Nmap je populární open-source nástroj pro zjišťování sítě používaný k vyhledávání a auditování zařízení v počítačové síti. Dokáže rychle skenovat jednotlivé hostitele až po velké počítačové sítě a poskytuje užitečné informace o každém hostiteli a jeho softwaru.
Vetřelci v síti... Počkat, co?
Produkty internetu věcí, jako jsou chytré hodinky, fitness trackery, tiskárny, chytré fotoaparáty a další, se každým dnem stávají součástí našeho každodenního života. Mnoho z těchto zařízení je synchronizováno s našimi osobními nebo pracovními smartphony. Ať už chtě nebo ne, tato zařízení se mohou připojovat k vaší podnikové síti. Podle Infobloxu to nejméně polovina organizací zažila právě v posledním roce.
Ale jaké je to riziko? Většina IoT zařízení nemá vestavěné zabezpečení a v mnoha případech postrádá firmware a upgrady zabezpečení. Tento nedostatek zabezpečení je zlatým dolem pro kyberzločince, kteří se pokoušejí prolomit zabezpečení vaší sítě. Díky funkcím zjišťování a auditování Nmap však můžete rychle objevit a identifikovat podvodné hostitele nebo zařízení ve vaší síti a software v ní spuštěný. Pojďme prozkoumat některé scénáře.
[ Čtenářům se také líbilo: Spuštění rychlého skenování NMAP pro inventarizaci mé sítě ]
Obecné zjišťování sítě
Jen vědět, jaké porty jsou otevřené, nestačí, protože tyto služby mohou často naslouchat na nestandardních portech. Budete také chtít vědět, jaký software a verze jsou za portem z hlediska zabezpečení. Díky funkcím Nmap Service a Version Detection je možné provádět kompletní inventarizaci sítě a zjišťování hostitelů a zařízení, kontrolovat každý jednotlivý port na zařízení nebo hostitele a určit, jaký software je za každým z nich.
Nmap se připojuje ke každému otevřenému portu a zjišťuje jej pomocí detekčních sond, kterým může software rozumět. Díky tomu může Nmap poskytnout podrobné posouzení toho, co je tam venku, spíše než jen nesmyslné otevřené porty.
Chcete-li využít tuto výkonnou funkci, měli byste:
- Povolte detekci služby a verze pomocí parametru
-sV. - Přidejte možnost
--allportsskenovat každý jednotlivý port. Ve výchozím nastavení Nmap nekontroluje port 9100. Mnoho tiskáren tento port používá a v některých vzácných případech Nmap způsobí jejich tisk. - Použijte
-T4pro rychlejší provádění, protože toto zjišťování může být časově náročné.
$ nmap -sV --allports -T4 10.1.0.0/24
Nmap scan report for 10.1.0.1
Host is up (0.0038s latency).
Not shown: 995 filtered ports
PORT STATE SERVICE VERSION
53/tcp open domain Unbound
80/tcp open http nginx
2022/tcp open ssh OpenSSH 7.5 (protocol 2.0)
5000/tcp open ssl/http-proxy HAProxy http proxy 1.3.1 or later
8443/tcp open ssl/http nginx
Service Info: Device: load balancer
Nmap scan report for 10.1.0.2
Host is up (0.82s latency).
Not shown: 992 closed ports
PORT STATE SERVICE VERSION
22/tcp open ssh OpenSSH 8.3p1 Debian 1 (protocol 2.0)
80/tcp open http nginx
111/tcp open rpcbind 2-4 (RPC #100000)
443/tcp open ssl/http nginx
2049/tcp open nfs 3-4 (RPC #100003)
3260/tcp open iscsi?
6000/tcp open http aiohttp 3.6.2 (Python 3.8)
8080/tcp open http Apache httpd 2.4.46 ((Debian) mpm-itk/2.4.7-04 OpenSSL/1.1.1g)
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel Z výše uvedeného výstupu Nmap našel dva hostitele:10.1.0.1 a 10.1.0.2 .
První hostitel je detekován jako load balancer – docela blízko, protože je to můj router, na kterém běží pfSense. Také si všiml několika otevřených portů a software naslouchající na každém. Správně zjistil server DNS jako nevázaný; Nginx jako webový server za portem 80 (očekávaný) a 8443 (nestandardní port); také zachytil port 2022 otevřený, s OpenSSH 7.5 za ním; a na portu 5000 Nmap detekoval HAProxy s verzí alespoň 1.3.1.
Na druhém hostiteli běží Linux a každý software byl identifikován správně, kromě serveru iSCSI za portem 3260.
Co s těmito informacemi uděláte? Ulož to! Budete potřebovat základní linii pro porovnání s příštím vyhledáváním nových hostitelů a služeb v síti. Zkontrolujte slabá místa zabezpečení pro každý zjištěný software. Ujistěte se, že každé zařízení poznáváte!
Nečestné servery DHCP
Servery DHCP jsou základní součástí každé sítě. V podstatě by měl existovat pouze jeden DHCP server na síť poskytující všechny nezbytné informace potřebné pro správnou konfiguraci sítě.
Nečestné servery DHCP jsou stejné jako běžné servery DHCP, ale nespravují je pracovníci IT nebo sítě. Tyto nepoctivé servery se obvykle objeví, když uživatelé vědomě nebo nevědomě připojí router k síti. Další možností je kompromitované zařízení internetu věcí, jako jsou mobilní telefony, tiskárny, fotoaparáty, tablety, chytré hodinky, nebo něco horšího, jako je kompromitovaná IT aplikace nebo zdroj.
Nečestné servery DHCP jsou frustrující, zvláště pokud se pokoušíte nasadit flotilu serverů pomocí PXE, protože PXE silně závisí na DHCP. Nejen to, je to bezpečnostní riziko a můžete začít pociťovat výpadky sítě, protože podvodný server DHCP může poskytnout nesprávná nastavení sítě a trasy.
K provádění zjišťování DHCP obsahuje Nmap skript nazvaný broadcast-dhcp-discover . Tento skript odešle požadavek DHCP na adresu vysílání pomocí adresy MAC DE:AD:CO:DE:CA:FE a nahlaste výsledky.
V následujícím příkladu je skript broadcast-dhcp-discover se spouští na rozhraní bond0 a zjistí podvodný server DHCP:
$ sudo nmap --script broadcast-dhcp-discover -e bond0
Starting Nmap 7.70 ( https://nmap.org ) at 2020-10-28 19:24 CDT
Pre-scan script results:
| dhcp:
| Response 1 of 2:
| Interface: bond0
| IP Offered: 10.1.0.78
| DHCP Message Type: DHCPOFFER
| Server Identifier: 10.1.0.1
| IP Address Lease Time: 5m00s
| Subnet Mask: 255.255.255.0
| Router: 10.1.0.1
| Domain Name Server: 10.1.0.1
| Domain Name: lab.opencloud.io
| Response 2 of 2:
| Interface: bond0
| IP Offered: 10.1.0.27
| DHCP Message Type: DHCPOFFER
| Server Identifier: 10.1.0.3
| IP Address Lease Time: 2m00s
| Renewal Time Value: 1m00s
| Rebinding Time Value: 1m45s
| Subnet Mask: 255.255.255.0
| Broadcast Address: 10.1.0.255
| Router: 10.1.0.3
|_ Domain Name Server: 10.1.0.3
WARNING: No targets were specified, so 0 hosts scanned.
Nmap done: 0 IP addresses (0 hosts up) scanned in 10.31 seconds Z výše uvedeného výstupu můžete vidět dvě různé odpovědi odpovídající odpovědi z každého DHCP serveru v síti.
Nejdůležitější pole ke sledování je Identifikátor serveru , protože vám to ukáže IP adresu DHCP serveru, včetně potenciálního nepoctivého.
Co s těmito informacemi uděláte? Bezpečnostní zásady každé organizace jsou odlišné. Ve většině případů by však měl být jakýkoli podvodný DHCP zastaven a odstraněn ze sítě.
Zařízení UPnP
UPnP, také známý jako Universal Plug and Play, je sada několika protokolů, které umožňují jakékoli aplikaci přesměrovat port na vašem routeru, což ušetří spoustu času při konfiguraci ručního přesměrování portů.
UPnP je však nebezpečné a pokud je to možné, mělo by být v síti zakázáno. Představte si, že máte v síti podvodné zařízení, na kterém běží škodlivé aplikace. Tyto aplikace by mohly snadno použít UPnP k předání portu do vnějšího světa a použít jej ke škodlivým účelům.
UPnP bylo zneužito mnohokrát. Dva z nejvýznamnějších případů jsou Mirai , cílení na IP kamery a domácí routery a Pinkslipbot , která používá infikované počítače jako servery proxy založené na HTTPS pro skutečné řídicí servery.
UPnP dnes bohužel používá mnoho domácích zařízení, včetně herních konzolí nebo streamovacích zařízení, jako je Google Chromecast.
Chcete-li prohledat síť 10.1.0.0/24 a objevit zařízení pomocí UPnP, měl by být spuštěn následující příkaz ke spuštění pluginu broadcast-upnp-info . Použijte -T4 pro urychlení zjišťování:
% nmap -sV --script=broadcast-upnp-info -T4 10.1.0.0/24
Starting Nmap 7.91 ( https://nmap.org ) at 2020-11-02 18:59 CST
Pre-scan script results:
| broadcast-upnp-info:
| 239.255.255.250
| Server: Linux/2.6.12, UPnP/1.0, NETGEAR-UPNP/1.0
| Location: http://192.168.1.204:80/Public_UPNP_gatedesc.xml
| Manufacturer: NETGEAR, Inc.
| Name: WAN Device
| Manufacturer: NETGEAR, Inc.
| Name: WAN Connection Device
| Manufacturer: NETGEAR, Inc. Skript Nmap detekoval pouze jedno zařízení využívající UPnP a poskytlo potřebné informace, jako je výrobce, operační systém a verze softwaru.
Co s těmito informacemi uděláte? Pokud UPnP nepotřebujete, je lepší jej zakázat. Pokud to není možné, ujistěte se, že zařízení poznáváte a že je aktualizováno na nejnovější verzi firmwaru.
[ Chcete se dozvědět více o zabezpečení? Podívejte se na kontrolní seznam zabezpečení IT a dodržování předpisů. ]
Závěr
V tomto článku jsme prozkoumali, jak používat Nmap k nalezení potenciálních nepoctivých zařízení v našich sítích. S příchodem a rostoucí popularitou zařízení IoT (mnoho z nich bez bezpečnostních mechanismů) je nyní více než kdy jindy klíčové mít přehled o všech zařízeních připojených k síti. Nmap je užitečný nástroj pro použití v těchto a dalších případech.