Tips en Trucs 2014

Netwerkscan met nmap

Introductie

Vandaag bekijken we hoe je met de nmap opdracht kunt bepalen welk besturingssysteem een computer op afstand gebruikt. Dit is handig voor het inventariseren van uw LAN systemen, of gewoon uit nieuwsgierigheid. Met nmap kan je het besturingssysteem niet met 100% zekerheid achterhalen, maar nmap kan wel een goed onderbouwde gok doen.

Installatie

De meeste distributies hebben het nmap pakket in hun standaard softwarebronnen opgenomen. In openSUSE 13.1 installeer je nmap met de volgende opdracht:

dany@linux-18zg:~> sudo zypper install nmap
root's password:
Gegevens van installatiebron laden...
Lezen van geïnstalleerde pakketten...
Afhankelijkheden tussen pakketten oplossen...

Het volgende NIEUWE pakket zal worden geïnstalleerd:
  nmap 

1 nieuw te installeren pakket.
Totale downloadgrootte: 3,6 MiB Na de operatie zal aanvullend 16,0 MiB worden 
gebruikt.
Doorgaan? [j/n/? alle opties tonen] (j): 
pakket nmap-6.40-2.1.3.x86_64 wordt opgehaald
                                          (1/1),   3,6 MiB ( 16,0 MiB uitgepakt)
Ophalen: nmap-6.40-2.1.3.x86_64.rpm .........................[klaar (1,4 MiB/s)]
(1/1) Installeert: nmap-6.40-2.1.3 ......................................[klaar]

Een lokaal netwerk scannen.

Om het besturingssysteem te achterhalen baseert nmap zich op verschillende aspecten, zoals standaard geopende en gesloten poorten, hun vingerafdruk die door andere gebruikers in een database wordt bijgehouden, MAC adressen, enz.

Om te achterhalen welke IP adressen in uw LAN actief zijn, moet je het volledige netwerk scannen. Om het lokale netwerk 192.168.1.* te scannen, gebruik je de opdracht:

dany@linux-18zg:~> nmap -sP 192.168.1.*

Starting Nmap 6.40 ( http://nmap.org ) at 2014-03-01 16:00 CET
Nmap scan report for 192.168.1.1
Host is up (0.013s latency).
Nmap scan report for 192.168.1.3
Host is up (0.00037s latency).
Nmap scan report for 192.168.1.64
Host is up (0.00066s latency).
Nmap done: 256 IP addresses (3 hosts up) scanned in 2.58 seconds

Besturingssysteem identificeren

Om een besturingssysteem te kunnen identificeren, moet nmap op de computer (apparaat) op afstand minstens één geopende en één gesloten poort vinden. In het voorbeeld hierboven onderzoeken we het systeem met het IP adres 192.168.1.64 verder:

dany@linux-18zg:~> sudo nmap -O -sV 192.168.1.64
root's password:

Starting Nmap 6.40 ( http://nmap.org ) at 2014-03-01 16:01 CET
Nmap scan report for 192.168.1.64
Host is up (0.0017s latency).
Not shown: 984 closed ports
PORT     STATE SERVICE           VERSION
80/tcp   open  http              HP Officejet Pro 8600 printer http config (Serial CN2BTCWJH605KC)
139/tcp  open  tcpwrapped
443/tcp  open  ssl/http          HP Officejet Pro 8600 printer http config (Serial CN2BTCWJH605KC)
445/tcp  open  netbios-ssn
515/tcp  open  printer
631/tcp  open  http              HP Officejet Pro 8600 printer http config (Serial CN2BTCWJH605KC)
6839/tcp open  tcpwrapped
7435/tcp open  tcpwrapped
8080/tcp open  http              HP Officejet Pro 8600 printer http config (Serial CN2BTCWJH605KC)
9100/tcp open  jetdirect?
9101/tcp open  jetdirect?
9102/tcp open  jetdirect?
9110/tcp open  unknown
9111/tcp open  DragonIDSConsole?
9220/tcp open  hp-gsg            HP Generic Scan Gateway 1.0
9290/tcp open  hp-gsg            IEEE 1284.4 scan peripheral gateway
1 service unrecognized despite returning data. If you know the service/version, please submit the following fingerprint at http://www.insecure.org/cgi-bin/servicefp-submit.cgi :
SF-Port9110-TCP:V=6.40%I=7%D=3/1%Time=5311F667%P=x86_64-suse-linux-gnu%r(R
SF:PCCheck,2B,"\0\0\(r\xfe\x1d\x13\0\0\0\0\0\0\0\x02\0\x01\x86\xa0\0\x01\x
SF:97\|\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0")%r(kumo-server,1,"\0");
MAC Address: 84:34:97:A3:3F:F6 (Hewlett Packard)
Device type: printer
Running: HP embedded, HP VxWorks
OS CPE: cpe:/h:hp:laserjet_cm1312 cpe:/h:hp:officejet_6500 cpe:/h:hp:photosmart_c510a cpe:/h:hp:photosmart_b110a cpe:/o:hp:vxworks
OS details: HP printer: LaserJet CM1312, OfficeJet 6500, Photosmart C510a, or Photosmart B110a, VxWorks: HP printer
Network Distance: 1 hop
Service Info: Device: printer; CPE: cpe:/h:hp:officejet_pro_8600

OS and Service detection performed. Please report any incorrect results at http://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 164.33 seconds

Uit de uitvoer kan je afleiden dat het hier om een printer gaat, die een embedded besturingssysteem van HP draait.

Conclusie

Dezelfde techniek kan gebruikt worden voor WAN systemen. Het scannen van een besturingssysteem op een computer op afstand kan nuttig zijn voor een systeembeheerder. Maar deze methode kan ook door hackers gebruikt worden. Aan de hand van de zo verworven informatie (zoals besturingssysteem en gebruikte versie) kan een hacker een aanval lanceren via voor dit systeem bekende veiligheidsgaten. Laat dit een waarschuwing zijn om onze systemen steeds up to date te houden. Zo wordt een up to date openSUSE 13.1 systeem niet door nmap herkend.