Питање безбедности ће увек бити веома важан стуб унутар организације и у сваком задатку који извршавамо, јер доступност и интегритет свих информација којима располажемо зависи од тога и наша је одговорност.
Постоји много алата, протокола и задатака које можемо применити у оквиру својих улога да побољшамо или спроведемо безбедносна побољшања у рачунарским окружењима, али данас ћемо детаљно анализирати два алати који ће бити витални за скенирање И Провера опсега ИП адреса. На овај начин можемо имати прецизнију контролу над свим рутирањем наше мреже.
Два алата која ћемо погледати су Змап И НмапАли чему служе и како ће помоћи нашим улогама?
Солветић ће одговорити на ове одговоре на једноставан и дубок начин.
Шта је ЗмапЗмап је алат отвореног кода који нам то омогућава извршите скенирање мреже ради утврђивања грешака и могућих кварова што је од виталног значаја за његов оптималан рад и стабилност.
Једна од великих предности Змап је да скенер то може учинити брзо, мање од 5 минута, што значајно повећава резултате које морамо испоручити као администратори или особље за подршку.
Међу предностима коришћења Змапа имамо:
- Змап може пратити доступност услуге.
- Змап је мултиплатформ (Виндовс, Линук, Мац ОС итд.) И потпуно бесплатан.
- Змап можемо користити за анализу одређеног протокола.
- Змап нам даје могућност да разумемо дистрибуиране системе на Интернету.
Када покрећемо Змап у потпуности истражујемо читав опсег ИПв4 адреса, па када покренемо алатку анализирамо приватне ИПв4 адресе, па морамо бити веома опрезни да не чине дела против приватности организације или лица.
Шта је НмапНмап (Нетворк Маппер) је моћан алат који нам даје могућност да ревизија безбедности мреже и откријте рачунаре повезане са њим.
Овај алат се може користити за тестови пенетрације, односно потврдити да наша мрежа није осјетљива на нападе хакера.
Са Нмапом имамо при руци алат који нам даје а брзо скенирање великих мрежа или рачунара појединац. За своју анализу, Нмап користи ИП пакете да одреди који су рачунари доступни на мрежи, које услуге ти рачунари нуде, који оперативни систем се тренутно користи и која врста заштитног зида је имплементирана и одатле врши одговарајућу анализу.
Међу предностима које имамо када користимо Нмап имамо:
- Откривање опреме у реалном времену на мрежи.
- Он открива отворене портове на овим рачунарима, као и софтвер и верзију тих портова.
- Откријте присутне рањивости.
- Он открива мрежну адресу, оперативни систем и верзију софтвера сваког рачунара.
- То је преносиви алат.
- Нмап је за више платформи (подржава Виндовс, ФрееБСД, Мац ОС итд.).
Разлике између Змап -а и Нмап -аПостоје неке разлике између два алата, које помињемо у наставку:
- Са Нмапом не можемо скенирати велике мреже, а са Змапом ако је могуће.
- Змап скенирање обавља много брже од Нмапа.
- Нмап се може користити у графичком мого преузимању алата ЗенМап.
- Са Нмапом можемо анализирати више портова, док са Змапом можемо анализирати један порт.
- Покривеност Змапа је много већа од Нмапа.
- Нмап одржава стање за сваку везу, док Змап не одржава стање у везама што повећава његову брзину.
- Нмап детектује изгубљене везе и прослеђује захтеве, Змап шаље само пакет захтева на одредиште чиме се избегава прерада.
- Нмап је дизајниран за мале мрежне скенере или појединачне рачунаре, док је Змап дизајниран за скенирање читаве интернетске мреже за мање од 45 минута.
Напомињемо да су разлике између једног алата и другог значајне и да то зависи од потреба које имамо у то вријеме.
1. Како се користи и анализира са Змапом
За ову анализу користићемо Убунту 16 као платформу за коришћење Змап.
За инсталирање Змапа користићемо следећу команду:
судо апт инсталл змап
Надамо се да су сви пакети преузети и инсталирани за почетак коришћења Змап на Убунту 16.
Коришћење Змапа у Убунту -у
Да бисте почели да користите Змап, прва команда која ће вам бити од велике помоћи је:
змап -помоћШто нам показује следеће опције:
Затим ћемо видети неке од начина на које можемо користити Змап у Убунту -у.
Змап -пПомоћу овог параметра можемо скенирати све рачунаре који су на ТЦП порту 80 на мрежи.
Поред овог параметра, имамо могућност чувања резултата у текстуалној датотеци, за то ћемо користити следећу синтаксу.
судо змап -п (Порт) -о (Назив датотеке)
Када се анализа обради, видећемо резултате у текстуалној датотеци за њихово одговарајуће издање. Претраживање можемо ограничити на низ ИП адреса користећи следећу синтаксу:
судо змап -п (Порт) -о (Тект.цсв) Опсег ИП адресаУ овом случају скенират ћемо све рачунаре који користе ТЦП порт 80 у адресном распону 192.168.1.1
Када се процес заврши, видећемо нашу датотеку у почетној фасцикли Убунту 16:
Судо змап -СПараметар -С се односи на извор или извор порта. На пример, можемо имати следећу синтаксу:
судо змап -с 555 -С 192.168.0.1 62.168.1.0/16 -п 80У овом случају указујемо да ће изворни порт који ће послати пакете бити 555, а изворна адреса 192.168.0.1
Додатни параметри за коришћење са ЗмапомПостоје и други параметри који ће бити веома корисни при коришћењу Змапа и приказивању бољих резултата, а то су:
-БОва вредност нам омогућава да дефинишемо брзину у битима по секунди коју ће послати Змап.
-иОмогућава нам да дефинишемо ИП адресе пермутацијом, што је корисно када користимо Змап у различитим конзолама и са различитим опсезима адреса.
-рОмогућава нам да дефинишемо брзину пакетних испорука које ће се вршити сваке секунде.
-ТОдноси се на број истовремених нити које ће Змап користити за слање пакета.
-сОзначава изворни порт са којег ће пакети ићи на одредишну адресу.
-СОзначава изворну ИП адресу са које ће пакети отићи за скенирање.
-иОдноси се на назив мрежног интерфејса који се користи за скенирање.
-МТестирајте модуле који су имплементирани са Змапом.
-ИКССлање ИП пакета (корисно за ВПН -ове).
-ГПомоћу ове опције можемо одредити МАЦ адресу мрежног пролаза
-лОмогућава нам да унесемо уносе у генерисану датотеку.
-ВПрикажите Змап верзију
Уређивање Змап конфигурацијских датотека
У Змапу постоје две виталне датотеке за рад и уређивање Змап параметара.
Су:
/етц/змап/змап.цонфОва датотека нам омогућава да конфигуришемо вредности алата као што су портови за скенирање, пропусни опсег итд.
За уређивање можемо користити уређивач ВИ или Нано.
/етц/змап/блацклист.цонфОва датотека нам омогућава да конфигуришемо листу опсега ИП адреса блокираних за скенирање из разлога администрације или приватности.
На исти начин можемо додати низ адреса ако желимо да их Змап не скенира.
Као што видимо, Змап нам нуди широк спектар опција за управљање процесом скенирања рачунара и мрежа.
2. Како се користи и анализира са Нмап -ом
Да бисмо инсталирали Нмап, у овом случају на Убунту 16, користићемо следећу команду:
судо апт инсталл нмап
Прихватамо почетак процеса преузимања и инсталације одговарајућих пакета. Да бисмо се консултовали са помоћи Нмап -а, можемо користити следећу команду:
Нмап -помоћ
Тамо добијамо приступ свим параметрима који се могу имплементирати помоћу Нмап -а.
Основни параметри за покретање процеса скенирања су следећи:
- -в: Ова опција повећава ниво детаљности (детаљно).
- -ДО: Омогућава откривање ОС -а, скенирање скрипти и путању праћења.
На пример, користићемо следећу синтаксу за Солветиц.цом:
судо нмап -в -А Солветиц.цом
Можемо приказати информације важне као:
- ТЦП портови који су откривени на сваком одредишном рачунару са одговарајућом ИП адресом
- Износ портове за анализу, подразумевано 1000.
Можемо видети напредак скенирања и када завршимо процес видећемо следеће:
Можемо видети комплетан резиме извршеног задатка. Ако желимо брже скенирање, само употребимо следећу синтаксу:
нмап ИП_адреса
На адреси одредишта можемо видети резиме колико је портова затворено, а колико отворених.
Параметри које треба користити са Нмап -омНеки од параметара које можемо имплементирати помоћу Нмап -а и који ће бити од велике помоћи у задатку скенирања и праћења су сљедећи:
-сТОвај параметар скенира ТЦП портове без потребе да буде привилегован корисник.
-ХХТо је ТЦП СИН скенирање, односно врши скенирање без остављања трага на систему.
-сАОвај параметар користи АЦК поруке како би систем издао одговор и тако открио који су портови отворени.
-његовоОвај параметар скенира УДП портове.
-сН / -сКс / -сФМоже заобићи погрешно конфигурисане заштитне зидове и открити услуге које се изводе на мрежи.
-сПОвај параметар идентификује системе који су узводно на одредишној мрежи.
-СВОва опција идентификује протоколе вишег нивоа на трећем слоју (Мрежа).
-сВОва опција вам омогућава да идентификујете које услуге отварају портови на циљном систему.
Поред ових параметара можемо укључити и следеће тако да је процес скенирања је ефикасан:
-нНе извршава ДНС конверзије
-бОдређује да ли је циљни тим подложан „нападу одбијања“
-ввОмогућава вам да добијете детаљне информације о конзоли.
-ФОмогућава фрагментацију што отежава откривање заштитног зида.
-наОмогућава нам да генеришемо извештај.
-ПООва опција спречава пингове до циља пре почетка анализе.
За овај пример направили смо следећу линију:
нмап -сС -П0 -сВ -О име хостаТамо где име хоста замењујемо именом веб локације или ИП адресом за анализу. Добијени резултат ће бити следећи:
Тамо можемо видети да је Нмап открио оперативни систем, отворене и затворене портове итд.
Додатне опције за коришћење са Нмап -ом
Постоје неки важни помоћни програми које можемо користити са Нмапом, као што су:
Пингује низ ИП адресаЗа овај задатак ћемо пингати адресе из опсега 192.168.1.100 до 254, за ово уносимо следеће:
нмап -сП 192.168.1.100-254
Добијте листу сервера са отвореним портовимаЗа добијање ове листе користићемо следећу синтаксу, узимајући као пример опсег адреса 192.168.1. *:
нмап -сТ -п 80 -оГ -192.168.1. * | греп опен
Направите скениране мамце да бисте избегли откривањеОво је врло важно јер ако откријемо да се цијели процес скенирања може изгубити, али морамо бити одговорни и за скенирање јер се сјећамо да се не може користити у забрањеним мрежама.
За ово ћемо користити ову синтаксу као пример:
судо нмап -сС 192.168.0.10 -Д 192.168.0.1
Скенирајте више портова одједномМожемо истовремено скенирати неколико портова на одредишном рачунару, у овом случају скенират ћемо портове 80, 21 и 24 ИП адресе 192.168.1.1, резултат је сљедећи:
У реалном времену можемо видети које акције порт врши.
Користите ФИН анализуОва анализа шаље пакет одредишном рачунару са заставицом, или заставицом ФИН, како би се открило понашање заштитног зида пре извођења дубинске анализе, за то користимо -сФ параметар.
У овом случају користићемо следећи ред:
судо нмап -сФ 192.168.1.1
Проверите верзију циљног рачунараЗа ове информације користићемо -сВ параметар који ће вратити верзију софтвера која се у том тренутку извршава на одредишном рачунару.
Видели смо како ће ова два алата бити од велике помоћи у целом задатку скенирање и анализа процеса комуникације са циљним тимовима. Ревизијске анализе су увек неопходне, без обзира на систем, то су Виндовс, Виндовс Сервер, Линук, Мац итд. Наставићемо да повећавамо ове податке.
Анализа рањивости са ОпенВАС -ом