Archivio » 2003 » giugno » lunedì 23 »

Uno scanner gratuito per verificare la sicurezza del vostro computer

Scritto da Guido Sintoni

LANGuard Network Security Scanner è un potente tool che permette di rilevare le vulnerabilità di un singolo sistema o di un intera rete locale.

GFI è un’azienda europea (la sede principale è a Malta) che produce alcuni apprezzati software per la sicurezza informatica e la messaggistica, tutti rivolti alla piattaforma Windows NT/2000/XP. La sua offerta comprende, tra l’altro, LANGuard Network Security Scanner (Lnss) 3.1: si tratta di un potente scanner che può analizzare in automatico i sistemi collegati a una rete locale alla ricerca di eventuali falle di sicurezza, producendo aal termine un rapporto dettagliato sulle vulnerabilità rilevate e le azioni suggerite per eliminarle.

Pur essendo un pacchetto nato principalmente per l’utilizzo in ambito aziendale, può essere molto interessante anche per l’utente privato che voglia verificare la sicurezza del proprio Pc o della rete domestica.

		LANguard Network Security Scanner (Lnss) 3.1 è un potente scanner di sicurezza, gratuito per uso non commerciale. L’interfaccia utente è prevalentemente testuale e prevede un riquadro di sinistra con menu gerarchici e un monitor per le azioni nel riquadro di destra.

La buona notizia, sotto questo aspetto, è che LANGuard Network Security Scanner è gratuito per uso non commerciale. Il pacchetto può essere scaricato dal sito di GFI, all’indirizzo www.gfi.com; in alternativa, potete trovarlo anche sul Cd-Rom allegato al numero di marzo (144) della rivista (completo di manuale d’uso in formato Pdf) all’interno della sezione Nella Rivista/Sicurezza. L’installazione del prodotto è estremamente veloce; segnaliamo, tuttavia, che alcuni sistemi antivirus (tra i quali il Norton, rilevano uno script Visual Basic per l’aggiornamento delle chiavi di registro come potenzialmente dannoso: ovviamente, bisogna autorizzarne l’esecuzione, pena il mancato funzionamento del programma.

Una volta all’opera, Lnss si comporta come un normale scanner di rete, che consigliamo di utilizzare per le sole scansioni interne o per quelle su Internet se espressamente autorizzate: il port scanning, infatti, è spesso interpretato come azione preliminare ad un attacco, e non è gradito a molti amministratori di sistema.

		La versione gratuita di Lnss genera la reportistica unicamente in formato Html. Il programma produce una pagina Web, ottimizzata per la stampa, di eccellente qualità.

La logica di funzionamento del programma è semplice: per prima cosa, lo scanner si occupa di esaminare i possibili punti di entrata dall’esterno sulla macchina analizzata (locale o remota). Lnss rileva i servizi presenti e le porte Tcp e Udp abilitate al traffico; le eventuali debolezze nei protocolli Snmp (Simple Network Management Protocol, che regola la gestione ed il monitoraggio della rete e di periferiche di rete) e Cgi; la presenza di applicazioni e di utenti di backdoor; le condivisioni di rete non protette; le eventuali password di rete deboli; infine gli utenti e i servizi abilitati. I metodi di scansione previsti riguardano la raccolta di informazioni, l’identificazione del sistema operativo e la ricerca di vulnerabilità note nel software installato.

La reportistica verte su una lista di alert relativi alle debolezze riscontrate, arrivando a segnalare le hot fix e i Service Pack mancanti su macchine Windows NT/2000/XP. È possibile salvare i risultati di una scansione in vari formati (Html, Xsl e Xml), a seconda però del tipo di licenza adottata, come sotto spiegato. Le funzioni supplementari previste sono molteplici; per l’utente domestico, segnaliamo per utilità l’analisi di vulnerabilità Netbios su macchine Windows 9x/Me, l’auditing Snmp, lo spegnimento remoto della macchina, le utilità di traceroute e di controllo del Dns ed il client Whois.

		Il nodo denominato Alerts visualizza vari messaggi su possibili security bug trascurati. In questo caso, è stata rilevata la mancanza di una patch relativa ad un bollettino Microsoft, visualizzabile in un riquadro separato con la semplice pressione di un tasto del mouse.

Le differenze fra la versione commerciale (o registrata per 30 giorni, nel caso dell’utente finale che ne preveda un successivo uso personale) e quella non registrata riguardano funzioni più utili per l’amministrazione di un numero consistente di sistemi che per una Lan domestica o una singola postazione. Tra esse, segnaliamo l’esecuzione di scansioni programmate, l’aggiornamento dinamico degli alert di sicurezza, la possibilità di installare Service Pack e patch su macchine remote in maniera trasparente per l’utente locale, il confronto fra scansioni successive, per verificare la presenza di eventuali nuovi punti di accesso e l’esportazione di report in formati diversi da Html (Xml e Xsl).

Abbiamo messo alla prova le funzioni di Lnss su una piccola Lan da quattro postazioni, ognuna delle quali dotata di un sistema operativo Windows differente: da un client Windows Xp Professional (poi analizzato in loopback) abbiamo analizzato una macchina Windows 98 SE, una Windows 2000 Server ed una Windows 2000 Professional.

Abbiamo poi eseguito le scansioni dopo avere disabilitato i firewall software presenti su ogni macchina, che - altrimenti - avrebbero rilevato il port scan effettuato da Lnss e ne avrebbero limitato le funzionalità.

L’interfaccia utente di Lnss è senza dubbio apprezzabile; la sua logica di funzionamento ricorda da vicino quella di molti strumenti di amministrazione prevista per sistemi di tipo Nt, e aiuta a gestire una complessità spesso elevata nel caso di analisi approfondite.

Lnss è molto lontano da logiche user friendly che ispirano prodotti in sé complessi quali i personal firewall o i sistemi antivirus: richiede una buona conoscenza tanto del sistema operativo in sé (e delle sue logiche di funzionamento), quanto di elementi di networking, affidandosi a un front end scarno ma funzionale. La sua natura di strumento per amministratori di sistema si capisce subito dalla profondità di analisi consentita. Nel riquadro di sinistra, è presente un menu ad albero organizzato gerarchicamente, che visualizza come primo livello l’indirizzo Ip, il nome ed il sistema operativo della macchina analizzata. A cascata, troviamo i nomi NetBIOSed i servizi ad essi relativi, il nome utente, l’indirizzo Mac ed il dominio di appartenenza. Nel riquardo di destra, per contro, è visionato il tipo di azione intrapresa.

A seguire, vengono mostrati le condivisioni, i gruppi e gli utenti. Ogni oggetto è richiamabile sulla falsariga di un collegamento ipertestuale: è così possibile aprire al volo condivisioni o conoscere le credenziali degli utenti. I menu contestuali (attivabili con il tasto destro del mouse) relativi ad ogni oggetto permettono funzioni avanzate, tra cui la verifica della robustezza delle password adottate. Sono poi visualizzati i servizi in esecuzione, le sessioni, le periferiche di rete, i drive locali e le impostazioni dell’orologio di sistema.

Di grande rilievo sono le informazioni relative alla policy per le password e al registro di sistema (per l’hardware e le applicazioni eseguite al boot), alle patch installate e alla politica di audit sul singolo sistema o sui sistemi in rete: il loro livello di dettaglio è notevole, permettendo sia viste che possibilità di intervento molto approfondite.

Per quanto riguarda la rete, sono visualizzate le porte Tcp e Udp in uso e la loro descrizione; un doppio clic sul collegamento attiva direttamente il servizio ad esse collegato.

Gli alert, infine, sono relativi alle patch e Service Pack mancanti; alle voci di registro potenzialmente insicure e agli script Cgi vulnerabili. Ad ogni avviso corrispondono un collegamento a pagine Web di Microsoft Knowledge Base o bollettini di sicurezza emessi da enti qualificati (quali Bugtraq o il Cert).