Problema securității va fi întotdeauna un pilon foarte important în cadrul unei organizații și în fiecare sarcină pe care o executăm, deoarece disponibilitatea și integritatea tuturor informațiilor pe care le gestionăm depind de aceasta și este sub responsabilitatea noastră.
Există multe instrumente, protocoale și sarcini pe care le putem aplica în cadrul rolurilor noastre pentru a îmbunătăți sau implementa îmbunătățiri de securitate în mediile de calcul, dar astăzi vom analiza două în detaliu instrumente care vor fi vitale pentru scanare Da Verificarea intervalului de adrese IP. În acest fel, putem avea un control mai specific asupra tuturor rutei rețelei noastre.
Cele două instrumente pe care le vom analiza sunt Zmap Da NmapDar pentru ce sunt și cum ne vor ajuta rolurile?
Solvetic va oferi răspunsul la aceste răspunsuri într-un mod simplu și profund.
Ce este ZmapZmap este un instrument open source care ne permite efectuați o scanare a rețelei pentru a determina erorile și posibilele eșecuri ceea ce este vital pentru funcționarea și stabilitatea sa optimă.
Unul dintre marile avantaje ale Zmap este că scanerul poate face acest lucru rapid, mai puțin de 5 minute, ceea ce crește semnificativ rezultatele pe care trebuie să le oferim ca administratori sau personal de asistență.
Printre avantajele utilizării Zmap avem:
- Zmap poate monitoriza disponibilitatea serviciului.
- Zmap este multiplatform (Windows, Linux, Mac OS etc.) și complet gratuit.
- Putem folosi Zmap pentru a analiza un anumit protocol.
- Zmap ne oferă posibilitatea de a înțelege sistemele distribuite pe internet.
Când rulăm Zmap, explorăm complet întreaga gamă de adrese IPv4, deci atunci când rulăm instrumentul analizăm adresele IPv4 private, deci trebuie să fim foarte atenți să să nu comită acte împotriva vieții private a unei organizații sau persoane.
Ce este NmapNmap (Network Mapper) este un instrument puternic care ne oferă posibilitatea auditarea securității unei rețele și descoperi computerele conectate la acesta.
Acest instrument poate fi folosit pentru teste de penetrare, adică pentru a valida faptul că rețeaua noastră nu este sensibilă la atacurile hackerilor.
Cu Nmap avem la îndemână un instrument care ne oferă un scanare rapidă a rețelelor mari sau a computerelor individual. Pentru analiza sa, Nmap folosește pachete IP pentru a determina ce computere sunt disponibile în rețea, ce servicii oferă aceste computere, ce sistem de operare este utilizat în prezent și ce tip de firewall este implementat și de acolo face analiza respectivă.
Printre avantajele pe care le avem atunci când folosim Nmap avem:
- Detectarea echipamentelor în timp real în rețea.
- Detectează porturile deschise de pe aceste computere, precum și software-ul și versiunea acestor porturi.
- Detectați vulnerabilitățile actuale.
- Detectează adresa de rețea, sistemul de operare și versiunea software a fiecărui computer.
- Este un instrument portabil.
- Nmap este multiplataforma (acceptă Windows, FreeBSD, Mac OS etc.).
Diferențele dintre Zmap și NmapExistă câteva diferențe între cele două instrumente, pe care le menționăm mai jos:
- Cu Nmap nu putem scana rețele mari, cu Zmap dacă este posibil.
- Zmap efectuează scanarea mult mai rapid decât Nmap.
- Nmap poate fi utilizat în mogo grafic descărcând instrumentul ZenMap.
- Cu Nmap putem analiza mai multe porturi, în timp ce cu Zmap putem analiza un singur port.
- Acoperirea Zmap este mult mai mare decât Nmap.
- Nmap menține starea pentru fiecare conexiune, în timp ce Zmap nu menține nicio stare în conexiuni care îi mărește viteza.
- Nmap detectează conexiunile pierdute și redirecționează solicitările, Zmap trimite doar un pachet de solicitări către o destinație care evită reluarea.
- Nmap este conceput pentru scanere de rețea mici sau computere individuale, în timp ce Zmap este conceput pentru a scana întreaga rețea de internet în mai puțin de 45 de minute.
Observăm că diferențele dintre un instrument și altul sunt notabile și depinde de nevoile pe care le avem la momentul respectiv.
1. Cum se folosește și se analizează cu Zmap
Pentru această analiză vom folosi Ubuntu 16 ca platformă de utilizat Zmap.
Pentru a instala Zmap vom folosi următoarea comandă:
sudo apt install zmap
Sperăm că toate pachetele sunt descărcate și instalate pentru a începe utilizarea Zmap pe Ubuntu 16.
Folosind Zmap în Ubuntu
Pentru a începe să utilizați Zmap, prima comandă care vă va fi de mare ajutor este:
zmap -helpCare ne arată următoarele opțiuni:
În continuare vom vedea câteva dintre modalitățile prin care putem folosi Zmap în Ubuntu.
Zmap -pCu acest parametru putem scana toate computerele care se află pe portul TCP 80 din rețea.
Pe lângă acest parametru, avem posibilitatea de a salva rezultatul într-un fișier text, pentru aceasta vom folosi următoarea sintaxă.
sudo zmap -p (Port) -o (Filename)
Odată procesată analiza, vom vedea rezultatele într-un fișier text pentru ediția respectivă. Putem restricționa căutarea la o serie de adrese IP utilizând următoarea sintaxă:
sudo zmap -p (Port) -o (Text.csv) Interval adresele IPÎn acest caz, vom scana toate computerele care utilizează portul TCP 80 în intervalul de adrese 192.168.1.1
Odată ce procesul este terminat, vom vedea fișierul nostru în folderul Acasă al Ubuntu 16:
Sudo zmap -SParametrul -S se referă la sursa sau resursa portului. De exemplu, putem avea următoarea sintaxă:
sudo zmap -s 555 -S 192.168.0.1 62.168.1.0/16 -p 80În acest caz, indicăm că portul sursă care va trimite pachetele va fi 555 și adresa sursă va fi 192.168.0.1
Parametri suplimentari de utilizat cu ZmapExistă alți parametri care vor fi foarte utili atunci când utilizați Zmap și afișați rezultate mai bune, aceștia sunt:
-BAceastă valoare ne permite să definim viteza în biți pe secundă care va fi trimisă de Zmap.
-șiNe permite să definim adresele IP prin permutare, acest lucru este util atunci când folosim Zmap în console diferite și cu intervale de adrese diferite.
-rNe permite să definim rata expedierilor de pachete care vor fi efectuate în fiecare secundă.
-TSe referă la numărul de fire simultane pe care Zmap le va folosi pentru a trimite pachete.
-sIndică portul sursă de la care pachetele vor merge la adresa de destinație.
-SIndică adresa IP sursă din care vor pleca pachetele pentru scanare.
-iSe referă la numele interfeței de rețea utilizate pentru scanare.
-MTestați modulele care sunt implementate cu Zmap.
-XTrimiteți pachete IP (Util pentru VPN-uri).
-GFolosind această opțiune putem specifica adresa MAC a Gateway-ului
-lNe permite să introducem intrări în fișierul generat.
-VAfișați versiunea Zmap
Editarea fișierelor de configurare Zmap
În Zmap există două fișiere vitale pentru operarea și editarea parametrilor Zmap.
Acestea sunt:
/etc/zmap/zmap.confAcest fișier ne permite să configurăm valorile instrumentului, cum ar fi porturile de scanare, lățimea de bandă etc.
Pentru a-l edita putem folosi editorul VI sau Nano.
/etc/zmap/blacklist.confAcest fișier ne permite să configurăm lista intervalelor de adrese IP blocate pentru scanare din motive de administrare sau confidențialitate.
În același mod putem adăuga o serie de adrese dacă dorim ca acestea să nu fie scanate de Zmap.
După cum putem vedea, Zmap ne oferă o gamă largă de opțiuni pentru gestionarea procesului de scanare pentru computere și rețele.
2. Cum se folosește și se analizează cu Nmap
Pentru a instala Nmap, în acest caz pe Ubuntu 16, vom folosi următoarea comandă:
sudo apt install nmap
Acceptăm să începem procesul de descărcare și instalare a pachetelor respective. Pentru a consulta ajutorul Nmap putem folosi următoarea comandă:
Nmap -help
Acolo avem acces la toți parametrii care pot fi implementați folosind Nmap.
Parametrii de bază pentru a începe procesul de scanare sunt după cum urmează:
- -v: Această opțiune mărește nivelul de detaliere (Verbose).
- -LA: Permite detectarea sistemului de operare, scanarea scriptului și calea de urmărire.
De exemplu, vom folosi următoarea sintaxă pentru Solvetic.com:
sudo nmap -v -A Solvetic.com
Putem afișa informații la fel de importante ca:
- Porturile TCP care au fost descoperite pe fiecare computer de destinație indicând adresa IP respectivă
- Suma de porturi de analizat, implicit 1000.
Putem vedea progresul scanării și, odată finalizat procesul, vom vedea următoarele:
Putem vedea un rezumat complet al sarcinii executate. Dacă dorim o scanare mai rapidă, trebuie doar să utilizați următoarea sintaxă:
nmap adresa_IP
Putem vedea un rezumat al câte porturi sunt închise și câte sunt deschise în adresa de destinație.
Parametrii de utilizat cu NmapUnii dintre parametrii pe care îi putem implementa cu Nmap și care vor fi de mare ajutor pentru sarcina de scanare și monitorizare sunt următorii:
-SfAcest parametru face o scanare a porturilor TCP fără a fi nevoie să fiți un utilizator privilegiat.
-H.HEste o scanare TCP SYN, adică efectuează scanarea fără a lăsa urme pe sistem.
-sAAcest parametru utilizează mesaje ACK pentru ca sistemul să emită un răspuns și astfel să descopere ce porturi sunt deschise.
-esteAcest parametru face o scanare a porturilor UDP.
-sN / -sX / -sFPoate ocoli firewall-urile configurate greșit și poate detecta serviciile care rulează în rețea.
-sPAcest parametru identifică sistemele care sunt în amonte în rețeaua de destinație.
-SWAceastă opțiune identifică protocoalele de nivel superior pe stratul trei (Rețea).
-sVAceastă opțiune vă permite să identificați ce servicii sunt deschise de porturi pe sistemul țintă.
În plus față de acești parametri putem include următoarele, astfel încât procesul de scanare este eficient:
-nNu efectuează conversii DNS
-bStabilește dacă echipa țintă este vulnerabilă la „atac de respingere”
-vvVă permite să obțineți informații detaliate pe consolă.
-FPermite fragmentarea, ceea ce face mai dificilă detectarea de către un firewall.
-peNe permite să generăm un raport.
-POAceastă opțiune previne ping-urile către țintă înainte de a începe analiza.
Pentru acest exemplu am făcut următoarea linie:
nmap -sS -P0 -sV -O nume gazdăUnde înlocuim numele gazdei cu numele site-ului web sau al adresei IP de analizat. Rezultatul obținut va fi următorul:
Acolo putem vedea că Nmap a detectat sistemul de operare, porturile deschise și închise etc.
Opțiuni suplimentare de utilizat cu Nmap
Există câteva utilitare importante pe care le putem folosi cu Nmap, cum ar fi:
Ping o serie de adrese IPPentru această sarcină vom face ping adreselor din intervalul 192.168.1.100 până la 254, pentru aceasta introducem următoarele:
nmap -sP 192.168.1.100-254
Obțineți lista de servere cu porturi deschisePentru a obține această listă vom folosi următoarea sintaxă, luând ca exemplu o gamă de adrese 192.168.1. *:
nmap -sT -p 80 -oG - 192.168.1. * | grep deschis
Creați momeli scanate pentru a evita detectareaAcest lucru este foarte important deoarece, dacă suntem detectați, întregul proces de scanare poate fi pierdut, dar trebuie să fim responsabili și de scanare, deoarece ne amintim că nu poate fi utilizat în rețelele interzise.
Pentru aceasta vom folosi această sintaxă ca exemplu:
sudo nmap -sS 192.168.0.10 -D 192.168.0.1
Scanați mai multe porturi simultanPutem scana simultan mai multe porturi pe un computer de destinație, în acest caz vom scana porturile 80, 21 și 24 ale adresei IP 192.168.1.1, rezultatul este următorul:
Putem vedea ce acțiune efectuează portul în timp real.
Utilizați analiza FINAceastă analiză trimite un pachet către computerul de destinație cu un steag, sau steag FIN, pentru a detecta comportamentul firewall-ului înainte de a executa o analiză profundă, pentru aceasta folosim parametrul -sF.
Pentru acest caz vom folosi următoarea linie:
sudo nmap -sF 192.168.1.1
Verificați versiunea computerului țintăPentru aceste informații vom folosi -sV parametru care va returna versiunea de software care se execută în acel moment în computerul de destinație.
Am văzut cum aceste două instrumente vor fi de mare ajutor pentru întreaga sarcină a scanarea și analiza procesului de comunicare cu echipele vizate. Analizele de audit sunt întotdeauna necesare, indiferent de sistem, fiind Windows, Windows Server, Linux, Mac etc. Vom continua să sporim aceste informații.
Analiza vulnerabilității cu OpenVAS
