Nmap - mozna tak sobie uzywac?

[zubeldia2]

Witam.

Na początku powiem, że zanim założyłem ten temat sporo czytałem na temat na w internecie. Wiem, że nmap jest narzędziem analizującym ruch sieciowy. To jest oczywiście dla mnie jasne. Jednak jest to głownie narzędzie dla administratorów oraz ludzi przeprowadzających audyty - ok, to też jest jasne. Niejasne natomiast jest to co może robić z tym programem zwykły użytkownik sieci. Konkretnie chodzi mi o konsekwencje jakie grożą za użycie tego programu dla celów własnych. Chciałbym się trochę nauczyć o sieciach i chciałbym potestować narzędzie które będzie że tak powiem konkretne, a właśnie takim programem wydaje się być nmap. Trudno się na sucho uczyć czegokolwiek. Nawet jak przeczytam 1000 stron o sieciach to będzie to dla mnie mniej znaczyło niż 30 min praktyki z nmapem - tak sądze. Tymczasem nmap jest m.in. zwykłym skanerem portów i idąc tym tropem zawędrowałem na forum prawne, gdzie toczyła się dyskusja. Zdania były podzielone, jednak konkluzja była taka, że skanowanie portów nie jest penalizowane przez polskie prawo. Oczywiście prawomocny wyrok sądu za skanowanie portów to jedno (domyślam się, że niemal nie istniają takie przypadki), natomiast kary od własnego ISP za takie praktyki to zupełnie co innego. Domyślam się też, że taki adminstrator sieci nie jest w ciemie bity i chyba widzi że ktoś skanuje siec, prawda? Od ostrzezenia zaczynając do wykluczenia z sieci konczac - taki jest pewnie wachlarz kar za wyskoki wewnatrz sieci.

I teraz, korzystajac z tego co sie dowiedzialem o nmapie i z tego ze na forum sa administratorzy sieci z prawdziwego zdarzenia, chcialem sie zapytac o pare rzeczy (jednoczesnie przepraszajac za moja wiedze na ten temat jak i za to ze pewnie bede zaraz pisal pierdoly)
1) czy skanowanie przez nmap jest z miejsca wykrywalny przez admina? tzn domyslam sie ze nmap ma rozne funkcje, ale czy powiedzmy najbardziej kontrowersyjne funkcje tego programu sa zauwazane od razu w taki sposob ze nie ma najmniejszej watpliwosci co zostalo uzyte i co sie dzieje?
2) czy admin widzac tego typu ruch od razu przystepuje do dzialania (ostrzezenie, kara, wykluczenie) czy tez moze zalezy to od nasilenia uzycia tego typu programow? czy ma jakiekolwiek znaczenie ze np bede uzywal programu raz w tygodniu przez zalozmy 60 minut i bedzie to mniej grozne niz np uzywanie nmapa codziennie przez 5 godzin? Czy tez moze nie to zadnego znaczenia, a liczy sie pojedynczy skan ktory od razu powoduje konsekwencje?
3) wreszcie czy istnieja sposoby, zeby administrator tego nie widzial?

jezeli chodzi o pkt 1 i pkt 2 to domyslam sie ze wiele zalezy od admina, jednak czy mozna wyciagnac jakas prawidlowosc jak sie ludzie zachowuja w takich przypadkach?

[TQM]

Na poczatek witam na forum i od razu mowie ze bardzo fajny post - tak trzymac!

Co do tego czy jest to legalne czy nie - kwestie prawne roznia sie bardzo w zaleznosci od tego kogo zaptytac...

Moja odpowiedz jako pentestera:
Nmap to jedno z podstawowych narzedzi - cholernie elastyczne, latwe w rozbudowie, potrafiace o wiele wiecej niz zwykle skanowanie portow - trzeba tylko wiedziec jak go uzywac. Potrafi byc bardzo glosne albo praktycznie niewykrywalne - zalezy od uzywtych parametrow... ale kazda konfiguracja ma swoje wady i zalety - albo bedzie szybko i glosno albo bedzie prawie niewykrywalnie ale potrwa miesiace :-P
Od strony prawnej - jesli prowadzisz pentest przeciw firmie to masz na pismie co mozesz zrobic a co nie - tzw. scope (zakres testu). Nie przepadam za tym ze musze miec scope ale to jest po to aby moj tylek mial odpowiednie zabezpieczenie na papierze, ze w wypadku gdyby moje dzialania cos skopaly firma mnie nie ciagala po sadach. Oczywiscie zalezy to tez od tego kto jest klientem - prawo w PL nie mowi nic i nie da sie jasno okreslic czy skanowanie jest legal czy nie (jesli masz umowe o pentest i spisany zakres testu to i tak jestes legalnie bo masz oficjalna zgode podmiotu uprawnionego do wydania takiej zgody). Teraz wezmy np takie Niemcy - tam nawet nie wolno posiadac narzedzi ktore sa uznawane za 'hackerskie', wiec nmap i spolka odpadaja. Najlepszy bajer taki, ze jesli jestes w polsce, klient w niemczech albo nawet jestescie obaj w polsce ale pakiety (routing) miedzy Wami idzie przez niemcy, to praktycznie patrzac gdy robisz skan lamiesz niemieckie prawo. Wiem ze to wydaje sie absurdem ale taka jest prawda :-)

Moja odpowiedz jako admina:
Gdy mnie ktos skanuje ja to od razu widze co sie dzieje. Sensory do okola rycza po prostu i dostaje natychmiast kilka maili z roznych punktow sieci tak abym w razie czego mial logi z roznych urzadzen, logi ktore sie pokrywaja.. Firewall loguje, IDS, maszyna docelowa kazda ma swoj wlasny IDS ktory monitoruje logi i polaczenia. Do tego w systemie monitoringu pojawia sie nowy alert (doslownie zwieksza licznik skanow). Szanse ze ktos zacznie mnie skanowac i ja tego nie zauwaze oczywiscie sa i wiem ze sa osoby ktore mnie skanowaly i ja je przegapilem :-) ale to nie jest problem wielki bo sam skan jest dla mnie przynajmniej malo szkodliwy.
Czy cos z tym robie? Tak dlugo jak dlugo ktos mnie tylko skanuje to nic z tym nie robie ale gdy juz zaczyna robic testy z automatyczna eksploitacja to juz nie jest to zabawa - on nie tylko "naciska na klamke" ale juz probuje dostac sie do srodka bez mojej zgody - to jest paragraf... i systemy zaczyna sie pelne logowanie - dalej sprawa trafia do prawnikow i oni sie juz tym zajmuja.

Sprawa jest prosta - skan jest dla mnie ok, rekonesans nawet automatyczny (zbieranie bannerow itd) jest juz bardzo podejrzane, proba eksploitacji to koniec zabawy. Ocyzwiscie jedni beda bardziej nerwowi, inni mniej, niektore firmy dobiora sie do Ciebie za sam skan, inne oleja nawet jak je zaatakujesz...

Admini sa generalnie leniwi (wiem po sobie) ale jak to sie mowi... prevention is good, detection is a must - inaczej dupa nie admin

Dobra rada - chcesz sie uczyc narzedzi, postaw sobie komputer jakis drugi - np niech to bedzie doslownie maszyna wirtualna na Twoim wlasnym kompia (albo 2 wirtualki) i miedzy nimi sie baw. Wtedy nikomu nawet przypadkiem nic nie zrobisz i nie bedziesz miec zadnych problemow. Do nauki jak znalazl! Wiem, bo sam tak robie

[tom]

Tak jak napisal TQM jest z tym roznie, moim zdaniem jak nie bedziesz przeginal to nie powinno sie nic stac. Tak jak TQM wielu adminow tego nie zauwazy (baaa nawet jak sie wlamiesz) - ale sa tacy co trzymaja reke na pulsie. Jednak nie ma co ukrywac ze obecnie jest tyle syfu w necie ze pewne skany sie poprostu olewa bo sa one nornalnym objawem dzialania jakiegos znanego robactwa.

Inna sprawa to wspomniane przez TQM IDS-y czy obecnie popularniejsze IPS, IDS ma ta wade ze dowiadujesz sie o ingerencji juz po fakcjie (gdy system zostal zaatakowany) IPS ma natomiast ta zalete ze potrafi zapobiedz jakiemus atakowi np. rozlaczajac twoje polaczenie.

Wiec czesc spraw dzieje sie nie jako z automatu... wszystko zalezy jak siec jest zabezpieczona i na ile admin dba o jej bezpieczenstwo.

Prawde mowiac to zalezy od prawnikow ale sam skan bylo by trudno podciaknac pod Polski KK... sam nie raz zrobilem gafe podczas testow swojej sieci - ot pomylka przy wpisywaniu IP i przeskanowalem kogos tam...

baaa mialem lepsza jazde raz przez taka pomylke zalogowalem sie nawet na czyims routerze Cisco - to byl po prostu szok

Tak w skrocie bo to przedstawia solidnosc niektorych firm ot nowa praca wiec chcialem poznac sobie co i jak i zabrac sie za porzadkowanie. Sprzet byl instalowany przez znanego w PL duzego integratora (ich hasla itd. wszedzie takie same) sprzet dostepny w necie poprzez Telnet (routery Cisco).

No i jakos zanim jeszcze zmienilem hasla u siebie na jakies inne i zrobilem ograniczenie dostepu dla danych IP (czesc IOS-ow nie posiadalo crypto wiec nie szlo odpalic SSH) wchodze sobie na router i tak ogladam konfig i mowia o co chodzi ? kto zmienial ten konfig (bo juz zapoznalem sie z infrastruktura i bylo inaczej to rozwiazane niz widzialem wczesniej).

Co sie okazalo zrobilem gafe i zamienilem cyferki w adresie IP, co ciekawe trafilem akurat na roter w innej firmie stawiany przez tego integratora z takimi samymi haslami - wiec przez przypadek na niego wlazlem

Jak potem wyniklo z moich testow - takich sprzetow w PL byla calkiem pokazna ilosc (wszystkie z identycznie ustawionymi haslami).

No ale mi sie jakos udalo - nikt tego nie zauwazyl i nic sie nie stalo Jednak przy takich zabawach trzeba uwazac, jest mala szansa ale trafisz na jakiegos nadgorliwego admina i zacznie ci bruzdzic...

[Y4st3r]

Teoretycznie takie skanowanie nmap'em można uznać za podejrzany ruch w sieci ,ale z praktyki wiem ,że raczej Policja albo twój ISP ci do drzwi nie zapuka jak będziesz skanował jakieś mongolskie serwery.

Jednak jeżeli się boisz ,że taki scenariusz nastąpi to zainteresuj się Pasywnymi skanerami.

[zubeldia2]

Dziękuję za wyczerpujące i przede wszystkim konkretne odpowiedzi i za miłe przyjęcie.

Dobra rada - chcesz sie uczyc narzedzi, postaw sobie komputer jakis drugi - np niech to bedzie doslownie maszyna wirtualna na Twoim wlasnym kompia (albo 2 wirtualki) i miedzy nimi sie baw. Wtedy nikomu nawet przypadkiem nic nie zrobisz i nie bedziesz miec zadnych problemow. Do nauki jak znalazl! Wiem, bo sam tak robie

I tą opcję wybiore. Nie ma po co ryzykować i robić jakiejs głupoty na samym początku, zwłaszcza, że faktycznie może mi sie coś pomylić i mogę niechcąco narobić sobie problemów. Wcześniej miałem zainstalowane vmware dla zapoznania się z systemami, teraz wyglada na to, że będzie też miało zastosowanie sieciowe.

jeszcze raz dzięki!

[tom]

Wbrew pozora nie jest to zle rozwiazanie, ostatnio troche rozmawialismy o emulatorach roznego sprzetu i wbrew pozora majac wmiare nowy sprzet mozna naprawde duzo przecwiczyc lacznie z rozbudowanymi sieciami, duzymi routerami itd.

Do tego mozna sie jeszcze suportowac jakims tanim starym sprzetem ktory moze sluzyc za serwer cwiczebny...

[Whizz_BANG]

Moze dołącze moje 3 grosze
Nmap jest bardzo pomocny i jest obowiazkowym narzędziem do skanowania w sieci (banalny przykład: potrzebowalem ostatnio w jednej z firm ustawic static DHCP, jako, ze adresy MAC byly potrzbne, wiec odpalilem Nmapa, ktory w kilka chwil ładnie wszsytko pokazal). Autor postu boi sie, ze zostanie wykryty itp itd. Skoro podstawy znasz czyli: skanowanie TCP SYN, TCP-connect, UDP, Null, ACK, Window, Maimon, Idle oraz FTP-bounce. Więc trzeba wiedziec jak jeszcze skanować, żeby wyprowadzić w pole IDS'y. Można np.: skanować sobie porty w losowej kolejności, zastosować powolne skanowanie (zeby nie zostala wykryta sytuacja, ze z jednego adresu IP pojawilo sie zbyt wiele pakietow na rozne porty), fragmentacja pakietow (podzielic nagłówek TCP), poprzez dodanie losowych danych do wysyłanych pakietów czy fałszowanie adresu IP poprzez wysłanie wielu pakietów ze swojego kompa w ktorych adresy zrodlowe sa adresami IP losowo wybranych istniejacych hostow. Ogólnie duzo zabawy z mierzeniem Twojego poziomu upartosci

[tom]

Tak jak bylo mowione wszystko zalezy na kogo trafisz Firma w ktorej pracuje to nie pentagon he he ale wykryje ci praktycznie kazda probe skanu... czy pakiet odbiegajacy od normy...

Prawde mowiac obecnie malo kto juz uzywa IDS-ow, glownie IPS-y z dosc rozbudowanymi regulami kontroli...

...pytanie tylko czy podejme jakies dzialanie widzac cos takiego - ale to juz inny temat...

[TQM]

IDSy nadal uzywaja ci ktorzy nie moga sobie pozwolic na tzw 'false positive'... a w IDSach te sie trafiaja i to dosc czesto z tego co zauwazylem.

[tom]

IDSy nadal uzywaja ci ktorzy nie moga sobie pozwolic na tzw 'false positive'... a w IDSach te sie trafiaja i to dosc czesto z tego co zauwazylem.

TQM zapewne w drugim zdaniu chodzi ci o IPS-y. Ale to nie jest problemem gdyz mozesz sobie definiowac dokladnie reakcje, do tego zawsze jest mozliwosc tuningu jak i tworzenia wlasnych sygnatur. Fakt ze nad konfiguracje IPS-a trzeba poswiecic troche czasu, ale daje to sporo wiecej mozliwsci.