Administrador de Linux: Política de exploración de puertos empresariales

Política de exploración de puertos empresariales

1. Propósito de la exploración de puertos
Para un sistema informático ubicado en una red, un puerto es un potencial El canal de comunicación, que es un canal de intrusión. El escaneo de puertos de la computadora de destino proporciona mucha información útil para descubrir vulnerabilidades de seguridad del sistema. Permite a los usuarios del sistema comprender qué servicios proporciona actualmente el sistema al mundo exterior, proporcionando así un medio de referencia para que los usuarios del sistema administren la red.

Técnicamente, el escaneo de puertos envía paquetes de sondeo al puerto de servicio TCP /UDP del host de destino y registra la respuesta del host de destino. Al analizar la respuesta para determinar si el puerto de servicio está abierto o cerrado, puede conocer el servicio o la información proporcionada por el puerto.

El escaneo de puertos también puede monitorear el funcionamiento del host local capturando los paquetes IP entrantes y salientes del host o servidor local, no solo puede analizar los datos recibidos, sino también ayudar a los usuarios a descubrir algunos de los hosts de destino. Las debilidades inherentes no proporcionan pasos detallados en un sistema. En general, el propósito del escaneo de puertos suele ser uno o más de los siguientes:

(1) Descubra puertos abiertos: descubra puertos TCP o UDP abiertos en el sistema de destino;

(2 Comprenda la información del sistema operativo del host: el escaneo del puerto puede usar la "huella digital" del sistema operativo para adivinar la versión del sistema operativo escaneado o la versión de la aplicación;

(3) entender el software o la versión de servicio: software o La versión del servicio se puede identificar mediante la adquisición de bandera o la huella digital de la aplicación.

(4) Descubra versiones de software vulnerables: identifique defectos de software y servicios para ayudar a lanzar ataques contra vulnerabilidades .

El escaneo de puertos consiste principalmente en un escáner clásico (totalmente conectado) y el llamado escáner SYN (semi-unido). Además, hay exploraciones indirectas y exploraciones secretas. El método de escaneo TCP establece una conexión TCP estándar con el host escaneado, por lo que este método es el más preciso, rara vez falla e informa falsamente, pero el host objetivo lo detecta y registra fácilmente. El modo SYN consiste en establecer una conexión semiabierta con el host de destino, de modo que no sea fácil que el host de destino lo registre, pero es posible que el resultado del análisis no se haya informado correctamente, y el informe falso negativo es grave en el caso de condiciones de red deficientes.

2. Instale rápidamente nmap para escaneo de puertos empresariales. nmap es un programa de escaneo de detección y seguridad de red que los administradores de sistemas e individuos pueden usar para escanear redes grandes y obtener ese host. Información como correr y qué servicios se proporcionan. Nmap es compatible con muchas tecnologías de escaneo, como UDP, TCP connect (), TCP SYN (medio escaneo abierto), proxy ftp (ataque de rebote), indicador inverso, ICMP, FIN, escaneo ACK, árbol de Navidad, escaneo SYN y Escaneo nulo

nmap también ofrece funciones avanzadas como: detección de tipos de sistemas operativos a través de las características de la pila TCP /IP, escaneo secreto, retardo dinámico y cálculos de retransmisión, escaneo paralelo y detección mediante escaneo de ping paralelo. Host, escaneo de señuelos, evite la detección de filtrado de puertos, escaneo RPC directo (no se requiere mapeo de puertos), escaneo de fragmentos y configuración flexible de puertos y destinos.

Para mejorar el rendimiento de nmap en un estado no root, los diseñadores de software han puesto mucho esfuerzo en ello. Desafortunadamente, algunas interfaces del kernel (como sockets sin procesar) deben usarse en el estado raíz. Así que debes usar nmap en la raíz tanto como sea posible.

las ejecuciones de nmap generalmente obtienen una lista de puertos de host escaneados. Nmap siempre proporciona el nombre del servicio (si es posible), el número de puerto, el estado y el protocolo del puerto conocido. El estado de cada puerto es: abierto, filtrado, sin filtrar.

El estado abierto significa que el host de destino puede aceptar conexiones en este puerto mediante la llamada al sistema accept ();

El estado filtrado indica que los firewalls, el filtrado de paquetes y otro software de seguridad de red enmascaran este puerto, prohibiendo Nmap detecta si está abierto.

sin filtro significa que este puerto está inactivo y no hay un software de filtrado de paquetes /firewall para aislar los intentos de detección de nmap. Normalmente, el estado de un puerto no se filtra básicamente. El puerto en el estado no filtrado se muestra solo cuando la mayoría de los puertos escaneados están en el estado filtrado.

Dependiendo de las opciones de función utilizadas, nmap también puede informar las siguientes características del host remoto: sistema operativo utilizado, secuencia TCP, nombre de usuario, nombre DNS, dirección del host que ejecuta la aplicación vinculada a cada puerto Si es una dirección fraudulenta, y algunas otras cosas.

Antes de usar, necesitamos descargar el paquete fuente del software para instalar. Una vez completada la descarga, tome la versión descargada por el autor como ejemplo: nmap-5.00.tgz, el usuario puede ejecutar el siguiente comando de instalación:

● (1) Desempaquetar el paquete

#tar – xzvf nmap-5.00.tgz

● (2) Cambie al directorio de instalación

#cd nmap-5.00

● (3) Use el comando de configuración para generar el archivo de creación
>

#. /configure

● (4) Compile el código fuente

#make

● (5) Instale los módulos relacionados

#make Instale

3, cuatro pasos para determinar el puerto abierto de la red empresarial mediante nmap
(1) Implementación de escaneo Paso 1: descubra el host activo

Use nmap para escanear toda la red para encontrar el destino, Se ha determinado si el objetivo está conectado. Haga ping al ping mediante el comando " -sP " De forma predeterminada, nmap envía un eco ICMP y un ACK de TCP a cada host escaneado. El host responde a cualquiera de ellos mediante nmap. La velocidad de escaneo es muy rápida y se puede escanear en muy poco tiempo. Red. El comando usa lo siguiente:

[root @ localhost ~] # nmap -sP 10.1.4.0/24

Nmap terminó: 256 direcciones IP (125 hosts arriba) escaneadas en 7.852 segundos < Br>

A través de este escaneo, puede encontrar que 125 hosts en la red de la compañía están activos, es decir, orgánicamente, el siguiente paso es escanear con más detalle para escanear qué puertos activos tienen estos hosts.

(2) Paso 2 de la implementación de la exploración: Exploración de la exploración del puerto

Normalmente, cuando el usuario de nmap determina que el host que se ejecuta en la red está conectado, el siguiente paso es continuar. Escaneo de puertos, el escaneo de puertos usa el parámetro -sT. Los siguientes resultados son los siguientes:

[root @ localhost ~] # nmap -v -sT 10.1.4.0/24

El host 10.1.4.11 parece estar activo ... bueno.

Puertos interesantes en 10.1.4.11:

No se muestra: 1673 puertos cerrados

SERVICIO DE ESTADO DEL PUERTO

80 /tcp abierto htt

MAC Dirección: 00: 1E: 65: F0: 78: CA (Desconocido)

Se puede ver claramente que el escaneo de puertos utiliza una variedad de métodos para escanear completamente el puerto TCP activo del host en la red debido al escaneo. Hay demasiados hosts (125 unidades). Lo anterior solo proporciona los puertos TCP de los dos hosts, es decir, los hosts 10.1.4.1 y 10.1.4.11, y los puertos abiertos por el host 10.1.4.1 son muy numerosos, y los servicios de red son relativamente numerosos. Es bastante rico y, desde la perspectiva de la composición de la dirección IP, es muy probable que el host sea una puerta de enlace (la dirección IP de la puerta de enlace general está configurada en XXX1), y luego bloqueamos el host para su posterior exploración.