Hoe Nmap te gebruiken: Commands and Tutorial Guide | Varonis

Nmap is een netwerk mapper die is uitgegroeid tot een van de meest populaire, gratis netwerk discovery tools op de markt. Nmap is nu een van de belangrijkste gereedschappen die netwerkbeheerders gebruiken om hun netwerken in kaart te brengen. Het programma kan worden gebruikt om live hosts op een netwerk te vinden, port scanning, ping sweeps, OS detectie, en versie detectie uit te voeren.

Een aantal recente cyberaanvallen hebben de aandacht opnieuw gericht op het type netwerk auditing dat Nmap biedt. Analisten hebben erop gewezen dat de recente Capital One hack, bijvoorbeeld, eerder had kunnen worden ontdekt als systeembeheerders aangesloten apparaten hadden gecontroleerd. In deze gids bekijken we wat Nmap is, wat het kan en hoe je de meest gebruikte commando’s gebruikt.

Geef het gratis EBook voor pentests voor Active Directory-omgevingen

“Dit heeft me echt de ogen geopend voor AD-beveiliging op een manier die defensief werk nooit heeft gedaan.”

In principe moet Nmap worden gebruikt als onderdeel van een geïntegreerd gegevensbeveiligingsplatform. Als Nmap eenmaal is gebruikt om een netwerk in kaart te brengen, kan een platform zoals Datadvantage van Varonis vervolgens worden gebruikt om geavanceerde toegangscontrole te implementeren.

Hoe Nmap te gebruiken
Nmap Tutorial and Examples
Nmap Commands
Nmap FAQ

Wat is Nmap?

In de kern is Nmap een netwerkscanprogramma dat IP-pakketten gebruikt om alle apparaten te identificeren die op een netwerk zijn aangesloten en om informatie te verschaffen over de diensten en besturingssystemen die ze draaien.

Het programma wordt meestal gebruikt via een opdrachtregelinterface (hoewel er ook GUI-front-ends beschikbaar zijn) en is beschikbaar voor veel verschillende besturingssystemen, zoals Linux, Free BSD en Gentoo. Zijn populariteit is ook versterkt door een actieve en enthousiaste gemeenschap voor gebruikersondersteuning.

Nmap is ontwikkeld voor netwerken op bedrijfsschaal en kan duizenden aangesloten apparaten doorzoeken. De laatste jaren wordt Nmap echter steeds meer gebruikt door kleinere bedrijven. Met name de opkomst van het IoT betekent nu dat de netwerken die deze bedrijven gebruiken complexer zijn geworden en daardoor moeilijker te beveiligen.

Dit betekent dat Nmap nu wordt gebruikt in veel website monitoring tools om het verkeer tussen webservers en IoT-apparaten te controleren. De recente opkomst van IoT-botnets, zoals Mirai, heeft ook de belangstelling voor Nmap aangewakkerd, niet in de laatste plaats vanwege de mogelijkheid om apparaten te ondervragen die via het UPnP-protocol zijn aangesloten en apparaten aan te wijzen die mogelijk kwaadaardig zijn.

Wat doet Nmap?

Op praktisch niveau wordt Nmap gebruikt om gedetailleerde, real-time informatie te verschaffen over uw netwerken en de apparaten die daarop zijn aangesloten.

De primaire toepassingen van Nmap kunnen worden onderverdeeld in drie kernprocessen. Ten eerste, het programma geeft u gedetailleerde informatie over elk IP actief op uw netwerken, en elk IP kan vervolgens worden gescand. Dit stelt beheerders in staat om te controleren of een IP wordt gebruikt door een legitieme dienst, of door een externe aanvaller.

Tweede, Nmap geeft informatie over uw netwerk als geheel. Het kan worden gebruikt om een lijst van live hosts en open poorten, evenals het identificeren van het OS van elk aangesloten apparaat. Dit maakt het een waardevol hulpmiddel bij het voortdurend monitoren van systemen, en ook een essentieel onderdeel van pentesting. Nmap kan bijvoorbeeld samen met het Metasploit framework worden gebruikt om netwerk kwetsbaarheden te onderzoeken en vervolgens te repareren.

Ten derde is Nmap ook een waardevol hulpmiddel geworden voor gebruikers die persoonlijke en zakelijke websites willen beschermen. Het gebruik van Nmap om uw eigen webserver te scannen, vooral als u uw website vanuit huis host, is in wezen het simuleren van het proces dat een hacker zou gebruiken om uw site aan te vallen. Het “aanvallen” van uw eigen site op deze manier is een krachtige manier om kwetsbaarheden in de beveiliging te identificeren.

Hoe Nmap te gebruiken

Nmap is eenvoudig in het gebruik, en de meeste hulpmiddelen die het biedt zijn systeembeheerders bekend uit andere programma’s. Het voordeel van Nmap is dat het een groot aantal van deze tools in één programma samenbrengt, in plaats van u te dwingen om tussen aparte en afzonderlijke netwerkbewakingstools te schakelen.

Om Nmap te kunnen gebruiken, moet u bekend zijn met opdrachtregelinterfaces. De meeste geavanceerde gebruikers zijn in staat om scripts te schrijven om veelvoorkomende taken te automatiseren, maar dit is niet nodig voor basis netwerk monitoring.

Hoe Nmap te installeren

Het proces voor het installeren van Nmap is eenvoudig, maar varieert afhankelijk van uw besturingssysteem. De Windows, Mac, en Linux versies van het programma kunnen hier worden gedownload.

Voor Windows, Nmap wordt geleverd met een aangepaste installatieprogramma (namp<version>setup.exe). Download dit installatieprogramma en voer het uit, waarna Nmap automatisch op uw systeem wordt geconfigureerd.
Op de Mac wordt Nmap ook geleverd met een speciaal installatieprogramma. Voer het Nmap-<version>mpkg bestand uit om dit installatieprogramma te starten. Op sommige recente versies van macOS, kunt u een waarschuwing zien dat Nmap een “niet-geïdentificeerde ontwikkelaar” is, maar u kunt deze waarschuwing negeren.
Linux gebruikers kunnen ofwel Nmap compileren vanaf broncode of de door hun gekozen pakketbeheerder gebruiken. Om apt te gebruiken, bijvoorbeeld, kunt u Nmap -version uitvoeren om te controleren of Nmap is geïnstalleerd, en sudo apt-get install Nmap om het te installeren.

Nmap Tutorial and Examples

Als je eenmaal Nmap hebt geïnstalleerd, is de beste manier om te leren hoe je het moet gebruiken het uitvoeren van een aantal basis netwerk scans.

Hoe een Ping Scan uitvoeren

Eén van de meest basale functies van Nmap is het identificeren van actieve hosts op uw netwerk. Nmap doet dit met behulp van een ping-scan. Dit identificeert alle IP-adressen die momenteel online zijn zonder packers naar deze hosts te sturen.

Om een ping-scan uit te voeren, voert u het volgende commando uit:

# nmap -sp 192.100.1.1/24

Dit commando geeft vervolgens een lijst met hosts op uw netwerk en het totale aantal toegewezen IP-adressen. Als u hosts of IP-adressen op deze lijst ziet staan die u niet kunt verklaren, kunt u verdere opdrachten uitvoeren (zie hieronder) om ze verder te onderzoeken.

Hoe een hostscan uitvoeren

Een krachtigere manier om uw netwerken te scannen is het gebruik van Nmap om een hostscan uit te voeren. In tegenstelling tot een ping scan, stuurt een host scan actief ARP verzoek pakketten naar alle hosts die verbonden zijn met uw netwerk. Elke host antwoordt dan op dit pakket met een ander ARP pakket dat zijn status en MAC adres bevat.

Om een host scan uit te voeren, gebruikt u het volgende commando:

# nmap -sp <target IP range>

Dit retourneert informatie over elke host, hun latentie, hun MAC adres, en ook elke beschrijving geassocieerd met dit adres. Dit kan een krachtige manier zijn om verdachte hosts op te sporen die op uw netwerk zijn aangesloten.

Als u iets ongewoons in deze lijst ziet, kunt u een DNS-query uitvoeren op een specifieke host, door gebruik te maken van:

# namp -sL <IP address>

Hiermee krijgt u een lijst met namen die aan het gescande IP-adres zijn gekoppeld. Deze beschrijving geeft informatie over waar het IP eigenlijk voor is.

Hoe Nmap te gebruiken in Kali Linux

Het gebruik van Nmap in Kali Linux kan worden gedaan op een identieke manier als het draaien van het programma op elke andere smaak van Linux.

Dat gezegd hebbende, er zijn voordelen aan het gebruik van Kali bij het uitvoeren van Nmap scans. De meeste moderne distro’s van Kali worden nu geleverd met een volledig uitgeruste Nmap suite, die een geavanceerde GUI en resultaten viewer (Zenmap), een flexibele data-overdracht, redirection, en debugging tool (Ncat), een hulpprogramma voor het vergelijken van scanresultaten (Ndiff), en een pakket generatie en respons analyse tool (Nping) bevat.

Nmap-opdrachten

De meeste veelgebruikte functies van Nmap kunnen met een enkel commando worden uitgevoerd, en het programma gebruikt ook een aantal ‘snelkoppelings’-opdrachten die kunnen worden gebruikt om veelvoorkomende taken te automatiseren.

Hier volgt een korte opsomming:

Ping Scanning

Zoals hierboven vermeld, geeft een ping-scan informatie over elk actief IP op uw netwerk. U kunt een ping-scan uitvoeren met dit commando:

Port Scanning

Er zijn verschillende manieren om port scanning uit te voeren met Nmap. De meest gebruikte zijn deze:

# sS TCP SYN scan# sT TCP connect scan# sU UDP scans# sY SCTP INIT scan# sN TCP NULL

De belangrijkste verschillen tussen deze typen scans zijn of ze TCP- of UDP-poorten bestrijken en of ze een TCP-verbinding uitvoeren. Hier zijn de basisverschillen:

De meest basale van deze scans is de sS TCP SYN scan, en deze geeft de meeste gebruikers alle informatie die ze nodig hebben. Hij scant duizenden poorten per seconde, en omdat hij geen TCP-verbinding tot stand brengt, wekt hij geen argwaan.
Het belangrijkste alternatief voor dit type scan is de TCP Connect-scan, die elke host actief bevraagt en om een antwoord vraagt. Dit type scan duurt langer dan een SYN-scan, maar kan betrouwbaardere informatie opleveren.
De UDP-scan werkt op een vergelijkbare manier als de TCP-connect scan, maar gebruikt UDP-pakketten om DNS-, SNMP- en DHCP-poorten te scannen. Dit zijn de poorten die het vaakst het doelwit zijn van hackers, en dus is dit type scan een nuttig hulpmiddel om te controleren op kwetsbaarheden.
De SCTP INIT scan bestrijkt een andere reeks services: SS7 en SIGTRAN. Dit type scan kan ook worden gebruikt om verdenking te vermijden bij het scannen van een extern netwerk, omdat het niet het volledige SCTP proces voltooit.
De TOP NULL scan is ook een zeer listige scantechniek. Het maakt gebruik van een maas in het TCP systeem dat de status van poorten kan onthullen zonder ze direct te bevragen, wat betekent dat u hun status kunt zien, zelfs als ze worden beschermd door een firewall.

Host Scanning

Host scanning geeft meer gedetailleerde informatie over een bepaalde host of een reeks van IP-adressen. Zoals hierboven vermeld, kunt u een host scan uitvoeren met het volgende commando:

# nmap -sp <target IP range>

OS Scanning

OS scanning is een van de meest krachtige functies van Nmap. Bij gebruik van dit type scan, stuurt Nmap TCP en UDP pakketten naar een bepaalde poort, en analyseert dan de respons. Het vergelijkt deze respons met een database van 2600 besturingssystemen, en retourneert informatie over het OS (en versie) van een host.

Om een OS scan uit te voeren, gebruikt u het volgende commando:

nmap -O <target IP>

Scan The Most Popular Ports

Als u Nmap op een thuisserver uitvoert, is dit commando erg handig. Het scant automatisch een aantal van de meest ‘populaire’ poorten voor een host. U kunt dit commando uitvoeren met:

nmap --top-ports 20 192.168.1.106

Vervang de “20” door het aantal te scannen poorten, en Nmap scant snel dat aantal poorten. Het geeft een beknopte uitvoer met details over de status van de meest voorkomende poorten, en zo kunt u snel zien of u onnodig open poorten hebt.

Uitvoeren naar een bestand

Als u de resultaten van uw Nmap-scans naar een bestand wilt uitvoeren, kunt u een extensie aan uw opdrachten toevoegen om dat te doen. Voeg gewoon toe:

-oN output.txt

Aan uw commando om de resultaten naar een tekstbestand te sturen, of:

-oX output.xml

Om naar een XML te sturen.

DNS Name Resolution

Ten slotte kunt u uw Nmap scans versnellen door de -n parameter te gebruiken om reverse DNS resolution uit te schakelen. Dit kan uiterst nuttig zijn als u een groot netwerk wil scannen. Bijvoorbeeld, om DNS resolutie uit te schakelen voor de basis ping scan hierboven vermeld, voeg -n:

# nmap -sp -n 192.100.1.1/24

Nmap FAQ

De bovenstaande commando’s dekken het grootste deel van de basis functionaliteit van Nmap. U kunt echter nog vragen hebben, dus laten we de meest voorkomende eens doornemen.

Q: Wat zijn enkele Nmap Alternatieven?

Er zijn enkele alternatieven voor Nmap, maar de meeste zijn gericht op het bieden van specifieke, niche functionaliteit die de gemiddelde systeembeheerder wel vaak nodig heeft. MASSCAN, bijvoorbeeld, is veel sneller dan Nmap, maar biedt minder details. Umit daarentegen maakt het mogelijk om meerdere scans tegelijk uit te voeren.

In werkelijkheid biedt Nmap echter alle functionaliteit en snelheid die de gemiddelde gebruiker nodig heeft, vooral als het gebruikt wordt naast andere, vergelijkbare populaire tools zoals NetCat (waarmee netwerkverkeer kan worden beheerd en gecontroleerd) en ZenMap (dat een GUI voor Nmap biedt)

Q: Hoe werkt Nmap?

Nmap bouwt voort op eerdere netwerk auditing tools om snelle, gedetailleerde scans van netwerkverkeer te bieden. Het werkt door IP-pakketten te gebruiken om de hosts en IP’s te identificeren die actief zijn op een netwerk en vervolgens deze pakketten te analyseren om informatie te verstrekken over elke host en IP, evenals de besturingssystemen die ze draaien.

Q: Is Nmap legaal?

Ja. Als het goed wordt gebruikt, helpt Nmap uw netwerk te beschermen tegen hackers, omdat het u in staat stelt snel eventuele beveiligingslekken in uw systemen op te sporen.

Wat het scannen van poorten op externe servers legaal maakt, is een andere kwestie. De wetgeving op dit gebied is complex en verschilt per grondgebied. Het gebruik van Nmap om externe poorten te scannen kan ertoe leiden dat u door uw ISP wordt verboden, dus zorg ervoor dat u de juridische implicaties van het gebruik van het programma onderzoekt voordat u het op grotere schaal gaat gebruiken.

The Bottom Line

De tijd nemen om Nmap te leren kan de veiligheid van uw netwerken drastisch verhogen, omdat het programma een snelle, efficiënte manier biedt om uw systemen te controleren. Zelfs de basisfuncties van het programma – zoals de mogelijkheid om poorten te scannen – onthullen snel verdachte apparaten die actief zijn op uw netwerk.

Het gebruik van Nmap voor het uitvoeren van frequente netwerkaudits kan u helpen voorkomen dat u een gemakkelijke prooi wordt voor hackers, terwijl u ook uw kennis van uw eigen netwerk verbetert. Bovendien biedt Nmap functionaliteit die een aanvulling vormt op meer volledig uitgeruste gegevensbeveiligingsplatforms, zoals die van Varonis, en wanneer deze naast deze tools worden gebruikt, kan dit uw cyberbeveiliging drastisch verbeteren.

Arquidia Mantina