Nessun risultato. Prova con un altro termine.
Guide
Notizie
Software
Tutorial

Miniguida a Superscan 4.0

Impariamo a conoscere e a proteggere le porte dei nostri computer con SuperScan 4.0, uno dei migliori e gratuiti software di scansione delle porte di comunicazione
Impariamo a conoscere e a proteggere le porte dei nostri computer con SuperScan 4.0, uno dei migliori e gratuiti software di scansione delle porte di comunicazione
Link copiato negli appunti

Quando riferendoci a un computer parliamo di porte
solitamente stiamo pensando a un dispositivo di input/output che ci
permette di dialogare con una periferica, come la porta parallela per
la stampante (LPT), la porta seriale (COM) e la porta USB. Nella terminologia
della rete il concetto è il medesimo, anche se ci riferiamo a
porte di tipo TCP/IP e UDP che non
hanno una consistenza fisica.

Le porte virtuali del nostro computer, utilizzate per le comunicazioni
fra sistemi operanti in una rete o su Internet, sono esattamente 65.535.
Le prime 1023 sono chiamate well-known ports,
cioè ben conosciute perchè assegnate a servizi specifici,
ormai utilizzati come standard. Per fare un esempio, quando il nostro
browser si collega a un sito web, contatta il server web sulla porta
80 perchè questa è la porta standard per il protocollo
HTTP.

Una porta si dice aperta quando è in uso oppure
quando è in attesa di una comunicazione: normalmente anche un
sistema operativo appena installato presenta delle porte aperte, necessarie
per offrire particolari servizi e per le normali comunicazioni fra i
computer. Il problema per la nostra sicurezza si presenta quando non
siamo a conoscenza di quali porte sono state aperte: alcune potrebbero
non servirci e rappresentare un rischio inutile per il sistema.

Per ovviare a questo inconveniente possiamo dotarci di un Port Scanner,
cioè di un programma che controlla tutte le porte del computer
e ci avvisa di quali sono in attesa di un collegamento. Nel nostro interesse
possiamo decidere di utilizzare uno strumento anche più completo,
che fornisca qualche informazione in più: in questo caso il programma
SuperScan 4.0 è lo scanner che fa per noi. L'applicazione
originale ha riscosso un così grande successo grazie alla velocità
di esecuzione che gli esperti dell'americana Foundstone Inc hanno deciso
di acquisire e migliorare il software, regalandoci questa versione molto
versatile e completamente gratuita.

Installazione

Il programma non richiede particolari requisiti per
quanto riguarda lo spazio su disco o le prestazioni della macchina,
però l'utilizzo è limitato ai sistemi Windows 2000 e XP.
Se disponiamo di una versione precedente del sistema operativo, possiamo
comunque provare la versione 3.0 dello scanner che funziona su Windows
95/98/Nt 4.0.

Dopo aver effettuato il download di SuperScan
4.0
possiamo eseguire direttamente lo scanner, che non richiede
l'installazione. Ricordiamoci però che solo un utente del gruppo
Administrators può utilizzare il programma.

Prima di effettuare una scansione, controlliamo le
opzioni che SuperScan ci mette a disposizione. Le impostazioni di default
sono sicuramente adeguate, ma il programma offre varie possibilità
di scelta. Il pannello Host and Service Discovery è
il più importante, perchè ci consente di definire l'area
di azione dello scanner. La prima sezione, Host Discovery,
permette di configurare le modalità secondo le quali lo scanner
cercherà sistemi attivi sulla rete, cioè che rispondono
a particolari segnali.

Questi segnali sono composti da pacchetti ICMP e noi
abbiamo la possibilità di scegliere una combinazione di quattro
tipi diversi di marcatore per il pacchetto. Se disabilitiamo questa
sezione, il programma considererà tutti gli host controllati
come attivi, quindi effettuerà la scansione anche in mancanza
di risposta. È consigliabile togliere il segno di spunta da Host discovery
per scansioni sul proprio sistema. Il timeout è il tempo di attesa
per la risposta.

host

La sezione successiva riguarda le impostazioni della scansione delle
porte UDP. Possiamo inserire il numero di una porta
da controllare oppure un intervallo di porte. Se disponiamo di una lista
facciamo click su Read ports from file per caricarla direttamente
nel programma. Solitamente lo scanner apre e utilizza porte casuali sulla
macchina locale per inviare la richiesta al sistema remoto. Se vogliamo
invece usare una porta specifica basta selezionare l'apposita casella,
Use static source port, e compilare il campo relativo.

Porte udp

Lo stesso vale per la sezione riguardante le porte di tipo TCP.
Per questa tipologia di porte però dobbiamo soffermarci sull'opzione
Scan type che ci offre due alternative, Connect e SYN.
Selezionando il valore Connect ordiniamo allo scanner
di rilevare le porte aperte effettuando una connessione TCP completa,
con il metodo chiamato Handshake a 3 vie (SYN - SYN/ACK - ACK). Questo
può essere facilmente rilevato dal sistema obiettivo. Se selezioniamo
SYN invece il programma invierà esclusivamente
un pacchetto di quel tipo, senza instaurare la connessione completa,
risultando quindi difficilmente registrabile. Attenzione: se vogliamo
rilevare le porte del sistema locale possiamo usare solo il metodo Connect.

Il pannello Scan Options

In questo pannello troviamo opzioni aggiuntive che influiscono sulla
velocità della scansione. In particolare le opzioni Host discovery,
Service discovery e Hostname lookups riguardano la fase di inizializzazione.
Possiamo decidere il numero di volte che il programma dovrà eseguire
ciascuna delle rilevazioni (dei sistemi attivi, dei servizi attivi e
risoluzione dei nomi).

Le impostazioni di timeout del Banner grabbing servono
a definire il tempo massimo di attesa per la risposta alla rilevazione
dei banner. I banner sono informazioni che le porte ci trasmettono quando
ci colleghiamo ad esse. Ad esempio collegandoci alla porta 80 sarà
molto probabile trovare un banner contenente la versione del server
web in uso.

L'opzione Hide systems with no open ports elimina dalla
visualizzazione del report tutti i sistemi che non presentano porte
attive. Randomize IP and port scan order può
invece essere utile quando eseguiamo scansioni su una gamma di indirizzi
IP della stessa rete, nel caso particolare che siano attivi dei sistemi
di rilevazione delle intrusioni.

Il valore che più influisce sulle prestazioni è Scan
speed
, che determina l'intervallo di tempo fra l'invio di un
pacchetto di dati e il successivo. Se non abbiamo problemi particolari
possiamo lasciare l'indice su Fast che corrisponde a 10 ms. Valori più bassi potrebbero
causare la perdita di dati.

Dopo aver approfondito la conoscenza delle opzioni
del programma, siamo pronti a eseguire una scansione in piena regola
delle porte del nostro sistema. Inseriamo nel campo Hostname/IP
il nome del computer oppure l'indirizzo IP da controllare. Se si tratta
del computer locale possiamo scrivere localhost che corrisponde
all'IP 127.0.0.1. I campi Start IP e End IP
servono nel caso in cui dobbiamo definire un intervallo di indirizzi.
Allo stesso modo possiamo caricare una lista di indirizzi da un file
di testo, facendo click su Read IPs from file.

hostname

Premiamo il pulsante in fondo alla schermata per dare il via alla scansione.
I risultati vengono presentati divisi in due sezioni, la prima riepilogativa
e la seconda più approfondita. Oltre al numero di host rilevati
viene specificato l'indirizzo IP e il nome dell'host ove possibile.
Segue una lista delle porte attive in base al protocollo utilizzato.

hosts

La sezione dettagliata descrive tutti i passaggi effettuati dal programma
durante la scansione. Possiamo vedere che la scansione TCP è
stata effettuata con modalità Connect su 179 porte, quella UDP
su 89 porte. Per avere una panoramica più completa del sistema
è possibile integrare la lista di porte o addirittura fornire
un intervallo completo 1-65535 nel pannello delle opzioni.
Ricordiamo però che effettuare la rilevazione di tutte le porte
di un sistema può richiedere tempi molto lunghi.

details

Reports

Facciamo click sul pulsante View HTML results per vedere
il report completo dei risultati. In questo caso il livello di dettaglio
è il massimo: per ogni sistema vengono visualizzate le porte
attive, il nome del servizio (se conosciuto) e tutti i banner che lo
scanner è stato in grado di catturare.

Non esiste un sistema per stabilire a priori se il computer è
al sicuro oppure se presenta punti vulnerabili esclusivamente in base
alle porte rilevate, per questo è necessario spendere un po'
di tempo per documentarsi meglio sulle porte che abbiamo trovato e sui
possibili rischi. Naturalmente è sempre meglio trovare poche
porte aperte e ancor meno banner disponibili.

report

Nel pannello Tools troviamo alcuni
strumenti aggiuntivi per ottenere tutte le informazioni possibili sul
sistema da analizzare. Possiamo inserire nel primo campo un indirizzo
IP, il nome di un computer oppure un indirizzo web (URL). Se dobbiamo
specificare una porta in particolare, possiamo usare il formato 127.0.0.1:123
dove 123 rappresenta il numero della porta.

Il comando Hostname/IP Lookup serve per trovare l'indirizzo
IP di un host conosciuto e viceversa trovare il nome del sistema partendo
dall'indirizzo IP. Proviamo a inserire sicurezza.html.it come
dato di partenza, il programma troverà l'indirizzo IP relativo
che è 212.110.12.173.

Tramite il comando Ping possiamo calcolare i tempi
di risposta del computer remoto. In alcuni casi non riceveremo alcun
tipo di risposta, ma questo non sempre indica una congestione della
rete: spesso gli strumenti di difesa, come i Firewall, sono impostati
per non rispondere a queste richieste.

Lo strumento ICMP Traceroute visualizza il percorso
che compie un nostro pacchetto di dati per arrivare al sistema specificato.
Per ogni passaggio sono indicati l'indirizzo IP ed eventualmente il
nome dell'host di passaggio.

Tracert

Il comando Zone Tranfer viene utilizzato per aggiornare
i records su un server DNS secondario. La sintassi è dominio@IP_del_server_dns,
ad esempio test.com@10.12.3.9. Utilizziamo Bulk Resolve per
risolvere i nomi host di più indirizzi IP caricati da una lista
testuale.

I tre comandi successivi servono ad inviare richieste di tipo HTTP
(o secure-http) utilizzando i verbi HEAD e GET al server web selezionato.
Il risultato è composto dalle intestazioni inviate in risposta
dal server, ad esempio la data remota e la versione del software utilizzato.

Head

Uno strumento molto utile è il Whois che
interpella un database per scoprire i dati relativi al proprietario
di un dominio Internet. Il server impostato per default è whois.networksolutions.com,
uno dei più completi, ma i comandi successivi ci permettono di
utilizzarne anche altri. Se ci interessano domini diversi dai .com e
.net non è necessario impostare un server apposito come succede
in molti altri programmi: SuperScan riconosce l'estensione del dominio
e si comporta di conseguenza. Proviamo con Foundstone.com (senza il
prefisso www).

Whois

Come ultima schermata, ma non in ordine di importanza,
abbiamo il pannello Windows Enumeration. Essendo lo
scanner SuperScan un prodotto ideato appositamente per professionisti
della sicurezza, non dobbiamo stupirci di trovare uno strumento così
specifico fra le sue risorse.

Dopo aver selezionato i parametri che ci interessa rielvare, normalmente
tutti quelli a disposizione, inseriamo l'indirizzo IP o il nome del
computer da enumerare e procediamo facendo click su Enumerate.
La rielvazione avviene tramite una Sessione Nulla,
cioè una tecnica che sfrutta alcuni difetti nella sicurezza dei
sistemi Windows. Se abbiamo diversi privilegi sul sistema possiamo inserire
il nome utente e la password da utilizzare facendo click su Options.
In questo caso la null session non verrà utilizzata.

Enumerate

Le informazioni fornite da questo comando, se il sistema non è
protetto in modo adeguato, sono in gran numero e molto specifiche. Vediamo
ad esempio le politiche di sicurezza riguardanti le password del computer,
le condivisioni attive con relativa lettera di unità, il nome
di tutti gli utenti del computer con i privilegi assegnati e la data
di ultimo accesso alla macchina.

Dopo aver constatato la quantità di dati che il nostro sistema
fornisce con un semplice click, probabilmente ci verrà voglia
di proteggerlo da questo tipo di exploit. Per farlo è necessario
modificare un valore nel registro di sistema di Windows, la chiave è
identificata come RestrictAnonymous, dopo aver avviato il regedit seguiamo
il percorso HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLSA.
Impostiamo il valore 2 per non consentire alcun tipo
di acceso anonimo. Attenzione: consultiamo la documentazione di Microsoft
in proposito prima di effettuare qualsiasi modifica al registro, queste
indicazioni possono non essere valide per tutte le versioni del sistema
operativo.


Ti consigliamo anche