home *** CD-ROM | disk | FTP | other *** search

---

/ Chip 2001 May / W2KPRK.iso / apps / InternetScanner / data1.cab / Program_Files / readme.txt

< prev

next >

Wrap

Text File  |  1999-11-22  |  32KB  |  805 lines

---

1. INTERNET SCANNER VERSION 6.0 RELEASE NOTES
2.  
3. =============================================================================
4.  
5.     CONTENTS
6.     --------
7.  
8.   1.  NEW FEATURES
9.     1.1 New Structured Scanning Methodology and Default Scan Policies
10.     1.2 Policy Editor
11.     1.3 X-Press Updates    
12.     1.4 Database Scanner Integration
13.     1.5 Internet Scanner 5.3 to 6.0 Migration Kit
14.     1.6 New Vulnerability Checks
15.     1.7 UDP Port Scanning
16.     1.8 New Reports    
17.     1.9 New Help System
18.  
19.   2.  SYSTEM REQUIREMENTS
20.     2.1 Processor    
21.     2.2 Operating System    
22.     2.3 Other software    
23.     2.4 Memory (RAM)    
24.     2.5 Memory (RAM) required for large scans
25.     2.6 Hard Disk    
26.     2.7 User privileges 
27.     2.8 Network 
28.     2.9 Protocol 
29.     2.10 Display
30.  
31.   3.  SUGGESTIONS
32.     3.1 Reviewing Configuration When Enabling Vulnerabilities
33.     3.2 Reviewing Configuration of Scan Policies from earlier versions 
34.     3.3 Scanner 6.0 Beta Policies
35.     3.4 Exporting Scanner Reports to PDF
36.     3.5 Interpreting the Results of UDP Port Scans
37.     3.6 Maximum Parallel Scan Threads
38.  
39.   4.  INSTALLING THE RAW PACKET DRIVER 
40.  
41.   5.  SETUP
42.  
43.   6.  TOOLS
44.     6.1 Internet Scanner 5.3 to 6.0 Migration Utilities
45.     6.2 Pinger Utility
46.     
47.   7.  KNOWN ISSUES
48.     7.1 Windows NT Problem with Large Scans
49.     7.2 Raw Packet Driver with PGP 6.5
50.     7.3 Traceroute Check
51.     7.4 TelnetOpen Check
52.     7.5 Rwhod and Rwhod-vuln
53.     7.6 ICQ Client
54.     7.7 FlexChecks 
55.     7.8 RipAppend Check
56.     7.9 Error Exiting Scanner with Multiple Sessions Open
57.     
58.   8.  SCANNER 5.81 ISSUES RESOLVED in 6.0
59.     8.1 Cwdleak Check
60.     8.2 SNMPShowInterface Check
61.  
62. =============================================================================
63.  
64. 1.  NEW FEATURES
65.     ------------
66. WhatÆs New in Internet Scanner 6.0:
67.  
68. 1.1 New Structured Scanning Methodology and Default Scan Policies    
69.  
70. Internet Scanner 6.0 embodies a structured approach to scanning that will
71. increase the accuracy of the information obtained, reduce network load
72. during the scan, ensure that security fix efforts are strongly focused on
73. the most important systems in the organization, and make it much easier to
74. target reports to individual system administrators.  To facilitate this,
75. Internet Scanner includes many new scan policies targeted towards specific
76. security "Levels".  Five levels are defined in the default policies, and are
77. explained below.  Versions of scan policies are provided for various
78. operating systems, system types, or system use. Internet Scanner uses the 
79. following security levels to define and to implement the most important 
80. tasks for the security program:
81.     
82. Level 1 policies identify which devices are on the network, and what 
83. Operating System they are running.
84.  
85.     * L1 Inventory
86.  
87. Level 2 policies classify the systems based on the application services they
88. offer.
89.  
90.     * L2 Classification
91.     * L2 Database Discovery
92.  
93. Level 3 policies test susceptibility to external system compromise
94. from trivial attacks used by unsophisticated adversaries, or detect signs
95. that the system is already compromised.
96.  
97.     * L3 Desktop
98.     * L3 NT Server
99.     * L3 NT Web Server
100.     * L3 Router & Switch
101.     * L3 Unix Server
102.     * L3 Unix Web Server
103.  
104. Level 4 policies test susceptibility to external system compromise
105. from automated attack tools.
106.  
107.     * L4 NT Server
108.     * L4 NT Web Server
109.     * L4 Router & Switch
110.     * L4 Unix Server
111.     * L4 Unix Web Server
112.  
113. Level 5 policies test resistance to password cracking attacks and
114. susceptibility to external system compromise from very knowledgeable
115. adversaries.
116.  
117.     * L5 NT Server
118.     * L5 NT Web Server
119.     * L5 Unix Server
120.     * L5 Unix Web Server
121.  
122. These security levels are cumulative, that is, all Level 3 checks are 
123. included in the Level 4 and Level 5 policies.  Using cumulative tools 
124. allows your organization to add increased security attention to the 
125. systems that warrant increased attention, without spending increased 
126. effort on less valuable assets.
127.  
128. IMPORTANT NOTE: The old standard policies (Heavy, Medium, and Light) are
129. obsolete and will no longer be updated by ISS.  This is because they
130. do not directly support the goals of increased accuracy, minimized network
131. load, incremental application of security to specific systems, and more
132. targeted report output.  Existing 5.x scan policies have been migrated 
133. forward to 6.0. Adding specific checks to these policies is much easier 
134. with the new policy editor, described below.
135.  
136. See the help file, ISS_NT.chm, for detailed descriptions about each 
137. default scan policy included with Internet Scanner 6.0.
138.  
139.  
140. 1.2 Policy Editor    
141.  
142. The new Policy Editor arranges configurable properties in a folder tree, 
143. letting you sort, group, and browse through global settings, vulnerability 
144. checks, services, and accounts that you can enable for your policy. This
145. Policy Editor replaces the tabbed Configuration dialog box that was used
146. in Internet Scanner 5.x.
147.  
148. Because of the tree structure, it is now simple to do some tasks that were
149. very tedious in the previous versions of Internet Scanner.  In particular,
150. selecting a branch of the tree enables all checks that reside in this branch.
151. For example, clicking the selection box next to the CGI-Bin tree will enable
152. all 23 checks in that category.  Previous versions of Internet Scanner 
153. required the user to select each check individually.
154.  
155. The folder tree settings include:
156.  
157.     * Common Settings (brute force options, ports to scan, etc)
158.     * FlexChecks
159.     * Vulnerabilities
160.     * Services
161.     * Accounts
162.  
163. You can arrange the Policy EditorÆs folder tree in four different views:
164.  
165.     * Standard View (separates the Denial of Service exploits from the 
166.       rest of the vulnerabilities, but still maintains the vulnerability 
167.       categories)
168.  
169.     * Risk View (sorts the vulnerabilities by High, Medium, and Low, but 
170.       does not separate the Denial of Service exploits in the category 
171.       list).  Note that this view makes it very easy to add new high-risk
172.       checks to existing policies.
173.  
174.     * Category View (works like the Standard View, but does not separate 
175.       the Denial of Service exploits in the category list)
176.  
177.     * Built-In/Plug-Ins View (shows categories of the vulnerability 
178.       checks, but distinguishes between Built-In Exploits or Plug-In 
179.       Exploits)
180.  
181. The Policy Editor also contains a browser-enabled window used for:
182.  
183.     * Viewing information on each vulnerability check, such as the 
184.       vulnerabilityÆs description, the platforms affected by the 
185.       vulnerability, the vulnerabilityÆs risk level, the vulnerabilityÆs 
186.       remedy information, and additional reference information.
187.  
188.     * Accessing external Web sites that may contain additional fix 
189.       information, patches, or updates.
190.  
191.     * Linking directly to the X-Force Knowledge Base.
192.  
193. If you want to build a very targeted policy or look for certain kinds of 
194. checks based on similar data, use the Policy Editor's powerful new searching 
195. features to search through names, short descriptions, full descriptions, and 
196. fix information in the vulnerability database. 
197.  
198. To perform focused Boolean searches on the vulnerability checks in the 
199. Policy Editor, use the search engine of the Vulnerability Catalog help file 
200. (VulnCatalog.chm) located in Scanner6/Help or access the help file directly 
201. from the help file, ISS_NT.chm. For example, searching on the text string 
202. "cert" would find all checks that referenced a CERT advisory.
203.  
204.  
205. 1.3 X-Press Updates    
206.  
207. X-Press Updates automatically update your system with the latest plug-in 
208. checks and the latest product updates available for Internet Scanner, 
209. without having to download and to re-install a new version of Internet 
210. Scanner.
211.  
212. X-Press Updates are available from a secure server on the ISS Web site, and 
213. can be installed on your system automatically via the Web using the X-Press 
214. Updates install program. Or, you can download the X-Press Updates from the 
215. ISS Web site using the X-Press Updates install program to your local 
216. directory or to a network share and then choose from either of those 
217. locations which updates you would like to install on your system.
218.  
219. Please note that the X-Press Update install program does not automatically
220. execute when you run Internet Scanner.  You must run this program manually,
221. or schedule execution of the program.  ISS does not use or recommend the
222. use of "push" technologies for security-enforcing products.
223.  
224. For information on how to use X-Press Updates, view the X-Press Updates 
225. help file (XPressUpdate.chm) in Scanner6/XPressUpdate or in Scanner6/Help.
226.  
227. NOTE: These updates must be installed sequentially and removed in reverse 
228. order, which is automatically enforced by the X-Press Updates install program.
229.  
230. There are two e-mail forums that provide information on X-Press Updates and 
231. automatically e-mail you when there are new X-Press Updates for you to 
232. install on your system. See the  product for details on subscribing to these 
233. services.
234.  
235.  
236. 1.4 Database Scanner Integration    
237.  
238. Internet Scanner 6.0 operationally integrates functions of Database Scanner 
239. (Microsoft SQL Server, Oracle, or Sybase Adaptive Server) that have been 
240. deployed in your organization, and assesses the risk associated with those 
241. servers. Through the built in Database Discovery checks for the above 
242. servers, Internet Scanner locates the various database servers on your 
243. network and then will automatically configure and scan those servers by 
244. launching Database Scanner. 
245.  
246. ISS is offering a free, full function Database Scanner license for one each
247. Oracle, Sybase, and SQL Server database to all users of Internet Scanner
248. currently under software maintenance.  Contact your ISS sales representative,
249. send email to sales@iss.net, or visit the ISS Web site at http://www.iss.net
250. for information on getting this Database Scanner license. To get your Database 
251. Scanner license key, visit the ISS web site at http://www.iss.net/prod/dbspromo.
252.  
253.  
254. 1.5 Internet Scanner 5.3 to 6.0 Migration Kit    
255.  
256. Internet Scanner provides capabilities for easily moving Unix vulnerability 
257. data and 5.3 scan policies to 6.0. The command-line migration kit 
258. executables, db2u.exe and u2db.exe, are located in the Scanner6 Tools 
259. directory. The help file, ISS_NT.chm, provides the reference topic "IS 5.3 
260. Unix checks in IS 6.0" that maps the check names from 5.3 into 6.0. Use db2u
261. and u2db to import and to export data in CSV format to and from Internet 
262. ScannerÆs database. To migrate policies from Internet Scanner 5.3 to 
263. Internet Scanner 6.0, copy the 5.3 policy file to Scanner6/Policy, and then 
264. open the policy in the 6.0 Policy Editor.
265.  
266. Note: the vulnerability migration tools db2u.exe and u2db.exe can also be
267. used to move vulnerability data between different instances of Internet
268. Scanner 6.0, or to export the Internet Scanner 6.0 data to an external
269. database system like Oracle for post-scan processing.  The tools translate
270. between Internet Scanner native database format and comma separated value
271. (CSV) format.
272.  
273.  
274. 1.6 New Vulnerability Checks    
275.  
276. Internet Scanner 6.0 includes 67 new vulnerability checks, including more 
277. than 30 new checks for malicious backdoor programs (such as BackOrifice 
278. 2000) that attackers use to remotely control computers:
279.  
280. Risk    VulnID    Check Name                Category
281.  
282. High    625    Perl fingerd                Daemons
283. High    886    SmtpHeloBo                E-mail
284. High    887    SMTP VRFY Buffer Overflow Attempt    E-mail
285. High    888    SMTP EXPN Buffer Overflow Attempt    E-mail
286. High    895    Bind bo                    DNS
287. High    1212    IIS RDS                    Web Scan
288. High    1400    CgiPerlMailPrograms            Web Scan
289. High    1728    Palmetto FTP                FTP
290. High    1740    ColdFusionEvaluator            Web Scan
291. High    1890    QpopperPASSOverflow            E-mail
292. High    2052    CGI Textcounter                CGI-Bin
293. High    2079    WinRouteConfig                Firewalls
294. High    2178    BackdoorPbbser                Backdoors
295. High    2240    CMailCommandBO                E-mail
296. High    2245    SubsevenBackdoor            Backdoors
297. High    2281    IIS HTR Overflow            Web Scan
298. High    2310    EvilFTP Backdoor            Backdoors
299. High    2321    NetSphere Backdoor            Backdoors
300. High    2322    GateCrasher Backdoor            Backdoors
301. High    2324    GirlFriend Backdoor            Backdoors
302. High    2325    Hack'a'tack Backdoor            Backdoors
303. High    2326    BackdoorPhasezero            Backdoors
304. High    2343    BackdoorBo2k                Backdoors
305. High    2384    NetscapeGetBo                Web Scan
306. High    2386    BackdoorComa                Backdoors
307. High    2387    BackdoorForcedentry            Backdoors
308. High    2389    BackdoorBackdoor2            Backdoors
309. High    2390    BackdoorNetmonitor            Backdoors
310. High    3099    BackdoorBlazer5                Backdoors
311. High    3100    BackdoorFrenzy                Backdoors
312. High    3110    BackdoorHvlrat                Backdoors
313. High    3111    BackdoorMillenium            Backdoors
314. High    3112    BackdoorProsiak                Backdoors
315. High    3113    BackdoorHackersparadise            Backdoors
316. High    3118    BackdoorSchwindler            Backdoors
317. High    3119    BackdoorProgenic            Backdoors
318. High    3120    BackdoorTheThing            Backdoors
319. High    3122    BackdoorDeltasource            Backdoors
320. High    3130    BackdoorDoly15                Backdoors
321. High    3131    BackdoorAolAdmin            Backdoors
322. Medium    896    Bind DoS                DNS
323. Medium    1630    UnityMail web server dos        Web Scan
324. Medium    1741    ColdFusionSource            CGI-Bin
325. Medium    1742    ColdFusionSyntaxChecker            CGI-Bin
326. Medium    1744    ColdFusionFileRead            CGI-Bin
327. Medium    1895    IMailIMAPOverflow            E-mail
328. Medium    1899    IMailWhoisOverflow            E-mail
329. Medium    2054    Novell Files Script            CGI-Bin
330. Medium    2055    CGI nphpublish                CGI-Bin
331. Medium    2088    Startech POP3                E-mail
332. Medium    2196    HttpCgiCounterLong            CGI-Bin
333. Medium    2229    IIS ExAir DoS                Web Scan
334. Medium    2239    CmailFileread                E-mail
335. Medium    2241    FTGateRead                E-mail
336. Medium    2242    NTMailFileRead                E-mail
337. Medium    2270    SiteServerCSC                Web Scan
338. Low    1416    iParty denial of service        Daemons
339. Low    1743    ColdFusionFileExists            CGI-Bin
340. Low    1894    VNCDetect                Daemons
341. Low    1921    SMTPforgery                E-mail
342. Low    1928    SMTPrcpt                E-mail
343. Low    1986    VNCDetectNoConn                Daemons
344. Low    1988    VNCNoAuth                Daemons
345. Low    2210    ICQClient                Daemons
346. Low    2211    mSQLDetect                Daemons
347. Low    2227    CDDBD detect                Daemons
348. Low    2388    OracleDetect                Daemons 
349.  
350. Note that Internet Scanner can now produce a report of all checks that are
351. installed (from the View/Installed X-Press Modules menu option), and can list
352. all checks that are enabled in any policy (from the Policy/Properties menu
353. option).  This information can be printed, or copied to the Windows clipboard
354. via a right mouse click.
355.  
356.  
357. 1.7 UDP Port Scanning    
358.  
359. Internet Scanner Version 6.0 performs an exhaustive UDP port scan by using 
360. various UDP packets to determine the status of a port.
361.  
362.  
363. 1.8 New Reports    
364.  
365. In addition to many improvements to existing reports, Internet Scanner 
366. 6.0 now includes Executive level reports in Italian and condensed Host 
367. Vulnerability Summary reports at the Line Management and Technical level.
368. Improvements have been made to reports that are exported to HTML 
369. or Microsoft Word, allowing more effective distribution of security 
370. information in the organization.
371.  
372.  
373. 1.9 New Help System    
374.  
375. The help system now uses HTML pages to display the help information. The 
376. help information for each vulnerability check is taken directly out of 
377. the X-Force database to ensure consistency and accuracy.
378.  
379.  
380. 2.  SYSTEM REQUIREMENTS
381.     -------------------
382.  
383. Internet Scanner 6.0 system requirements are:
384.  
385. 2.1 Processor
386.  
387. 200 MHz Pentium Pro (300 MHz Pentium recommended)
388.  
389. 2.2 Operating System    
390.  
391. Windows NT 4.0 Workstation (with ServicePack 4).  ISS strongly recommends
392. using a dedicated system for scanning. 
393.  
394. ISS is providing beta support for users running Windows 2000 Workstation
395. (Beta 3). The device driver will not work on Windows NT 2000, meaning a small
396. number of checks that require access to raw IP sockets (spoofing, etc) will
397. not work, but other checks and functionality will be unaffected.
398.  
399. IMPORTANT: Internet Scanner is not supported on Windows NT 3.51 or 
400. Windows NT 4.0 Server.
401.   
402. (FOR INTERNATIONAL USERS: ISS does not formally support scanning from 
403. localized versions of Windows NT 4.0 or Windows 2000. If you attempt to 
404. scan from these systems, please report your results to support@iss.net. 
405. The US English version of Windows NT 4.0 supports the display of other 
406. language groups (based on different codepages) shipped with those versions. 
407. (For example, the US version does not ship with character-based Asian
408. languages or Arabic). If you are an international user, you can run US 
409. English Windows NT 4.0 as your OS and still run non-Unicode, non-ISS 
410. applications localized for your area.)
411.  
412. 2.3 Other software    
413.  
414. Microsoft Internet Explorer 4.x or later required to run HTML Help.
415.  
416. 2.4 Memory (RAM)
417.  
418. 80 MB
419.  
420. 2.5 Memory (RAM) required for large scans
421.  
422. 128 MB (Console mode or command line scans recommended)  
423. NOTE: See Known Issue 7.1, Windows NT Problem with Large Scans.
424.  
425. 2.6 Hard Disk    
426.  
427. 180 MB for installation from file
428. 60 MB for installation from CD-ROM
429. Running: 55 MB plus 2.5 MB per 100 hosts
430. NTFS partition recommended
431.  
432. 2.7 User privileges 
433.  
434. Local or Domain Administrator
435.  
436. 2.8 Network 
437.  
438. Ethernet or Token Ring connected to an active network.
439.  
440. CAUTION: Internet Scanner on a Token Ring network does not perform 
441. some vulnerability checks - see the Internet Scanner 6.0 Getting Started 
442. Guide or the Internet Scanner 6.0 User Guide for more details.
443.  
444. 2.9 Protocol 
445.  
446. TCP/IP
447.  
448. 2.10 Display 
449.  
450. Monitor that supports 800x600 resolution with a minimum of 256 colors.
451.  
452.  
453. 3.  Suggestions
454.     -----------
455.  
456. 3.1 Reviewing Configuration When Enabling Vulnerabilities
457.  
458. When you enable a new vulnerability in a policy, review the policy's 
459. configuration settings. 
460.  
461.  
462. 3.2 Reviewing Configuration of Scan Policies from earlier versions 
463.  
464. Some of your 5.x migrated policies may not have all the configuration 
465. variables set that are required to make the policies actually execute once 
466. they have been migrated to 6.0. ISS recommends that you visually inspect your 
467. migrated policies, especially the following variables:
468.  
469.         Web Zone Checks
470.     Sun CMSD BO FlexCheck
471.     IIS HTR Overflow
472.     Linux Inetd
473.  
474. If necessary, turn the variables on or set the appropriate configuration 
475. variables. 
476.     
477.  
478. 3.3 Scanner 6.0 Beta Policies
479.  
480. Scan policies created by Internet Scanner 6.0 Beta may not load or 
481. function properly with the version 6.0 production release. You should 
482. re-enter these policies.
483.  
484.  
485. 3.4 Exporting Scanner Reports to PDF
486.  
487. Exporting Internet Scanner 6.0 Reports to PDF format allows distribution
488. of reports in a widely supported format, as well as preserves the quality 
489. of the original documents and avoids common problems that are associated 
490. with exporting directly from Crystal Reports to Microsoft Word or HTML 
491. format. ISS has identified a tool from Adobe Software called PDFWriter
492. that allows this capability.  PDFWriter acts like a printer driver to Windows
493. applications, but actually outputs the print job to a file in PDF format.
494. Selecting Acrobat PDFWriter Assistant as the printer driver in the 
495. printers Control Panel, print the document using this print driver. 
496. PDFWriter then generates a PostScript file, launches Acrobat Distiller, 
497. asks you to specify a name and location for your PDF file, converts the 
498. PostScript file into a PDF file, and opens the PDF file in an Acrobat viewer. 
499. Acrobat 3.0x and above for Windows includes Acrobat Writer Assistant. The 
500. file can be viewed with any Acrobat reader.
501.  
502. PDFWriter is available from Adobe, at http://www.adobe.com.
503.  
504.  
505. 3.5 Interpreting the Results of UDP Port Scans
506.  
507. UDP port scanning is subject to possible variable results, due to the
508. fundamental differences between UDP and TCP.  Since UDP is an unreliable
509. (datagram) protocol, there is no equivalent of the TCP 3 Way handshake that
510. can be used to identify the existence of services listening on particular
511. ports.  Instead, the target system will respond with ICMP Port Unreachable
512. messages (ICMP type 3, code 3).  However, ICMP itself is an unreliable
513. protocol, so these packets can be dropped or lost due to host or network
514. contention.  Further complicating the matter is technology built into certain
515. operating systems to throttle the generation of ICMP unreachable messages -
516. Linux and Solaris in particular implement this technology.
517.  
518. ISS recommends analyzing the results reported from UDP port scans.  If it
519. appears that an excessive number of ports are reported as active, ISS
520. recommends scanning individual hosts to verify the results, and tuning the
521. UDP port scan parameters down (i.e. increase the wait between UDP packets
522. sent by the scanner) to lessen the load on the network or host, and to avoid
523. operating system security mechanisms that will degrade the accuracy of the
524. results.  ISS recommends that the UDP Smart Filter be disabled for these
525. verification tests.
526.  
527. See the Help section for the UDP port scan for details on tuning the UDP
528. scan parameters.
529.  
530.  
531. 3.6 Maximum Parallel Scan Threads
532.  
533. The Maximum Parallel Scan Threads default setting is 128. To reduce the 
534. impact of Internet Scanner on system resource consumption, reduce this 
535. setting to 64 in the Internet Scanner Tools Menu, Options. 
536.  
537.  
538. 4. Installing the Raw Packet Driver
539.    --------------------------------
540.  
541. To install the ISS Raw Packet Driver, follow these steps:
542.  
543. 1. From the Windows NT desktop, right-click the Network Neighborhood
544. icon and select Properties. This action is a shortcut to the Network 
545. control panel.
546. 2. Click the Services tab to display the installed network services.
547. 3. Click Add to display the Select Network Service window.
548. 4. Click Have Disk to display the Insert Disk window.
549. 5. The Insert Disk window requests the location of the driver software.
550. The default path is C:\Program Files\ISS\Scanner6\Driver. Otherwise, the
551. ISS Raw Packet Driver is located in the Driver folder where Internet
552. Scanner was installed.
553. 6. Click OK to display the Select OEM Options window.
554. 7. Select the ISS Raw Packet Driver software and click OK. The ISS
555. Raw Packet Driver appears in the Network control panel.
556. 8. Click OK to close this window.
557. 9. Reboot your NT system.
558.  
559.  
560. 5.   Setup
561.      -----
562.  
563. Setting TCP/IP Parameters
564.  
565. When Windows NT attempts to make a socket connection, it sends out a SYN
566. packet to the remote computer, and waits for a reply. If no reply occurs
567. within the time out period (three seconds by default), it then doubles 
568. the time out period, and retries the connection attempt.  
569.  
570. Every socket left open in this state consumes non-pageable kernel
571. memory, and if too many sockets are not resolved, the host can run out
572. of RAM. Since the problem is caused by non-pageable RAM consumption,
573. Windows NT will essentially halt, and you will experience approximately
574. two minute waits on response to toggling a caps lock key. The system will
575. eventually recover, but it could take hours. ISS has advised Microsoft
576. of this problem, and advised them that the amount of non-page pool that
577. open sockets can consume should be a tunable parameter. However, Microsoft
578. has not (to the best of ISS' knowledge) conceded that this is actually a
579. problem, and to be fair, only an extremely intensive application such as 
580. Internet Scanner may be capable of reproducing this problem.
581.  
582. This problem typically occurs while scanning a network where ICMP traffic is
583. filtered. If ICMP traffic is not filtered, the host machine can reply to a
584. connection attempt with either a SYN-ACK (success), or an ICMP port
585. unreachable. In either case, the connection attempt can be resolved. 
586.  
587. To avoid this potential performance degradation, open the Registry editor
588. (either regedit.exe, or regedt32.exe), locate the 
589. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters key, 
590. and insert the following values:
591.   
592. TcpMaxConnectAttempts, with type REG_DWORD, and a value of 3,
593. TcpMaxConnectRetransmissions, with type REG_DWORD, and a value of 3 
594.  
595. You must restart your system before these changes will take effect. For 
596. additional information regarding these parameters, please consult your 
597. Windows NT Resource Kit.
598.  
599. If you want to see how the scan is progressing, run a tail -f on the
600. temporary log files (located in the .\tmp directory with a .tmplog 
601. extension).  If you do not have UNIX CLI utilities, these utilities may 
602. be available at ftp://ftp.cc.utexas.edu/microlib/nt/gnu/. Or, you can type 
603. the file to a command prompt. In the GUI version, you can view the status 
604. window.
605.  
606. Internet Scanner lets you scan the local host without a key. If you want 
607. to evaluate the product further and scan other machines on your network, 
608. you can obtain an expanded key from sales@iss.net or by calling 
609. 1-800-776-2362.
610.  
611. WARNING: Internet Scanner can inflict various denial of service
612. attacks. Be very careful when you enable these scans. ISS has run into 
613. instances where scans that were not known to cause denial of service 
614. actually did so. This situation is unusual, but has been known to occur.
615.  
616. WARNING: The OOB check WILL crash your host if you have not patched it.
617.  
618. Remember to reboot your system or the Raw Packet Driver won't work. 
619.  
620.  
621. 6.  Tools
622.     -----
623.  
624. Internet Scanner tools and utilities are located in the Scanner6 Tools 
625. directory. 
626.  
627. The following tools are developed and supported by ISS:
628.  
629. 6.1 Internet Scanner 5.3 to 6.0 Migration Utilities
630.  
631. Internet Scanner provides capabilities for easily moving 5.3 vulnerability 
632. data and 5.3 scan policies to Windows NT. The command-line migration kit 
633. executables, db2u.exe and u2db.exe, are located in the Scanner6 Tools 
634. directory. The help file, ISS_NT.chm, provides a reference topic "IS 5.3 
635. Unix checks in IS 6.0" that maps the checks from 5.3 into 6.0. 
636.  
637. Use db2u and u2db to import and to export data in CSV format to and from 
638. Internet ScannerÆs database. To migrate policies from Internet Scanner 5.3 
639. to Internet Scanner 6.0, copy the 5.3 policy file to Scanner6/Policy, and 
640. then load the policy in the Policy Editor.
641.  
642. Db2u v1.0 will take an entry in NT Internet Scanner 6.0 database and convert 
643. the entry to CSV files that the UNIX Internet Scanner 5.3 can read and 
644. create reports with. Usage:
645.  
646. db2u "list"
647. or
648. db2u <jobid | "last"> <directory>
649.  
650. "db2u list" will print out a table of all the current scans that are in the 
651. 6.0 database. The table contains the job ID of the scan, the date and time 
652. the scan started, session file name and any comment entered for that scan.  
653. If the jobid is known or discovered by doing a list, then it is easy to 
654. extract the information. For example, if the jobid of the scan you want
655. to extract is 4 and you want to put it in a directory named "CSVScan4",
656. type: 
657.  
658. "db2u 4 C:\CSVScan4"
659.  
660. The directory will now contain the CSV files necessary for the UNIX
661. scanner to create a report. "db2u last C:\CSVScanLast" will put the latest 
662. scan that is in the NT Internet Scanner 6.0 database and put it into CSV 
663. format in the directory CSVScanLast.
664.  
665. NOTE: The program db2u will not auto create the destination directory. The 
666. directory needs to exist before the program is run. 
667.  
668. U2db v1.0 will take a directory that contains CSV files generated by the 
669. UNIX Internet Scanner 5.3 and import them into the NT Internet Scanner 
670. 6.0 database. Usage:
671.  
672. u2db <directory>
673.  
674. The program u2db works by entering the directory that contains the CSV 
675. files that you would like to import into the NT Internet Scanner 6.0.  
676. Once successful, a report can be made by using the NT Internet Scanner 6.0.
677.  
678. NOTE: Currently the program u2db will only look for scans with the prefix 
679. "iss". If the scan you are attempting to import has a different prefix, it 
680. will not work.
681.  
682.  
683. 6.2 Pinger Utility
684.  
685. The pinger utility, pinger.exe, will send ICMP echo requests to a range of 
686. IP addresses and track the hosts that respond. See the document 
687. pingerdoc.txt located in the Scanner6 Tools directory for instructions. 
688.  
689.  
690. 7.  Known Issues
691.     ------------
692.  
693. 7.1 Windows NT Problem with Large Scans
694.  
695. Certain scanning situations have been found to exercise a bug in Windows NT 
696. which causes Windows NT to crash with an error in the RDR.SYS driver.  If
697. you want to run large scans, please follow these recommendations:
698.  
699.     * Refrain from using multiple concurrent sessions.
700.  
701.     * Use the Ping all Hosts in Range option when scanning from the GUI.
702.  
703.     * Use the PINGER.EXE found in the tools directory to screen out
704.        inactive hosts when performing command-line scans.
705.  
706.     * Break up large scans into multiple smaller sessions.
707.  
708.     * Use a dedicated scan machine with no other applications running.
709.  
710. This problem has been reported to Microsoft.  ISS is working with Microsoft to
711. resolve this situation.  If you are unable to follow these recommendations, 
712. please contact ISS technical support for further assistance.
713.  
714.  
715. 7.2 Raw Packet Driver with PGP 6.5
716.  
717. PGPnet application of PGP 6.5 is present on the PC and Internet 
718. Scanner 6.0 Raw Packet Driver is installed:   Since PGPnet is a 
719. "network-based" sub-application of PGP, it will effectively impose its 
720. adapter configuration settings on the machine if:  (1) You elect to proceed 
721. on with the PGPnet installation prompts after installing the ISS raw packet 
722. driver and re-booting, and (2) The installation host has only one available 
723. network card installed.  This means that any previous network card definitions 
724. and settings will be suppressed, and the administrator will not be given the 
725. option to select his previous adapter settings while in the "TCP/IP 
726. properties" panel in Control Panel/Network. The result is that you will lose 
727. previous network connectivity to/from the host.   
728. To avoid this issue: (1) Disable PGPnet control of the network card under the 
729. "Programs -> PGP - > PGPnet -> Set Adapter " menu option (if PGPnet is already 
730. in control) or (2) After you have installed the ISS Raw Packet driver and 
731. re-booted, "cancel" out of the PGPnet configuration prompts to 'Secure a 
732. Network Card' (This means that you will not be able to use PGPnet on a host 
733. with a single network card).
734.  
735.  
736. 7.3 Traceroute Check
737.  
738. TraceRoute is based on ICMP and UDP, which are known to be unreliable 
739. protocols. This check may potentially lose packets, resulting in false 
740. negatives when combined in a policy with other checks that produce high 
741. amounts of network traffic (UDP Port Scan, synflood, etc.).
742.  
743.  
744. 7.4 TelnetOpen Check
745.  
746. The telnetOpen check may result in a Denial of Service if you run it against a 
747. machine that is running the Startech POP3 server. This machine will remain in 
748. a functioning state but the service is disabled.
749.  
750.  
751. 7.5 Rwhod and Rwhod-vuln
752.  
753. In previous releases, rwhod and rwhod-vuln were separate vulnerabilities. In 
754. version 6.0, rwhod will show up as a service found, not a vulnerability, and 
755. rwhod-vuln will remain a vulnerability.
756.  
757.  
758. 7.6 ICQ Client
759.  
760. The ICQClient may bind at any port, causing inconsistent behavior from one 
761. boot to the next. The ICQClient check has been configured to scan the most 
762. likely ports, using a default port range from 1024 to 2124. Scanning this 
763. entire port range could take a considerable amount of time, as the check 
764. determines if the client is bound to a port somewhere within the default 
765. range.  However, it is possible that the client may be bound outside the 
766. port range entered, which could result in a false negative.
767.  
768.  
769. 7.7 FlexChecks 
770.  
771. The 3 FlexChecks: SUN CMSD BO, Lotus LDAP BO, and AMD-BO are not included 
772. during installation, and instead have been placed on ISS' Web site at 
773. www.iss.net.
774.  
775.  
776. 7.8 RipAppend Check
777.  
778. The RipAppend check has been disabled due to false positives.  This issue 
779. will be resolved in the next release.
780.  
781.  
782. 7.9 Error Exiting Scanner with Multiple Sessions Open
783.  
784. It has been reported that when exiting the Scanner program with multiple 
785. sessions still open an exception error may sometimes occur. This will not 
786. affect your machine or your data. If you experience this please email ISS 
787. technical support with a screen shot of the exception. 
788.  
789.  
790. 8.  Scanner 5.81 Issues Resolved in 6.0
791.     -----------------------------------
792.  
793. 8.1 Cwdleak Check
794.  
795. The cwdleak check, which consistently returned false positives in the 5.x 
796. releases, has been fixed in 6.0.
797.  
798.  
799. 8.2 SNMPShowInterface Check
800.  
801. The SNMPShowInterface caused an exception in 5.x; this has been 
802. corrected in 6.0.
803.  
804.  
805.