Въпросът за сигурността винаги ще бъде много важен стълб в рамките на една организация и във всяка задача, която изпълняваме, тъй като наличието и целостта на цялата информация, с която боравим, зависи от нея и е под наша отговорност.
Има много инструменти, протоколи и задачи, които можем да приложим в рамките на нашите роли, за да подобрим или внедрим подобрения в сигурността в изчислителните среди, но днес ще анализираме две подробно инструменти, които ще бъдат жизненоважни за сканиране Y Проверка на диапазона на IP адреси. По този начин можем да имаме по -специфичен контрол върху цялото маршрутизиране на нашата мрежа.
Двата инструмента, които ще разгледаме, са Zmap Y NmapНо за какво са те и как ще помогнат на нашите роли?
Solvetic ще даде отговора на тези отговори по прост и задълбочен начин.
Какво е ZmapZmap е инструмент с отворен код, който ни позволява извършете сканиране на мрежата, за да определите грешки и възможни повреди което е жизненоважно за оптималната му работа и стабилност.
Едно от големите предимства на Zmap е, че скенерът може да го направи бързо, по -малко от 5 минути, което значително увеличава резултатите, които трябва да предоставим като администратори или персонал за поддръжка.
Сред предимствата на използването на Zmap имаме:
- Zmap може да следи наличността на услугата.
- Zmap е мултиплатформена (Windows, Linux, Mac OS и т.н.) и напълно безплатна.
- Можем да използваме Zmap за анализ на конкретен протокол.
- Zmap ни дава възможност да разберем разпределените системи в интернет.
Когато стартираме Zmap, ние напълно проучваме целия диапазон от IPv4 адреси, така че когато стартираме инструмента, анализираме частни IPv4 адреси, така че трябва да бъдем много внимателни не извършват действия срещу неприкосновеността на личния живот на организация или лице.
Какво е NmapNmap (Network Mapper) е мощен инструмент, който ни дава възможност за проверете сигурността на мрежата и открийте компютри, свързани с него.
Този инструмент може да се използва за тестове за проникване, тоест да потвърдим, че нашата мрежа не е чувствителна към атаки от хакери.
С Nmap имаме под ръка инструмент, който ни дава a бързо сканиране на големи мрежи или компютри индивидуален. За своя анализ Nmap използва IP пакети, за да определи какви компютри са налични в мрежата, какви услуги предлагат тези компютри, каква операционна система се използва в момента и какъв тип защитна стена се прилага и оттам прави съответния анализ.
Сред предимствата, които имаме при използването на Nmap, имаме:
- Откриване на оборудване в реално време в мрежата.
- Той открива отворените портове на тези компютри, както и софтуера и версията на тези портове.
- Открийте наличните уязвимости.
- Той открива мрежовия адрес, операционната система и версията на софтуера на всеки компютър.
- Това е преносим инструмент.
- Nmap е междуплатформена (Поддържа Windows, FreeBSD, Mac OS и др.).
Разлики между Zmap и NmapИма някои разлики между двата инструмента, които споменаваме по -долу:
- С Nmap не можем да сканираме големи мрежи, с Zmap, ако е възможно.
- Zmap извършва сканирането много по -бързо от Nmap.
- Nmap може да се използва в графичен mogo чрез изтегляне на инструмента ZenMap.
- С Nmap можем да анализираме множество портове, докато с Zmap можем да анализираме един порт.
- Покритието на Zmap е много по -голямо от Nmap.
- Nmap поддържа състоянието за всяка връзка, докато Zmap не поддържа състояние във връзките, което увеличава скоростта му.
- Nmap открива загубените връзки и препраща заявките, Zmap изпраща само пакет заявки до дестинация, която избягва преработката.
- Nmap е предназначен за малки мрежови скенери или отделни компютри, докато Zmap е проектиран да сканира цялата интернет мрежа за по -малко от 45 минути.
Отбелязваме, че разликите между един инструмент и друг са забележими и зависят от нуждите, които имаме по това време.
1. Как да използвате и анализирате със Zmap
За този анализ ще използваме Ubuntu 16 като платформа за използване Zmap.
За да инсталираме Zmap ще използваме следната команда:
sudo apt install zmap
Надяваме се, че всички пакети са изтеглени и инсталирани, за да започнете да използвате Zmap на Ubuntu 16.
Използване на Zmap в Ubuntu
За да започнете да използвате Zmap, първата команда, която ще ви бъде от голяма полза, е:
zmap -помощКоито ни показват следните опции:
След това ще видим някои от начините, които можем да използваме Zmap в Ubuntu.
Zmap -pС този параметър можем да сканираме всички компютри, които са на TCP порт 80 в мрежата.
В допълнение към този параметър, имаме възможност да запишем резултата в текстов файл, за това ще използваме следния синтаксис.
sudo zmap -p (Порт) -o (Име на файл)
След като анализът бъде обработен, ще видим резултатите в текстов файл за съответното им издание. Можем да ограничим търсенето до диапазон от IP адреси, използвайки следния синтаксис:
sudo zmap -p (Порт) -o (Text.csv) Обхват IP адресиВ този случай ще сканираме всички компютри, които използват TCP порт 80 в адресния диапазон 192.168.1.1
След като процесът приключи, ще видим нашия файл в началната папка на Ubuntu 16:
Sudo zmap -SПараметърът -S се отнася до източника или ресурса на порта. Например можем да имаме следния синтаксис:
sudo zmap -s 555 -S 192.168.0.1 62.168.1.0/16 -p 80В този случай ние показваме, че изходният порт, който ще изпраща пакетите, ще бъде 555, а адресът на източника ще бъде 192.168.0.1
Допълнителни параметри за използване със ZmapИма и други параметри, които ще бъдат много полезни при използване на Zmap и показване на по -добри резултати, това са:
-ВТази стойност ни позволява да дефинираме скоростта в битове в секунда, която ще се изпраща от Zmap.
-иТя ни позволява да дефинираме IP адресите чрез пермутация, това е полезно, когато използваме Zmap в различни конзоли и с различни диапазони на адреси.
-rТя ни позволява да дефинираме скоростта на пакетни пратки, които ще се извършват всяка секунда.
-TТой се отнася до броя на едновременните нишки, които Zmap ще използва за изпращане на пакети.
-сПоказва изходния порт, от който пакетите ще отидат до адреса на местоназначението.
-СПоказва IP адреса на източника, от който пакетите ще напуснат за сканиране.
-iОтнася се до името на мрежовия интерфейс, използван за сканирането.
-МТествайте модулите, които са внедрени със Zmap.
-ХИзпращане на IP пакети (полезно за VPN).
-GИзползвайки тази опция можем да посочим MAC адреса на шлюза
-лТя ни позволява да въвеждаме записи в генерирания файл.
-VПокажете версията на Zmap
Редактиране на конфигурационни файлове на Zmap
В Zmap има два жизненоважни файла за работата и редактирането на параметрите Zmap.
Това са:
/etc/zmap/zmap.confТози файл ни позволява да конфигурираме стойности на инструменти като портове за сканиране, честотна лента и т.н.
За да го редактираме, можем да използваме VI или Nano редактор.
/etc/zmap/blacklist.confТози файл ни позволява да конфигурираме списъка с диапазони на IP адреси, блокирани за сканиране поради административни или поверителни причини.
По същия начин можем да добавим набор от адреси, ако искаме те да не бъдат сканирани от Zmap.
Както виждаме, Zmap ни предлага широка гама от възможности за управление на процеса на сканиране за компютри и мрежи.
2. Как да използвате и анализирате с Nmap
За да инсталираме Nmap, в този случай на Ubuntu 16, ще използваме следната команда:
sudo apt инсталирате nmap
Приемаме да стартираме процеса на изтегляне и инсталиране на съответните пакети. За да се консултираме с помощта на Nmap, можем да използваме следната команда:
Nmap -помощ
Там получаваме достъп до всички параметри, които могат да бъдат реализирани с помощта на Nmap.
Основните параметри за стартиране на процеса на сканиране са както следва:
- -v: Тази опция увеличава нивото на подробност (подробно).
- -ДА СЕ: Активира откриването на ОС, сканирането на скриптове и пътя за проследяване.
Например ще използваме следния синтаксис за Solvetic.com:
sudo nmap -v -A Solvetic.com
Можем да показваме информация толкова важна, колкото:
- TCP портове, които са открити на всеки дестинационен компютър, посочвайки съответния му IP адрес
- Размер на портове за анализ, по подразбиране 1000.
Можем да видим напредъка на сканирането и след като завършим процеса, ще видим следното:
Можем да видим пълно обобщение на изпълнената задача. Ако искаме по -бързо сканиране, просто използвайте следния синтаксис:
nmap IP_адрес
Можем да видим обобщение на това колко порта са затворени и колко са отворени в адреса на местоназначението.
Параметри за използване с NmapНякои от параметрите, които можем да реализираме с Nmap и които ще бъдат от голяма помощ за задачата за сканиране и мониторинг, са следните:
-sTТози параметър прави сканиране на TCP портовете, без да се налага да бъдете привилегирован потребител.
-Х.ХТова е TCP SYN сканиране, тоест извършва сканирането, без да оставя следа в системата.
-sAТози параметър използва ACK съобщения, за да може системата да издаде отговор и по този начин да открие кои портове са отворени.
-неговитеТози параметър прави сканиране на UDP портовете.
-sN / -sX / -sFТой може да заобиколи неправилно конфигурираните защитни стени и да открие услугите, които се изпълняват в мрежата.
-sPТози параметър идентифицира системите, които са нагоре по веригата на целевата мрежа.
-SWТази опция идентифицира протоколите от по-високо ниво на трети слой (Мрежа).
-sVТази опция ви позволява да определите кои услуги са отворени от портовете на целевата система.
В допълнение към тези параметри можем да включим следното, така че процесът на сканиране е ефективен:
-нНе извършва DNS преобразувания
-bОпределя дали целевият екип е уязвим за "bounce attack"
-vvПозволява ви да получите подробна информация за конзолата.
-FТой позволява фрагментация, което затруднява откриването от защитна стена.
-НаПозволява ни да генерираме отчет.
-ПОТази опция предотвратява пинговете към целта, преди да започне анализът.
За този пример направихме следния ред:
nmap -sS -P0 -sV -O име на хостКогато заменяме името на хоста с името на уебсайта или IP адреса, който ще се анализира. Полученият резултат ще бъде следният:
Там можем да видим, че Nmap е открил операционната система, отворени и затворени портове и т.н.
Допълнителни опции за използване с Nmap
Има някои важни помощни програми, които можем да използваме с Nmap като:
Пинг на диапазон от IP адресиЗа тази задача ще пинг адресите от диапазона 192.168.1.100 до 254, за това въвеждаме следното:
nmap -sP 192.168.1.100-254
Вземете списък със сървъри с отворени портовеЗа да получим този списък, ще използваме следния синтаксис, като вземем за пример диапазон от адреси 192.168.1. *:
nmap -sT -p 80 -oG -192.168.1. * | grep отворен
Създайте сканирани примамки, за да избегнете откриванеТова е много важно, тъй като ако бъдем открити, целият процес на сканиране може да бъде загубен, но ние също трябва да бъдем отговорни за сканирането, тъй като помним, че не може да се използва в забранени мрежи.
За това ще използваме този синтаксис като пример:
sudo nmap -sS 192.168.0.10 -D 192.168.0.1
Сканирайте няколко порта едновременноМожем едновременно да сканираме няколко порта на целеви компютър, в този случай ще сканираме портове 80, 21 и 24 на IP адреса 192.168.1.1, резултатът е следният:
Можем да видим какви действия извършва пристанището в реално време.
Използвайте анализа FINТози анализ изпраща пакет до целевия компютър с флаг или флаг FIN, за да открие поведението на защитната стена преди извършване на задълбочен анализ, за това използваме параметъра -sF.
За този случай ще използваме следния ред:
sudo nmap -sF 192.168.1.1
Проверете версията на целевия компютърЗа тази информация ще използваме -sV параметър който ще върне версията на софтуера, която се изпълнява в този момент в целевия компютър.
Видяхме как тези два инструмента ще бъдат от голяма помощ за цялата задача на сканиране и анализ на комуникационния процес с целевите екипи. Анализите на одита винаги са необходими, независимо от системата, като Windows, Windows Server, Linux, Mac и др. Ще продължим да увеличаваме тази информация.
Анализ на уязвимости с OpenVAS
