Port-Scans mit Nmap interpretieren und optimieren

Mit Nmap lassen sich weitere Scans durchführen, um offene Ports zu entdecken. Außerdem zeigen wir Ihnen, wie Sie die Ergebnisse interpretieren.

Dieser Artikel behandelt

Netzwerk-Sicherheits-Tools

Es handelt sich bei diesem Beitrag um den achten einer Tippreihe, wie man Nmap im Netzwerk eines Unternehmens...

einsetzt.

Wenn Sie Nmap im Unternehmen einsetzen, dann werden Sie damit regelmäßig die Richtlinien der Firewall überprüfen. Schließlich soll sie angemessen funktionieren. Um das zu realisieren, lassen Sie einen Scan laufen, der nach offenen Ports Ausschau hält. Außerdem überprüfen Sie, ob diese gefiltert sind oder nicht. Ein einfacher Audit der Firewall könnte zum Beispiel so aussehen:

nmap -v -sA -ff -r -n www.example.org -oA firewallaudit

Der Nmap-Scan TCP ACK (-sA) findet heraus, ob Pakete ungefiltert durch eine Firewall passieren können. Fügen Sie die Option -ff an, können Sie damit außerdem testen, wie fragmentierter Traffic behandelt wird. Um besser verfolgen zu können, wie die Firewall Pakete verarbeitet, scannen Sie die Ports am besten in numerischer Reihenfolge. Dazu lässt sich der Parameter -r verwenden. Persönlich würde ich auch -oA als Option für die Ausgabe verwenden. Damit erzeugen Sie eine durchsuchbare Datei und eine XML-Datei, die Sie für dokumentarische Zwecke aufheben können. 

Weitere Artikel zu Nmap:

Nmap: Wertvolles Open-Source-Tool für die Netzwerksicherheit

Nmap unter Windows installieren und konfigurieren

Nmap unter Linux installieren und konfigurieren

Nmap: So funktioniert das Scannen von Ports und Diensten

Nmap: Weitere Techniken für das Scannen von Ports

Mit Nmap die Konfiguration einer Firewall testen

Nmap: Techniken, um die Scan-Zeiten zu verbessern

Die Dateien lassen sich zu Rate ziehen, um den Datenfluss durch ungefilterte Ports zu inspizieren. Im Anschluss modifizieren Sie dann die Regeln der Firewall, wenn das notwendig sein sollte. Wenn Sie Änderungen an der Firewall vornehmen, lassen Sie den Scan abermals laufen. 

Auf diese Weise stellen Sie sicher, dass die Modifikationen auch erfolgreich waren. Es ist sehr zu empfehlen, diese Art an Audit-Scan regelmäßig laufen zu lassen. So versichern Sie sich, dass die Konfiguration der Firewall nicht unerwartet geändert wurde.

Die meisten Viren und Spyware-Programme öffnen auf den infizierten Maschinen Ports. Deswegen lässt sich Nmap einsetzen, um nach einem Befall offene Ports ausfindig zu machen. Dafür verwenden Sie Scans für ICMP Ping (-PE), TCP SYN (-sS) und UDP (-sU). Wennn Sie nur nach den Ports einer speziellen Malware suchen wollen, dann benutzen Sie den Parameter -p. Der Befehl für Nmap könnte wie folgt aussehen:

nmap -PE -sS -sU -sV -p U:2140,T:2745 www.example.org/24 -oG infiziert

Das erzeugt eine Ausgabedatei, die sich infiziert nennt. In dieser können Sie nun nach dem Wort open suchen. Jede Maschine mit einer unautorisierten Applikation auf einem offenen Port lässt sich nun isolieren und genauer unter die Lupe nehmen. Um die Applikation auf der jeweiligen Maschine zu identifizieren, verwenden Sie die Option -sV.

Viele Unternehmen setzen auf Remote- oder virtuelle Büros. Deswegen ist es wichtig, dass man die Geräte regelmäßig überprüft, die sich mit dem Netzwerk verbinden. Das gilt sowohl für die IT-Sicherheit als auch für die Lizenzen. Der nachfolgende Scan produziert ein kategorisiertes Inventar von Clients und Servern, sowie von Routern, Switches und Druckern:

nmap -vv -sS -O -n www.example.org/24 -oA inventar

Kombiniert man den SYN Scan (-sS) mit der Betriebssystemerkennung (-O), nutzt das weniger Pakete und man bekommt dennoch die gewünschten Informationen. Führen Sie ein Audit bei einem Remote Office über eine langsame Verbindung durch, können Sie Richtlinien bezüglich des Timings anfügen. Ein Beispiel dafür wäre -T2. So verlangsamen Sie den Scan und verwenden außerdem weniger Bandbreite und Ressourcen auf den Zielmaschinen. 

Während Sie Nmap laufen lassen, können Sie übrigens bestimmte Optionen ändern oder Statusnachrichten anfordern, ohne den Scan abbrechen und neu starten zu müssen. Tippen Sie zum Beispiel V, erhöht das die Geschwätzigkeit der Software und sie spuckt mehr Informationen aus. Die meisten Tasten veranlassen Nmap, Updates zum Status zu geben und genaue Informationen zu den Hosts anzuzeigen. Außerdem teilt die Software mit, wie lange es bis zum Ende des Scans vermutlich noch dauern wird.

Über den Autor:
Michael Cobb ist CISSP-ISSAP und ein bekannter Security-Autor mit über 20 Jahren Erfahrung. Zu seiner Leidenschaft gehört, Best Practices bezüglich IT-Security verständlich und begreifbar zu machen. Seine Website http://www.hairyitdog.com bietet kostenlose Security-Poster an, um die Anwender auf die Gefahren und Datensicherheit im Unternehmen aufmerksam zu machen. Er war Co-Autor des Buches „IIS Security“und hat für viele führende IT-Publikationen Artikel verfasst. Mike war außerdem Microsoft Certified Database Manager und registrierter Consultant bei CLAS (CESG Listed Advisor Scheme).

Folgen Sie SearchNetworking.de auch auf Twitter, Google+ und Facebook!

Artikel wurde zuletzt im Juni 2015 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Best Practice: Netzwerk-Sicherheit und -Tools

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchSecurity.de

SearchStorage.de

SearchDataCenter.de

SearchEnterpriseSoftware.de

Close