Nmap ist ein Netzwerk-Mapper, der sich zu einem der populärsten, kostenlosen Netzwerkerkennungs-Tools auf dem Markt entwickelt hat. Nmap ist heute eines der wichtigsten Tools, die von Netzwerkadministratoren zum Abbilden ihrer Netzwerke verwendet werden. Mit dem Programm lassen sich Live-Hosts in einem Netzwerk aufspüren, Port-Scans, Ping-Sweeps, Betriebssystemerkennung und Versionserkennung durchführen.
Eine Reihe von Cyberangriffen in jüngster Zeit hat die Aufmerksamkeit erneut auf die Art der Netzwerküberprüfung gelenkt, die Nmap bietet. Analysten haben darauf hingewiesen, dass z.B. der jüngste Capital One-Hack früher hätte entdeckt werden können, wenn Systemadministratoren die angeschlossenen Geräte überwacht hätten. In diesem Leitfaden sehen wir uns an, was Nmap ist, was es kann und wie man die gebräuchlichsten Befehle verwendet.
Holen Sie sich das kostenlose EBook für Pen-Tests von Active Directory-Umgebungen
In der Regel sollte Nmap als Teil einer integrierten Datensicherheitsplattform eingesetzt werden. Sobald Nmap zur Abbildung eines Netzwerks verwendet wurde, kann eine Plattform wie Datadvantage von Varonis zur Implementierung einer erweiterten Zugriffskontrolle eingesetzt werden.
- Wie man Nmap verwendet
- Nmap-Tutorial und Beispiele
- Nmap-Befehle
- Nmap-FAQ
Was ist Nmap?
Im Kern ist Nmap ein Tool zum Scannen von Netzwerken, das IP-Pakete verwendet, um alle mit einem Netzwerk verbundenen Geräte zu identifizieren und Informationen über die Dienste und Betriebssysteme zu liefern, die sie ausführen.
Das Programm wird am häufigsten über eine Befehlszeilenschnittstelle verwendet (obwohl auch GUI-Frontends verfügbar sind) und ist für viele verschiedene Betriebssysteme wie Linux, Free BSD und Gentoo verfügbar. Seine Popularität wurde auch durch eine aktive und enthusiastische Benutzer-Support-Community gestärkt.
Nmap wurde für Unternehmensnetzwerke entwickelt und kann Tausende von angeschlossenen Geräten scannen. In den letzten Jahren wird Nmap jedoch zunehmend auch von kleineren Unternehmen eingesetzt. Insbesondere das Aufkommen des IoT bedeutet, dass die von diesen Unternehmen genutzten Netzwerke komplexer und daher schwieriger abzusichern sind.
Das bedeutet, dass Nmap jetzt in vielen Website-Überwachungstools eingesetzt wird, um den Datenverkehr zwischen Webservern und IoT-Geräten zu überprüfen. Das jüngste Auftauchen von IoT-Botnets wie Mirai hat auch das Interesse an Nmap geweckt, nicht zuletzt wegen seiner Fähigkeit, Geräte abzufragen, die über das UPnP-Protokoll verbunden sind, und Geräte zu markieren, die möglicherweise bösartig sind.
Was macht Nmap?
Praktisch wird Nmap verwendet, um detaillierte Echtzeit-Informationen über Ihre Netzwerke und die daran angeschlossenen Geräte zu liefern.
Die primären Verwendungszwecke von Nmap können in drei Kernprozesse unterteilt werden. Zunächst liefert das Programm detaillierte Informationen über jede IP, die in Ihren Netzwerken aktiv ist, und jede IP kann dann gescannt werden. Auf diese Weise können Administratoren überprüfen, ob eine IP von einem legitimen Dienst oder von einem externen Angreifer verwendet wird.
Zweitens liefert Nmap Informationen über Ihr Netzwerk als Ganzes. Es kann verwendet werden, um eine Liste der aktiven Hosts und offenen Ports zu erstellen und das Betriebssystem jedes angeschlossenen Geräts zu identifizieren. Das macht es zu einem wertvollen Werkzeug für die laufende Systemüberwachung und zu einem wichtigen Bestandteil des Pentestings. Nmap kann beispielsweise zusammen mit dem Metasploit-Framework verwendet werden, um Schwachstellen im Netzwerk zu untersuchen und anschließend zu beheben.
Drittens ist Nmap auch zu einem wertvollen Tool für Benutzer geworden, die persönliche und geschäftliche Websites schützen wollen. Wenn Sie Nmap verwenden, um Ihren eigenen Webserver zu scannen, insbesondere wenn Sie Ihre Website von zu Hause aus hosten, simulieren Sie im Wesentlichen den Prozess, den ein Hacker verwenden würde, um Ihre Website anzugreifen. Ein solcher „Angriff“ auf die eigene Website ist ein wirksames Mittel, um Sicherheitslücken zu erkennen.
Wie benutzt man Nmap
Nmap ist einfach zu benutzen, und die meisten der Tools, die es bietet, sind Systemadministratoren von anderen Programmen her bekannt. Der Vorteil von Nmap ist, dass es eine breite Palette dieser Tools in einem einzigen Programm vereint, statt Sie zu zwingen, zwischen separaten und getrennten Netzwerküberwachungs-Tools zu wechseln.
Um Nmap zu benutzen, müssen Sie mit Befehlszeilen-Schnittstellen vertraut sein. Die meisten fortgeschrittenen Benutzer sind in der Lage, Skripte zu schreiben, um gängige Aufgaben zu automatisieren, aber für die grundlegende Netzwerküberwachung ist das nicht nötig.
Wie man Nmap installiert
Die Installation von Nmap ist einfach, aber je nach Betriebssystem unterschiedlich. Die Windows-, Mac- und Linux-Versionen des Programms können hier heruntergeladen werden.
- Für Windows wird Nmap mit einem eigenen Installationsprogramm (namp<version>setup.exe) geliefert. Laden Sie dieses Installationsprogramm herunter und führen Sie es aus, und es konfiguriert Nmap automatisch auf Ihrem System.
- Auf dem Mac wird Nmap auch mit einem speziellen Installationsprogramm geliefert. Führen Sie die Datei Nmap-<version>mpkg aus, um dieses Installationsprogramm zu starten. Auf einigen neueren Versionen von macOS sehen Sie möglicherweise eine Warnung, dass Nmap ein „nicht identifizierter Entwickler“ ist, aber Sie können diese Warnung ignorieren.
- Linux-Benutzer können Nmap entweder aus dem Quellcode kompilieren oder den Paketmanager ihrer Wahl verwenden. Um apt zu benutzen, kann man z.B. Nmap -version ausführen, um zu prüfen, ob Nmap installiert ist, und sudo apt-get install Nmap, um es zu installieren.
Nmap-Tutorial und Beispiele
Wenn man Nmap installiert hat, lernt man am besten, wie man es benutzt, indem man einige grundlegende Netzwerkscans durchführt.
Wie man einen Ping-Scan durchführt
Eine der grundlegendsten Funktionen von Nmap ist es, aktive Hosts in Ihrem Netzwerk zu identifizieren. Nmap macht das mit einem Ping-Scan. Dabei werden alle IP-Adressen identifiziert, die derzeit online sind, ohne dass irgendwelche Pakete an diese Hosts gesendet werden.
Um einen Ping-Scan durchzuführen, führen Sie den folgenden Befehl aus:
# nmap -sp 192.100.1.1/24
Dieser Befehl liefert dann eine Liste der Hosts in Ihrem Netzwerk und die Gesamtzahl der zugewiesenen IP-Adressen. Wenn Sie in dieser Liste Hosts oder IP-Adressen entdecken, die Sie nicht zuordnen können, können Sie weitere Befehle ausführen (siehe unten), um sie weiter zu untersuchen.
Wie führe ich einen Host-Scan durch
Eine leistungsfähigere Art, Ihre Netzwerke zu scannen, ist die Verwendung von Nmap, um einen Host-Scan durchzuführen. Im Gegensatz zu einem Ping-Scan sendet ein Host-Scan aktiv ARP-Anfragepakete an alle mit Ihrem Netzwerk verbundenen Hosts. Jeder Host antwortet dann auf dieses Paket mit einem weiteren ARP-Paket, das seinen Status und seine MAC-Adresse enthält.
Um einen Host-Scan durchzuführen, verwenden Sie den folgenden Befehl:
# nmap -sp <target IP range>
Dies liefert Informationen über jeden Host, seine Latenzzeit, seine MAC-Adresse und auch jede mit dieser Adresse verbundene Beschreibung. Auf diese Weise können Sie verdächtige Hosts, die mit Ihrem Netzwerk verbunden sind, aufspüren.
Wenn Sie in dieser Liste etwas Ungewöhnliches sehen, können Sie eine DNS-Abfrage nach einem bestimmten Host durchführen, indem Sie den folgenden Befehl verwenden:
# namp -sL <IP address>
Dies liefert eine Liste von Namen, die mit der gescannten IP verbunden sind. Diese Beschreibung liefert Informationen darüber, wofür die IP eigentlich ist.
Wie man Nmap in Kali Linux benutzt
Nmap in Kali Linux zu benutzen, kann auf die gleiche Art und Weise gemacht werden, wie man das Programm auf jeder anderen Linux-Variante laufen lässt.
Abgesehen davon gibt es Vorteile, wenn man Kali benutzt, um Nmap-Scans durchzuführen. Die meisten modernen Kali-Distributionen werden jetzt mit einer voll funktionsfähigen Nmap-Suite ausgeliefert, die eine fortschrittliche grafische Benutzeroberfläche und einen Ergebnisbetrachter (Zenmap), ein flexibles Datenübertragungs-, Umleitungs- und Debugging-Tool (Ncat), ein Dienstprogramm zum Vergleichen von Scan-Ergebnissen (Ndiff) und ein Tool zur Paketerzeugung und Antwortanalyse (Nping) enthält.
Nmap-Befehle
Die meisten der gängigen Funktionen von Nmap können mit einem einzigen Befehl ausgeführt werden, und das Programm verwendet auch eine Reihe von ‚Shortcut‘-Befehlen, mit denen sich gängige Aufgaben automatisieren lassen.
Hier eine kurze Übersicht:
Ping-Scan
Wie oben erwähnt, liefert ein Ping-Scan Informationen über jede aktive IP in Ihrem Netzwerk. Sie können einen Ping-Scan mit diesem Befehl ausführen:
#
Port-Scanning
Es gibt mehrere Möglichkeiten, Port-Scans mit Nmap durchzuführen. Die am häufigsten verwendeten sind die folgenden:
# sS TCP SYN scan# sT TCP connect scan# sU UDP scans# sY SCTP INIT scan# sN TCP NULL
Die Hauptunterschiede zwischen diesen Arten von Scans sind, ob sie TCP- oder UDP-Ports abdecken und ob sie eine TCP-Verbindung ausführen. Hier sind die grundlegenden Unterschiede:
- Der einfachste dieser Scans ist der sS TCP SYN-Scan, der den meisten Benutzern alle benötigten Informationen liefert. Er scannt Tausende von Ports pro Sekunde, und da er keine TCP-Verbindung abschließt, erregt er keinen Verdacht.
- Die Hauptalternative zu dieser Art von Scan ist der TCP-Connect-Scan, der jeden Host aktiv abfragt und eine Antwort anfordert. Diese Art von Scan dauert länger als ein SYN-Scan, kann aber zuverlässigere Informationen liefern.
- Der UDP-Scan funktioniert ähnlich wie der TCP-Connect-Scan, verwendet aber UDP-Pakete zum Scannen von DNS-, SNMP- und DHCP-Ports. Dies sind die Ports, auf die Hacker am häufigsten abzielen, und daher ist diese Art von Scan ein nützliches Werkzeug zur Überprüfung auf Schwachstellen.
- Der SCTP INIT-Scan deckt eine andere Gruppe von Diensten ab: SS7 und SIGTRAN. Diese Art von Scan kann auch verwendet werden, um Verdacht zu vermeiden, wenn ein externes Netzwerk gescannt wird, da er nicht den gesamten SCTP-Prozess abschließt.
- Der TOP NULL-Scan ist ebenfalls eine sehr raffinierte Scan-Technik. Er nutzt ein Schlupfloch im TCP-System, das den Status von Ports offenbaren kann, ohne sie direkt abzufragen, was bedeutet, dass man ihren Status auch dann sehen kann, wenn sie durch eine Firewall geschützt sind.
Host-Scan
Der Host-Scan liefert detailliertere Informationen über einen bestimmten Host oder einen Bereich von IP-Adressen. Wie oben erwähnt, können Sie einen Host-Scan mit dem folgenden Befehl durchführen:
# nmap -sp <target IP range>
OS-Scanning
OS-Scanning ist eine der leistungsfähigsten Funktionen von Nmap. Bei dieser Art von Scan sendet Nmap TCP- und UDP-Pakete an einen bestimmten Port und analysiert dann dessen Antwort. Es vergleicht diese Antwort mit einer Datenbank von 2600 Betriebssystemen und gibt Informationen über das Betriebssystem (und die Version) eines Hosts zurück.
Um einen OS-Scan durchzuführen, verwenden Sie den folgenden Befehl:
nmap -O <target IP>
Scan The Most Popular Ports
Wenn Sie Nmap auf einem Heimserver einsetzen, ist dieser Befehl sehr nützlich. Er scannt automatisch eine Reihe der „beliebtesten“ Ports für einen Host. Sie können diesen Befehl wie folgt ausführen:
nmap --top-ports 20 192.168.1.106
Ersetzen Sie die „20“ durch die Anzahl der zu scannenden Ports, und Nmap scannt schnell so viele Ports. Es gibt eine übersichtliche Ausgabe mit dem Status der gängigsten Ports zurück, so dass Sie schnell sehen können, ob Sie unnötigerweise Ports geöffnet haben.
Ausgabe in eine Datei
Wenn Sie die Ergebnisse Ihrer Nmap-Scans in eine Datei ausgeben wollen, können Sie Ihren Befehlen eine Erweiterung hinzufügen, die das ermöglicht. Fügen Sie einfach:
-oN output.txt
zu Ihrem Befehl hinzu, um die Ergebnisse in eine Textdatei auszugeben, oder:
-oX output.xml
um sie in eine XML-Datei auszugeben.
DNS-Namensauflösung deaktivieren
Schließlich können Sie Ihre Nmap-Scans beschleunigen, indem Sie den Parameter -n verwenden, um die umgekehrte DNS-Auflösung zu deaktivieren. Das kann sehr nützlich sein, wenn Sie ein großes Netzwerk scannen wollen. Um zum Beispiel die DNS-Auflösung für den oben erwähnten einfachen Ping-Scan auszuschalten, fügen Sie -n:
# nmap -sp -n 192.100.1.1/24
Nmap FAQ
Die obigen Befehle decken den größten Teil der Grundfunktionen von Nmap ab. Vielleicht haben Sie trotzdem noch ein paar Fragen, also lassen Sie uns die häufigsten durchgehen.
Q: Was sind einige Nmap-Alternativen?
Es gibt einige Alternativen zu Nmap, aber die meisten von ihnen konzentrieren sich auf spezielle Nischenfunktionen, die der durchschnittliche Systemadministrator häufig braucht. MASSCAN zum Beispiel ist viel schneller als Nmap, bietet aber weniger Details. Umit hingegen ermöglicht es, mehrere Scans gleichzeitig durchzuführen.
In Wirklichkeit bietet Nmap jedoch alle Funktionen und die Geschwindigkeit, die der durchschnittliche Benutzer benötigt, vor allem, wenn es zusammen mit anderen, ähnlich beliebten Tools wie NetCat (das zur Verwaltung und Kontrolle des Netzwerkverkehrs verwendet werden kann) und ZenMap (das eine grafische Benutzeroberfläche für Nmap bereitstellt)
Q: Wie funktioniert Nmap?
Nmap baut auf früheren Netzwerküberprüfungs-Tools auf und bietet schnelle, detaillierte Scans des Netzwerkverkehrs. Es nutzt IP-Pakete, um die in einem Netzwerk aktiven Hosts und IPs zu identifizieren, und analysiert dann diese Pakete, um Informationen über jeden Host und jede IP sowie die darauf ausgeführten Betriebssysteme zu liefern.
Q: Ist Nmap legal?
Ja. Wenn es richtig eingesetzt wird, hilft Nmap, Ihr Netzwerk vor Hackern zu schützen, da es Ihnen ermöglicht, Sicherheitslücken in Ihren Systemen schnell zu erkennen.
Eine andere Frage ist, ob Port-Scans auf externen Servern legal sind. Die Gesetzgebung in diesem Bereich ist komplex und variiert von Land zu Land. Die Verwendung von Nmap zum Scannen externer Ports kann dazu führen, dass Sie von Ihrem Internetanbieter gesperrt werden. Informieren Sie sich also unbedingt über die rechtlichen Folgen der Verwendung des Programms, bevor Sie es in größerem Umfang einsetzen.
Das Fazit
Wenn Sie sich die Zeit nehmen, Nmap zu erlernen, kann das die Sicherheit Ihrer Netzwerke dramatisch erhöhen, denn das Programm bietet eine schnelle und effiziente Möglichkeit, Ihre Systeme zu überprüfen. Selbst die grundlegenden Funktionen des Programms – wie die Möglichkeit, Port-Scans durchzuführen – zeigen schnell alle verdächtigen Geräte auf, die in Ihrem Netzwerk aktiv sind.
Wenn Sie Nmap verwenden, um häufige Netzwerk-Audits durchzuführen, können Sie vermeiden, leichte Beute für Hacker zu werden, und gleichzeitig Ihr Wissen über Ihr eigenes Netzwerk verbessern. Darüber hinaus bietet Nmap Funktionen, die umfassendere Datensicherheitsplattformen wie die von Varonis ergänzen, und wenn es zusammen mit diesen Tools eingesetzt wird, kann es Ihre Cybersicherheit drastisch verbessern.