GFI Languard

Ciao a tutti,

come da titolo oggi andrmo a drscrivere uno dei Vulneability Scanner più famosi che si vedono in rete , stiamo parlando del GFI-Languard , (attualmente alla versione 2.0) , inserito da sempre , in BackTrack nell’ apposita sezione del “Vulnerability Identification“.

GFI-Languard è un prodotto della GFI Security & Messaging Software , è molto famoso e diffuso , grazie alla sua versatilità.

In BackTrack GFI-Languard si avvia grazie all’ ausilio di Wine , infatti già dalla prima apertura del programma l’interfaccia grafica in winz style , è ampiamente riconoscibile.

Il pregio di un programma del genere è quello di racchiudere dentro di se più tools , in grado di metterci nelle migliori condizioni per fare il test delle vulnerabilità note di più domini o server , di ricercare patch mancanti eccetera…

Voglio specificare subito che GFI-Languard può essere usato per identificazione delle vulnerabilità da parte di admin e non per creare attacchi e quindi eseguire pentesting , anche se dopo una scansione effettuata si può decidere di compiere lo stesso un attacco , ma vedrete dalle righe che seguono eventuali opzioni da prendere in considerazione.

Avendo in locale il mio Server , facciamo con GFI-Languard una prova per vedere come funziona e che risultato ci fornisce.

Passiamo quindi a fare il nostro scanning , non prima naturalmente di aver messo a posto delle opzioni…

Innanzitutto bisogna selezionare l’ host da scannerizzare , che potrebbero essere anche più di uno , potremmo effettuare delle scansioni di interi network , su un intero dominio Windows ad esempio e dal risultato in basso , in formato html , riusciremo a vedere tutte le informazioni raccolte , host per host.

Nel mio caso , avendo nella mia Lan un Server all’ indirizzo 29.230.6.75 , inserirò quest’ IP nello spazio indicato in alto , tenendo conto di tenermi l’ host anche per futuri esperimenti , dandogli quindi un nome , un eventuale commento e salvando il tutto.

Ma andiamo avanti…

Nella selezione degli Alerts , l’ icona con il punto esclamativo , vengono inserite tutte quelle vulnerabilità che a noi più interessano , ma che GFI-Languard seleziona automaticamente tutte in blocco.

Questa l’interfaccia dopo la scannerizzazione del server..

***

***

Come possiamo vedere dall’ immagine , GFI-Languard ci ha restituito un ampio e dettagliato risultato , dagli header del sito che si trova sul server , all’ intero range di informazioni che il server usa per i DNS e la Subnet che uso io.

Lo scanning , bisogna dirlo , non è durato molto , ed ha restituito un buon numero di informazioni , dal MAC-Address , a tutti i servizi aperti , porta per porta , che nel nostro caso sono stati individuati:

Il servizio Samba , il webserver Apache con tipo di protocollo , (SSH – HTTP-secure) , PHP alla versione 5.2.1 , Il tipo di server WinServer2003 Spk.2 , la versione , e 5 porte aperte con tanto di servizio incluso.

La caratteristica principale di un prodotto quale GFI-Languard , è quella di evitare all’ utente di verificare servizio per servizio tutte le possibili “aperture” sconsiderate e che potrebbero causare problemi legati a vulnerabilità “note” , con un notevole risparrmio di tempo e di lavoro.

La rilevazioni che GFI-Languard tiene in considerazione principalmente sono:

Il tipo di Server , la versione ed eventuale Service Pack.—>Nel nostro caso ripeto: WinServ.2003 – Spk.2 – con il Mac-Address riportato , il nome del Workgroup ed il nome dell’ host.

Le eventuali patch di sicurezza mancanti

I punti di accesso Wireles.

Condivisioni in linea e porte aperte.

—>Nel nostro caso ha trovato: Samba , Subnet , 5 porte aperte con servizi annessi e nessun utente “loggato”

Naturalmente volendo possiamo “maneggiare” tutti i tipi di alert , solo per fare un esempio ho lasciato selezionata la spunta sul controllo CGI , (Common Gateway Interface) , perché l’ host da scannerizzare conteneva un webserver , ma nel caso sia stato una situazione diversa , per risparmio di tempo e di lettura risultato , avrei benissimo potuto togliere la spunta di selezione.

Il tutto è stato eseguito nel mio caso per la prima volta con GFI-Languard , la prossima volta potrò tenere il profilo salvato con le stesse condizioni di utilizzo.

Una caratteristica , importante , che GFI-Languard ci mette a disposizione è l’ accesso da remoto sul computer/server con delle credenziali determinate… …esempio:

***

***

Nel caso indicato in figura , possiamo vedere che le impostazioni di accesso sono quelle che GFI-Languard usa di default , ma che noi possiamo cambiare a seconda della situazione in cui ci troviamo.

Sul mio server , non posso ovviamente accedervi senza credenziali , sono nella mia subnet , abbastanza sicura , ma per accedervi devo usare username e password dell’ account administrator oppure di un utente guest o altro.

Questa particolare scelta ci permette di avere dal risultato della scansione molte cose utili in più alla scansione già effettuata in precedenza , come ad esempio il test della complessità della password usata , , per i sistemi UNIX della KEY , mettendoci in condizioni tali da poterla eventualmente cambiare.

Quando in questo caso GFI-Languard esegue una scansione , le credenziali di accesso da remoto sono quelle che caratterizzano il sistema su cui GFI-Languard è in esecuzione , intese come “default”.

Queste credenziali che GFI-Languard ci fa inserire sono , come detto sopra , salvabili all’ interno di ogni profilo , in questo modo ci possiamo connettere ad ogni server con delle credenziali diverse , ognuna contenuta in un profilo diverso, eseguibile ad ogni scansione singolarmante e tutti insieme , tanto il risultato sarà sempre descrittivo host – per – host , server per server , dominio per dominio.

GFI-Languard è un’ ottimo tool per la scansione di Servizi aperti e di Eventuali possibili falle su sistemi , ma come pentesting , (inteso come vero attacco) , bisogna rendersi conto di più fattori , come , giusto per fare qualche esempio , il fatto che GFI-Languard lascia log sui sistemi scannerizzati , avverte in modo chiaro gli admin dei ping ricevuti , non performa i ping dopo che l’ host in ricezione ha rigettato lo stesso , considerandolo down , spento… …ma non credo sia questo il suo scopo.

Per ciò per cui è stato creato , è un ottimo tool senza ombra alcuna , in caso di BUG “noti” , GFI-Languard ci fornisce addirittura la natura della patch e dove poterla reperire , questo è propriamente il suo ruolo a cui credo adempia ampiamente , pensiamo ad un admin aziendale , che deve tenere sott’ occhio una cinquantina di pc magari su più domini , non credo che sia un programma di cui si possa fare a meno.

Il mio server , creato per consentirmi di fare pentesting , quindi BUGato se preso all’ interno della mia subnet , non è stato oggetto di verifica da parte di GFI-Languard , la versione di PHP che utilizzo insieme alla versione di apache porta un BUG , (anche vecchio e molto conosciuto) , ma che non è risultato nella scansione.

Nel compenso GFI-Languard è stato in grado di enumerarmi tutta la subnet e l’ ha fatto in maniera velocissima , e soprattutto è stato in grado di riportarmi tutte le informazioni che un admin , su WinServer 2003 , avrebbe scoperto con molto più tempo e lavoro.

Un altro dei tanti ottimi prodotti inseriti in BackTrack , che usato allo scopo giusto , ci evita di spendere una granparte di tempo e fatica.

I risultati di scansione sono organizzati in categorie , e visibili comodamente all’ occhio tramite delle icone , di cui ne riporto un solo esempio:

  • Icona che indica una vulnerabilità
  • Vulnerabilità Potenziale
  • Condivisioni attive sull’ host
  • Applicazioni trovate in esecuzione
  • Schede di rete , MAC-Address , eccetera
  • Porte TCP aperte
  • Stato dell’applicazione di patch nel sistema
  • NETBIOS con name e tutto il resto
  • Computer
  • Gruppi trovati
  • Utenti
  • Utenti connessi
  • Sessioni aperte
  • Servizi
  • Processi
  • Orario da remoto

Da qui possiamo già capire che se abbiamo bisogno di scannerizzare e tenere sotto controllo 2/3 domini , GFI-Languard è quello che fa al caso nostro.

La grande veersatilità di configurazione poi di cui gode GFI-Languard è a dir poco eccezionale , secondo ogni criterio è possibile fare una configurazione diversa della nostra scansione , facendo riferimento ad una scansione predefinita con un determinato profilo salvato , GFI-Languard ci mette al corrente delle diversità tra più scansioni e lo fa con le caratteristiche di cui gode maggiormente , velocità ed efficacia di analisi settore per settore , servizio per servizio , con orario di login di eventuali utenti connessi e tutto ciò che serve ad un admin per poter tenere sotto controllo il proprio network , il tutto comodamente salvato in un file html.

***

***

Ciao a tutti e alla prossima.

11 commenti

  1. good one brigante . by the way can u send 2 me ur email add ? if there is no problem . thank u .

  2. Thx man , i send you a mail soon.

    good work!

  3. Ottimo tutorial come sempre Brigante!

    A quando un bel forum Italiano?!
    Se vuoi mi offro come MOD! LOL😉

    See u dude!

  4. il forum è quasi pronto Def ,però manca ancora un pò per il resto , credo che comunque già dall’ apertura sia grande come cosa😉

    thanx!

  5. haha thanx man , im waiting for ur mail add , have a nice day

    saber_sarguo@hotmail.com

  6. mail sented….
    😉

  7. Salve, spero di non dare fastidio.. complimenti intanto sia per il blog e per l’articolo😀

    Mi piacerebbe sapere come si aggiorna il database delle vulnerabilità perchè non riesco a trovarne nè sul mio BackTRack nè su il WinXp di mio fratello ( e questo mi pare difficile, è una versione preistorica xD )

    Ora siccome ho letto nell’articolo che non è stato trovato un Bug conosciuto nemmeno nel computer attaccato, mi chiedo, c’è forse un sistema di aggiornamento diverso ( io usavo FastTrack) oppure è meglio usare anche altri scanner?

    Grazie anticipatamente per la disponibilità🙂

  8. se hai GFLanguard e lo usi significa che lo stai usando su sistemi e reti contenenti SO-Windows e per aggiornarlo basta fare degli update.

    l’ agiornamento però , come scritto nel tutorial , non prevede vulnerabilità vere e proprie , ma solo delle segnalazioni per le patch rilasciate dalla microsoft.

    vuoi un vero ed autentico vulnerability scanner che tratti di vere e proprie vulnerabilità , con tanto di indicazioni su probabili explioit ed aggiornamento automatico ad ogni avvio?

    usa Nessus.

    ciao

    non fate domande sul blog.
    andate in chan.

  9. scusate, non lo sapevo :$
    Grazie comunque per la disponibilità

    emm….scusa ancora..potrei sapere il server ed il nome del Channel?

  10. @ mortenera:

    benvenuto….

    https://carlitobrigante.wordpress.com/2008/01/04/il-chan-del-backtrackblog/

    quì trovi tutto quello che ti serve.🙂

    @giorgy:

    voglio ringraziarti per tutto il da-fare che ti dai nei nostri confronti , prima su donkey , poi su torrent , ora anche sul blog…

    ….grazie.

  11. […] […]


Comments RSS TrackBack Identifier URI

Lascia un commento

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...