Nmap – przykłady – zapora ogniowa cz.I


Nmap to narzędzie które potrafi wszysko, no może po za parzeniem kawy :). W poprzednich artykułach miałeś okazję zobaczyć już wiele zastosowań tego narzędzia, dziś pora na przyłady z maszynkami z zaporą ogniową.

Nmap daje wiele różnaych sposobów na ominięcie reguł zapory i IDS/IPS. Sposoby te obejmują fragmentację pakietów, użycie wabików i innych metod które zaprezentuję w dwóch lub trzech odcinkach.

O tym czym jest zapora ogniowa czyli tzw firewall to każdy powinien już wiedzieć, jeśli nie to ten dział nie jest dla ciebie, myślę że powinieneś zapoznać się z tym artykułem. Podobnie jak zapora, system wykrywania włamań (IDS) i system zapobiegania włamaniom (IPS) są składnikami oprogramowania danej maszynki. IDS skanuje sieć w poszukiwaniu potencjalnych ataków, analizuje je i zgłasza wszelkie wykryte ataki. IPS i IDS uzupełaniają się nawzajem. Podejmują odpowiednie kroki obronne w przypadku wykrycia potencjalnego ataku. Analiza ataku opiera się na określonych wzorcach. Jeśli ikreślony wzorzec zostanie wykryty określone połączenie (atakującego) zostanie zamknięte.

Skanowanie SYN

Czy Nmap potrafi sobie z tym radzić? Jak zwykle za przykład wezmę skanowanie własnej sieci w której właczony jest komputer z systemem windows o numerz IP: 192.168.1.103. Adres IP uzyskałem poprzez skanowanie całej sieci z włącznikiem -sS. Polecenie skanowania SYN Nmap-a: „sudo nmap 192.168.1.103 -p 21,22,23,80,443,8080,5000 -sS -Pn -n –disable-arp-ping –packet-trace„. Przyjrzyjmy się wynikowi tego skanowania.

Skanowi poddałem porty 21, 23, 80, 443, 8080, 5000. Wynik skanowania otrzemałem w kilka sekund. Okazuje się że prawdopodobnie wyżej wymienione porty są otwarte. Nmap pokazuje że porty są filtrowane z nazwami usług. Jednak nie koniecznie, spróbujmy teraz innego skanowania.

Skanowanie ACK

Do tego skanowania posłuży nam polecenie: „sudo nmap 192.168.1.103 -p 21,22,23,80,443,8080,5000 -sA -Pn -n –disable-arp-ping –packet-trace„. Jak pewnie zauważyliście tym razem w poleceniu brakuje przełącznika -sS a w jego miejscu pojawił się -sA. Zobaczymy wynik który porównamy z poprzednim. Zaczynamy:

Czas skanowania ACK wymienionych portów to znów zaledwie kilka sekund. Wynik skanowania jest praktycznie ten sam. To czy warto stosować oba skanowania? Owszem.

Przy skanowaniu SYN ( -sS ) mój cel próbuje nawiązać połączenie TCP. Wysyła pakiet z powrotem z ustawionymi flagami SYN-ACK ( SA ). Przy skanowaniu ACK ( -sA ) nie otrzymuje flagi RST, ponieważ port TCP 21,22,23,80,443,8080,5000 jest zamknięty (seq=0). Oznacza to że pakiety zostały odrzucone. Być może to winna innego programu zabezpieczającego i w tym wypadku musimy poeksperymentować, ale o tym w innej części.

Dla porównania wrzucę tutaj wynik skanowania tej samej maszynki (192.168.1.103) tylko tym razem z parametrem -A i -Pn, prawda że jest różnica z wynikiem poprzedniego skanowania.

nmap

To tyle w dzisiejszym odcinku, w drugiej części pokażę jak użyć skanowania z wabikami w celu wykrycia IDS/IPS oraz jak testować reguły zapory. Jeżeli się uda pokaże jeszcze kilka ciekawych rzeczy związanych z Nmap-em i nie tylko. Następny odcinek będzie zakończeniem serii artykułów o tym fantastycznym programie.

Ostatnia wskazówka a właściwie porada, pamiętajcie o wykonywaniu skanowania samodzielnie i we własnej sieci. Ja wiem że jest to kuszące żeby zeskanować czyjąś sieć. Ale skanując nie swoją sieć można narobić sobie nie lada kłopotu. A jeśli już musisz korzystaj z dobrego VPN-u.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *