Sådan bruger du Nmap: Kommandoer og vejledning | Varonis

Nmap er en netværksmapper, der har udviklet sig til et af de mest populære, gratis netværksopdagelsesværktøjer på markedet. Nmap er nu et af de centrale værktøjer, der bruges af netværksadministratorer til at kortlægge deres netværk. Programmet kan bruges til at finde levende værter på et netværk, udføre portscanning, ping-sweeps, OS-detektion og versionsdetektion.

En række nylige cyberangreb har på ny fokuseret opmærksomheden på den type netværksauditering, som Nmap giver. Analytikere har påpeget, at det nylige Capital One-hack f.eks. kunne være blevet opdaget tidligere, hvis systemadministratorer havde overvåget tilsluttede enheder. I denne vejledning ser vi på, hvad Nmap er, hvad det kan gøre, og forklarer, hvordan man bruger de mest almindelige kommandoer.

Få den gratis Pen Testing Active Directory Environments EBook

“Dette har virkelig åbnet mine øjne for AD-sikkerhed på en måde, som defensivt arbejde aldrig har gjort.”

Ideelt bør Nmap bruges som en del af en integreret platform for datasikkerhed. Når Nmap er blevet brugt til at kortlægge et netværk, kan en platform som Varonis’ Datadvantage derefter bruges til at implementere avanceret adgangskontrol.

Sådan bruger du Nmap
Nmap Tutorial and Examples
Nmap Commands
Nmap Commands
Nmap FAQ

Hvad er Nmap?

Kernen i Nmap er et netværksscanningsværktøj, der bruger IP-pakker til at identificere alle enheder, der er tilsluttet et netværk, og til at give oplysninger om de tjenester og operativsystemer, de kører.

Programmet bruges oftest via en kommandolinje-grænseflade (der findes dog også GUI-front-ends) og er tilgængeligt for mange forskellige operativsystemer, f.eks. Linux, Free BSD og Gentoo. Programmets popularitet er også blevet understøttet af et aktivt og entusiastisk brugerstøttefællesskab.

Nmap blev udviklet til netværk i virksomhedsskala og kan scanne gennem tusindvis af tilsluttede enheder. I de seneste år er Nmap dog i stigende grad blevet brugt af mindre virksomheder. Især fremkomsten af IoT betyder nu, at de netværk, der anvendes af disse virksomheder, er blevet mere komplekse og derfor sværere at sikre.

Det betyder, at Nmap nu bruges i mange værktøjer til overvågning af websteder til at kontrollere trafikken mellem webservere og IoT-enheder. Den nylige fremkomst af IoT-botnet, som Mirai, har også stimuleret interessen for Nmap, ikke mindst på grund af dets evne til at afhøre enheder, der er tilsluttet via UPnP-protokollen, og til at fremhæve enheder, der kan være skadelige.

Hvad gør Nmap?

Praktisk set bruges Nmap til at give detaljerede oplysninger i realtid om dine netværk og om de enheder, der er tilsluttet dem.

Den primære anvendelse af Nmap kan opdeles i tre kerneprocesser. For det første giver programmet dig detaljerede oplysninger om hver enkelt IP, der er aktiv på dine netværk, og hver enkelt IP kan derefter scannes. Dette giver administratorer mulighed for at kontrollere, om en IP bruges af en legitim tjeneste eller af en ekstern angriber.

For det andet giver Nmap oplysninger om dit netværk som helhed. Det kan bruges til at give en liste over levende værter og åbne porte samt til at identificere OS’et for hver tilsluttet enhed. Dette gør det til et værdifuldt værktøj i den løbende systemovervågning samt til en vigtig del af pentesting. Nmap kan f.eks. bruges sammen med Metasploit-rammen til at undersøge og derefter reparere netværkssårbarheder.

For det tredje er Nmap også blevet et værdifuldt værktøj for brugere, der ønsker at beskytte personlige og erhvervsmæssige websteder. Ved at bruge Nmap til at scanne din egen webserver, især hvis du hoster dit websted hjemmefra, simulerer du i bund og grund den proces, som en hacker ville bruge til at angribe dit websted. At “angribe” sit eget websted på denne måde er en effektiv måde at identificere sikkerhedssårbarheder på.

Sådan bruger du Nmap

Nmap er ligetil at bruge, og de fleste af de værktøjer, det indeholder, er velkendte for systemadministratorer fra andre programmer. Fordelen ved Nmap er, at det samler en lang række af disse værktøjer i ét program, i stedet for at tvinge dig til at springe mellem separate og diskrete netværksovervågningsværktøjer.

For at kunne bruge Nmap skal du være fortrolig med kommandolinjeinterfaces. De fleste avancerede brugere er i stand til at skrive scripts for at automatisere almindelige opgaver, men det er ikke nødvendigt for grundlæggende netværksovervågning.

Sådan installerer du Nmap

Processen for installation af Nmap er nem, men varierer afhængigt af dit operativsystem. Windows-, Mac- og Linux-versionerne af programmet kan downloades her.

Til Windows leveres Nmap med et brugerdefineret installationsprogram (namp<version>setup.exe). Download og kør dette installationsprogram, og det konfigurerer automatisk Nmap på dit system.
På Mac leveres Nmap også med et dedikeret installationsprogram. Kør filen Nmap-<version>mpkg for at starte dette installationsprogram. På nogle nyere versioner af macOS kan du se en advarsel om, at Nmap er en “uidentificeret udvikler”, men du kan ignorere denne advarsel.
Linux-brugere kan enten kompilere Nmap fra kildekoden eller bruge deres valgte pakkehåndteringsprogram. Hvis du f.eks. bruger apt, kan du køre Nmap -version for at kontrollere, om Nmap er installeret, og sudo apt-get install Nmap for at installere det.

Nmap Tutorial og eksempler

Når du har installeret Nmap, er den bedste måde at lære at bruge det på at udføre nogle grundlæggende netværksscanninger.

Sådan udfører du en ping-scanning

En af de mest grundlæggende funktioner i Nmap er at identificere aktive værter på dit netværk. Nmap gør dette ved hjælp af en ping-scanning. Dette identificerer alle de IP-adresser, der i øjeblikket er online, uden at sende nogen pakker til disse værter.

For at køre en ping-scanning skal du køre følgende kommando:

# nmap -sp 192.100.1.1/24

Denne kommando returnerer derefter en liste over værter på dit netværk og det samlede antal tildelte IP-adresser. Hvis du opdager værter eller IP-adresser på denne liste, som du ikke kan redegøre for, kan du derefter køre yderligere kommandoer (se nedenfor) for at undersøge dem nærmere.

Sådan udfører du en værtsscanning

En mere kraftfuld måde at scanne dine netværk på er ved at bruge Nmap til at udføre en værtsscanning. I modsætning til en ping-scanning sender en værtsscanning aktivt ARP-forespørgselspakker til alle de værter, der er forbundet til dit netværk. Hver vært svarer derefter på denne pakke med en anden ARP-pakke, der indeholder dens status og MAC-adresse.

For at køre en værtsscanning skal du bruge følgende kommando:

# nmap -sp <target IP range>

Dette returnerer oplysninger om hver vært, deres latenstid, deres MAC-adresse og også en eventuel beskrivelse, der er knyttet til denne adresse. Dette kan være en effektiv måde at opdage mistænkelige værter, der er forbundet til dit netværk.

Hvis du ser noget usædvanligt på denne liste, kan du derefter køre en DNS-forespørgsel på en bestemt vært ved at bruge:

# namp -sL <IP address>

Dette returnerer en liste over navne, der er forbundet med den scannede IP. Denne beskrivelse giver oplysninger om, hvad IP’en faktisk er beregnet til.

Sådan bruger du Nmap i Kali Linux

Det kan gøres på samme måde som at køre programmet i Kali Linux på enhver anden variant af Linux.

Det sagt er der fordele ved at bruge Kali, når du kører Nmap-scanninger. De fleste moderne distroer af Kali leveres nu med en Nmap-pakke med alle funktioner, som omfatter en avanceret GUI og resultatfremviser (Zenmap), et fleksibelt værktøj til dataoverførsel, omdirigering og fejlfinding (Ncat), et værktøj til sammenligning af scanningsresultater (Ndiff) og et værktøj til pakkegenerering og analyse af svar (Nping).

Nmap-kommandoer

De fleste af de almindelige funktioner i Nmap kan udføres ved hjælp af en enkelt kommando, og programmet anvender også en række “genvejskommandoer”, der kan bruges til at automatisere almindelige opgaver.

Her er en hurtig gennemgang:

Ping-scanning

Som nævnt ovenfor returnerer en ping-scanning oplysninger om hver eneste aktive IP på dit netværk. Du kan udføre en ping-scanning ved hjælp af denne kommando:

Portscanning

Der er flere måder at udføre portscanning på ved hjælp af Nmap. De mest almindeligt anvendte er disse:

# sS TCP SYN scan# sT TCP connect scan# sU UDP scans# sY SCTP INIT scan# sN TCP NULL

De største forskelle mellem disse typer scanninger er, om de dækker TCP- eller UDP-porte, og om de udfører en TCP-forbindelse. Her er de grundlæggende forskelle:

Den mest grundlæggende af disse scanninger er sS TCP SYN-scanningen, og den giver de fleste brugere alle de oplysninger, de har brug for. Den scanner tusindvis af porte i sekundet, og da den ikke gennemfører en TCP-forbindelse, vækker den ikke mistanke.
Det vigtigste alternativ til denne type scanning er TCP Connect-scanningen, som aktivt forespørger hver enkelt vært og anmoder om et svar. Denne type scanning tager længere tid end en SYN-scanning, men kan returnere mere pålidelige oplysninger.
Den UDP-scanning fungerer på samme måde som TCP Connect-scanningen, men bruger UDP-pakker til at scanne DNS-, SNMP- og DHCP-porte. Disse porte er de porte, som hackere oftest er rettet mod, og derfor er denne type scanning et nyttigt værktøj til kontrol af sårbarheder.
Scanningen SCTP INIT dækker et andet sæt tjenester: SS7 og SIGTRAN. Denne type scanning kan også bruges til at undgå mistanke ved scanning af et eksternt netværk, fordi den ikke gennemfører den fulde SCTP-proces.
TOP NULL-scanningen er også en meget snedig scanningsteknik. Den bruger et smuthul i TCP-systemet, der kan afsløre status for porte uden direkte forespørgsel på dem, hvilket betyder, at du kan se deres status, selv hvor de er beskyttet af en firewall.

Host Scanning

Host scanning returnerer mere detaljerede oplysninger om en bestemt vært eller en række IP-adresser. Som nævnt ovenfor kan du udføre en værtsscanning ved hjælp af følgende kommando:

# nmap -sp <target IP range>

OS-scanning

OS-scanning er en af de mest kraftfulde funktioner i Nmap. Når du bruger denne type scanning, sender Nmap TCP- og UDP-pakker til en bestemt port og analyserer derefter dens svar. Den sammenligner dette svar med en database med 2600 operativsystemer og returnerer oplysninger om en værts operativsystem (og version).

For at køre en OS-scanning skal du bruge følgende kommando:

nmap -O <target IP>

Scan The Most Popular Ports

Hvis du kører Nmap på en hjemmeserver, er denne kommando meget nyttig. Den scanner automatisk en række af de mest “populære” porte for en vært. Du kan køre denne kommando ved hjælp af:

nmap --top-ports 20 192.168.1.106

Udskift “20” med det antal porte, der skal scannes, og Nmap scanner hurtigt så mange porte. Den returnerer et kortfattet output, der beskriver status for de mest almindelige porte, og på den måde kan du hurtigt se, om du har unødigt åbne porte.

Output til en fil

Hvis du ønsker at outputte resultaterne af dine Nmap-scanninger til en fil, kan du tilføje en udvidelse til dine kommandoer for at gøre det. Du skal blot tilføje:

-oN output.txt

til din kommando for at outputte resultaterne til en tekstfil, eller:

-oX output.xml

for at outputte til en XML.

Disable DNS Name Resolution

Sluttelig kan du fremskynde dine Nmap-scanninger ved at bruge parameteren -n til at deaktivere omvendt DNS-opløsning. Dette kan være yderst nyttigt, hvis du ønsker at scanne et stort netværk. Hvis du f.eks. vil slå DNS-opløsning fra for den grundlæggende ping-scanning, der er nævnt ovenfor, skal du tilføje -n:

# nmap -sp -n 192.100.1.1/24

Nmap FAQ

Overstående kommandoer dækker de fleste af de grundlæggende funktioner i Nmap. Du har dog måske stadig nogle spørgsmål, så lad os gennemgå de mest almindelige spørgsmål.

Q: Hvad er nogle Nmap-alternativer?

Der findes nogle alternativer til Nmap, men de fleste af dem er fokuseret på at levere specifikke, niche-funktioner, som den gennemsnitlige systemadministrator har brug for ofte. MASSCAN er f.eks. meget hurtigere end Nmap, men giver færre detaljer. Umit giver dig derimod mulighed for at køre flere scanninger på én gang.

I virkeligheden giver Nmap dog al den funktionalitet og hastighed, som den gennemsnitlige bruger har brug for, især når det bruges sammen med andre tilsvarende populære værktøjer som NetCat (som kan bruges til at administrere og kontrollere netværkstrafikken) og ZenMap (som giver en GUI til Nmap)

Q: Hvordan virker Nmap?

Nmap bygger på tidligere netværksauditing-værktøjer for at give hurtige, detaljerede scanninger af netværkstrafikken. Det fungerer ved hjælp af IP-pakker til at identificere de værter og IP’er, der er aktive på et netværk, og analyserer derefter disse pakker for at give oplysninger om hver enkelt vært og IP samt de operativsystemer, de kører.

Q: Er Nmap lovligt?

Ja. Hvis Nmap bruges korrekt, er det med til at beskytte dit netværk mod hackere, fordi det giver dig mulighed for hurtigt at opdage eventuelle sikkerhedshuller i dine systemer.

Hvorvidt portscanning på eksterne servere er lovligt, er et andet spørgsmål. Lovgivningen på dette område er kompleks og varierer fra område til område. Hvis du bruger Nmap til at scanne eksterne porte, kan det føre til, at du bliver forbudt af din internetudbyder, så sørg for at undersøge de juridiske konsekvenser af at bruge programmet, før du begynder at bruge det i større omfang.

Bottom line

Hvis du tager dig tid til at lære Nmap, kan du øge sikkerheden i dine netværk dramatisk, fordi programmet giver dig en hurtig og effektiv måde at auditere dine systemer på. Selv de grundlæggende funktioner, som programmet tilbyder – såsom muligheden for at udføre portscanning – afslører hurtigt alle mistænkelige enheder, der er aktive på dit netværk.

Ved hjælp af Nmap til at udføre hyppige netværksrevisioner kan du undgå at blive et let bytte for hackere, samtidig med at du forbedrer din viden om dit eget netværk. Desuden tilbyder Nmap funktionalitet, der supplerer mere fuldt udbyggede datasikkerhedsplatforme som f.eks. den, der tilbydes af Varonis, og når den bruges sammen med disse værktøjer, kan den forbedre din cybersikkerhed dramatisk.

Arquidia Mantina