Nmap è un popolare strumento di rilevamento della rete open source utilizzato per rilevare e controllare i dispositivi su una rete di computer. Può eseguire rapidamente la scansione di singoli host fino a grandi reti di computer, fornendo informazioni utili su ciascun host e il relativo software.
Intrusi nella rete... Aspetta, cosa?
Ogni giorno, prodotti IoT come smartwatch, fitness tracker, stampanti, fotocamere intelligenti e altro stanno diventando parte della nostra vita quotidiana. Molti di questi dispositivi sono sincronizzati con i nostri smartphone personali o di lavoro. Consapevolmente o meno, questi dispositivi potrebbero connettersi alla rete aziendale. Almeno la metà delle organizzazioni ha sperimentato questo solo nell'ultimo anno, secondo Infoblox.
Ma qual è il rischio? La maggior parte dei dispositivi IoT non dispone di sicurezza integrata e, in molti casi, non dispone di firmware e aggiornamenti di sicurezza. Questa mancanza di sicurezza è una miniera d'oro per i criminali informatici che tentano di violare la sicurezza della tua rete. Tuttavia, grazie alle funzionalità di rilevamento e controllo di Nmap, puoi scoprire e identificare rapidamente host o dispositivi non autorizzati sulla tua rete e il software in esecuzione. Esploriamo alcuni scenari.
[ Ai lettori è piaciuto anche: Eseguire una rapida scansione NMAP per fare l'inventario della mia rete ]
Scoperta generale della rete
Il solo sapere quali porte sono aperte non è sufficiente, poiché molte volte questi servizi potrebbero essere in ascolto su porte non standard. Vorrai anche sapere quale software e versione si trovano dietro la porta dal punto di vista della sicurezza. Grazie alle funzionalità di Service e Version Detection di Nmap, è possibile eseguire un inventario di rete completo e il rilevamento di host e dispositivi, controllando ogni singola porta per dispositivo o host e determinando quale software c'è dietro a ciascuna.
Nmap si connette e interroga ogni porta aperta, utilizzando sonde di rilevamento che il software potrebbe comprendere. In questo modo, Nmap può fornire una valutazione dettagliata di ciò che è là fuori piuttosto che semplici porte aperte senza senso.
Per utilizzare questa potente funzione, dovresti:
- Abilita Service e Version Detection utilizzando il parametro
-sV. - Aggiungi l'opzione
--allportsper scansionare ogni singola porta. Per impostazione predefinita, Nmap non controlla la porta 9100. Molte stampanti usano questa porta e, in alcuni rari casi, Nmap ne fa stampare. - Usa
-T4per un'esecuzione più rapida, poiché questa scoperta potrebbe richiedere molto tempo.
$ nmap -sV --allports -T4 10.1.0.0/24
Nmap scan report for 10.1.0.1
Host is up (0.0038s latency).
Not shown: 995 filtered ports
PORT STATE SERVICE VERSION
53/tcp open domain Unbound
80/tcp open http nginx
2022/tcp open ssh OpenSSH 7.5 (protocol 2.0)
5000/tcp open ssl/http-proxy HAProxy http proxy 1.3.1 or later
8443/tcp open ssl/http nginx
Service Info: Device: load balancer
Nmap scan report for 10.1.0.2
Host is up (0.82s latency).
Not shown: 992 closed ports
PORT STATE SERVICE VERSION
22/tcp open ssh OpenSSH 8.3p1 Debian 1 (protocol 2.0)
80/tcp open http nginx
111/tcp open rpcbind 2-4 (RPC #100000)
443/tcp open ssl/http nginx
2049/tcp open nfs 3-4 (RPC #100003)
3260/tcp open iscsi?
6000/tcp open http aiohttp 3.6.2 (Python 3.8)
8080/tcp open http Apache httpd 2.4.46 ((Debian) mpm-itk/2.4.7-04 OpenSSL/1.1.1g)
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel Dall'output sopra, Nmap ha trovato due host:10.1.0.1 e 10.1.0.2 .
Il primo host viene rilevato come un sistema di bilanciamento del carico, abbastanza vicino, poiché è il mio router che esegue pfSense. Ha anche notato diverse porte aperte e il software in ascolto su ciascuna. Ha rilevato correttamente il server DNS come Unbound; Nginx come server web dietro la porta 80 (prevista) e 8443 (una porta non standard); ha anche catturato la porta 2022 aperta, con OpenSSH 7.5 dietro; e nella porta 5000, Nmap ha rilevato HAProxy, con una versione almeno 1.3.1.
Il secondo host esegue Linux e ogni software è stato identificato correttamente, ad eccezione del server iSCSI dietro la porta 3260.
Cosa fai con queste informazioni? Salvarlo! Avrai bisogno di una linea di base da confrontare con la prossima scansione della rete per nuovi host e servizi. Controlla le vulnerabilità di sicurezza per ogni software rilevato. Assicurati di riconoscere ogni dispositivo!
Server DHCP non autorizzati
I server DHCP sono una componente fondamentale di ogni rete. In sostanza, dovrebbe esserci un solo server DHCP per rete, che fornisce tutte le informazioni necessarie per configurare correttamente la rete.
I server DHCP non autorizzati sono proprio come i normali server DHCP, ma non sono gestiti dal personale IT o di rete. Questi server canaglia di solito vengono visualizzati quando gli utenti connettono consapevolmente o inconsapevolmente un router alla rete. Un'altra possibilità è un dispositivo IoT compromesso come telefoni cellulari, stampanti, fotocamere, tablet, smartwatch o qualcosa di peggio, come un'applicazione o una risorsa IT compromessa.
I server DHCP non autorizzati sono frustranti, soprattutto se si sta tentando di distribuire una flotta di server utilizzando PXE, poiché PXE dipende fortemente da DHCP. Non solo, è un rischio per la sicurezza e puoi iniziare a riscontrare interruzioni della rete poiché il server DHCP canaglia può fornire impostazioni e percorsi di rete errati.
Per eseguire rilevamenti DHCP, Nmap include uno script chiamato broadcast-dhcp-discover . Questo script invierà una richiesta DHCP all'indirizzo di trasmissione utilizzando l'indirizzo MAC di DE:AD:CO:DE:CA:FE e riporta i risultati.
Nell'esempio seguente, lo script broadcast-dhcp-discover viene eseguito sull'interfaccia bond0 e scopre un server DHCP canaglia:
$ sudo nmap --script broadcast-dhcp-discover -e bond0
Starting Nmap 7.70 ( https://nmap.org ) at 2020-10-28 19:24 CDT
Pre-scan script results:
| dhcp:
| Response 1 of 2:
| Interface: bond0
| IP Offered: 10.1.0.78
| DHCP Message Type: DHCPOFFER
| Server Identifier: 10.1.0.1
| IP Address Lease Time: 5m00s
| Subnet Mask: 255.255.255.0
| Router: 10.1.0.1
| Domain Name Server: 10.1.0.1
| Domain Name: lab.opencloud.io
| Response 2 of 2:
| Interface: bond0
| IP Offered: 10.1.0.27
| DHCP Message Type: DHCPOFFER
| Server Identifier: 10.1.0.3
| IP Address Lease Time: 2m00s
| Renewal Time Value: 1m00s
| Rebinding Time Value: 1m45s
| Subnet Mask: 255.255.255.0
| Broadcast Address: 10.1.0.255
| Router: 10.1.0.3
|_ Domain Name Server: 10.1.0.3
WARNING: No targets were specified, so 0 hosts scanned.
Nmap done: 0 IP addresses (0 hosts up) scanned in 10.31 seconds Dall'output sopra, puoi vedere due risposte diverse corrispondenti a una risposta da ciascun server DHCP nella rete.
Il campo più importante da tenere d'occhio è Server Identifier , poiché questo ti mostrerà l'IP del server DHCP, incluso quello potenziale canaglia.
Cosa fai con queste informazioni? Le politiche di sicurezza di ogni organizzazione sono diverse. Tuttavia, nella maggior parte dei casi, qualsiasi DHCP non autorizzato dovrebbe essere interrotto e rimosso dalla rete.
Dispositivi UPnP
UPnP, noto anche come Universal Plug and Play, è un insieme di protocolli multipli per consentire a qualsiasi applicazione di inoltrare una porta sul router, risparmiando molto tempo in quella che sarebbe una configurazione di port forwarding manuale.
Tuttavia, UPnP è pericoloso e, se possibile, dovrebbe essere disabilitato su una rete. Immagina di avere un dispositivo canaglia sulla rete che esegue applicazioni dannose. Queste applicazioni potrebbero facilmente utilizzare UPnP per inoltrare la porta al mondo esterno e utilizzarla per scopi dannosi.
UPnP è stato sfruttato molte volte. Due dei casi più importanti sono Mirai , che prendono di mira telecamere IP e router domestici e Pinkslipbot , che utilizza macchine infette come proxy basati su HTTPS per i server di controllo effettivi.
Sfortunatamente, molti dispositivi domestici utilizzano UPnP al giorno d'oggi, comprese le console per videogiochi o i dispositivi di streaming come Google Chromecast.
Per eseguire la scansione della rete 10.1.0.0/24 e rilevare i dispositivi utilizzando UPnP, è necessario eseguire il comando seguente per eseguire il plug-in broadcast-upnp-info . Usa -T4 per velocizzare la scoperta:
% nmap -sV --script=broadcast-upnp-info -T4 10.1.0.0/24
Starting Nmap 7.91 ( https://nmap.org ) at 2020-11-02 18:59 CST
Pre-scan script results:
| broadcast-upnp-info:
| 239.255.255.250
| Server: Linux/2.6.12, UPnP/1.0, NETGEAR-UPNP/1.0
| Location: http://192.168.1.204:80/Public_UPNP_gatedesc.xml
| Manufacturer: NETGEAR, Inc.
| Name: WAN Device
| Manufacturer: NETGEAR, Inc.
| Name: WAN Connection Device
| Manufacturer: NETGEAR, Inc. Lo script Nmap ha rilevato un solo dispositivo che utilizza UPnP, fornendo le informazioni necessarie come il produttore, il sistema operativo e la versione del software.
Cosa fai con queste informazioni? Se non hai bisogno di UPnP, è meglio disabilitarlo. Se ciò non è possibile, assicurati di riconoscere il dispositivo e che sia aggiornato all'ultima versione del firmware.
[ Vuoi saperne di più sulla sicurezza? Consulta la checklist di sicurezza e conformità IT. ]
Conclusione
In questo articolo, abbiamo esplorato come utilizzare Nmap per trovare potenziali dispositivi canaglia nelle nostre reti. Con l'avvento e la crescente popolarità dei dispositivi IoT (molti privi di meccanismi di sicurezza), è fondamentale ora più che mai tenere traccia di tutti i dispositivi connessi alla rete. Nmap è uno strumento utile da utilizzare in questi casi e altro ancora.