Wir nutzen Technologien, um unsere Kunden glücklich zu machen. Und uns selbst.

LoB Operations BrownbagNetze scannen und verstehen: NmapFunktionsweise, Anwendung, Hintergründe

vorgestellt am 03.02.2012 via Hangout aus München

Nils Magnus

inovex GmbH

Senior System Engineer

Agenda

Nmap kennen und nutzen viele:● schnell herausfinden, ob ein Server Ports anbietet$ nmap IP-Adresse

Starting Nmap 4.11 ( http://www.insecure.org/nmap/ ) at 2012-02-02 23:19 CET

Interesting ports on jpbiapp01-1.jura.ssic.park (372.520.40.9):

Not shown: 1670 closed ports

PORT STATE SERVICE

22/tcp open ssh

Nmap finished: 1 IP address (1 host up) scanned in 0.142 seconds

● Das Werkzeug ist jedoch noch wesentlich mächtiger ● Kennt gefühlte 120 Optionen

● Strukturierter Zugang zu Optionen und Wirkungsweisen● Automatischer Einsatz in Skripten ● Grenzen und ergänzende Tools

… wieso Nmap so viel mehr kann, als Ports erkennen

28.03.12 2

… wieso Nmap so viel mehr kann, als Ports erkennen

28.03.12

Prinzipielle Wirkungsweise

Einfache Aufrufmuster:

ScannerFire-wall

Router

Ziel

Ziel

Ziel

Ziel

Ziel

Dienste

MACOS

UDP-Port

RPC

Was?Wen?

Wie?

Output

Input

„Ethical Hacking“

… was bedeutet Portscannen? Mehr als Ports scannen!

TCP-Port

28.03.12

Nützliche Optionen… generelle Einstellungen, die fast immer helfen

● Verbosität an: -vDann kann man sehen, was passiert

● Numerische Ausgaben: -nDNS kann je nach Ziel nicht verfügbar oder langsam sein

● Einschränken auf Ports: -p

Default sind 1000 bekannte Ports, alle: -p-

● Diverse Ausgabeformate: -oA Dateiname

Textformat, Greppable, XML, …

● Ping-Methode: -PNscannt auch, wenn ICMP gefiltert ist

nmap -n -v -P0 -A -p- 1.2.3.4 -oA tcp01

28.03.12

Ablauf

Nmap führt normalerweise folgende Schritte der Reihe nach durch:

1. Lesen und Verarbeiten der Eingabe

2. Bei Bedarf DNS auflösen

3. Prüfen, ob und welche Hosts überhaupt

antworten („Ping“)

4. Klassischer Portscan je nach Methode

5. Zusätzliche Scans wie Banner oder

Betriebssystem

6. Skript-Scans

7. Ausgaben, auf Wunsch in Dateien

… was geht ab?

28.03.12

Scan-Arten… und wie sie funktionieren

• Mit der Option -sM legt Anwender fest, wie er scannt

• TCP-Scan: -sTNutzt normale TCP-Systemfunktion socket(), …

Problem: Dauert lange (3-Way-Handshake), ist teuer

• Stealth-Scan: -sSSchickt nur SYN und droppt dann die Verbindung

Sparsamer Paketversand, Defaulteinstellung

• UDP-Scan: -sUTrickreich, denn UDP lässt sich nicht gut scannen

• Diverse Sondermodi: -sX, -sF, -sN

Setzt ungewöhnliche Flags, überlistet alte Firewalls

28.03.12

Ein- und Ausgabe… Scanziele angeben und Ergebnisse speichern

• Vielfältige Varianten möglich, um Ziele zu spezifizieren:

192.168.100.129

192.168.100/25

192.168.*.254

192.168.100.200-210

inovex.de

-i Datei ← Mit Adressen oder Netzen oder …

• Ausgabeformate

Alle: -oA, XML zum Weiterverarbeiten: -oX

Greppable für schnelles Filtern: -oG, sKr1pdk1DDiEs: -oS

Bitte keinen Output parsen!

28.03.12

Der gläserne Host… mehr als nur Ports herausfinden

• Nmap hat viele Zusatzfunktionen eingebaut

• Betriebssystem aufgrund von Eigenheiten des TCP-Stack herausfinden: -O

• RPC-Scans via Portmapper für NFS & Co.: -sR• Versionen durch Banner: -sV• Programmierbare Erweiterungen durch LUA-Skripte: -sC

• Viele, komplizierte Timing-Optionen

• Gute Voreinstellung für fast alle Fälle: -A

28.03.12

Wo hörts auf?… was Nmap nicht kann (oder will)

• Vermisst nicht automatisch Firewalls,kein Traffic-Generator

• Ist kein Paketsniffer,

der ist aber eine gute Ergänzung: Wireshark/tshark/libpcap

• Findet nichts Spezifisches über WLAN herausAircrack etc. pp.

• Ist kein Exploit-Framework

dafür gibt’s Metasploit

• Ganz große Netze, Performanceoptimierung, AppliancesSpezialwerkzeuge

Wir nutzen Technologien, um unsere Kunden glücklich zu machen. Und uns selbst.

inovex GmbH

PforzheimKarlsruher Straße 71D-75179 Pforzheim

MünchenValentin-Linhof-Str. 2D-81829 München

KölnKaiser-Wilhelm-Ring 27-29D-50672 Köln

Vielen Dank für Ihre Aufmerksamkeit!