레드햇 6.

시큐리티 스캐너
(Security Scanners)

번역 : 윤봉환 / el@linuxlab.co.kr

“스캐너는 원격호스트나 로컬호스트에서 보안 약점을 자동으로 검사하는 프로그램이다”.

스캐너 프로그램들은 네트워크에서 취약한 곳을 찾아내므로 인터넷 보안에 매우 중요하다. 특히 시스템 관리자는 자신이 관리하는 네트워크마다 이런 도구들로 보안 구멍을 스캐닝해서 보안을 강화시킬 수 있다. 스캐너의 주요 특징은 아래와 같다:

·장비나 네트워크를 찾는 기능.
·호스트에서 실행 중인 서비스를 찾아내는 기능(이전에 찾아 둔 머신에 대해)
·그 서비스들이 알려진 보안 구멍을 가지고 있는지 테스트하는 기능.

리눅스 시스템 스캐닝과 침입자 탐지를 위해서 개발된 도구들은 매우 많다. 이 글에서 나는 매우 유명한 도구 몇 가지를 설명할 것이다. 먼저, 나는 스캐너를 아래와 같이 분류한다:

1. 호스트 스캐너 Host Scanners
2. 네트워크 스캐너 Network Scanners
3. 침입 탐지 스캐너 Intrusion Scanners

Host scanners

호스트 스캐너는 여러분 자신의 네트워크가 가지고 있는 문제점을 찾아내는 소프트웨어이다.

Cops
COPS는 일반적으로 UNIX 시스템 관리자, 프로그래머, 운영자, 또는 컨설턴트 등 책임자가 게을리 하는 컴퓨터 보안영역 관리를 돕기 위해 설계된 보안도구들을 모아 놓은 것이다. COPS는 http://www.fish.com/cops에서 가져올 수 있다.

Tiger
Tiger는 UNIX 보안 점검 도구이다. Tiger는 Bourne 셸 스크립트, C 코드와 UNIX 시스템에서 보안 문제를 점검하는데 사용하는 데이터 파일로 구성된 패키지이다. 이 프로그램은 시스템 설정파일, 파일 시스템, 사용자 설정파일들을 살펴서 악용할 수 있는 보안 문제점을 찾아내고 보고 한다. http://www.giga.or.at/pub/ hacker/unix에서 구할 수 있다.

check.pl
Check.pl은 전체 파일시스템에서 (또는 여러분이 지정한 디렉토리만) suid, sgid. 스티키, 쓰기가 허용된 파일 등을 찾는 펄 스크립트이다. 퍼미션 문제를 점검하기 위해 한 주에 한 번 정도 일반적인 사용자 권한으로 이 프로그램을 실행하는 것이 좋다. check.pl은 수상쩍어 보이는 파일 목록을 여러분이 지정한 곳으로 표준출력(stdout)으로 내보낸다. http://opop.nols.com/ proggie.html에서 찾을 수 있다.

Network scanners

네트워크 스캐너는 한 호스트에서 실행해서 반대쪽의 다른 머신들을 멀리서 무차별 포격한다. 모든 포트를 스캔해서 열린 서비스들을 찾아낸다. 이 틈새를 이용해서 공격할 기회를 잡는다. 이런 도구들은 여러분의 방화벽이 제대로 동작하는지 확인할 때 매우 유용하다.
NSS (Network Security Scanner):
NSS는 각각의 원격 호스트나 호스트들이 속한 서브넷 전체를 대상으로 네트워크 보안 문제를 다양하게 스캔 한다. 이 프로그램은 정말 빠르다.

NSS 루틴은 아래와 같은 서비스들의 기능을 체크한다:

1: sendmail
2: Anon FTP
3: NFS Exports
4: TFTP
5: Hosts.equiv
6: Xhost

NSS는 http://www.giga.or.at/pub/hacker/UNIX 에서 구할 수 있다.

SATAN (Security Administrator’s Tool for Analyzing Networks):
SATAN은 자동으로 네트워크 취약점을 검색하고 보고 하며, 그 구조를 보완하기 위한 정보를 제공하는 도구이다. 사탄은 원격 호스트를 스캔해서 잘 알려진 보안 구멍을 찾아낸다:

1: FTPD 취약점, FTP 디렉토리 쓰기 보호
2: NFS 취약점
3: NIS 취약점
4: RSH 취약점
5: sendmail
6: X 서버 취약점들.

사탄은 이런 구멍들을 자동으로 검색해서 그 정보를 알려주는 아주 쉬운 도구이다. http://www.fish.com/satan/ 에서 SATAN을 가져올 수 있다.

Strobe:
Strobe는 Super optimis(z?)ed TCP port surveyor이다. Strobe는 사용하기 쉽고 매우 빠르지만 새로운 스캐너들이 가지고 있는 부가기능은 없다. Strobe는 ftp://suburbia.net/pub/ 에 있다.

Nmap:
Nmap은 호스트 스캐닝을 위한 모든 기능을 갖춘 최신 도구이다. 특히 nmap은 다음 기능들을 지원한다:

일반적인 TCP connect() 스캔
TCP SYN (반만 열린) 스캔
TCP FIN, Xmas, 또는 NULL (stealth) 스캔
TCP ftp proxy (bounce attack) 스캔
IP 조각들을 이용한 SYN/FIN 스캔 (패킷 필터링에 걸리지 않도록 작게 나누어)
TCP ACK, 윈도우 스캔
UDP raw ICMP 포트 도달불능 메시지를 이용한 스캔
ICMP 스캔 (ping-sweep), TCP Ping은 직접 스캔한다(portmapper를 이용하지 않고). scanning Direct (non portmapper) RPC는 TCP/IP 지문을 이용하여 원격 OS의 신원을 스캔한다. 그리고 역-ident를 이용한 유저 스캔.

Nmap은 http://www.insecure.org/nmap/index.html 에서 찾을 수 있다.

Network Superscanner:
http://members.tripod.de/linux_progz/

Portscanner:
Portscanner는 TCP 포트의 반응을 기다려 “스캔”하는 네트워크 유틸리티이다. Portscanner의 오픈소스와 공개 버전은 http://www.ameth.org/~veilleux/portscan.html 에서 가져올 수 있다.

Queso:
Queso(께소?)는 원격 호스트에서 사용하는 OS가 무엇인지 검출하는 매우 정밀한 도구이다. Queso는 원격 호스트를 탐색하기 위해 원격 머신의 다양한 응답을 알려진 응답리스트에 따라 검사하며, 검출된 tcp 패킷의 유용/불용성의 다양함을 이용해서 네트워크 저 끝에 어떤 OS가 일하고 있는지 여러분에게 알려준다.(이 정보를 fingerprinting이라고 한다) http://www.apostols.org/projectz/queso/ 에서 구할 수 있다.

Intrusion Scanners

침입 탐지 스캐너는 취약점을 실제로 확인하고 어떤 경우에는 적극적으로 침입자를 공격하도록 지원하는 소프트웨어 패키지이다

Nessus:
Nessus는 매우 빠르고, 미더우며 needs.Nessus에 따라 여러분에게 최적화할 수 있도록 모듈방식의 구조를 가지고 있는 최상의 침입 스캔 도구이다. 클라이언트/서버 구조로 서버는 Linux, FreeBSD, NetBSD, Solaris 등 유닉스 계열 운영체제에서 돌아가며, Java 클라이언트가 있는 Linux, Windows 머신이 클라이언트로 동작한다. Nessus는 IP 주소나 호스트 이름을 기반으로 포트를 스캔하고 공격하는 것을 지원한다. 또 DNS 정보를 통해 네트워크를 검색하고 여러분이 지정한 대로 관련된 호스트들을 공격한다. Nessus는 http://www.nessus.org/ 에서 구한다.

Saint:
SAINT는 보안 관리자를 위한 통합 네트워크 도구(Security Administrator’s Integrated Network Tool)이다. Saint는 클라이언트/서버 구조에서 사용하지만 클라이언트 프로그램 대신 www 인터페이스를 사용한다. 가장 단순한 모드에서 finger, NFS, NIS, ftp, tftp, rexd, statd, 그리고 그 밖의 서비스 등 가능한 경로를 이용해 원격 호스트와 네트워크에 대한 정보를 긁어온다. Saint는 대상 네트워크/호스트의 보안 등급과 함께, 매우 알아보기 쉬운 형태로 결과를 알려준다. add-in 스캐닝 모듈은 프로그램을 매우 유연하게 만들어 준다. Saint는 http://www.wwdsi.com/saint/ 에서 구한다.

Cheops:
Cheops는 호스트 OS와 많은 수의 호스트들 사이에서 그 관계를 매우 빠르게 검출한다. Cheops는 스테로이드 위에 “네트워크 이웃”이다. 이 프로그램은 어떤 호스트가 네트워크에서 돌아가는지 도메인이나 IP 블록의 지도를 만든다. 여러분에게 흥미 있는 아이템의(HP 프린터, Ascend 라우터 등) 위치를 재빨리 알아내어 스캔을 시작하는 데 매우 유용한 정보를 제공한다. Cheops는 http://www.marko.net/cheops/ 에 있다.

Ftpcheck / Relaycheck:
Ftpcheck와 Relaycheck는 ftp 서버와 메일 서버가 릴레이를 허용하는지 스캔하는 간단한 도구이다. 이 프로그램들은 http://david.weekly.org/code/ 에서 가져올 수 있다.

BASS:
BASS(Bulk Auditing Security Scanner)는 인터넷에서 갖가지 잘 알려진 취약점들을 스캔한다. http://www.securityfocus.com/data/tools/network/bass-1.0.7.tar.gz

Firewall scanners

방화벽을 스캔하고 설정정보를 알아낼 목적으로 네트워크를 테스트하고 침투하는 프로그램들이다.

Firewalk:
Firewalk는 traceroute를 이용한 네트워크 스캔 도구이다 - IP 패킷 응답을 분석해서 게이트웨이 ACL(Access Control List) 필터를 점검하고, 그 정보로 네트워크 맴을 그려내는 기술이다. Firewalk Firewalking은 방화벽으로 둘러싸인 네트워크에 대한 정보를 수집하며 traceroute와 같은 IP 패킷 분석을 이용하여, 특정 패킷이 패킷 필터링 장치를 통과하여 공격자의 호스트에서 타겟 호스트로 전송될 수 있는가를 검사한다. 이러한 기술을 이용하여 게이트웨이의 열린 포트를 알아낼 수도 있으며, 또한 패킷 필터링 장치로 보호되는 내부의 라우터를 알아낼 수도 있다. 시스템 관리자는 자신의 네트워크 보안을 강화하는데 사용할 것이다. http://www.packetfactory.net/Projects/Firewalk/에 있다.

마치며

“Security is not a solution, it’s a way of life”.

시스템 관리자는 자신의 시스템을 계속 스캔해서 보안 구멍을 찾아내고 피해를 입기 전에 막아야 한다. 이렇게 한다면 보안 틈새가 생길 기회가 줄어 결국 시스템 보안이 더욱 강화될 것이다. 여러분이 아무리 애써도 보안 취약점은 계속해서 나타나고 보안 구멍을 고치는 일은 영원히 끝나지 않겠지만, 적어도 “예방이 치료보다 낫다.”

▲ top