanners de vulnerabilidades.

Basicamente eles possuem a capacidade para detectar portas vulneráveis, detectar o tipo de Sistema Operacional usado no servidor, topologia da rede, serviços disponíveis e caso exista algum problema de segurança descoberto ele poderá revelar exibindo as informações através de seus relatórios de inspeção.

 

[helldanger1]

Scanners de porta


a) Scanners de Porta

Júnior (2008) esclarece que os scanners de portas realizam inspeções no host alvo com a finalidade de encontrar portas que permitam conexões. Seu objetivo é listar os serviços de rede TCP/IP disponíveis, fazendo com que respondam quando consultados.

Existem também os scanners de portas classificados como "invisíveis", que utilizam técnicas de não-conexão ou conexão incompleta para não serem detectados. Os scanners de portas utilizam os sinais ou flags TCP, UDP ou ICMP trocados entre os programas que querem se conectar, as flags mais comuns são listadas na tabela 1. Estas flags estão especificadas na RFC (Request For Comment) 793 do TCP de setembro de 1981.

Flag -------------Utilizada para
PSH ----------- (push) Sinalizador de espaço de sequência, campo significativo
SYN ----------------(synchronize) Números de seqüência de sincronização
ACK ----------(acknowledge) Campo significativo, confirmação de recebimento de pacote
RST --------------(reset) Interrompe a conexão, devido a erros ou interrupção no meio de transmissão
FIN -------------(finish) Finalizador de conexão, usado na finalização da transmissão
URG ---------------(urgent) Sinalizador de urgência

Tabela 1 - Flags TCP usadas pelos scanners de portas

 

[helldanger1]

Cheswick; Bellovin; Rubin (2003) esclarecem que os hosts são inspecionados quanto às portas ativas e que os scanners de porta podem ser muito sutis. Por exemplo, caso o scanner envie um pacote SYN TCP e siga a resposta com um RST para limpar a conexão ao invés de enviar um ACK para completar o handshake triplo, ele faz com que o sistema não registre a tentativa de conexão. O invasor poderá usar estas informações para saber se existe alguma porta aberta e aguardando por conexões no host inspecionado.

Isso mostra que pacotes de TCP cuidadosamente planejados também podem investigar alguns firewalls sem criar entradas de log, por isso é de vital importância que o sistema de monitoramento de pacotes registre todas as entradas em logs e não apenas de conexões concluídas.

Além das flags TCP, existem alguns métodos utilizados pela técnica de Scan para detecção de portas em sistemas, a tabela 2 mostra quais são estas técnicas. Elas estão especificadas na RFC 793 do TCP de setembro de 1981.

Método Scan Funcionamento
TCP CONNECT Conecta-se a porta e executa os três handshakes básicos (SYN, SYN/ACK e ACK).


TCP SYN Realiza a conexão total TCP durante a operação, evitando que o log da operação fique no sistema.


UDP O scanner envia um pacote UDP para a porta-alvo: se a resposta for ICMP port unreachable, a porta encontra-se fechada; caso contrário, o scanner deduz que a porta está aberta.


TCP NULL Neste caso, o scanner desativa todos os flags e aguarda do alvo um RST para identificar todas as portas fechadas.


TCP FIN O scanner envia pacotes FIN para a porta-alvo e espera o retorno de um RST para as portas fechadas.


XMAS TREE O scanner envia pacotes FIN, URG e Push para a porta-alvo e espera o retorno de um RST para as portas fechadas.

Tabela 2 - Métodos Scan

 

[helldanger1]

"A partir da análise desses sinais, os scanners retiram informações úteis sobre os sistemas e os compara com padrões pré-definidos" (ULBRICH; VALLE, 2003, p. 162).

Júnior (2008) afirma que o scanner de portas mais eficiente e mais utilizado é o Nmap. O site oficial desta ferramenta é nmap.org, segundo o site do fabricante, Nmap significa Network Mapper. Ele é uma ferramenta de código aberto usada para realizar auditoria de segurança em redes e teste em servidores com a finalidade de encontrar brechas na segurança.

Observando na prática fica fácil compreender o porquê do Nmap ser considerado um dos melhores scanners de porta, pois ele possui características interessantes que são usadas contra a pilha de protocolos do TCP.

Dentre as principais características desta ferramenta, pode-se citar a técnica de fragmentação de pacotes, que consiste em enviar uma seqüência de pacotes IP fragmentado, o que faz com que filtros de pacotes usados em firewalls ou mesmo em sistemas IDS não possam detectar tal atividade. Outra técnica utilizada no Nmap serve para ocultar o IP do atacante, esta opção faz com que o invasor possa declarar no momento do escaneamento uma lista de IPs como fonte da origem do ataque, dificultando a sua descoberta ou até mesmo usando IPs de outros, para forjar um ataque se passando por outro host.

Outra opção interessante consiste em usar as próprias medidas de segurança implantadas por administradores de rede para criar um ataque, por exemplo, alguns firewalls sendo configurados para permitir tráfego em determinadas portas poderá permitir que o Nmap possa gerar um scan utilizando as portas liberadas, fazendo-se passar pelas aplicações com tráfego autorizado.

Além destas e várias outras técnicas poderão ser usadas com o Nmap para descobrir o que está por trás dos firewalls.

 

[helldanger1]

Scanners de vulnerabilidades
Ulbrich; Valle (2003) esclarecem que essas ferramentas são utilizadas para detecção de vulnerabilidades em softwares executados em um sistema. O scanner de vulnerabilidade busca através de uma lista de falhas conhecidas, checar se o sistema está ou não executando um serviço com problemas. Este tipo de scanner é muito útil para o atacante, já que, através disto, ele pode escolher qual o exploit a ser utilizado para a invasão.

Segundo uma pesquisa realizada pelo site insecure.org em 2006, 3.243 hackers em todo o mundo votaram para eleger uma lista com os 10 melhores scanners de vulnerabilidade. Logo abaixo é mostrado os scanners de vulnerabilidades eleitos por ordem .

Nome do Scanner Posição
Nessus 1°
GFI LANguard 2°
Retina 3°
Core Impact 4°
ISS Internet Scanner 5°
X-Scan 6°
Sara 7°
QualysGuard 8°
SAINT 9°
MBSA 10°

Tabela 3 - Lista dos 10 melhores Scanners de Vulnerabilidades segundo o insecure.org (2006)


Além de ter sido apontada como a ferramenta de pesquisa por vulnerabilidades favorita dos especialistas, Júnior (2008) afirma ser o Nessus o melhor scanner de vulnerabilidades, principalmente por suas muitas funcionalidades, sendo que a primeira vantagem é o fator do Nessus procurar por todos os tipos de falhas de Buffer Overflow, Unicode, DOS etc. A segunda vantagem apontada seria o fato dele ser baseado em plugins, sendo que a cada nova vulnerabilidade que seja descoberta possa ser criado um novo plugin e este ser incorporado à ferramenta.