Mit Nmap die Konfiguration einer Firewall testen

Mit dem Open-Source-Tool Nmap scannen Sie Ports und können die Wirksamkeit Ihrer Firewall testen. Überprüfen Sie, ob die Konfiguration optimal ist.

Dieser Artikel behandelt

Netzwerk-Sicherheitsanalyse

Dies ist der sechste Artikel einer Tippreihe, wie man Nmap in der Netzwerkumgebung eines Unternehmens einsetzen...

kann. In dieser Artikelreihe haben wir uns bisher angesehen, wie man Nmap für das Abbilden des Netzwerks und das Scannen der Ports verwenden kann.

Die aktuelle Version des Open-Source-Tools können Sie hier kostenlos herunterladen. In diesem Tipp zeigen wir Ihnen, dass man Nmap auch einsetzen kann, um die Wirksamkeit der Konfiguration einer Firewall zu testen.

Eine der besten Möglichkeiten für das Verständnis, wie Ihre Firewall ungebetenen Traffic behandelt, ist eine Überprüfung, ob und wie die Filter und Richtlinien nach Ihren Vorgaben arbeiten. Viele Netzwerk-Administratoren begehen beim Erstellen von Richtlinien für erlaubten Traffic durch die Firewall den Fehler, dass sie Netzwerkverkehr basierend auf der Port-Nummer der Quelle vertrauen. 

Beispiele sind Antworten von DNS auf Port 53 oder FTP auf Port 20. Wollen Sie testen, ob Ihre Firewall-Traffic durch einen bestimmten Port lässt, können Sie die meisten der TCP-Scans von Nmap verwenden. Dazu gehört auch der SYN Scan mit dem Parameter des Quell-Ports (--source-port oder abgekürzt -g). Geben Sie einfach eine Port-Nummer an und Nmap wird Pakete von diesem Port aus schicken, sofern das möglich ist. Der nachfolgende Befehl führt zum Beispiel einen FIN Scan aus, der die gefälschte Port-Nummer 25 (SMTP) benutzt und die Ausgabe in der Datei firewallreport.txt speichert.

nmap -sF -g 25 -oN firewallreport.txt www.example.org

Erwähnenswert ist auch, dass Sie die Möglichkeit der Firewall testen können, wie sie mit fragmentiertem Traffic umgeht. Angreifer splitten den TCP-Header oftmals über mehrere Pakete. Somit ist es für Paketfilter und IDS (Intrusion Detection System) schwieriger, einen Angriff zu erkennen. Fragmentierte Pakete schaffen es nicht durch Paketfilter und Firewalls, die alle IP-Fragmente zunächst sammeln. Die Realität sieht aber so aus, dass bei vielen Geräten das sogenannte Queuing per Standard deaktiviert ist, um eine bessere Performance zu erzielen. Geben Sie dem Befehl den Parameter -f mit auf die Reise, dann schickt der Scan fragmentierte IP-Pakete.

Weitere Artikel zu Nmap:

Nmap: Wertvolles Open-Source-Tool für die Netzwerksicherheit

Nmap unter Windows installieren und konfigurieren

Nmap unter Linux installieren und konfigurieren

Nmap: So funktioniert das Scannen von Ports und Diensten

Nmap: Weitere Techniken für das Scannen von Ports

Prüfen Sie Ihre Firewall, dann empfehlen wir Ihnen, die Ports in numerischer Reihenfolge zu scannen (Parameter -r). Somit können Sie dem Traffic-Fluss einfacher folgen, wenn Sie die Ausgabedatei von Nmap analysieren. Testen Sie allerdings die Effizienz von Firewalls und Intrusion Detection Systems, dann verwenden Sie am besten die Standardeinstellungen. Hier werden die Ports in einer zufälligen Reihenfolge benutzt. 

Wollen Sie auch die Hosts in einer zufälligen Reihenfolge scannen, verwenden Sie den Parameter -rH. Kombinieren Sie die Geschichte noch mit langsamen Timing-Optionen, auf die wir in einem späteren Artikel eingehen, dann werden sich die Geräte für das Netzwerk-Monitoring schwer tun, den Scan zu erkennen. Nachfolgend finden Sie ein Beispiel für einen Befehl, um die Verteidigungslinie Ihres Netzwerks zu testen.

nmap -sS --scan-delay 500ms -f -rH -oN firewallreport.txt www.yourorg.com

Sobald Sie ungefilterte Ports oder andere Problemzonen identifiziert haben, sollten Sie die Richtlinien der Firewall überprüfen. So garantieren Sie, dass der Zugriff auf alle Services unter Kontrolle ist und dass alle Filter und Richtlinien wie gewünscht operieren. Nachdem die Änderungen eingepflegt sind, lassen Sie Nmap abermals laufen. 

So überprüfen Sie, dass die Modifikationen auch den gewünschten Effekt haben. Nmap stellt viele Funktionen bereit, um schlecht implementierte Firewalls umgehen zu können. Spielen Sie also die Rolle eines Angreifers und finden heraus, ob Sie die Verteidigungsmechanismen Ihres Netzwerks mit FTP Bounce Scans, Idle Scans oder fragmentierten Angriffe umgehen können.

Über den Autor:
Michael Cobb ist CISSP-ISSAP und ein bekannter Security-Autor mit über 20 Jahren Erfahrung. Zu seiner Leidenschaft gehört es, Best Practices bezüglich IT-Security verständlich und begreifbar zu machen. Seine Website http://www.hairyitdog.com bietet freie Security-Poster an, um die Anwender auf die Gefahren und Datensicherheit im Unternehmen aufmerksam zu machen. Er war Co-Autor des Buches IIS Security und hat für viele führende IT-Publikationen Artikel verfasst. Michael Cobb war außerdem Microsoft Certified Database Manager und registrierter Consultant bei CLAS (CESG Listed Advisor Scheme).

Folgen Sie SearchNetworking.de auch auf Twitter, Google+ und Facebook!

Artikel wurde zuletzt im Juni 2015 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Netzwerk-Sicherheitsanalyse

0 Kommentare

Älteste Beiträge 

Passwort vergessen?

Kein Problem! Tragen Sie Ihre E-Mail-Adresse unten ein. Wir werden Ihnen eine E-Mail mit Ihrem Passwort schicken.

Ihr Passwort wurde an die folgende E-Mail-Adresse gesendet::

- GOOGLE-ANZEIGEN

SearchSecurity.de

SearchStorage.de

SearchDataCenter.de

SearchEnterpriseSoftware.de

Close