Cand vine vorba de securitate e bine sa fim cu un pas in fata atacatorilor si un bun punct de pornire ar fi scanarea periodica a propriilor servere pentru a vedea ce informatii poate afla un eventual atacator. Serviciile care ruleaza pe server pot fi identificate dupa portul pe care se asculta conexiunea si dupa semnatura serviciului la care se conecteaza scanerul. Cea mai buna ustensila pentru scanarea porturilor este “nmap“. Este o ustensila prea complexa ca sa imi permit sa o prezint in detaliu asa ca voi fi scurt si prezint doar cateva comenzi care e bine sa devina si pentru voi o rutina saptamanala.
[root@localhost ~]# nmap -v 127.0.0.1
Cu comanda de mai sus scanam sistemul local si vedem ce porturi sunt deschise. Daca dorim sa facem scanarea pe un alt sistem inlocuim “127.0.0.1” cu adresa IP a sistemului caruia ii facem auditul. Porturile verificate sunt cele standard pentru o scanare rapida.
[root@localhost ~]# nmap -v -sV 127.0.0.1
Cand ii dam comenzii “nmap” parametrul “-sV” va incerca sa identifice serviciul care asculta conexiuni pe fiecare port deschis si, in majoritatea cazurilor, versiunea majora a aplicatiei.
[root@localhost ~]# nmap -v 192.168.0.*
Daca avem de administrat o retea mai mare, cu comanda asta putem scana toate porturile sistemelor din retea. Cu asterisk mascam adresa hostului pentru ca nmap sa scaneze intreaga retea.
[root@localhost ~]# nmap 192.168.0.1-150 -p80 --open
Daca ne intereseaza, de exemplu, cate sisteme dintr-o retea ruleaza un server web putem lansa comanda de mai sus pentru a scana pe un anumit range de adrese IP sistemele care au portul 80 deschis.
[root@localhost ~]# nmap -v -sP 192.168.0.*
Tot in cazul retelelor, comanda de mai sus va initia un “ping scan“. Practic va trimite cate un semnal ICMP de tip 8 (echo request) fiecarui sistem care corespunde mastii impuse – adica fiecarui sistem al carui adresa IP incepe cu 192.168.0. Cand scanarea e finalizata va afisa toate hosturile care au raspuns la cerere. Bineinteles, faptul ca un sistem nu raspunde nu inseamna ca sistemul respectiv e oprit. Poate fi doar un filtru care blocheaza unele pachete de tip ICMP.
[root@localhost ~]# nmap -O 127.0.0.1
Folosind parametrul “-O” (litera O), nmap va incerca sa afle sistemul de operare care ruleaza pe sistemul cu IP-ul specificat. De obicei vom primi un raspuns generic care ne va spune numele sistemului de operare sau versiunea kernelului fara prea multe informatii suplimentare (ex. patch level), dar e suficient daca ne intereseaza o statistica a sistemelor de operare folosite in retea.
[root@localhost ~]# nmap -v -sF 127.0.0.1
Folosind comanda de mai sus vom initia un “stealth scan“, adica o scanare a sistemului care in mod normal nu poate fi detectata de IDS sau firewall. Parametrul “-sF” initiaza o scanare de tip “FIN Scan” care e doar una din cele trei metode “stealth scan” care le cunoaste nmap. Celelalte doua sunt “Xmas Tree Scan” (parametrul -sX), si “Null Scan” (parametrul -sN). Cele trei metode sunt utile in mod deosebit cand construim un IDS sau un firewall nou si incercam sa ne dam seama cum se descurca sistemul in cazul unui atac.
