Revizija pristanišč in storitev v 5 minutah: praktični vodnik

Če vas skrbi površina napada na vaše omrežje, je prvo varnostno preverjanje, ki ga morate izvesti, revizija vrat in storitev. Z nekaj dobro izbranimi naročili lahko v nekaj minutah ugotovite, kaj razkrivate.Kakšna tveganja prevzemate in kje se lahko pojavijo težave? Ni vam treba biti guru: z jasnimi navodili in brezplačnimi orodji je ta pregled mačji kašelj.

Vendar je pomembno imeti v mislih dve ideji: Skenira samo sisteme, ki jih upravljate ali do katerih imate dovoljenje za dostop.In ne pozabite, odkrivanje ni isto kot izkoriščanje. Tukaj se boste naučili videti, kaj je odprto, prepoznati storitve in okrepiti varnost, ne pa kako ogroziti sisteme drugih ljudi. Ko je to jasno, se lotimo dela s tem vodnikom o tem, kako revidirati svoja izpostavljena vrata in storitve.

Kaj pomeni skeniranje vrat (in zakaj ga izvajati)

Vrata so logična vstopna/izhodna točka na IP-naslovu. Obstajajo 65.535 vrat TCP/UDP na naslov In vsak od njih je lahko odprt, zaprt ali filtriran s požarnim zidom. Napadalec, ki izvaja sistematično skeniranje, lahko v nekaj sekundah ugotovi, katere storitve objavljate in s katero različico.

To kartiranje lahko razkrije več, kot si predstavljate: metapodatki storitev, različice z znanimi napakami ali namigi operacijskega sistemaČe nekdo pridobi dostop prek pozabljene ali napačno konfigurirane storitve, lahko napad stopnjeva in ogrozi gesla, datoteke in naprave.

Za zmanjšanje izpostavljenosti je zlato pravilo preprosto: Ne odpirajte več vrat, kot je potrebno, in občasno preverite tista, ki jih potrebujete.Peščica navad (skeniranje, požarni zidovi, posodobitve) močno zmanjša tveganje.

Pri tej nalogi pomagajo orodja, kot so Nmap/Zenmap, TCPing ali zmogljivejše rešitve za analizo omrežja. Nmap je dejanski standard Zenmap izstopa po svoji natančnosti, raznolikosti tehnik in skriptnem mehanizmu ter ponuja grafični vmesnik za tiste, ki se raje izogibajo konzoli.

Kako deluje Nmap (osnovne stvari, ki jih morate vedeti)

Nmap odkriva naprave in storitve v lokalnih omrežjih in internetu ter lahko prepoznati vrata, različice storitev in celo oceniti operacijski sistemJe večplatformski (Linux, Windows, macOS) in podpira IPv4 in IPv6, kar pomeni, da je učinkovit tako z malo cilji kot z velikimi razponi.

Vrata se prikažejo s stanji, ki jih je pomembno razumeti: odprto (storitev posluša), zaprto (dostopno, vendar ni storitve)in filtrirano (požarni zid preprečuje vedenje)Glede na tehniko se lahko pojavijo kombinirani kot odprto|filtrirano o zaprto|filtrirano.

Kar zadeva tehnike, podpira skeniranje TCP SYN (hitro in diskretno), TCP connect (polna povezava), UDP in manj pogoste načine, kot so FIN, NULL, božič, ACK ali SCTPPrav tako izvaja odkrivanje gostiteljev z uporabo pingov TCP/UDP/ICMP in sledi omrežnim potem.

Poleg inventarizacije Nmap vključuje NSE (skriptni mehanizem Nmap) Za avtomatizacijo testov: od osnovnega naštevanja do preverjanja konfiguracije in, z veliko previdnostjo, skeniranja ranljivosti. Vedno ga uporabljajte etično.

Namestitev in nastavitev v nekaj minutah

V Linuxu je Nmap v glavnih repozitorijih, zato potrebujete le sudo apt install nmap (Debian/Ubuntu) ali enakovreden ukaz vaše distribucije. Odprite upravitelja paketov in vse je pripravljeno.To je gotovo.

V sistemih Windows in macOS ga prenesite z uradnega spletnega mesta in dokončajte čarovnika. Namestitev je preprosta In če želite, lahko dodate Zenmap za grafično izkušnjo z vnaprej določenimi profili skeniranja.

Hitro in učinkovito skeniranje: ukazi, ki jih dejansko potrebujete

Za hiter pregled gostitelja: nmap Ta profil preveri najpogostejša vrata in vam pokaže, katera so odprta. Idealno kot prva fotografija preden gremo globlje.

Če želite omejiti vrata: nmap -p 20-200 192.168.1.2Lahko naštejete konkretne (-p 22,80,443) bodisi celo vsi (-p 1-65535), saj vedo, da bo trajalo dlje.

Če želite izvedeti več o storitvah in različicah, dodajte -sVin za zaznati operacijski sistem, -O (bolje s privilegiji): nmap -sV -O 192.168.1.2Če želite iti "s polnim plinom", profil -A kombajni -sV, -Oprivzete skripte in --traceroute.

Ali obstaja požarni zid? Poskusite z metodami, ki pomagajo razvrstiti filtriranje, kot je na primer -sA (ACK) ali tehnike odkrivanja z -PS/-PA/-PU/-PE. Za zelo velika omrežjaPrilagodite hitrost z -T0..-T5 in omejuje vrata z --top-ports.

Odkrivanje gostitelja in izbira cilja

Če želite ugotoviti, kaj je aktivno v podomrežju, lahko uporabite ukaz ping-scan: nmap -sn 192.168.1.0/24. Dobili boste seznam aktivne opreme in svoj posnetek lahko osredotočite na tiste, ki vas zanimajo.

Če upravljate velike sezname, uporabite -iL branje ciljev iz datoteke in --exclude o --excludefile da se izognemo tistemu, česar se ne smemo dotikati. Naključno razvrsti gostitelje z --randomize-hosts Pri določenih diagnozah je lahko koristen.

Interpretacija rezultatov kot profesionalec

Da je pristanišče odprto Označuje poslušalno storitev in potencialno površino. Zaprto Razkrije, da se gostitelj odziva, vendar ni storitve; uporabno za zaznavanje operacijskega sistema in za odločanje o tem, ali naj se filtrira s požarnim zidom. Filtrirano To pomeni, da vmesni kontrolnik blokira ali se ne odziva, zato Nmap ne more zagotoviti stanja.

Ne pozabite, da Zaznavanje operacijskega sistema ni nezmotljivoOdvisno je od zakasnitve, prstnih odtisov in vmesnih naprav. Uporabite to kot smernico, ne kot absolutno resnico.

NSE: Uporabni skripti in odgovorna uporaba

NSE združuje skripte po kategorijah: privzeto (osnovno), avtorizacija (avtentifikacija), odkritje (prepoznavanje), varno (nevsiljivo), intrusively (potencialno hrupno), vuln (preverjanje ranljivosti), zlonamerna programska oprema/zadnja vrata (znaki zavezanosti) in drugi. Lahko jih prikličete z --script in posredovati argumente z --script-args.

Skušnjava je, da bi vse skupaj vrgli ven, vendar se izogibajte nepotrebnemu hrupu: privzete skripte in tiste v varni kategoriji Ponujajo visoko prepoznavnost z majhnim vplivom. Ocene, osredotočene na ranljivosti, so dragocene, vendar preverite ugotovitve in ukrepajte preudarno, da se izognete lažno pozitivnim rezultatom.

Obstajajo skripti, ki poskušajo pridobiti poverilnice z brutalno silo ali preizkusiti agresivne pogoje. Ne izvajajte vsiljivih dejanj brez izrecnega dovoljenjaNjegova uporaba je omejena na laboratorijske nastavitve ali nadzorovane vaje z dovoljenjem.

Izbrane vrste skeniranja

-sS (SYN): hitro in "napol odprto", ne dokonča rokovanja, zelo uporabno za štetje vrat. Idealno ravnovesje med hitrostjo in podrobnostmi.

-sT (TCP povezava)Za dokončanje povezav uporablja sistemski sklad; je bolj viden, vendar nobenih privilegijev ni treba visoko.

-sU (UDP)Bistveno za storitve, kot so DNS, SNMP in DHCP. Zaradi narave UDP je počasnejše, zato definiraj vrata ali uporabite --top-ports pospešiti.

Drugi manj pogosti (FIN/NULL/Xmas/ACK, SCTP, IP protokol) pomagajo že pri razvrščanju filtriranja razumeti, kako požarni zid pregledujeUporabite jih kot podporo, kadar glavna metoda ne pojasni stanj.

Uspešnost, podrobnosti in rezultati

Časovni profili -T0..-T5 Prilagodijo kadenco (paranoično, prikrito, normalno, agresivno, norost). Začnite s T3 in se prilagaja glede na zakasnitev in velikost cilja.

Stopnje besedil -v in odpravljanje napak -d Pomagajo vam videti, kaj se dogaja med skeniranjem. Za fine sledi, --packet-trace Prikazuje pakete, ki gredo ven in se vrnejo.

Za shranjevanje rezultatov: -oN (berljivo), -oX (XML), -oG (grepable) ali -oA (vse naenkrat). Vedno izvozi če boste primerjali skeniranja skozi čas.

Kaj pa obhod požarnega zidu/IDS?

Nmap ponuja možnosti, kot so -f (razdrobljenost), vabe (-D), ponarejanje izvornega IP-naslova (-S), --g (pristanišče izvora) ali --spoof-mac. To so napredne tehnike s pravnim in operativnim učinkomNotranje obrambne revizije so redko potrebne; osredotočite se na vidnost in sanacijo.

Zenmap: Nmap z grafičnim vmesnikom

Zenmap ponuja profile, kot so »Hitro skeniranje«, »Intenzivno«, »TCP/UDP« in ponuja zavihke za Izhod Nmap, vrata/storitve, topologija, podrobnosti in shranjeni preglediIdealen je za dokumentiranje ugotovitev in za tiste, ki si želijo topologijo ogledati z enim klikom.

Druga orodja, ki se seštevajo

V lokalnih sistemih, ss y netstat Prikazujejo poslušalne vtičnice in vrata. Na primer ss -tulnp Seznam poslušanja TCP/UDP s PID-jem, filtriranje pa je možno po vratih ali protokolu. tudi -i Uporaben je tudi za povezovanje povezav s procesi.

Če želite preveriti povezljivost z oddaljenim vrati, telnet host puerto ali pa lahko strežejo alternativne stranke (previdno, saj Telnet ne šifriraWireshark pomaga videti promet in razumeti, zakaj se nekaj ne odziva ali kako ga požarni zid filtrira.

Med alternativami, Masscan Izstopa po svoji hitrosti (množično skeniranje v kratkem času), Fing/Fingerbox za hitro inventuro in nadzor doma, Jezni IP-skaner zaradi svoje preprostosti in WinMTR za diagnosticiranje poti in zakasnitve. scapey Je zmogljiv za manipuliranje paketov in eksperimentiranje.

Če imate raje nekaj preprostega, vam TCPping omogoča preverjanje razpoložljivosti TCP, kot če bi pingali vrata. Zelo priročno je za enkratne prijave.čeprav ne nadomesti popolnega skeniranja.

Pregled omrežja WiFi

Čeprav običajno pomislimo na žično povezavo, je Nmap prav tako uporaben tudi brezžično. Prepoznavanje naprav, povezanih z usmerjevalnikomPreverja mobilna, internetna in dostopna vrata ter pomaga odkriti šibke konfiguracije (npr. izpostavljene nepotrebne storitve).

Ne pozabite na Dinamični razpon DHCP-ja in vrsto omrežnega šifriranja. V kombinaciji z zajemom Wireshark ali paketi, kot je Aircrack-ng, v nadzorovanih laboratorijih boste imeli popolno sliko okolja.

Dobre prakse kaljenja

1) Minimalne zahteveNe odpirajte ničesar, česar ne boste uporabljali. Če storitve ne potrebujete več, jo izklopite in zaprite njena vrata.

2) Požarni zidoviFiltrira dohodni/odhodni promet glede na vlogo naprave. Na usmerjevalnikih definira jasna pravila in preprečuje nepotrebne preusmeritve. Na internetu preverja, ali je tisto, kar bi moralo biti zaprto, dejansko zaprto.

3) PosodobitveUporablja sistemske popravke, vdelano programsko opremo usmerjevalnika in objavljene storitve. Številne kompromitacije izkoriščajo starejše različice z znanimi CVE-ji.

4) Spremljanje: načrtuje periodična skeniranja in shranjuje rezultate v -oA za primerjavo. Če se prikaže vrata, ki jih prej ni bilo, preučite spremembo.

5) Politike in usposabljanjeV podjetjih določite, kdo skenira, kdaj in s kakšnimi profili. Usposobite osebje za odgovorno uporabo NSE in upravljanje ugotovitev ter dokumentirajte postopke sanacije.

Prednosti in omejitve Nmapa

Najboljše: Svoboden, prilagodljiv in zelo zmogljivOdkrijte vrata, različice, operacijski sistem, integrirajte skripte in natančno izvozite. To je orodje, ki ga uporabljajo skrbniki, revizorji in odzivne ekipe.

Slabosti: lahko je blokira požarni zid, ustvarja šum v dnevnikih Če ste preveč agresivni, zaznavanje operacijskega sistema/storitev ni vedno popolno. Poleg tega nekatere naprave (npr. industrijska ali medicinska oprema), ki Ne prenašajo dobro vsiljivih pregledov..

Hiter 5-minutni pregled (varen in učinkovit)

1) Odkrijte aktivne gostitelje z nmap -sn 192.168.1.0/24. Izberite tiste, ki vas zanimajo za naslednji korak.

2) Skupna vrata z nmap -sS o --top-ports 1000 osredotočiti se na tipično. Osnovni zemljevid že imate.

3) Dodaj -sV da bi našli odprte različice in -O če potrebujete profil operacijskega sistema. Izvozi z -oA da bi rešili dokaze.

4) Če opazite kaj nenavadnega (npr. odprt telnet 23/tcp), preverite storitev in jo zaprite/filtrirajte, če ni bistvena. Uporaba popravkov in pravilnikov če je različica stara.

Ukazi in možnosti, ki jih je koristno imeti pri roki

Odkritje: -PS (SYN ping), -PA (POTREBNO), -PU (UDP), -PE (ICMP odmev), --traceroute (pot). Uporabno za razvrščanje obsega in zaznati vmesne blokade.

Pristaniške tehnike: -sS, -sT, -sU, -sA, -sN/-sF/-sX, -sO. Izberite glede na cilj in okolje.

Izbira vrat: -p (obseg/seznam), --top-ports n, -F (hiter seznam 100 najpogostejših), -r (zaporedno). Odložite čas.

Storitev/SO: -sV, --version-all, --version-trace, -O, --max-os-tries, --fuzzy. Uporabno za dobro orisanje.

Izhod: -oN, -oX, -oG, -oA, --resume. Ne pozabite shraniti in da se lahko nadaljuje, če je prekinjeno.

Preverite vrata iz sistema (Windows/Linux)

V sistemu Windows, s PowerShellom ali CMD, netstat -ano Seznam povezav in poslušalskih vrat s PID-om. Filtriraj po postopku in ugotovi, kdo kaj odpre.

V Linuxu/macOS-u, ss -tulnp Isto stvar združuje na sodoben način in lsof -i Omogoča križanje procesov in vtičnic. So bistvenega pomena za povezovanje ugotovitev od skeniranja z resničnimi storitvami.

Požarni zidovi: Blokirajte tisto, česar ne potrebujete

V ekipah določite pravila vstopa/izstopa po storitvah in profilih (npr. »omeji dostop SSH na zaupanja vredne IP-naslove"). Na usmerjevalnikuNadzoruje posredovanje vrat in privzeto preprečuje razkrivanje plošč ali storitev. Z Nmapom preverite na internetu, ali je tisto, kar mislite, da je zaprto, dejansko zaprto.

Ključ do dobre revizije pristanišča je kombinacija preglednosti, presoje in doslednosti: Oglejte si, kaj je odprto, razumite, katera storitev se skriva za tem, odločite se, ali naj bo odprto, in ga redno posodabljajte.Z Nmap/Zenmap, sistemskimi pripomočki in dobrimi praksami požarnega zidu lahko v nekaj minutah zmanjšate izpostavljenost in jo z rednim skeniranjem ohranite pod nadzorom. Pametno skenirajte, dokumentirajte spremembe in ne dovolite, da pozabljena vrata postanejo prehod do vaše naslednje težave.