SATAN, ISS en andere netwerkscanners Er zijn een aantal verschillende softwarepakketten die doen aan poort-
en dienst-gebaseerd scannen van machines of netwerken. SATAN, ISS, SAINT en
Nessus zijn enkele van de meer bekende. Deze software maakt verbinding met de
doelmachine (of al de doelmachines op een netwerk) op alle mogelijke poorten
en probeert uit te vinden welke dienst daar draait. Gebaseerd op deze
informatie kun je zeggen of de machine kwetsbaar is voor een bepaald soort
misbruik op die server. SATAN (Security Administrator's Tool for Analyzing Networks) is een
poortscanner met een webinterface. Het kan ingesteld worden om lichte, medium
of zware controles op een machine of een computernetwerk uit te voeren.
Het is een goed idee om SATAN te downloaden en je machine of netwerk te
scannen en de problemen die het vindt op te lossen. Download SATAN vanaf of vanaf een goed bekend staande FTP of website. Er is een
trojaanse copie van SATAN verspreid over het net: . Merk op dat SATAN al
geruime tijd niet meer is bijgewerkt en enkele van de andere tools hieronder
wellicht beter werken. ISS (Internet Security Scanner) is een andere poort-gebaseerde
scanner. Het is sneller dan SATAN en dus wellicht beter voor grotere
netwerken. Echter, SATAN heeft de eigenschap dat het meer informatie
verschaft. Abacus bestaat uit een set tools om te voorzien in host-gebaseerde
beveiliging en inbraakdetectie. Neem een kijkje op de homepage op het web voor
meer informatie. SAINT is een bijgewerkte versie van SATAN. Het is web-gebaseerd en
heeft veel meer up-to-date tests dan SATAN. Je kunt hier meer over te weten
komen op: Nessus is een gratis beveiligingsscanner. Het is gemakkelijk in gebruik
dankzij een GTK grafische interface. Het is ook uitgerust met een erg aardige
plugin setup voor nieuwe poort-scan testen. Kijk voor meer informatie
op:
Poortscans detecteren Er zijn enkele tools ontworpen om je te waarschuwen voor poortscans door
SATAN, ISS en andere scansoftware. Echter, als je tcp_wrappers ruimdenkend
gebruikt en regelmatig je logbestanden nakijkt, zullen je deze poortscans
wel opvallen. Zelfs met de meest minimale instelling laat SATAN sporen na
in de logs op een Red Hat systeem. Er zijn ook "stealth" poort scanners. Een pakket waarop het TCP ACK bit
ingesteld is (zoals dat gedaan wordt wanneer de verbindingen tot stand zijn
gebracht) zal waarschijnlijk wel door een firewall komen die
pakketten filtert. Het RST pakket dat teruggestuurd wordt vanaf een poort
die _geen tot stand gebrachte sessie had_ kan worden gezien als
bewijs dat er leven is op die poort. Ik denk niet dat tcp_wrappers dit zal
detecteren.