Revizija portova i usluga u 5 minuta: praktični vodič

Ako ste zabrinuti zbog površine napada na vašu mrežu, revizija portova i usluga je prva sigurnosna provjera koju biste trebali provesti. S nekoliko dobro odabranih narudžbi, možete za nekoliko minuta saznati što otkrivate.Koje rizike preuzimate i gdje bi se mogli pojaviti problemi? Ne morate biti guru: uz jasne smjernice i besplatne alate, ova provjera je dječja.

Međutim, važno je imati na umu dvije ideje: Skenira samo sustave kojima upravljate ili kojima imate dopuštenje za pristup.I zapamtite, otkrivanje nije isto što i iskorištavanje. Ovdje ćete naučiti vidjeti što je otvoreno, prepoznati usluge i pojačati sigurnost, a ne kako ugroziti tuđe sustave. S tim jasnim, krenimo s ovim vodičem o tome kako revidirati svoje izložene portove i usluge.

Što znači skeniranje portova (i zašto to učiniti)

Port je logička ulazna/izlazna točka na IP adresi. Postoje 65.535 TCP/UDP portova po adresi I svaki od njih može biti otvoren, zatvoren ili filtriran vatrozidom. Napadač koji provodi sustavno skeniranje može u sekundama prepoznati koje usluge objavljujete i s kojom verzijom.

To mapiranje može otkriti više nego što mislite: metapodaci usluge, verzije s poznatim greškama ili tragovi operativnog sustavaAko netko dobije pristup putem zaboravljene ili pogrešno konfigurirane usluge, može eskalirati svoj napad i ugroziti lozinke, datoteke i uređaje.

Kako bi se smanjila izloženost, zlatno pravilo je jednostavno: Ne otvarajte više portova nego što je potrebno i povremeno provjeravajte one koji su vam potrebni.Nekoliko navika (skeniranje, zaštitni zidovi, ažuriranja) uvelike smanjuje rizik.

Alati poput Nmap/Zenmap, TCPing ili moćnija rješenja za analizu mreže pomažu u ovom zadatku. Nmap je de facto standard Zenmap se ističe svojom preciznošću, raznolikošću tehnika i skriptnim mehanizmom te pruža grafičko sučelje za one koji radije izbjegavaju konzolu.

Kako Nmap radi (osnovne stvari koje trebate znati)

Nmap otkriva uređaje i usluge na lokalnim mrežama i internetu te može identificirati portove, verzije servisa, pa čak i procijeniti operativni sustavVišeplatformski je (Linux, Windows, macOS) i podržava IPv4 i IPv6, učinkovit je i s malobrojnim ciljevima i s ogromnim rasponima.

Portovi se prikazuju sa stanjima koja je važno razumjeti: otvoreno (usluga osluškuje), zatvoreno (dostupno, ali nema usluge), I filtrirano (vatrozid sprječava saznanje)Ovisno o tehnici, mogu se pojaviti kombinirani kao otvoreno|filtrirano o zatvoreno|filtrirano.

Što se tiče tehnika, podržava TCP SYN (brzo i diskretno) skeniranje, TCP povezivanje (puna veza), UDP i manje uobičajene načine rada kao što su FIN, NULL, Božić, ACK ili SCTPTakođer vrši otkrivanje hosta pomoću TCP/UDP/ICMP pingova i prati mrežne rute.

Osim inventarizacije, Nmap uključuje NSE (Nmap skriptni mehanizam) Za automatizaciju testova: od osnovnog nabrajanja do provjera konfiguracije i, s velikim oprezom, skeniranja ranjivosti. Uvijek ga koristite etički.

Instalacija i podešavanje za nekoliko minuta

Na Linuxu se Nmap nalazi u glavnim repozitorijima, tako da vam je potreban samo sudo apt install nmap (Debian/Ubuntu) ili ekvivalentnu naredbu vaše distribucije. Otvorite upravitelj paketa i spremni ste.To je sigurna stvar.

Na Windowsima i macOS-u preuzmite ga s njegove službene web stranice i dovršite čarobnjaka. Instalacija je jednostavna A ako želite, možete dodati Zenmap za grafičko iskustvo s unaprijed definiranim profilima skeniranja.

Brzo i učinkovito skeniranje: naredbe koje su vam zapravo potrebne

Za brzi pregled domaćina: nmap Ovaj profil provjerava najčešće portove i pokazuje vam koji su otvoreni. Idealno kao prva fotografija prije nego što idemo dublje.

Ako želite ograničiti portove: nmap -p 20-200 192.168.1.2Možete navesti konkretne (-p 22,80,443) Ili čak i svi (-p 1-65535), znajući da će to trajati dulje.

Da biste saznali više o uslugama i verzijama, dodajte -sV, i za otkriti operativni sustav, -O (bolje s privilegijama): nmap -sV -O 192.168.1.2Ako želite ići "punom parom", profil -A kombinira -sV, -Ozadane skripte i --traceroute.

Postoji li vatrozid? Isprobajte metode koje pomažu u klasifikaciji filtriranja, kao što su -sA (ACK) ili tehnike otkrivanja s -PS/-PA/-PU/-PE. Za vrlo velike mrežePrilagodite brzinu pomoću -T0..-T5 i ograničava portove s --top-ports.

Otkrivanje domaćina i odabir cilja

Da biste saznali što je aktivno na podmreži, možete koristiti ping-scan: nmap -sn 192.168.1.0/24. Dobit ćete popis aktivne opreme i možete usmjeriti svoj snimak na one koji vas zanimaju.

Ako upravljate velikim popisima, koristite -iL čitati ciljeve iz datoteke i --exclude o --excludefile izbjegavati ono što se ne smije dirati. Nasumično rasporedi hostove s --randomize-hosts Može biti koristan kod određenih dijagnoza.

Tumačenje rezultata kao profesionalac

Da je luka otvaramo Označava uslugu slušanja i potencijalnu površinu. Zatvoreno Otkriva da host odgovara, ali nema usluge; korisno za otkrivanje OS-a i za odlučivanje treba li filtrirati pomoću vatrozida. filtriran Ovo ukazuje na to da posredna kontrola blokira ili ne reagira, tako da Nmap ne može jamčiti stanje.

Zapamtite da Detekcija OS-a nije nepogrešivaOvisi o latenciji, otiscima prstiju i međuuređajima. Koristite to kao smjernicu, a ne kao apsolutnu istinu.

NSE: Korisni skripti i odgovorna upotreba

NSE grupira skripte po kategorijama: zadani (osnovno), auth (autentifikacija), otkriće (priznanje), sigurna (nenametljivo), utječući (potencijalno bučno), ranjiv (provjere ranjivosti), zlonamjerni softver/stražnja vrata (znakovi predanosti) i drugi. Možete ih prizvati pomoću --script i prenijeti argumente s --script-args.

Primamljivo je sve izbaciti, ali izbjegavajte nepotrebnu buku: zadane skripte i one u sigurnoj kategoriji Nude visoku vidljivost s malim utjecajem. Procjene usmjerene na ranjivosti su vrijedne, ali provjerite nalaze i postupajte razborito kako biste izbjegli lažno pozitivne rezultate.

Postoje skripte koje pokušavaju prisilno provjeriti vjerodajnice ili testirati agresivne uvjete. Ne izvodite nametljive radnje bez izričitog odobrenjaOgraničava njegovu upotrebu na laboratorijske uvjete ili kontrolirane vježbe uz dopuštenje.

Istaknute vrste skeniranja

-sS (SYN): brzo i "poluotvoreno", ne dovršava rukovanje, vrlo korisno za brojanje portova. Idealna ravnoteža između brzine i detalja.

-sT (TCP veza)Koristi sistemski stog za dovršavanje veza; vidljiviji je, ali nisu potrebne privilegije visoka.

-sU (UDP)Neophodan za usluge poput DNS-a, SNMP-a i DHCP-a. Sporiji je zbog prirode UDP-a, pa definirati portove ili koristiti --top-ports ubrzati.

Drugi, manje uobičajeni (FIN/NULL/Xmas/ACK, SCTP, IP protokol) pomažu u klasificiranju filtriranja već razumjeti kako vatrozid pregledavaKoristite ih kao podršku kada glavna metoda ne razjašnjava stanja.

Učinkovitost, detalji i rezultati

Vremenski profili -T0..-T5 Prilagođavaju ritam (paranoičan, prikriven, normalan, agresivan, ludilo). Započnite s T3 i prilagođava se prema latenciji i veličini cilja.

Razine govora -v i otklanjanje pogrešaka -d Pomažu vam da vidite što se događa tijekom skeniranja. Za fine tragove, --packet-trace Prikazuje pakete koji odlaze i vraćaju se.

Za spremanje rezultata: -oN (čitljiv), -oX (XML), -oG (grepabilno) ili -oA (sve odjednom). Uvijek izvozi ako ćete uspoređivati ​​skenove tijekom vremena.

Što je s zaobilaženjem vatrozida/IDS-a?

Nmap nudi opcije kao što su -f (fragmentacija), mamci (-D), krivotvorenje izvorne IP adrese (-S), --g (luka podrijetla) ili --spoof-mac. To su napredne tehnike s pravnim i operativnim učinkomInterne obrambene revizije rijetko su potrebne; usredotočite se na vidljivost i sanaciju.

Zenmap: Nmap s grafičkim sučeljem

Zenmap nudi profile kao što su "Brzo skeniranje", "Intenzivno", "TCP/UDP" i nudi kartice za Izlaz Nmapa, portovi/usluge, topologija, detalji i spremljene skeniranjaSavršeno je za dokumentiranje nalaza i za one koji žele vidjeti topologiju jednim klikom.

Drugi alati koji se zbrajaju

U lokalnim sustavima, ss y netstat Prikazuju utičnice i portove za slušanje. Na primjer ss -tulnp TCP/UDP popis slušanja s PID-om, a možete filtrirati i po portu ili protokolu. Također -i Također je korisno za povezivanje veza s procesima.

Za provjeru povezivosti s udaljenim priključkom, telnet host puerto ili alternativni klijenti mogu poslužiti (s oprezom, budući da Telnet ne šifriraWireshark pomaže vidjeti promet i razumjeti zašto nešto ne reagira ili kako ga vatrozid filtrira.

Među alternativama, Masscan Ističe se svojom brzinom (masovno skeniranje u kratkom vremenu), Fing/Fingbox za brzu inventuru i kontrolu doma, Ljuti IP skener zbog svoje jednostavnosti i WinMTR za dijagnosticiranje ruta i latencije. scapey Moćan je za manipuliranje paketima i eksperimentiranje.

Ako više volite nešto jednostavno, TCPing vam omogućuje provjeru dostupnosti TCP-a kao da pingate portove. Vrlo je praktično za jednokratne prijave.iako ne zamjenjuje potpuno skeniranje.

Revizija WiFi mreže

Iako obično mislimo na žičano korištenje, Nmap je jednako koristan i bežično. Identificirajte uređaje spojene na ruterProvjerava mobilne, IoT i AP portove te pomaže u otkrivanju slabih konfiguracija (npr. izloženih nepotrebnih usluga).

Imajte na umu Dinamički raspon DHCP-a i vrstu mrežne enkripcije. U kombinaciji s Wireshark snimanjem ili paketima poput Aircrack-ng u kontroliranim laboratorijima, imat ćete potpunu sliku okruženja.

Dobre prakse kaljenja

1) Minimalni zahtjeviNe otvarajte ništa što nećete koristiti. Ako usluga više nije potrebna, isključite je i zatvorite njezin port.

2) firewallFiltrira dolazni/odlazni promet na temelju uloge uređaja. Na usmjerivačima definira jasna pravila i sprječava nepotrebna preusmjeravanja. Provjerava s interneta je li ono što bi trebalo biti zatvoreno zapravo zatvoreno.

3) AžuriranjaPrimjenjuje sistemske zakrpe, firmware usmjerivača i objavljene usluge. Mnoge kompromitacije iskorištavaju starije verzije s poznatim CVE-ovima.

4) nadgledanje: zakazuje periodična skeniranja i sprema rezultate u -oA za usporedbu. Ako se pojavi priključak koji prije nije bio tamo, istražite promjenu.

5) Politike i osposobljavanjeU tvrtkama definirajte tko skenira, kada i s kojim profilima. Osposobite osoblje za odgovorno korištenje NSE-a i upravljanje nalazima te dokumentirajte postupke sanacije.

Prednosti i ograničenja Nmapa

Najbolji: Slobodan, fleksibilan i vrlo sposobanOtkrijte portove, verzije, OS, integrirajte skripte i točno izvozite. To je alat za administratore, revizore i timove za odgovor.

Nedostaci: može biti blokirano vatrozidom, generira šum u zapisnicima Ako ste preagresivni, otkrivanje OS-a/usluga nije uvijek savršeno. Nadalje, neki uređaji (npr. industrijska ili medicinska oprema) koji Ne podnose dobro nametljive skeniranja.

Brza provjera od 5 minuta (sigurna i učinkovita)

1) Otkrijte aktivne domaćine s nmap -sn 192.168.1.0/24. Odaberite one koji vas zanimaju za sljedeći korak.

2) Zajednički priključci s nmap -sS o --top-ports 1000 usredotočiti se na tipično. Već imate osnovnu kartu.

3) Dodaj -sV kako bi saznali otvorene verzije i -O ako vam je potreban profil operativnog sustava. Izvoz s -oA spasiti dokaze.

4) Ako vidite nešto neobično (npr. otvoreni 23/tcp telnet), provjerite uslugu i zatvorite je/filtrirajte ako nije neophodna. Primijenite zakrpe i pravila ako je verzija stara.

Naredbe i opcije koje je korisno imati pri ruci

Otkriće: -PS (SYN ping), -PA (POTVRDA), -PU (UDP), -PE (ICMP odjek), --traceroute (ruta). Korisno za klasifikaciju opsega i otkriti međublokade.

Tehnike luka: -sS, -sT, -sU, -sA, -sN/-sF/-sX, -sO. Odaberite prema cilju i okoliš.

Selección de puertos: -p (raspon/popis), --top-ports n, -F (kratki popis 100 najčešćih), -r (sekvencijalno). Odvojite vrijeme.

Usluga/SO: -sV, --version-all, --version-trace, -O, --max-os-tries, --fuzzy. Korisno za dobro skiciranje.

izlaz: -oN, -oX, -oG, -oA, --resume. Ne zaboravite uštedjeti i da se može nastaviti ako bude prekinut.

Provjerite portove sa sustava (Windows/Linux)

U sustavu Windows, pomoću PowerShella ili CMD-a, netstat -ano Popis veza i portova za slušanje s PID-om. Filtriraj po procesu i locira tko što otvara.

Na Linuxu/macOS-u, ss -tulnp Grupira istu stvar na moderan način i lsof -i Omogućuje križanje procesa i socketa. Oni su bitni za povezivanje nalaza od skeniranja sa stvarnim uslugama.

Zaštitni zidovi: Blokirajte ono što vam ne treba

U timovima definirajte pravila ulaska/izlaska prema usluzi i profilu (npr. „ograničite SSH pristup na pouzdane IP adrese"). Na ruteruKontrolira prosljeđivanje portova i sprječava otkrivanje panela ili usluga prema zadanim postavkama. Pomoću Nmapa provjerite s interneta je li ono što smatrate zatvorenim doista zatvoreno.

Ključ dobre revizije luke je kombiniranje vidljivosti, prosudbe i dosljednosti: Pogledajte što je otvoreno, shvatite koja se usluga krije iza toga, odlučite treba li biti otvoreno i redovito ga ažurirajte.Pomoću Nmap/Zenmap, sistemskih uslužnih programa i dobrih praksi za vatrozid, možete smanjiti izloženost u nekoliko minuta i držati je pod kontrolom redovitim skeniranjem. Inteligentno skenirajte, dokumentirajte promjene i ne dopustite da zaboravljeni port postane ulaz u vašu sljedeću glavobolju.