Forhindrer nettverkshacking med portskannere - dummies

En portskanner forhindrer hack ved å vise deg hva som skjer i nettverket ditt ved å skanne nettverket for å se hva som lever og jobber. Portskannere gir grunnleggende syn på hvordan nettverket er lagt ut. De kan hjelpe til med å identifisere uautoriserte verter eller applikasjoner og nettverksverts konfigurasjonsfeil som kan forårsake alvorlige sikkerhetsproblemer.

Trikset for å vurdere din totale nettverkssikkerhet tolker resultatene du får fra en portskanning. Du kan få falske positive på åpne porter, og du må kanskje grave dypere. Skannere for brukerdatagramprotokoller (UDP) er for eksempel mindre pålitelige enn skanning for overføringskontrollprotokoll (TCP) og gir ofte falske positiver fordi mange programmer ikke vet hvordan de skal reagere på tilfeldige innkommende UDP-forespørsler.

En funksjonsrik skanner som QualysGuard kan ofte identifisere porter og se hva som kjører i ett trinn.

En viktig ting å huske er at du må skanne mer enn bare de viktige vertene. Utfør også de samme tester med forskjellige verktøy for å se om du får forskjellige resultater. Hvis resultatene dine ikke samsvarer etter at du har testet testene ved hjelp av forskjellige verktøy, kan du kanskje utforske problemet videre.

Hvis det er mulig, bør du skanne alle 65, 534 TCP-porter på hver nettverksverten som skanneren din finner. Hvis du finner tvilsomme porter, se etter dokumentasjon om at søknaden er kjent og autorisert. Det er ikke en dårlig ide å skanne alle 65, 534 UDP-porter også.

Ping feiing

En ping fei av alle nettverksnettene og verter er en god måte å finne ut hvilke verter som lever og sparker på nettverket. En ping fei er når du pinger en rekke adresser ved hjelp av ICMP-pakker (Internet Control Message Protocol).

Tusenvis av Nmap kommandolinjealternativer finnes, som kan være overveldende når du bare vil ha en grunnleggende skanning. Ikke desto mindre kan du legge inn nmap på kommandolinjen for å se alle tilgjengelige alternativer.

Følgende kommandolinjealternativer kan brukes til et Nmap-pingsvep:

-sP forteller Nmap å utføre en ping-skanning.
-n forteller Nmap å ikke utføre navneoppløsning.
-T 4 forteller Nmap å utføre en aggressiv (raskere) skanning.
192. 168. 1. 1-254 forteller Nmap å skanne hele 192. 168. 1. x subnet.

Bruke portskanningsverktøy

De fleste portskannere opererer i tre trinn:

Portskanneren sender TCP SYN-forespørsler til verten eller spekteret av verter du bestemmer for å skanne.

Noen portskannere utfører ping feier for å avgjøre hvilke verter som er tilgjengelige før du starter TCP port skanninger.
Portskanneren venter på svar fra de tilgjengelige vertene.
Portscanneren probes disse tilgjengelige vertene for opptil 65, 534 mulige TCP- og UDP-porter - basert på hvilke porter du forteller det å skanne - for å se hvilke som har tilgjengelige tjenester på dem.

Portsøkene gir følgende informasjon om de levende vertene på nettverket ditt:

Verter som er aktive og tilgjengelige via nettverket
Nettverksadresser til vertsene som er funnet
Tjenester eller applikasjoner som vertene > kan være kjører Etter å ha utført et generisk feie av nettverket, kan du grave dypere inn i bestemte verter du finner.

Nmap

Når du har en generell ide om hvilke verter som er tilgjengelige og hvilke porter som er åpne, kan du utføre mer avanserte skanninger for å kontrollere at portene faktisk er åpne og ikke returnerer en falsk positiv. Nmap lar deg kjøre følgende ekstra skanninger:

Koble:

Denne grunnleggende TCP-skanningen ser etter eventuelle åpne TCP-porter på verten. Du kan bruke denne skanningen for å se hva som kjører, og avgjøre om inngangssystemer (IPS), brannmurer eller andre loggingsenheter logger sammen forbindelsene. UDP-skanning:
Denne grunnleggende UDP-skanningen ser etter eventuelle åpne UDP-porter på verten. Du kan bruke denne skanningen for å se hva som kjører, og avgjøre om IPS, brannmurer eller andre loggingsenheter logger tilkoblingene. SYN Stealth:
Denne skanningen skaper en halv åpen TCP-forbindelse med verten, muligens unngår IPS-systemer og logging. Dette er en god skanning for testing av IPS, brannmurer og andre loggingsenheter. FIN Stealth, Xmas Tree og Null:
Disse skanningen lar deg blande opp ting ved å sende merkelige formaterte pakker til nettverksverten din, slik at du kan se hvordan de svarer. Disse skanninger endrer seg rundt flaggene i TCP-overskriftene i hver pakke, som lar deg teste hvordan hver vert håndterer dem for å påpeke svake TCP / IP-implementeringer, samt patcher som kanskje må brukes. Du kan lage ditt eget DoS-angrep og potensielt krasjapplikasjoner eller hele systemet. Dessverre, hvis du har en vert med en svak TCP / IP-stakk, er det ikke en god måte å hindre at skanningen skaper et DoS-angrep. For å redusere sjansen for dette, sakte Nmap-tidsalternativer når du kjører skanningen.

Hvis du er en kommandolinjevifte, ser du kommandolinjeparametrene som vises nederst til venstre på NMapWin-skjermen. Dette hjelper når du vet hva du vil gjøre, og kommandolinjens hjelp er ikke nok.

NetScanTools Pro

NetScanTools Pro er et veldig godt alt-i-ett-kommersielt verktøy for å samle generell nettverksinformasjon, for eksempel antall unike IP-adresser, NetBIOS-navn og MAC-adresser. Det har også en pen funksjon som lar deg fingeravtrykk operativsystemene til ulike verter.

Tiltak mot ping feilsøking og portskanning

Aktiver kun trafikken du trenger for å få tilgang til interne verter - helst så langt som mulig fra vertsene du prøver å beskytte - og nekte alt annet. Dette gjelder for standard porter, for eksempel TCP 80 for HTTP og ICMP for ping-forespørsler.

Konfigurer brannmurer for å se etter potensielt ondsinnet oppførsel over tid og ha regler for å kutte av angrep hvis en bestemt grense er nådd, for eksempel 10 portskanninger på ett minutt eller 100 påfølgende ping (ICMP) forespørsler.

De fleste brannmurer og IPSer kan oppdage slik skanning og kutte av den i sanntid.