Förhindra nätverkshackning med portskannrar - dummies

En portscanner förhindrar hacks genom att visa dig vad som är vad som är på ditt nätverk genom att skanna nätverket för att se vad som lever och arbetar. Portskannrar ger grundläggande syn på hur nätverket är utlagt. De kan hjälpa till att identifiera obehöriga värdar eller program och konfigurationsfel för nätverksvärd som kan orsaka allvarliga säkerhetsproblem.

Tricket för att bedöma din övergripande nätverkssäkerhet tolkar resultaten du får från en portsökning. Du kan få falska positiva effekter på öppna hamnar, och du kan behöva gräva djupare. Skanningar av användardatagramprotokoll (UDP) är till exempel mindre tillförlitliga än skanningsprotokoll (TCP) -skanningar och ger ofta falska positiva resultat eftersom många applikationer inte vet hur man svarar på slumpmässiga inkommande UDP-förfrågningar.

En funktionrik scanner som QualysGuard kan ofta identifiera portar och se vad som körs i ett steg.

En viktig sak att komma ihåg är att du behöver skanna mer än bara de viktigaste värdarna. Utför samma tester med olika verktyg för att se om du får olika resultat. Om dina resultat inte matchar efter att du kör testen med hjälp av olika verktyg, kanske du vill utforska problemet ytterligare.

Om möjligt ska du skanna alla 65, 534 TCP-portar på varje nätverksvärd som din skanner finner. Om du hittar tvivelaktiga hamnar, leta efter dokumentation om att ansökan är känd och auktoriserad. Det är inte en dålig idé att skanna alla 65, 534 UDP-portar också.

Ping svepande

En ping sopa av alla dina nätverksnät och värdar är ett bra sätt att ta reda på vilka värdar som lever och sparkar på nätverket. En ping sopa är när du pingar en rad adresser med ICMP-paket (ICMP).

Dussintals Nmap-kommandoradsalternativ finns, vilket kan vara överväldigande när du bara vill ha en grundsökning. Ändå kan du ange nmap på kommandoraden för att se alla tillgängliga alternativ.

Följande kommandoradsalternativ kan användas för ett Nmap-pingsvep:

• -sP berättar för Nmap att utföra en pingskanning.

• -n berättar för Nmap att inte utföra namnupplösning.

• -T 4 berättar Nmap att utföra en aggressiv (snabbare) skanning.

• 192. 168. 1. 1-254 berättar för Nmap att skanna hela 192. 168. 1. x delnätet.

Använda portskannningsverktyg

De flesta portskannrar fungerar i tre steg:

1. Portskannern skickar TCP SYN-förfrågningar till värden eller intervallet för värdar du ställer in för att skanna.

   Några portskannrar utför pingfel för att bestämma vilka värdar som finns tillgängliga innan du startar TCP-portscannern.

2. Portskannern väntar på svar från de tillgängliga värdarna.

3. Portskannern sonderar dessa lediga värdar för upp till 65, 534 möjliga TCP- och UDP-portar - baserat på vilka portar du säger att den ska skanna - för att se vilka som har tillgängliga tjänster på dem.

Portskanningarna ger följande information om de levande värdarna i ditt nätverk:

• Verktyg som är aktiva och nåbara via nätverket

• Nätverksadresser till värdarna som hittades

• Tjänster eller program som värdena > kan vara körning När du har utfört ett generiskt svep av nätverket kan du gräva djupare in i specifika värdar du hittar.

Nmap

När du har en allmän uppfattning om vilka värdar som finns och vilka portar som är öppna kan du göra snyggare skanningar för att verifiera att portarna faktiskt är öppna och inte returnerar en falsk positiv. Nmap tillåter dig att köra följande ytterligare skanningar:

Anslut:

• Denna grundläggande TCP-skanning söker efter öppna TCP-portar på värden. Du kan använda den här skanningen för att se vad som körs och avgöra om intrångsskyddssystem (IPS), brandväggar eller andra loggningsenheter loggar anslutningarna. UDP-skanning:

• Denna grundläggande UDP-skanning söker efter alla öppna UDP-portar på värden. Du kan använda den här skanningen för att se vad som körs och avgöra om IPS, brandväggar eller andra loggningsenheter loggar anslutningarna. SYN Stealth:

• Denna skanning skapar en halv öppen TCP-anslutning med värden, eventuellt undviker IPS-system och loggning. Det här är en bra sökning för att testa IPS, brandväggar och andra loggningsenheter. FIN Stealth, Xmas Tree och Null:

• Med dessa skanningar kan du blanda saker genom att skicka snyggt utformade paket till dina nätverksvärdar så att du kan se hur de svarar. Dessa skanningar ändras runt flaggorna i TCP-rubrikerna för varje paket, vilket gör att du kan testa hur varje värd hanterar dem för att peka ut svaga TCP / IP-implementeringar samt patchar som kan behöva tillämpas. Du kan skapa din egen DoS-attack och eventuellt kraschapplikationer eller hela system. Tyvärr, om du har en värd med en svag TCP / IP-stack, finns det inget bra sätt att förhindra att din skanning skapar en DoS-attack. För att minska risken för detta, sakta Nmap-tidsalternativ när du kör dina skanningar.

Om du är en kommandoradfläkt ser du kommandoradsparametrarna som visas i nedre vänstra hörnet på skärmen NMapWin. Detta hjälper när du vet vad du vill göra och kommandoradshjälpen är inte tillräckligt.

NetScanTools Pro

NetScanTools Pro är ett mycket bra allt-i-ett-kommersiellt verktyg för att samla allmän nätverksinformation, till exempel antalet unika IP-adresser, NetBIOS-namn och MAC-adresser. Det har också en snygg funktion som gör att du kan fingeravtryck operativsystemen hos olika värdar.

Motåtgärder mot pingfiltning och portscanning

Aktivera endast den trafik som du behöver för att få tillgång till interna värdar - helst så långt som möjligt från de värdar du försöker skydda - och förneka allt annat. Detta gäller för standardportar, till exempel TCP 80 för HTTP och ICMP för ping-förfrågningar.

Konfigurera brandväggar för att leta efter potentiellt skadligt beteende över tiden och ha regler på plats för att avbryta attacker om ett visst tröskelvärde uppnåtts, t.ex. 10 portskanningar på en minut eller 100 på varandra följande ping (ICMP) -förfrågningar.

De flesta brandväggar och IPS-enheter kan upptäcka en sådan skanning och klippa av den i realtid.