Nmap ist ein beliebtes Open-Source-Netzwerkerkennungstool, das zum Erkennen und Prüfen von Geräten in einem Computernetzwerk verwendet wird. Es kann einzelne Hosts bis hin zu großen Computernetzwerken schnell scannen und nützliche Informationen über jeden Host und seine Software liefern.
Eindringlinge im Netzwerk… Moment, was?
Jeden Tag werden IoT-Produkte wie Smartwatches, Fitness-Tracker, Drucker, intelligente Kameras und mehr Teil unseres täglichen Lebens. Viele dieser Geräte sind mit unseren privaten oder geschäftlichen Smartphones synchronisiert. Absichtlich oder unabsichtlich verbinden sich diese Geräte möglicherweise mit Ihrem Unternehmensnetzwerk. Laut Infoblox hat dies mindestens die Hälfte der Unternehmen im letzten Jahr erlebt.
Aber was ist das Risiko? Die meisten IoT-Geräte haben keine integrierte Sicherheit und in vielen Fällen fehlen Firmware- und Sicherheits-Upgrades. Dieser Mangel an Sicherheit ist eine Goldmine für Cyberkriminelle, die versuchen, Ihre Netzwerksicherheit zu durchbrechen. Dank der Erkennungs- und Überwachungsfunktionen von Nmap können Sie jedoch bösartige Hosts oder Geräte in Ihrem Netzwerk und die darin ausgeführte Software schnell entdecken und identifizieren. Sehen wir uns einige Szenarien an.
[ Den Lesern gefiel auch: Einen schnellen NMAP-Scan ausführen, um mein Netzwerk zu inventarisieren ]
Allgemeine Netzwerkerkennung
Nur zu wissen, welche Ports offen sind, reicht nicht aus, da diese Dienste häufig nicht standardmäßige Ports abhören. Sie werden auch wissen wollen, welche Software und Version aus Sicherheitssicht hinter der Portierung steckt. Dank der Dienst- und Versionserkennungsfunktionen von Nmap ist es möglich, eine vollständige Netzwerkinventarisierung und Host- und Geräteerkennung durchzuführen, jeden einzelnen Port pro Gerät oder Host zu überprüfen und festzustellen, welche Software dahintersteckt.
Nmap stellt eine Verbindung zu jedem offenen Port her und fragt ihn ab, indem es Erkennungssonden verwendet, die die Software möglicherweise versteht. Auf diese Weise kann Nmap eine detaillierte Bewertung dessen liefern, was da draußen ist, und nicht nur bedeutungslose offene Ports.
Um diese leistungsstarke Funktion zu nutzen, sollten Sie:
- Aktivieren Sie die Dienst- und Versionserkennung mit dem Parameter
-sV. - Fügen Sie die Option
--allportshinzu um jeden einzelnen Port zu scannen. Standardmäßig überprüft Nmap Port 9100 nicht. Viele Drucker verwenden diesen Port, und in einigen seltenen Fällen veranlasst Nmap, dass sie drucken. - Verwenden Sie
-T4für eine schnellere Ausführung, da diese Erkennung zeitaufwändig sein kann.
$ nmap -sV --allports -T4 10.1.0.0/24
Nmap scan report for 10.1.0.1
Host is up (0.0038s latency).
Not shown: 995 filtered ports
PORT STATE SERVICE VERSION
53/tcp open domain Unbound
80/tcp open http nginx
2022/tcp open ssh OpenSSH 7.5 (protocol 2.0)
5000/tcp open ssl/http-proxy HAProxy http proxy 1.3.1 or later
8443/tcp open ssl/http nginx
Service Info: Device: load balancer
Nmap scan report for 10.1.0.2
Host is up (0.82s latency).
Not shown: 992 closed ports
PORT STATE SERVICE VERSION
22/tcp open ssh OpenSSH 8.3p1 Debian 1 (protocol 2.0)
80/tcp open http nginx
111/tcp open rpcbind 2-4 (RPC #100000)
443/tcp open ssl/http nginx
2049/tcp open nfs 3-4 (RPC #100003)
3260/tcp open iscsi?
6000/tcp open http aiohttp 3.6.2 (Python 3.8)
8080/tcp open http Apache httpd 2.4.46 ((Debian) mpm-itk/2.4.7-04 OpenSSL/1.1.1g)
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel Aus der obigen Ausgabe hat Nmap zwei Hosts gefunden:10.1.0.1 und 10.1.0.2 .
Der erste Host wird als Load Balancer erkannt – ziemlich nah dran, da es mein Router ist, auf dem pfSense läuft. Es bemerkte auch, dass mehrere Ports offen waren und die Software auf jedem lauschte. Der DNS-Server wurde korrekt als ungebunden erkannt; Nginx als Webserver hinter Port 80 (erwartet) und 8443 (ein Nicht-Standard-Port); es hat auch Port 2022 geöffnet, mit OpenSSH 7.5 dahinter; und in Port 5000 hat Nmap HAProxy mit einer Version von mindestens 1.3.1 erkannt.
Auf dem zweiten Host läuft Linux, und jede Software wurde korrekt identifiziert, mit Ausnahme des iSCSI-Servers hinter Port 3260.
Was machen Sie mit diesen Informationen? Speichern Sie es! Sie benötigen eine Baseline zum Vergleichen, wenn Sie das Netzwerk das nächste Mal nach neuen Hosts und Diensten durchsuchen. Überprüfen Sie die Sicherheitslücken für jede erkannte Software. Stellen Sie sicher, dass Sie jedes Gerät erkennen!
Rogue-DHCP-Server
DHCP-Server sind ein grundlegender Bestandteil jedes Netzwerks. Im Wesentlichen sollte es nur einen DHCP-Server pro Netzwerk geben, der alle notwendigen Informationen bereitstellt, die erforderlich sind, um das Netzwerk ordnungsgemäß zu konfigurieren.
Rogue-DHCP-Server sind genau wie normale DHCP-Server, werden jedoch nicht von der IT oder dem Netzwerkpersonal verwaltet. Diese Rogue-Server treten normalerweise auf, wenn Benutzer wissentlich oder unwissentlich einen Router mit dem Netzwerk verbinden. Eine andere Möglichkeit ist ein kompromittiertes IoT-Gerät wie Mobiltelefone, Drucker, Kameras, Tablets, Smartwatches oder etwas Schlimmeres, wie eine kompromittierte IT-Anwendung oder -Ressource.
Rogue-DHCP-Server sind frustrierend, insbesondere wenn Sie versuchen, eine Flotte von Servern mit PXE bereitzustellen, da PXE stark von DHCP abhängt. Darüber hinaus stellt dies ein Sicherheitsrisiko dar, und es kann zu Netzwerkausfällen kommen, da der Rogue-DHCP-Server falsche Netzwerkeinstellungen und -routen bereitstellen kann.
Um DHCP-Erkennungen durchzuführen, enthält Nmap ein Skript namens broadcast-dhcp-discover . Dieses Skript sendet eine DHCP-Anfrage an die Broadcast-Adresse unter Verwendung der MAC-Adresse DE:AD:CO:DE:CA:FE und berichte die Ergebnisse.
Im folgenden Beispiel wird das Skript broadcast-dhcp-discover wird auf der Schnittstelle bond0 ausgeführt und entdeckt einen bösartigen DHCP-Server:
$ sudo nmap --script broadcast-dhcp-discover -e bond0
Starting Nmap 7.70 ( https://nmap.org ) at 2020-10-28 19:24 CDT
Pre-scan script results:
| dhcp:
| Response 1 of 2:
| Interface: bond0
| IP Offered: 10.1.0.78
| DHCP Message Type: DHCPOFFER
| Server Identifier: 10.1.0.1
| IP Address Lease Time: 5m00s
| Subnet Mask: 255.255.255.0
| Router: 10.1.0.1
| Domain Name Server: 10.1.0.1
| Domain Name: lab.opencloud.io
| Response 2 of 2:
| Interface: bond0
| IP Offered: 10.1.0.27
| DHCP Message Type: DHCPOFFER
| Server Identifier: 10.1.0.3
| IP Address Lease Time: 2m00s
| Renewal Time Value: 1m00s
| Rebinding Time Value: 1m45s
| Subnet Mask: 255.255.255.0
| Broadcast Address: 10.1.0.255
| Router: 10.1.0.3
|_ Domain Name Server: 10.1.0.3
WARNING: No targets were specified, so 0 hosts scanned.
Nmap done: 0 IP addresses (0 hosts up) scanned in 10.31 seconds Aus der obigen Ausgabe können Sie zwei verschiedene Antworten sehen, die einer Antwort von jedem DHCP-Server im Netzwerk entsprechen.
Das wichtigste zu beobachtende Feld ist Server Identifier , da dies Ihnen die IP des DHCP-Servers anzeigt, einschließlich des potenziellen Rogue-Servers.
Was machen Sie mit diesen Informationen? Die Sicherheitsrichtlinien jeder Organisation sind unterschiedlich. In den meisten Fällen sollte jedoch jedes Rogue-DHCP gestoppt und aus dem Netzwerk entfernt werden.
UPnP-Geräte
UPnP, auch bekannt als Universal Plug and Play, ist ein Satz mehrerer Protokolle, die es jeder Anwendung ermöglichen, einen Port auf Ihrem Router weiterzuleiten, was viel Zeit bei einer manuellen Portweiterleitungskonfiguration spart.
UPnP ist jedoch gefährlich und sollte, wenn möglich, in einem Netzwerk deaktiviert werden. Stellen Sie sich vor, Sie haben ein Rogue-Gerät im Netzwerk, auf dem bösartige Anwendungen ausgeführt werden. Diese Anwendungen könnten UPnP leicht verwenden, um den Port an die Außenwelt weiterzuleiten und ihn für böswillige Zwecke zu verwenden.
UPnP wurde viele Male ausgenutzt. Zwei der prominentesten Fälle sind Mirai , das auf IP-Kameras und Heimrouter abzielt, und Pinkslipbot , das infizierte Rechner als HTTPS-basierte Proxys für die eigentlichen Kontrollserver verwendet.
Leider verwenden heutzutage viele Heimgeräte UPnP, einschließlich Videospielkonsolen oder Streaming-Geräte wie Google Chromecast.
Um das Netzwerk 10.1.0.0/24 zu scannen und Geräte mit UPnP zu erkennen, sollte der folgende Befehl ausgeführt werden, um das Plugin broadcast-upnp-info auszuführen . Verwenden Sie -T4 um die Entdeckung zu beschleunigen:
% nmap -sV --script=broadcast-upnp-info -T4 10.1.0.0/24
Starting Nmap 7.91 ( https://nmap.org ) at 2020-11-02 18:59 CST
Pre-scan script results:
| broadcast-upnp-info:
| 239.255.255.250
| Server: Linux/2.6.12, UPnP/1.0, NETGEAR-UPNP/1.0
| Location: http://192.168.1.204:80/Public_UPNP_gatedesc.xml
| Manufacturer: NETGEAR, Inc.
| Name: WAN Device
| Manufacturer: NETGEAR, Inc.
| Name: WAN Connection Device
| Manufacturer: NETGEAR, Inc. Das Nmap-Skript hat nur ein Gerät erkannt, das UPnP verwendet, und die erforderlichen Informationen wie Hersteller, Betriebssystem und Softwareversion bereitgestellt.
Was machen Sie mit diesen Informationen? Wenn Sie UPnP nicht benötigen, deaktivieren Sie es besser. Wenn dies nicht möglich ist, vergewissern Sie sich, dass Sie das Gerät erkennen und auf die neueste Firmware-Version aktualisiert haben.
[ Möchten Sie mehr über Sicherheit erfahren? Sehen Sie sich die Checkliste für IT-Sicherheit und Compliance an. ]
Schlussfolgerung
In diesem Artikel haben wir untersucht, wie Sie mit Nmap potenzielle Rogue-Geräte in unseren Netzwerken finden können. Mit dem Aufkommen und der zunehmenden Popularität von IoT-Geräten (viele ohne Sicherheitsmechanismen) ist es heute wichtiger denn je, alle mit dem Netzwerk verbundenen Geräte im Auge zu behalten. Nmap ist ein praktisches Tool für diese und andere Fälle.