Mwongozo wa Vitendo kwa Nmap (Kichunguzi cha Usalama wa Mtandao) katika Kali Linux


Katika makala ya pili ya Kali Linux, zana ya mtandao inayojulikana kama 'zana za ramani za mitandao muhimu huko Kali.

  1. Mwongozo wa Usakinishaji wa Kali Linux kwa Wanaoanza - Sehemu ya 1

Nmap, kifupi cha Network Mapper, inadumishwa na Gordon Lyon (zaidi kuhusu Bw. Lyon hapa: http://insecure.org/fyodor/) na inatumiwa na wataalamu wengi wa usalama duniani kote.

Huduma hufanya kazi katika Linux na Windows na ni safu ya amri (CLI) inayoendeshwa. Walakini, kwa wale timider kidogo ya safu ya amri, kuna mandhari nzuri ya picha ya nmap inayoitwa zenmap.

Inapendekezwa sana kwamba watu binafsi wajifunze toleo la CLI la nmap kwani linatoa unyumbulifu zaidi ikilinganishwa na toleo la picha la zenmap.

Je, nmap hutumikia kusudi gani? Swali kubwa. Nmap huruhusu msimamizi kujifunza kwa haraka na kwa kina kuhusu mifumo kwenye mtandao, kwa hivyo jina, Mtandao wa MMAP au nmap.

Nmap ina uwezo wa kupata kwa haraka waandaji wa moja kwa moja pamoja na huduma zinazohusiana na mwenyeji huyo. Utendaji wa Nmap unaweza kupanuliwa hata zaidi kwa Injini ya Kuandika ya Nmap, ambayo mara nyingi hufupishwa kama NSE.

Injini hii ya uandishi huruhusu wasimamizi kuunda hati inayoweza kutumika kubainisha kama athari mpya iliyogunduliwa ipo kwenye mtandao wao. Hati nyingi zimetengenezwa na kujumuishwa pamoja na usakinishaji mwingi wa nmap.

Tahadhari - nmap hutumiwa kwa kawaida na watu wenye nia nzuri na mbaya. Tahadhari kubwa inapaswa kuchukuliwa ili kuhakikisha kuwa hutumii nmap dhidi ya mifumo ambayo ruhusa haijatolewa kwa uwazi katika makubaliano ya maandishi/ya kisheria. Tafadhali tumia tahadhari unapotumia zana ya nmap.

  1. Kali Linux (nmap inapatikana katika mifumo mingine ya uendeshaji na utendakazi sawa na mwongozo huu).
  2. Kompyuta nyingine na ruhusa ya kuchanganua kompyuta hiyo kwa nmap - Hii mara nyingi hufanywa kwa urahisi na programu kama vile VirtualBox na kuunda mashine pepe.
    1. Kwa mashine nzuri ya kufanya nayo mazoezi, tafadhali soma kuhusu Metasploitable 2
    2. Pakua kwa MS2 Metasploitable2

    Kali Linux - Kufanya kazi na Nmap

    Hatua ya kwanza ya kufanya kazi na nmap ni kuingia kwenye mashine ya Kali Linux na ikihitajika, anza kipindi cha picha (Nakala hii ya kwanza katika mfululizo huu imesakinisha Kali Linux na Mazingira ya Eneo-kazi la XFCE).

    Wakati wa usakinishaji, kisakinishi kingemwuliza mtumiaji kupata neno la siri la mtumiaji 'mzizi' ambalo litahitajika kuingia. Mara tu unapoingia kwenye mashine ya Kali Linux, kwa kutumia amri 'startx' Mazingira ya Eneo-kazi la XFCE yanaweza kuanzishwa - ni. inafaa kuzingatia kuwa nmap hauitaji mazingira ya eneo-kazi kufanya kazi.

    # startx
    

    Mara tu umeingia kwenye XFCE, dirisha la terminal litahitaji kufunguliwa. Kwa kubofya kwenye mandharinyuma ya eneo-kazi, menyu itaonekana. Kuelekeza kwenye terminal kunaweza kufanywa kama ifuatavyo: Maombi -> Mfumo -> 'Xterm' au 'UXterm' au 'Kitisho cha Mizizi'.

    Mwandishi ni shabiki wa programu ya ganda inayoitwa 'Terminator' lakini hii inaweza isionekane katika usakinishaji chaguo-msingi wa Kali Linux. Programu zote za shell zilizoorodheshwa zitafanya kazi kwa madhumuni ya nmap.

    Mara tu terminal imezinduliwa, furaha ya nmap inaweza kuanza. Kwa mafunzo haya mahususi, mtandao wa kibinafsi na mashine ya Kali na mashine ya Metasploitable iliundwa.

    Hili lilifanya mambo kuwa rahisi na salama kwa kuwa masafa ya mtandao wa kibinafsi yangehakikisha kuwa uchanganuzi unasalia kwenye mashine salama na kuzuia mashine inayoweza kuathiriwa na Metasploitable kutokana na kuathiriwa na mtu mwingine.

    Katika mfano huu, mashine zote mbili ziko kwenye mtandao wa kibinafsi wa 192.168.56.0/24. Mashine ya Kali ina anwani ya IP ya 192.168.56.101 na mashine ya Metasploitable ya kuchanganuliwa ina anwani ya IP ya 192.168.56.102.

    Wacha tuseme ingawa habari ya anwani ya IP haikupatikana. Uchanganuzi wa haraka wa nmap unaweza kusaidia kubainisha ni nini kinapatikana moja kwa moja kwenye mtandao fulani. Uchanganuzi huu unajulikana kama uchanganuzi wa 'Orodha Rahisi' hivyo basi hoja za -sL hupitishwa kwa amri ya nmap.

    # nmap -sL 192.168.56.0/24
    

    Cha kusikitisha ni kwamba uhakiki huu wa awali haukuwarejesha wapangishi wowote wa moja kwa moja. Wakati mwingine hii ni sababu ya jinsi Mifumo fulani ya Uendeshaji hushughulikia trafiki ya mtandao ya skanisho la bandari.

    Sio kuwa na wasiwasi ingawa, kuna hila ambazo nmap inapatikana ili kujaribu kupata mashine hizi. Ujanja huu unaofuata utaambia nmap kujaribu tu kuweka anwani zote kwenye mtandao wa 192.168.56.0/24.

    # nmap -sn 192.168.56.0/24
    

    Wakati huu nmap inarejesha baadhi ya wapangishi watarajiwa kwa utambazaji! Katika amri hii, -sn huzima tabia-msingi ya nmap ya kujaribu kuchanganua seva pangishi na ina nmap kujaribu kubashiria seva pangishi.

    Hebu tujaribu kuruhusu bandari ya nmap kuchanganua seva pangishi hizi mahususi na tuone kitakachotokea.

    # nmap 192.168.56.1,100-102
    

    Lo! Wakati huu nmap iligonga mgodi wa dhahabu. Mpangishi huyu ana bandari nyingi za mtandao zilizo wazi.

    Lango hizi zote zinaonyesha aina fulani ya huduma ya kusikiliza kwenye mashine hii. Ikikumbuka kutoka hapo awali, anwani ya 192.168.56.102 ya IP imetolewa kwa mashine ya hatari ya kuambukizwa kwa nini kuna bandari nyingi wazi kwenye mwenyeji huyu.

    Kufungua bandari nyingi kwenye mashine nyingi ni jambo lisilo la kawaida kwa hivyo linaweza kuwa jambo la busara kuchunguza mashine hii kwa karibu zaidi. Wasimamizi wangeweza kufuatilia mashine halisi kwenye mtandao na kuangalia mashine ndani ya nchi lakini hiyo haitakuwa ya kufurahisha sana hasa wakati nmap inaweza kutufanyia haraka zaidi!

    Uchanganuzi huu unaofuata ni uchanganuzi wa huduma na mara nyingi hutumiwa kujaribu kubainisha ni huduma gani inaweza kuwa inasikiza kwenye mlango fulani kwenye mashine.

    Nmap itachunguza bandari zote zilizo wazi na kujaribu kunyakua taarifa kutoka kwa huduma zinazoendeshwa kwenye kila bandari.

    # nmap -sV 192.168.56.102
    

    Tambua wakati huu nmap ilitoa maoni kadhaa juu ya kile nmap ilifikiria inaweza kuwa inaendelea kwenye bandari hii (iliyoangaziwa kwenye kisanduku cheupe). Pia, nmap pia ilijaribu kubainisha taarifa kuhusu mfumo wa uendeshaji unaoendeshwa kwenye mashine hii pamoja na jina la mwenyeji wake (pamoja na mafanikio makubwa pia!).

    Kutafuta matokeo haya kunapaswa kuongeza wasiwasi mwingi kwa msimamizi wa mtandao. Mstari wa kwanza kabisa unadai kuwa toleo la VSftpd 2.3.4 linatumia mashine hii! Hilo ni toleo la zamani la VSftpd.

    Kutafuta kupitia ExploitDB, hatari kubwa ilipatikana mnamo 2011 kwa toleo hili mahususi (Kitambulisho cha ExploitDB - 17491).

    Wacha tufanye nmap tuangalie kwa karibu bandari hii na tuone ni nini kinaweza kuamuliwa.

    # nmap -sC 192.168.56.102 -p 21
    

    Kwa amri hii, nmap iliagizwa kuendesha hati yake chaguo-msingi (-sC) kwenye mlango wa FTP (-p 21) kwenye seva pangishi. Ingawa inaweza kuwa suala au isiwe, nmap iligundua kuwa kuingia kwa FTP bila jina kunaruhusiwa kwenye seva hii.

    Hii iliyooanishwa na ufahamu wa mapema juu ya VSftd kuwa na mazingira magumu ya zamani inapaswa kuongeza wasiwasi ingawa. Wacha tuone ikiwa nmap ina hati zozote zinazojaribu kuangalia uwezekano wa VSftpd.

    # locate .nse | grep ftp
    

    Tambua kuwa nmap ina hati ya NSE ambayo tayari imejengwa kwa ajili ya tatizo la mlango wa nyuma wa VSftpd! Hebu tujaribu kuendesha hati hii dhidi ya mwenyeji huyu na tuone kitakachotokea lakini kwanza inaweza kuwa muhimu kujua jinsi ya kutumia hati.

    # nmap --script-help=ftp-vsftd-backdoor.nse
    

    Ukisoma maelezo haya, ni wazi kuwa hati hii inaweza kutumika kujaribu kuona ikiwa mashine hii inaweza kuathiriwa na suala la ExploitDB lililotambuliwa hapo awali.

    Wacha tuendeshe hati na tuone kinachotokea.

    # nmap --script=ftp-vsftpd-backdoor.nse 192.168.56.102 -p 21
    

    Lo! Hati ya Nmap ilirudisha habari hatari. Mashine hii inaweza kuwa mgombea mzuri kwa uchunguzi wa kina. Hii haimaanishi kuwa mashine imeathirika na inatumiwa kwa mambo ya kutisha/ya kutisha lakini inapaswa kuleta wasiwasi fulani kwa mtandao/timu za usalama.

    Nmap ina uwezo wa kuchagua sana na utulivu sana. Mengi ya yale ambayo yamefanywa kufikia sasa yamejaribu kuweka trafiki ya mtandao wa nmap kwa utulivu kiasi hata hivyo kuchanganua mtandao unaomilikiwa na mtu binafsi kwa mtindo huu kunaweza kuchukua muda mwingi.

    Nmap ina uwezo wa kufanya uchanganuzi mkali zaidi ambao mara nyingi utatoa habari nyingi sawa lakini kwa amri moja badala ya kadhaa. Hebu tuangalie matokeo ya skanning ya fujo (Do kumbuka - skanisho kali inaweza kuzima mifumo ya kugundua/kuzuia uvamizi!).

    # nmap -A 192.168.56.102
    

    Kumbuka wakati huu, kwa amri moja, nmap imerudisha habari nyingi iliyorejesha mapema kuhusu bandari zilizo wazi, huduma, na usanidi unaoendeshwa kwenye mashine hii. Mengi ya maelezo haya yanaweza kutumika kusaidia kubainisha jinsi ya kulinda mashine hii na pia kutathmini programu inaweza kuwa kwenye mtandao.

    Hii ilikuwa ni orodha fupi, fupi ya vitu vingi muhimu ambavyo nmap inaweza kutumika kupata kwenye seva pangishi au sehemu ya mtandao. Inasisitizwa sana kwamba watu binafsi waendelee kufanya majaribio ya nmap kwa njia iliyodhibitiwa kwenye mtandao unaomilikiwa na mtu binafsi (Usifanye mazoezi kwa kuchanganua vyombo vingine!).

    Kuna mwongozo rasmi wa Kuchanganua Mtandao wa Nmap na mwandishi Gordon Lyon, unaopatikana kutoka Amazon.

    Tafadhali jisikie huru kutuma maoni au maswali (au hata vidokezo/ushauri zaidi kuhusu skanisho za nmap)!