Fotografický magazín "iZIN IDIF" každý týden ve Vašem e-mailu.
Co nového ve světě fotografie!
Zadejte Vaši e-mailovou adresu:
Kamarád fotí rád?
Přihlas ho k odběru fotomagazínu!
Zadejte e-mailovou adresu kamaráda:
Software
NMap - bezpečnostní analytik
macosearly
21. ledna 2003, 00.00 | Další díl seriálu o bezpečnosti OS X. Tentokrát se podíváme na program NMap a jeho použití
NMap, nástroj pro hackery i administrátoryJak jsem vám slíbil v jednom z předchozích článků, použijeme na kontrolu prostupnosti naší sítě program NMap. Protože jsem se domníval, že všichni oceníte grafické prostředí před hloupým opisovaním příkazů v příkazové řádce, vytvořil jsem grafické rozhraní. Bohužel, pracovní vytíženost mne trochu doběhla, takže program ještě není ve stavu, v jakém bych ho rád viděl. Zároveň jsem však na internetu našel grafické rozhraní jiné, kompletní a fungujicí, i když označené jako beta.
Po spuštění vás uvítá GUI programu, které je, jak doufám velmi přehledné. Pokud nechcete zbytečně nic nastavovat, můžete jednoduše napsat jméno nebo TCP/IP adresu počítače a pustit nmap na něj. Pokud dojde k nějaké chybě, měl by to program napsat. Uvědomte si prosím, že testování počítače trvá dlouho, protože se musí čekat na vypršení přednastavených časových konstant. Jestliže se tedy během dvaceti sekund neobjeví žádný výsledek v odpovídajícím okně, nepropadejte panice.
A teď nás čeká praktická ukázka práce s programem NMap. Abychom neustále netestovali jen stránky apple.cz, můžeme zkusit nějaké jiné, cokoliv třeba www.hokej.cz. Jak vidíte z následujícího obrázku, otevřených portů mají požehnaně.
Vezme je tedy jeden pro druhým:
21/tcp....................ftp
Tohle je normální, služba ftp by měla být otevřena do světa, pokud chcete nechat komukoliv možnost hodit sem soubor. Bezpečnost ftp se zajišťuje jiným způsobem.
22/tcp...................ssh
Tohle je taky tak, jak má být. ssh připojení je "bezpečné", používá ho administrátor na vzdálenou správu.
25/tcp...................smtp
U smtp portu bych se rád zastavil. Já osobně vidím v tom, že je port otevřený, bezpečnostní problém. Podle mne je správné nastavení tak, že smtp server komunikuje jen s mail serverem providera (ten zpravidla stejně dělá záložní mail server). Tím se zaručí to, že se na tento port nebude moci připojit nikdo z neověřené adresy a snažit se zkoušet hesla nebo dělat DoS útoky. Řešení, které navrhuji, se dá zabezpečit jak na firewallu, tak i v konfiguraci mail serveru. Máte někdo k navrhované konfiguraci připomínky?
Jen pro úplnost, DoS útok znamená Denial of Service, neboli znemožnění (vypovězení) služby. Toho se docílí tím, že se na server v jeden okamžik odešle tolik požadavků, že se server zahltí. Představte si to tak, že hacker, který ovládá síť s desítkami nebo stovkami počítačů napíše program, který se bude periodicky připojovat na mail server na port 25. I když nebude znát uživatelská jména a hesla, server na špatný požadavek odpovídá chybovým hlášením. Tato komunikace, znásobená počtem počítačů provádějících útok a počtem požadavků za sekundu nutně povede k tomu, že server nebude dělat nic jiného, než odpovídat chybovými hláškami, vzroste zatížení procesotu i vytížení síťové karty, další služby dostanou nižší prioritu a tak dále až počítač "spadne" nebo se úplně zahltí.
DoS útok není samozřejmě limitován jen na mail servery, ale jakoukoliv službu. K zamezení takového útoku je nutné velmi propracované nastavení firewallu, které je za hranicí tohoto článku.
80/tcp..................http
Webový server. Všichni chceme vidět, jak to vypadá s Havířovem, že?
110/tcp..............pop-3
Tímto způsobem má být zřejmě umožněno uživatelům, stahovat e-maily i odjinud, než z vnitřní sítě. V mailovém serveru se dá nastavit, ze kterých domén má akceptovat připojení, ale obecně se tohle řešení nepoužívá. Navíc, uživatelské jméno a heslo se posílá po síti jako obyčejný text, takže je tento způsob definitivně NE-NE
143/tcp...............imap2
Používat nezabezpečený imap je šílenost. Zvlášť když mají současně otevřený port pro jeho zabezpečenou verzi
993/tcp..............imaps
995/tcp..............pop3s
Zabezpečené verze mailových portů. Plně nahrazují pop-3 a imap2 a pokud je to nutně, měly by být použité tyto služby
3306/tcp............mysql
Ale? Otevřený port mysql serveru? Tohle je v manuálu k instalaci mysql na jednom z předních míst. Nikdy! Mysql server by se měl používat jen lokálně, takže uživatel, který přistupuje byť i z webu má lokální adresu například webmaster@localhost
NMap jak vidíte, je pro administrátora skvělý nástroj. Co ho však odlišuje od jednoduchého portscanu, který všichni máme jako součást Network Utility na disku? No,umí podstatně víc, například zjistit, s jakým počítačem komunikuje, nebo skenovat celou doménu. Co však používají na nmap ti hackeři? Jak vidíte z GUI programu, nmap obsahuje spoustu parametrů. Mezi nimi najdete třeba parametr decoy, kterým se nmap začne schovávat za ip adresy, které tam napíšete. Výhoda tohoto postupu je v tom, že sken nelze tak lehce najít z logu. Navíc, nmap má vestavěné některé parametry, při jejichž zapnutí se přímo pokusí o průnik.
Ještě nakonec bych byl rád, kdybyste buď na můj email, anebo do diskuse pod článkem vyjádřili svůj názor na to, jestli má smysl v seriálu o bezpečnosti pokračovat. Martin Lér si myslí, že už zabíháme do příliš velkých podrobností, které souvisí více s UNIXem a jeho správou, než s počítači Apple a které běžné uživatele nezajímají. Další článek ze série by vyžadoval technickou připravu, protože by se jednalo o instalaci packet snifferu, v dalším díle by sniffer ukládal data do databáze a my bychom analyzovali výsledky.
Obsah seriálu (více o seriálu):
- Bezpečnost na internetu a Mac OS X (část I)
- Hackerských 101
- Firewall k vašim službám
- NMap - bezpečnostní analytik