Skanowanie sieci: Krok po kroku dla każdego

Skanowanie sieci stało się niezbędnym narzędziem dla każdego, kto chce zadbać o bezpieczeństwo swojej infrastruktury IT. Niezależnie od tego, czy jesteś administratorem sieci, czy entuzjastą technologii, zrozumienie podstaw skanowania sieci może mieć ogromny wpływ na Twoją wiedzę o otaczającym Cię środowisku cyfrowym. Skanowanie sieci wifi, lan czy lokalnej to sposób na wykrycie potencjalnych zagrożeń i droga do optymalizacji wydajności Twojej sieci.

W tym artykule przeprowadzimy Cię krok po kroku przez proces skanowania sieci. Zaczniemy od podstaw, następnie przejdziemy do bardziej zaawansowanych technik, takich jak skanowanie portów czy wykrywanie systemów operacyjnych. Poznasz popularne narzędzia jak nmap czy zenmap, które ułatwią Ci wyszukiwanie urządzeń w sieci i monitorowanie jej stanu. Na koniec dowiesz się, jak wykorzystać zdobytą wiedzę, by zwiększyć bezpieczeństwo i wydajność Twojej infrastruktury sieciowej.

Czym jest skanowanie sieci

Skanowanie sieci ma na celu wykrycie działających urządzeń, uruchomionych usług i potencjalnych podatności w infrastrukturze IT. To proces, który pozwala na zdobycie cennych informacji o strukturze i bezpieczeństwie sieci..

Rodzaje skanowania

Istnieją dwa główne rodzaje skanowania sieci, które warto znać:

1. Skanowanie horyzontalne (Horizontal scan):

• To szeroko zakrojone rozpoznanie działających w sieci urządzeń.

• Urządzenie skanujące próbuje nawiązać połączenia ze wszystkimi hostami w sieci.

• Pozwala na szybkie wykrycie aktywnych urządzeń w danym zakresie adresów IP.

2. Skanowanie wertykalne (Vertical scan):

• Koncentruje się na szczegółowym badaniu konkretnego hosta.

• Po wykryciu aktywnego hosta, skaner próbuje rozpoznać działające na nim usługi i ich wersje (tzw. Fingerprint).

• Umożliwia głębszą analizę pojedynczego urządzenia w sieci.

Nowoczesne systemy bezpieczeństwa wykorzystują zaawansowane metody do wykrywania obu typów skanowania. Działają one na zasadzie analizy ilości unikatowych par adresów i portów oraz liczby nawiązywanych sesji.

Narzędzia do skanowania sieci

Do przeprowadzenia skutecznego skanowania sieci możesz skorzystać z różnorodnych narzędzi. Oto niektóre z najpopularniejszych:

1. Nmap (Network Mapper):

• Wszechstronne narzędzie do skanowania sieci.

• Umożliwia wykrywanie luk w bezpieczeństwie, niewidocznych przy podstawowym skanowaniu.

2. Zenmap:

• Oficjalny interfejs graficzny dla Nmapa.

• Działa na różnych platformach systemowych (Windows, Linux, MacOSX).

• Pozwala na tworzenie wizualnej mapy sieci, co ułatwia zrozumienie topologii połączeń.

3. Auvik:

• Oprogramowanie do zarządzania siecią oparte na chmurze.

• Automatyzuje proces wykrywania sieci i zapewnia pełną widoczność infrastruktury.

4. ManageEngine OpUtils:

• Oferuje kompleksowy wgląd w złożone infrastruktury sieciowe.

• Umożliwia śledzenie adresów IP w czasie rzeczywistym.

5. Fing:

• Skaner sieciowy przeznaczony dla domów i małych biur.

• Wykorzystuje opatentowaną technologię do rozpoznawania wszystkich podłączonych urządzeń.

Skanowanie portów

Skanowanie portów pozwala na identyfikację otwartych portów i usług działających na danym urządzeniu. Ten proces ma ogromne znaczenie dla zrozumienia struktury sieci i potencjalnych luk w zabezpieczeniach.

Metody skanowania portów

Istnieje wiele technik skanowania portów, każda z nich ma swoje zalety i zastosowania. Oto niektóre z najpopularniejszych metod:

1. Skanowanie SYN: To domyślna i najczęściej używana metoda. Jest szybka i relatywnie dyskretna, ponieważ nie otwiera pełnego połączenia TCP.

2. Skanowanie TCP Connect: Wykorzystywane, gdy skanowanie SYN nie jest dostępne, np. gdy użytkownik nie ma odpowiednich uprawnień.

3. Skanowanie UDP: Wolniejsze niż TCP, ale ważne dla wykrywania usług takich jak DNS czy SNMP.

4. Skanowanie FIN, NULL i Xmas: Wykorzystują nietypowe kombinacje flag TCP, aby ominąć niektóre systemy zabezpieczeń.

5. Skanowanie ACK: Używane do mapowania reguł filtrowania i sprawdzania firewalli.

Przykładowo, narzędzie Nmap oferuje wiele z tych opcji skanowania, które możesz dostosować do swoich potrzeb. Na przykład, aby przeskanować pełen zakres portów TCP, możesz użyć parametru -p-.

Interpretacja wyników

Po przeprowadzeniu skanowania, otrzymasz informacje o stanie portów:

• Otwarty: Port akceptuje połączenia.

• Zamknięty: Port nie akceptuje połączeń, ale jest dostępny.

• Filtrowany: Nmap nie może określić, czy port jest otwarty czy zamknięty.

Pamiętaj, że wyniki skanowania mogą nie zawsze być w 100% wiarygodne. Niektóre systemy mogą celowo wprowadzać w błąd narzędzia skanujące lub nie zachowywać się zgodnie ze standardami RFC.

Najczęściej skanowane porty

Atakujący często koncentrują się na najpopularniejszych portach, szukając usług w domyślnych konfiguracjach. Oto lista najczęściej skanowanych portów:

Aby przeskanować 20 najpopularniejszych portów TCP, możesz użyć Nmapa z odpowiednimi parametrami. To pozwoli na szybkie wykrycie najczęściej używanych usług.

Pamiętaj, że skanowanie portów bez zgody właściciela systemu może być nielegalne. Zawsze upewnij się, że masz odpowiednie uprawnienia przed rozpoczęciem skanowania.

Wykrywanie systemów operacyjnych i usług

Wykrywanie systemów operacyjnych to kolejny sposób skanowania sieci. Pozwala ono określić, jaki system operacyjny działa na danym hoście oraz jakie usługi są na nim uruchomione. Ta wiedza jest niezwykle cenna zarówno dla administratorów sieci, jak i potencjalnych intruzów.

Techniki fingerprinting

Fingerprinting, czyli rozpoznawanie systemu operacyjnego, może odbywać się w sposób pasywny lub aktywny. Jedną z najbardziej skutecznych metod jest analiza stosu TCP/IP badanej maszyny. Każda implementacja stosu TCP/IP jest unikalna, co pozwala na dokładną identyfikację systemu.

Przykładowe techniki fingerprinting obejmują:

1. Testy FIN: Wysyłanie pakietu z flagą FIN na otwarty port. Niektóre systemy, wbrew RFC793, odpowiadają pakietem RESET.

2. Testy z fałszywą flagą (Bogus Flag Probe): Wysyłanie pakietu TCP z nieistniejącą flagą. Reakcje systemów na takie pakiety różnią się, co umożliwia ich identyfikację.

3. Analiza generowania numerów sekwencyjnych (ISN Sampling): Systemy operacyjne mają różne algorytmy generowania numerów sekwencyjnych, co może pomóc w ich rozpoznaniu.

4. Badanie bitu "Nie fragmentuj": Niektóre systemy wysyłają pakiety z ustawionym bitem DF, co może dostarczyć dodatkowych informacji o systemie operacyjnym.

Analiza banerów

Banner grabbing, czyli zbieranie banerów, to prosta, ale często skuteczna technika. Polega ona na połączeniu się z usługą i analizie informacji, które ona wyświetla. Banery często zawierają pełne informacje o wersji systemu i usługi.

Należy jednak pamiętać, że wielu administratorów usuwa lub fałszuje banery, co zmniejsza skuteczność tej metody.

Narzędzia do wykrywania OS i usług

Jednym z najpotężniejszych narzędzi zarówno do skanowania, jak i wykrywania systemów operacyjnych i usług jest Nmap. Oto jego kluczowe funkcje:

1. Nmap wykorzystuje technikę odcisków palca, porównując wyniki skanowania z bazą danych nmap-os-fingerprints.

2. Przełącznik -sV lub -A pozwala na dokładne określenie rodzaju i wersji uruchomionych usług.

3. Zaawansowane opcje skanowania:

• --osscan-limit: Ogranicza skanowanie OS do hostów z otwartym i zamkniętym portem TCP.

• --osscan-guess lub --fuzzy: Zwiększa skłonność Nmapa do sugerowania potencjalnych systemów operacyjnych.

• --version-intensity: Pozwala na dostosowanie poziomu zaawansowania testów detekcji usług (od 0 do 9).

Pamiętaj, że skuteczne wykrywanie systemów operacyjnych i usług wymaga kombinacji różnych technik i narzędzi. Zawsze staraj się weryfikować uzyskane informacje, ponieważ niektóre systemy mogą być skonfigurowane tak, aby wprowadzać w błąd narzędzia skanujące.

Skanowanie sieci w Twojej firmie

Podsumowując, analiza banerów oraz wykorzystanie narzędzi takich jak Nmap są skutecznymi metodami wykrywania systemów operacyjnych i usług. Jednak pamiętaj o weryfikacji uzyskanych informacji, ponieważ niektóre systemy mogą być skonfigurowane tak, aby wprowadzać w błąd narzędzia skanujące.