Frågan om säkerhet kommer alltid att vara en mycket viktig pelare inom en organisation och i varje uppgif.webpt som vi utför eftersom tillgängligheten och integriteten för all information som vi hanterar beror på den och ligger under vårt ansvar.
Det finns många verktyg, protokoll och uppgif.webpter som vi kan tillämpa inom våra roller för att förbättra eller genomföra säkerhetsförbättringar i datormiljöer, men idag kommer vi att analysera två i detalj verktyg som är avgörande för skanning Y Verifiering av IP -adressintervall. På så sätt kan vi ha mer specifik kontroll över all routing av vårt nätverk.
De två verktygen som vi kommer att titta på är Zmap Y NmapMen vad är de till för och hur kommer de att hjälpa våra roller?
Solvetic kommer att ge svaret på dessa svar på ett enkelt och djupt sätt.
Vad är ZmapZmap är ett verktyg för öppen källkod som gör att vi kan utföra en nätverksskanning för att avgöra fel och eventuella fel vilket är avgörande för dess optimala drift och stabilitet.
En av de stora fördelarna med Zmap är att skannern kan göra det snabbt, mindre än 5 minuter, vilket avsevärt ökar de resultat som vi måste leverera som administratörer eller supportpersonal.
Bland fördelarna med att använda Zmap har vi:
- Zmap kan övervaka tillgängligheten av tjänsten.
- Zmap är multiplatform (Windows, Linux, Mac OS, etc) och helt gratis.
- Vi kan använda Zmap för att analysera ett visst protokoll.
- Zmap ger oss möjlighet att förstå distribuerade system på internet.
När vi kör Zmap utforskar vi hela utbudet av IPv4 -adresser, så när vi kör verktyget analyserar vi privata IPv4 -adresser, så vi måste vara mycket noga med att inte begå handlingar mot en organisations eller persons integritet.
Vad är NmapNmap (Network Mapper) är ett kraftfullt verktyg som ger oss möjlighet att granska säkerheten i ett nätverk och upptäck datorer anslutna till den.
Detta verktyg kan användas för att penetrationstester, det vill säga för att verifiera att vårt nätverk inte är känsligt för attacker från hackare.
Med Nmap har vi ett verktyg till hands som ger oss en snabb skanning av stora nätverk eller datorer enskild. För sin analys använder Nmap IP -paket för att avgöra vilka datorer som är tillgängliga i nätverket, vilka tjänster dessa datorer erbjuder, vilket operativsystem som används för närvarande och vilken typ av brandvägg som implementeras och därifrån göra respektive analys.
Bland de fördelar vi har när vi använder Nmap har vi:
- Detektering av utrustning i realtid på nätverket.
- Det upptäcker de öppna portarna på dessa datorer samt programvaran och versionen av dessa portar.
- Upptäck nuvarande sårbarheter.
- Det identifierar nätverksadressen, operativsystemet och programvaruversionen för varje dator.
- Det är ett bärbart verktyg.
- Nmap är plattformsoberoende (stöder Windows, FreeBSD, Mac OS, etc).
Skillnader mellan Zmap och NmapDet finns några skillnader mellan de två verktygen, som vi nämner nedan:
- Med Nmap kan vi inte skanna stora nätverk, med Zmap om möjligt.
- Zmap utför skanningen mycket snabbare än Nmap.
- Nmap kan användas i grafisk mogo genom att ladda ner ZenMap -verktyget.
- Med Nmap kan vi analysera flera portar medan vi med Zmap kan analysera en enda port.
- Täckningen av Zmap är mycket större än Nmap.
- Nmap behåller tillståndet för varje anslutning medan Zmap inte behåller något tillstånd i anslutningarna som ökar dess hastighet.
- Nmap upptäcker förlorade anslutningar och vidarebefordrar förfrågningarna, Zmap skickar bara ett paket med förfrågningar till en destination som undviker omarbetning.
- Nmap är utformat för små nätverksskannrar eller enskilda datorer medan Zmap är utformat för att skanna hela internetnätverket på mindre än 45 minuter.
Vi noterar att skillnaderna mellan ett verktyg och ett annat är anmärkningsvärda och det beror på de behov vi har just nu.
1. Hur man använder och analyserar med Zmap
För denna analys kommer vi att använda Ubuntu 16 som plattform att använda Zmap.
För att installera Zmap använder vi följande kommando:
sudo apt installera zmap
Vi hoppas att alla paket laddas ner och installeras för att börja användas Zmap på Ubuntu 16.
Använda Zmap i Ubuntu
För att börja använda Zmap är det första kommandot som kommer att vara till stor hjälp:
zmap -hjälpSom visar oss följande alternativ:
Därefter kommer vi att se några av de sätt vi kan använda Zmap i Ubuntu.
Zmap -pMed denna parameter kan vi skanna alla datorer som finns på TCP -port 80 i nätverket.
Förutom denna parameter har vi möjlighet att spara resultatet i en textfil, för detta kommer vi att använda följande syntax.
sudo zmap -p (Port) -o (Filnamn)
När analysen har bearbetats kommer vi att se resultaten i en textfil för deras respektive utgåva. Vi kan begränsa sökningen till ett antal IP -adresser med följande syntax:
sudo zmap -p (Port) -o (Text.csv) Range IP -adresserI det här fallet ska vi skanna alla datorer som använder TCP -port 80 i adressområdet 192.168.1.1
När processen är klar ser vi vår fil i hemmappen i Ubuntu 16:
Sudo zmap -SParametern -S hänvisar till portens källa eller resurs. Till exempel kan vi ha följande syntax:
sudo zmap -s 555 -S 192.168.0.1 62.168.1.0/16 -p 80I det här fallet anger vi att källporten som skickar paketen kommer att vara 555 och källadressen är 192.168.0.1
Extra parametrar att använda med ZmapDet finns andra parametrar som kommer att vara mycket användbara när du använder Zmap och visar bättre resultat, dessa är:
-BDetta värde gör att vi kan definiera hastigheten i bitar per sekund som ska skickas av Zmap.
-ochDet låter oss definiera IP -adresser genom permutation, detta är användbart när vi använder Zmap i olika konsoler och med olika adressintervall.
-rDet låter oss definiera hastigheten för paketförsändelser som ska göras varannan sekund.
-TDet hänvisar till antalet samtidiga trådar som Zmap kommer att använda för att skicka paket.
-sAnger källporten från vilken paketen kommer att gå till destinationsadressen.
-SAnger källens IP -adress från vilken paketen kommer att lämna för skanningen.
-iAvser namnet på nätverksgränssnittet som används för skanningen.
-MTesta de moduler som implementeras med Zmap.
-XSkicka IP -paket (användbart för VPN).
-GMed det här alternativet kan vi ange MAC -adressen för Gateway
-lDet gör att vi kan skriva in poster i den genererade filen.
-VVisa Zmap -versionen
Redigera Zmap -konfigurationsfiler
I Zmap finns två viktiga filer för drift och redigering av Zmap -parametrarna.
Dessa är:
/etc/zmap/zmap.confMed den här filen kan vi konfigurera verktygsvärden som skanningsportar, bandbredd, etc.
För att redigera det kan vi använda redigeraren VI eller Nano.
/etc/zmap/blacklist.confDenna fil tillåter oss att konfigurera listan över IP -adressintervall blockerade för skanning av administrativa eller sekretessskäl.
På samma sätt kan vi lägga till ett antal adresser om vi vill att de inte ska skannas av Zmap.
Som vi kan se erbjuder Zmap oss ett brett utbud av alternativ för att hantera skanningsprocessen för datorer och nätverk.
2. Hur man använder och analyserar med Nmap
För att installera Nmap, i det här fallet på Ubuntu 16, kommer vi att använda följande kommando:
sudo apt installera nmap
Vi accepterar att starta nedladdnings- och installationsprocessen för respektive paket. För att konsultera hjälp av Nmap kan vi använda följande kommando:
Nmap -hjälp
Där får vi tillgång till alla parametrar som kan implementeras med Nmap.
De grundläggande parametrarna för att starta skanningsprocessen är följande:
- -v: Det här alternativet ökar verbositetsnivån (Verbose).
- -TILL: Aktiverar OS -identifiering, skriptskanning och spårningsväg.
Till exempel kommer vi att använda följande syntax för Solvetic.com:
sudo nmap -v -A Solvetic.com
Vi kan visa så viktig information som:
- TCP -portar som har upptäckts på varje destinationsdator som anger dess respektive IP -adress
- Mängd av portar att analysera, som standard 1000.
Vi kan se hur skanningen fortskrider och när vi har slutfört processen kommer vi att se följande:
Vi kan se en fullständig sammanfattning av den utförda uppgif.webpten. Om vi vill ha en snabbare genomsökning, använd bara följande syntax:
nmap IP_adress
Vi kan se en sammanfattning av hur många portar som är stängda och hur många som är öppna i destinationsadressen.
Parametrar att använda med NmapNågra av de parametrar som vi kan implementera med Nmap och som kommer att vara till stor hjälp för uppgif.webpten att skanna och övervaka är följande:
-sTDenna parameter gör en skanning av TCP -portarna utan att behöva vara en privilegierad användare.
-H.HDet är en TCP SYN -skanning, det vill säga den utför skanningen utan att lämna spår på systemet.
-sADenna parameter använder ACK -meddelanden för att systemet ska kunna ge ett svar och därmed upptäcka vilka portar som är öppna.
-dessDenna parameter skannar UDP -portarna.
-sN / -sX / -sFDet kan kringgå felkonfigurerade brandväggar och upptäcka de tjänster som körs i nätverket.
-sPDenna parameter identifierar de system som är uppströms i destinationsnätverket.
-SWDet här alternativet identifierar protokollen på högre nivå i lager tre (nätverk).
-sVMed det här alternativet kan du identifiera vilka tjänster som är öppna med portar på målsystemet.
Förutom dessa parametrar kan vi inkludera följande så att skanningsprocessen är effektiv:
-nUtför inte DNS -konverteringar
-bAvgör om målgruppen är sårbar för "studseangrepp"
-vvLåter dig få detaljerad information om konsolen.
-FDet möjliggör fragmentering som gör det svårare att upptäckas av en brandvägg.
-påDet gör att vi kan skapa en rapport.
-PODetta alternativ förhindrar ping till målet innan analysen startas.
För detta exempel har vi gjort följande rad:
nmap -sS -P0 -sV -O värdnamnDär vi ersätter värdnamn med namnet på webbplatsen eller IP -adressen som ska analyseras. Resultatet blir följande:
Där kan vi se att Nmap har upptäckt operativsystemet, öppna och stängda portar etc.
Ytterligare alternativ att använda med Nmap
Det finns några viktiga verktyg som vi kan använda med Nmap, till exempel:
Pingar en rad IP -adresserFör den här uppgif.webpten kommer vi att pinga adresserna från intervallet 192.168.1.100 till 254, för detta anger vi följande:
nmap -sP 192.168.1.100-254
Få lista över servrar med öppna portarFör att få denna lista kommer vi att använda följande syntax, som ett exempel på ett intervall av adresser 192.168.1. *:
nmap -sT -p 80 -oG -192.168.1. * | grep öppen
Skapa skannade lockbete för att undvika upptäcktDetta är mycket viktigt eftersom hela skanningsprocessen kan gå förlorad om vi upptäcks men vi måste också vara ansvariga för skanningen eftersom vi kommer ihåg att den inte kan användas i förbjudna nätverk.
För detta kommer vi att använda denna syntax som ett exempel:
sudo nmap -sS 192.168.0.10 -D 192.168.0.1
Skanna flera portar samtidigtVi kan samtidigt skanna flera portar på en destinationsdator, i det här fallet kommer vi att skanna port 80, 21 och 24 på IP -adressen 192.168.1.1, resultatet är följande:
Vi kan se vilken åtgärd porten utför i realtid.
Använd FIN -analysenDenna analys skickar ett paket till destinationsdatorn med en flagga, eller FIN -flagga, för att upptäcka brandväggens beteende innan en djup analys utförs, för detta använder vi parametern -sF.
I det här fallet kommer vi att använda följande rad:
sudo nmap -sF 192.168.1.1
Kontrollera versionen av måldatornFör denna information kommer vi att använda -sV parameter som returnerar den programvaruversion som körs för tillfället i destinationsdatorn.
Vi har sett hur dessa två verktyg kommer att vara till stor hjälp för hela uppgif.webpten skanning och analys av kommunikationsprocessen med mållagen. Granskningsanalyser är alltid nödvändiga, oavsett system, Windows, Windows Server, Linux, Mac etc. Vi kommer att fortsätta att öka denna information.
Sårbarhetsanalys med OpenVAS