Drošības jautājums vienmēr būs ļoti svarīgs pīlārs organizācijā un katrā mūsu izpildītajā uzdevumā, jo visas mūsu pieejamās informācijas pieejamība un integritāte ir atkarīga no tā un ir mūsu atbildībā.
Ir daudz rīku, protokolu un uzdevumu, kurus mēs varam izmantot savās lomās, lai uzlabotu vai ieviestu drošības uzlabojumus skaitļošanas vidē, taču šodien mēs detalizēti analizēsim divus rīki, kas būs būtiski skenēšanai Y IP adrešu diapazona pārbaude. Tādā veidā mēs varam precīzāk kontrolēt visu mūsu tīkla maršrutēšanu.
Divi rīki, kurus mēs apskatīsim, ir Zmap Y NmapBet kam tie paredzēti un kā tie palīdzēs mūsu lomām?
Solvetic sniegs atbildi uz šīm atbildēm vienkāršā un dziļā veidā.
Kas ir ZmapZmap ir atvērtā koda rīks, kas ļauj mums veiciet tīkla skenēšanu, lai noteiktu kļūdas un iespējamās kļūmes kas ir būtiski tās optimālai darbībai un stabilitātei.
Viena no lielajām priekšrocībām Zmap ir tas, ka skeneris to var izdarīt ātri, mazāk nekā 5 minūtes, kas ievērojami palielina rezultātus, kas mums jāsniedz kā administratoriem vai atbalsta personālam.
Starp Zmap izmantošanas priekšrocībām mums ir:
- Zmap var uzraudzīt pakalpojuma pieejamību.
- Zmap ir daudzplatformu (Windows, Linux, Mac OS uc) un pilnīgi bez maksas.
- Mēs varam izmantot Zmap, lai analizētu konkrētu protokolu.
- Zmap dod mums iespēju izprast izplatītās sistēmas internetā.
Palaižot Zmap, mēs pilnībā izpētām visu IPv4 adrešu klāstu, tāpēc, palaižot rīku, mēs analizējam privātas IPv4 adreses, tāpēc mums jābūt ļoti uzmanīgiem neveikt darbības, kas ir pretrunā ar organizācijas vai personas privātumu.
Kas ir NmapNmap (tīkla kartētājs) ir spēcīgs rīks, kas dod mums iespēju pārbaudīt tīkla drošību un atklājiet ar to savienotus datorus.
Šo rīku var izmantot iespiešanās testi, tas ir, lai apstiprinātu, ka mūsu tīkls nav jutīgs pret hakeru uzbrukumiem.
Izmantojot Nmap, mums ir pieejams rīks, kas dod mums a ātra lielu tīklu vai datoru skenēšana individuāls. Analīzei Nmap izmanto IP paketes, lai noteiktu, kādi datori ir pieejami tīklā, kādus pakalpojumus šie datori piedāvā, kāda operētājsistēma pašlaik tiek izmantota un kāda veida ugunsmūris ir ieviests, un no turienes veic attiecīgo analīzi.
Starp priekšrocībām, kas mums ir, izmantojot Nmap, mums ir:
- Iekārtu noteikšana reālā laikā tīklā.
- Tas nosaka šo datoru atvērtos portus, kā arī šo portu programmatūru un versiju.
- Noteikt pašreizējās ievainojamības.
- Tas nosaka katra datora tīkla adresi, operētājsistēmu un programmatūras versiju.
- Tas ir pārnēsājams rīks.
- Nmap ir starpplatformu (atbalsta Windows, FreeBSD, Mac OS uc).
Zmap un Nmap atšķirībasAbiem rīkiem ir dažas atšķirības, kuras mēs pieminējam tālāk:
- Izmantojot Nmap, mēs nevaram skenēt lielus tīklus, ja iespējams, ar Zmap.
- Zmap skenēšanu veic daudz ātrāk nekā Nmap.
- Nmap var izmantot grafiskajā mogo, lejupielādējot rīku ZenMap.
- Izmantojot Nmap, mēs varam analizēt vairākus portus, bet ar Zmap - vienu portu.
- Zmap pārklājums ir daudz lielāks nekā Nmap.
- Nmap saglabā stāvokli katram savienojumam, savukārt Zmap neuztur savienojumos nevienu stāvokli, kas palielina tā ātrumu.
- Nmap nosaka zaudētos savienojumus un pārsūta pieprasījumus, Zmap tikai nosūta pieprasījumu paketi uz galamērķi, kas izvairās no atkārtotas apstrādes.
- Nmap ir paredzēts maziem tīkla skeneriem vai atsevišķiem datoriem, savukārt Zmap ir paredzēts visa interneta tīkla skenēšanai mazāk nekā 45 minūtēs.
Mēs atzīmējam, ka atšķirības starp vienu un otru rīku ir ievērojamas, un tas ir atkarīgs no tā brīža vajadzībām.
1. Kā lietot un analizēt ar Zmap
Šai analīzei mēs izmantosim Ubuntu 16 kā platformu Zmap.
Lai instalētu Zmap, mēs izmantosim šādu komandu:
sudo apt instalēt zmap
Mēs ceram, ka visas paketes ir lejupielādētas un instalētas, lai sāktu lietot Zmap Ubuntu 16.
Zmap izmantošana Ubuntu
Lai sāktu lietot Zmap, pirmā komanda, kas būs ļoti noderīga, ir:
zmap -palīdzībaKas parāda mums šādas iespējas:
Tālāk mēs redzēsim dažus veidus, kurus mēs varam izmantot Zmap Ubuntu.
Zmap -pAr šo parametru mēs varam skenēt visus datorus, kas atrodas tīkla TCP portā 80.
Papildus šim parametram mums ir iespēja saglabāt rezultātu teksta failā, šim nolūkam mēs izmantosim šādu sintaksi.
sudo zmap -p (ports) -o (faila nosaukums)
Kad analīze ir apstrādāta, mēs redzēsim rezultātus to izdevuma teksta failā. Mēs varam ierobežot meklēšanu līdz IP adrešu diapazonam, izmantojot šādu sintaksi:
sudo zmap -p (Port) -o (Text.csv) Diapazona IP adresesŠajā gadījumā mēs skenēsim visus datorus, kas izmanto TCP portu 80 adrešu diapazonā 192.168.1.1
Kad process ir pabeigts, mēs redzēsim savu failu Ubuntu 16 sākuma mapē:
Sudo zmap -SParametrs -S attiecas uz ostas avotu vai resursu. Piemēram, mums var būt šāda sintakse:
sudo zmap -s 555 -S 192.168.0.1 62.168.1.0/16 -p 80Šajā gadījumā mēs norādām, ka avota ports, kas nosūtīs paketes, būs 555 un avota adrese būs 192.168.0.1
Papildu parametri lietošanai ar ZmapIr arī citi parametri, kas būs ļoti noderīgi, izmantojot Zmap un parādot labākus rezultātus:
-BŠī vērtība ļauj mums noteikt ātrumu bitos sekundē, ko nosūtīs Zmap.
-unTas ļauj mums noteikt IP adreses pēc permutācijas, tas ir noderīgi, ja mēs izmantojam Zmap dažādās konsolēs un ar dažādiem adrešu diapazoniem.
-rTas ļauj mums noteikt paku sūtījumu ātrumu, kas tiks veikts katru sekundi.
-TTas attiecas uz vienlaicīgu pavedienu skaitu, ko Zmap izmantos pakešu nosūtīšanai.
-sNorāda avota portu, no kura paketes tiks nosūtītas uz galamērķa adresi.
-SNorāda avota IP adresi, no kuras paketes tiks atstātas skenēšanai.
-iAtsaucas uz skenēšanai izmantotā tīkla interfeisa nosaukumu.
-MPārbaudiet moduļus, kas tiek ieviesti ar Zmap.
-XSūtīt IP paketes (noder VPN).
-GIzmantojot šo opciju, mēs varam norādīt vārtejas MAC adresi
-lTas ļauj mums ievadīt ierakstus ģenerētajā failā.
-VParādiet Zmap versiju
Zmap konfigurācijas failu rediģēšana
Programmā Zmap ir divi svarīgi faili Zmap parametru darbībai un rediģēšanai.
Šie ir:
/etc/zmap/zmap.confŠis fails ļauj mums konfigurēt rīku vērtības, piemēram, skenēšanas portus, joslas platumu utt.
Lai to rediģētu, mēs varam izmantot VI vai Nano redaktoru.
/etc/zmap/blacklist.confŠis fails ļauj mums konfigurēt to IP adrešu diapazonu sarakstu, kas bloķēti skenēšanai administrācijas vai privātuma apsvērumu dēļ.
Tādā pašā veidā mēs varam pievienot adrešu diapazonu, ja vēlamies, lai Zmap tās neskenētu.
Kā redzam, Zmap piedāvā plašu iespēju klāstu datoru un tīklu skenēšanas procesa pārvaldībai.
2. Kā lietot un analizēt Nmap
Lai instalētu Nmap, šajā gadījumā Ubuntu 16, mēs izmantosim šādu komandu:
sudo apt instalēt nmap
Mēs piekrītam sākt attiecīgo pakotņu lejupielādes un instalēšanas procesu. Lai konsultētos ar Nmap palīdzību, mēs varam izmantot šādu komandu:
Nmap -palīdzība
Tur mēs iegūstam piekļuvi visiem parametriem, kurus var ieviest, izmantojot Nmap.
Skenēšanas procesa sākšanas pamatparametri ir šādi:
- -v: Šī opcija palielina daudzpusības līmeni (daudznozīmīga).
- -TO: Iespējo OS noteikšanu, skriptu skenēšanu un izsekošanas ceļu.
Piemēram, Solvetic.com izmantosim šādu sintaksi:
sudo nmap -v -A Solvetic.com
Mēs varam parādīt tik svarīgu informāciju kā:
- TCP porti, kas ir atklāti katrā galamērķa datorā, norādot tā attiecīgo IP adresi
- Daudzums ostas, ko analizēt, pēc noklusējuma 1000.
Mēs varam redzēt skenēšanas gaitu, un pēc procesa pabeigšanas mēs redzēsim sekojošo:
Mēs varam redzēt pilnīgu izpildītā uzdevuma kopsavilkumu. Ja mēs vēlamies ātrāku skenēšanu, vienkārši izmantojiet šādu sintaksi:
nmap IP_adrese
Mēs varam redzēt kopsavilkumu par to, cik ostu ir slēgtas un cik ir atvērtas galamērķa adresē.
Parametri, ko lietot kopā ar NmapDaži no parametriem, kurus mēs varam ieviest ar Nmap un kas ļoti palīdzēs skenēšanas un uzraudzības uzdevumā, ir šādi:
-TŠis parametrs ļauj skenēt TCP portus, nebūdams priviliģēts lietotājs.
-H.HTā ir TCP SYN skenēšana, tas ir, tā veic skenēšanu, neatstājot sistēmā pēdas.
-sAŠis parametrs izmanto ACK ziņojumus, lai sistēma izsniegtu atbildi un tādējādi atklātu, kuri porti ir atvērti.
-tāsŠis parametrs skenē UDP portus.
-sN / -sX / -sFTas var apiet nepareizi konfigurētus ugunsmūrus un noteikt tīklā darbojošos pakalpojumus.
-PPŠis parametrs identificē sistēmas, kas atrodas augšup pa galamērķa tīklu.
-SWŠī opcija identificē augstākā līmeņa protokolus trešajā slānī (tīkls).
-VŠī opcija ļauj noteikt, kuri pakalpojumi ir atvērti mērķa sistēmas ostās.
Papildus šiem parametriem mēs varam iekļaut šādus, lai skenēšanas process ir efektīvs:
-nNeveic DNS konvertēšanu
-bNosaka, vai mērķa komanda ir neaizsargāta pret "atlēcienu uzbrukumu"
-vvĻauj iegūt detalizētu informāciju konsolē.
-FTas nodrošina sadrumstalotību, kas apgrūtina ugunsmūra noteikšanu.
-NĒTas ļauj mums izveidot pārskatu.
-POŠī opcija novērš pingus mērķim pirms analīzes uzsākšanas.
Šajā piemērā mēs esam izveidojuši šādu rindu:
nmap -sS -P0 -sV -O resursdatora nosaukumsJa mēs aizstājam saimniekdatora nosaukumu ar analizējamās vietnes nosaukumu vai IP adresi. Iegūtais rezultāts būs šāds:
Tur mēs varam redzēt, ka Nmap ir atklājis operētājsistēmu, atvērtos un aizvērtos portus utt.
Papildu iespējas, ko izmantot kopā ar Nmap
Ir dažas svarīgas utilītas, kuras mēs varam izmantot kopā ar Nmap, piemēram:
Nosūtiet IP adrešu diapazonuŠim uzdevumam mēs pingēsim adreses no diapazona 192.168.1.100 līdz 254, šim nolūkam ievadot:
nmap -sP 192.168.1.100-254
Iegūstiet serveru sarakstu ar atvērtiem portiemLai iegūtu šo sarakstu, mēs izmantosim šādu sintaksi, kā piemēru ņemot adrešu diapazonu 192.168.1. *:
nmap -sT -p 80 -oG -192.168.1. * | grep atvērt
Lai izvairītos no atklāšanas, izveidojiet skenētus mānekļusTas ir ļoti svarīgi, jo, ja tiek atklāts, viss skenēšanas process var tikt zaudēts, taču mums ir jābūt atbildīgiem arī par skenēšanu, jo mēs atceramies, ka to nevar izmantot aizliegtos tīklos.
Šim nolūkam mēs izmantosim šo sintaksi kā piemēru:
sudo nmap -sS 192.168.0.10 -D 192.168.0.1
Skenējiet vairākus portus vienlaikusMēs varam vienlaikus skenēt vairākus galamērķa datora portus, šajā gadījumā mēs skenēsim IP adreses 192.168.1.1 80., 21. un 24. portu, rezultāts ir šāds:
Mēs varam redzēt, kādu darbību osta veic reālā laikā.
Izmantojiet FIN analīziŠī analīze nosūta paketi mērķa datoram ar karodziņu vai FIN karodziņu, lai pirms padziļinātas analīzes veikšanas noteiktu ugunsmūra uzvedību, šim nolūkam mēs izmantojam parametru -sF.
Šajā gadījumā mēs izmantosim šādu rindu:
sudo nmap -sF 192.168.1.1
Pārbaudiet mērķa datora versijuŠai informācijai mēs izmantosim -sV parametrs kas atgriezīs programmatūras versiju, kas tajā brīdī tiek izpildīta mērķa datorā.
Mēs esam redzējuši, kā šie divi rīki būs ļoti noderīgi visam uzdevumam komunikācijas procesa skenēšana un analīze ar mērķa komandām. Audita analīzes vienmēr ir nepieciešamas neatkarīgi no sistēmas - Windows, Windows Server, Linux, Mac utt. Mēs turpināsim papildināt šo informāciju.
Ievainojamības analīze, izmantojot OpenVAS