È possibile conoscere lo stato del firewall usando nmap? Come?
Come testare le regole del firewall
Uno degli obiettivi più importanti di queste scansioni sarà verificare e verificare che i filtri e le regole del firewall funzionino come previsto. Per fare ciò, è necessario eseguire una scansione per cercare porte che appaiono aperte al mondo esterno; quindi controllare se sono filtrati o meno. Una semplice scansione di controllo del firewall Nmap sarebbe simile a:
nmap -v -sA -n www.yourorg.com -oA firewallaudit
La scansione Nmap TCP ACK (-sA) stabilirà se i pacchetti possono passare attraverso il firewall non filtrato. Per accelerare la scansione, l'opzione -n può essere utilizzata per impedire la risoluzione DNS inversa sugli indirizzi IP attivi che trova. Vorrei anche utilizzare l'opzione -oA output in modo da creare un file ricercabile e un file XML da utilizzare per la conservazione e il reporting dei record. È possibile utilizzare questi file di output per esaminare il flusso del traffico attraverso le porte non filtrate e quindi modificare le serie di regole del firewall laddove necessario.
Un errore che molti amministratori fanno quando autorizzano il traffico attraverso il loro firewall si basa sul traffico basato semplicemente sul suo numero di porta sorgente, come le risposte DNS dalla porta 53 o FTP dalla porta 20. Per testare le regole del firewall, tuttavia, è possibile utilizzare la maggior parte di Scansioni TCP di Nmap, inclusa la scansione SYN, con l'opzione di numero di porta di origine spoof (--source-port o abbreviata solo per -g). Fornendo il numero di porta, il mappatore di rete invierà i pacchetti da quella porta laddove possibile. L'esempio seguente eseguirà una scansione FIN, che utilizzerà un numero di porta di origine spoofed di 25 (SMTP) e salverà l'output nel file firewallreport.txt. Ora puoi vedere se una determinata porta sta consentendo tutto il traffico attraverso:
nmap -sF -g 25 -oN firewallreport.txt www.yourorg.com
Un altro controllo utile è quello di testare la capacità di un firewall di far fronte al traffico frammentato. Gli hacker malintenzionati spesso dividono l'intestazione TCP su più pacchetti per rendere più difficile il rilevamento di un attacco per i filtri di pacchetto e i sistemi di rilevamento delle intrusioni. Mentre i pacchetti frammentati non riescono a superare i filtri di pacchetto e i firewall che accodano tutti i frammenti IP, molti dispositivi hanno le funzioni di accodamento disabilitate per impostazione predefinita per evitare un calo delle prestazioni. Semplicemente aggiungendo l'opzione -f verrà impostata una scansione che utilizza pacchetti IP frammentati.
Durante il controllo del firewall, l'opzione -r esegue la scansione delle porte in ordine numerico, rendendo più semplice seguire il flusso di traffico durante l'esame dei file di output Nmap. Tuttavia, quando stai testando l'efficacia di firewall e IDS, utilizzerei un ordine di porta randomizzato, che è l'opzione predefinita. Puoi anche randomizzare l'ordine in cui gli host sono scansionati impostando l'opzione --randomize-hosts (-rH.) La randomizzazione, combinata con opzioni di temporizzazione lente, che vedremo tra un momento, renderà qualsiasi dispositivo di monitoraggio della rete lavorare duro per rilevare la scansione. Ecco un esempio che potrebbe testare le difese della tua rete:
nmap -sS --scan-delay 500 -f -rH firewallreport.txt www.yourorg.com
Una volta identificati eventuali porti non filtrati o altri problemi, è necessario rivedere e aggiornare le regole del firewall per garantire che l'accesso a tutti i servizi sia controllato e che i filtri e le regole funzionino come previsto. Se si apportano modifiche al firewall, rieseguire la scansione di controllo per assicurarsi che le modifiche abbiano raggiunto l'effetto desiderato. È anche consigliabile eseguire questo tipo di scansione di audit su base regolare per garantire che la configurazione del firewall non sia stata modificata in modo imprevisto.
Nmap include una varietà di opzioni temporali che ti permettono di modificare quasi ogni aspetto della scansione. L'opzione "scan-delay" (sopra) induce Nmap ad attendere il tempo specificato tra ogni test che invia ad un dato host.
L'impostazione predefinita mantiene una scansione in corso indipendentemente dal tempo necessario per il completamento, ma può essere sostituita dall'opzione Host Timeout --host_timeout. L'opzione imposta la quantità di tempo che una scansione attenderà prima di interrompere una scansione, abbandonare l'host e passare a un altro indirizzo IP. Questa impostazione può essere utile quando si analizzano i dispositivi di rete con una connessione lenta.
Riferimento: Come gestire i test del firewall usando Nmap
Leggi altre domande sui tag nmap