Nmap - mozna tak sobie uzywac?

[zubeldia2]

Witam.

Na początku powiem, że zanim założyłem ten temat sporo czytałem na temat na w internecie. Wiem, że nmap jest narzędziem analizującym ruch sieciowy. To jest oczywiście dla mnie jasne. Jednak jest to głownie narzędzie dla administratorów oraz ludzi przeprowadzających audyty - ok, to też jest jasne. Niejasne natomiast jest to co może robić z tym programem zwykły użytkownik sieci. Konkretnie chodzi mi o konsekwencje jakie grożą za użycie tego programu dla celów własnych. Chciałbym się trochę nauczyć o sieciach i chciałbym potestować narzędzie które będzie że tak powiem konkretne, a właśnie takim programem wydaje się być nmap. Trudno się na sucho uczyć czegokolwiek. Nawet jak przeczytam 1000 stron o sieciach to będzie to dla mnie mniej znaczyło niż 30 min praktyki z nmapem - tak sądze. Tymczasem nmap jest m.in. zwykłym skanerem portów i idąc tym tropem zawędrowałem na forum prawne, gdzie toczyła się dyskusja. Zdania były podzielone, jednak konkluzja była taka, że skanowanie portów nie jest penalizowane przez polskie prawo. Oczywiście prawomocny wyrok sądu za skanowanie portów to jedno (domyślam się, że niemal nie istniają takie przypadki), natomiast kary od własnego ISP za takie praktyki to zupełnie co innego. Domyślam się też, że taki adminstrator sieci nie jest w ciemie bity i chyba widzi że ktoś skanuje siec, prawda? Od ostrzezenia zaczynając do wykluczenia z sieci konczac - taki jest pewnie wachlarz kar za wyskoki wewnatrz sieci.

I teraz, korzystajac z tego co sie dowiedzialem o nmapie i z tego ze na forum sa administratorzy sieci z prawdziwego zdarzenia, chcialem sie zapytac o pare rzeczy (jednoczesnie przepraszajac za moja wiedze na ten temat jak i za to ze pewnie bede zaraz pisal pierdoly)
1) czy skanowanie przez nmap jest z miejsca wykrywalny przez admina? tzn domyslam sie ze nmap ma rozne funkcje, ale czy powiedzmy najbardziej kontrowersyjne funkcje tego programu sa zauwazane od razu w taki sposob ze nie ma najmniejszej watpliwosci co zostalo uzyte i co sie dzieje?
2) czy admin widzac tego typu ruch od razu przystepuje do dzialania (ostrzezenie, kara, wykluczenie) czy tez moze zalezy to od nasilenia uzycia tego typu programow? czy ma jakiekolwiek znaczenie ze np bede uzywal programu raz w tygodniu przez zalozmy 60 minut i bedzie to mniej grozne niz np uzywanie nmapa codziennie przez 5 godzin? Czy tez moze nie to zadnego znaczenia, a liczy sie pojedynczy skan ktory od razu powoduje konsekwencje?
3) wreszcie czy istnieja sposoby, zeby administrator tego nie widzial?

jezeli chodzi o pkt 1 i pkt 2 to domyslam sie ze wiele zalezy od admina, jednak czy mozna wyciagnac jakas prawidlowosc jak sie ludzie zachowuja w takich przypadkach?

[TQM]

Na poczatek witam na forum i od razu mowie ze bardzo fajny post - tak trzymac!

Co do tego czy jest to legalne czy nie - kwestie prawne roznia sie bardzo w zaleznosci od tego kogo zaptytac...

Moja odpowiedz jako pentestera:
Nmap to jedno z podstawowych narzedzi - cholernie elastyczne, latwe w rozbudowie, potrafiace o wiele wiecej niz zwykle skanowanie portow - trzeba tylko wiedziec jak go uzywac. Potrafi byc bardzo glosne albo praktycznie niewykrywalne - zalezy od uzywtych parametrow... ale kazda konfiguracja ma swoje wady i zalety - albo bedzie szybko i glosno albo bedzie prawie niewykrywalnie ale potrwa miesiace :-P
Od strony prawnej - jesli prowadzisz pentest przeciw firmie to masz na pismie co mozesz zrobic a co nie - tzw. scope (zakres testu). Nie przepadam za tym ze musze miec scope ale to jest po to aby moj tylek mial odpowiednie zabezpieczenie na papierze, ze w wypadku gdyby moje dzialania cos skopaly firma mnie nie ciagala po sadach. Oczywiscie zalezy to tez od tego kto jest klientem - prawo w PL nie mowi nic i nie da sie jasno okreslic czy skanowanie jest legal czy nie (jesli masz umowe o pentest i spisany zakres testu to i tak jestes legalnie bo masz oficjalna zgode podmiotu uprawnionego do wydania takiej zgody). Teraz wezmy np takie Niemcy - tam nawet nie wolno posiadac narzedzi ktore sa uznawane za 'hackerskie', wiec nmap i spolka odpadaja. Najlepszy bajer taki, ze jesli jestes w polsce, klient w niemczech albo nawet jestescie obaj w polsce ale pakiety (routing) miedzy Wami idzie przez niemcy, to praktycznie patrzac gdy robisz skan lamiesz niemieckie prawo. Wiem ze to wydaje sie absurdem ale taka jest prawda :-)

Moja odpowiedz jako admina:
Gdy mnie ktos skanuje ja to od razu widze co sie dzieje. Sensory do okola rycza po prostu i dostaje natychmiast kilka maili z roznych punktow sieci tak abym w razie czego mial logi z roznych urzadzen, logi ktore sie pokrywaja.. Firewall loguje, IDS, maszyna docelowa kazda ma swoj wlasny IDS ktory monitoruje logi i polaczenia. Do tego w systemie monitoringu pojawia sie nowy alert (doslownie zwieksza licznik skanow). Szanse ze ktos zacznie mnie skanowac i ja tego nie zauwaze oczywiscie sa i wiem ze sa osoby ktore mnie skanowaly i ja je przegapilem :-) ale to nie jest problem wielki bo sam skan jest dla mnie przynajmniej malo szkodliwy.
Czy cos z tym robie? Tak dlugo jak dlugo ktos mnie tylko skanuje to nic z tym nie robie ale gdy juz zaczyna robic testy z automatyczna eksploitacja to juz nie jest to zabawa - on nie tylko "naciska na klamke" ale juz probuje dostac sie do srodka bez mojej zgody - to jest paragraf... i systemy zaczyna sie pelne logowanie - dalej sprawa trafia do prawnikow i oni sie juz tym zajmuja.

Sprawa jest prosta - skan jest dla mnie ok, rekonesans nawet automatyczny (zbieranie bannerow itd) jest juz bardzo podejrzane, proba eksploitacji to koniec zabawy. Ocyzwiscie jedni beda bardziej nerwowi, inni mniej, niektore firmy dobiora sie do Ciebie za sam skan, inne oleja nawet jak je zaatakujesz...

Admini sa generalnie leniwi (wiem po sobie) ale jak to sie mowi... prevention is good, detection is a must - inaczej dupa nie admin

Dobra rada - chcesz sie uczyc narzedzi, postaw sobie komputer jakis drugi - np niech to bedzie doslownie maszyna wirtualna na Twoim wlasnym kompia (albo 2 wirtualki) i miedzy nimi sie baw. Wtedy nikomu nawet przypadkiem nic nie zrobisz i nie bedziesz miec zadnych problemow. Do nauki jak znalazl! Wiem, bo sam tak robie

[tom]

Tak jak napisal TQM jest z tym roznie, moim zdaniem jak nie bedziesz przeginal to nie powinno sie nic stac. Tak jak TQM wielu adminow tego nie zauwazy (baaa nawet jak sie wlamiesz) - ale sa tacy co trzymaja reke na pulsie. Jednak nie ma co ukrywac ze obecnie jest tyle syfu w necie ze pewne skany sie poprostu olewa bo sa one nornalnym objawem dzialania jakiegos znanego robactwa.

Inna sprawa to wspomniane przez TQM IDS-y czy obecnie popularniejsze IPS, IDS ma ta wade ze dowiadujesz sie o ingerencji juz po fakcjie (gdy system zostal zaatakowany) IPS ma natomiast ta zalete ze potrafi zapobiedz jakiemus atakowi np. rozlaczajac twoje polaczenie.

Wiec czesc spraw dzieje sie nie jako z automatu... wszystko zalezy jak siec jest zabezpieczona i na ile admin dba o jej bezpieczenstwo.

Prawde mowiac to zalezy od prawnikow ale sam skan bylo by trudno podciaknac pod Polski KK... sam nie raz zrobilem gafe podczas testow swojej sieci - ot pomylka przy wpisywaniu IP i przeskanowalem kogos tam...

baaa mialem lepsza jazde raz przez taka pomylke zalogowalem sie nawet na czyims routerze Cisco - to byl po prostu szok

Tak w skrocie bo to przedstawia solidnosc niektorych firm ot nowa praca wiec chcialem poznac sobie co i jak i zabrac sie za porzadkowanie. Sprzet byl instalowany przez znanego w PL duzego integratora (ich hasla itd. wszedzie takie same) sprzet dostepny w necie poprzez Telnet (routery Cisco).

No i jakos zanim jeszcze zmienilem hasla u siebie na jakies inne i zrobilem ograniczenie dostepu dla danych IP (czesc IOS-ow nie posiadalo crypto wiec nie szlo odpalic SSH) wchodze sobie na router i tak ogladam konfig i mowia o co chodzi ? kto zmienial ten konfig (bo juz zapoznalem sie z infrastruktura i bylo inaczej to rozwiazane niz widzialem wczesniej).

Co sie okazalo zrobilem gafe i zamienilem cyferki w adresie IP, co ciekawe trafilem akurat na roter w innej firmie stawiany przez tego integratora z takimi samymi haslami - wiec przez przypadek na niego wlazlem

Jak potem wyniklo z moich testow - takich sprzetow w PL byla calkiem pokazna ilosc (wszystkie z identycznie ustawionymi haslami).

No ale mi sie jakos udalo - nikt tego nie zauwazyl i nic sie nie stalo Jednak przy takich zabawach trzeba uwazac, jest mala szansa ale trafisz na jakiegos nadgorliwego admina i zacznie ci bruzdzic...

[Y4st3r]

Teoretycznie takie skanowanie nmap'em można uznać za podejrzany ruch w sieci ,ale z praktyki wiem ,że raczej Policja albo twój ISP ci do drzwi nie zapuka jak będziesz skanował jakieś mongolskie serwery.

Jednak jeżeli się boisz ,że taki scenariusz nastąpi to zainteresuj się Pasywnymi skanerami.

[zubeldia2]

Dziękuję za wyczerpujące i przede wszystkim konkretne odpowiedzi i za miłe przyjęcie.

Dobra rada - chcesz sie uczyc narzedzi, postaw sobie komputer jakis drugi - np niech to bedzie doslownie maszyna wirtualna na Twoim wlasnym kompia (albo 2 wirtualki) i miedzy nimi sie baw. Wtedy nikomu nawet przypadkiem nic nie zrobisz i nie bedziesz miec zadnych problemow. Do nauki jak znalazl! Wiem, bo sam tak robie

I tą opcję wybiore. Nie ma po co ryzykować i robić jakiejs głupoty na samym początku, zwłaszcza, że faktycznie może mi sie coś pomylić i mogę niechcąco narobić sobie problemów. Wcześniej miałem zainstalowane vmware dla zapoznania się z systemami, teraz wyglada na to, że będzie też miało zastosowanie sieciowe.

jeszcze raz dzięki!

[tom]

Wbrew pozora nie jest to zle rozwiazanie, ostatnio troche rozmawialismy o emulatorach roznego sprzetu i wbrew pozora majac wmiare nowy sprzet mozna naprawde duzo przecwiczyc lacznie z rozbudowanymi sieciami, duzymi routerami itd.

Do tego mozna sie jeszcze suportowac jakims tanim starym sprzetem ktory moze sluzyc za serwer cwiczebny...

[lame]

Za wyjątkiem administratora atakowanego serwera, nikt się nie zainteresuje skanowaniem portów. No chyba że masz nadgorliwego administratora osiedlówki.

Udowodnienie, że to Ty wykonałeś skanowanie jest dość trudne, nawet znalezienia śladów na zabezpieczonym sprzęcie jest podważalne, zawsze ktoś mógł się włamać na Twój komputer.

Zamiast robić cyrki ze swojego PC, polecam poszukać hostingu www, gdzie możliwości generowania ruchu nie są ograniczone ( pakiety UDP, otworzenia portu nasłuchującego ) i wykonać skanowanie z takiego serwera przy użyciu bibliteczki PHP-PEAR
http://pear.php.net/package/Net_Nmap
Ciekawe czy administratorzy hostingu przygotowani są na wykrycie skanowania wychodzącego z ich serwerów :-)

W zależności od tego jak skonstruowane są filtry wykrywające i/lub blokujące skanowanie na atakowanym serwerze (czy w ogole są jakies filtry), do efektywnego wykonania skanowania potrzebnych może być wiele komputerów (różnych adresów IP), w takim przypadku ma sens zastosowanie techniki opisanej wyżej (z hostingów).
No chyba że masz botnet.

Czy istnieją sposoby aby administrator nie widział skanowania?
Aby odpowiedzieć sobie na to pytanie, trzeba wyobrazić sobie, albo dowidzieć się jak wyglądają filtry wykrywające skanowanie, czy jest to np. duża ilość pakietów TCP/SYN z pojedyńczego IP, a jeżeli tak to jaka ilość tych pakietów sposowuje podniesienie alertu. Nawet wysłanie pakietu na port gdzie nie działa żadna usługa jest podejżane, a przecież przy skanowaniu portów praktycznie nie da się tego uniknąć.
Regółek filtrów może być dużo, może być mało, mogą być zmyślne, mogą być głupawe, mogą być nadgorliwe aż do zablokowania od czasu do czasu dostępu użytkownikowi który wcale nie skanował, mogą być ślepe wpuszczając każde skanowanie. Wszystko zależy od admina, a prawda leży gdzieś po środku.