Nmap on verkkokartoittaja, joka on noussut yhdeksi markkinoiden suosituimmista, ilmaisista verkonetsintätyökaluista. Nmap on nykyään yksi keskeisistä työkaluista, joita verkonvalvojat käyttävät verkkojensa kartoittamiseen. Ohjelmaa voidaan käyttää verkon live-isäntien etsimiseen, porttiskannauksen suorittamiseen, ping-pyyhkäisyihin, käyttöjärjestelmän havaitsemiseen ja versiotunnistukseen.
Muutamat viimeaikaiset verkkohyökkäykset ovat kiinnittäneet uudelleen huomiota siihen, millaista verkkotarkastusta Nmap tarjoaa. Analyytikot ovat huomauttaneet, että esimerkiksi äskettäinen Capital One -hakkerointi olisi voitu havaita aikaisemmin, jos järjestelmänvalvojat olisivat valvoneet liitettyjä laitteita. Tässä oppaassa tarkastelemme, mikä Nmap on, mitä sillä voi tehdä ja selitämme, miten yleisimpiä komentoja käytetään.
- Get the Free Pen Testing Active Directory Environments EBook
- Mikä on Nmap?
- Mitä Nmap tekee?
- How To Use Nmap
- Nmapin asentaminen
- Nmap Tutorial and Examples
- Ping-skannauksen suorittaminen
- How To Run A Host Scan
- Nmapin käyttäminen Kali Linuxissa
- Nmap-komennot
- Ping-skannaus
- Porttiskannaus
- Host-skannaus
- OS-skannaus
- Tarkista suosituimmat portit
- Tulostus tiedostoon
- Disable DNS Name Resolution
- Nmap FAQ
- K: Mitä Nmap-vaihtoehtoja on?
- Kysymys: Miten Nmap työskentelee?
- Q: Onko Nmap laillinen?
- Lopputulos
Get the Free Pen Testing Active Directory Environments EBook
Itse asiassa Nmapia tulisi käyttää osana integroitua tietoturva-alustaa. Kun Nmapia on käytetty verkon kartoittamiseen, Varonisin Datadvantagen kaltaista alustaa voidaan käyttää edistyneen pääsynvalvonnan toteuttamiseen.
- Miten Nmapia käytetään
- Nmapin opetusohjelma ja esimerkkejä
- Nmapin komennot
- Nmapin usein kysytyt kysymykset
Mikä on Nmap?
Ydinominaisuuksiltaan Nmap on verkon skannaustyökalu, joka tunnistaa IP-pakettien avulla kaikki verkkoon kytketyt laitteet ja antaa tietoa niiden käyttämistä palveluista ja käyttöjärjestelmistä.
Ohjelmaa käytetään yleisimmin komentorivikäyttöliittymän kautta (tosin saatavilla on myös GUI-rintamakäyttöliittymiä), ja se on saatavana monille eri käyttöjärjestelmille, kuten Linux, Free BSD ja Gentoo. Sen suosiota on tukenut myös aktiivinen ja innostunut käyttäjätukiyhteisö.
Nmap on kehitetty yritysverkkoihin, ja sillä voidaan skannata tuhansia liitettyjä laitteita. Viime vuosina Nmapia on kuitenkin käytetty yhä enemmän pienemmissä yrityksissä. Erityisesti esineiden internetin yleistyminen tarkoittaa nyt sitä, että näiden yritysten käyttämät verkot ovat muuttuneet monimutkaisemmiksi ja siten vaikeammin suojattaviksi.
Tämä tarkoittaa sitä, että Nmapia käytetään nyt monissa verkkosivujen seurantatyökaluissa verkkopalvelimien ja esineiden internetin laitteiden välisen liikenteen tarkastamiseen. Viimeaikainen IoT-bottiverkkojen, kuten Mirain, ilmaantuminen on myös herättänyt kiinnostusta Nmapia kohtaan, eikä vähiten sen kyvyn vuoksi kuulustella UPnP-protokollan kautta liitettyjä laitteita ja tuoda esiin kaikki laitteet, jotka voivat olla haitallisia.
Mitä Nmap tekee?
Käytännön tasolla Nmapin avulla saadaan yksityiskohtaista, reaaliaikaista tietoa verkoista ja niihin liitetyistä laitteista.
Nmapin ensisijaiset käyttötarkoitukset voidaan jakaa kolmeen ydinprosessiin. Ensinnäkin ohjelma antaa yksityiskohtaista tietoa jokaisesta verkoissasi aktiivisesta IP-osoitteesta, minkä jälkeen jokainen IP-osoite voidaan skannata. Näin ylläpitäjät voivat tarkistaa, käyttääkö IP:tä laillinen palvelu vai ulkopuolinen hyökkääjä.
Toiseksi Nmap antaa tietoa verkostasi kokonaisuutena. Sitä voidaan käyttää antamaan luettelo elävistä isännistä ja avoimista porteista sekä tunnistamaan jokaisen liitetyn laitteen käyttöjärjestelmä. Tämä tekee siitä arvokkaan työkalun järjestelmän jatkuvassa seurannassa sekä kriittisen osan pentestejä. Nmapia voidaan käyttää esimerkiksi Metasploit-kehyksen rinnalla verkon haavoittuvuuksien tutkimiseen ja korjaamiseen.
Kolmanneksi Nmapista on tullut myös arvokas työkalu käyttäjille, jotka haluavat suojata henkilökohtaisia ja yritysten verkkosivustoja. Käyttämällä Nmapia oman verkkopalvelimesi skannaamiseen, erityisesti jos isännöit verkkosivustoasi kotoa käsin, simuloit käytännössä prosessia, jota hakkeri käyttäisi hyökätessään sivustollesi. Oman sivuston ”hyökkääminen” tällä tavoin on tehokas tapa tunnistaa tietoturva-aukkoja.
How To Use Nmap
Nmap on helppokäyttöinen, ja useimmat sen tarjoamat työkalut ovat tuttuja järjestelmänvalvojille muista ohjelmista. Nmapin etuna on se, että se tuo laajan valikoiman näitä työkaluja yhteen ohjelmaan sen sijaan, että joutuisit hyppimään erillisten ja erillisten verkonvalvontatyökalujen välillä.
Nmapin käyttöä varten sinun on tunnettava komentorivikäyttöliittymät. Useimmat edistyneet käyttäjät pystyvät kirjoittamaan skriptejä yleisten tehtävien automatisoimiseksi, mutta tämä ei ole välttämätöntä verkon perusvalvonnassa.
Nmapin asentaminen
Nmapin asentaminen on helppoa, mutta vaihtelee käyttöjärjestelmästä riippuen. Ohjelman Windows-, Mac- ja Linux-versiot voi ladata täältä.
- Windowsissa Nmapin mukana tulee mukautettu asennusohjelma (namp<version>setup.exe). Lataa ja suorita tämä asennusohjelma, ja se konfiguroi Nmapin automaattisesti järjestelmääsi.
- Macissa Nmapin mukana tulee myös oma asennusohjelma. Käynnistä tämä asennusohjelma ajamalla Nmap-<version>mpkg-tiedosto. Joissakin uusimmissa macOS-versioissa saatat nähdä varoituksen, jonka mukaan Nmap on ”tunnistamaton kehittäjä”, mutta voit jättää tämän varoituksen huomiotta.
- Linux-käyttäjät voivat joko kääntää Nmapin lähdekoodista tai käyttää valitsemaansa paketinhallintaa. Jos käytät esimerkiksi apt:tä, voit suorittaa komennon Nmap -version tarkistaaksesi, onko Nmap asennettu, ja sudo apt-get install Nmap asentaaksesi sen.
Nmap Tutorial and Examples
Kun olet asentanut Nmapin, paras tapa oppia käyttämään sitä on suorittaa joitakin perusverkkoskannauksia.
Ping-skannauksen suorittaminen
Yksi Nmapin perustoiminnoista on tunnistaa verkon aktiiviset isännät. Nmap tekee tämän käyttämällä ping-skannausta. Tämä tunnistaa kaikki IP-osoitteet, jotka ovat tällä hetkellä verkossa, lähettämättä mitään paketteja näille isännille.
Voit suorittaa ping-skannauksen suorittamalla seuraavan komennon:
# nmap -sp 192.100.1.1/24
Komento palauttaa tämän jälkeen luettelon verkossa olevista isännistä ja niille osoitettujen IP-osoitteiden kokonaismäärän. Jos huomaat tässä luettelossa isäntiä tai IP-osoitteita, joita et voi selittää, voit suorittaa lisäkomentoja (ks. alla) tutkiaksesi niitä tarkemmin.
How To Run A Host Scan
Tehokkaampi tapa skannata verkkojasi on suorittaa isäntätarkistus Nmapin avulla. Toisin kuin ping-skannaus, host-skannaus lähettää aktiivisesti ARP-pyyntöpaketteja kaikille verkkoosi liitetyille isännille. Jokainen isäntä vastaa sitten tähän pakettiin toisella ARP-paketilla, joka sisältää sen tilan ja MAC-osoitteen.
Voit suorittaa isäntätarkistuksen seuraavalla komennolla:
# nmap -sp <target IP range>
Tämä palauttaa tiedot jokaisesta isännästä, sen viiveestä, MAC-osoitteesta ja myös tähän osoitteeseen mahdollisesti liittyvästä kuvauksesta. Tämä voi olla tehokas tapa havaita epäilyttävät isännät, jotka on liitetty verkkoosi.
Jos näet jotain epätavallista tässä luettelossa, voit suorittaa DNS-kyselyn tietylle isännälle käyttämällä:
# namp -sL <IP address>
Tämä palauttaa luettelon nimistä, jotka liittyvät skannattuun IP-osoitteeseen. Tämä kuvaus antaa tietoa siitä, mihin IP:tä oikeastaan käytetään.
Nmapin käyttäminen Kali Linuxissa
Nmapin käyttäminen Kali Linuxissa voidaan tehdä samalla tavalla kuin ohjelman suorittaminen millä tahansa muulla Linux-mallilla.
Näin sanottuna Kali-ohjelman käyttämisessä Nmap-skannausten suorittamiseen on etuja. Useimmissa nykyaikaisissa Kali-distroissa on nyt mukana täysin varusteltu Nmap-paketti, joka sisältää edistyneen graafisen käyttöliittymän ja tulosten katseluohjelman (Zenmap), joustavan tiedonsiirto-, uudelleenohjaus- ja virheenkorjaustyökalun (Ncat), apuohjelman skannaustulosten vertailemiseen (Ndiff) sekä pakettien luomis- ja vasteanalyysityökalun (Nping).
Nmap-komennot
Useimmat Nmapin yleisimmistä toiminnoista voidaan suorittaa yhdellä komennolla, ja ohjelma käyttää myös useita ”pikakomentoja”, joilla voidaan automatisoida yleisiä tehtäviä.
Tässä on lyhyt esittely:
Ping-skannaus
Kuten edellä mainittiin, ping-skannaus palauttaa tietoa jokaisesta aktiivisesta IP-osoitteesta verkossa. Voit suorittaa ping-skannauksen tällä komennolla:
#
Porttiskannaus
Porttiskannaus voidaan suorittaa Nmapilla usealla eri tavalla. Yleisimmin käytetyt ovat nämä:
# sS TCP SYN scan# sT TCP connect scan# sU UDP scans# sY SCTP INIT scan# sN TCP NULL
Suurimmat erot näiden skannaustyyppien välillä ovat, kattavatko ne TCP- vai UDP-portit ja suoritetaanko TCP-yhteys. Tässä ovat peruserot:
- Esimäisin näistä skannauksista on sS TCP SYN -skannaus, ja se antaa useimmille käyttäjille kaikki tarvitsemansa tiedot. Se skannaa tuhansia portteja sekunnissa, ja koska se ei suorita TCP-yhteyttä, se ei herätä epäilyksiä.
- Tämän tyyppisen skannauksen tärkein vaihtoehto on TCP Connect -skannaus, joka kysyy aktiivisesti jokaiselta isäntäkoneelta ja pyytää vastausta. Tämäntyyppinen skannaus kestää kauemmin kuin SYN-skannaus, mutta se voi palauttaa luotettavampia tietoja.
- UDP-skannaus toimii samalla tavalla kuin TCP Connect-skannaus, mutta se käyttää UDP-paketteja DNS-, SNMP- ja DHCP-porttien skannaamiseen. Nämä portit ovat hakkereiden yleisimpiä kohteita, joten tämäntyyppinen skannaus on hyödyllinen työkalu haavoittuvuuksien tarkistamiseen.
- SCTP INIT -skannaus kattaa erilaiset palvelut: SS7 ja SIGTRAN. Tämäntyyppistä skannausta voidaan myös käyttää välttämään epäilyksiä, kun skannataan ulkoista verkkoa, koska se ei suorita koko SCTP-prosessia loppuun.
- Top NULL -skannaus on myös hyvin ovela skannaustekniikka. Se käyttää TCP-järjestelmässä olevaa porsaanreikää, joka voi paljastaa porttien tilan niitä suoraan kysymättä, mikä tarkoittaa, että voit nähdä niiden tilan myös silloin, kun ne on suojattu palomuurilla.
Host-skannaus
Host-skannaus palauttaa yksityiskohtaisempia tietoja tietystä isännästä tai IP-osoitealueesta. Kuten edellä mainittiin, voit suorittaa host-skannauksen seuraavalla komennolla:
# nmap -sp <target IP range>
OS-skannaus
OS-skannaus on yksi Nmapin tehokkaimmista ominaisuuksista. Tämäntyyppistä skannausta käytettäessä Nmap lähettää TCP- ja UDP-paketteja tiettyyn porttiin ja analysoi sitten sen vastauksen. Se vertaa tätä vastausta 2600 käyttöjärjestelmän tietokantaan ja palauttaa tiedot isäntäkoneen käyttöjärjestelmästä (ja versiosta).
Jos haluat suorittaa käyttöjärjestelmäskannauksen, käytä seuraavaa komentoa:
nmap -O <target IP>
Tarkista suosituimmat portit
Jos käytät Nmapia kotipalvelimella, tämä komento on erittäin hyödyllinen. Se skannaa automaattisesti useita isännän ”suosituimpia” portteja. Voit suorittaa tämän komennon seuraavasti:
nmap --top-ports 20 192.168.1.106
Korvaa ”20” skannattavien porttien lukumäärällä, ja Nmap skannaa nopeasti niin monta porttia. Se palauttaa tiiviin tulosteen, jossa kerrotaan yksityiskohtaisesti yleisimpien porttien tila, ja tämän avulla näet nopeasti, onko sinulla tarpeettomasti avoimia portteja.
Tulostus tiedostoon
Jos haluat tulostaa Nmap-skannaustulokset tiedostoon, voit lisätä komentoihin laajennuksen sitä varten. Lisää vain:
-oN output.txt
Komentoosi, jos haluat tulostaa tulokset tekstitiedostoon, tai:
-oX output.xml
Tulostaaksesi XML-tiedostoon.
Disable DNS Name Resolution
Viimeiseksi voit nopeuttaa Nmap-skannauksiasi käyttämällä -n-parametrin avulla käänteisen DNS-resoluution poistamista käytöstä. Tämä voi olla erittäin hyödyllistä, jos haluat skannata suuren verkon. Jos haluat esimerkiksi kytkeä DNS-resoluution pois päältä edellä mainitussa ping-perusskannauksessa, lisää -n:
# nmap -sp -n 192.100.1.1/24
Nmap FAQ
Yllä olevat komennot kattavat suurimman osan Nmapin perustoiminnoista. Sinulla saattaa kuitenkin olla vielä joitakin kysymyksiä, joten käydään läpi yleisimmät niistä.
K: Mitä Nmap-vaihtoehtoja on?
Nmapille on joitakin vaihtoehtoja, mutta useimmat niistä keskittyvät tarjoamaan erityisiä, kapealla alueella olevia toimintoja, joita keskiverto järjestelmänvalvoja tarvitsee usein. Esimerkiksi MASSCAN on paljon nopeampi kuin Nmap, mutta tarjoaa vähemmän yksityiskohtia. Umit sen sijaan mahdollistaa useiden skannausten suorittamisen kerralla.
Todellisuudessa Nmap tarjoaa kuitenkin kaiken sen toiminnallisuuden ja nopeuden, jota keskivertokäyttäjä tarvitsee, varsinkin kun sitä käytetään yhdessä muiden yhtä suosittujen työkalujen, kuten NetCatin (jolla voidaan hallita ja valvoa verkkoliikennettä) ja ZenMapin (joka tarjoaa graafisen käyttöliittymän Nmapille), kanssa.
Kysymys: Miten Nmap työskentelee?
Nmap perustuu aiempiin verkon tarkastustyökaluihin tarjotakseen nopeita ja yksityiskohtaisia verkkoliikennetietojen tarkastuksia. Se toimii käyttämällä IP-paketteja verkon aktiivisten isäntien ja IP-osoitteiden tunnistamiseen ja analysoimalla näitä paketteja saadakseen tietoja kustakin isännästä ja IP-osoitteesta sekä niiden käyttämistä käyttöjärjestelmistä.
Q: Onko Nmap laillinen?
Kyllä. Oikein käytettynä Nmap auttaa suojaamaan verkkoasi hakkereilta, koska sen avulla voit nopeasti havaita järjestelmiesi tietoturva-aukot.
Oikeasti käytettynä Nmap auttaa suojaamaan verkkoasi hakkereilta, koska sen avulla pystyt nopeasti havaitsemaan järjestelmiesi tietoturvahaavoittuvuudet.
Ei ole eri asia on se, että onko ulkopuolisten palvelimien porttiskannaus laillinen. Tämän alan lainsäädäntö on monimutkaista ja vaihtelee alueittain. Nmapin käyttäminen ulkoisten porttien skannaamiseen voi johtaa siihen, että Internet-palveluntarjoajasi kieltää sinut, joten varmista, että tutkit ohjelman käytön oikeudelliset vaikutukset, ennen kuin alat käyttää sitä laajemmin.
Lopputulos
Nmapin opetteleminen voi lisätä merkittävästi verkkojesi tietoturvaa, koska ohjelma tarjoaa nopean ja tehokkaan tavan järjestelmiesi tarkastamiseen. Jopa ohjelman tarjoamat perusominaisuudet – kuten mahdollisuus suorittaa porttiskannaus – paljastavat nopeasti kaikki epäilyttävät laitteet, jotka ovat aktiivisia verkossasi.
Käyttämällä Nmapia usein suoritettaviin verkkotarkastuksiin voit välttää joutumasta hakkerien helpoksi saaliiksi ja samalla parantaa tietämystäsi omasta verkostasi. Lisäksi Nmap tarjoaa toimintoja, jotka täydentävät monipuolisempia tietoturva-alustoja, kuten Varonisin tarjoamia, ja näiden työkalujen rinnalla käytettynä se voi parantaa huomattavasti kyberturvallisuuttasi.