Securinets

Software Freedom Day 2011 SECURINETS

NMAP

Club de la scurit informatique INSAT

NMAP : NETWORK MAPPER

Chef Atelier : Oussama SADDI (RT5) Aymen DRIRA (RT5) Hiba DBIBI (GL4) Nada TANABENE(RT4) Mahdi BEN SAID (GL3) 12/09/2011

Securinets

Software Freedom Day 2011

NMAP

1) Introduction : Nmap est un scanner de ports open source cr par Fyodor et distribu par Insecure.org. Il est conu pour dtecter les ports ouverts, identifier les services hbergs et obtenir des informations sur le systme dexploitation dun ordinateur distant. Ce logiciel est devenu une rfrence pour les administrateurs rseaux car laudit des rsultats de Nmap fournit des indications sur la scurit dun rseau. Il est disponible sous Windows, Mac OS X, Linux, BSD et Solaris 2) Dcouvrons Nmap et Zenmap :
i. Nmap :
* Outil open source * Disponible sous Windows, Mac OS X, Linux, BSD et Solaris * But: exploration rseau et audit de scurit * Cibles: grands rseau ou aussi cible unique * Objectif: dterminer: - Les htes actifs sur le rseau, - Les services (nom de lapplication et la version), - Les systmes dexploitation et leurs versions, - Les types de dispositifs de filtrage / Pare-feux, *Rsultat de retour: Table des ports, les services qui leurs correspondent et leurs tats ( open, closed, filtred, unfiltred) , ladresse MAC etc...

Les six tats de port reconnus par Nmap -Ouvert (open) Une application accepte des connexions TCP ou des paquets UDP sur ce port. Trouver de tels ports est souvent le but principal du scan de ports. Les gens soucieux de la scurit savent pertinemment que chaque port ouvert est un boulevard pour une attaque. -Ferm (closed) Un port ferm est accessible (il reoit et rpond aux paquets mis par Nmap), mais il n'y a pas d'application en coute.

Securinets

Software Freedom Day 2011

NMAP

-filtr (filtered) Nmap ne peut pas toujours dterminer si un port est ouvert car les dispositifs de filtrage des paquets empchent les paquets de tests (probes) d'atteindre leur port cible. Le dispositif de filtrage peut tre un pare-feu ddi, des rgles de routeurs filtrants ou un pare-feu logiciel. Nmap essaie plusieurs fois au cas o les paquets de tests seraient rejets cause d'une surcharge du rseau et pas du filtrage. -non-filtr (unfiltered) L'tat non-filtr signifie qu'un port est accessible, mais que Nmap est incapable de dterminer s'il est ouvert ou ferm. Seul le scan ACK, qui est utilis pour dterminer les rgles des pare-feux, catgorise les ports dans cet tat. Scanner des ports non-filtrs avec un autre type de scan, comme le scan Windows, SYN ou FIN peut aider savoir si un port est ouvert ou pas. -ouvert|filtr (open|filtered) Nmap met dans cet tat les ports dont il est incapable de dterminer l'tat entre ouvert et filtr. Ceci arrive pour les types de scans o les ports ouverts ne renvoient pas de rponse. L'absence de rponse peut aussi signifier qu'un dispositif de filtrage des paquets a rejet le test ou les rponses attendues. Ainsi, Nmap ne peut s'assurer ni que le port est ouvert, ni qu'il est filtr. Les scans UDP, protocole IP, FIN, Null et Xmas catgorisent les ports ainsi. -ferm|filtr (closed|filtered) Cet tat est utilis quand Nmap est incapable de dterminer si un port est ferm ou filtr. Cet tat est seulement utilis par le scan Idle bas sur les identifiants de paquets IP.

* Syntaxe: Nmap [ Types de scans ...] [ Options ] { spcifications des cibles } *Techniques de scan: -sS(Scan TCP SYN) -sT(Scan TCP connect()) -sU(Scan UDP) -sN; -sF; -sX (Scans TCP Null, FIN et Xmas) -sA(Scan TCP ACK) -sW(Scan de fentre TCP)

Securinets

Software Freedom Day 2011

NMAP

-sM(Scan TCP Maimon) -sO(Scan du protocole IP) ...

* Remarque: Depuis 2002, Nmap supporte IPv6 pour les fonctionnalits les plus populaires. Cependant, Nmap ne supporte pas (en version 4.20) UDP. De plus, la notation du masque de sous-rseau n'est pas supporte non plus.

ii.

Zenmap

* Fournit une sortie NMAP+ sortie graphique * Le choix d'un type de scan et d'une cible permet de fournir automatiquement la commande NMAP correspondante * Types de scan choisir: - Intense scan - Intense scan plus UDP - Intense scan,all ports TCP - Intense scan ,no ping - Ping scan - Quick scan - Quick scan plus - Quick traceroute - Regular scan - Slow comprehensive scan

* Zenmap fournit un rsum du scan effectu (dtails de l'hte: Ports ouverts, ports filtrs, ports ferms, ports scanns, temps d'activit, dernier dmarrage....) , une topologie,... Son aspect graphique souligne sa simplicit et sa clart par rapport NMAP. * Possibilit de sauvegarder les scans effectus

3) Notre atelier :

i.

Installation de nmap :
Pour le mode console :

Securinets

Software Freedom Day 2011

NMAP

Sudo apt-get install nmap Pour le mode graphique (Zenmap) :

sudo aptitude install build-essential sudo apt-get install libssl-dev mkdir src cd src wget -c http://nmap.org/dist/nmap-5.00.tar.bz2 bzip2 -cd nmap-5.00.tar.bz2 | tar xvf cd nmap-5.00/ ./configure make sudo make install

Puis on consulte Applications > Internet > Zenmap (as root). Si le mode root nest pas disponible, on accde au zenmap via la commande sudo zenmap.

ii.

Manipulation de Nmap avec le terminal :

a. Dtection des machines invisibles dans un rseau local

Loutil Nmap nous permet de scanner un rseau local et didentifier les htes actifs mme ceux invisible .En faite une machine qui ne veut pas tre localis sur un Lan peut dsactiver la rponse aux paquets ICMP (ping). Dans ce cas elle ne peut pas tre dtecte car elle refuse de rpondre aux requtes ICMP. Nmap est capable de dtecter les machines qui ont bloqu les rponses ICMP.

Dans un rseau local on ralise un scan laide de loutil fping .

On remarque que notre rseau contient 4 htes.

Securinets

Software Freedom Day 2011

NMAP

Pour bloquer les rponses ICMP chez l'hte (192.168.1.5) il suffit douvrir le terminal et de lancer la commande suivante. :

Sur la machine de scan on relance un scan l'aide de fping , on remarque que la machine (192.168.1.5) n'est plus dtecte

On peut souligner ici que la machine (192.168.1.5) n'est ni alive ni unreashable. Fping ne peut pas dcider si elle existe ou pas. Maintenant on lance Nmap pour scanner le rseau : on remarque que Nmap a dtect la machine (192.168.1.5) malgr quelle est considre invisible dans le rseau.

Si on veut que la machine (192.168.1.5) redevienne visible sur le rseau il suffit de taper la commande :

Securinets

Software Freedom Day 2011

NMAP

b.

Les services possibles avec Nmap :

2-1 : scanner un port spcifique : Pour savoir l'tat d'un port spcifique sur une machine du rseau, on tape la commande : nmap -v @ip de la machine -p numro du port -v: Increase verbosity level (use twice or more for greater effect) -p <port ranges>: Only scan specified ports

2-2 : La commande suivante permet de dtecter les ports ouverts, et le systme d'exploitation. Il faut lancer la commande depuis un compte root. nmap -v -O -sS -F @ip de la machine -v: Increase verbosity level (use twice or more for greater effect) -O: Enable OS detection -sS/sT/sA/sW/sM: TCP SYN/Connect()/ACK/Window/Maimon scans -F: Fast mode - Scan fewer ports than the default scan

Securinets

Software Freedom Day 2011

NMAP

2-3 : scanner un site en ligne :

nmap -v google.com Cette option analyse tous les ports TCP rservs sur le serveur google.com . Le -v signifie d'activer le mode verbeux.

Securinets

Software Freedom Day 2011

NMAP

iii.

Manipulation de Zenmap :

On a utilis un vmware qui contient deux machines virtuelles ubuntu : 192.168.1.7 est ladresse de hte. 192.168.1.6 est ladresse de victime. 1/ effectuons un quick scan sur ladresse locale :

Securinets

Software Freedom Day 2011

NMAP

Rsultats : 4 ports sont ouvertes : ssh, http, callbook , squid-http 2/ effectuons un intense scan qui est plus dtaill :

Securinets

Software Freedom Day 2011

NMAP

On peut visionner la sortie de Nmap qui est identique au rsultat du commande dans un terminal. Sinon Zenmap nous offre de voir le rsultat en une structure bien organise en choisissant Dtails de lhte :

Securinets

Software Freedom Day 2011

NMAP

3/ On effectue Slow comprehensive scan : On observe que le nombre de ports scanns augmente de 1000 2000 ports et que non seulement les ports ouverts sont affichs mais aussi les ports filtrs.

On peut voir les ports dcouverts dans Ports/htes :

Securinets

Software Freedom Day 2011

NMAP

4/On effectue le scan sur all TCP : On remarque que il y a 65541 ports scanns.

5/ on effectue un intense scan sur la machine victime : Il ny a que le port http ouvert et ladresse mac et le systme dexploitation de la machine victime sont dtcts.

Securinets

Software Freedom Day 2011

NMAP

6/ On peut aussi consulter la topologie du rseau :

Securinets

Software Freedom Day 2011

NMAP

7/ On peut aussi faire la comparaison entre deux scans : Outils>comparer les rsultats

8/ On peut aussi crer un nouveau profil (regroupant des types de scans diffrents) Profil>new profile or command

Securinets

Software Freedom Day 2011

NMAP

Remarque: On peut enregistrer les rsultats de scan avec Zenmap en suivant scan>sauvegarder le scan et on peut le r accder en suivant scan>ouvrir dans une autre fentre. Pour enregistrer en ligne de commande on tape :
nmap 192.168.1.3 -sU -oN <nomfichier>

Et voil on obtient deux scans enregistrs par cette commande :

Securinets

Software Freedom Day 2011

NMAP

Comportement de Nmap/Zenmap en prsence de pare-feu :

Nmap est un outil puissant qui peut dtecter ltat des ports. Par dfaut le firewall est dsactiv et les ports sont ouverts donc les applications communiquent sans protection. Voici un scan dune distribution non protge :

Securinets

Software Freedom Day 2011

NMAP

Les ports sont ouverts donc Nmap peut recueillir toutes les informations sur lapplication qui est en coute sur ce port. Par exemple le nom de lapplication Apache http d ainsi que la version 2.2.9 se qui aide a localiser les failles dans le systme.

Par contre si on active le firewall par dfaut de linux : iptables le rsultat du scan va changer et les risques dattaques vont diminuer : Si on bloque le trafic entrant de APACHE ( les connexions de lextrieur ) on utilise la commande Iptables A INPUT p tcp -dport 80 j REJECT On obtient un rsultat de scan diffrent

On remet le firewall zro avec la commande : Iptables F Et si on essaye dinterdire le trafic sortant de Openssh par exemple al aide de la commande Iptables A OUTPUT p tcp -dport 22 j REJECT

Securinets

Software Freedom Day 2011

NMAP

et on laisse le trafic dapache normal on obtient

Les deux ports sont ouverts. Nmap les dtecte et peut avoir les informations comme si le firewall nest pas l. Une bonne solution pour se protger des scans est dinstaller un bon firewall avec une gestion facile tel que firestarter qui peut tout bloquer et interdire tout :

Securinets Le firewall bloque tout

Software Freedom Day 2011

NMAP

Conclusion :
Nmap reste le meilleur outil open source pour un pentester ou mme une simple personne qui veut explorer son rseau local pour connaitre son environnement a savoir les machines de ce rseau et tout les informations utiles sur ces machines commenant par leurs adresses ip jusqu' leurs ports ouverts , services et mme systme dexploitation .