La questione della sicurezza sarà sempre un pilastro molto importante all'interno di un'organizzazione e in ogni attività che eseguiamo poiché la disponibilità e l'integrità di tutte le informazioni che gestiamo dipendono da essa ed è sotto la nostra responsabilità.
Esistono molti strumenti, protocolli e attività che possiamo applicare all'interno dei nostri ruoli per migliorare o implementare miglioramenti della sicurezza negli ambienti informatici, ma oggi ne analizzeremo due in dettaglio strumenti che saranno vitali per la scansione sì Verifica dell'intervallo di indirizzi IP. In questo modo, possiamo avere un controllo più specifico su tutto il routing della nostra rete.
I due strumenti che esamineremo sono Zmap sì NmapMa a cosa servono e come aiuteranno i nostri ruoli?
Solvetic fornirà la risposta a queste risposte in modo semplice e profondo.
Cos'è ZmapZmap è uno strumento open source che ci permette di eseguire una scansione di rete per determinare errori e possibili guasti che è vitale per il suo funzionamento e stabilità ottimali.
Uno dei grandi vantaggi di Zmap è che lo scanner può farlo rapidamente, meno di 5 minuti, il che aumenta notevolmente i risultati che dobbiamo fornire come amministratori o personale di supporto.
Tra i vantaggi dell'utilizzo di Zmap abbiamo:
- Zmap può monitorare la disponibilità del servizio.
- Zmap è multipiattaforma (Windows, Linux, Mac OS, ecc.) e totalmente gratuito.
- Possiamo usare Zmap per analizzare un particolare protocollo.
- Zmap ci dà la possibilità di comprendere i sistemi distribuiti su Internet.
Quando eseguiamo Zmap, stiamo esplorando completamente l'intera gamma di indirizzi IPv4, quindi quando eseguiamo lo strumento stiamo analizzando indirizzi IPv4 privati, quindi dobbiamo stare molto attenti a non commettere atti contro la privacy di un'organizzazione o di una persona.
Cos'è NmapNmap (Network Mapper) è un potente strumento che ci dà la possibilità di controllare la sicurezza di una rete e scopri i computer ad esso collegati.
Questo strumento può essere utilizzato per test di penetrazione, ovvero per convalidare che la nostra rete non sia sensibile agli attacchi degli hacker.
Con Nmap abbiamo uno strumento a portata di mano che ci dà un scansione veloce di grandi reti o computer individuale. Per la sua analisi, Nmap utilizza i pacchetti IP per determinare quali computer sono disponibili sulla rete, quali servizi offrono questi computer, quale sistema operativo è attualmente utilizzato e quale tipo di Firewall è implementato e da lì effettua la rispettiva analisi.
Tra i vantaggi che abbiamo quando utilizziamo Nmap abbiamo:
- Rilevamento di apparecchiature in tempo reale sulla rete.
- Rileva le porte aperte su questi computer, nonché il software e la versione di tali porte.
- Rileva le vulnerabilità presenti.
- Rileva l'indirizzo di rete, il sistema operativo e la versione software di ciascun computer.
- È uno strumento portatile.
- Nmap è multipiattaforma (supporta Windows, FreeBSD, Mac OS, ecc.).
Differenze tra Zmap e NmapCi sono alcune differenze tra i due strumenti, che menzioniamo di seguito:
- Con Nmap non possiamo scansionare reti di grandi dimensioni, con Zmap se possibile.
- Zmap esegue la scansione molto più velocemente di Nmap.
- Nmap può essere utilizzato in graphic mogo scaricando lo strumento ZenMap.
- Con Nmap possiamo analizzare più porte mentre con Zmap possiamo analizzare una singola porta.
- La copertura di Zmap è molto maggiore di quella di Nmap.
- Nmap mantiene lo stato per ogni connessione mentre Zmap non mantiene alcuno stato nelle connessioni che ne aumenta la velocità.
- Nmap rileva le connessioni perse e inoltra le richieste, Zmap invia solo un pacchetto di richieste a una destinazione che evita rielaborazioni.
- Nmap è progettato per piccoli scanner di rete o singoli computer mentre Zmap è progettato per scansionare l'intera rete Internet in meno di 45 minuti.
Notiamo che le differenze tra uno strumento e l'altro sono notevoli e dipende dalle esigenze che abbiamo in quel momento.
1. Come usare e analizzare con Zmap
Per questa analisi utilizzeremo Ubuntu 16 come piattaforma da utilizzare Zmap.
Per installare Zmap useremo il seguente comando:
sudo apt install zmap
Ci auguriamo che tutti i pacchetti vengano scaricati e installati per iniziare a utilizzare Zmap su Ubuntu 16.
Usare Zmap in Ubuntu
Per iniziare a utilizzare Zmap, il primo comando che sarà di grande aiuto è:
zmap -helpChe ci mostrano le seguenti opzioni:
Successivamente vedremo alcuni dei modi in cui possiamo usare Zmap in Ubuntu.
Zmap -pCon questo parametro possiamo scansionare tutti i computer che si trovano sulla porta TCP 80 della rete.
Oltre a questo parametro, abbiamo la possibilità di salvare il risultato in un file di testo, per questo utilizzeremo la seguente sintassi.
sudo zmap -p (Porta) -o (Nome file)
Una volta elaborata l'analisi, vedremo i risultati in un file di testo per la rispettiva edizione. Possiamo limitare la ricerca a un intervallo di indirizzi IP utilizzando la seguente sintassi:
sudo zmap -p (Porta) -o (Testo.csv) Intervallo indirizzi IPIn questo caso eseguiremo la scansione di tutti i computer che utilizzano la porta TCP 80 nell'intervallo di indirizzi 192.168.1.1
Una volta terminato il processo vedremo il nostro file nella cartella Home di Ubuntu 16:
Sudo zmap -SIl parametro -S fa riferimento all'origine o alla risorsa della porta. Ad esempio possiamo avere la seguente sintassi:
sudo zmap -s 555 -S 192.168.0.1 62.168.1.0/16 -p 80In questo caso indichiamo che la porta di origine che invierà i pacchetti sarà 555 e l'indirizzo di origine sarà 192.168.0.1
Parametri extra da usare con ZmapCi sono altri parametri che saranno molto utili quando usi Zmap e visualizzi risultati migliori, questi sono:
-BQuesto valore ci permette di definire la velocità in Bit al secondo che verrà inviata da Zmap.
-eCi consente di definire gli indirizzi IP per permutazione, questo è utile quando utilizziamo Zmap in console diverse e con intervalli di indirizzi diversi.
-RCi consente di definire la frequenza delle spedizioni dei pacchi che verranno effettuate ogni secondo.
-TSi riferisce al numero di thread simultanei che Zmap utilizzerà per inviare i pacchetti.
-SIndica la porta di origine da cui i pacchetti andranno all'indirizzo di destinazione.
-SIndica l'indirizzo IP di origine da cui partiranno i pacchetti per la scansione.
-ioSi riferisce al nome dell'interfaccia di rete utilizzata per la scansione.
-MTesta i moduli implementati con Zmap.
-XInvia pacchetti IP (utile per le VPN).
-GUsando questa opzione possiamo specificare l'indirizzo MAC del Gateway
-lCi permette di inserire voci nel file generato.
-VVisualizza la versione Zmap
Modificare i file di configurazione di Zmap
In Zmap ci sono due file vitali per il funzionamento e la modifica dei parametri Zmap.
Questi sono:
/etc/zmap/zmap.confQuesto file ci consente di configurare i valori degli strumenti come le porte di scansione, la larghezza di banda, ecc.
Per modificarlo possiamo usare l'editor VI o Nano.
/etc/zmap/blacklist.confQuesto file ci consente di configurare l'elenco degli intervalli di indirizzi IP bloccati per la scansione per motivi di amministrazione o privacy.
Allo stesso modo possiamo aggiungere un intervallo di indirizzi se vogliamo che non vengano scansionati da Zmap.
Come possiamo vedere, Zmap ci offre una vasta gamma di opzioni per la gestione del processo di scansione per computer e reti.
2. Come usare e analizzare con Nmap
Per installare Nmap, in questo caso su Ubuntu 16, utilizzeremo il seguente comando:
sudo apt install nmap
Accettiamo di avviare il processo di download e installazione dei rispettivi pacchetti. Per consultare l'aiuto di Nmap possiamo utilizzare il seguente comando:
Nmap -help
Lì abbiamo accesso a tutti i parametri che possono essere implementati usando Nmap.
I parametri di base per avviare il processo di scansione sono i seguenti:
- -v: Questa opzione aumenta il livello di verbosità (Verbose).
- -A: Consente il rilevamento del sistema operativo, la scansione degli script e il percorso di traccia.
Ad esempio, utilizzeremo la seguente sintassi per Solvetic.com:
sudo nmap -v -A Solvetic.com
Possiamo visualizzare informazioni importanti come:
- Porte TCP che sono state scoperte su ciascun computer di destinazione indicando il rispettivo indirizzo IP
- Quantità di porte da analizzare, per impostazione predefinita 1000.
Possiamo vedere lo stato di avanzamento della scansione e una volta completato il processo vedremo quanto segue:
Possiamo vedere un riepilogo completo dell'attività eseguita. Se vogliamo una scansione più veloce, usa la seguente sintassi:
nmap indirizzo_IP
Possiamo vedere un riepilogo di quante porte sono chiuse e quante sono aperte nell'indirizzo di destinazione.
Parametri da usare con NmapAlcuni dei parametri che possiamo implementare con Nmap e che ci saranno di grande aiuto per il compito di scansione e monitoraggio sono i seguenti:
-nsQuesto parametro effettua una scansione delle porte TCP senza dover essere un utente privilegiato.
-H.HÈ una scansione TCP SYN, cioè esegue la scansione senza lasciare traccia sul sistema.
-sAQuesto parametro utilizza i messaggi ACK per consentire al sistema di inviare una risposta e quindi scoprire quali porte sono aperte.
-suoQuesto parametro esegue una scansione delle porte UDP.
-sN / -sX / -sFPuò ignorare i firewall configurati in modo errato e rilevare i servizi in esecuzione sulla rete.
-sPQuesto parametro identifica i sistemi che sono upstream sulla rete di destinazione.
-SWQuesta opzione identifica i protocolli di livello superiore sul livello tre (Rete).
-sVQuesta opzione consente di identificare quali servizi sono aperti dalle porte sul sistema di destinazione.
Oltre a questi parametri possiamo includere quanto segue in modo che il il processo di scansione è efficiente:
-nNon esegue conversioni DNS
-BDetermina se la squadra bersaglio è vulnerabile all'"attacco con rimbalzo"
-vvConsente di ottenere informazioni dettagliate sulla console.
-FConsente la frammentazione che rende più difficile essere rilevati da un firewall.
-sopraCi permette di generare un report.
-POQuesta opzione impedisce il ping alla destinazione prima di iniziare l'analisi.
Per questo esempio abbiamo creato la seguente riga:
nmap -sS -P0 -sV -O nome hostDove sostituiamo il nome host con il nome del sito Web o l'indirizzo IP da analizzare. Il risultato ottenuto sarà il seguente:
Lì possiamo vedere che Nmap ha rilevato il sistema operativo, le porte aperte e chiuse, ecc.
Opzioni aggiuntive da usare con Nmap
Ci sono alcune importanti utilità che possiamo usare con Nmap come:
Eseguire il ping di un intervallo di indirizzi IPPer questa attività eseguiremo il ping degli indirizzi dall'intervallo 192.168.1.100 a 254, per questo inseriamo quanto segue:
nmap -sP 192.168.1.100-254
Ottieni un elenco di server con porte apertePer ottenere questo elenco utilizzeremo la seguente sintassi, prendendo come esempio un intervallo di indirizzi 192.168.1.*:
nmap -sT -p 80 -oG - 192.168.1.* | grep aperto
Crea esche scansionate per evitare il rilevamentoQuesto è molto importante poiché se veniamo rilevati, l'intero processo di scansione può essere perso, ma dobbiamo anche essere responsabili della scansione poiché ricordiamo che non può essere utilizzato in reti vietate.
Per questo useremo questa sintassi come esempio:
sudo nmap -sS 192.168.0.10 -D 192.168.0.1
Scansiona più porte contemporaneamentePossiamo scansionare contemporaneamente più porte su un computer di destinazione, in questo caso scansioneremo le porte 80, 21 e 24 dell'indirizzo IP 192.168.1.1, il risultato è il seguente:
Possiamo vedere quale azione esegue la porta in tempo reale.
Usa l'analisi FINQuesta analisi invia un pacchetto al computer di destinazione con un flag, o flag FIN, al fine di rilevare il comportamento del firewall prima di eseguire un'analisi approfondita, per questo utilizziamo il parametro -sF.
Per questo caso utilizzeremo la seguente riga:
sudo nmap -sF 192.168.1.1
Controlla la versione del computer di destinazionePer queste informazioni utilizzeremo il -sV parametro che restituirà la versione del software che è in esecuzione in quel momento nel computer di destinazione.
Abbiamo visto come questi due strumenti saranno di grande aiuto per l'intero compito di scansione e analisi del processo di comunicazione con le squadre di destinazione. Le analisi di audit sono sempre necessarie, indipendentemente dal sistema, essendo Windows, Windows Server, Linux, Mac ecc. Continueremo ad aumentare queste informazioni.
Analisi delle vulnerabilità con OpenVAS