I-audit ang mga port at serbisyo sa loob ng 5 minuto: isang praktikal na gabay

Kung nag-aalala ka tungkol sa pag-atake ng iyong network, ang pag-audit sa mga port at serbisyo ay ang unang pagsusuri sa seguridad na dapat mong gawin. Sa ilang mga napiling order, malalaman mo sa ilang minuto kung ano ang iyong inilalantad.Anong mga panganib ang iyong tinatanggap, at kung saan maaaring lumitaw ang mga problema? Hindi mo kailangang maging isang guru: na may malinaw na gabay at libreng mga tool, ang check-up na ito ay isang piraso ng cake.

Gayunpaman, mahalagang isaisip ang dalawang ideya: Ini-scan lang nito ang mga system na pinamamahalaan mo o may pahintulot na i-access.At tandaan, ang pagtuklas ay hindi katulad ng pagsasamantala. Dito, matututunan mong makita kung ano ang bukas, kilalanin ang mga serbisyo, at palakasin ang seguridad, hindi kung paano ikompromiso ang mga system ng ibang tao. Sa malinaw na iyan, mag-negosyo tayo gamit ang gabay na ito kung paano i-audit ang iyong mga nakalantad na port at serbisyo.

Ano ang ibig sabihin ng port scanning (at bakit ito ginagawa)

Ang port ay isang lohikal na entry/exit point sa isang IP address. meron 65.535 TCP/UDP port bawat address At ang bawat isa ay maaaring buksan, sarado, o i-filter ng isang firewall. Ang isang attacker na nagsasagawa ng isang sistematikong pag-scan ay maaaring matukoy sa ilang segundo kung aling mga serbisyo ang iyong pina-publish at kung aling bersyon.

Ang pagmamapa na iyon ay maaaring magbunyag ng higit pa kaysa sa iyong inaakala: metadata ng serbisyo, mga bersyon na may mga kilalang bug, o mga pahiwatig ng operating systemKung magkakaroon ng access ang isang tao sa pamamagitan ng isang nakalimutan o na-misconfigure na serbisyo, maaari nilang palakihin ang kanilang pag-atake at ikompromiso ang mga password, file, at device.

Upang mabawasan ang pagkakalantad, ang ginintuang tuntunin ay simple: Huwag magbukas ng higit pang mga port kaysa sa kinakailangan, at pana-panahong suriin ang mga kailangan mo.Ang isang maliit na bilang ng mga gawi (pag-scan, firewall, pag-update) ay lubos na nakakabawas sa panganib.

Ang mga tool tulad ng Nmap/Zenmap, TCPing, o mas mahusay na mga solusyon sa pagtatasa ng network ay nakakatulong sa gawaing ito. Ang Nmap ay ang de facto na pamantayan Namumukod-tangi ang Zenmap para sa katumpakan nito, iba't ibang diskarte, at scripting engine, at nagbibigay ng graphical na interface para sa mga mas gustong umiwas sa console.

Paano Gumagana ang Nmap (Ang Mga Mahahalagang Kailangan Mong Malaman)

Natuklasan ng Nmap ang mga device at serbisyo sa mga lokal na network at sa Internet, at maaari tukuyin ang mga port, mga bersyon ng serbisyo, at kahit na tantiyahin ang operating systemIto ay cross-platform (Linux, Windows, macOS) at sumusuporta sa IPv4 at IPv6, na epektibo sa parehong ilang mga target at malalaking saklaw.

Lumilitaw ang mga port na may mga estado na mahalagang maunawaan: bukas (nakikinig ang serbisyo), sarado (naa-access ngunit walang serbisyo), at na-filter (pinipigilan ng firewall na malaman)Depende sa pamamaraan, maaari silang lumitaw na pinagsama bilang bukas|na-filter o sarado|na-filter.

Sa mga tuntunin ng mga diskarte, sinusuportahan nito ang TCP SYN (mabilis at mahinahon) na mga pag-scan, TCP connect (buong koneksyon), UDP, at hindi gaanong karaniwang mga mode tulad ng FIN, NULL, Xmas, ACK o SCTPNagsasagawa rin ito ng pagtuklas ng host gamit ang mga ping ng TCP/UDP/ICMP at sinusubaybayan ang mga ruta ng network.

Bilang karagdagan sa pag-imbentaryo, isinasama ng Nmap NSE (Nmap Scripting Engine) Para sa pag-automate ng mga pagsubok: mula sa pangunahing enumeration hanggang sa mga pagsusuri sa configuration at, nang may matinding pag-iingat, pag-scan ng kahinaan. Laging gamitin ito sa etika.

Pag-install at pag-setup sa ilang minuto

Sa Linux, ang Nmap ay nasa pangunahing mga repositoryo, kaya ang kailangan mo lang ay a sudo apt install nmap (Debian/Ubuntu) o ang katumbas na utos ng iyong distro. Buksan ang manager ng package at handa ka na.Ito ay isang tiyak na bagay.

Sa Windows at macOS, i-download ito mula sa opisyal na website nito at kumpletuhin ang wizard. Ang pag-install ay diretso At, kung gusto mo, maaari kang magdagdag ng Zenmap para sa isang graphical na karanasan sa mga paunang natukoy na profile sa pag-scan.

Mabilis at epektibong pag-scan: mga utos na talagang kailangan mo

Para sa isang mabilis na pagtingin sa isang host: nmap Sinusuri ng profile na ito ang mga pinakakaraniwang port at ipinapakita sa iyo kung alin ang mga bukas. Tamang-tama bilang unang larawan bago lumalim.

Kung gusto mong limitahan ang mga port: nmap -p 20-200 192.168.1.2Maaari kang maglista ng mga partikular (-p 22,80,443) alinman kahit lahat (-p 1-65535), alam na magtatagal ito.

Upang matutunan ang tungkol sa mga serbisyo at bersyon, magdagdag -sV, y para tuklasin ang operating system, -O (mas mahusay na may mga pribilehiyo): nmap -sV -O 192.168.1.2Kung gusto mong pumunta sa "full throttle," ang profile -A mga pinagsasama -sV, -Omga default na script at --traceroute.

Mayroon bang firewall? Subukan ang mga paraan na makakatulong sa pag-uuri ng pag-filter, gaya ng -sA (ACK) o mga diskarte sa pagtuklas na may -PS/-PA/-PU/-PE. Para sa napakalaking networkAyusin ang bilis gamit ang -T0..-T5 at nililimitahan ang mga port na may --top-ports.

Pagtuklas ng host at pagpili ng target

Upang malaman kung ano ang live sa isang subnet maaari mong gamitin ang ping-scan: nmap -sn 192.168.1.0/24. Makukuha mo ang listahan ng mga aktibong kagamitan at maaari mong ituon ang iyong kuha sa mga interesado sa iyo.

Kung namamahala ka ng malalaking listahan, gamitin -iL upang basahin ang mga target mula sa isang file at --exclude o --excludefile para maiwasan ang hindi dapat hawakan. I-randomize ang mga host kasama --randomize-hosts Maaari itong maging kapaki-pakinabang sa ilang mga diagnosis.

Pagbibigay-kahulugan sa mga resulta tulad ng isang propesyonal

Iyon ay isang port bukas Ipinapahiwatig nito ang serbisyo sa pakikinig at potensyal na surface. Closed Ito ay nagpapakita na ang host ay tumutugon, ngunit walang serbisyo; kapaki-pakinabang para sa OS detection at para sa pagpapasya kung mag-filter gamit ang isang firewall. Filtered Ipinapahiwatig nito na ang isang intermediate na kontrol ay humaharang o hindi tumutugon, kaya hindi magagarantiyahan ng Nmap ang estado.

Tandaan na ang Ang pagtuklas ng OS ay hindi nagkakamaliDepende ito sa latency, fingerprint, at intermediate na device. Gamitin ito bilang gabay, hindi bilang ganap na katotohanan.

NSE: Mga kapaki-pakinabang na script at responsableng paggamit

Pinagpangkat ng NSE ang mga script ayon sa mga kategorya: paunang (basic), auth (pagpapatunay), discovery (pagkilala), ligtas (hindi mapanghimasok), panghihimasok (Posibleng maingay), vuln (mga pagsusuri sa kahinaan), malware/backdoor (signs of commitment) at iba pa. Maaari mong tawagan sila gamit ang --script at ipasa ang mga argumento sa --script-args.

Nakatutukso na itapon ang lahat doon, ngunit iwasan ang hindi kinakailangang ingay: ang mga default na script at ang mga nasa ligtas na kategorya Nag-aalok ang mga ito ng mataas na visibility na may mababang epekto. Ang mga pagtatasa na nakatuon sa kahinaan ay mahalaga, ngunit i-verify ang mga natuklasan at kumilos nang maingat upang maiwasan ang mga maling positibo.

May mga script na nagtatangkang i-brute-force ang mga kredensyal o subukan ang mga agresibong kundisyon. Huwag magsagawa ng mga mapanghimasok na aksyon nang walang tahasang pahintulotNililimitahan nito ang paggamit nito sa mga setting ng laboratoryo o kinokontrol na mga pagsasanay na may pahintulot.

Itinatampok na mga uri ng pag-scan

-sS (SYN): mabilis at "kalahating bukas", hindi nakumpleto ang pakikipagkamay, lubhang kapaki-pakinabang para sa pagbibilang ng port. Tamang balanse sa pagitan ng bilis at detalye.

-sT (TCP connect)Ginagamit nito ang system stack upang kumpletuhin ang mga koneksyon; ito ay mas nakikita, ngunit walang kinakailangang mga pribilehiyo mataas.

-sU (UDP)Mahalaga para sa mga serbisyo tulad ng DNS, SNMP, at DHCP. Ito ay mas mabagal dahil sa likas na katangian ng UDP, kaya tukuyin ang mga port o usa --top-ports para bumilis.

Ang iba pang hindi gaanong karaniwan (FIN/NULL/Xmas/ACK, SCTP, IP protocol) ay nakakatulong upang maiuri na ang pag-filter maunawaan kung paano nagsusuri ang firewallGamitin ang mga ito bilang suporta kapag hindi nilinaw ng pangunahing pamamaraan ang mga estado.

Pagganap, detalye at output ng mga resulta

Mga profile ng oras -T0..-T5 Inaayos nila ang cadence (paranoid, patago, normal, agresibo, kabaliwan). Magsimula sa T3 at inaayos ayon sa latency at laki ng target.

Mga antas ng verbosity -v at pag-debug -d Tinutulungan ka nilang makita kung ano ang nangyayari sa panahon ng pag-scan. Para sa magagandang bakas, --packet-trace Ipinapakita nito ang mga pakete na lumalabas at bumabalik.

Upang i-save ang mga resulta: -oN (nababasa), -oX (XML), -oG (grepable) o -oA (sabay-sabay). Palaging i-export kung ihahambing mo ang mga pag-scan sa paglipas ng panahon.

Paano ang firewall/IDS bypass?

Nag-aalok ang Nmap ng mga opsyon tulad ng -f (fragmentation), decoys (-D), palsipikasyon ng source IP address (-S), --g (port of origin) o --spoof-mac. Ito ay mga advanced na diskarte na may legal at operational na epektoAng mga panloob na pagtatanggol na pag-audit ay bihirang kinakailangan; tumuon sa visibility at remediation.

Zenmap: Nmap na may graphical na interface

Nagbibigay ang Zenmap ng mga profile gaya ng "Quick Scan", "Intense", "TCP/UDP" at nag-aalok ng mga tab para sa Output ng Nmap, Mga Port/Serbisyo, Topolohiya, Mga Detalye, at Mga Nai-save na ScanIto ay perpekto para sa pagdodokumento ng mga natuklasan at para sa mga gustong makita ang topology sa isang click.

Iba pang mga tool na nagdaragdag

Sa mga lokal na sistema, ss y netstat Nagpapakita sila ng mga socket at port ng pakikinig. Halimbawa, ss -tulnp Listahan ng pakikinig ng TCP/UDP na may PID, at maaari mong i-filter ayon sa port o protocol. lsof -i Kapaki-pakinabang din ito para sa pag-uugnay ng mga koneksyon sa mga proseso.

Upang suriin ang pagkakakonekta sa isang malayuang port, telnet host puerto o mga alternatibong kliyente ay maaaring maglingkod (nang may pag-iingat, dahil Hindi naka-encrypt ang TelnetTumutulong ang Wireshark na makita ang trapiko at maunawaan kung bakit hindi tumutugon ang isang bagay o kung paano ito sinasala ng firewall.

Kabilang sa mga alternatibo, Masscan Namumukod-tangi ito sa bilis nito (napakalaking pag-scan sa maikling panahon), Fing/Fingbox para sa mabilis na imbentaryo at kontrol sa tahanan, Galit na IP Scanner para sa pagiging simple nito, at WinMTR upang masuri ang mga ruta at latency. scapey Ito ay malakas para sa pagmamanipula ng mga pakete at pag-eksperimento.

Kung mas gusto mo ang isang bagay na simple, pinapayagan ka ng TCPing na suriin ang availability ng TCP na parang nagpi-ping ka ng mga port. Ito ay napaka-maginhawa para sa isang beses na pag-check-in.kahit na hindi nito pinapalitan ang isang buong pag-scan.

Pag-audit ng WiFi network

Bagama't karaniwan nating iniisip ang wired, ang Nmap ay kapaki-pakinabang din nang wireless. Tukuyin ang mga device na nakakonekta sa routerSinusuri nito ang mga mobile, IoT, at AP port at tumutulong sa pag-detect ng mga mahihinang configuration (hal., nakalantad ang mga hindi kinakailangang serbisyo).

Isaisip ang Dynamic na saklaw ng DHCP at ang uri ng network encryption. Kasama ng mga Wireshark capture o suite tulad ng Aircrack-ng sa mga kinokontrol na lab, magkakaroon ka ng kumpletong larawan ng kapaligiran.

Magandang mga kasanayan sa hardening

1) Minimum na kinakailanganHuwag buksan ang anumang bagay na hindi mo gagamitin. Kung hindi na kailangan ang isang serbisyo, i-off ito at isara ang port nito.

2) Mga FirewallSinasala nito ang papasok/papalabas na trapiko batay sa tungkulin ng device. Sa mga router, tinutukoy nito ang mga malinaw na panuntunan at pinipigilan ang mga hindi kinakailangang pag-redirect. Bine-verify nito mula sa internet na ang dapat isara ay talagang sarado.

3) Mga UpdateNaglalapat ito ng mga patch ng system, firmware ng router, at mga nai-publish na serbisyo. Marami sa mga kompromiso ang nagsasamantala sa mga mas lumang bersyon na may mga kilalang CVE.

4) Pagsubaybay: nag-iskedyul ng mga panaka-nakang pag-scan at nagse-save ng mga resulta sa -oA para sa paghahambing. Kung may lumabas na port na wala noon, imbestigahan ang pagbabago.

5) Mga patakaran at pagsasanaySa mga kumpanya, tukuyin kung sino ang nag-scan, kailan, at kung anong mga profile. Sanayin ang mga tauhan sa responsableng paggamit ng NSE at ang pamamahala ng mga natuklasan, at mga pamamaraan ng remediation ng dokumento.

Mga kalamangan at limitasyon ng Nmap

Ang pinakamahusay: Libre, nababaluktot, at may mataas na kakayahanTumuklas ng mga port, bersyon, OS, isama ang mga script, at i-export nang tumpak. Isa itong go-to tool para sa mga admin, auditor, at response team.

Ang mga downsides: maaari itong maging hinarangan ng firewall, bumuo ng ingay sa mga log Kung masyado kang agresibo, hindi palaging perpekto ang OS/service detection. Higit pa rito, ilang device (hal., pang-industriya o medikal na kagamitan) na Hindi nila pinahihintulutan nang maayos ang mga nakakagambalang pag-scan.

Mabilis na 5 minutong pagsusuri (ligtas at epektibo)

1) Tumuklas ng mga aktibong host gamit ang nmap -sn 192.168.1.0/24. Piliin ang mga interesado sa iyo para sa susunod na hakbang.

2) Mga karaniwang port na may nmap -sS o --top-ports 1000 upang tumuon sa tipikal. Mayroon ka nang pangunahing mapa.

3) Idagdag -sV upang malaman ang mga bukas na bersyon at -O kung kailangan mo ang profile ng operating system. I-export gamit ang -oA para mag-save ng ebidensya.

4) Kung makakita ka ng hindi pangkaraniwang bagay (hal., isang bukas na 23/tcp telnet), tingnan ang serbisyo at isara/i-filter ito kung hindi ito mahalaga. Ilapat ang mga patch at patakaran kung luma na ang version.

Mga utos at opsyon na kapaki-pakinabang na nasa kamay

Descubrimiento: -PS (SYN ping), -PA (ACK), -PU (UDP), -PE (ICMP Echo), --traceroute (ruta). Kapaki-pakinabang para sa pag-uuri ng saklaw at tuklasin ang mga intermediate blockage.

Mga diskarte sa port: -sS, -sT, -sU, -sA, -sN/-sF/-sX, -sO. Pumili ayon sa layunin at kapaligiran.

Pagpili ng port: -p (saklaw/listahan), --top-ports n, -F (mabilis na listahan ng 100 pinakakaraniwan), -r (sequential). Maglaan ng oras.

Serbisyo/SO: -sV, --version-all, --version-trace, -O, --max-os-tries, --fuzzy. Kapaki-pakinabang para sa magandang outlining.

Lumabas: -oN, -oX, -oG, -oA, --resume. No te olvides de guardar at upang makapagpatuloy kung ito ay nagambala.

Suriin ang mga port mula sa system (Windows/Linux)

Sa Windows, na may PowerShell o CMD, netstat -ano Listahan ng mga koneksyon at pakikinig na port na may PID. I-filter ayon sa proseso at hinahanap kung sino ang nagbubukas ng ano.

Sa Linux/macOS, ss -tulnp Pinagpangkat nito ang parehong bagay sa modernong paraan, at lsof -i Pinapayagan nito ang mga proseso ng pagtawid at mga socket. Mahalaga ang mga ito para maiugnay ang mga natuklasan mula sa pag-scan gamit ang mga tunay na serbisyo.

Mga Firewall: I-block ang hindi mo kailangan

Sa mga team, tukuyin ang mga panuntunan sa pagpasok/paglabas ayon sa serbisyo at profile (hal., “limitahan ang SSH access sa mga pinagkakatiwalaang IP"). Sa routerKinokontrol nito ang port forwarding at pinipigilan ang paglantad ng mga panel o serbisyo bilang default. I-verify mula sa internet gamit ang Nmap na ang pinaniniwalaan mong sarado ay talagang sarado.

Ang susi sa isang mahusay na pag-audit sa port ay pagsasama-sama ng visibility, paghatol, at pagkakapare-pareho: Tingnan kung ano ang bukas, unawain kung anong serbisyo ang nasa likod nito, magpasya kung dapat itong bukas, at panatilihin itong na-update.Sa Nmap/Zenmap, mga utility ng system, at mahusay na mga kasanayan sa firewall, maaari mong bawasan ang iyong pagkakalantad sa ilang minuto at panatilihin itong kontrolado sa mga regular na pag-scan. I-scan nang matalino, idokumento ang iyong mga pagbabago, at huwag hayaan ang isang nakalimutang port na maging gateway sa iyong susunod na sakit ng ulo.