Barrapunto

De los raw sockets se ha estado hablando desde hace tiempo, y me parece muy bien que hagan algo al respecto de una vez. Pero antes de comentar nada hay que ponerse en antecedentes:

- Los RAW sockets sirven para generar paquetes aleatorios no-estándar, utilizados en gran medida para hacer saltar otros sistemas programados sin unos mínimos criterios de seguridad.
- Un USUARIO normal no tiene ningún uso para los RAW sockets salvo la ejecución de scripts de ataque o que se le ejecuten virus, troyanos y demás alimaña. Los usuarios usan (o deberían usar) Windows XP Home o Windows XP protegido por políticas de administración.
- Un ADMINISTRADOR tiene utilidad para los RAW sockets en tanto que pueda experimentar con nuevos protocolos (ej: desarrolladores) o generar paquetes no-válidos para comprobar la seguridad de sus sistemas. Los administradores usan (o deberían usar) Windows XP Professional.

De ahí se entiende bastante claramente que los RAW sockets deberían aparecer sólo en Windows XP Professional y sólo deberían ser accesibles por el administrador o por quien este designe, y dado que en Windows XP Home no existen administradores sino sólo usuarios, este no debería ni siquiera tener soporte para ellos.

...¿que ahora nos enteramos de que el XP "Home" en realidad significa "capado por la cara"? Pues me parece muy bien. El que quiera funcionalidad que use un SO "Pro"; Linux por ejemplo ;)

...que deshabiliten esa capacidad en un sistema operativo de escritorio. Tampoco es que el tal David diga literalmente "nmap es una herramienta de ataque", ni que su opinión represente la opinión de la empresa. En definitiva, "a quien le importa".

http://www.microsoft.com/technet/security/news/raw _sockets.mspx

http://www.microsoft.com/technet/prodtechnol/winxp pro/maintain/sp2netwk.mspx

Por lo menos no comentar rumores. Vereis la contradicción que hay entre el primer link y el segundo...

El que Nmap no pueda (de momento [1] [barrapunto.com]) funcionar correctamente puede ser problemático si se usan herramientas tipo Nessus para comprobar y auditar la seguridad de una red.

Nessus usa internamente nmap y no sé si además de para escanear puertos usa los resultados de nmap para probar las vulnerabilidades de los puertos listados. Si esto es así Nessus dejaría de ser úsable en sistemas XP parcheados.

Bueno, siempre se puede usar una máquina no-windows o una máquina win sin el SP2, eso en redes heterogéneas no es problema, pero si en una red homogénea o en la que no se puedan usar servidores no-XP [2] [barrapunto.com]

Tampoco es que sea un problema gravísimo (depende de la dependencia de Nessus que tenga la administración en cuestión), pero si una contrariedad.

Otro tipo de servicios que se podrían ver afectados serían los sitios que ofrecen scans on-line, siempre y cuando usen WinXP, claro.

No me canso de recomendar Nessus, no sólo es útil, sinó que también es divertido y crea unos informes preciosos con sus gráficos de torta y todo: 2.0 [nessus.org]
De momento sólo Linux y Win32


[1] Según Fyodor Win95 tampoco soporta los Raw Sockets y existe versión de Nmap.(newsletter, sorry, no tengo URI)

[2] Hablo de servidores Nessus, no de que la máquina en sí sea un servidor.
 

Si se utiliza NMap como herrmienta de seguridad y no para causar ataques se utilizara sobre servidores propios, y en consecuencia no hay necesidad de crear paquetes maliciosos o con la ip falseada, luego no hay necesidad de raw sockets.

Intentemos ser un poco objetivos y miremos lo que pone en el enlace de la noticia

I've heard strong rumours that the upcoming Win-XP SP2 will disable the use of SOCK_RAW sockets for any user (admin included).

Ahora mirando el primer comentario a este rumor (que lo dice el mismo, no yo) tenemos.

I am beta testing XP SP2 and I think nmap is working okay for me thus far (although I have had horrendous problems with programs that use packet.

Veamos que dice el Gran Hermano.

Service Pack [microsoft.com]

What new functionality is added to this feature in Windows XP Service Pack 2?

Restricted traffic over raw sockets

Detailed description

A very small number of Windows applications make use of raw IP sockets, which provide an industry-standard way for applications to create TCP/IP packets with fewer integrity and security checks by the TCP/IP stack. The Windows implementation of TCP/IP still supports receiving traffic on raw IP sockets. However, the ability to send traffic over raw sockets has been restricted in two ways:

TCP data cannot be sent over raw sockets.?

UDP datagrams with invalid source addresses cannot be sent over raw sockets. The IP source address for any outgoing UDP datagram must exist on a network interface or the datagram is dropped.

Desde mi punto de vista nada que objetar, tal vez se me olvide algo?

Si, justo la siguiente línea de nuevas características del SP2 dice esto, que es el meollo real del asunto, citando la propia fuente de Microsoft:

Limited number of simultaneous incomplete outbound TCP connection attempts

Detailed description

The TCP/IP stack now limits the number of simultaneous incomplete outbound TCP connection attempts. After the limit has been reached, subsequent connection attempts are put in a queue and will be resolved at a fixed rate. Under normal operation, when applications are connecting to available hosts at valid IP addresses, no connection rate-limiting will occur. When it does occur, a new event, with ID 4226, appears in the system?s event log.

...

What works differently?

This change may cause certain security tools, such as port scanners, to run more slowly. ¿Como pueden estos de Microsfot caer mal a nadie?, si son unos cachondos.

Almenos avisan y dan una solución...(este es el chiste del final :-) )

How do I resolve these issues?

Stop the application that is responsible for the failing connection attempts.

Y mi pregunta antes de instalar el SP2 es.

a) Realmente falla el Nmap.

b) Alguien se olvidó leer un punto en las características de MS.

PD: Nada de cachondeo en la pregunta final, es que realment no lo se.

Mientras algunos se dedican a poner puertas al campo (mas bien ventanas), otros afortunadamente se dedican a derribarlas.
Esto no hace sino favorecer la propagación de otros sistemas operativos de código abierto.
Who wants to use Windows (or even Gates) when you can simply access knocking the door.

Microsoft, por una vez, ha hecho lo correcto, para un usuario normal, tener habilitados los Raw Sockets no suponen ninguna ventaja y si un riesgo de seguridad...el que quiera puede habilitarlo sin mayores problemas, otra cosa es que no se sepa como...Hace la tira que se puede deshabilitar esta caracteristica en Windows XP.

¿que tienen que ver que deshabilitar los Raw Sockets bloqueen el NMap con que Microsoft lo recomiende como herramienta de seguridad? Osea que como microsoft recomienda un scanner? Lo que se trata de evitar es que si alguien accede a tu maquina o se instala algun tipo de malware, no se puedan realizar escaneos contra otras maquinas desde tu equipo...si tu necesitas escanear con Nmap o con lo que sea, los habilitas y listo, tampoco hay que echarse a llorar...

Leeros esto y a lo mejor os enterais un poco de que va la fiesta antes de despotricar contra M$, para una cosa que hacen bien.

http://www.grc.com/dos/sockettome.htm

Un saludo para todos.

Segun The Inquirer http://theinquirer.net/?article=17794 . El nuevo y flamante Service Pack 2, reduce la velocidad de firewire 800 a 100 MBit /s ,con lo cual segun apunta " Puedes ver los bits pasar por el cable XD ).

# apt-get install PEACE
Reading Package Lists... Done
Building Dependency Tree... Done
The following packages will be REMOVED:
Aznar Bush Blair....

Si Bien es cierto(y con todos los perdones de todos "una putada") la desactivacion de los Raw Sockets, los problemas no solo acaban ahi... segun leo en Noticiasdot y pasteo:
(ENLACE: http://www.noticiasdot.com/publicaciones/2004/0804 /1308/noticias130804/noticias130804-17.htm )

  "La actualización de Windows XP crea problemas a usuarios: Aplicaciones dejan de funcionar"

Si bien se lee mas adelante

"Un portavoz de Microsoft señalo que están trabajando con los desarrolladores de productos independientes para solucionar los problemas que se derivan de la instalación y el conflicto que pueda producirse con otras herramientas. Además, señalo que el producto estuvo en Tes. antes de su lanzamiento y que este mostró que era compatible con casi todas las aplicaciones existentes"

¿¿Obligaran estos "problemas Tecnicos" de los que tan habituados nos tiene Microsoft a reactivar los Raw Sockets??

Sea cual sea la respuesta, al menos parece haber una "solucion" (que es mas bien un parche, pero bueno..)que permite la desactivacion de la descarga del SP2 de Windows XP.

Segun se lee tambien en Noticiasdot:
(ENLACE: http://www.noticiasdot.com/publicaciones/2004/0804 /1308/noticias130804/noticias130804-18.htm )

BOP
______________________________________________
"La incompatibilidad de algunas herramientas de terceros con la actualización de Windows XP ha llevado a la multinacional a "facilitar" la desactivación de la descarga automática a los usuarios que lo deseen.

Una pequeña herramienta disponible en el sitio de Microsoft permite que los usuarios puedan seguir descargando los "updates" necesarios, mientras "aparcan" el SP para más adelante. "

EOP
--------------------------------------------------
Lastima que esto solo funcione durante 120 dias, tiempo que da microsoft para solucionar sus problemas del parche....

¿Sera este el paso final para migrar a Linux? ¿Existe alguna manera de "puentear" esta restriccion? El tiempo dira...

Completamente de acuerdo contigo, pero hay que tener en cuenta que el 99% de la gente que usa ordenadores no tiene ni puñetera idea de lo que es un socket de para que demonios puede utilizarse eso.

Y dado que los administradores de sistema existen unica y exclusivamente en las oficinas inmensamente grandes, creo que windows esta demasiado abierto aun para ponerlo en manos de gente que "ni siquiera sabe programar" (como decian en el anuncio aquel)

• Si eres un usuario: win2
• Si sabes algo: elige un Sistema Operativo
• Si eres un administrador: Obliga a usar un Sistema Operativo

Lo que me toca los cojones de esto, pese a ser usuario de Linux y no estar afectado, es que esta empresa se dedica a cortar la libertat del individuo impidiendole decidir como quiere usar i para que el ordenador, ellos se dedican a vender una cosa a la que llaman sistema operativo (Admitimos barco), pero eso no les da el derecho a obligarte a programar de una manera determinada (Sin sockets RAW), o vetar el uso de aplicaciones que a ellos les parecen inseguras, cuando los propios que crean inseguridades son ellos mismos (véase el Internet Explorer), si quieren incrementar la seguridad que recomienden usar Mozilla.

El sistema operativo es de Microsoft, y ellos pueden hacer lo que quieran, porque para eso es SU sistema operativo. Sobre todo, porque hay alternativas como Linux. ¿O acaso Linux no es una alternativa? A mi no me fastidia que BMW no venda coches a 1000 euros, o que no acepten los repuestos de Peugeot.

Hace algún tiempo, Microsoft era un monopolio de asfixia, y se podía hacer poco con Linux. Las cosas están cambiando. Yo me preocuparía más por el tema de las patentes, que pueden tumbar el software libre.

Saludos.

¿como haran su trabajo?

Tal vez volver a activarlo? (lo que viene llevando +- 20 segundos).