NMAP VS Firewall : Si tenta sempre ! Vediamo come.
NMAP VS Firewall
Ci possiamo trovare nella condizione di utilizzare NMAP in una rete provvista di IDS e Firewall. Come ci si comporta? Si tenta tempre! NMAP VS Firewall.
Una rete sicura blocca le tecniche di scansione e avvisa quando viene rilevata una scansione. I firewall bloccano i tentativi di scansione o eliminano le risposte ai pacchetti di richiesta. I sistemi di rilevamento delle intrusioni (IDS) monitorano l’attività della rete e degli host e creano avvisi quando il traffico corrisponde a firme predefinite. La maggior parte delle tecniche di scansione sono facili da rilevare e fanno scattare facilmente gli allarmi degli IDS. Gli aggressori usano quindi una varietà di tecniche di scansione in modalità stealth per eludere i firewall e gli IDS, comprese le seguenti…..
Evasione e spoofing – NMAP VS Firewall
Low and slow scanning
Le applicazioni di sicurezza e gli IDS cercano un valore di connessione anormale instaurate in un breve periodo di tempo a host e porte. Low and Slow è una tecnica dolorosamente lenta che limita il numero di host e porte che vengono scansionati in un periodo di tempo specifico. La scansione per un lungo periodo di tempo riduce la possibilità di far scattare un allarme. Se l’attaccante è paziente, questo tipo di scansione può avere molto successo semplicemente perché ha una maggiore possibilità di non essere rilevato.
Modelli di temporizzazione (-T)
Quindi Nmap offre un approccio più semplice, con sei modelli di temporizzazione. Potete specificarli con l’opzione -T e il loro numero (0-5) o il loro nome. I nomi dei modelli sono paranoico (0), subdolo (1), educato (2), normale (3), aggressivo (4) e pazzo (5). I primi due sono per l’evasione degli IDS. La modalità educata rallenta la scansione per usare meno larghezza di banda e risorse della macchina di destinazione. La modalità normale è quella predefinita e quindi -T3 non fa nulla. La modalità aggressiva velocizza le scansioni dando per scontato che siate su una rete ragionevolmente veloce e affidabile. Infine la modalità folle presuppone che siate su una rete straordinariamente veloce o che siate disposti a sacrificare un po’ di precisione per la velocità.
Fragmentation
La frammentazione divide le richieste di scansione basate su TCP su più pacchetti nel diversi pacchetti nel tentativo di eludere il rilevamento.
-f (frammenta i pacchetti); –mtu (usa l’MTU specificato)
L’opzione -f fa sì che la scansione richiesta (incluse le scansioni di rilevamento dell’host) utilizzi pacchetti IP frammentati di piccole dimensioni. L’idea è quella di dividere l’intestazione TCP su più pacchetti per rendere più difficile ai filtri dei pacchetti, ai sistemi di rilevamento delle intrusioni e ad altre seccature di rilevare ciò che si sta facendo. Fate attenzione con questo!
Alcuni programmi hanno problemi a gestire questi piccoli pacchetti. Lo sniffer vecchia scuola chiamato Sniffit segmentation si guastava immediatamente alla ricezione del primo frammento. Specifica questa opzione una volta, e Nmap divide i pacchetti in otto byte o meno dopo l’intestazione IP. Quindi un’intestazione TCP di 20 byte verrebbe divisa in tre pacchetti. Due con otto byte dell’intestazione TCP, e uno con gli ultimi quattro.
Naturalmente ogni frammento ha anche un’intestazione IP. Specifica ancora -f per usare 16 byte per frammento (riducendo il numero di frammenti). Oppure potete specificare la vostra dimensione di offset con l’opzione –mtu. Non specificare anche -f se usi –mtu. L’offset deve essere un multiplo di otto. Mentre i pacchetti frammentati non riusciranno a superare i filtri dei pacchetti e i firewall che mettono in coda tutti i frammenti IP, come l’opzione CONFIG_IP_ALWAYS_DEFRAG nel kernel Linux, alcune reti non possono permettersi il calo di prestazioni che ciò causa e quindi lo lasciano disabilitato.
Inolte …
Altri non possono abilitarlo perché i frammenti possono prendere percorsi diversi nelle loro reti. Alcuni sistemi sorgente deframmentano i pacchetti in uscita nel kernel. Linux con il modulo di tracciamento delle connessioni iptables è uno di questi esempi. Fate una scansione mentre uno sniffer come Wireshark è in esecuzione per assicurarvi che i pacchetti inviati siano frammentati. Se il vostro sistema operativo host sta causando problemi, provate l’opzione –send-eth per bypassare il livello IP e inviare frame ethernet grezzi.
La frammentazione è supportata solo per le caratteristiche dei pacchetti grezzi di Nmap, che includono le scansioni delle porte TCP e UDP (eccetto la scansione di connessione e la scansione di rimbalzo FTP) e il rilevamento del sistema operativo. Funzioni come il rilevamento delle versioni e il motore di scripting di Nmap generalmente non supportano la frammentazione perché si basano sullo stack TCP del vostro host per comunicare con i servizi di destinazione. – NMAP VS Firewall
Spoofing and decoys.
Gli attaccanti spesso spoofano i loro indirizzi IP e usano decoys per eludere il rilevamento. Lo spoofing cambia l’indirizzo IP di origine dello scanner. Questa tecnica non è efficace per ottenere risultati di scansione poiché lo scanner non riceverà risposte e non sarà in grado di ottenere alcuna informazione sugli obiettivi. I decoys sono host falsi che sembrano scansionare la vostra rete nello stesso momento in cui il vero attaccante sta scansionando. Questo rende difficile determinare quale indirizzo IP è lo scanner valido.
-D <decoy1>[,<decoy2>][,ME][,…] (maschera una scansione con esche)
Provoca l’esecuzione di una scansione con esca, che fa sembrare all’host remoto che anche l’host o gli host specificati come esche stiano scansionando la rete di destinazione. Così i loro IDS potrebbero segnalare 5-10 scansioni di porte da indirizzi IP unici, ma non sapranno quale IP li stava scansionando e quali erano innocenti esche. Mentre questo può essere sconfitto attraverso il tracciamento del percorso del router, il response-dropping e altri meccanismi attivi, è generalmente una tecnica efficace per nascondere il proprio indirizzo IP.
Separate ogni host esca con delle virgole, e potete opzionalmente usare ME come una delle esche per rappresentare la posizione del vostro vero indirizzo IP. Se mettete ME nella sesta posizione o più tardi, è improbabile che alcuni comuni rilevatori di port scan (come l’eccellente Scanlogd di Solar Designer) mostrino il vostro indirizzo IP. Se non usate ME, Nmap vi metterà in una posizione casuale. Potete anche usare RND per generare un indirizzo IP casuale, non riservato, o RND:<numero> per generare <numero> di indirizzi.
Attenti….
Notate che gli host che usate come esche dovrebbero essere attivi o potreste accidentalmente inondare di SYN i vostri obiettivi. Inoltre sarà abbastanza facile determinare quale host sta scansionando se solo uno è effettivamente attivo sulla rete. Potreste voler usare gli indirizzi IP invece dei nomi (così le reti esca non vi vedono nei loro log dei nameserver). Al momento la generazione di indirizzi IP casuali è supportata solo con IPv4
Le esche sono usate sia nella scansione iniziale di scoperta dell’host (usando ICMP, SYN, ACK, o qualsiasi altra cosa) che durante la fase di scansione della porta effettiva. I decoys sono anche usati durante il rilevamento del sistema operativo remoto (-O). I decoys non funzionano con il rilevamento della versione o la scansione di connessione TCP. Quando un ritardo di scansione è in vigore, il ritardo è applicato tra ogni gruppo di sonde spoofed, non tra ogni singola sonda. Poiché le decoys sono inviate come un batch tutto in una volta, possono temporaneamente violare i limiti del controllo della congestione.
Vale la pena notare che usare troppe esche può rallentare la vostra scansione e potenzialmente anche renderla meno accurata. Inoltre, alcuni ISP filtreranno i tuoi pacchetti spoofed, ma molti non limitano affatto i pacchetti IP spoofed. – NMAP VS Firewall
-S <IP_Address> (Indirizzo sorgente spoof)
In alcune circostanze, Nmap potrebbe non essere in grado di determinare il tuo indirizzo sorgente (Nmap ti avviserà). In questa situazione, usa -S con l’indirizzo IP dell’interfaccia attraverso cui vuoi inviare i pacchetti.
Un altro possibile uso di questo flag è quello di spoofare la scansione per far credere agli obiettivi che qualcun altro li stia scansionando. Immaginate un’azienda che viene ripetutamente scansionata da un concorrente! L’opzione -e e -Pn sono generalmente richieste per questo tipo di utilizzo. Notate che di solito non riceverete indietro i pacchetti di risposta (saranno indirizzati all’IP che state spoofando), quindi Nmap non produrrà rapporti utili. – NMAP VS Firewall
Porte di origine.
Un’altra tecnica di evasione del firewall è quella di specificare una porta di origine che è permessa attraverso un firewall come la porta 53 (DNS)
–source-port <portnumber>; -g <portnumber> (numero di porta sorgente spoof)
Una configurazione errata sorprendentemente comune è quella di fidarsi del traffico basato solo sul numero di porta sorgente. È facile capire come ciò avvenga. Un amministratore imposterà un firewall nuovo di zecca, solo per essere sommerso da lamentele di utenti ingrati le cui applicazioni hanno smesso di funzionare. In particolare, il DNS può essere rotto perché le risposte UDP DNS dai server esterni non possono più entrare nella rete. FTP è un altro esempio comune. Nei trasferimenti FTP attivi, il server remoto cerca di stabilire una connessione con il client per trasferire il file richiesto.
Esistono soluzioni sicure a questi problemi, spesso sotto forma di proxy a livello di applicazione o moduli firewall che analizzano il protocollo. Sfortunatamente ci sono anche soluzioni più facili e insicure. Notando che le risposte DNS provengono dalla porta 53 e l’FTP attivo dalla porta 20, molti amministratori sono caduti nella trappola di permettere semplicemente il traffico in entrata da quelle porte. Spesso presumono che nessun attaccante noterebbe e sfrutterebbe tali buchi del firewall. In altri casi, gli amministratori considerano questa una misura temporanea a breve termine fino a quando possono implementare una soluzione più sicura. Poi dimenticano l’aggiornamento della sicurezza.
Gli amministratori di rete oberati di lavoro non sono gli unici a cadere in questa trappola. Numerosi prodotti sono stati distribuiti con queste regole insicure. Anche Microsoft è stata colpevole. I filtri IPsec forniti con Windows 2000 e Windows XP contengono una regola implicita che permette tutto il traffico TCP o UDP dalla porta 88 (Kerberos). In un altro caso ben noto, le versioni del personal firewall Zone Alarm fino alla 2.1.25 permettevano qualsiasi pacchetto UDP in entrata con la porta sorgente 53 (DNS) o 67 (DHCP). – NMAP VS Firewall .
IP options.
Alcuni scanner vi permettono anche di modificare le opzioni del protocollo IP per eludere i firewall e specificare un percorso verso l’obiettivo.
–ip-options <S|R [route]|L [route]|T|U … >; –ip-options < stringa esadecimale> (Invia pacchetti con le opzioni ip specificate)
Il protocollo IP offre diverse opzioni che possono essere inserite nelle intestazioni dei pacchetti. A differenza delle onnipresenti opzioni TCP, le opzioni IP sono viste raramente a causa della praticità e dei problemi di sicurezza. Infatti, molti router Internet bloccano le opzioni più pericolose come il source routing. Eppure le opzioni possono ancora essere utili in alcuni casi per determinare e manipolare il percorso di rete verso le macchine di destinazione. Per esempio, si può essere in grado di utilizzare l’opzione record route per determinare un percorso verso una destinazione anche quando gli approcci più tradizionali in stile traceroute falliscono. O se i vostri pacchetti vengono rifiutati da un certo firewall, potreste essere in grado di specificare un percorso diverso con le opzioni strict o loose source routing.
Il modo più potente per specificare le opzioni IP è semplicemente passare i valori come argomento a –ip-options. Precedete ogni numero esadecimale con \x e poi le due cifre. Puoi ripetere certi caratteri seguendoli con un asterisco e poi il numero di volte che vuoi che si ripetano. Per esempio, \x01\x07\x04\x00*36\x01 è una stringa esagonale contenente 36 byte NUL.
Nmap offre anche un meccanismo di scorciatoia per specificare le opzioni. Basta passare la lettera R, T, o U per richiedere rispettivamente record-route, record-timestamp, o entrambe le opzioni insieme. L’instradamento libero o rigoroso può essere specificato con una L o una S seguita da uno spazio e poi da una lista di indirizzi IP separati da uno spazio.
Conclusioni NMAP VS Firewall
In questi articoli ho parlato solo di 1/100 di come si possa personalizzare NMAP e del perchè di alcune personalizzazioni.
E ricordate che : prima di dire “Io uso NMAP” …..
Usare Nmap : tool potentissimo per il Penetration Testing Scanner.
Come Usare NMAP potrebbe sembrare semplice: Host Discovery.
Usare NMAP : Troviamo porte e servizi attivi sul nostro bersaglio.
NMAP VS Firewall : Si tenta sempre ! Vediamo come.
Nmap port scanning: Facile dire aperta e chiusa.
Sintassi nmap, volume 1 : possibili tipi di scansione.
Sintassi nmap volume 2 : possibili tipi di scansione.
Se ritieni questo articolo interessante, seguimi su Facebook o Twitter o Telegram per poter essere informato su i nuovi contenuti proposti.
Key: computer networking, Cybersecurity, Fragmentation, hacking, Low and slow scanning, NMAP VS Firewall, NMAP Vs IDS, penetration test, penetration testing, Penetration Testing Scanner, sicurezza informatica, Spoofing and decoys, vulnerability