Spørgsmålet om sikkerhed vil altid være en meget vigtig søjle i en organisation og i hver opgave, vi udfører, da tilgængeligheden og integriteten af alle de oplysninger, vi håndterer, afhænger af det og er under vores ansvar.
Der er mange værktøjer, protokoller og opgaver, som vi kan anvende inden for vores roller for at forbedre eller implementere sikkerhedsforbedringer i computermiljøer, men i dag vil vi analysere to detaljeret værktøjer, der vil være afgørende for scanning Y Verifikation af IP -adresseinterval. På denne måde kan vi have mere specifik kontrol over al routing af vores netværk.
De to værktøjer, som vi vil se på, er Zmap Y NmapMen hvad er de til, og hvordan vil de hjælpe vores roller?
Solvetic vil give svaret på disse svar på en enkel og dyb måde.
Hvad er ZmapZmap er et open source -værktøj, der giver os mulighed for udføre en netværksscanning for at fastslå fejl og mulige fejl hvilket er afgørende for dets optimale drift og stabilitet.
En af de store fordele ved Zmap er, at scanneren kan gøre det hurtigt, mindre end 5 minutter, hvilket væsentligt øger de resultater, vi skal levere som administratorer eller supportpersonale.
Blandt fordelene ved at bruge Zmap har vi:
- Zmap kan overvåge tilgængeligheden af tjenesten.
- Zmap er multiplatform (Windows, Linux, Mac OS osv.) Og helt gratis.
- Vi kan bruge Zmap til at analysere en bestemt protokol.
- Zmap giver os mulighed for at forstå distribuerede systemer på internettet.
Når vi kører Zmap, er vi fuldstændig ved at udforske hele spektret af IPv4 -adresser, så når vi kører værktøjet, analyserer vi private IPv4 -adresser, så vi skal være meget forsigtige med at ikke begår handlinger mod en organisations eller persons privatliv.
Hvad er NmapNmap (Network Mapper) er et kraftfuldt værktøj, der giver os mulighed for revidere sikkerheden i et netværk og opdag computere, der er forbundet til det.
Dette værktøj kan bruges til penetrationstest, det vil sige at validere, at vores netværk ikke er følsomt over for angreb fra hackere.
Med Nmap har vi et værktøj ved hånden, der giver os en hurtig scanning af store netværk eller computere individuel. Til sin analyse bruger Nmap IP -pakker til at bestemme, hvilke computere der er tilgængelige på netværket, hvilke tjenester disse computere tilbyder, hvilket operativsystem der i øjeblikket bruges, og hvilken type firewall der er implementeret, og derfra foretage den respektive analyse.
Blandt de fordele, vi har ved brug af Nmap, har vi:
- Registrering af udstyr i realtid på netværket.
- Det registrerer de åbne porte på disse computere samt softwaren og versionen af disse porte.
- Find aktuelle sårbarheder.
- Det registrerer netværksadressen, operativsystemet og softwareversionen af hver computer.
- Det er et bærbart værktøj.
- Nmap er tværgående (understøtter Windows, FreeBSD, Mac OS osv.).
Forskelle mellem Zmap og NmapDer er nogle forskelle mellem de to værktøjer, som vi nævner nedenfor:
- Med Nmap kan vi ikke scanne store netværk, med Zmap om muligt.
- Zmap udfører scanningen meget hurtigere end Nmap.
- Nmap kan bruges i grafisk mogo ved at downloade ZenMap -værktøjet.
- Med Nmap kan vi analysere flere porte, mens vi med Zmap kan analysere en enkelt port.
- Dækningen af Zmap er meget større end Nmap.
- Nmap opretholder tilstanden for hver forbindelse, mens Zmap ikke opretholder nogen tilstand i forbindelserne, hvilket øger dens hastighed.
- Nmap registrerer de tabte forbindelser og videresender anmodningerne, Zmap sender kun en pakke anmodninger til en destination, som undgår omarbejde.
- Nmap er designet til små netværksscannere eller individuelle computere, mens Zmap er designet til at scanne hele internetnetværket på mindre end 45 minutter.
Vi bemærker, at forskellene mellem et værktøj og et andet er bemærkelsesværdige, og det afhænger af de behov, vi har på det tidspunkt.
1. Sådan bruges og analyseres med Zmap
Til denne analyse vil vi bruge Ubuntu 16 som platform til brug Zmap.
For at installere Zmap bruger vi følgende kommando:
sudo apt installere zmap
Vi håber, at alle pakker downloades og installeres for at begynde at bruge Zmap på Ubuntu 16.
Brug af Zmap i Ubuntu
For at begynde at bruge Zmap er den første kommando, der vil være til stor hjælp:
zmap -hjælpSom viser os følgende muligheder:
Dernæst vil vi se nogle af de måder, vi kan bruge Zmap i Ubuntu.
Zmap -pMed denne parameter kan vi scanne alle de computere, der er på TCP -port 80 på netværket.
Ud over denne parameter har vi mulighed for at gemme resultatet i en tekstfil, til dette vil vi bruge følgende syntaks.
sudo zmap -p (Port) -o (Filnavn)
Når analysen er behandlet, ser vi resultaterne i en tekstfil til deres respektive udgave. Vi kan begrænse søgningen til en række IP -adresser ved hjælp af følgende syntaks:
sudo zmap -p (Port) -o (Text.csv) Range IP -adresserI dette tilfælde vil vi scanne alle de computere, der bruger TCP -port 80 i adresseområdet 192.168.1.1
Når processen er færdig, ser vi vores fil i startmappen i Ubuntu 16:
Sudo zmap -SParameteren -S refererer til portens kilde eller ressource. For eksempel kan vi have følgende syntaks:
sudo zmap -s 555 -S 192.168.0.1 62.168.1.0/16 -p 80I dette tilfælde angiver vi, at kildeporten, der sender pakkerne, vil være 555, og kildeadressen vil være 192.168.0.1
Ekstra parametre til brug med ZmapDer er andre parametre, der vil være meget nyttige, når du bruger Zmap og viser bedre resultater, disse er:
-BDenne værdi giver os mulighed for at definere hastigheden i Bits per sekund, der skal sendes af Zmap.
-ogDet giver os mulighed for at definere IP -adresser ved permutation, dette er nyttigt, når vi bruger Zmap i forskellige konsoller og med forskellige adresser.
-rDet giver os mulighed for at definere hastigheden af pakkeforsendelser, der skal foretages hvert sekund.
-TDet refererer til antallet af samtidige tråde, som Zmap vil bruge til at sende pakker.
-sAngiver kildeporten, hvorfra pakkerne går til destinationsadressen.
-SAngiver kilde -IP -adressen, hvorfra pakkerne forlader scanningen.
-jegHenviser til navnet på den netværksgrænseflade, der bruges til scanningen.
-MTest de moduler, der er implementeret med Zmap.
-XSend IP -pakker (nyttig til VPN'er).
-GVed hjælp af denne mulighed kan vi angive gatewayens MAC -adresse
-lDet giver os mulighed for at indtaste poster i den genererede fil.
-VVis Zmap -versionen
Redigering af Zmap -konfigurationsfiler
I Zmap er der to vitale filer til betjening og redigering af Zmap -parametrene.
Disse er:
/etc/zmap/zmap.confDenne fil giver os mulighed for at konfigurere værktøjsværdier såsom scanningsporte, båndbredde osv.
For at redigere det kan vi bruge VI- eller Nano -editoren.
/etc/zmap/blacklist.confDenne fil giver os mulighed for at konfigurere listen over IP -adresser, der er blokeret til scanning af administrations- eller fortrolighedshensyn.
På samme måde kan vi tilføje en række adresser, hvis vi ønsker, at de ikke skal scannes af Zmap.
Som vi kan se, tilbyder Zmap os en bred vifte af muligheder for styring af scanningsprocessen for computere og netværk.
2. Sådan bruges og analyseres med Nmap
For at installere Nmap, i dette tilfælde på Ubuntu 16, bruger vi følgende kommando:
sudo apt installer nmap
Vi accepterer at starte download- og installationsprocessen for de respektive pakker. For at konsultere hjælp fra Nmap kan vi bruge følgende kommando:
Nmap -hjælp
Der får vi adgang til alle de parametre, der kan implementeres ved hjælp af Nmap.
De grundlæggende parametre for at starte scanningsprocessen er som følger:
- -v: Denne indstilling øger omfanget af ordlighed (Verbose).
- -TIL: Aktiverer OS -registrering, scriptscanning og sporsti.
For eksempel vil vi bruge følgende syntaks for Solvetic.com:
sudo nmap -v -A Solvetic.com
Vi kan vise lige så vigtige oplysninger som:
- TCP -porte, der er fundet på hver destinationscomputer, der angiver dens respektive IP -adresse
- Mængde af havne at analysere, som standard 1000.
Vi kan se scanningsforløbet, og når vi har gennemført processen, ser vi følgende:
Vi kan se et komplet resumé af den udførte opgave. Hvis vi ønsker en hurtigere scanning, skal du bare bruge følgende syntaks:
nmap IP_adresse
Vi kan se en oversigt over, hvor mange porte der er lukkede, og hvor mange der er åbne i destinationsadressen.
Parametre, der skal bruges med NmapNogle af de parametre, vi kan implementere med Nmap, og som vil være til stor hjælp for scannings- og overvågningsopgaven, er følgende:
-sTDenne parameter foretager en scanning af TCP -portene uden at skulle være en privilegeret bruger.
-H.HDet er en TCP SYN -scanning, det vil sige, at den udfører scanningen uden at efterlade et spor på systemet.
-sADenne parameter bruger ACK -meddelelser, for at systemet kan udsende et svar og dermed opdage, hvilke porte der er åbne.
-detDenne parameter scanner UDP -portene.
-sN / -sX / -sFDet kan omgå fejlkonfigurerede firewalls og registrere de tjenester, der kører på netværket.
-sPDenne parameter identificerer de systemer, der er opstrøms på destinationsnetværket.
-SWDenne indstilling identificerer protokollerne på højere niveau i lag tre (netværk).
-sVDenne indstilling giver dig mulighed for at identificere, hvilke tjenester der er åbne ved havne på målsystemet.
Ud over disse parametre kan vi inkludere følgende, så scanningsprocessen er effektiv:
-nUdfører ikke DNS -konverteringer
-bBestemmer, om målholdet er sårbart over for "bounce angreb"
-vvGiver dig mulighed for at få detaljerede oplysninger om konsollen.
-FDet muliggør fragmentering, hvilket gør det vanskeligere at blive opdaget af en firewall.
-påDet giver os mulighed for at generere en rapport.
-PODenne indstilling forhindrer ping til målet, før analysen startes.
Til dette eksempel har vi lavet følgende linje:
nmap -sS -P0 -sV -O værtsnavnHvor vi erstatter værtsnavn med navnet på det websted eller den IP -adresse, der skal analyseres. Det opnåede resultat vil være følgende:
Der kan vi se, at Nmap har registreret operativsystemet, åbne og lukkede porte osv.
Yderligere muligheder for brug med Nmap
Der er nogle vigtige værktøjer, som vi kan bruge med Nmap, såsom:
Pinger en række IP -adresserTil denne opgave pinger vi adresserne fra området 192.168.1.100 til 254, for dette indtaster vi følgende:
nmap -sP 192.168.1.100-254
Få en liste over servere med åbne porteFor at få denne liste vil vi bruge følgende syntaks, idet vi som eksempel tager en række adresser 192.168.1. *:
nmap -sT -p 80 -oG -192.168.1. * | grep åben
Opret scannede lokkeduer for at undgå detektionDette er meget vigtigt, da hvis vi bliver opdaget, kan hele scanningsprocessen gå tabt, men vi skal også være ansvarlige for scanningen, da vi husker, at den ikke kan bruges i forbudte netværk.
Til dette vil vi bruge denne syntaks som et eksempel:
sudo nmap -sS 192.168.0.10 -D 192.168.0.1
Scan flere porte på én gangVi kan samtidigt scanne flere porte på en destinationscomputer, i dette tilfælde scanner vi porte 80, 21 og 24 på IP -adressen 192.168.1.1, resultatet er følgende:
Vi kan se, hvilken handling porten udfører i realtid.
Brug FIN -analysenDenne analyse sender en pakke til destinationscomputeren med et flag eller FIN -flag for at registrere firewallens adfærd, før der udføres en dyb analyse, til dette bruger vi parameteren -sF.
I dette tilfælde vil vi bruge følgende linje:
sudo nmap -sF 192.168.1.1
Kontroller versionen af målcomputerenTil disse oplysninger vil vi bruge -sV parameter som returnerer den softwareversion, der udføres på det tidspunkt i destinationscomputeren.
Vi har set, hvordan disse to værktøjer vil være til stor hjælp for hele opgaven scanning og analyse af kommunikationsprocessen med målholdene. Revisionsanalyser er altid nødvendige, uanset system, det vil sige Windows, Windows Server, Linux, Mac osv. Vi vil fortsætte med at øge disse oplysninger.
Sårbarhedsanalyse med OpenVAS
