作者:nixe0n
簡介
什麼是SAINT
特點
工作模式
工作機制
安裝
系統需求
獲得所需軟體
編譯安裝
使用
啟動SAINT
目標選擇
處理掃描結果
SAINT的配置和優化
SAINT的目錄結構
配置文件(config/saint.cf和命令行選項
$saint_data(-d data diretory)
$attack_level(-a attack level)
$extreme(-x或-X)
每個攻擊級別對應的探測方法
定製攻擊級別(-C custom_level)
$password_guesses(-g 次數)
目標文件(-F target_file)
超時選項
超時信號(-t timeout level)
$maximum_threads
$status_file(-S status file)
臨近度變數(-z|-Z)
信任(-U)和非信任(-u)
目標子網掩碼(-n netmasks)
目標排除
$dont_use_nslookup
ICMP變數
防火牆變數
結論
簡介
什麼是SAINT
SAINT全稱安全管理員集成網路工具(Security Administrator's Integrated Network Tool)。它脫胎於著名的網路脆弱性檢測工具SATAN(Security Administrator Tool for Analyzing Network,安全管理員網路分析工具),也就是通常說撒旦:)。但是,SATAN的兩位作者Dan Farmer和Wietse Venema並沒有參與SAINT的開發。
特點
SAINT是一個集成化的網路脆弱性評估環境。它可以幫助系統安全管理人員收集網路主機信息,發現存在或者潛在的系統缺陷;提供主機安全性評估報告;進行主機安全策略測試。SAINT還具有非常友好的界面,用戶可以在本地或者遠程通過Netscape、Mozilla、lynx等瀏覽器對其進行管理,自然還包括Micro$oft Internet Explorer(遠程管理模式下)。
工作模式
SAINT有兩種工作模式:簡單模式(simple mode)和探究模式(exploratory mode)。
簡單模式(simple mode)
在這種模式下,SIANT通過測試各種網路服務,例如:finger、NFS、NIS、ftp、tftp、rexd、statd等,來儘可能地收集遠程主機和網路的信息。除了系統提供的各種服務之外,這些信息還包括系統現有或潛在的安全缺陷,包括:網路服務的錯誤配置;系統或者網路工具的安全缺陷;脆弱的安全策略。然後,SAINT把這些信息以HTML格式輸出到瀏覽器,用戶可以通過瀏覽器對數據進行分析、查詢收集的信息。
探究模式
SAINT真正強大之處還在於其探究模式。基於開始搜集的數據和用戶配置的規則集,通過掃描次級主機來測試主機之間的信任通道、主機之間的依賴性,以及實現更深入的信息收集。這樣用戶不但可以使用分析主機和網路的,而且可以通過測試主機或者網路之間信任的繼承關係,幫助用戶對系統的安全級別作出合理的判斷。
工作機制
在SAINT軟體包中有一個目標捕捉程序,通常這個程序使用fping判斷某台主機或者摸個子網中的主機是否正在運行。如果主機在防火牆之後,就通過tcp_scan進行埠掃描來判斷目標主機是否正在運行。接著把目標主機列表傳遞給數據收集引擎進行信息收集。最後SAINT把收集的信息和安全分析/評估報告以HTML格式輸出到用戶界面(瀏覽器)。
安裝
系統需求
SAINT主要是使用perl編寫的,具有很好的跨平台能力,能夠運行在大多數UNIX系統:
SunOS 4.1.3_U1
SunOS 5.3 - 5.5.1 (Solaris 2.3 - 2.5.1)
IRIX 5.3 - 6.5.8
Linux
FreeBSD 4
SAINT應該還可以運行與以下系統(沒有經過測試):
其它OSunOS版本
其它IRIX版本
AIX
BSD系統
HP-UX
System V Release 4
Ultrix
Tru64
獲得所需軟體
以下是安裝SAINT需要的軟體:
SAINT
Perl
Mozilla
nmap(可選)
Samba utilities(可選)
SAINT可以使用nmap為其提供某些掃描服務(作為埠掃描的利器,nmap已經被集成到一些系統安全評估軟體中,例如:Nessus、SAINT。跑題了^_^)。SAINT的鼻祖是SATAN,SATAN的整體擴展性很好,否則就不會產生SAINT了,但是它使用的埠掃描手段卻非常原始,因此使用nmap作為埠掃描工具是非常明智的,不過SAINT使用nmap好象只是用來進行遠程主機操作系統指紋特徵(fingerprinting)的收集。沒有充分發揮NMAP強大的埠掃描能是SAINT的一個遺憾。
編譯安裝
編譯SAINT非常簡單,只要使用如下命令就可以了:
$cd path-of-saint
$./congigure
$make
使用
啟動SAINT
SAINT編譯完成後,就可以運行SAINT了。有兩種方式運行SAINT:交互模式(本地模式)、遠程模式。注意:在運行SAINT之前需要確認config/paths.pl文件中指定的各種工具的路徑是否正確。
本地模式
啟動SAINT非常簡單,首先以root用戶身份登錄
#cd /path-of-saint
#./saint
然後,你就可以看到如下的圖形界面(如果你想使用其它瀏覽器例如:mozilla可以修改config/paths.pl文件的$MOSAIC變數)。
遠程模式
如果運行SAINT的主機無法提供圖形界面,或者你需要把掃描結果和他人分享,就可以使用SAINT的遠程模式。在遠程工作模式下,SAINT提供如下管理特徵:
基於主機的訪問控制
通過設置config/saint.cf文件中的$allow_hosts變數或者使用-h命令行選項,能夠限制可以使用SAINT的遠程主機IP地址。你可以指定多個可以訪問SAINT的主機地址,每個IP地址使用空格分開,還可以使用統配符指定某個網段的地址,例如10.1.1.*指定一個C類網段(有點落後,不如使用IP/CIDR方式靈活^_^)。
用戶認證
在遠程模式下,SAINT需要對不同用戶的訪問許可權進行限制(如果不加限制,恐怕會引狼入室:P)。默認情況下,有兩個可以登錄的用戶:admin和saint,你還可以修改config/passwd加入其它的用戶。每個用戶都需要輸入正確的密碼才能夠使用SAINT,而且每個用戶的許可權是不同的,admin用戶具有使用各種功能的許可權,而saint個其它用戶只能查看掃描報告、教程和其它的文檔。
監聽埠
修改config/saint.cf文件的$server_port變數或者通過-p命令行選項,可以設置SAINT的TCP監聽埠,默認值是1414。然後,用戶在瀏覽器中指定SAINT的監聽埠號就可以訪問SAINT了,例如:http://192.168.0.67:1414。
清楚了遠程模式的這些限制,現在可以在遠程工作模式下啟動SAINT了。首先,以root用戶的身份登錄
#cd path-of-saint
#./saint -r -h IP地址列表 -p 監聽埠
Security Administrator's Integrated Network Tool
Portions copyright (C) 1998,1999,2000,2001 World Wide Digital Security, Inc.
Portions copyright (C) 1995 by Dan Farmer and Wietse Venema.
SAINT is starting up...
Enter new passwords for "admin" or hit ENTER to leave as is
Password:輸入admin用戶的密碼
Confirm Password:確認admin用戶密碼
Enter new passwords for "saint" or hit ENTER to leave as is
Password:輸入saint用戶的密碼
Confirm Password:確認saint用戶密碼
然後,在別的主機啟動瀏覽器輸入http://SAINT所在主機地址:埠號,就可以看到如下界面了。
目標選擇
進入SAINT的主界面之後,需要選擇掃描目標,點擊SAINT控制面板的target selection進入目標選擇界面。
Primary target selection
掃描的主要目標,可以是單一主機、以空格分割的主機列表、地址範圍以及子網。這裡還有兩個選項,分別對應SAINT的兩種工作模式:簡單模式(simple mode)和探究模式(exploratory mode)。
Scan the target host(s) only. (Disables smurf check.):只掃描目標主機;
Scan all hosts in the target hosts' subnet(s):掃描目標主機的子網。
Scanning level selection
設置SAINT的攻擊級別(attack level),或者說SAINT的探測強度。詳細解釋見配置文件(config/saint.cf和命令行選項
Firewall Support
設置你是否則防火牆之後對目標主機進行掃描。如果你處於防火牆之後,需要打開Firewall Support ,否則會影響掃描結果的準確性。
OK,所有的東西都設置好了,現在可以按下Start the scan按鈕開始掃描了。這時你的瀏覽器會不斷地顯示數據搜集的進度,耐心地等待一會(如果掃描目標很多,可能需要非常長的時間),等出現如下頁面,就可以進入下一步了。
SAINT data collection
Data collection in progress...
10/31/01-06:03:53 bin/timeout 60 bin/fping 192.168.0.68
10/31/01-06:03:54 bin/timeout 20 bin/rpc.saint 192.168.0.68
10/31/01-06:03:54 bin/timeout 20 bin/dns.saint 192.168.0.68
10/31/01-06:03:54 bin/timeout 20 bin/ostype.saint 192.168.0.68
. . .
Data collection completed (1 host(s) visited).
---------------------------------------------------------------
Back to the SAINT start page | Continue with report and analysis | View primary target results
處理掃描結果
在探測完成之後,用戶可以有兩個選擇:查看掃描結果(View primary target result)和結果分析(report and analysis)。如果選擇View primary target result,SAINT將直接報告目標主機的一般信息、提供的網路服務以及系統缺陷等信息,比較直觀,我們將不在贅述。
下面我們主要介紹SAINT的數據分析。SAINT的結果分析特徵比較容易使用但是卻難以描述,能否更好地發揮這種智能化方式的潛力,更多地靠意會和使用經驗,而不是言傳。
SAINT的數據分析功能大體分為三類:缺陷(vulnerabilities)、主機信息(Host informations)、主機之間的信任關係(Trust)。在掃描過程中,雖然大量的數據的採集是同時一道進行的,但是SAINT會對採集到的數據採取不同的處理和分析方式。而且數據之間可以以超連接的方式交叉引用。這三類信息只是表達和顯示採集到的數據的不同部分。
缺陷(Vulnerabilities)
顧名思義,這是目標主機或者目標網路的弱點。SAINT對目標的缺陷採用三種基本的顯示方式:
Approximate Danger Level
SAINT能夠對探測到的潛在問題的危險程度進行評估,然後按照其危險程度進行排序。最危險的是目標主機root帳戶被侵入,而危險程度最底的是對發現的不必要服務的警告信息。
Type of Vulnerability
對各種缺陷的類型進行分類
Vulnerability Count
按照缺陷的數量對目標主機進行分類,缺陷最多的列前。
主機信息(Host Information)
收集到的主機信息是非常重要的,這些信息包括:伺服器所處的網路;網路上的重要主機;網路的子網劃分以及域名。出次之外還可以進行單個主機的查詢。主機信息包括:
服務類(Class of Service)信息
這類信息包括主機提供的各種網路服務,例如:匿名FTP、WWW等。這些信息是由rpcinfo和TCP埠掃描收集的。
系統類型(System Type)
這類信息首先一目標系統主機的硬體類型分類,然後如果可能再進一步以操作系統的類型和版本來劃分。這裡SAINT就需要藉助nmap了,如果沒有nmap,就只能通過ftp、telnet和sendmail等軟體的歡迎信息來實現了(有多大的可信度?一個有經驗的網路管理人員,是不會泄露這類信息的。因此,要充分發揮SAINT的能力,最好安裝nmap :P)。
域名(Internet Domain)
顯示主機的域名。
子網(Subnet)
就SAINT而言,每個子網可以有256個IP地址。
主機名
用於在當前探測信息資料庫中查詢指定主機的信息。
主機之間的信任關係(Trust)
這是一些網路主機之間信任關係(例如:通過某些服務不需要登錄)的信息。通過這類信息能夠發現網路上最重要的主機。大量主機之間的信任關係,能夠大大削弱網路的安全性,攻擊者只要攻破一點,就可能侵入整個網路。
SAINT的配置和優化
SAINT的目錄結構
SAINT只需要編譯,不必進行make install。SAINT軟體包中有很多目錄和文件,下面我們做一個簡單地介紹:
bin/*
保存SAINT用來進行數據採集的程序。
config/*
保存SAINT所有的配置文件。
html/*
在這個目錄中,有HTML文件和一些perl腳本文件,SAINT使用它們產生輸出的HTML界面。其中docs/目錄保存著SAINT的使用以及其它技術文檔。
perl/*
SAINT的數據採集以及其它的perl模塊,
results/資料庫
這個目錄保存SAINT的所有資料庫,每個資料庫由以下四個文件組成:
all-hosts: 保存SAINT在掃描過程中發現的株距列表,包括沒有進行掃描的主機。
facts: 保存各種工具產生的檢測結果,SAINT對這些結果進行處理然後產生檢測報告。
todo: 保存已經檢測需要進行探測的主機列表。主要為了避免對同一個目標進行重複探測。
cve: 這個文件保存所有發現的缺陷。
rules/*
保存SAINT使用的規則集。靈活的規則設定使SAINT具有強大的擴展能力。
src/*
一些SAINT支持程序的原文件。
配置文件(config/saint.cf和命令行選項
SAINT可以通過命令行參數來設置檢測功能,也可以通過修改其配置文件來設置各個功能選項,因此這裡把它們放在一塊介紹。命令行的優先順序比配置文件高,也就是說如果配置文件和命令行的設置不同,SAINT將以命令行為準。SAINT的配置文件config/saint.cf中的選項全部使用perl語言的語法定義,而且SAINT絕大部分功能是使用perl語言實現的,因此懂一些perl方面的東西可以有助於各好地發揮SAINT的強大威力。下面對其配置文件中的各個選項進行詳細介紹(括弧內是對應的命令行選項)
$saint_data(-d data diretory)
設置保存掃描結果數據的目錄。如果不是以/開頭,就表示是results的相對路徑。默認值是saint-data。
$attack_level(-a attack level)
這個選項設置SAINT的攻擊級別(attack level),或者說SAINT的探測強度。
# Default attack level (0=light, 1=normal, 2=heavy,
# 3=heavy+, 4=top10, 5=custom)
$attack_level = 0;
在這些級別中,強度越低速度越快,也越難以被目標發現,但是收集的信息優先;反之,攻擊強度越高,收集的信息也越詳盡,但是副作用也越明顯。注意:如果設置的攻擊強度大於3(heavy+),SAINT會發起拒絕服務攻擊,因此可能造成目標主機宕機。
這些攻擊級別中有一個top10(4)攻擊級別,如果選擇這個攻擊級別,SAINT將選擇一些特定的系統缺陷進行探測,這些缺陷是SANS研究中新篩選的十大最危險的安全威脅列表。而custom攻擊級別允許高級用戶建立自己的攻擊級別,下面我們再詳細介紹。
$extreme(-x或-X))
這是影響SAINT攻擊特徵的另一個變數,它控制SAINT是否進行危險檢查。如果這個變數被設置為1,SAINT就會進行一些攻擊程序,例如:針對某些缺陷的緩衝區溢出攻擊程序。這種檢查有助於減少SAINT的誤報警。但是要注意:一定要謹慎使用這個功能,因為它已經超出了掃描的範疇,可能會對目標主機造成一些影響,例如:宕機。SAINT進行的危險檢查包括:
IIS 5緩衝區溢出攻擊
iPlanet Web Publisher緩衝區溢出
iPlanet HTTP方法緩衝區溢出
可以看出,這個選項至少目前功能還比較有限,而且把所有的用來測試的數據都寫在了bin/http.saint文件之內,有點和SAINT所追求的擴展性相違背。不知道SAINT4.X版本是否有所改進,不過SAINT4.x是要花錢的。
每個攻擊級別對應的探測方法
前面我們幾少了攻擊級別,每種攻擊級別都有自己使用的探測方法,例如:
# Probes by attack level.
#
# ? Means conditional, controlled by rules.todo.
# * Matches anything.
@heavy= (
@light,
'finger.saint',
'rusers.saint?',
'boot.saint?',
'yp-chk.saint?',
$heavy_tcp_scan = 'tcpscan.saint 16660,27665,
65000,1-1525,1527-9999',
$heavy_udp_scan = 'udpscan.saint 27444,31335,
1-1760,1763-2050,32767-33500',
'*?',
);
@heavy用來定義攻擊級別;其中的@light表示在heavy攻擊級別中,首先要進行light級別的探測;?表示條件選項,由rules/todo決定;<*?>表示其它沒有在這個列表中列出的探測方法由rules/todo決定是否執行。
Custom攻擊級別(-C custom_level)
攻擊級別5對應Custom攻擊級別,這個攻擊級別允許用戶定義自己的掃描方式。你可以使用上面的語法直接在config/saint.cf文件中直接定義自己的探測列表,也可以使用圖形界面來定義,點擊SAINT控制面板Configuration Management功能的Set up custom scan按鈕,就可以進入。@custom_level包括一個定製攻擊級別的列表。例如:
$attack_level = 5;
# 定製自己的攻擊級別http
@http = (
'tcpscan.saint 80',
'http.saint?'
);
# 把用戶定義的所有掃描加入到custom_levels列表
@custom_levels = ("custom", "http");
# 從以上的列表中選擇使用的掃描方式
#
$custom_level = "http";
$password_guesses(-g 次數)
SAINT能夠使用UNIX系統中的finger和rusers服務和Windows中的netbios請求找出登錄帳戶,然後對其密碼進行猜測。$password_guesses變數可以限制對每個帳戶密碼的猜測次數(0-5)。默認值是2。如果這個值為0就表示取消帳戶密碼猜測;等於1表示只檢測帳戶密碼是否為空。
1.帳戶密碼是否為空
2.密碼是否和帳戶名相同(雖然看起來比較可笑,但是這種情況確實廣泛存在)
3.密碼是否password
4.密碼是否是登錄名的反寫
5.密碼是否是登錄名加數字1
注意在某些系統中,如果帳兩次登錄失敗,就會被鎖住,這種猜測方式雖然簡單,但是對於系統的管理卻非常有用。
目標文件(-F target_file)
默認情況下,SAINT需要你在命令行或者圖形管理界面中指定掃描目標。除了這種方式,你還可以從一個文件中成匹錄入掃描目標。這個功能涉及兩個變數:$use_target_file、$target_file。例如:
# 是否希望從某個文件中讀取掃描目標
# 0=no; 1=yes
$use_target_file = 1;
# 指定保存目標列表的文件名
# 只有$use_target_file = 1才可用
$target_file = "target_file";
超時選項
某些網路探測可能會造成進程掛起,或者向目標主機發起連接已經很長時間。為了避免這種情況延誤整個掃描過程,SANIT引入了一些超時變數。
# timeout values
$long_timeout = 60;
$med_timeout = 20;
$short_timeout = 10;
$timeout=1
一般情況下所有探測過程的超時時間都由全局超時變數$timeout決定。某些掃描過程可能需要很長的時間,因此有自己的局部超時變數,例如:
$nfs_chk_timeout = $long_timeout;
$snmp_timeout = 120;
超時信號(-t timeout level)
當某個探測過程超時,SAINT就會發出一個信號終止這個進程。默認的終止信號是9,你可以使用man kill來獲取信號的詳細信息。
$timeout_kill = 9;
$maximum_threads
為了加快掃描過程,SAINT可以同時啟動多個探測進程。這個變數的值需要根據自己系統的情況設定,太小會使掃描過程比較漫長;如果太大可能造成SAINT消耗大量的系統資源,效果可能適得其反。
# 顯然,1表示禁止多探測任務
$maximum_threads = 5;
$status_file(-S status file)
在探測過程中,SAINT需要跟蹤運行的每個探測進程的狀態,並把探測過程的名字保存在一個文件中。這個文件的由$status_file變數設置:
$status_file = "status_file";
臨近度變數(-z|-Z)
這些變數($max_proximity_level、$proximity_descent、$sub_zero_proximity、$attack_proximate_subnets)是SAINT中要求最為苛刻的一組變數。除非你知道你正在幹什麼,否則不要使它大於3。如果它大於3,會對你有不利影響。
臨近度指的是當前目標和原始探測目標的接近程度。例如:你探測一個叫作victim.com的站點。在探測過程中,SAINT發現了為這個站點提供域名服務nic.ddn.mil,那麼nic.ddn.mil和victim.com的臨近程度就是1;如果掃描nic.ddn.mil時,發現nic.ddn.mil通過NFS向some.host.gov和another.host.gov導出了文件系統,那麼some.host.gov和another.host.gov和victim.com的臨近度就是2。
隨著$max_proximity_level(-l)增加,SAINT掃描的目標數量會以冪指數的數量增長。接著,你就有麻煩了,這些網路的系統管理員如果發起反擊,你就慘了:)。在默認狀況下,$max_proximity_level的值是0,表示只掃描原始目標。
$max_proximity_level = 0;
對於比較大的$max_proximity_level,有一個變數$proximity_descent(-A)可以幫助你減小你的麻煩。使用這個變數,可以讓SAINT逐步減小對遠離原始目標主機的掃描強度。
$proximity_descent = 1;
還有一個變數$sub_zero_proximity,可以在攻擊強度小於0時,是否停止SAINT對這個目標的掃描(0表示停止,1表示繼續)。$sub_zero_proximity的默認值是0。
$sub_zero_proximity = 0;
在臨近度變數中,還有一個變數$attack_proximate_subnets用來配置SAINT是否對目標所在的子網進行掃描(0或者1)。注意,一定要謹慎使用。默認情況下,這個變數的值為0,就是只掃描目標主機。
$attack_proximate_subnets = 0
信任(-U)和非信任(-u)
在默認狀態下,SAINT假定自己運行在目標主機的非信任主機上,也就是說目標主機的rhosts、hosts.equiv NFS輸出等文件中沒有發起掃描的主機。你可以根據實際情況修改$untrusted_host變數或者使用命令行改變這個設置。
# Does SAINT run on an untrusted host?
# (0=no; 1=yes, this host does not appear
# export files of hosts that are being
# probed)
#
$untrusted_host = 1;
目標子網掩碼(-n netmasks)
SAINT在進行smurf攻擊測試時,需要知道目標的子網掩碼和廣播地址。一般,C類子網比較普遍,因此默認值是255.255.255.0,255.255.255.128,255.255.255.192。你可以根據實際情況改變其設置。
目標排除
在進行掃描時,攻擊某些目標的風險是比較大的,在SAINT中,可以通過設置$only_attack_these和$dont_attack_these來指定只對某些目標進行掃描和避開對某些目標。下面是SAINT的默認設置:
$only_attack_these = "podunk.edu, 192.9.9";
$dont_attack_these = "gov, mil";
$dont_use_nslookup
對於某些探測的輸出,例如:finger,SAINT需要使用DNS查詢。這個變數控制SAINT是否對主機名進行DNS查詢。
# Set to one if nslookup does not work.
# (0 = use nslookup, 1 = don't use nslookup)
$dont_use_nslookup = 0;
ICMP變數
在開始探測之前,SAINT會試圖使用ping檢測目標是否正在運行。$dont_use_ping(0或者1)控制SAINT在探測之前是否進行ICMP檢測。默認情況下,$dont_use_ping=0,也即使使用ping。但是,現在大多數的站點都處於防火牆之後,防火牆一般會把ICMP包過濾掉,這時需要把$dont_use_ping設置為1,採取其它方式進行檢測。
如果$dont_use_ping等於1(或者$firewall_flag = 1),SAINT會採取其它的方式檢測目標是否運行。這種方式就是掃描目標的一些TCP埠,看這些埠是否有回應。掃描的埠由 $std_ports變數指定,例如:
$std_ports = "25,53,80,139,143";
防火牆變數
現在,SAINT掃描的目標一般在防火牆之後,因此需要改變SAINT的某些掃描方式,上面所說的只是一例。如果目標在防火牆之後,首先需要改變$firewall_flag變數的值(默認是0,即沒有防火牆):
$firewall_flag = 1;
然後,還需要設置三個防火牆相關的變數。1).$fw_timeout:設置連接超時時間,一旦在這段時間內沒有響應,就認為連接被防火牆阻塞;2).$fw_loadlimit:設置連接請求的數量,防止SAINT由於等待大量的連接響應而造成系統過載;3).$fw_tcp_scan:設置整個TCP掃描的時間。例如:
$fw_timeout = 5;
$fw_loadlimit = 20;
$fw_tcp_scan = 1000;
結論
SAINT是一個比較不錯的綜合性系統脆弱性評估工具,功能也比較強大、全面。然而,它畢竟脫胎於傳統的掃描工具SATAN,因此除了繼承了SATAN的良好擴展能力,也繼承了SATAN的一些缺陷,例如:其埠掃描模塊仍然只採用一些傳統的埠掃描方式,根本沒有使用一些隱秘埠掃描技術,性能和NMAP等專門的埠掃描工具根本無法相比。但是,SAINT仍然不失為一個很好的安全工具。
