Sikkerhetsspørsmålet vil alltid være en svært viktig søyle i en organisasjon og i hver oppgave vi utfører siden tilgjengeligheten og integriteten til all informasjon vi håndterer avhenger av den og er under vårt ansvar.
Det er mange verktøy, protokoller og oppgaver som vi kan bruke i rollene våre for å forbedre eller implementere sikkerhetsforbedringer i databehandlingsmiljøer, men i dag skal vi analysere to i detalj verktøy som vil være avgjørende for skanning Y Bekreftelse av IP -adresse. På denne måten kan vi ha mer spesifikk kontroll over all ruting av nettverket vårt.
De to verktøyene vi skal se på er Zmap Y NmapMen hva er de til for, og hvordan vil de hjelpe rollene våre?
Solvetic vil gi svaret på disse svarene på en enkel og dyp måte.
Hva er ZmapZmap er et åpen kildekode -verktøy som lar oss utføre en nettverksskanning for å finne feil og mulige feil som er avgjørende for optimal drift og stabilitet.
En av de store fordelene med Zmap er at skanneren kan gjøre det raskt, mindre enn 5 minutter, noe som betydelig øker resultatene vi må levere som administratorer eller støttepersonell.
Blant fordelene med å bruke Zmap har vi:
- Zmap kan overvåke tilgjengeligheten av tjenesten.
- Zmap er multiplatform (Windows, Linux, Mac OS, etc) og helt gratis.
- Vi kan bruke Zmap til å analysere en bestemt protokoll.
- Zmap gir oss muligheten til å forstå distribuerte systemer på internett.
Når vi kjører Zmap, utforsker vi hele utvalget av IPv4 -adresser helt, så når vi kjører verktøyet, analyserer vi private IPv4 -adresser, så vi må være veldig forsiktige med å ikke begå handlinger mot personvernet til en organisasjon eller person.
Hva er NmapNmap (Network Mapper) er et kraftig verktøy som gir oss muligheten til kontrollere sikkerheten til et nettverk og oppdag datamaskiner som er koblet til den.
Dette verktøyet kan brukes til penetrasjonstester, det vil si for å validere at nettverket vårt ikke er følsomt for angrep fra hackere.
Med Nmap har vi et verktøy tilgjengelig som gir oss en rask skanning av store nettverk eller datamaskiner individuell. For analysen bruker Nmap IP -pakker for å bestemme hvilke datamaskiner som er tilgjengelige på nettverket, hvilke tjenester disse datamaskinene tilbyr, hvilket operativsystem som brukes for øyeblikket og hvilken type brannmur som er implementert, og derfra foreta den respektive analysen.
Blant fordelene vi har når vi bruker Nmap har vi:
- Deteksjon av utstyr i sanntid på nettverket.
- Den oppdager de åpne portene på disse datamaskinene, samt programvaren og versjonen av disse portene.
- Oppdag nåværende sårbarheter.
- Den oppdager nettverksadressen, operativsystemet og programvareversjonen av hver datamaskin.
- Det er et bærbart verktøy.
- Nmap er plattformplattform (støtter Windows, FreeBSD, Mac OS, etc).
Forskjeller mellom Zmap og NmapDet er noen forskjeller mellom de to verktøyene, som vi nevner nedenfor:
- Med Nmap kan vi ikke skanne store nettverk, med Zmap hvis mulig.
- Zmap utfører skanningen mye raskere enn Nmap.
- Nmap kan brukes i grafisk mogo ved å laste ned ZenMap -verktøyet.
- Med Nmap kan vi analysere flere porter, mens vi med Zmap kan analysere en enkelt port.
- Dekningen til Zmap er mye større enn Nmap.
- Nmap opprettholder tilstanden for hver forbindelse mens Zmap ikke opprettholder noen tilstand i tilkoblingene som øker hastigheten.
- Nmap oppdager tapte forbindelser og videresender forespørslene, Zmap sender bare en pakke med forespørsler til en destinasjon som unngår omarbeid.
- Nmap er designet for små nettverksskannere eller individuelle datamaskiner mens Zmap er designet for å skanne hele internettnettverket på mindre enn 45 minutter.
Vi merker oss at forskjellene mellom ett verktøy og et annet er bemerkelsesverdige, og det avhenger av behovene vi har på det tidspunktet.
1. Hvordan bruke og analysere med Zmap
For denne analysen vil vi bruke Ubuntu 16 som plattformen å bruke Zmap.
For å installere Zmap bruker vi følgende kommando:
sudo apt installere zmap
Vi håper at alle pakker blir lastet ned og installert for å begynne å bruke Zmap på Ubuntu 16.
Bruke Zmap i Ubuntu
For å begynne å bruke Zmap, er den første kommandoen som vil være til stor hjelp:
zmap -hjelpSom viser oss følgende alternativer:
Deretter vil vi se noen av måtene vi kan bruke Zmap i Ubuntu.
Zmap -pMed denne parameteren kan vi skanne alle datamaskinene som er på TCP -port 80 på nettverket.
I tillegg til denne parameteren har vi muligheten til å lagre resultatet i en tekstfil, for dette vil vi bruke følgende syntaks.
sudo zmap -p (Port) -o (filnavn)
Når analysen er behandlet, vil vi se resultatene i en tekstfil for deres respektive utgave. Vi kan begrense søket til en rekke IP -adresser ved å bruke følgende syntaks:
sudo zmap -p (Port) -o (Text.csv) Range IP -adresserI dette tilfellet skal vi skanne alle datamaskinene som bruker TCP -port 80 i adresseområdet 192.168.1.1
Når prosessen er fullført, ser vi filen vår i Hjem -mappen til Ubuntu 16:
Sudo zmap -SParameteren -S refererer til kilden eller ressursen til porten. For eksempel kan vi ha følgende syntaks:
sudo zmap -s 555 -S 192.168.0.1 62.168.1.0/16 -p 80I dette tilfellet indikerer vi at kildeporten som sender pakkene vil være 555 og kildeadressen vil være 192.168.0.1
Ekstra parametere for bruk med ZmapDet er andre parametere som vil være svært nyttige når du bruker Zmap og viser bedre resultater, disse er:
-BDenne verdien lar oss definere hastigheten i bit per sekund som skal sendes av Zmap.
-ogDet lar oss definere IP -adresser ved permutasjon, dette er nyttig når vi bruker Zmap i forskjellige konsoller og med forskjellige adresseområder.
-rDen lar oss definere hastigheten på pakkeforsendelser som skal gjøres hvert sekund.
-TDet refererer til antall samtidige tråder som Zmap vil bruke til å sende pakker.
-sAngir kildeporten som pakkene skal gå til destinasjonsadressen fra.
-SAngir kilde -IP -adressen som pakkene skal forlate for skanningen.
-JegHenviser til navnet på nettverksgrensesnittet som ble brukt for skanningen.
-MTest modulene som er implementert med Zmap.
-XSend IP -pakker (nyttig for VPN -er).
-GVed å bruke dette alternativet kan vi spesifisere MAC -adressen til Gateway
-lDet lar oss legge inn oppføringer i den genererte filen.
-VVis Zmap -versjonen
Redigerer Zmap -konfigurasjonsfiler
I Zmap er det to viktige filer for drift og redigering av Zmap -parameterne.
Disse er:
/etc/zmap/zmap.confDenne filen lar oss konfigurere verktøyverdier som skanneporter, båndbredde, etc.
For å redigere det kan vi bruke VI eller Nano editor.
/etc/zmap/blacklist.confDenne filen lar oss konfigurere listen over IP -adresser som er blokkert for skanning av administrasjons- eller personvernhensyn.
På samme måte kan vi legge til en rekke adresser hvis vi vil at de ikke skal skannes av Zmap.
Som vi kan se, tilbyr Zmap oss et bredt spekter av alternativer for å administrere skanneprosessen for datamaskiner og nettverk.
2. Hvordan bruke og analysere med Nmap
For å installere Nmap, i dette tilfellet på Ubuntu 16, bruker vi følgende kommando:
sudo apt installer nmap
Vi godtar å starte nedlastings- og installasjonsprosessen for de respektive pakkene. For å konsultere hjelp fra Nmap kan vi bruke følgende kommando:
Nmap -hjelp
Der får vi tilgang til alle parameterne som kan implementeres ved hjelp av Nmap.
De grunnleggende parametrene for å starte skanneprosessen er som følger:
- -v: Dette alternativet øker verbositetsnivået (Verbose).
- -TIL: Aktiverer OS -deteksjon, skriptskanning og sporingsbane.
For eksempel vil vi bruke følgende syntaks for Solvetic.com:
sudo nmap -v -A Solvetic.com
Vi kan vise så viktig informasjon som:
- TCP -porter som er oppdaget på hver destinasjonsdatamaskin som angir sin respektive IP -adresse
- Mengde av porter å analysere, som standard 1000.
Vi kan se fremdriften i skanningen, og når vi har fullført prosessen vil vi se følgende:
Vi kan se et komplett sammendrag av den utførte oppgaven. Hvis vi ønsker en raskere skanning, bruker du bare følgende syntaks:
nmap IP_adresse
Vi kan se en oppsummering av hvor mange porter som er stengt og hvor mange som er åpne i destinasjonsadressen.
Parametere som skal brukes med NmapNoen av parameterne som vi kan implementere med Nmap, og som vil være til stor hjelp for oppgaven med skanning og overvåking, er følgende:
-sTDenne parameteren skanner TCP -portene uten å måtte være en privilegert bruker.
-H.HDet er en TCP SYN -skanning, det vil si at den utfører skanningen uten å etterlate spor på systemet.
-sADenne parameteren bruker ACK -meldinger for at systemet skal gi et svar og dermed oppdage hvilke porter som er åpne.
-det erDenne parameteren skanner UDP -portene.
-sN / -sX / -sFDet kan omgå feilkonfigurerte brannmurer og oppdage tjenestene som kjører på nettverket.
-sPDenne parameteren identifiserer systemene som er oppstrøms på destinasjonsnettverket.
-SWDette alternativet identifiserer protokollene på høyere nivå på lag tre (nettverk).
-sVDette alternativet lar deg identifisere hvilke tjenester som er åpne for porter på målsystemet.
I tillegg til disse parameterne kan vi inkludere følgende slik at skanneprosessen er effektiv:
-nUtfører ikke DNS -konverteringer
-bBestemmer om målgruppen er sårbar for "sprettangrep"
-vvLar deg få detaljert informasjon om konsollen.
-FDet muliggjør fragmentering som gjør det vanskeligere å bli oppdaget av en brannmur.
-påDet lar oss lage en rapport.
-PODette alternativet forhindrer ping til målet før analysen startes.
For dette eksemplet har vi laget følgende linje:
nmap -sS -P0 -sV -O vertsnavnHvor vi erstatter vertsnavn med navnet på nettstedet eller IP -adressen som skal analyseres. Resultatet som oppnås vil være følgende:
Der kan vi se at Nmap har oppdaget operativsystemet, åpne og lukkede porter, etc.
Flere alternativer å bruke med Nmap
Det er noen viktige verktøy som vi kan bruke med Nmap, for eksempel:
Pinger en rekke IP -adresserFor denne oppgaven vil vi pinge adressene fra området 192.168.1.100 til 254, for dette skriver vi inn følgende:
nmap -sP 192.168.1.100-254
Få en liste over servere med åpne porterFor å få denne listen vil vi bruke følgende syntaks, og ta et eksempel på en rekke adresser 192.168.1. *:
nmap -sT -p 80 -oG -192.168.1. * | grep åpen
Lag skannede lokkeduer for å unngå deteksjonDette er veldig viktig, siden hvis vi blir oppdaget, kan hele skanneprosessen gå tapt, men vi må også være ansvarlige for skanningen siden vi husker at den ikke kan brukes i forbudte nettverk.
For dette vil vi bruke denne syntaksen som et eksempel:
sudo nmap -sS 192.168.0.10 -D 192.168.0.1
Skann flere porter samtidigVi kan samtidig skanne flere porter på en destinasjonsdatamaskin, i dette tilfellet vil vi skanne portene 80, 21 og 24 på IP -adressen 192.168.1.1, resultatet er følgende:
Vi kan se hvilken handling porten utfører i sanntid.
Bruk FIN -analysenDenne analysen sender en pakke til destinasjonsdatamaskinen med et flagg, eller FIN -flagg, for å oppdage oppførselen til brannmuren før du utfører en dyp analyse, for dette bruker vi parameteren -sF.
I dette tilfellet bruker vi følgende linje:
sudo nmap -sF 192.168.1.1
Kontroller versjonen av måldatamaskinenFor denne informasjonen vil vi bruke -sV parameter som vil returnere programvareversjonen som blir utført for øyeblikket i destinasjonsdatamaskinen.
Vi har sett hvordan disse to verktøyene vil være til stor hjelp for hele oppgaven skanning og analyse av kommunikasjonsprosessen med mållagene. Revisjonsanalyser er alltid nødvendige, uansett system, Windows, Windows Server, Linux, Mac etc. Vi vil fortsette å øke denne informasjonen.
Sårbarhetsanalyse med OpenVAS