Audit portů a služeb za 5 minut: praktický průvodce

Pokud máte obavy z potenciálních rizik útoku na vaši síť, audit portů a služeb je první bezpečnostní kontrolou, kterou byste měli provést. S několika dobře zvolenými objednávkami můžete během několika minut zjistit, co odhalujete.Jaká rizika podstupujete a kde by mohly nastat problémy? Nemusíte být guru: s jasným vedením a bezplatnými nástroji je tato kontrola hračka.

Je však důležité mít na paměti dvě myšlenky: Prohledává pouze systémy, které spravujete nebo k nimž máte oprávnění k přístupu.A nezapomeňte, že detekce není totéž co zneužívání. Zde se naučíte vidět, co je otevřené, rozpoznávat služby a posilovat zabezpečení, ne jak kompromitovat systémy jiných lidí. S tímto jasným vysvětlením se pojďme pustit do práce s tímto průvodcem, jak auditovat vaše exponované porty a služby.

Co znamená skenování portů (a proč ho provádět)

Port je logický vstupní/výstupní bod na IP adrese. Existují 65 535 TCP/UDP portů na adresu A každý z nich může být otevřený, uzavřený nebo filtrovaný firewallem. Útočník provádějící systematické skenování dokáže během několika sekund identifikovat, které služby publikujete a s jakou verzí.

Toto mapování může odhalit více, než si představujete: metadata služeb, verze se známými chybami nebo vodítka k operačnímu systémuPokud někdo získá přístup prostřednictvím zapomenuté nebo špatně nakonfigurované služby, může svůj útok eskalovat a ohrozit hesla, soubory a zařízení.

Pro minimalizaci expozice je zlaté pravidlo jednoduché: Neotevírejte více portů, než je nutné, a pravidelně kontrolujte ty, které potřebujete.Několik pravidel (skenování, firewally, aktualizace) toto riziko výrazně snižuje.

S tímto úkolem pomáhají nástroje jako Nmap/Zenmap, TCPing nebo výkonnější řešení pro analýzu sítě. Nmap je de facto standard Zenmap vyniká svou přesností, rozmanitostí technik a skriptovacím enginem a poskytuje grafické rozhraní pro ty, kteří se raději vyhnou konzoli.

Jak funguje Nmap (základní informace, které potřebujete znát)

Nmap vyhledává zařízení a služby v lokálních sítích a na internetu a dokáže... identifikovat porty, verze služeb a dokonce odhadnout operační systémJe multiplatformní (Linux, Windows, macOS) a podporuje IPv4 a IPv6, takže je efektivní jak s malým počtem cílů, tak s obrovskými rozsahy.

Porty se zobrazují se stavy, které je důležité pochopit: otevřeno (služba naslouchá), zavřeno (přístupné, ale bez služby)a filtrováno (firewall brání v tom, aby to věděl)V závislosti na technice se mohou jevit kombinované jako otevřené|filtrované o zavřeno|filtrováno.

Co se týče technik, podporuje TCP SYN (rychlé a diskrétní) skenování, TCP connect (plné připojení), UDP a méně běžné režimy, jako například FIN, NULL, Vánoce, ACK nebo SCTPTaké provádí vyhledávání hostitelů pomocí TCP/UDP/ICMP pingů a trasuje síťové trasy.

Kromě inventarizací zahrnuje Nmap NSE (skriptovací engine Nmap) Pro automatizaci testů: od základního výčtu až po kontroly konfigurace a s velkou opatrností i skenování zranitelností. Vždy jej používejte eticky.

Instalace a nastavení během několika minut

V Linuxu je Nmap v hlavních repozitářích, takže vše, co potřebujete, je sudo apt install nmap (Debian/Ubuntu) nebo ekvivalentní příkaz vaší distribuce. Otevřete správce balíčků a máte vše nastavené.Je to jistá věc.

V systémech Windows a macOS si jej stáhněte z oficiálních webových stránek a dokončete průvodce. Instalace je jednoduchá A pokud chcete, můžete si přidat Zenmap pro grafické zobrazení s předdefinovanými profily skenování.

Rychlé a efektivní skenování: příkazy, které skutečně potřebujete

Pro rychlý pohled na hostitele: nmap Tento profil kontroluje nejběžnější porty a ukazuje, které z nich jsou otevřené. Ideální jako první fotka než půjdeme hlouběji.

Pokud chcete omezit porty: nmap -p 20-200 192.168.1.2Můžete uvést konkrétní (-p 22,80,443) buď dokonce i všichni (-p 1-65535), s vědomím, že to bude trvat déle.

Chcete-li se dozvědět více o službách a verzích, přidejte -sVa pro detekovat operační systém, -O (lepší s oprávněními): nmap -sV -O 192.168.1.2Pokud chcete jet „naplno“, profil -A kombajny -sV, -Ovýchozí skripty a --traceroute.

Existuje firewall? Vyzkoušejte metody, které pomáhají klasifikovat filtrování, například -sA (ACK) nebo techniky vyhledávání s -PS/-PA/-PU/-PE. Pro velmi rozsáhlé sítěUpravte rychlost pomocí -T0..-T5 a omezuje porty pomocí --top-ports.

Vyhledávání hostitele a výběr cíle

Chcete-li zjistit, co je v podsíti aktivní, můžete použít příkaz ping-scan: nmap -sn 192.168.1.0/24. Získáte seznam aktivního vybavení a můžete se zaměřit na ty, které vás zajímají.

Pokud spravujete velké seznamy, použijte -iL číst cíle ze souboru a --exclude o --excludefile aby se vyhnul tomu, čeho by se nemělo dotýkat. Náhodně rozdělit hostitele s --randomize-hosts Může být užitečný u některých diagnóz.

Interpretace výsledků jako profesionál

Že přístav je OTEVŘENO Označuje poslechovou službu a potenciální povrch. ZAVŘENO Ukazuje, že hostitel reaguje, ale není k dispozici žádná služba; užitečné pro detekci operačního systému a pro rozhodnutí, zda filtrovat pomocí firewallu. Filtrovaný To znamená, že nějaký mezilehlý ovládací prvek blokuje nebo nereaguje, takže Nmap nemůže tento stav zaručit.

Pamatujte, že Detekce OS není neomylnáZáleží na latenci, otiscích prstů a zprostředkujících zařízeních. Používejte to jako vodítko, ne jako absolutní pravdu.

NSE: Užitečné skripty a jejich zodpovědné používání

NSE seskupuje skripty podle kategorií: výchozí (základní), autorizace (ověřování), objev (uznání), trezor (nerušivé), rušivé (potenciálně hlučný), zranitelný (kontroly zranitelností), malware/zadní vrátka (známky závazku) a další. Můžete je uplatnit pomocí --script a předávat argumenty s --script-args.

Je lákavé všechno vyhodit, ale vyhněte se zbytečnému hluku: výchozí skripty a ty v kategorii bezpečných Nabízejí vysokou viditelnost s nízkým dopadem. Hodnocení zaměřená na zranitelnosti jsou cenná, ale ověřte si zjištění a jednejte obezřetně, abyste se vyhnuli falešně pozitivním výsledkům.

Existují skripty, které se pokoušejí o hrubou sílu přihlašovacích údajů nebo testují agresivní podmínky. Neprovádějte rušivé akce bez výslovného souhlasuJeho použití je omezeno na laboratorní prostředí nebo kontrolovaná cvičení s povolením.

Doporučené typy skenování

-sS (SYN): rychlý a „napůl otevřený“, nedokončí handshake, velmi užitečný pro počítání portů. Ideální rovnováha mezi rychlostí a detaily.

-sT (TCP připojení)Používá systémový stack k dokončení připojení; je to viditelnější, ale žádná oprávnění nejsou vyžadována vysoký.

-sU (UDP)Nezbytný pro služby jako DNS, SNMP a DHCP. Je pomalejší kvůli povaze UDP, takže definovat porty nebo použít --top-ports zrychlit.

Jiné méně běžné protokoly (FIN/NULL/Xmas/ACK, SCTP, IP protokol) pomáhají klasifikovat filtrování již pochopit, jak firewall kontrolujePoužijte je jako podporu, když hlavní metoda neobjasňuje stavy.

Výkon, detail a výstup výsledků

Časové profily -T0..-T5 Upravují kadenci (paranoidní, nenápadný, normální, agresivní, šílenství). Začněte s T3 a upravuje se podle latence a velikosti cíle.

Úrovně výřečnosti -v a ladění -d Pomohou vám vidět, co se děje během skenování. Pro jemné stopy, --packet-trace Zobrazuje balíky, které odesílají a vracejí se.

Uložení výsledků: -oN (čitelný), -oX (XML), -oG (grepable) nebo -oA (najednou). Vždy exportovat pokud budete porovnávat skeny v čase.

A co obcházení firewallu/IDS?

Nmap nabízí možnosti jako například -f (fragmentace), návnady (-D), falšování zdrojové IP adresy (-S), --g (přístav původu) nebo --spoof-mac. Jedná se o pokročilé techniky s právním a provozním dopademInterní obranné audity jsou zřídka nutné; zaměřte se na viditelnost a nápravu.

Zenmap: Nmap s grafickým rozhraním

Zenmap nabízí profily jako „Rychlé skenování“, „Intenzivní“, „TCP/UDP“ a nabízí záložky pro Výstup Nmapu, porty/služby, topologie, podrobnosti a uložené skenyJe to ideální pro dokumentaci zjištění a pro ty, kteří chtějí vidět topologii jedním kliknutím.

Další nástroje, které se sčítají

V lokálních systémech, ss y netstat Zobrazují naslouchací sockety a porty. Například ss -tulnp Seznam naslouchajících protokolů TCP/UDP s PID a možností filtrování podle portu nebo protokolu. také -i Je také užitečný pro propojení připojení s procesy.

Chcete-li zkontrolovat připojení ke vzdálenému portu, telnet host puerto nebo mohou sloužit alternativní klienti (s opatrností, protože Telnet nešifrujeWireshark pomáhá vidět provoz a pochopit, proč něco nereaguje nebo jak ho firewall filtruje.

Mezi alternativami, Masscan Vyniká svou rychlostí (masivní skenování v krátkém čase), Fing/Fingbox pro rychlou inventuru a kontrolu domácnosti, Rozzlobený IP skener pro svou jednoduchost a WinMTR diagnostikovat trasy a latenci. skákavý Je to výkonný nástroj pro manipulaci s balíčky a experimentování.

Pokud dáváte přednost něčemu jednoduchému, TCPing vám umožňuje kontrolovat dostupnost TCP, jako byste pingovali porty. Je to velmi výhodné pro jednorázové check-iny.i když to nenahrazuje úplné skenování.

Audit WiFi sítě

Ačkoliv obvykle uvažujeme o kabelovém připojení, Nmap je stejně užitečný i bezdrátově. Identifikace zařízení připojených k routeruKontroluje mobilní, IoT a AP porty a pomáhá detekovat slabé konfigurace (např. vystavené nepotřebné služby).

Mějte na paměti Dynamický rozsah DHCP a typ síťového šifrování. V kombinaci se zachycením dat pomocí Wiresharku nebo sad jako Aircrack-ng v kontrolovaných laboratořích budete mít ucelený obraz o prostředí.

Dobré postupy kalení

1) Minimální požadavkyNeotevírejte nic, co nebudete používat. Pokud službu již nepotřebujete, vypněte ji a zavřete její port.

2) FirewallyFiltruje příchozí/odchozí provoz na základě role zařízení. Na routerech definuje jasná pravidla a zabraňuje zbytečným přesměrováním. Ověřuje z internetu, že to, co by mělo být uzavřeno, je skutečně uzavřeno.

3) AktualizaceAplikuje systémové záplaty, firmware routeru a publikované služby. Mnoho kompromitovaných útoků zneužívá starší verze se známými CVE.

4) Monitorováníplánuje pravidelné kontroly a ukládá výsledky do -oA pro srovnání. Pokud se objeví port, který tam dříve nebyl, prozkoumejte změnu.

5) Zásady a školeníVe firmách definujte, kdo skenuje, kdy a s jakými profily. Proškolte zaměstnance v zodpovědném používání NSE a správě zjištění a dokumentujte postupy nápravy.

Výhody a omezení Nmapu

Nejlepší: Svobodný, flexibilní a vysoce schopnýObjevte porty, verze, operační systém, integrujte skripty a exportujte přesně. Je to nástroj, který používají administrátoři, auditoři a týmy pro reakci.

Nevýhody: může to být blokováno firewallem, generuje šum v protokolech Pokud jste příliš agresivní, detekce OS/služeb není vždy dokonalá. Navíc některá zařízení (např. průmyslová nebo lékařská zařízení), která Nesnášejí dobře rušivé skenování..

Rychlá 5minutová kontrola (bezpečná a efektivní)

1) Objevte aktivní hostitele s nmap -sn 192.168.1.0/24. Vyberte si ty, které vás zajímají pro další krok.

2) Společné porty s nmap -sS o --top-ports 1000 zaměřit se na typické. Základní mapu už máte.

3) Přidat -sV zjistit otevřené verze a -O pokud potřebujete profil operačního systému. Exportovat s -oA aby zachránil důkazy.

4) Pokud uvidíte něco neobvyklého (např. otevřený telnet 23/tcp), zkontrolujte službu a pokud to není nezbytné, zavřete ji/filtrujte. Aplikujte záplaty a zásady pokud je verze stará.

Příkazy a možnosti, které je užitečné mít po ruce

Objev: -PS (SYN ping), -PA (ACK), -PU (UDP), -PE (ICMP ozvěna), --traceroute (trasa). Užitečné pro klasifikaci rozsahu a detekovat mezilehlé blokády.

Přístavní techniky: -sS, -sT, -sU, -sA, -sN/-sF/-sX, -sO. Vyberte podle cíle a životní prostředí.

Výběr portu: -p (rozsah/seznam), --top-ports n, -F (rychlý seznam 100 nejběžnějších), -r (sekvenční). Vyhraďte si čas.

Služba/SO: -sV, --version-all, --version-trace, -O, --max-os-tries, --fuzzy. Užitečné pro dobré vytváření osnov.

Výstup: -oN, -oX, -oG, -oA, --resume. Nezapomeňte uložit a aby bylo možné v případě přerušení pokračovat.

Zkontrolujte porty ze systému (Windows/Linux)

Ve Windows, s PowerShellem nebo CMD, netstat -ano Seznam připojení a naslouchajících portů s PID. Filtrovat podle procesu a zjistí, kdo co otevírá.

V Linuxu/macOS, ss -tulnp Seskupuje totéž moderním způsobem a lsof -i Umožňuje křížení procesů a socketů. Jsou nezbytné pro korelaci zjištění ze skenování pomocí skutečných služeb.

Firewally: Blokujte, co nepotřebujete

V týmech definujte pravidla pro vstup/výstup podle služby a profilu (např. „omezit přístup SSH na důvěryhodné IP adresy„“). Na routeruŘídí přesměrování portů a ve výchozím nastavení zabraňuje odhalování panelů nebo služeb. Pomocí Nmapu ověřte z internetu, že to, co považujete za zavřené, je skutečně zavřené.

Klíčem k dobrému auditu přístavu je kombinace viditelnosti, úsudku a konzistence: Podívejte se, co je otevřené, pochopte, jaká služba se za tím skrývá, rozhodněte se, zda by to mělo být otevřené, a průběžně to aktualizujte.Pomocí Nmap/Zenmap, systémových utilit a osvědčených postupů pro firewall můžete během několika minut snížit riziko a udržet ho pod kontrolou pomocí pravidelných skenů. Skenujte inteligentně, dokumentujte změny a nenechte zapomenutý port stát se vstupní branou k vaší další bolesti hlavy.