Barrapunto

De los raw sockets se ha estado hablando desde hace tiempo, y me parece muy bien que hagan algo al respecto de una vez. Pero antes de comentar nada hay que ponerse en antecedentes:

- Los RAW sockets sirven para generar paquetes aleatorios no-estándar, utilizados en gran medida para hacer saltar otros sistemas programados sin unos mínimos criterios de seguridad.
- Un USUARIO normal no tiene ningún uso para los RAW sockets salvo la ejecución de scripts de ataque o que se le ejecuten virus, troyanos y demás alimaña. Los usuarios usan (o deberían usar) Windows XP Home o Windows XP protegido por políticas de administración.
- Un ADMINISTRADOR tiene utilidad para los RAW sockets en tanto que pueda experimentar con nuevos protocolos (ej: desarrolladores) o generar paquetes no-válidos para comprobar la seguridad de sus sistemas. Los administradores usan (o deberían usar) Windows XP Professional.

De ahí se entiende bastante claramente que los RAW sockets deberían aparecer sólo en Windows XP Professional y sólo deberían ser accesibles por el administrador o por quien este designe, y dado que en Windows XP Home no existen administradores sino sólo usuarios, este no debería ni siquiera tener soporte para ellos.

...¿que ahora nos enteramos de que el XP "Home" en realidad significa "capado por la cara"? Pues me parece muy bien. El que quiera funcionalidad que use un SO "Pro"; Linux por ejemplo ;)

...que deshabiliten esa capacidad en un sistema operativo de escritorio. Tampoco es que el tal David diga literalmente "nmap es una herramienta de ataque", ni que su opinión represente la opinión de la empresa. En definitiva, "a quien le importa".

http://www.microsoft.com/technet/security/news/raw _sockets.mspx

http://www.microsoft.com/technet/prodtechnol/winxp pro/maintain/sp2netwk.mspx

Por lo menos no comentar rumores. Vereis la contradicción que hay entre el primer link y el segundo...

El que Nmap no pueda (de momento [1] [barrapunto.com]) funcionar correctamente puede ser problemático si se usan herramientas tipo Nessus para comprobar y auditar la seguridad de una red.

Nessus usa internamente nmap y no sé si además de para escanear puertos usa los resultados de nmap para probar las vulnerabilidades de los puertos listados. Si esto es así Nessus dejaría de ser úsable en sistemas XP parcheados.

Bueno, siempre se puede usar una máquina no-windows o una máquina win sin el SP2, eso en redes heterogéneas no es problema, pero si en una red homogénea o en la que no se puedan usar servidores no-XP [2] [barrapunto.com]

Tampoco es que sea un problema gravísimo (depende de la dependencia de Nessus que tenga la administración en cuestión), pero si una contrariedad.

Otro tipo de servicios que se podrían ver afectados serían los sitios que ofrecen scans on-line, siempre y cuando usen WinXP, claro.

No me canso de recomendar Nessus, no sólo es útil, sinó que también es divertido y crea unos informes preciosos con sus gráficos de torta y todo: 2.0 [nessus.org]
De momento sólo Linux y Win32


[1] Según Fyodor Win95 tampoco soporta los Raw Sockets y existe versión de Nmap.(newsletter, sorry, no tengo URI)

[2] Hablo de servidores Nessus, no de que la máquina en sí sea un servidor.
 

Si se utiliza NMap como herrmienta de seguridad y no para causar ataques se utilizara sobre servidores propios, y en consecuencia no hay necesidad de crear paquetes maliciosos o con la ip falseada, luego no hay necesidad de raw sockets.

Intentemos ser un poco objetivos y miremos lo que pone en el enlace de la noticia

I've heard strong rumours that the upcoming Win-XP SP2 will disable the use of SOCK_RAW sockets for any user (admin included).

Ahora mirando el primer comentario a este rumor (que lo dice el mismo, no yo) tenemos.

I am beta testing XP SP2 and I think nmap is working okay for me thus far (although I have had horrendous problems with programs that use packet.

Veamos que dice el Gran Hermano.

Service Pack [microsoft.com]

What new functionality is added to this feature in Windows XP Service Pack 2?

Restricted traffic over raw sockets

Detailed description

A very small number of Windows applications make use of raw IP sockets, which provide an industry-standard way for applications to create TCP/IP packets with fewer integrity and security checks by the TCP/IP stack. The Windows implementation of TCP/IP still supports receiving traffic on raw IP sockets. However, the ability to send traffic over raw sockets has been restricted in two ways:

TCP data cannot be sent over raw sockets.?

UDP datagrams with invalid source addresses cannot be sent over raw sockets. The IP source address for any outgoing UDP datagram must exist on a network interface or the datagram is dropped.

Desde mi punto de vista nada que objetar, tal vez se me olvide algo?

Si, justo la siguiente línea de nuevas características del SP2 dice esto, que es el meollo real del asunto, citando la propia fuente de Microsoft:

Limited number of simultaneous incomplete outbound TCP connection attempts

Detailed description

The TCP/IP stack now limits the number of simultaneous incomplete outbound TCP connection attempts. After the limit has been reached, subsequent connection attempts are put in a queue and will be resolved at a fixed rate. Under normal operation, when applications are connecting to available hosts at valid IP addresses, no connection rate-limiting will occur. When it does occur, a new event, with ID 4226, appears in the system?s event log.

...

What works differently?

This change may cause certain security tools, such as port scanners, to run more slowly. ¿Como pueden estos de Microsfot caer mal a nadie?, si son unos cachondos.

Almenos avisan y dan una solución...(este es el chiste del final :-) )

How do I resolve these issues?

Stop the application that is responsible for the failing connection attempts.

Y mi pregunta antes de instalar el SP2 es.

a) Realmente falla el Nmap.

b) Alguien se olvidó leer un punto en las características de MS.

PD: Nada de cachondeo en la pregunta final, es que realment no lo se.

Mientras algunos se dedican a poner puertas al campo (mas bien ventanas), otros afortunadamente se dedican a derribarlas.
Esto no hace sino favorecer la propagación de otros sistemas operativos de código abierto.
Who wants to use Windows (or even Gates) when you can simply access knocking the door.

Microsoft, por una vez, ha hecho lo correcto, para un usuario normal, tener habilitados los Raw Sockets no suponen ninguna ventaja y si un riesgo de seguridad...el que quiera puede habilitarlo sin mayores problemas, otra cosa es que no se sepa como...Hace la tira que se puede deshabilitar esta caracteristica en Windows XP.

¿que tienen que ver que deshabilitar los Raw Sockets bloqueen el NMap con que Microsoft lo recomiende como herramienta de seguridad? Osea que como microsoft recomienda un scanner? Lo que se trata de evitar es que si alguien accede a tu maquina o se instala algun tipo de malware, no se puedan realizar escaneos contra otras maquinas desde tu equipo...si tu necesitas escanear con Nmap o con lo que sea, los habilitas y listo, tampoco hay que echarse a llorar...

Leeros esto y a lo mejor os enterais un poco de que va la fiesta antes de despotricar contra M$, para una cosa que hacen bien.

http://www.grc.com/dos/sockettome.htm

Un saludo para todos.

Los raw sockets nunca deberían haber estado habilitados en Windows XP Home, eso es algo que Microsoft debería haber hecho el primer día. Eso y activar el firewall por defecto. Después de cientos de ataques DDoS de miles de Win XP zombies han acabado por corregir su error

Estoy seguro de que ambas opciones se podrán configurar en Windows XP Pro por alguién que sepa lo que está haciendo y nmap funcionará sin problemas.

No empecemos a decir chorradas de que si Linux es lo mejor y más seguro del mundo. No he visto ninguna distribución orientada a escritorio ni ninguna distro live en la que el firewall esté en modo stealth

--
Un usuario de Linux obligado a configurar iptables en modo stealth [netfilter.org]

Segun The Inquirer http://theinquirer.net/?article=17794 . El nuevo y flamante Service Pack 2, reduce la velocidad de firewire 800 a 100 MBit /s ,con lo cual segun apunta " Puedes ver los bits pasar por el cable XD ).

# apt-get install PEACE
Reading Package Lists... Done
Building Dependency Tree... Done
The following packages will be REMOVED:
Aznar Bush Blair....

Vale, bien ...

Aclaracion ...

1) Los escaneos de puertos CONTRA sistemas XP seguiran funcionando. Que se deshabiliten los RAW Sockets en el sistema destino no impide que este pueda ser escaneado, pues LOS RAW SOCKETS SON UN MEDIO PARA CREAR PAQUETES no para responderlos.

2) Los escaneos enviados desde un XP seran los que no funcionen, pero, realmente, alguien de por aqui usa el nmap para Windows ?

3) El uso de RAW sockets no es exclusivo de los chicos malos. Es mas, normalmente, cualquier programador que quiera abstraerse totalmente de la putamierda API de Win32 para temas de networking usara RAW Sockets, ergo... mas de una aplicacion BIEN hecha dejara de funcionar.

4) Si programas en VB esta restriccion te la pela, substituyase VB por cualquier otro lenguaje en el cual arrastras ventanas y controles.

5) Si usas XP, realmente te mereces lo que te pase , el Service Pack 3 de XP incorporara un filtrador de contenido para que cuando por la red aparezcan palabras como "Fuck microsoft" etc, cierre la conexion, o lo subsituya por "God saves Gates!".

6) Voy a ponerme un cafe que estoy espeso de cojones

<JOKE> A partir de ahora y hasta proximo aviso el programa NMAP de insecure.org [insecure.org] ha decidido que no funcionará en Windows XP SP2 hasta que Microsoft no solucione la cagada que ha hecho.

Fuentes cercanas a nadie dicen que insecure.org ha pensado que mejor, a partir de ahora solo los usuarios de maquinas con *NIX podran tener sus sistemas seguros y que le den a M$. (almenos como castigo durante algunos dias)

</JOKE>

Si Bien es cierto(y con todos los perdones de todos "una putada") la desactivacion de los Raw Sockets, los problemas no solo acaban ahi... segun leo en Noticiasdot y pasteo:
(ENLACE: http://www.noticiasdot.com/publicaciones/2004/0804 /1308/noticias130804/noticias130804-17.htm )

  "La actualización de Windows XP crea problemas a usuarios: Aplicaciones dejan de funcionar"

Si bien se lee mas adelante

"Un portavoz de Microsoft señalo que están trabajando con los desarrolladores de productos independientes para solucionar los problemas que se derivan de la instalación y el conflicto que pueda producirse con otras herramientas. Además, señalo que el producto estuvo en Tes. antes de su lanzamiento y que este mostró que era compatible con casi todas las aplicaciones existentes"

¿¿Obligaran estos "problemas Tecnicos" de los que tan habituados nos tiene Microsoft a reactivar los Raw Sockets??

Sea cual sea la respuesta, al menos parece haber una "solucion" (que es mas bien un parche, pero bueno..)que permite la desactivacion de la descarga del SP2 de Windows XP.

Segun se lee tambien en Noticiasdot:
(ENLACE: http://www.noticiasdot.com/publicaciones/2004/0804 /1308/noticias130804/noticias130804-18.htm )

BOP
______________________________________________
"La incompatibilidad de algunas herramientas de terceros con la actualización de Windows XP ha llevado a la multinacional a "facilitar" la desactivación de la descarga automática a los usuarios que lo deseen.

Una pequeña herramienta disponible en el sitio de Microsoft permite que los usuarios puedan seguir descargando los "updates" necesarios, mientras "aparcan" el SP para más adelante. "

EOP
--------------------------------------------------
Lastima que esto solo funcione durante 120 dias, tiempo que da microsoft para solucionar sus problemas del parche....

¿Sera este el paso final para migrar a Linux? ¿Existe alguna manera de "puentear" esta restriccion? El tiempo dira...