home *** CD-ROM | disk | FTP | other *** search
/ Chip: Windows 2000 Professional Resource Kit / W2KPRK.iso / apps / InternetScanner / data1.cab / Program_Files / readme.txt < prev    next >
Encoding:
Text File  |  1999-11-22  |  31.6 KB  |  805 lines
  1. INTERNET SCANNER VERSION 6.0 RELEASE NOTES
  2.  
  3. =============================================================================
  4.  
  5.     CONTENTS
  6.     --------
  7.  
  8.   1.  NEW FEATURES
  9.     1.1 New Structured Scanning Methodology and Default Scan Policies
  10.     1.2 Policy Editor
  11.     1.3 X-Press Updates    
  12.     1.4 Database Scanner Integration
  13.     1.5 Internet Scanner 5.3 to 6.0 Migration Kit
  14.     1.6 New Vulnerability Checks
  15.     1.7 UDP Port Scanning
  16.     1.8 New Reports    
  17.     1.9 New Help System
  18.  
  19.   2.  SYSTEM REQUIREMENTS
  20.     2.1 Processor    
  21.     2.2 Operating System    
  22.     2.3 Other software    
  23.     2.4 Memory (RAM)    
  24.     2.5 Memory (RAM) required for large scans
  25.     2.6 Hard Disk    
  26.     2.7 User privileges 
  27.     2.8 Network 
  28.     2.9 Protocol 
  29.     2.10 Display
  30.  
  31.   3.  SUGGESTIONS
  32.     3.1 Reviewing Configuration When Enabling Vulnerabilities
  33.     3.2 Reviewing Configuration of Scan Policies from earlier versions 
  34.     3.3 Scanner 6.0 Beta Policies
  35.     3.4 Exporting Scanner Reports to PDF
  36.     3.5 Interpreting the Results of UDP Port Scans
  37.     3.6 Maximum Parallel Scan Threads
  38.  
  39.   4.  INSTALLING THE RAW PACKET DRIVER 
  40.  
  41.   5.  SETUP
  42.  
  43.   6.  TOOLS
  44.     6.1 Internet Scanner 5.3 to 6.0 Migration Utilities
  45.     6.2 Pinger Utility
  46.     
  47.   7.  KNOWN ISSUES
  48.     7.1 Windows NT Problem with Large Scans
  49.     7.2 Raw Packet Driver with PGP 6.5
  50.     7.3 Traceroute Check
  51.     7.4 TelnetOpen Check
  52.     7.5 Rwhod and Rwhod-vuln
  53.     7.6 ICQ Client
  54.     7.7 FlexChecks 
  55.     7.8 RipAppend Check
  56.     7.9 Error Exiting Scanner with Multiple Sessions Open
  57.     
  58.   8.  SCANNER 5.81 ISSUES RESOLVED in 6.0
  59.     8.1 Cwdleak Check
  60.     8.2 SNMPShowInterface Check
  61.  
  62. =============================================================================
  63.  
  64. 1.  NEW FEATURES
  65.     ------------
  66. WhatÆs New in Internet Scanner 6.0:
  67.  
  68. 1.1 New Structured Scanning Methodology and Default Scan Policies    
  69.  
  70. Internet Scanner 6.0 embodies a structured approach to scanning that will
  71. increase the accuracy of the information obtained, reduce network load
  72. during the scan, ensure that security fix efforts are strongly focused on
  73. the most important systems in the organization, and make it much easier to
  74. target reports to individual system administrators.  To facilitate this,
  75. Internet Scanner includes many new scan policies targeted towards specific
  76. security "Levels".  Five levels are defined in the default policies, and are
  77. explained below.  Versions of scan policies are provided for various
  78. operating systems, system types, or system use. Internet Scanner uses the 
  79. following security levels to define and to implement the most important 
  80. tasks for the security program:
  81.     
  82. Level 1 policies identify which devices are on the network, and what 
  83. Operating System they are running.
  84.  
  85.     * L1 Inventory
  86.  
  87. Level 2 policies classify the systems based on the application services they
  88. offer.
  89.  
  90.     * L2 Classification
  91.     * L2 Database Discovery
  92.  
  93. Level 3 policies test susceptibility to external system compromise
  94. from trivial attacks used by unsophisticated adversaries, or detect signs
  95. that the system is already compromised.
  96.  
  97.     * L3 Desktop
  98.     * L3 NT Server
  99.     * L3 NT Web Server
  100.     * L3 Router & Switch
  101.     * L3 Unix Server
  102.     * L3 Unix Web Server
  103.  
  104. Level 4 policies test susceptibility to external system compromise
  105. from automated attack tools.
  106.  
  107.     * L4 NT Server
  108.     * L4 NT Web Server
  109.     * L4 Router & Switch
  110.     * L4 Unix Server
  111.     * L4 Unix Web Server
  112.  
  113. Level 5 policies test resistance to password cracking attacks and
  114. susceptibility to external system compromise from very knowledgeable
  115. adversaries.
  116.  
  117.     * L5 NT Server
  118.     * L5 NT Web Server
  119.     * L5 Unix Server
  120.     * L5 Unix Web Server
  121.  
  122. These security levels are cumulative, that is, all Level 3 checks are 
  123. included in the Level 4 and Level 5 policies.  Using cumulative tools 
  124. allows your organization to add increased security attention to the 
  125. systems that warrant increased attention, without spending increased 
  126. effort on less valuable assets.
  127.  
  128. IMPORTANT NOTE: The old standard policies (Heavy, Medium, and Light) are
  129. obsolete and will no longer be updated by ISS.  This is because they
  130. do not directly support the goals of increased accuracy, minimized network
  131. load, incremental application of security to specific systems, and more
  132. targeted report output.  Existing 5.x scan policies have been migrated 
  133. forward to 6.0. Adding specific checks to these policies is much easier 
  134. with the new policy editor, described below.
  135.  
  136. See the help file, ISS_NT.chm, for detailed descriptions about each 
  137. default scan policy included with Internet Scanner 6.0.
  138.  
  139.  
  140. 1.2 Policy Editor    
  141.  
  142. The new Policy Editor arranges configurable properties in a folder tree, 
  143. letting you sort, group, and browse through global settings, vulnerability 
  144. checks, services, and accounts that you can enable for your policy. This
  145. Policy Editor replaces the tabbed Configuration dialog box that was used
  146. in Internet Scanner 5.x.
  147.  
  148. Because of the tree structure, it is now simple to do some tasks that were
  149. very tedious in the previous versions of Internet Scanner.  In particular,
  150. selecting a branch of the tree enables all checks that reside in this branch.
  151. For example, clicking the selection box next to the CGI-Bin tree will enable
  152. all 23 checks in that category.  Previous versions of Internet Scanner 
  153. required the user to select each check individually.
  154.  
  155. The folder tree settings include:
  156.  
  157.     * Common Settings (brute force options, ports to scan, etc)
  158.     * FlexChecks
  159.     * Vulnerabilities
  160.     * Services
  161.     * Accounts
  162.  
  163. You can arrange the Policy EditorÆs folder tree in four different views:
  164.  
  165.     * Standard View (separates the Denial of Service exploits from the 
  166.       rest of the vulnerabilities, but still maintains the vulnerability 
  167.       categories)
  168.  
  169.     * Risk View (sorts the vulnerabilities by High, Medium, and Low, but 
  170.       does not separate the Denial of Service exploits in the category 
  171.       list).  Note that this view makes it very easy to add new high-risk
  172.       checks to existing policies.
  173.  
  174.     * Category View (works like the Standard View, but does not separate 
  175.       the Denial of Service exploits in the category list)
  176.  
  177.     * Built-In/Plug-Ins View (shows categories of the vulnerability 
  178.       checks, but distinguishes between Built-In Exploits or Plug-In 
  179.       Exploits)
  180.  
  181. The Policy Editor also contains a browser-enabled window used for:
  182.  
  183.     * Viewing information on each vulnerability check, such as the 
  184.       vulnerabilityÆs description, the platforms affected by the 
  185.       vulnerability, the vulnerabilityÆs risk level, the vulnerabilityÆs 
  186.       remedy information, and additional reference information.
  187.  
  188.     * Accessing external Web sites that may contain additional fix 
  189.       information, patches, or updates.
  190.  
  191.     * Linking directly to the X-Force Knowledge Base.
  192.  
  193. If you want to build a very targeted policy or look for certain kinds of 
  194. checks based on similar data, use the Policy Editor's powerful new searching 
  195. features to search through names, short descriptions, full descriptions, and 
  196. fix information in the vulnerability database. 
  197.  
  198. To perform focused Boolean searches on the vulnerability checks in the 
  199. Policy Editor, use the search engine of the Vulnerability Catalog help file 
  200. (VulnCatalog.chm) located in Scanner6/Help or access the help file directly 
  201. from the help file, ISS_NT.chm. For example, searching on the text string 
  202. "cert" would find all checks that referenced a CERT advisory.
  203.  
  204.  
  205. 1.3 X-Press Updates    
  206.  
  207. X-Press Updates automatically update your system with the latest plug-in 
  208. checks and the latest product updates available for Internet Scanner, 
  209. without having to download and to re-install a new version of Internet 
  210. Scanner.
  211.  
  212. X-Press Updates are available from a secure server on the ISS Web site, and 
  213. can be installed on your system automatically via the Web using the X-Press 
  214. Updates install program. Or, you can download the X-Press Updates from the 
  215. ISS Web site using the X-Press Updates install program to your local 
  216. directory or to a network share and then choose from either of those 
  217. locations which updates you would like to install on your system.
  218.  
  219. Please note that the X-Press Update install program does not automatically
  220. execute when you run Internet Scanner.  You must run this program manually,
  221. or schedule execution of the program.  ISS does not use or recommend the
  222. use of "push" technologies for security-enforcing products.
  223.  
  224. For information on how to use X-Press Updates, view the X-Press Updates 
  225. help file (XPressUpdate.chm) in Scanner6/XPressUpdate or in Scanner6/Help.
  226.  
  227. NOTE: These updates must be installed sequentially and removed in reverse 
  228. order, which is automatically enforced by the X-Press Updates install program.
  229.  
  230. There are two e-mail forums that provide information on X-Press Updates and 
  231. automatically e-mail you when there are new X-Press Updates for you to 
  232. install on your system. See the  product for details on subscribing to these 
  233. services.
  234.  
  235.  
  236. 1.4 Database Scanner Integration    
  237.  
  238. Internet Scanner 6.0 operationally integrates functions of Database Scanner 
  239. (Microsoft SQL Server, Oracle, or Sybase Adaptive Server) that have been 
  240. deployed in your organization, and assesses the risk associated with those 
  241. servers. Through the built in Database Discovery checks for the above 
  242. servers, Internet Scanner locates the various database servers on your 
  243. network and then will automatically configure and scan those servers by 
  244. launching Database Scanner. 
  245.  
  246. ISS is offering a free, full function Database Scanner license for one each
  247. Oracle, Sybase, and SQL Server database to all users of Internet Scanner
  248. currently under software maintenance.  Contact your ISS sales representative,
  249. send email to sales@iss.net, or visit the ISS Web site at http://www.iss.net
  250. for information on getting this Database Scanner license. To get your Database 
  251. Scanner license key, visit the ISS web site at http://www.iss.net/prod/dbspromo.
  252.  
  253.  
  254. 1.5 Internet Scanner 5.3 to 6.0 Migration Kit    
  255.  
  256. Internet Scanner provides capabilities for easily moving Unix vulnerability 
  257. data and 5.3 scan policies to 6.0. The command-line migration kit 
  258. executables, db2u.exe and u2db.exe, are located in the Scanner6 Tools 
  259. directory. The help file, ISS_NT.chm, provides the reference topic "IS 5.3 
  260. Unix checks in IS 6.0" that maps the check names from 5.3 into 6.0. Use db2u
  261. and u2db to import and to export data in CSV format to and from Internet 
  262. ScannerÆs database. To migrate policies from Internet Scanner 5.3 to 
  263. Internet Scanner 6.0, copy the 5.3 policy file to Scanner6/Policy, and then 
  264. open the policy in the 6.0 Policy Editor.
  265.  
  266. Note: the vulnerability migration tools db2u.exe and u2db.exe can also be
  267. used to move vulnerability data between different instances of Internet
  268. Scanner 6.0, or to export the Internet Scanner 6.0 data to an external
  269. database system like Oracle for post-scan processing.  The tools translate
  270. between Internet Scanner native database format and comma separated value
  271. (CSV) format.
  272.  
  273.  
  274. 1.6 New Vulnerability Checks    
  275.  
  276. Internet Scanner 6.0 includes 67 new vulnerability checks, including more 
  277. than 30 new checks for malicious backdoor programs (such as BackOrifice 
  278. 2000) that attackers use to remotely control computers:
  279.  
  280. Risk    VulnID    Check Name                Category
  281.  
  282. High    625    Perl fingerd                Daemons
  283. High    886    SmtpHeloBo                E-mail
  284. High    887    SMTP VRFY Buffer Overflow Attempt    E-mail
  285. High    888    SMTP EXPN Buffer Overflow Attempt    E-mail
  286. High    895    Bind bo                    DNS
  287. High    1212    IIS RDS                    Web Scan
  288. High    1400    CgiPerlMailPrograms            Web Scan
  289. High    1728    Palmetto FTP                FTP
  290. High    1740    ColdFusionEvaluator            Web Scan
  291. High    1890    QpopperPASSOverflow            E-mail
  292. High    2052    CGI Textcounter                CGI-Bin
  293. High    2079    WinRouteConfig                Firewalls
  294. High    2178    BackdoorPbbser                Backdoors
  295. High    2240    CMailCommandBO                E-mail
  296. High    2245    SubsevenBackdoor            Backdoors
  297. High    2281    IIS HTR Overflow            Web Scan
  298. High    2310    EvilFTP Backdoor            Backdoors
  299. High    2321    NetSphere Backdoor            Backdoors
  300. High    2322    GateCrasher Backdoor            Backdoors
  301. High    2324    GirlFriend Backdoor            Backdoors
  302. High    2325    Hack'a'tack Backdoor            Backdoors
  303. High    2326    BackdoorPhasezero            Backdoors
  304. High    2343    BackdoorBo2k                Backdoors
  305. High    2384    NetscapeGetBo                Web Scan
  306. High    2386    BackdoorComa                Backdoors
  307. High    2387    BackdoorForcedentry            Backdoors
  308. High    2389    BackdoorBackdoor2            Backdoors
  309. High    2390    BackdoorNetmonitor            Backdoors
  310. High    3099    BackdoorBlazer5                Backdoors
  311. High    3100    BackdoorFrenzy                Backdoors
  312. High    3110    BackdoorHvlrat                Backdoors
  313. High    3111    BackdoorMillenium            Backdoors
  314. High    3112    BackdoorProsiak                Backdoors
  315. High    3113    BackdoorHackersparadise            Backdoors
  316. High    3118    BackdoorSchwindler            Backdoors
  317. High    3119    BackdoorProgenic            Backdoors
  318. High    3120    BackdoorTheThing            Backdoors
  319. High    3122    BackdoorDeltasource            Backdoors
  320. High    3130    BackdoorDoly15                Backdoors
  321. High    3131    BackdoorAolAdmin            Backdoors
  322. Medium    896    Bind DoS                DNS
  323. Medium    1630    UnityMail web server dos        Web Scan
  324. Medium    1741    ColdFusionSource            CGI-Bin
  325. Medium    1742    ColdFusionSyntaxChecker            CGI-Bin
  326. Medium    1744    ColdFusionFileRead            CGI-Bin
  327. Medium    1895    IMailIMAPOverflow            E-mail
  328. Medium    1899    IMailWhoisOverflow            E-mail
  329. Medium    2054    Novell Files Script            CGI-Bin
  330. Medium    2055    CGI nphpublish                CGI-Bin
  331. Medium    2088    Startech POP3                E-mail
  332. Medium    2196    HttpCgiCounterLong            CGI-Bin
  333. Medium    2229    IIS ExAir DoS                Web Scan
  334. Medium    2239    CmailFileread                E-mail
  335. Medium    2241    FTGateRead                E-mail
  336. Medium    2242    NTMailFileRead                E-mail
  337. Medium    2270    SiteServerCSC                Web Scan
  338. Low    1416    iParty denial of service        Daemons
  339. Low    1743    ColdFusionFileExists            CGI-Bin
  340. Low    1894    VNCDetect                Daemons
  341. Low    1921    SMTPforgery                E-mail
  342. Low    1928    SMTPrcpt                E-mail
  343. Low    1986    VNCDetectNoConn                Daemons
  344. Low    1988    VNCNoAuth                Daemons
  345. Low    2210    ICQClient                Daemons
  346. Low    2211    mSQLDetect                Daemons
  347. Low    2227    CDDBD detect                Daemons
  348. Low    2388    OracleDetect                Daemons 
  349.  
  350. Note that Internet Scanner can now produce a report of all checks that are
  351. installed (from the View/Installed X-Press Modules menu option), and can list
  352. all checks that are enabled in any policy (from the Policy/Properties menu
  353. option).  This information can be printed, or copied to the Windows clipboard
  354. via a right mouse click.
  355.  
  356.  
  357. 1.7 UDP Port Scanning    
  358.  
  359. Internet Scanner Version 6.0 performs an exhaustive UDP port scan by using 
  360. various UDP packets to determine the status of a port.
  361.  
  362.  
  363. 1.8 New Reports    
  364.  
  365. In addition to many improvements to existing reports, Internet Scanner 
  366. 6.0 now includes Executive level reports in Italian and condensed Host 
  367. Vulnerability Summary reports at the Line Management and Technical level.
  368. Improvements have been made to reports that are exported to HTML 
  369. or Microsoft Word, allowing more effective distribution of security 
  370. information in the organization.
  371.  
  372.  
  373. 1.9 New Help System    
  374.  
  375. The help system now uses HTML pages to display the help information. The 
  376. help information for each vulnerability check is taken directly out of 
  377. the X-Force database to ensure consistency and accuracy.
  378.  
  379.  
  380. 2.  SYSTEM REQUIREMENTS
  381.     -------------------
  382.  
  383. Internet Scanner 6.0 system requirements are:
  384.  
  385. 2.1 Processor
  386.  
  387. 200 MHz Pentium Pro (300 MHz Pentium recommended)
  388.  
  389. 2.2 Operating System    
  390.  
  391. Windows NT 4.0 Workstation (with ServicePack 4).  ISS strongly recommends
  392. using a dedicated system for scanning. 
  393.  
  394. ISS is providing beta support for users running Windows 2000 Workstation
  395. (Beta 3). The device driver will not work on Windows NT 2000, meaning a small
  396. number of checks that require access to raw IP sockets (spoofing, etc) will
  397. not work, but other checks and functionality will be unaffected.
  398.  
  399. IMPORTANT: Internet Scanner is not supported on Windows NT 3.51 or 
  400. Windows NT 4.0 Server.
  401.   
  402. (FOR INTERNATIONAL USERS: ISS does not formally support scanning from 
  403. localized versions of Windows NT 4.0 or Windows 2000. If you attempt to 
  404. scan from these systems, please report your results to support@iss.net. 
  405. The US English version of Windows NT 4.0 supports the display of other 
  406. language groups (based on different codepages) shipped with those versions. 
  407. (For example, the US version does not ship with character-based Asian
  408. languages or Arabic). If you are an international user, you can run US 
  409. English Windows NT 4.0 as your OS and still run non-Unicode, non-ISS 
  410. applications localized for your area.)
  411.  
  412. 2.3 Other software    
  413.  
  414. Microsoft Internet Explorer 4.x or later required to run HTML Help.
  415.  
  416. 2.4 Memory (RAM)
  417.  
  418. 80 MB
  419.  
  420. 2.5 Memory (RAM) required for large scans
  421.  
  422. 128 MB (Console mode or command line scans recommended)  
  423. NOTE: See Known Issue 7.1, Windows NT Problem with Large Scans.
  424.  
  425. 2.6 Hard Disk    
  426.  
  427. 180 MB for installation from file
  428. 60 MB for installation from CD-ROM
  429. Running: 55 MB plus 2.5 MB per 100 hosts
  430. NTFS partition recommended
  431.  
  432. 2.7 User privileges 
  433.  
  434. Local or Domain Administrator
  435.  
  436. 2.8 Network 
  437.  
  438. Ethernet or Token Ring connected to an active network.
  439.  
  440. CAUTION: Internet Scanner on a Token Ring network does not perform 
  441. some vulnerability checks - see the Internet Scanner 6.0 Getting Started 
  442. Guide or the Internet Scanner 6.0 User Guide for more details.
  443.  
  444. 2.9 Protocol 
  445.  
  446. TCP/IP
  447.  
  448. 2.10 Display 
  449.  
  450. Monitor that supports 800x600 resolution with a minimum of 256 colors.
  451.  
  452.  
  453. 3.  Suggestions
  454.     -----------
  455.  
  456. 3.1 Reviewing Configuration When Enabling Vulnerabilities
  457.  
  458. When you enable a new vulnerability in a policy, review the policy's 
  459. configuration settings. 
  460.  
  461.  
  462. 3.2 Reviewing Configuration of Scan Policies from earlier versions 
  463.  
  464. Some of your 5.x migrated policies may not have all the configuration 
  465. variables set that are required to make the policies actually execute once 
  466. they have been migrated to 6.0. ISS recommends that you visually inspect your 
  467. migrated policies, especially the following variables:
  468.  
  469.         Web Zone Checks
  470.     Sun CMSD BO FlexCheck
  471.     IIS HTR Overflow
  472.     Linux Inetd
  473.  
  474. If necessary, turn the variables on or set the appropriate configuration 
  475. variables. 
  476.     
  477.  
  478. 3.3 Scanner 6.0 Beta Policies
  479.  
  480. Scan policies created by Internet Scanner 6.0 Beta may not load or 
  481. function properly with the version 6.0 production release. You should 
  482. re-enter these policies.
  483.  
  484.  
  485. 3.4 Exporting Scanner Reports to PDF
  486.  
  487. Exporting Internet Scanner 6.0 Reports to PDF format allows distribution
  488. of reports in a widely supported format, as well as preserves the quality 
  489. of the original documents and avoids common problems that are associated 
  490. with exporting directly from Crystal Reports to Microsoft Word or HTML 
  491. format. ISS has identified a tool from Adobe Software called PDFWriter
  492. that allows this capability.  PDFWriter acts like a printer driver to Windows
  493. applications, but actually outputs the print job to a file in PDF format.
  494. Selecting Acrobat PDFWriter Assistant as the printer driver in the 
  495. printers Control Panel, print the document using this print driver. 
  496. PDFWriter then generates a PostScript file, launches Acrobat Distiller, 
  497. asks you to specify a name and location for your PDF file, converts the 
  498. PostScript file into a PDF file, and opens the PDF file in an Acrobat viewer. 
  499. Acrobat 3.0x and above for Windows includes Acrobat Writer Assistant. The 
  500. file can be viewed with any Acrobat reader.
  501.  
  502. PDFWriter is available from Adobe, at http://www.adobe.com.
  503.  
  504.  
  505. 3.5 Interpreting the Results of UDP Port Scans
  506.  
  507. UDP port scanning is subject to possible variable results, due to the
  508. fundamental differences between UDP and TCP.  Since UDP is an unreliable
  509. (datagram) protocol, there is no equivalent of the TCP 3 Way handshake that
  510. can be used to identify the existence of services listening on particular
  511. ports.  Instead, the target system will respond with ICMP Port Unreachable
  512. messages (ICMP type 3, code 3).  However, ICMP itself is an unreliable
  513. protocol, so these packets can be dropped or lost due to host or network
  514. contention.  Further complicating the matter is technology built into certain
  515. operating systems to throttle the generation of ICMP unreachable messages -
  516. Linux and Solaris in particular implement this technology.
  517.  
  518. ISS recommends analyzing the results reported from UDP port scans.  If it
  519. appears that an excessive number of ports are reported as active, ISS
  520. recommends scanning individual hosts to verify the results, and tuning the
  521. UDP port scan parameters down (i.e. increase the wait between UDP packets
  522. sent by the scanner) to lessen the load on the network or host, and to avoid
  523. operating system security mechanisms that will degrade the accuracy of the
  524. results.  ISS recommends that the UDP Smart Filter be disabled for these
  525. verification tests.
  526.  
  527. See the Help section for the UDP port scan for details on tuning the UDP
  528. scan parameters.
  529.  
  530.  
  531. 3.6 Maximum Parallel Scan Threads
  532.  
  533. The Maximum Parallel Scan Threads default setting is 128. To reduce the 
  534. impact of Internet Scanner on system resource consumption, reduce this 
  535. setting to 64 in the Internet Scanner Tools Menu, Options. 
  536.  
  537.  
  538. 4. Installing the Raw Packet Driver
  539.    --------------------------------
  540.  
  541. To install the ISS Raw Packet Driver, follow these steps:
  542.  
  543. 1. From the Windows NT desktop, right-click the Network Neighborhood
  544. icon and select Properties. This action is a shortcut to the Network 
  545. control panel.
  546. 2. Click the Services tab to display the installed network services.
  547. 3. Click Add to display the Select Network Service window.
  548. 4. Click Have Disk to display the Insert Disk window.
  549. 5. The Insert Disk window requests the location of the driver software.
  550. The default path is C:\Program Files\ISS\Scanner6\Driver. Otherwise, the
  551. ISS Raw Packet Driver is located in the Driver folder where Internet
  552. Scanner was installed.
  553. 6. Click OK to display the Select OEM Options window.
  554. 7. Select the ISS Raw Packet Driver software and click OK. The ISS
  555. Raw Packet Driver appears in the Network control panel.
  556. 8. Click OK to close this window.
  557. 9. Reboot your NT system.
  558.  
  559.  
  560. 5.   Setup
  561.      -----
  562.  
  563. Setting TCP/IP Parameters
  564.  
  565. When Windows NT attempts to make a socket connection, it sends out a SYN
  566. packet to the remote computer, and waits for a reply. If no reply occurs
  567. within the time out period (three seconds by default), it then doubles 
  568. the time out period, and retries the connection attempt.  
  569.  
  570. Every socket left open in this state consumes non-pageable kernel
  571. memory, and if too many sockets are not resolved, the host can run out
  572. of RAM. Since the problem is caused by non-pageable RAM consumption,
  573. Windows NT will essentially halt, and you will experience approximately
  574. two minute waits on response to toggling a caps lock key. The system will
  575. eventually recover, but it could take hours. ISS has advised Microsoft
  576. of this problem, and advised them that the amount of non-page pool that
  577. open sockets can consume should be a tunable parameter. However, Microsoft
  578. has not (to the best of ISS' knowledge) conceded that this is actually a
  579. problem, and to be fair, only an extremely intensive application such as 
  580. Internet Scanner may be capable of reproducing this problem.
  581.  
  582. This problem typically occurs while scanning a network where ICMP traffic is
  583. filtered. If ICMP traffic is not filtered, the host machine can reply to a
  584. connection attempt with either a SYN-ACK (success), or an ICMP port
  585. unreachable. In either case, the connection attempt can be resolved. 
  586.  
  587. To avoid this potential performance degradation, open the Registry editor
  588. (either regedit.exe, or regedt32.exe), locate the 
  589. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters key, 
  590. and insert the following values:
  591.   
  592. TcpMaxConnectAttempts, with type REG_DWORD, and a value of 3,
  593. TcpMaxConnectRetransmissions, with type REG_DWORD, and a value of 3 
  594.  
  595. You must restart your system before these changes will take effect. For 
  596. additional information regarding these parameters, please consult your 
  597. Windows NT Resource Kit.
  598.  
  599. If you want to see how the scan is progressing, run a tail -f on the
  600. temporary log files (located in the .\tmp directory with a .tmplog 
  601. extension).  If you do not have UNIX CLI utilities, these utilities may 
  602. be available at ftp://ftp.cc.utexas.edu/microlib/nt/gnu/. Or, you can type 
  603. the file to a command prompt. In the GUI version, you can view the status 
  604. window.
  605.  
  606. Internet Scanner lets you scan the local host without a key. If you want 
  607. to evaluate the product further and scan other machines on your network, 
  608. you can obtain an expanded key from sales@iss.net or by calling 
  609. 1-800-776-2362.
  610.  
  611. WARNING: Internet Scanner can inflict various denial of service
  612. attacks. Be very careful when you enable these scans. ISS has run into 
  613. instances where scans that were not known to cause denial of service 
  614. actually did so. This situation is unusual, but has been known to occur.
  615.  
  616. WARNING: The OOB check WILL crash your host if you have not patched it.
  617.  
  618. Remember to reboot your system or the Raw Packet Driver won't work. 
  619.  
  620.  
  621. 6.  Tools
  622.     -----
  623.  
  624. Internet Scanner tools and utilities are located in the Scanner6 Tools 
  625. directory. 
  626.  
  627. The following tools are developed and supported by ISS:
  628.  
  629. 6.1 Internet Scanner 5.3 to 6.0 Migration Utilities
  630.  
  631. Internet Scanner provides capabilities for easily moving 5.3 vulnerability 
  632. data and 5.3 scan policies to Windows NT. The command-line migration kit 
  633. executables, db2u.exe and u2db.exe, are located in the Scanner6 Tools 
  634. directory. The help file, ISS_NT.chm, provides a reference topic "IS 5.3 
  635. Unix checks in IS 6.0" that maps the checks from 5.3 into 6.0. 
  636.  
  637. Use db2u and u2db to import and to export data in CSV format to and from 
  638. Internet ScannerÆs database. To migrate policies from Internet Scanner 5.3 
  639. to Internet Scanner 6.0, copy the 5.3 policy file to Scanner6/Policy, and 
  640. then load the policy in the Policy Editor.
  641.  
  642. Db2u v1.0 will take an entry in NT Internet Scanner 6.0 database and convert 
  643. the entry to CSV files that the UNIX Internet Scanner 5.3 can read and 
  644. create reports with. Usage:
  645.  
  646.  
  647.  
  648. db2u "list"
  649.  
  650. or
  651.  
  652. db2u <jobid | "last"> <directory>
  653.  
  654.  
  655.  
  656. "db2u list" will print out a table of all the current scans that are in the 
  657. 6.0 database. The table contains the job ID of the scan, the date and time 
  658. the scan started, session file name and any comment entered for that scan.  
  659. If the jobid is known or discovered by doing a list, then it is easy to 
  660. extract the information. For example, if the jobid of the scan you want
  661.  
  662. to extract is 4 and you want to put it in a directory named "CSVScan4",
  663. type: 
  664.  
  665.  
  666.  
  667. "db2u 4 C:\CSVScan4"
  668.  
  669.  
  670.  
  671. The directory will now contain the CSV files necessary for the UNIX
  672.  
  673. scanner to create a report. "db2u last C:\CSVScanLast" will put the latest 
  674. scan that is in the NT Internet Scanner 6.0 database and put it into CSV 
  675. format in the directory CSVScanLast.
  676.  
  677.  
  678.  
  679. NOTE: The program db2u will not auto create the destination directory. The 
  680. directory needs to exist before the program is run. 
  681.  
  682. U2db v1.0 will take a directory that contains CSV files generated by the 
  683. UNIX Internet Scanner 5.3 and import them into the NT Internet Scanner 
  684. 6.0 database. Usage:
  685.  
  686.  
  687.  
  688. u2db <directory>
  689.  
  690.  
  691.  
  692. The program u2db works by entering the directory that contains the CSV 
  693. files that you would like to import into the NT Internet Scanner 6.0.  
  694. Once successful, a report can be made by using the NT Internet Scanner 6.0.
  695.  
  696.  
  697.  
  698. NOTE: Currently the program u2db will only look for scans with the prefix 
  699. "iss". If the scan you are attempting to import has a different prefix, it 
  700. will not work.
  701.  
  702.  
  703. 6.2 Pinger Utility
  704.  
  705. The pinger utility, pinger.exe, will send ICMP echo requests to a range of 
  706. IP addresses and track the hosts that respond. See the document 
  707. pingerdoc.txt located in the Scanner6 Tools directory for instructions. 
  708.  
  709.  
  710. 7.  Known Issues
  711.     ------------
  712.  
  713. 7.1 Windows NT Problem with Large Scans
  714.  
  715. Certain scanning situations have been found to exercise a bug in Windows NT 
  716. which causes Windows NT to crash with an error in the RDR.SYS driver.  If
  717. you want to run large scans, please follow these recommendations:
  718.  
  719.     * Refrain from using multiple concurrent sessions.
  720.  
  721.     * Use the Ping all Hosts in Range option when scanning from the GUI.
  722.  
  723.     * Use the PINGER.EXE found in the tools directory to screen out
  724.        inactive hosts when performing command-line scans.
  725.  
  726.     * Break up large scans into multiple smaller sessions.
  727.  
  728.     * Use a dedicated scan machine with no other applications running.
  729.  
  730. This problem has been reported to Microsoft.  ISS is working with Microsoft to
  731. resolve this situation.  If you are unable to follow these recommendations, 
  732. please contact ISS technical support for further assistance.
  733.  
  734.  
  735. 7.2 Raw Packet Driver with PGP 6.5
  736.  
  737. PGPnet application of PGP 6.5 is present on the PC and Internet 
  738. Scanner 6.0 Raw Packet Driver is installed:   Since PGPnet is a 
  739. "network-based" sub-application of PGP, it will effectively impose its 
  740. adapter configuration settings on the machine if:  (1) You elect to proceed 
  741. on with the PGPnet installation prompts after installing the ISS raw packet 
  742. driver and re-booting, and (2) The installation host has only one available 
  743. network card installed.  This means that any previous network card definitions 
  744. and settings will be suppressed, and the administrator will not be given the 
  745. option to select his previous adapter settings while in the "TCP/IP 
  746. properties" panel in Control Panel/Network. The result is that you will lose 
  747. previous network connectivity to/from the host.   
  748. To avoid this issue: (1) Disable PGPnet control of the network card under the 
  749. "Programs -> PGP - > PGPnet -> Set Adapter " menu option (if PGPnet is already 
  750. in control) or (2) After you have installed the ISS Raw Packet driver and 
  751. re-booted, "cancel" out of the PGPnet configuration prompts to 'Secure a 
  752. Network Card' (This means that you will not be able to use PGPnet on a host 
  753. with a single network card).
  754.  
  755.  
  756. 7.3 Traceroute Check
  757.  
  758. TraceRoute is based on ICMP and UDP, which are known to be unreliable 
  759. protocols. This check may potentially lose packets, resulting in false 
  760. negatives when combined in a policy with other checks that produce high 
  761. amounts of network traffic (UDP Port Scan, synflood, etc.).
  762.  
  763.  
  764. 7.4 TelnetOpen Check
  765.  
  766. The telnetOpen check may result in a Denial of Service if you run it against a 
  767. machine that is running the Startech POP3 server. This machine will remain in 
  768. a functioning state but the service is disabled.
  769.  
  770.  
  771. 7.5 Rwhod and Rwhod-vuln
  772.  
  773. In previous releases, rwhod and rwhod-vuln were separate vulnerabilities. In 
  774. version 6.0, rwhod will show up as a service found, not a vulnerability, and 
  775. rwhod-vuln will remain a vulnerability.
  776.  
  777.  
  778. 7.6 ICQ Client
  779.  
  780. The ICQClient may bind at any port, causing inconsistent behavior from one 
  781. boot to the next. The ICQClient check has been configured to scan the most 
  782. likely ports, using a default port range from 1024 to 2124. Scanning this 
  783. entire port range could take a considerable amount of time, as the check 
  784. determines if the client is bound to a port somewhere within the default 
  785. range.  However, it is possible that the client may be bound outside the 
  786. port range entered, which could result in a false negative.
  787.  
  788.  
  789. 7.7 FlexChecks 
  790.  
  791. The 3 FlexChecks: SUN CMSD BO, Lotus LDAP BO, and AMD-BO are not included 
  792. during installation, and instead have been placed on ISS' Web site at 
  793. www.iss.net.
  794.  
  795.  
  796. 7.8 RipAppend Check
  797.  
  798. The RipAppend check has been disabled due to false positives.  This issue 
  799. will be resolved in the next release.
  800.  
  801.  
  802. 7.9 Error Exiting Scanner with Multiple Sessions Open
  803.  
  804. It has been reported that when exiting the Scanner program with multiple 
  805. sessions still open an exception error may sometimes occur. This will not 
  806. affect your machine or your data. If you experience this please email ISS 
  807. technical support with a screen shot of the exception. 
  808.  
  809.  
  810. 8.  Scanner 5.81 Issues Resolved in 6.0
  811.     -----------------------------------
  812.  
  813. 8.1 Cwdleak Check
  814.  
  815. The cwdleak check, which consistently returned false positives in the 5.x 
  816. releases, has been fixed in 6.0.
  817.  
  818.  
  819. 8.2 SNMPShowInterface Check
  820.  
  821. The SNMPShowInterface caused an exception in 5.x; this has been 
  822. corrected in 6.0.
  823.  
  824.  
  825.