Vad är SAINT?

SAINT är ett verktyg man kan använda för att skanna nätverksenheter, för att hitta säkerhetsluckor. SAINT, eller “Security Administrator's Integrated Network Tool”, letar upp säkerhetsluckor och kan även föreslå lösningar för att rätta till dessa.

Installation

Demo-versioner av SAINT finns att ladda ner från SAINTS hemsida, www.saintcorporation.com.
Det finns även att installera direkt från exempelvis SUSE Linux 9.1, - Installationsskivor.

Innan du installerar SAINT, behöver du installera följande program:

• PERL 5.0.0.4 eller högre
• En grafisk webbläsare, för att kunna använda det grafiska gränssnittet.
• Nmap – För att lättare kunna upptäcka vissa säkerhetsluckor & vad målet är för typ.
• Samba – För att kolla efter tidsstämplar på microsoft filsystem.

Du kan även behöva installera dessa program:

• OpenSSL 0.9.5 eller högre, för att skanna SSL web servrar
• Xprobe2 – ett alternativ eller komplement till Nmap

Starta SAINT

När SAINT är installerat kan du starta det på följande sätt:

1. Se till att du är inloggad som root.
2. I ett kommandofönster skriver du: ./saint .Därefter öppnas ett html gränssnitt.

Inställningar & Skanning

• Välj Configuration om du vill ändra standardinställningarna för programmet.
• Välj Scan Setup för att välja måldatorer, typ av skanning, brandväggssupport m.m.

Skanna

• Under Target selection lägger man till IP-adresser som ska skannas.
  
• Under Scan level väljer man vilken nivå man ska skanna på.
  

Lätta skanningar är snabbare, och svårare att upptäcka, men ger inte lika mycket information som de tyngre skanningarna.

• Discovery Indentifierar värddatorer som är igång och loggar IP-adresserna.
• Light Samlar information Från DNS. Försöker identifiera operativsystem. försöker identifiera RPC (Remote Procedure Call) tjänster som värddatorn kör. Undersöker vilka filsystem som är utdelade via värddatorns nätverk. Man får reda på vilken huvudsakliga uppgift värddatorn har. (om det är en filserver, workstation, m.m).
• Normal Alla funktioner från “Light”. Undersöker om nätverstjänster som finger, remote login, ftp, WWW, Gopher, email finns på värddatorn.. Tar reda på vilket operativsystem som används och versionsnummer på mjukvara.
• Heavy Undersöker vilka tjänster som körs på TCP portar från 1 till 10000, och UDP portar från 1 till 2050. Därefter skannas respektive hittad tjänst/port efter kända svagheter, med undantag för portar som är kända för att orsaka en krasch på måldatorn. “vulnerability checks”.
• Heavy Plus Samma som “Heavy” men skannar även portar som kan krascha värddatorn.
• Top 20 Skannar efter de 20 största svagheterna enligt: http://www.sans.org/top20.htm
• Custom “Set up custom scan” från “Scan Setup”. Väl själv vad som ska skannas.

Brandväggar

No Firewall Support är standard. SAINT försöker skicka en ICMP begäran (ping) till varje värddator. Om inget svar fås, antas värden vara nere.

För att skanna värddatorer som befinner sig bakom brandväggar, där ICMP inte fungerar, ska man välja Firewall Support. SAINT använder då TCP istället för ICMPför att se om värddatorerna är igång.

Fungerar inte “Firewall Support” kan man prova att välja Extended Firewall Support. Då skannas varje ipadress, även om dessa inte ser ut att vara igång. Detta kan ta mycket längre tid och bör endast göras om värddatorn varken svarar på ping eller tcp begäran.

Starta skanningen

För att starta skanningen kan man välja Start scan.
Väljer man Scan Later kan man chemalägga skanningen till en viss tid.

Efter skanningen väljer du Data analysis för att se resulatet.

Mer information: data analysis.

Resultatet av skanningen skapar även ett par loggfiler i katalogen /var/lib/saint/saint-data
Filerna: all-hosts, cve, exclusions, facts & todo