Auditoni portet dhe shërbimet në 5 minuta: një udhëzues praktik

Nëse jeni të shqetësuar për sipërfaqen e sulmit të rrjetit tuaj, auditimi i porteve dhe shërbimeve është kontrolli i parë i sigurisë që duhet të kryeni. Me disa porosi të zgjedhura mirë, mund të zbuloni brenda pak minutash se çfarë po ekspozoni.Çfarë rreziqesh po merrni përsipër dhe ku mund të lindin probleme? Nuk keni nevojë të jeni një guru: me udhëzime të qarta dhe mjete falas, ky kontroll është shumë i lehtë.

Megjithatë, është e rëndësishme të mbani mend dy ide: Skanon vetëm sistemet që ju menaxhoni ose keni leje për të aksesuar.Dhe mos harroni, zbulimi nuk është i njëjtë me shfrytëzimin. Këtu do të mësoni të shihni se çfarë është e hapur, të njihni shërbimet dhe të forconi sigurinë, jo si të kompromentoni sistemet e të tjerëve. Duke e qartë këtë, le të fillojmë punën me këtë udhëzues se si të auditoni portet dhe shërbimet tuaja të ekspozuara.

Çfarë do të thotë skanimi i portit (dhe pse e bëjmë atë)

Një port është një pikë hyrjeje/daljeje logjike në një adresë IP. Ekzistojnë 65.535 porta TCP/UDP për adresë Dhe secila prej tyre mund të jetë e hapur, e mbyllur ose e filtruar nga një firewall. Një sulmues që kryen një skanim sistematik mund të identifikojë brenda sekondash se cilat shërbime po publikoni dhe me cilin version.

Kjo hartëzim mund të zbulojë më shumë sesa imagjinoni: metadatat e shërbimit, versionet me gabime të njohura ose të dhënat e sistemit operativNëse dikush fiton akses përmes një shërbimi të harruar ose të konfiguruar gabim, ai mund ta përshkallëzojë sulmin e tij dhe të kompromentojë fjalëkalimet, skedarët dhe pajisjet.

Për të minimizuar ekspozimin, rregulli i artë është i thjeshtë: Mos hapni më shumë porta sesa është e nevojshme dhe kontrolloni periodikisht ato që ju nevojiten.Disa zakone (skanimet, firewall-et, përditësimet) e zvogëlojnë shumë rrezikun.

Mjete si Nmap/Zenmap, TCPing ose zgjidhje më të fuqishme të analizës së rrjetit ndihmojnë me këtë detyrë. Nmap është standardi de facto Zenmap dallohet për saktësinë, shumëllojshmërinë e teknikave dhe motorin e skriptimit, dhe ofron një ndërfaqe grafike për ata që preferojnë të shmangin konsolën.

Si funksionon Nmap (Gjërat thelbësore që duhet të dini)

Nmap zbulon pajisje dhe shërbime në rrjetet lokale dhe në internet, dhe mund të identifikoni portet, versionet e shërbimit dhe madje vlerësoni sistemin operativËshtë ndërplatformë (Linux, Windows, macOS) dhe mbështet IPv4 dhe IPv6, duke qenë efektiv si me pak objektiva ashtu edhe me rreze të gjera veprimi.

Portet shfaqen me gjendje që janë të rëndësishme për t'u kuptuar: hapur (shërbimi po dëgjon), mbyllur (i arritshëm, por pa shërbim), Dhe filtruar (një firewall parandalon njohjen)Në varësi të teknikës, ato mund të shfaqen të kombinuara si hapur|filtruar o mbyllur|filtruar.

Për sa i përket teknikave, ai mbështet skanime TCP SYN (të shpejta dhe diskrete), lidhje TCP (lidhje e plotë), UDP dhe mënyra më pak të zakonshme si p.sh. FIN, NULL, Xmas, ACK ose SCTPGjithashtu kryen zbulimin e hostit duke përdorur ping-et TCP/UDP/ICMP dhe gjurmon rrugët e rrjetit.

Përveç inventarit, Nmap përfshin NSE (Motor Skriptimi Nmap) Për automatizimin e testeve: nga numërimi bazë te kontrollet e konfigurimit dhe, me shumë kujdes, skanimi i dobësive. Përdoreni gjithmonë në mënyrë etike.

Instalimi dhe konfigurimi brenda pak minutash

Në Linux, Nmap është në depot kryesore, kështu që e tëra çfarë ju nevojitet është një sudo apt install nmap (Debian/Ubuntu) ose komandën ekuivalente të shpërndarjes suaj. Hapni menaxherin e paketave dhe jeni gati.Është një gjë e sigurt.

Në Windows dhe macOS, shkarkojeni nga faqja e tij zyrtare e internetit dhe përfundoni magjistarin. Instalimi është i thjeshtë Dhe, nëse preferoni, mund të shtoni Zenmap për një përvojë grafike me profile skanimi të paracaktuara.

Skanime të shpejta dhe efektive: komandat që ju nevojiten vërtet

Për një vështrim të shpejtë te një mikpritës: nmap Ky profil kontrollon portet më të zakonshme dhe ju tregon se cilat janë të hapura. Ideale si foto e parë para se të shkojmë më thellë.

Nëse doni të kufizoni portet: nmap -p 20-200 192.168.1.2Mund të listoni ato specifike (-p 22,80,443) Ose madje edhe të gjithë (-p 1-65535), duke e ditur se do të duhet më shumë kohë.

Për të mësuar rreth shërbimeve dhe versioneve, shtoni -sV, dhe te zbulon sistemin operativ, -O (më mirë me privilegje): nmap -sV -O 192.168.1.2Nëse doni të shkoni me shpejtësi të plotë, profili -A kombinon -sV, -Oskriptet e parazgjedhura dhe --traceroute.

A ka një firewall? Provoni metoda që ndihmojnë në klasifikimin e filtrimit, si p.sh. -sA (ACK) ose teknikat e zbulimit me -PS/-PA/-PU/-PE. Për rrjete shumë të mëdhaRregulloni shpejtësinë me -T0..-T5 dhe kufizon portet me --top-ports.

Zbulimi i strehuesit dhe përzgjedhja e objektivit

Për të zbuluar se çfarë është aktive në një nënrrjet, mund të përdorni ping-scan: nmap -sn 192.168.1.0/24. Do të merrni listën e pajisjeve aktive dhe mund ta përqendrosh xhirimin tënd në ato që të interesojnë.

Nëse menaxhoni lista të mëdha, përdorni -iL për të lexuar objektivat nga një skedar dhe --exclude o --excludefile për të shmangur atë që nuk duhet prekur. Randomizoni pritësit me --randomize-hosts Mund të jetë i dobishëm në disa diagnoza.

Interpretimi i rezultateve si një profesionist

Që një port është hapur Tregon shërbimin e dëgjimit dhe sipërfaqen e mundshme. Mbyllur Zbulon se hosti po përgjigjet, por nuk ka shërbim; i dobishëm për zbulimin e sistemit operativ dhe për të vendosur nëse duhet filtruar me një firewall. filtruar Kjo tregon që një kontroll i ndërmjetëm po bllokon ose nuk po përgjigjet, kështu që Nmap nuk mund ta garantojë gjendjen.

Mos harroni se Zbulimi i sistemit operativ nuk është i pagabueshëmVaret nga vonesa, gjurmët e gishtërinjve dhe pajisjet ndërmjetëse. Përdoreni si udhëzues, jo si të vërtetë absolute.

NSE: Skripte të dobishme dhe përdorim i përgjegjshëm

NSE i grupon skriptet sipas kategorive: parazgjedhur (bazike), auth (autentifikim), zbulim (njohje), i sigurt (jo ndërhyrës), ndërhyrës (potencialisht i zhurmshëm), i dobët (kontrollet e cenueshmërisë), programe keqdashëse/derë e pasme (shenja angazhimi) dhe të tjera. Mund t’i thirrni ato me --script dhe të kalojmë argumentet me --script-args.

Është joshëse të hedhësh gjithçka atje, por shmang zhurmën e panevojshme: skriptet e parazgjedhura dhe ato në kategorinë e sigurt Ato ofrojnë dukshmëri të lartë me ndikim të ulët. Vlerësimet e fokusuara në cenueshmëri janë të vlefshme, por verifikoni gjetjet dhe veproni me kujdes për të shmangur pozitivet e rreme.

Ka skripte që përpiqen të imponojnë me forcë kredencialet ose të testojnë kushte agresive. Mos kryeni veprime ndërhyrëse pa autorizim të qartëAi kufizon përdorimet e tij në mjedise laboratorike ose ushtrime të kontrolluara me leje.

Llojet e skanimit të paraqitura

-sS (SYN): i shpejtë dhe "gjysmë i hapur", nuk e përfundon shtrëngimin e dorës, shumë i dobishëm për numërimin e porteve. Ekuilibri ideal midis shpejtësisë dhe detajeve.

-sT (lidhje TCP)Përdor grumbullin e sistemit për të përfunduar lidhjet; është më i dukshëm, por nuk kërkohen privilegje lartë.

-sU (UDP)Thelbësor për shërbime si DNS, SNMP dhe DHCP. Është më i ngadaltë për shkak të natyrës së UDP, kështu që përcaktoni portet ose përdorni --top-ports për të përshpejtuar.

Të tjera më pak të zakonshme (FIN/NULL/Xmas/ACK, SCTP, protokolli IP) ndihmojnë në klasifikimin e filtrimit tashmë. kuptoni se si inspekton firewall-iPërdorini ato si mbështetje kur metoda kryesore nuk i sqaron gjendjet.

Performanca, detajet dhe rezultati i rezultateve

Profilet kohore -T0..-T5 Ata e rregullojnë kadencën (paranojak, i fshehtë, normal, agresiv, çmenduri). Filloni me T3 dhe përshtatet sipas latencës dhe madhësisë së objektivit.

Nivelet e hollësishmërisë -v dhe korrigjimi -d Ato ju ndihmojnë të shihni se çfarë ndodh gjatë skanimit. Për gjurmë të holla, --packet-trace Tregon pakot që dalin dhe kthehen.

Për të ruajtur rezultatet: -oN (i lexueshëm), -oX (XML), -oG (i grepueshëm) ose -oA (të gjitha menjëherë). Eksporto gjithmonë nëse do të krahasoni skanimet me kalimin e kohës.

Po në lidhje me anashkalimin e firewall/IDS?

Nmap ofron mundësi të tilla si -f (fragmentim), karrem (-D), duke falsifikuar adresën IP të burimit (-S), --g (porti i origjinës) ose --spoof-mac. Këto janë teknika të përparuara me ndikim ligjor dhe operacional.Auditimet e brendshme mbrojtëse rrallë janë të nevojshme; përqendrohuni në dukshmëri dhe korrigjim.

Zenmap: Nmap me një ndërfaqe grafike

Zenmap ofron profile të tilla si "Skanim i Shpejtë", "Intensiv", "TCP/UDP" dhe ofron skeda për Dalja e Nmap, Portat/Shërbimet, Topologjia, Detajet dhe Skanimet e RuajturaËshtë perfekt për dokumentimin e gjetjeve dhe për ata që duan ta shohin topologjinë me një klikim.

Mjete të tjera që shtohen

Në sistemet lokale, ss y netstat Ato tregojnë priza dhe porta dëgjimi. Për shembull, ss -tulnp Lista e dëgjimit TCP/UDP me PID, dhe mund të filtroni sipas portit ose protokollit. lsof -i Është gjithashtu i dobishëm për lidhjen e lidhjeve me proceset.

Për të kontrolluar lidhjen me një port të largët, telnet host puerto ose klientë alternativë mund të shërbejnë (me kujdes, pasi Telnet nuk enkriptonWireshark ndihmon për të parë trafikun dhe për të kuptuar pse diçka nuk po përgjigjet ose si e filtron atë firewall.

Ndër alternativat, Masscan Dallohet për shpejtësinë e tij (skanime masive në një kohë të shkurtër), Gishti/Kutia e gishtave për inventar të shpejtë dhe kontroll të shtëpisë, Skanues i zemëruar IP për thjeshtësinë e saj, dhe WinMTR për të diagnostikuar rrugët dhe vonesën. I butë Është i fuqishëm për manipulimin e paketave dhe eksperimentimin.

Nëse preferoni diçka të thjeshtë, TCPing ju lejon të kontrolloni disponueshmërinë e TCP sikur të ishit duke pinguar portet. Është shumë i përshtatshëm për regjistrime të vetme.megjithëse nuk zëvendëson një skanim të plotë.

Auditimi i rrjetit WiFi

Edhe pse zakonisht mendojmë për lidhje me tel, Nmap është po aq i dobishëm edhe në aspektin pa tel. Identifikoni pajisjet e lidhura me ruterinAi kontrollon portet celulare, IoT dhe AP dhe ndihmon në zbulimin e konfigurimeve të dobëta (p.sh., shërbime të panevojshme të ekspozuara).

Mbani në mend Diapazoni dinamik i DHCP-së dhe lloji i enkriptimit të rrjetit. I kombinuar me kapjet e Wireshark ose suita si Aircrack-ng në laboratorë të kontrolluar, do të keni një pamje të plotë të mjedisit.

Praktikat e mira të forcimit

1) Kërkesat minimaleMos hap asgjë që nuk do ta përdorësh. Nëse një shërbim nuk nevojitet më, fike atë dhe mbyll portën e tij.

2) firewallsAi filtron trafikun hyrës/dalës bazuar në rolin e pajisjes. Në routerë, përcakton rregulla të qarta dhe parandalon ridrejtimet e panevojshme. Verifikon nga interneti nëse ajo që duhet të mbyllet është në të vërtetë e mbyllur.

3) updatesAplikon patch-e të sistemit, firmware të routerit dhe shërbime të publikuara. Shumë nga kompromentimet shfrytëzojnë versione më të vjetra me CVE të njohura.

4) monitorimi: planifikon skanime periodike dhe ruan rezultatet në -oA për krahasim. Nëse shfaqet një port që nuk ka qenë aty më parë, hetoni ndryshimin.

5) Politikat dhe trajnimiNë kompani, përcaktoni se kush skanon, kur dhe me çfarë profilesh. Trajnoni stafin për përdorimin e përgjegjshëm të NSE-së dhe menaxhimin e gjetjeve, si dhe dokumentoni procedurat e korrigjimit.

Avantazhet dhe kufizimet e Nmap

Më e mira: I lirë, fleksibël dhe shumë i aftëZbuloni portat, versionet, sistemin operativ, integroni skriptet dhe eksportoni me saktësi. Është një mjet i përdorur për administratorët, auditorët dhe ekipet e reagimit.

Disavantazhet: mund të jetë bllokuar nga firewall, gjeneron zhurmë në regjistra Nëse jeni tepër agresivë, zbulimi i sistemit operativ/shërbimit nuk është gjithmonë perfekt. Për më tepër, disa pajisje (p.sh., pajisje industriale ose mjekësore) që Ata nuk i tolerojnë mirë skanimet ndërhyrëse.

Kontroll i shpejtë 5-minutësh (i sigurt dhe efektiv)

1) Zbuloni hostet aktive me nmap -sn 192.168.1.0/24. Zgjidhni ato që ju interesojnë për hapin tjetër.

2) Porta të përbashkëta me nmap -sS o --top-ports 1000 për t'u përqendruar në tipiken. Ju tashmë e keni hartën bazë.

3) Shto -sV për të zbuluar versione të hapura dhe -O nëse keni nevojë për profilin e sistemit operativ. Eksporto me -oA për të ruajtur provat.

4) Nëse shihni diçka të pazakontë (p.sh., një telnet 23/tcp të hapur), kontrolloni shërbimin dhe mbylleni/filtroni atë nëse nuk është thelbësore. Zbato patch-e dhe politika nëse versioni është i vjetër.

Komandat dhe opsionet që janë të dobishme për t'i pasur në dispozicion

zbulim: -PS (Ping SYN), -PA (AKK), -PU (UDP), -PE (ICMP Echo), --traceroute (rrugë). I dobishëm për klasifikimin e fushëveprimit dhe zbulojnë bllokime të ndërmjetme.

Teknikat e portit: -sS, -sT, -sU, -sA, -sN/-sF/-sX, -sO. Zgjidhni sipas objektivit dhe mjedisit.

Përzgjedhja e Puertos: -p (diapazoni/lista), --top-ports n, -F (një listë e shpejtë e 100 më të zakonshmeve), -r (sekuencial). Lër mënjanë kohë.

Shërbimi/SO: -sV, --version-all, --version-trace, -O, --max-os-tries, --fuzzy. I dobishëm për skicim të mirë.

Dalje: -oN, -oX, -oG, -oA, --resume. Mos harroni të kurseni dhe të jetë në gjendje të rifillojë nëse ndërpritet.

Kontrolloni portet nga sistemi (Windows/Linux)

Në Windows, me PowerShell ose CMD, netstat -ano Lista e lidhjeve dhe porteve të dëgjimit me PID. Filtro sipas procesit dhe gjen se kush hap çfarë.

Në Linux/macOS, ss -tulnp E grupon të njëjtën gjë në një mënyrë moderne, dhe lsof -i Lejon kryqëzimin e proceseve dhe soketave. Ato janë thelbësore për korrelacionin e gjetjeve nga skanimi me shërbime reale.

Firewall-et: Bllokoni atë që nuk ju nevojitet

Në ekipe, përcaktoni rregullat e hyrjes/daljes sipas shërbimit dhe profilit (p.sh., "kufizoni aksesin SSH në IP-të e besuara"). Në routerAi kontrollon transferimin e portave dhe parandalon ekspozimin e paneleve ose shërbimeve si parazgjedhje. Verifikoni nga interneti me Nmap nëse ajo që besoni se është e mbyllur është në të vërtetë e mbyllur.

Çelësi i një auditimi të mirë të portit është kombinimi i dukshmërisë, gjykimit dhe qëndrueshmërisë: Shiko çfarë është e hapur, kupto çfarë shërbimi fshihet pas saj, vendos nëse duhet të jetë e hapur dhe mbaje të përditësuar.Me Nmap/Zenmap, shërbimet e sistemit dhe praktikat e mira të firewall-it, mund ta zvogëloni ekspozimin tuaj brenda pak minutash dhe ta mbani nën kontroll me skanime të rregullta. Skanoni me inteligjencë, dokumentoni ndryshimet tuaja dhe mos lejoni që një port i harruar të bëhet porta e dhimbjes suaj të kokës së radhës.