home *** CD-ROM | disk | FTP | other *** search
/ Forum of Incident Response & Security Teams / Forum_of_Incident_Response_and_Security_Teams_FIRST_October_1994.iso / teaminfo / first / resource / tools.txt < prev   
Text File  |  1994-07-08  |  11KB  |  269 lines
  1. Incident Handling Security Tools
  2.  
  3.  
  4. Last Update: August 3, 1993
  5.  
  6.  
  7. There are a number of software security tools for use in incident
  8. handling, and a large number more that are of peripheral use but
  9. are intended mainly for system and network security.  This document
  10. categorizes and provides access information for a subset of the
  11. tools considered most useful for incident handling.
  12.  
  13. The vast majority of these tools are for Unix and all have
  14. something to do with the Internet and the TCP/IP protocol suite. 
  15. The tools are divided into four categories:
  16.  
  17.      1 - tracing and tracking tools - for tracing connections and
  18.      examining raw TCP/IP data
  19.  
  20.      2 - security assessment tools - for examining host security,
  21.      passwords, configuration
  22.  
  23.      3 - security enhancement - for improving host security
  24.  
  25.      4 - encryption - useful utilities for storing and exchanging
  26.      encrypted data
  27.  
  28. This list will be updated periodically; the information contained
  29. herein is not intended to be definitive.  For tools-related
  30. information, one should subscribe to the following e-mail lists and
  31. news groups:
  32.  
  33.      cert-tools - send e-mail to cert-tools-request@cert.org
  34.  
  35.      comp.security.misc
  36.  
  37.      sci.crypt
  38.  
  39.      comp.sources.binaries
  40.  
  41.  
  42.  
  43. Tracing/Tracking Tools
  44.  
  45. Tool:          traceroute
  46. Description:   For tracing routes between the current host and
  47.                other Internet sites.  Useful for examining hops,
  48.                detecting sites that are down, or sites that do not
  49.                resolve properly.
  50. Availability:  in comp.sources.unix archives, ftp from many sites
  51.                including ftp.uu.net
  52.  
  53.  
  54. Tool:          tcpdump
  55. Description:   For monitoring TCP/IP packets for BSD-based UNIX
  56.                systems.
  57. Availability:  anonymous ftp from ftp.ee.lbl.gov
  58.  
  59.  
  60. Tool:          dig
  61. Description:   For querying Domain Name Service servers in a more
  62.                flexible, convenient manner than nslookup.
  63. Availability:  anonymous ftp from venera.isi.edu
  64.  
  65.  
  66. Security Assessment Tools
  67.  
  68. Tool:          COPS (Computer Oracle and Password System)
  69. Description:   A collection of programs that each attempt to
  70.                tackle a different problem area of UNIX security. 
  71.                Following is a list of the areas checked:
  72.                - file, directory, and device permissions/modes
  73.                - poor passwords
  74.                - content, format, and security of password and
  75.                group files
  76.                - the programs and files run in /etc/rc* and
  77.                cron(tab) files
  78.                - existence of root-SUID files
  79.                - a CRC check against important binaries or key
  80.                files
  81.                - writability of users home directories and startup
  82.                files (.profile, .cshrc, etc.)
  83.                - anonymous ftp setup.
  84.                - unrestricted tftp, decode alias in sendmail, SUID
  85.                uudecode problems, hidden shells inside inetd.conf,
  86.                rexd running in inetd.conf
  87.                - miscellaneous root checks
  88. Availability:  ftp anonymous from cert.org
  89.  
  90.  
  91. Tool:          SPI
  92. Description:   SPI is a screen-based administrator's tool that,
  93.                similar to COPS, checks configuration options,
  94.                includes a file-change (integrity) checker to
  95.                monitor for backdoors and viruses, and various
  96.                other security checks.  It is not available to the
  97.                general public, but it is available to US
  98.                Department of Energy contractors and sites and to
  99.                some US military sites. 
  100. Availability:  contact DOE CIAC
  101.  
  102.  
  103. Tool:          CRACK
  104. Description:   Crack is a fast UNIX password cracking program
  105.                designed to assist site administrators in ensuring
  106.                that user's use effective passwords.  It is
  107.                approximately eight times faster than standard DES
  108.                routines, enabling one to check more passwords in a
  109.                given time.  Crack is widely available and presumed
  110.                to be used by intruders.
  111. Availability:  ftp anonymous from cert.org
  112.  
  113.  
  114.  
  115. Tool:          TAMU Suite of Tools
  116. Description:   This package includes three coordinated sets of
  117.                tools: "drawbridge", a powerful bridging filter
  118.                package; "tiger", a set of machine checking
  119.                programs; and "netlog", a set of intrusion
  120.                detection network monitoring programs.
  121. Availability:  ftp anonymous from sc.tamu.edu
  122.  
  123.  
  124. Security Enhancement Tools
  125.  
  126. Tool:          TCP Wrapper
  127. Description:   With this package you can monitor incoming
  128.                connections to the SYSTAT, FINGER, FTP, TELNET,
  129.                RLOGIN, RSH, EXEC, TFTP, TALK, and other IP network
  130.                services.  Connections are reported through the
  131.                syslog daemon.  Requirements are that network
  132.                daemons are started by the inetd program or
  133.                something similar, and the availability of a
  134.                syslog(3) library.  Optional features are: access
  135.                control that limits the number of hosts that can
  136.                connect to your network daemons, remote user name
  137.                lookups with the RFC 931 protocol, and protection
  138.                against hosts that pretend to have someone else's
  139.                host name.
  140. Availability:  ftp anonymous from ftp.win.tue.nl
  141.  
  142.  
  143. Tool:          passwd+
  144. Description:   Passwd+ is a proactive password checker that
  145.                replaces /bin/passwd on your system.  It is
  146.                rule-based and easily configurable.  It prevents
  147.                users from selecting a weak password so that
  148.                programs like "CRACK" can't guess it, and it
  149.                provides enhanced syslog logging.
  150. Availability:  ftp anonymous from dartmouth.edu
  151.  
  152.  
  153. Tool:          secure_lib
  154. Description:   Securelib contains replacement routines for three
  155.                SunOS kernel calls: accept(), recvfrom(),
  156.                recvmsg().  These replacements are compatible with
  157.                the originals, with the additional functionality
  158.                that they check the Internet address of the machine
  159.                initiating the connection to make sure that it is
  160.                "allowed" to connect.  A configuration file defines
  161.                what hosts are allowed for a given program.  Once
  162.                these replacement routines are compiled, they can
  163.                be used when building a new shared libc library. 
  164.                The resulting libc.so can then be put in a special
  165.                place.  Any program that should be protected can
  166.                then be started with an alternate LD_LIBRARY_PATH.
  167. Availability:  ftp anonymous from eecs.nwu.edu
  168.  
  169.  
  170. Tool:          socks
  171. Description:   The "sockd" and "SOCKS Library" provide another way
  172.                to implement a "TCP Wrapper."  It is not intended
  173.                to make the system it runs on secure, but rather to
  174.                centralize ("firewall") all external internet
  175.                services.  The sockd process is started by inetd
  176.                whenever a connection is requested for certain
  177.                services, and then only allows connections from
  178.                approved hosts (listed in a configuration file). 
  179.                The sockd also will LOG information about the
  180.                connection.  You can use the Socks Library to
  181.                modify the client software to directly utilize the
  182.                sockd for outgoing connections also, but this is
  183.                described as very tedious and of course requires
  184.                you to have the source to those client programs.
  185. Availability:  ftp anonymous from s1.gov 
  186.  
  187.  
  188. Tool:          npasswd
  189. Description:   Like passwd+, npasswd is a replacement for the
  190.                standard "passwd" command that prevents users from
  191.                selecting easily-guessable passwords.
  192. Availability:  anonymous ftp from emx.utexas.edu
  193.  
  194.  
  195. Encryption/Authentication Tools
  196.  
  197. Tool:          DES
  198. Description:   An implementation of DES suitable for use with
  199.                Kerberos and compatible with DES packages offered
  200.                my several UNIX vendors.  Because this
  201.                implementation was not created in the U.S., export
  202.                restrictions do not apply.
  203. Availability:  anonymous ftp from kampi.hut.fi
  204.  
  205.  
  206. Tool:          DES - KA9Q
  207. Description:   A U.S.-written implementation of DES as part of the
  208.                KA9Q packet radio implementation.  This version is
  209.                not exportable.
  210. Availability:  ftp anonymous from ucsd.edu
  211.  
  212.  
  213. Tool:          PEM
  214. Description:   PEM is a RSA-based encryption scheme that encrypts
  215.                sensitive information, but more than that it checks
  216.                for message integrity and non-repudiation of
  217.                origin, so that the originator cannot deny having
  218.                sent the message.  PEM is actually a protocol that
  219.                is designed to allow use of symmetric (private-key)
  220.                and asymmetric (public-key) cryptography methods. 
  221.                In this example, Trusted Information Systems, Inc.
  222.                (TIS) has implemented a PEM package using the
  223.                public-key technique together with the Rand MH
  224.                Message Handling System.  TIS/PEM libraries can be
  225.                adapted for implementation of non-mail applications
  226.                as well.
  227. Availability:  send e-mail to (pem-info@tis.com).
  228.  
  229.  
  230. Tool:          rsaref
  231. Description:   RSAREF is a cryptographic toolkit designed to
  232.                facilitate rapid deployment of Internet
  233.                Privacy-Enhanced Mail (PEM) implementations. 
  234.                RSAREF represents the fruits of RSA Data Security's
  235.                commitment to the U.S. Department of Defense's
  236.                Advanced Research Projects Agency (DARPA) to
  237.                provide free cryptographic source code in support
  238.                of a PEM standard.
  239. Availability:  ftp anonymous from rsa.com
  240.  
  241.  
  242. Tool:          snefru
  243. Description:   A message-digest function developed by Ralph C.
  244.                Merkle, produces a 128 or 256 bit fixed-size
  245.                output.
  246. Availability:  ftp anonymous from arisia.xerox.com
  247.  
  248.  
  249. Tool:          MD4/MD5
  250. Description:   MD4 is another message-digest function proposed by
  251.                Ron Rivest, similar to Snefru but implemented
  252.                differently, produces a fixed 128 bit output.  MD5
  253.                is newer and slightly more secure in the face of
  254.                certain cryptographic attacks.
  255. Availability:  ftp anonymous from rsa.com
  256.  
  257.  
  258. Tool:          kerberos
  259. Description:   Kerberos is a DES-based encryption scheme that
  260.                encrypts sensitive information, such as passwords,
  261.                sent via the network from client software to the
  262.                server daemon process. The network services will
  263.                automatically make requests to the Kerberos server
  264.                for permission "tickets."  You will need to have
  265.                the source to your client/server programs so that
  266.                you can use the Kerberos libraries to build new
  267.                applications.
  268. Availability:  ftp anonymous from athena-dist.mit.edu
  269.