Mit Hilfe von Nmap (Netzwerkscanner) ist es möglich eine grobe Analyse von Netzwerken und möglichen Angriffsszenarien zu erstellen. In diesem Beitrag gehe ich kurz auf die Möglichkeiten, Ursachen und das Hardening ein.
Installation von Nmap unter Ubuntu:
sudo apt-get install nmap
Anschließend lässt sich mit dem folgenden Befehl die Top 2500 Ports in einem Netzwerk scannen. Zusätzlich wird die Geschwindigkeit des Scans erhöht und Informationen zum Betriebssystem der Clients werden angezeigt. Siehe auch https://wiki.ubuntuusers.de/nmap/#Scan-Techniken.
nmap --top-ports 2500 -A -v -T4 192.168.1.0/24
Hinweis: Ja nach dem, welches Netzwerk man scannen möchte muss man die korrekt Netzmaske verwenden.
Kali Linux ist eine Linux-Distribution (Debian basierend), die eine Sammlung von Tools für Penetrationstests und digitale Forensik umfasst. Nmap ist hier als wichtges Werkzeug enthalten! Dieser erste Scan kann als Basis dienen um z.B. mit Hilfe von Nessus einen detaillierten Netzwerk- und Vulnerability (Scan von vorhandenen und bekannten Sicherheitslücken) durchzuführen.
Anschließend kann man mit Hilfe der gefunden Sicherheitslücken
- z.B. mit THC Hydra (hydra -L /home/pi/usernames.txt -P /home/pi/passwords.txt 192.168.1.111 ssh) oder
- Mimikatz), gezielt Angriffe auf die jeweiligen Clients versuchen.
Was sind die Ursachen?
- Unnötige Ports offen
- Verwendung schwacher Passwörter (siehe auch https://sebastianhemel.blogspot.com/2020/11/wordpress-brute-force-angriffe-mit-xml.html)
- Nicht korrekt beendete RDP Sessions
- Fehlende Patches
Was kann man dagegen tun ("Hardening")?
- Sicherheitsfunktionen aktivieren
- Unnötige Ports schließen (siehe auch https://sebastianhemel.blogspot.com/2021/05/security-netzwerkcheck-port-scan-von.html)
- Standardpasswörter ändern
- Ungenutzte User deaktivieren oder löschen
- Nicht erforderliche Dienste deaktivieren
- BIOS Passwort setzen
- Unnötige Software deinstallieren
Mit Nmap ist auch ein schneller Scan nach den aktuell verfügbaren Hosts im Netzwerk möglich:
AntwortenLöschennmap -sP 192.168.1.*
Starting Nmap 7.80 ( https://nmap.org ) at 2023-03-11 21:21 CET
Nmap scan report for fritz.box (192.168.1.1)
Host is up (0.0015s latency).
Nmap scan report for fritz-repeater.fritz.box (192.168.1.2)
Host is up (0.0032s latency).
Nmap scan report for 192.168.1.30
Host is up (0.0033s latency).
Nmap scan report for 192.168.1.110
-sP (Skip port scan) .
This option tells Nmap not to do a port scan after host discovery, and only print out the available hosts that responded to the scan.