Portok és szolgáltatások auditálása 5 perc alatt: gyakorlati útmutató

Ha aggódik hálózata támadási felülete miatt, a portok és szolgáltatások naplózása az első biztonsági ellenőrzés, amelyet el kell végeznie. Néhány jól megválasztott paranccsal percek alatt kiderülhet, mit társz fel.Milyen kockázatokat vállalsz, és hol merülhetnek fel problémák? Nem kell gurunak lenned: világos útmutatással és ingyenes eszközökkel ez az állapotfelmérés gyerekjáték.

Azonban fontos két gondolatot szem előtt tartani: Csak azokat a rendszereket vizsgálja, amelyeket Ön kezel, vagy amelyekhez hozzáférési engedéllyel rendelkezik.És ne feledd, a felderítés nem ugyanaz, mint a kihasználás. Itt megtanulod, hogyan lásd, mi van nyitva, hogyan ismerd fel a szolgáltatásokat és hogyan fokozd a biztonságot, nem pedig azt, hogyan kompromittáld mások rendszereit. Most, hogy ez világos, nézzük meg ezt az útmutatót, amely bemutatja, hogyan auditálhatod a kitett portokat és szolgáltatásokat.

Mit jelent a portszkennelés (és miért kell)?

A port egy logikai belépési/kilépési pont egy IP-címen. Vannak 65 535 TCP/UDP port címenként És mindegyik megnyitható, bezárható vagy szűrhető egy tűzfal segítségével. Egy szisztematikus vizsgálatot végző támadó másodpercek alatt azonosítani tudja, hogy mely szolgáltatásokat és melyik verzióval teszi közzé.

Ez a térképezés többet tárhat fel, mint gondolnád: szolgáltatás metaadatai, ismert hibákat tartalmazó verziók vagy operációs rendszerre utaló jelekHa valaki egy elfelejtett vagy rosszul konfigurált szolgáltatáson keresztül fér hozzá az adatokhoz, fokozhatja a támadást, és jelszavakat, fájlokat és eszközöket is veszélyeztethet.

A kitettség minimalizálása érdekében az aranyszabály egyszerű: Ne nyisson meg több portot, mint amennyi feltétlenül szükséges, és rendszeresen ellenőrizze, hogy mely portokra van szüksége.Néhány szokás (szkennelések, tűzfalak, frissítések) jelentősen csökkenti a kockázatot.

Az olyan eszközök, mint az Nmap/Zenmap, a TCPing vagy a hatékonyabb hálózatelemző megoldások segítenek ebben a feladatban. Az Nmap a de facto szabvány A Zenmap kiemelkedik pontosságával, technikáinak sokféleségével és szkriptmotorjával, és grafikus felületet biztosít azok számára, akik inkább elkerülik a konzolt.

Hogyan működik az Nmap (a legfontosabb tudnivalók, amiket tudnod kell)

Az Nmap eszközöket és szolgáltatásokat észlel a helyi hálózatokon és az interneten, és képes... portok, szolgáltatásverziók azonosítása, sőt, akár az operációs rendszer becslése isTöbbplatformos (Linux, Windows, macOS), és támogatja az IPv4-et és az IPv6-ot, hatékonyan használható mind kevés célponttal, mind hatalmas hatótávolsággal.

A portok olyan állapotokkal jelennek meg, amelyeket fontos megérteni: nyitott (a szolgáltatás figyel), zárt (elérhető, de nincs szolgáltatás), És szűrt (egy tűzfal megakadályozza a felismerést)A technikától függően kombinálva is megjelenhetnek, mint például nyitott|szűrt o zárt|szűrt.

Technikai szempontból támogatja a TCP SYN (gyors és diszkrét) szkennelést, a TCP connect-et (teljes kapcsolat), az UDP-t és a kevésbé elterjedt módokat, mint például a FIN, NULL, Xmas, ACK vagy SCTPEmellett TCP/UDP/ICMP ping paranccsal állomásfelderítést is végez, és nyomon követi a hálózati útvonalakat.

A leltározás mellett az Nmap magában foglalja a következőket is: NSE (Nmap szkriptmotor) Tesztek automatizálásához: az alapvető felsorolástól a konfigurációs ellenőrzéseken át, és nagy körültekintéssel a sebezhetőségi vizsgálatokig. Mindig etikusan használd.

Telepítés és beállítás percek alatt

Linuxon az Nmap a fő tárolókban található, tehát mindössze egy sudo apt install nmap (Debian/Ubuntu) vagy a disztribúciód megfelelő parancsa. Nyisd meg a csomagkezelőt, és máris kész.Ez biztos dolog.

Windows és macOS rendszeren töltse le a hivatalos webhelyről, és fejezze be a varázslót. A telepítés egyszerű És ha úgy tetszik, hozzáadhatja a Zenmap-et egy grafikus élményhez előre definiált szkennelési profilokkal.

Gyors és hatékony szkennelés: parancsok, amelyekre valójában szüksége van

Egy gyors áttekintés a házigazdáról: nmap Ez a profil ellenőrzi a leggyakoribb portokat, és megmutatja, melyek vannak nyitva. Első fotónak ideális mielőtt mélyebbre menne.

Ha korlátozni szeretnéd a portokat: nmap -p 20-200 192.168.1.2Felsorolhatsz konkrétakat (-p 22,80,443) o akár mindenki (-p 1-65535), tudván, hogy tovább fog tartani.

A szolgáltatásokról és verziókról további információért add hozzá -sV, és a az operációs rendszer észlelése, -O (jobb jogosultságokkal): nmap -sV -O 192.168.1.2Ha „teljes gázzal” akarsz menni, a profil -A kombájn -sV, -Oalapértelmezett szkriptek és --traceroute.

Van tűzfal? Próbáljon ki olyan módszereket, amelyek segítenek a szűrés osztályozásában, például -sA (ACK) vagy felderítési technikákkal -PS/-PA/-PU/-PE. Nagyon nagy hálózatokhozÁllítsa be a sebességet a -T0..-T5 és korlátozza a portokat --top-ports.

Gazdagép-felderítés és célpont kiválasztása

Az alhálózaton futó tartalmak megtekintéséhez használhatja a ping-scan parancsot: nmap -sn 192.168.1.0/24. Megkapod az aktív felszerelések listáját és a felvételt azokra fókuszálhatod, amelyek érdekelnek.

Ha nagy listákat kezel, használja -iL célpontok beolvasása egy fájlból és --exclude o --excludefile hogy elkerüljem azt, amit nem szabad megérinteni. Véletlenszerűsítse a gazdagépeket a --randomize-hosts Bizonyos diagnózisok esetén hasznos lehet.

Eredmények értelmezése profi módon

Hogy egy kikötő nyitva Figyelő szolgáltatást és potenciális felszínt jelez. Zárva Ez azt mutatja, hogy a gazdagép válaszol, de nincs szolgáltatás; hasznos az operációs rendszer észleléséhez és annak eldöntéséhez, hogy tűzfallal szűrjön-e. Szűrt Ez azt jelzi, hogy egy köztes vezérlő blokkol vagy nem válaszol, így az Nmap nem tudja garantálni az állapotot.

Ne feledje, hogy a Az operációs rendszer felismerése nem tévedhetetlenEz a késleltetéstől, az ujjlenyomatoktól és a közbenső eszközöktől függ. Iránymutatásként használd, ne abszolút igazságként.

NSE: Hasznos szkriptek és felelősségteljes használatuk

Az NSE kategóriák szerint csoportosítja a szkripteket: alapértelmezett (alapvető), auth (hitelesítés), felfedezés (elismerés), biztonságos (nem tolakodó), intrusively (potenciálisan zajos), vuln (sebezhetőségi ellenőrzések), kártevő/hátsó ajtó (az elkötelezettség jelei) és mások. Ezeket a következővel idézheted elő: --script és érveket adjunk át --script-args.

Csábító lehet mindent kidobni, de kerüld a felesleges zajt: az alapértelmezett szkriptek és a biztonságos kategóriába tartozók Nagy láthatóságot kínálnak alacsony hatás mellett. A sebezhetőségre összpontosító értékelések értékesek, de ellenőrizni kell az eredményeket, és körültekintően kell eljárni a téves pozitív eredmények elkerülése érdekében.

Vannak olyan szkriptek, amelyek megpróbálják a hitelesítő adatokat nyers erővel lekérdezni, vagy agresszív feltételeket tesztelni. Ne végezzen tolakodó műveleteket kifejezett engedély nélkülFelhasználását laboratóriumi körülményekre vagy engedéllyel végzett, ellenőrzött gyakorlatokra korlátozza.

Kiemelt szkennelési típusok

-sS (SZIN): gyors és „félig nyitott”, nem fejezi be a kézfogást, nagyon hasznos a portok számlálásához. Ideális egyensúly a sebesség és a részletesség között.

-sT (TCP kapcsolat)A rendszervermet használja a kapcsolatok létrehozásához; jobban látható, de nincs szükség jogosultságokra magas.

-sU (UDP)Alapvető fontosságú olyan szolgáltatásokhoz, mint a DNS, az SNMP és a DHCP. Az UDP természetéből adódóan lassabb, így portok meghatározása vagy használja --top-ports gyorsítani.

Más, kevésbé gyakori protokollok (FIN/NULL/Xmas/ACK, SCTP, IP protokoll) már segítenek a szűrés osztályozásában. megérteni, hogyan ellenőrzi a tűzfalHasználd őket támogatásként, amikor a fő metódus nem tisztázza az állapotokat.

Teljesítmény, részletesség és eredmények kimenete

Időprofilok -T0..-T5 Állítják a ritmust (paranoid, lopakodó, normális, agresszív, őrült). Kezdje a T3-mal és a késleltetésnek, valamint a célpont méretének megfelelően igazodik.

Bőbeszédűségi szintek -v és hibakeresés -d Segítenek látni, hogy mi történik a vizsgálat során. Finom nyomokhoz, --packet-trace Megmutatja a kimenő és visszaérkező csomagokat.

Az eredmények mentéséhez: -oN (olvasható), -oX (XML), -oG (greppelhető) vagy -oA (egyszerre). Mindig exportáljon ha időbeli összehasonlításokat fogsz végezni a szkennelések között.

Mi a helyzet a tűzfal/IDS megkerülésével?

Az Nmap olyan lehetőségeket kínál, mint például -f (fragmentáció), csalik (-D), a forrás IP-cím meghamisítása (-S), --g (származási kikötő) vagy --spoof-mac. Ezek fejlett technikák, amelyek jogi és működési hatással bírnakBelső védelmi auditokra ritkán van szükség; a hangsúly a láthatóságon és a korrekción van.

Zenmap: Nmap grafikus felülettel

A Zenmap olyan profilokat kínál, mint a „Gyors vizsgálat”, az „Intenzív”, a „TCP/UDP”, és füleket kínál a következőkhöz: Nmap kimenet, portok/szolgáltatások, topológia, részletek és mentett szkennelésekTökéletes a megállapítások dokumentálására és azok számára, akik egy kattintással szeretnék megtekinteni a topológiát.

Egyéb eszközök, amelyek összeadódnak

A helyi rendszerekben, ss y netstat Figyelőaljzatokat és portokat mutatnak. Például, ss -tulnp TCP/UDP figyelőlista PID-vel, és port vagy protokoll szerint szűrhet. lsof -i Kapcsolatok folyamatokhoz való kapcsolására is hasznos.

Egy távoli porthoz való csatlakozás ellenőrzéséhez telnet host puerto vagy alternatív ügyfelek is kiszolgálhatják (óvatosan, mivel A Telnet nem titkosítA Wireshark segít látni a forgalmat, és megérteni, hogy miért nem válaszol valami, vagy hogyan szűri azt a tűzfal.

Az alternatívák között, masscan Kiemelkedik a sebességével (tömeges szkennelés rövid idő alatt), Fing/Fingbox a gyors leltározás és az otthoni ellenőrzés érdekében, Dühös IP szkenner az egyszerűsége miatt, és WinMTR az útvonalak és a késleltetés diagnosztizálására. gusztustalan Hatékonyan használható csomagok manipulálására és kísérletezésre.

Ha valami egyszerűbbet szeretne, a TCPing lehetővé teszi a TCP elérhetőségének ellenőrzését, mintha portokat pingelne. Nagyon kényelmes az egyszeri bejelentkezésekhez.bár ez nem helyettesíti a teljes vizsgálatot.

WiFi hálózat audit

Bár általában vezetékes kapcsolatra gondolunk, az Nmap vezeték nélkül is ugyanolyan hasznos. Azonosítsa a routerhez csatlakoztatott eszközöketEllenőrzi a mobil-, IoT- és AP-portokat, és segít a gyenge konfigurációk (pl. szükségtelen szolgáltatások) észlelésében.

Tartsa szem előtt a DHCP dinamikus tartomány és a hálózati titkosítás típusa. A Wireshark titkosítási módszereivel vagy az Aircrack-ng-hez hasonló, ellenőrzött laboratóriumokban futtatott titkosítási csomagokkal kombinálva teljes képet kaphat a környezetről.

Jó edzési gyakorlatok

1) MinimumkövetelményekNe nyisson meg semmit, amit nem fog használni. Ha egy szolgáltatásra már nincs szükség, kapcsolja ki, és zárja be a portját.

2) tűzfalakAz eszköz szerepköre alapján szűri a bejövő/kimenő forgalmat. Routereken egyértelmű szabályokat határoz meg, és megakadályozza a felesleges átirányításokat. Az internetről ellenőrzi, hogy aminek le kellene zárva lennie, az valóban le van-e zárva.

3) FrissítésekRendszerfrissítéseket, router firmware-t és közzétett szolgáltatásokat alkalmaz. A kompromittálások közül sok ismert CVE-ekkel járó régebbi verziókat használ ki.

4) megfigyelés: rendszeres szkenneléseket ütemez és az eredményeket elmenti a -oA összehasonlításképpen. Ha egy olyan port jelenik meg, ami korábban nem volt ott, vizsgáld meg a változást.

5) Szabályzatok és képzésekA vállalatoknál meg kell határozni, hogy ki, mikor és milyen profilokkal végez szkennelést. A személyzetet ki kell képezni az NSE felelősségteljes használatára és a megállapítások kezelésére, valamint dokumentálni kell a korrekciós eljárásokat.

Az Nmap előnyei és korlátai

A legjobb: Szabad, rugalmas és rendkívül tehetségesPortok, verziók, operációs rendszerek felderítése, szkriptek integrálása és pontos exportálás. Ez egy nélkülözhetetlen eszköz adminisztrátorok, auditorok és reagáló csapatok számára.

Hátrányai: lehet, hogy tűzfal blokkolja, zajt generál a naplókban Ha túlságosan agresszívan próbálkozol, az operációs rendszer/szolgáltatás észlelése nem mindig tökéletes. Továbbá, egyes eszközök (pl. ipari vagy orvosi berendezések), amelyek Nem tolerálják jól a tolakodó vizsgálatokat.

Gyors, 5 perces ellenőrzés (biztonságos és hatékony)

1) Fedezze fel az aktív házigazdákat a következővel: nmap -sn 192.168.1.0/24. Válaszd ki azokat, amelyek érdekelnek a következő lépéshez.

2) Közös portok nmap -sS o --top-ports 1000 hogy a tipikusra koncentráljunk. Már megvan az alap térkép.

3) Hozzáadás -sV hogy megtudja a nyílt verziókat és -O ha szüksége van az operációs rendszer profiljára. Exportálás -oA paranccsal hogy megmentse a bizonyítékokat.

4) Ha valami szokatlant látsz (pl. egy nyitott 23/tcp telnet), ellenőrizd a szolgáltatást, és zárd be/szűrd le, ha nem elengedhetetlen. Javítások és szabályzatok alkalmazása ha a verzió régi.

Parancsok és opciók, amelyek hasznosak, ha kéznél vannak

Felfedezés: -PS (SZINKRON ping), -PA (ACK), -PU (UDP), -PE (ICMP visszhang), --traceroute (útvonal). Hasznos a hatókör osztályozásához és észlelje a köztes elzáródásokat.

Kikötői technikák: -sS, -sT, -sU, -sA, -sN/-sF/-sX, -sO. Válasszon a célnak megfelelően és a környezet.

Selection de puertos: -p (tartomány/lista), --top-ports n, -F (a 100 leggyakoribb gyorslista), -r (egymás utáni). Szánj félre időt.

Szolgáltatás/Munkahelyiség: -sV, --version-all, --version-trace, -O, --max-os-tries, --fuzzy. Hasznos a jó vázlatkészítéshez.

Kijárat: -oN, -oX, -oG, -oA, --resume. Ne felejts el spórolni és hogy megszakítás esetén folytatni lehessen.

Ellenőrizze a rendszer portjait (Windows/Linux)

Windows rendszeren a PowerShell vagy a CMD használatával netstat -ano Kapcsolatok és figyelőportok listája PID-vel. Szűrés folyamat szerint és megkeresi, hogy ki mit nyit ki.

Linux/macOS rendszeren ss -tulnp Ugyanazt a dolgot modern módon csoportosítja, és lsof -i Lehetővé teszi a folyamatok és a socketek keresztezését. Ezek elengedhetetlenek az eredmények korrelálásához valós szolgáltatásokkal történő szkennelésből.

Tűzfalak: Blokkolja, amire nincs szüksége

Csapatokban határozza meg a belépési/kilépési szabályokat szolgáltatás és profil szerint (pl. „SSH hozzáférés korlátozása megbízható IP-címekre"). A routerenEz vezérli a porttovábbítást, és alapértelmezés szerint megakadályozza a panelek vagy szolgáltatások felfedését. Az Nmap segítségével ellenőrizheted az interneten, hogy amit zártnak gondolsz, az valóban le van-e zárva.

A jó kikötői audit kulcsa a láthatóság, az ítélőképesség és a következetesség ötvözése: Nézd meg, mi van nyitva, értsd meg, milyen szolgáltatás áll mögötte, döntsd el, hogy nyitva kellene-e lennie, és tartsd naprakészen.Az Nmap/Zenmap, a rendszer segédprogramok és a bevált tűzfalgyakorlatok segítségével percek alatt csökkentheti a kitettséget, és rendszeres vizsgálatokkal kordában tarthatja. Vizsgáljon intelligensen, dokumentálja a változtatásokat, és ne hagyja, hogy egy elfelejtett port a következő fejfájás kapujává váljon.