Endurskoðun tengi og þjónustu á 5 mínútum: hagnýt leiðarvísir

Ef þú hefur áhyggjur af árásarfleti netsins þíns, þá er endurskoðun á tengi og þjónustu fyrsta öryggisathugunin sem þú ættir að framkvæma. Með nokkrum vel völdum röðum geturðu komist að því á örfáum mínútum hvað þú ert að afhjúpa.Hvaða áhættu tekur þú og hvar gætu vandamál komið upp? Þú þarft ekki að vera sérfræðingur: með skýrum leiðbeiningum og ókeypis verkfærum er þessi skoðun einföld.

Hins vegar er mikilvægt að hafa tvær hugmyndir í huga: Það skannar aðeins kerfi sem þú stjórnar eða hefur aðgang að.Og mundu að uppgötvun er ekki það sama og að nýta sér öryggi. Hér munt þú læra að sjá hvað er opið, þekkja þjónustu og efla öryggi, ekki hvernig á að brjótast inn í kerfi annarra. Þegar það er á hreinu skulum við byrja að skoða þessa handbók um hvernig á að endurskoða opnar tengi og þjónustur.

Hvað þýðir portskönnun (og hvers vegna að gera það)

Tengipunktur er rökréttur inngangs-/útgangspunktur á IP-tölu. Það eru til 65.535 TCP/UDP tengi á hvert netfang Og hver og einn getur verið opinn, lokaður eða síaður af eldvegg. Árásarmaður sem framkvæmir kerfisbundna skönnun getur á nokkrum sekúndum greint hvaða þjónustur þú ert að birta og með hvaða útgáfu.

Sú kortlagning getur leitt í ljós meira en þú heldur: lýsigögn þjónustunnar, útgáfur með þekktum villum eða vísbendingar um stýrikerfiEf einhver fær aðgang í gegnum gleymda eða rangt stillta þjónustu getur viðkomandi stigmagnað árásina og brotið á lykilorðum, skrám og tækjum.

Til að lágmarka útsetningu er gullna reglan einföld: Ekki opna fleiri tengi en nauðsyn krefur og athugaðu reglulega þær sem þú þarft á að halda.Nokkrar venjur (skannanir, eldveggir, uppfærslur) draga verulega úr áhættunni.

Tól eins og Nmap/Zenmap, TCPing eða öflugri netgreiningarlausnir hjálpa við þetta verkefni. Nmap er staðallinn í raun Zenmap sker sig úr fyrir nákvæmni sína, fjölbreytni í aðferðum og forskriftarvél og býður upp á grafískt viðmót fyrir þá sem kjósa að forðast stjórnborðið.

Hvernig Nmap virkar (það sem þú þarft að vita)

Nmap finnur tæki og þjónustu á staðarnetum og internetinu og getur bera kennsl á tengi, útgáfur þjónustu og jafnvel meta stýrikerfiðÞað virkar á mörgum kerfum (Linux, Windows, macOS) og styður IPv4 og IPv6, sem gerir það bæði virkt með fáum skotmörkum og stórum sviðum.

Tengipunktarnir birtast með stöðum sem mikilvægt er að skilja: opið (þjónustan hlustar), lokað (aðgengilegt en engin þjónusta)og síað (eldveggur kemur í veg fyrir að vita)Eftir því hvaða tækni er notuð geta þau birst saman sem opið|síað o lokað|síað.

Hvað varðar tækni styður það TCP SYN (hraðvirkar og óáberandi) skannanir, TCP tengingu (full tenging), UDP og sjaldgæfari stillingar eins og FIN, NULL, Jól, ACK eða SCTPÞað framkvæmir einnig hýsingarleit með TCP/UDP/ICMP pings og rekur netleiðir.

Auk birgðahalds felur Nmap í sér NSE (Nmap skriftuvél) Fyrir sjálfvirkni prófana: frá grunntölu til stillingarathugana og, með mikilli varúð, varnarleysisskönnunar. Notið það alltaf siðferðilega.

Uppsetning og uppsetning á nokkrum mínútum

Í Linux er Nmap í aðalgeymslunum, svo þú þarft bara ... sudo apt install nmap (Debian/Ubuntu) eða sambærileg skipun í dreifingunni þinni. Opnaðu pakkastjórann og þá ertu tilbúinn.Það er víst.

Í Windows og macOS skaltu hlaða því niður af opinberu vefsíðu þess og ljúka við töframanninn. Uppsetningin er einföld Og ef þú vilt frekar geturðu bætt við Zenmap fyrir grafíska upplifun með fyrirfram skilgreindum skönnunarprófílum.

Hraðvirkar og árangursríkar skannanir: skipanir sem þú þarft í raun og veru

Til að fá fljótlegt yfirlit yfir gestgjafa: nmap Þessi prófíll athugar algengustu tengi og sýnir þér hvaða eru opnar. Tilvalið sem fyrsta mynd áður en farið er dýpra.

Ef þú vilt takmarka tengi: nmap -p 20-200 192.168.1.2Þú getur listað upp tiltekna (-p 22,80,443) annað hvort jafnvel allir (-p 1-65535), vitandi að það tekur lengri tíma.

Til að læra meira um þjónustur og útgáfur, bætið við -sVog fyrir greina stýrikerfið, -O (betra með forréttindum): nmap -sV -O 192.168.1.2Ef þú vilt fara „á fullu gasi“ þá er prófílinn -A sameinar -sV, -Osjálfgefin forskriftir og --traceroute.

Er til staðar eldveggur? Prófaðu aðferðir sem hjálpa til við að flokka síun, eins og -sA (ACK) eða uppgötvunaraðferðir með -PS/-PA/-PU/-PE. Fyrir mjög stór netStilltu hraðann með -T0..-T5 og takmarkar tengi með --top-ports.

Uppgötvun hýsils og val á markmiði

Til að finna út hvað er virkt á undirneti geturðu notað ping-scan: nmap -sn 192.168.1.0/24. Þú munt fá lista yfir virkan búnað og þú getur einbeitt þér að því sem þú hefur áhuga á.

Ef þú hefur umsjón með stórum listum skaltu nota -iL að lesa markmið úr skrá og --exclude o --excludefile að forðast það sem ekki ætti að snerta. Handahófskennt vélar með --randomize-hosts Það getur verið gagnlegt við ákveðnar greiningar.

Að túlka niðurstöður eins og atvinnumaður

Að höfn sé opið Það gefur til kynna hlustunarþjónustu og hugsanlegt yfirborð. Lokað Það sýnir að vefþjónninn svarar en engin þjónusta er til staðar; gagnlegt til að greina stýrikerfi og ákveða hvort sía eigi með eldvegg. Síað Þetta gefur til kynna að millistýring sé að blokka eða svari ekki, þannig að Nmap getur ekki ábyrgst stöðuna.

Mundu að Stýrikerfisgreining er ekki óskeikulÞað fer eftir seinkun, fingraförum og millistigi. Notið þetta sem leiðbeiningar, ekki sem algildan sannleika.

NSE: Gagnleg handrit og ábyrg notkun

NSE flokkar handrit eftir flokkum: sjálfgefið (grunnatriði), heimild (auðkenning), uppgötvun (viðurkenning), öruggt (ekki íþyngjandi), uppáþrengjandi (hugsanlega hávaðasamt), viðkvæm (varnarleysisathuganir), spilliforrit/bakdyr (merki um skuldbindingu) og önnur. Þú getur kallað þau fram með --script og færa rök með --script-args.

Það er freistandi að henda öllu út, en forðastu óþarfa hávaða: sjálfgefin forskriftir og þær sem eru í öruggum flokki Þau bjóða upp á mikla sýnileika með litlum áhrifum. Mat sem beinist að varnarleysi er verðmætt, en staðfesta niðurstöður og bregðast skynsamlega við til að forðast falskar jákvæðar niðurstöður.

Það eru til forskriftir sem reyna að þvinga fram auðkenni eða prófa árásargjarnar aðstæður. Ekki framkvæma íþyngjandi aðgerðir án skýrs leyfisÞað takmarkar notkun þess við rannsóknarstofuumhverfi eða stýrðar æfingar með leyfi.

Valdar skönnunargerðir

-sS (SYN): hratt og „hálfopið“, lýkur ekki handabandinu, mjög gagnlegt við talningu hafna. Kjörjafnvægi milli hraða og smáatriða.

-sT (TCP tenging)Það notar kerfisstakkann til að ljúka tengingum; það er sýnilegra, en engin réttindi krafist hár.

-sU (UDP)Nauðsynlegt fyrir þjónustu eins og DNS, SNMP og DHCP. Það er hægara vegna eðlis UDP, svo skilgreina tengi eða nota --top-ports að flýta fyrir.

Aðrar sjaldgæfari samskiptareglur (FIN/NULL/Xmas/ACK, SCTP, IP samskiptareglur) hjálpa til við að flokka síun þegar skilja hvernig eldveggurinn kannarNotið þau sem stuðning þegar aðalaðferðin skýrir ekki ástand.

Frammistaða, nákvæmni og úttak niðurstaðna

Tímasnið -T0..-T5 Þeir aðlaga taktinn (ofsóknaræði, laumuspil, eðlilegur, árásargjarn, brjálæði). Byrjaðu með T3 og aðlagast eftir seinkun og stærð markmiðsins.

Orðrýni -v og hreinsun -d Þau hjálpa þér að sjá hvað gerist meðan á skönnuninni stendur. Fyrir fínar spor, --packet-trace Það sýnir pakkana sem fara út og koma til baka.

Til að vista niðurstöður: -oN (læsilegt), -oX (XML), -oG (grepable) eða -oA (allt í einu). Flytja alltaf út ef þú ætlar að bera saman skannanir yfir tíma.

Hvað með eldvegg/IDS framhjáhlaup?

Nmap býður upp á valkosti eins og -f (sundrun), tálbeitur (-D), að falsa upprunalegu IP-töluna (-S), --g (upprunahöfn) eða --spoof-mac. Þetta eru háþróaðar aðferðir með lagalegum og rekstrarlegum áhrifumInnri varnarendurskoðanir eru sjaldan nauðsynlegar; áhersla er lögð á sýnileika og úrbætur.

Zenmap: Nmap með grafísku viðmóti

Zenmap býður upp á snið eins og „Quick Scan“, „Intense“, „TCP/UDP“ og býður upp á flipa fyrir Nmap úttak, tengi/þjónusta, grannfræði, upplýsingar og vistaðar skannanirÞað er fullkomið til að skrá niðurstöður og fyrir þá sem vilja sjá rúmfræðina með einum smelli.

Önnur verkfæri sem leggjast saman

Í staðbundnum kerfum, ss y netstat Þau sýna hlustunartengi og tengi. Til dæmis, ss -tulnp TCP/UDP hlustunarlisti með PID, og ​​þú getur síað eftir höfn eða samskiptareglum. lsof -i Það er einnig gagnlegt til að tengja tengingar við ferla.

Til að athuga tengingu við fjartengt tengi, telnet host puerto eða aðrir viðskiptavinir geta þjónað (með varúð, þar sem Telnet dulkóðar ekkiWireshark hjálpar til við að sjá umferð og skilja hvers vegna eitthvað svarar ekki eða hvernig eldveggurinn síar það.

Meðal valkosta, Masscan Það sker sig úr fyrir hraða sinn (miklar skannanir á stuttum tíma), Fingur/Fingbox fyrir fljótlega birgðahald og heimilisstjórnun, Reiður IP skanni fyrir einfaldleika sinn, og WinMTR til að greina leiðir og seinkun. Skaplegur Það er öflugt til að vinna með pakka og gera tilraunir.

Ef þú kýst eitthvað einfalt, þá gerir TCPing þér kleift að athuga TCP tiltækileika eins og þú værir að pinga tengi. Það er mjög þægilegt fyrir innritun einu sinni.þó það komi ekki í staðinn fyrir fulla skönnun.

Úttekt á WiFi neti

Þó að við hugsum venjulega um hlerunarbúnað, þá er Nmap alveg eins gagnlegt þráðlaust. Greinið tæki sem tengjast leiðinniÞað athugar farsíma-, IoT- og AP-tengi og hjálpar til við að greina veikar stillingar (t.d. óþarfa þjónustur sem eru afhjúpaðar).

Hafðu í huga DHCP kraftmikið svið og gerð netdulkóðunar. Í samvinnu við Wireshark skráningar eða forrit eins og Aircrack-ng í stýrðum rannsóknarstofum færðu heildarmynd af umhverfinu.

Góðar herðingarvenjur

1) LágmarkskröfurEkki opna neitt sem þú ætlar ekki að nota. Ef þjónusta er ekki lengur nauðsynleg skaltu slökkva á henni og loka tengi hennar.

2) EldveggirÞað síar inn- og útfarandi umferð út frá hlutverki tækisins. Á leiðum skilgreinir það skýrar reglur og kemur í veg fyrir óþarfa tilvísanir. Það staðfestir af internetinu að það sem ætti að vera lokað sé í raun lokað.

3) UppfærslurÞað notar kerfisuppfærslur, vélbúnaðarforrit fyrir leið og birtar þjónustur. Margar af þessum málamiðlunum nýta sér eldri útgáfur með þekktum CVE-um.

4) Eftirlit: skipuleggur reglulegar skannanir og vistar niðurstöður í -oA Til samanburðar. Ef tengi birtist sem var ekki til staðar áður, rannsakaðu breytinguna.

5) Stefnumál og þjálfunÍ fyrirtækjum skal skilgreina hver skannar, hvenær og með hvaða prófílum. Þjálfa starfsfólk í ábyrgri notkun NSE og meðhöndlun niðurstaðna og skrá úrbætur.

Kostir og takmarkanir Nmap

Það besta: Frjáls, sveigjanleg og mjög færUppgötvaðu tengi, útgáfur, stýrikerfi, samþættu forskriftir og flyttu út nákvæmlega. Þetta er ómissandi tól fyrir stjórnendur, endurskoðendur og viðbragðsteymi.

Ókostirnir: það getur verið lokaður af eldvegg, mynda hávaða í skrám Ef þú ert of árásargjarn/ur er stýrikerfis-/þjónustugreining ekki alltaf fullkomin. Þar að auki geta sum tæki (t.d. iðnaðar- eða lækningatæki) sem Þeir þola ekki íþyngjandi skannanir vel.

Fljótleg 5 mínútna skoðun (örugg og áhrifarík)

1) Uppgötvaðu virka gestgjafa með nmap -sn 192.168.1.0/24. Veldu þau sem þú hefur áhuga á fyrir næsta skref.

2) Algengar tengi með nmap -sS o --top-ports 1000 að einbeita sér að því dæmigerða. Þú ert nú þegar með grunnkortið.

3) Bæta við -sV að finna út opnar útgáfur og -O ef þú þarft stýrikerfisprófílinn. Flytja út með -oA til að bjarga sönnunargögnum.

4) Ef þú sérð eitthvað óvenjulegt (t.d. opið 23/tcp telnet), athugaðu þá þjónustuna og lokaðu/síaðu hana ef það er ekki nauðsynlegt. Virkja uppfærslur og stefnur ef útgáfan er gömul.

Skipanir og valkostir sem eru gagnlegir að hafa við höndina

Uppgötvun: -PS (SYN ping), -PA (ACK), -PU (UDP), -PE (ICMP bergmál), --traceroute (leið). Gagnlegt til að flokka umfang og greina millistíflur.

Hafnartækni: -sS, -sT, -sU, -sA, -sN/-sF/-sX, -sO. Veldu eftir markmiði og umhverfi.

Úrval af puertos: -p (svið/listi), --top-ports n, -F (fljótur listi yfir 100 algengustu), -r (raðbundin). Settu til hliðar tíma.

Þjónusta/SO: -sV, --version-all, --version-trace, -O, --max-os-tries, --fuzzy. Gagnlegt fyrir góða útlínur.

Útgönguleið: -oN, -oX, -oG, -oA, --resume. Ekki gleyma að vista og að geta haldið áfram ef það truflast.

Athugaðu tengi úr kerfinu (Windows/Linux)

Í Windows, með PowerShell eða CMD, netstat -ano Listi yfir tengingar og hlustunartengi með PID. Sía eftir ferli og finnur hver opnar hvað.

Í Linux/macOS, ss -tulnp Það flokkar sama hlutinn á nútímalegan hátt, og lsof -i Það gerir kleift að fara yfir ferli og tengipunkta. Þau eru nauðsynleg til að tengja saman niðurstöður frá skönnun með raunverulegum þjónustum.

Eldveggir: Lokaðu því sem þú þarft ekki á að halda

Í teymum, skilgreinið inn- og útgöngureglur eftir þjónustu og prófíl (t.d. „takmarka SSH aðgang að traustum IP tölum„).“ Á leiðinniÞað stýrir portframsendingum og kemur í veg fyrir að spjöld eða þjónusta séu sjálfkrafa afhjúpuð. Staðfestu á netinu með Nmap að það sem þú telur vera lokað sé í raun lokað.

Lykillinn að góðri hafnarúttekt er að sameina sýnileika, dómgreind og samræmi: Sjáðu hvað er opið, skildu hvaða þjónusta býr að baki því, ákveddu hvort það ætti að vera opið og haltu því uppfærðu.Með Nmap/Zenmap, kerfisforritum og góðum eldveggsháttum geturðu dregið úr útsetningu þinni á nokkrum mínútum og haldið henni í skefjum með reglulegum skönnunum. Skannaðu á snjallan hátt, skráðu breytingarnar þínar og láttu ekki gleymda tengitengingu verða að næsta höfuðverk.