Kwestia bezpieczeństwa zawsze będzie bardzo ważnym filarem w organizacji i w każdym realizowanym przez nas zadaniu, ponieważ od tego zależy dostępność i integralność wszystkich informacji, którymi się zajmujemy i za które odpowiadamy.
Istnieje wiele narzędzi, protokołów i zadań, które możemy zastosować w ramach naszych ról, aby poprawić lub wdrożyć ulepszenia bezpieczeństwa w środowiskach komputerowych, ale dzisiaj przeanalizujemy szczegółowo dwa narzędzia, które będą kluczowe przy skanowaniu Tak Weryfikacja zakresu adresów IP. W ten sposób możemy mieć bardziej szczegółową kontrolę nad całym routingiem naszej sieci.
Dwa narzędzia, którym się przyjrzymy, to: Zmap Tak NmapAle do czego służą i jak pomogą w naszych rolach?
Solvetic udzieli odpowiedzi na te odpowiedzi w prosty i głęboki sposób.
Co to jest ZmapZmap to narzędzie typu open source, które pozwala nam wykonać skanowanie sieci w celu określenia błędów i możliwych awarii co ma kluczowe znaczenie dla jego optymalnego działania i stabilności.
Jedna z wielkich zalet Zmap polega na tym, że skaner może to zrobić szybko, mniej niż 5 minut, co znacznie zwiększa wyniki, które musimy dostarczyć jako administratorzy lub personel pomocniczy.
Wśród zalet korzystania z Zmapa mamy:
- Zmap może monitorować dostępność usługi.
- Zmap jest wieloplatformowy (Windows, Linux, Mac OS itp.) i jest całkowicie darmowy.
- Możemy użyć Zmapa do analizy konkretnego protokołu.
- Zmap daje nam możliwość zrozumienia systemów rozproszonych w Internecie.
Kiedy uruchamiamy Zmapa, całkowicie eksplorujemy cały zakres adresów IPv4, więc uruchamiając narzędzie analizujemy prywatne adresy IPv4, więc musimy być bardzo ostrożni nie dopuszczać się czynów naruszających prywatność organizacji lub osoby.
Co to jest NmapNmap (Network Mapper) to potężne narzędzie, które daje nam możliwość audyt bezpieczeństwa sieci i odkryj komputery z nim połączone.
To narzędzie może być używane do testy penetracyjne, czyli w celu sprawdzenia, czy nasza sieć nie jest podatna na ataki hakerów.
Z Nmapem mamy pod ręką narzędzie, które daje nam szybkie skanowanie dużych sieci lub komputerów indywidualny. Do swojej analizy Nmap wykorzystuje pakiety IP do określenia, jakie komputery są dostępne w sieci, jakie usługi oferują te komputery, jaki system operacyjny jest aktualnie używany i jaki typ zapory jest zaimplementowany, a następnie dokonuje odpowiedniej analizy.
Wśród zalet, jakie mamy podczas korzystania z Nmapa, mamy:
- Wykrywanie sprzętu w czasie rzeczywistym w sieci.
- Wykrywa otwarte porty na tych komputerach, a także oprogramowanie i wersję tych portów.
- Wykryj obecne luki w zabezpieczeniach.
- Wykrywa adres sieciowy, system operacyjny i wersję oprogramowania każdego komputera.
- Jest to narzędzie przenośne.
- Nmap jest wieloplatformowy (obsługuje Windows, FreeBSD, Mac OS, itp.).
Różnice między Zmap i NmapIstnieją pewne różnice między tymi dwoma narzędziami, o których wspominamy poniżej:
- Za pomocą Nmapa nie możemy skanować dużych sieci, jeśli to możliwe, za pomocą Zmapa.
- Zmap wykonuje skanowanie znacznie szybciej niż Nmap.
- Nmap może być używany w graficznym mogo, pobierając narzędzie ZenMap.
- Za pomocą Nmapa możemy analizować wiele portów, podczas gdy za pomocą Zmap możemy analizować pojedynczy port.
- Zasięg Zmapa jest znacznie większy niż Nmapa.
- Nmap utrzymuje stan dla każdego połączenia, podczas gdy Zmap nie utrzymuje żadnego stanu w połączeniach, co zwiększa jego prędkość.
- Nmap wykrywa utracone połączenia i przekazuje żądania, Zmap tylko wysyła pakiet żądań do miejsca docelowego, co pozwala uniknąć przeróbek.
- Nmap jest przeznaczony do małych skanerów sieciowych lub pojedynczych komputerów, podczas gdy Zmap jest przeznaczony do skanowania całej sieci internetowej w mniej niż 45 minut.
Zauważamy, że różnice między jednym a drugim narzędziem są zauważalne i zależy to od potrzeb, jakie mamy w danym momencie.
1. Jak używać i analizować za pomocą Zmap
Do tej analizy użyjemy Ubuntu 16 jako platformy do użycia Zmap.
Aby zainstalować Zmapa użyjemy następującego polecenia:
sudo apt zainstaluj zmap
Mamy nadzieję, że wszystkie pakiety zostaną pobrane i zainstalowane, aby zacząć używać Zmap na Ubuntu 16.
Używanie Zmap w Ubuntu
Aby rozpocząć korzystanie z Zmap, pierwsze polecenie, które będzie bardzo pomocne, to:
zmap -pomocKtóre pokazują nam następujące opcje:
Następnie zobaczymy kilka sposobów, z których możemy korzystać Zmap w Ubuntu.
Zmap -pZa pomocą tego parametru możemy skanować wszystkie komputery znajdujące się na porcie TCP 80 w sieci.
Oprócz tego parametru mamy możliwość zapisania wyniku w pliku tekstowym, do tego użyjemy następującej składni.
sudo zmap -p (Port) -o (Nazwa pliku)
Po przetworzeniu analizy zobaczymy wyniki w pliku tekstowym do ich odpowiedniej edycji. Możemy ograniczyć wyszukiwanie do zakresu adresów IP, używając następującej składni:
sudo zmap -p (Port) -o (Text.csv) Zakres adresów IPW tym przypadku przeskanujemy wszystkie komputery korzystające z portu TCP 80 w zakresie adresów 192.168.1.1
Po zakończeniu procesu zobaczymy nasz plik w folderze domowym Ubuntu 16:
Sudo zmap -SParametr -S odnosi się do źródła lub zasobu portu. Na przykład możemy mieć następującą składnię:
sudo zmap -s 555 -S 192.168.0.1 62.168.1.0/16 -p 80W tym przypadku wskazujemy, że portem źródłowym, który wyśle pakiety będzie 555, a adresem źródłowym będzie 192.168.0.1
Dodatkowe parametry do użycia z ZmapIstnieją inne parametry, które będą bardzo przydatne podczas korzystania z Zmap i wyświetlania lepszych wyników, są to:
-BTa wartość pozwala nam zdefiniować prędkość w bitach na sekundę, która będzie wysyłana przez Zmap.
-orazPozwala nam na zdefiniowanie adresów IP przez permutację, jest to przydatne, gdy używamy Zmap w różnych konsolach i z różnymi zakresami adresów.
-rPozwala nam zdefiniować stawkę wysyłek paczek, które będą realizowane co sekundę.
-TOdnosi się do liczby jednoczesnych wątków, których Zmap będzie używał do wysyłania pakietów.
-sWskazuje port źródłowy, z którego pakiety trafią na adres docelowy.
-SWskazuje źródłowy adres IP, z którego pakiety będą wysyłane do skanowania.
-iOdnosi się do nazwy interfejsu sieciowego używanego do skanowania.
-MPrzetestuj moduły zaimplementowane za pomocą Zmap.
-XWysyłaj pakiety IP (przydatne w przypadku sieci VPN).
-GKorzystając z tej opcji możemy określić adres MAC bramki
-IPozwala nam na wprowadzanie wpisów w wygenerowanym pliku.
-VWyświetl wersję Zmap
Edycja plików konfiguracyjnych Zmap
W Zmap są dwa istotne pliki do obsługi i edycji parametrów Zmap.
To są:
/etc/zmap/zmap.confPlik ten pozwala nam skonfigurować wartości narzędzi, takie jak porty skanowania, przepustowość itp.
Do jego edycji możemy użyć edytora VI lub Nano.
/etc/zmap/blacklist.confPlik ten pozwala nam skonfigurować listę zakresów adresów IP zablokowanych do skanowania ze względów administracyjnych lub prywatności.
W ten sam sposób możemy dodać zakres adresów, jeśli chcemy, aby nie były skanowane przez Zmap.
Jak widać, Zmap oferuje nam szeroką gamę opcji zarządzania procesem skanowania komputerów i sieci.
2. Jak używać i analizować za pomocą Nmap
Aby zainstalować Nmapa, w tym przypadku na Ubuntu 16, użyjemy następującego polecenia:
sudo apt zainstaluj nmap
Akceptujemy rozpoczęcie procesu pobierania i instalacji odpowiednich pakietów. Aby skorzystać z pomocy Nmapa, możemy użyć następującego polecenia:
Nmap -pomoc
Tam otrzymujemy dostęp do wszystkich parametrów, które można zaimplementować za pomocą Nmapa.
Podstawowe parametry do rozpoczęcia procesu skanowania są następujące:
- -v: Ta opcja zwiększa poziom szczegółowości (pełny).
- -DO: Umożliwia wykrywanie systemu operacyjnego, skanowanie skryptów i śledzenie ścieżki.
Na przykład użyjemy następującej składni dla Solvetic.com:
sudo nmap -v -A Solvetic.com
Możemy wyświetlać informacje tak ważne jak:
- Wykryte porty TCP na każdym komputerze docelowym wskazując jego odpowiedni adres IP
- Ilość porty do analizy, domyślnie 1000.
Widzimy postęp skanowania, a po zakończeniu procesu zobaczymy:
Widzimy pełne podsumowanie wykonanego zadania. Jeśli zależy nam na szybszym skanowaniu, po prostu użyj następującej składni:
nmap adres_IP
Możemy zobaczyć podsumowanie, ile portów jest zamkniętych, a ile otwartych w adresie docelowym.
Parametry do użycia z NmapNiektóre parametry, które możemy zaimplementować za pomocą Nmapa i które będą bardzo pomocne w zadaniach skanowania i monitorowania, to:
-NSTen parametr umożliwia skanowanie portów TCP bez konieczności bycia użytkownikiem uprzywilejowanym.
-H.HJest to skanowanie TCP SYN, to znaczy wykonuje skanowanie bez pozostawiania śladów w systemie.
-sATen parametr wykorzystuje komunikaty ACK, aby system mógł wysłać odpowiedź, a tym samym wykryć, które porty są otwarte.
-jegoTen parametr skanuje porty UDP.
-sN / -sX / -sFMoże ominąć źle skonfigurowane zapory i wykryć usługi działające w sieci.
-sPTen parametr identyfikuje systemy, które są nadrzędne w sieci docelowej.
-POŁUDNIOWY ZACHÓDTa opcja identyfikuje protokoły wyższego poziomu w warstwie trzeciej (Sieć).
-sVTa opcja pozwala określić, które usługi są otwarte przez porty w systemie docelowym.
Oprócz tych parametrów możemy uwzględnić następujące, aby proces skanowania jest wydajny:
-nNie wykonuje konwersji DNS
-bOkreśla, czy drużyna docelowa jest podatna na „atak odbicia”
-vvPozwala uzyskać szczegółowe informacje na konsoli.
-FUmożliwia fragmentację, co utrudnia wykrycie przez zaporę sieciową.
-naPozwala nam na wygenerowanie raportu.
-POTa opcja zapobiega wysyłaniu pingów do celu przed rozpoczęciem analizy.
W tym przykładzie stworzyliśmy następującą linię:
nmap -sS -P0 -sV -O nazwa hostaGdzie zastępujemy nazwę hosta nazwą strony internetowej lub adresem IP, który ma zostać przeanalizowany. Otrzymany wynik będzie następujący:
Tam widzimy, że Nmap wykrył system operacyjny, otwarte i zamknięte porty itp.
Dodatkowe opcje do użycia z Nmap
Istnieje kilka ważnych narzędzi, których możemy używać z Nmapem, takich jak:
Pinguj zakres adresów IPDo tego zadania pingujemy adresy z zakresu 192.168.1.100 do 254, w tym celu wpisujemy:
nmap -sP 192.168.1.100-254
Pobierz listę serwerów z otwartymi portamiAby uzyskać tę listę, użyjemy następującej składni, biorąc jako przykład zakres adresów 192.168.1.*:
nmap -sT -p 80 -oG - 192.168.1 * | grep otwarty
Twórz zeskanowane wabiki, aby uniknąć wykryciaJest to bardzo ważne, ponieważ jeśli zostaniemy wykryci, cały proces skanowania może zostać utracony, ale musimy również ponosić odpowiedzialność za skanowanie, ponieważ pamiętamy, że nie można go używać w zabronionych sieciach.
W tym celu użyjemy tej składni jako przykładu:
sudo nmap -sS 192.168.0.10 -D 192.168.0.1
Skanuj wiele portów jednocześnieMożemy jednocześnie skanować kilka portów na komputerze docelowym, w tym przypadku przeskanujemy porty 80, 21 i 24 adresu IP 192.168.1.1, wynik jest następujący:
Możemy zobaczyć, jaką akcję wykonuje port w czasie rzeczywistym.
Skorzystaj z analizy FINTa analiza wysyła pakiet do komputera docelowego z flagą, czyli flagą FIN, w celu wykrycia zachowania zapory przed wykonaniem głębokiej analizy, do tego używamy parametru -sF.
W tym przypadku użyjemy następującej linii:
sudo nmap -sF 192.168.1.1
Sprawdź wersję komputera docelowegoDo tych informacji użyjemy -parametr sV co zwróci wersję oprogramowania, która jest aktualnie wykonywana na komputerze docelowym.
Widzieliśmy, jak te dwa narzędzia będą bardzo pomocne w całym zadaniu skanowanie i analiza procesu komunikacji z zespołami docelowymi. Analizy audytu są zawsze konieczne, bez względu na system Windows, Windows Server, Linux, Mac itp. Będziemy nadal zwiększać te informacje.
Analiza podatności za pomocą OpenVAS
