piątek, 31 maja 2013

Skanowanie sieci domowej z użyciem Nmap według Oltjano (1)


  
Ten artykuł powinien przeczytać każdy, kto jest zainteresowany bezpieczeństwem komputera i sieci komputerowej.








     Wprowadzenie

   W sieci, małej czy dużej, trzeba monitorować ruch. Należy zapewnić bezpieczeństwo urządzeń podłączonych do sieci, zwłaszcza jeśli są to sieci wi-fi. Monitorowanie "zdrowia" sieci jest ważnym krokiem przed powstrzymaniem ataków wirusów i złośliwego oprogramowania na wejściu do sieci domowej. Zadaj sobie następujące pytania: "Czy jest ktoś na zewnątrz używający mojego bezprzewodowego dostępu do Internetu? Czy moje maszyny i urządzenia są bezpieczne? Czy moja zapora ogniowa routera działa? Dlaczego ten port jest otwarty? Czy jest jakiś wirus w moim komputerze, który otwiera ten port? ".

   Co to jest Nmap?

   Nmap jest to bezpłatny i otwartoźródłowy program do oglądu sieci, wspomagający mapowanie sieci. Administratorzy sieci uważają, że jest bardzo przydatny w ich codziennej pracy, więc jeśli planujesz być administratorem sieci powinieneś się uczyć, jak korzystać z Nmap. Nmap może pomóc dowiedzieć się, ile hostów jest w sieci, jakie systemy operacyjne są uruchomione, jakie są otwarte porty i usługi działające w tych otwartych portach. To narzędzie Terminala, ale dla tych, którzy nie lubią pamiętać wielu poleceń jest graficzna wersja Nmap, która nazywa się Zenmap. Zarówno Nmap i Zenmap wieloplatformowe (Linux, Windows, Mac OS, BSD itp.), więc nie musisz się martwić o system operacyjny potrzebny w celu korzystania z tych narzędzi. Nmap posiada możliwość zapisywania wyników skanowania do plików i możemy korzystać z tych plików w późniejszej analizie. Wielka rzecz, to w Nmap jego silnik skryptowy (NSE). Możemy pisać własne skrypty i używać ich w Nmap.


   Instalacja i używanie Nmap

   Zarówno Nmap i Zenmap są w Centrum oprogramowania Ubuntu.
   Uwaga: Musisz użyć uprawnień roota przy korzystaniu z Nmap w komputerze z systemem Linux. 
   W Terminalu wpisz nmap jak pokazano na obrazie poniżej i naciśnij klawisz Enter:

   Polecenie to daje nam informacje o możliwościach Nmap jak i specyfikacji docelowej. Za każdym razem, gdy nie pamiętamy polecenia możemy wpisać "nmap" w terminalu i odszukać pożądaną informację.
   
   Wykonanie prostego skanowania z Nmap wymaga wskazania celu, a cel może być określony jako adres IP lub nazwa hosta. Proste skanowanie nie wymaga żadnych opcji i składni dla niego. Potrzebne jest tylko: "nmap [IP lub nazwa hosta]". W poniższym przykładzie celem jest mój router. Jeśli potrzebujesz celu, myśl o swoim komputerze. Nie skanuj komputerów, jakie nie są twoje.

   Raport skanowania Nmap mówi nam, że host jest i działa usługa web w porcie 80, w porcie dla ruchu http (hyper text transfer protocol). Prosty skan Nmap sprawdzi 1000 najczęściej używanych portów TCP/IP klasyfikując je według jednego z sześciu statusów portów: otwarty, zamknięty, filtrowany, niefiltrowany, otwarty filtrowany, zamknięty filtrowany. Aby wykonać proste skanowanie Twojego komputera trzeba polecenia "nmap localhost". Wynik tego polecenia jest pokazany jest poniżej:

   Nmap może być wykorzystywany do skanowania wielu komputerów jednocześnie. Najprostszym sposobem na to jest  wpisanie razem docelowych adresów IP, oddzielnych przez spację. Jeśli liczba komputerów jest większa, proces skanowania zajmuje więcej czasu i warto, aby zapisać wyniki w pliku. Czasami chcesz przeskanować całą podsieć, a do tego trzeba trochę informacji na temat Classes Inter-Domain Routing (CIDR). Tego nie wyjaśni się w tym kursie. Teraz zapamiętaj tylko, że do skanowania całej podsieci potrzebujesz adresu IP podsieci. Jeśli chcesz przeskanowania całej podsieci użyj swojego IP i składni: "nmap [IP/CIDR]". Aby znaleźć wartość CIDR użyjemy kalkulatora podsieci. Można go znaleźć tutaj. Wpisz swój adres IP w polu IP i skopiuj numer z pola Mask Bits. Mój CIDR to 24. Aby przeskanować całą podsieć, użyj polecenia: "nmap [IP/24]" bez cudzysłowów. Ten proces zajmie trochę czasu, a prędkość skanowania zależy od połączenia internetowego. Jeśli masz wolne połączenie możesz iść na kawę.

   
   Nmap akceptuje na wejściu pliki tekstowe, więc jeśli masz dużą liczbę maszyn do skanowania, można wpisać adresy IP w pliku tekstowym i używać go jako wejście Nmap. Każdy wpis w pliku tekstowym musi być oddzielony spacją, tabulacją lub podany w nowej linii. Składnia dla wykonywania takiego skanowania to "nmap -iL plik.txt", gdzie parametr -iL służy wyodrębnieniu listy celów z pliku.txt. Upewnij się, że zapisałeś plik tekstowy, jakiego chcesz użyć jako wejście, w katalogu Nmap (usr/share/nmap). Żeby zapisywać pliki trzeba mieć uprawnienia superużytkownika (su). Wpisz sudo su aby być zarootowanym i wpisz nazwy hostów.
   Domyślnie przed rozpoczęciem skanowania otwartych portów, Nmap wysyła ICMP echo requests do hosta aby sprawdzić, czy jest w trybie online, a jeśli nie jest on czynny Nmap nie sonduje hosta. Może to zaoszczędzić czas podczas skanowania wielu maszyn, jeśli część ich jest odłączona. Opcja -sP służy do wykonywania takich prostych pingów i jest bardzo przydatna, gdy chcemy, aby zobaczyć, jakie hosty są online,  bez skanowania otwartych portów. Aby zobaczyć, jakie hosty już w sieci należy wydać polecenie "nmap-sP [IP/CIDR]i czekać na wyjście.

  
   Określenie systemu operacyjnego wybranego celu jest bardzo ważne, ponieważ wiele exploitów jest specyficznych dla danej platformy. Proces ujawniania systemu operacyjnego hosta nazywany jest pobraniem odcisków palców. Składnia do wykonywania wykrywanie systemu operacyjnego to "nmap -O [IP lub nazwę hosta]". Poniższy obraz pokazuje wynik badania mojego systemu operacyjnego:

   Czasami Nmap nie jest w stanie wykryć systemu operacyjnego, ale można wymusić wykrywanie systemu operacyjnego za pomocą opcji –osscan-guess. Ale co jest powodem, że niektóre porty zamknięte czy otwarte? Parametr –reason pomaga nam zrozumieć, dlaczego port jest uznawany za otwarty lub zamknięty.

   Jeśli chcesz, aby twoje wyniki skanowania Nmap były prostsze można użyć parametru –open, który pozwala na wyświetlanie tylko otwartych portów. Czasami jest trudno zapamiętać wszystkie te polecenia i do prawidłowej pracy można wykorzystać parametr -A, jaki może być używany do wykonywania typowego skanu. Wybiera on najczęściej używane opcje Nmap. Teraz, kiedy nauczyliśmy się podstaw Nmap wykonajmy kilka ćwiczeń.


   Przykład 1 - Chcę wiedzieć, czy jest jakiś serwer SSH lub web w mojej podsieci.
   Najpopularniejsze porty SSH i serwerów internetowych to 22 i 80, więc użyjemy parametru -open dla sprawdzenia tylko otwartych portów, a z tych otwartych portów interesują nas tylko porty 22 i 80.
   Wpisz komendę "nmap -p 22,80 127.0.0.1/24":




Przykład 2 - Jak odnaleźć serwery FTP w mojej podsieci?
   File Transfer Protocol (FTP) jest znany ze swojego słabego bezpieczeństwa. Problem z tym protokołem transferu plików jest taki, że cały ruch jest przesyłany w zwykłym tekscie, tak że wszystkie dane mogą być łatwo przechwycone. Nmap pomaga nam umiejsowić serwery FTP. Składnia polecenia dla tego skanowania to "nmap -sP -p 21 [cel / CIDR]".


Przykład 3 - Jak sprawdzić, czy router bezprzewodowy jest hakowany?
   Większość routerów bezprzewodowych umożliwia zarządzanie za pomocą interfejsu strony internetowej. Otwórz przeglądarkę internetową i połącz się z routerem wpisując jego adres IP. Typowe IP routerów to 192.168.0.1 lub 192.168.1.1.
   Po wpisaniu adresu IP routera w przeglądarce internetowej, poproszony zostaniesz o podanie nazwy użytkownika i hasła. Wprowadź swoją nazwę użytkownika i hasło do logowania się do routera. Pokazuje się lista urządzeń z wykorzystaniem sieci. Teraz jest to bardzo proste, prawda? Jeśli strona zawiera więcej klientów DHCP, niż masz, to znaczy, że router bezprzewodowy został uszkodzony i należy natychmiast poprawić swoje bezpieczeństwo.
   Ale w jaki sposób można stwierdzić, czy router bezprzewodowy jest hakowany jeśli nie jesteś administratorem routera? Nmap robi cuda dla nas. Dowiemy się, jak wykonać proste skanowanie ping w podsieci za pomocą opcji -sP. Jeżeli wyniki poleceń wyświetlają więcej hostów, niż można się spodziewać, to oznacza, że router został zhakowany. Uruchom komendę "nmap-sP [IP routera/24]", jak pokazano niżej, aby poznać liczbę istniejących hostów.



    Wnioski

    Poznaliśmy podstawy wiedzy o Nmap. W następnym artykule poznamy bardziej zaawansowane zagadnienia i użyjemy Nmap w realnych przykładach. 

Brak komentarzy:

Prześlij komentarz