Linux管理者：エンタープライズポートスキャンポリシー

エンタープライズポートスキャンポリシー

1.ポートスキャンの目的
ネットワーク内にあるコンピュータシステムの場合、ポートは潜在的なものです。通信チャネル。これは侵入チャネルです。ターゲットコンピュータのポートスキャンは、システムセキュリティの脆弱性を発見するために役立つ多くの情報を提供します。それはシステムユーザがシステムが現在外界にどのようなサービスを提供しているかを理解することを可能にし、従ってシステムユーザがネットワークを管理するための参照手段を提供する。

技術的には、ポートスキャンはプローブパケットをターゲットホストのTCP /UDPサービスポートに送信し、ターゲットホストの応答を記録します。応答を分析してサービスポートが開いているか閉じているかを判断することで、ポートによって提供されるサービスまたは情報を知ることができます。

ポートスキャンでは、ローカルホストまたはサーバーの送受信IPパケットをキャプチャして、ローカルホストの動作を監視することもできます受信したデータを分析するだけでなく、ユーザーが一部のターゲットホストを発見することもできます。固有の弱点は、システムへの詳細なステップを提供しません。一般に、ポートスキャンの目的は通常、次のうちの1つまたは複数です。

（1）オープンポートの検出：ターゲットシステム上のオープンTCPポートまたはUDPポートの検出;

（2）ホストオペレーティングシステムの情報を理解する：ポートスキャンは、オペレーティングシステムの「指紋」を使用して、スキャンしたオペレーティングシステムのバージョンまたはアプリケーションのバージョンを推測できます。

（3）ソフトウェアまたはサービスのバージョンを理解します。サービスのバージョンは、「フラグ取得」またはアプリケーションのフィンガープリントで特定できます。

（4）脆弱なソフトウェアのバージョンを発見：脆弱性に対する攻撃を仕掛けるためのソフトウェアおよびサービスの欠陥を特定します。

ポートスキャンは、主に従来のスキャナ（完全に接続されている）と、いわゆるSYN（準結合）スキャナで構成されています。さらに、間接スキャンと秘密スキャンがあります。 ＴＣＰスキャン方法はスキャンされたホストとの標準ＴＣＰ接続を確立するので、この方法は最も正確で見逃しがほとんどなく、誤って報告するが、ターゲットホストによって容易に検出され記録される。 SYNモードはターゲットホストとのセミオープン接続を確立するため、ターゲットホストによって記録されることは容易ではありませんが、スキャン結果は過少報告される可能性があり、ネットワーク状況が悪い場合は誤検知レポートが深刻になります。

2.エンタープライズポートスキャン用にnmapをすばやくインストールする
nmapは、システム管理者や個人が大規模ネットワークのスキャンやそのホストへのアクセスを実行するために使用できるネットワーク検出およびセキュリティスキャンプログラムです。実行中などの情報と提供されるサービス。 Nmapは、UDP、TCP connect（）、TCP SYN（ハーフオープンスキャン）、ftpプロキシ（バウンス攻撃）、リバースフラグ、ICMP、FIN、ACKスキャン、Xmas Tree、SYNスキャンなどの多くのスキャン技術をサポートしています。ヌルスキャン

nmapには、TCP /IPスタック機能によるオペレーティングシステムの種類の検出、シークレットスキャン、動的遅延および再送信の計算、並列スキャン、並列pingスキャン検出による検出などの高度な機能もあります。ホスト、おとりスキャン、ポートフィルタリング検出の回避、直接RPCスキャン（ポートマッピングは不要）、フラグメントスキャン、柔軟なターゲットおよびポート設定。

非ルート状態でnmapのパフォーマンスを向上させるために、ソフトウェア設計者は多くの努力を注いできました。残念ながら、いくつかのカーネルインタフェース（rawソケットなど）はルート状態で使用する必要があります。そのため、できるだけrootでnmapを使用する必要があります。

nmapは通常、スキャンされたホストポートのリストを取得します。 Nmapは、サービス名（可能な場合）、ポート番号、ステータス、および既知のポートのプロトコルを常に提供します。各ポートのステータスは、open、filtered、unfilteredです。

オープン状態とは、ターゲットホストがaccept（）システムコールを使用してこのポート上の接続を受け入れることができることを意味します。

フィルタ状態は、ファイアウォール、パケットフィルタリング、およびその他のネットワークセキュリティソフトウェアがこのポートをマスクして禁止することを示しますNmapは開いているかどうかを検出します。

unfilteredは、このポートが停止していることを意味し、nmap検出の試みを分離するためのファイアウォール/パケットフィルタリングソフトウェアはありません。フィルタされていない状態のポートは、スキャンされたポートのほとんどがフィルタされた状態にある場合にのみ表示されます。

nmapは、使用する機能オプションに応じて、使用するオペレーティングシステム、TCPシーケンス、ユーザー名、DNS名、各ポートにバインドされたアプリケーションを実行しているホストアドレスといったリモートホストの特性も報告できます。それが詐欺的な住所かどうか、およびその他のこと。

使用する前に、インストールするソフトウェアのソースパッケージをダウンロードする必要があります。ダウンロードが完了したら、例として作者によってダウンロードされたバージョンを取ります：nmap-5.00.tgz、ユーザーは以下のインストールコマンドを実行することができます：

●（1）パッケージを解凍します。

#tar– xzvf nmap-5.00.tgz

●（2）インストールディレクトリに切り替える

#cd nmap-5.00

●（3）makeファイルを生成するには、configureコマンドを使用します。
>

＃。/configure

●（4）ソースコードのコンパイル

#make

●（5）関連モジュールのインストール

#make

3、nmapを使用してエンタープライズネットワークのオープンポートを特定する
（1）実装のスキャンステップ1：アクティブなホストの検出

nmapを使用してネットワーク全体をスキャンし、ターゲットを見つけます。ターゲットが接続されているかどうかが確認されました。 ' -sP'コマンドを使用してpingを実行します。デフォルトでは、nmapはスキャンされた各ホストにICMPエコーとTCP ACKを送信しますホストはいずれかにnmapで応答しますスキャン速度は非常に速く、非常に短時間でスキャンできます。ネットワークこのコマンドでは、次のコマンドを使用します。

[root @ localhost〜]＃nmap -sP 10.1.4.0/24

Nmapが終了しました：7.852秒でスキャンされた256個のIPアドレス（125個のホストまで）< Br>

このスキャンで、会社のネットワーク内の125台のホストがアクティブであることがわかりました。つまり、有機的には、次のステップはこれらのホストが持つアクティブポートをスキャンすることです。

（2）スキャンの実行手順2：ポートスキャンのスキャン

通常、nmapのユーザーがネットワーク上で動作しているホストが接続されていると判断したら、次のステップに進みます。ポートスキャン、ポートスキャンは-sTパラメータを使用します。次の結果が得られます。

[root @ localhost〜]＃nmap -v -sT 10.1.4.0/24

ホスト10.1.4.11が起動しているようです...良い。

10.1.4.11の興味深いポート：

表示されていない：1673個のポートが閉じられています

ポートステートサービス

80 /tcp open https

MACアドレス：00：1E：65：F0：78：CA（不明）

ポートスキャンでは、スキャンのためにネットワーク内のホストのTCPアクティブポートを完全にスキャンするためにさまざまな方法が使用されています。ホスト数が多すぎる（125台）上記の2つのホスト、つまりホスト10.1.4.1と10.1.4.11のTCPポートのみが表示され、ホスト10.1.4.1によって開かれたポートは非​​常に多く、ネットワークサービスは比較的多くあります。それは非常に豊富であり、IPアドレスの構成の観点からは、ホストはおそらくゲートウェイであり（一般的なゲートウェイのIPアドレスはXXX1に設定されています）、その後のスキャンのためにホストをロックします。