GFI Languard



come da titolo andrmo a drscrivere uno dei Vulneability Scanner più famosi che si vedono in rete , stiamo parlando del GFI-Languard , (attualmente alla versione 2.0) , inserito da sempre , in BackTrack nell’ apposita sezione del “Vulnerability Identification“.

GFI-Languard è un prodotto della GFI Security & Messaging Software , è molto famoso e diffuso , grazie alla sua versatilità.

In BackTrack GFI-Languard si avvia grazie all’ ausilio di Wine , infatti già dalla prima apertura del programma l’interfaccia grafica in winz style , è ampiamente riconoscibile.

Il pregio di un programma del genere è quello di racchiudere dentro di se più tools , in grado di metterci nelle migliori condizioni per fare il test delle vulnerabilità note di più domini o server , di ricercare patch mancanti eccetera…

Voglio specificare subito che GFI-Languard può essere usato per identificazione delle vulnerabilità da parte di admin e non per creare attacchi e quindi eseguire pentesting , anche se dopo una scansione effettuata si può decidere di compiere lo stesso un attacco , ma vedrete dalle righe che seguono eventuali opzioni da prendere in considerazione.

Avendo in locale il mio Server , facciamo con GFI-Languard una prova per vedere come funziona e che risultato ci fornisce.

Passiamo quindi a fare il nostro scanning , non prima naturalmente di aver messo a posto delle opzioni…

Innanzitutto bisogna selezionare l’ host da scannerizzare , che potrebbero essere anche più di uno , potremmo effettuare delle scansioni di interi network , su un intero dominio Windows ad esempio e dal risultato in basso , in formato html , riusciremo a vedere tutte le informazioni raccolte , host per host.

Nel mio caso , avendo nella mia Lan un Server all’ indirizzo 29.230.6.75 , inserirò quest’ IP nello spazio indicato in alto , tenendo conto di tenermi l’ host anche per futuri esperimenti , dandogli quindi un nome , un eventuale commento e salvando il tutto.

Ma andiamo avanti…

Nella selezione degli Alerts , l’ icona con il punto esclamativo , vengono inserite tutte quelle vulnerabilità che a noi più interessano , ma che GFI-Languard seleziona automaticamente tutte in blocco.

Questa l’interfaccia dopo la scannerizzazione del server..

***

***

Come possiamo vedere dall’ immagine , GFI-Languard ci ha restituito un ampio e dettagliato risultato , dagli header del sito che si trova sul server , all’ intero range di informazioni che il server usa per i DNS e la Subnet che uso io.

Lo scanning , bisogna dirlo , non è durato molto , ed ha restituito un buon numero di informazioni , dal MAC-Address , a tutti i servizi aperti , porta per porta , che nel nostro caso sono stati individuati:

Il servizio Samba , il webserver Apache con tipo di protocollo , (SSH – HTTP-secure) , PHP alla versione 5.2.1 , Il tipo di server WinServer2003 Spk.2 , la versione , e 5 porte aperte con tanto di servizio incluso.

La caratteristica principale di un prodotto quale GFI-Languard , è quella di evitare all’ utente di verificare servizio per servizio tutte le possibili “aperture” sconsiderate e che potrebbero causare problemi legati a vulnerabilità “note” , con un notevole risparrmio di tempo e di lavoro.

La rilevazioni che GFI-Languard tiene in considerazione principalmente sono:

Il tipo di Server , la versione ed eventuale Service Pack.—>Nel nostro caso ripeto: WinServ.2003 – Spk.2 – con il Mac-Address riportato , il nome del Workgroup ed il nome dell’ host.

Le eventuali patch di sicurezza mancanti

I punti di accesso Wireles.

Condivisioni in linea e porte aperte.

—>Nel nostro caso ha trovato: Samba , Subnet , 5 porte aperte con servizi annessi e nessun utente “loggato”

Naturalmente volendo possiamo “maneggiare” tutti i tipi di alert , solo per fare un esempio ho lasciato selezionata la spunta sul controllo CGI , (Common Gateway Interface) , perché l’ host da scannerizzare conteneva un webserver , ma nel caso sia stato una situazione diversa , per risparmio di tempo e di lettura risultato , avrei benissimo potuto togliere la spunta di selezione.

Il tutto è stato eseguito nel mio caso per la prima volta con GFI-Languard , la prossima volta potrò tenere il profilo salvato con le stesse condizioni di utilizzo.

Una caratteristica , importante , che GFI-Languard ci mette a disposizione è l’ accesso da remoto sul computer/server con delle credenziali determinate… …esempio:

***

***

Nel caso indicato in figura , possiamo vedere che le impostazioni di accesso sono quelle che GFI-Languard usa di default , ma che noi possiamo cambiare a seconda della situazione in cui ci troviamo.

Sul mio server , non posso ovviamente accedervi senza credenziali , sono nella mia subnet , abbastanza sicura , ma per accedervi devo usare username e password dell’ account administrator oppure di un utente guest o altro.

Questa particolare scelta ci permette di avere dal risultato della scansione molte cose utili in più alla scansione già effettuata in precedenza , come ad esempio il test della complessità della password usata , , per i sistemi UNIX della KEY , mettendoci in condizioni tali da poterla eventualmente cambiare.

Quando in questo caso GFI-Languard esegue una scansione , le credenziali di accesso da remoto sono quelle che caratterizzano il sistema su cui GFI-Languard è in esecuzione , intese come “default”.

Queste credenziali che GFI-Languard ci fa inserire sono , come detto sopra , salvabili all’ interno di ogni profilo , in questo modo ci possiamo connettere ad ogni server con delle credenziali diverse , ognuna contenuta in un profilo diverso, eseguibile ad ogni scansione singolarmante e tutti insieme , tanto il risultato sarà sempre descrittivo host – per – host , server per server , dominio per dominio.

GFI-Languard è un’ ottimo tool per la scansione di Servizi aperti e di Eventuali possibili falle su sistemi , ma come pentesting , (inteso come vero attacco) , bisogna rendersi conto di più fattori , come , giusto per fare qualche esempio , il fatto che GFI-Languard lascia log sui sistemi scannerizzati , avverte in modo chiaro gli admin dei ping ricevuti , non performa i ping dopo che l’ host in ricezione ha rigettato lo stesso , considerandolo down , spento… …ma non credo sia questo il suo scopo.

Per ciò per cui è stato creato , è un ottimo tool senza ombra alcuna , in caso di BUG “noti” , GFI-Languard ci fornisce addirittura la natura della patch e dove poterla reperire , questo è propriamente il suo ruolo a cui credo adempia ampiamente , pensiamo ad un admin aziendale , che deve tenere sott’ occhio una cinquantina di pc magari su più domini , non credo che sia un programma di cui si possa fare a meno.

Il mio server , creato per consentirmi di fare pentesting , quindi BUGato se preso all’ interno della mia subnet , non è stato oggetto di verifica da parte di GFI-Languard , la versione di PHP che utilizzo insieme alla versione di apache porta un BUG , (anche vecchio e molto conosciuto) , ma che non è risultato nella scansione.

Nel compenso GFI-Languard è stato in grado di enumerarmi tutta la subnet e l’ ha fatto in maniera velocissima , e soprattutto è stato in grado di riportarmi tutte le informazioni che un admin , su WinServer 2003 , avrebbe scoperto con molto più tempo e lavoro.

Un altro dei tanti ottimi prodotti inseriti in BackTrack , che usato allo scopo giusto , ci evita di spendere una granparte di tempo e fatica.

I risultati di scansione sono organizzati in categorie , e visibili comodamente all’ occhio tramite delle icone , di cui ne riporto un solo esempio:

Da qui possiamo già capire che se abbiamo bisogno di scannerizzare e tenere sotto controllo 2/3 domini , GFI-Languard è quello che fa al caso nostro.

La grande veersatilità di configurazione poi di cui gode GFI-Languard è a dir poco eccezionale , secondo ogni criterio è possibile fare una configurazione diversa della nostra scansione , facendo riferimento ad una scansione predefinita con un determinato profilo salvato , GFI-Languard ci mette al corrente delle diversità tra più scansioni e lo fa con le caratteristiche di cui gode maggiormente , velocità ed efficacia di analisi settore per settore , servizio per servizio , con orario di login di eventuali utenti connessi e tutto ciò che serve ad un admin per poter tenere sotto controllo il proprio network , il tutto comodamente salvato in un file html.

***

***

Fonte: Carlito Brigante Blog