775109

Mit Nmap-Skripten Netzwerke gezielt untersuchen

01.03.2016 | 15:29 Uhr | Hans-Christian Dirscherl,

Skripte für Nmap

Neben der herkömmlichen Überwachung von bestimmtem Netzwerkverkehr, können Sie über bestimmte Skripte nach speziellen Datenpaketen suchen. Beispielsweise können Administratoren mit einem speziellen Skript im Unternehmens-Netzwerk nach der Kommunikation mit Cloud-Speichern, wie zum Beispiel Dropbox, suchen. Mit der neuen Namp-Version 7.0 wurden zahlreiche weitere NSE-Skripte zur Verfügung gestellt, mit denen sich Netzwerke effizient überwachen lassen.

Nmap bietet sich also nicht nur herkömmliche Überwachung von Netzwerken an, sondern kann gezielt nach bestimmten Sicherheitslücken suchen. Wollen Sie zum Beispiel den Dropbox-Datenverkehr im Netzwerk überwachen, oder überprüfen, ob Anwender unerlaubt Daten in Dropbox Speichern, verwenden Sie das Standard-Skript, welches bei der Überwachung von Dropbox helfen kann.

Sie können über diesen Weg nicht nur von Windows-Rechnern aus Netzwerke überwachen, sondern auch Linux und Mac OS nutzen. Generell achten die Entwickler darauf, dass die Netzwerk-Überwachungs-Lösung auf so vielen Systemen wie möglich arbeitet. Natürlich wird von der neuen Version auch Windows 10 unterstützt. Aber auch ältere Windows-Versionen, bis hin zu Windows XP können Nmap nutzen. Zusätzlich stehen Versionen für Solaris, AIX und andere Systeme zur Verfügung.

Nmap 7 mit vielen neuen Skripten

Die generelle Funktionsweise von Nmap und der grafischen Oberfläche Zenmap haben sich in den letzten Jahren wenig verändert. Da immer mehr Administratoren die Skripte nutzen, haben die Entwickler in der neuen Version darauf geachtet, diese Funktion auszubauen. In Nmap 7 wurden 171 neue Skripte und zwei Dutzend neue Bibliotheken für Nmap Scripting Engine (NSE) integriert. Die neuen Skripte konzentrieren sich vor allem auf Schwachstellen im Netzwerk, wie zum Beispiel Heartbleed. Auch die Sicherheitslücken Poodle und Freak lassen sich mit der neuen Version entdecken. Mit der neuen Version des Skriptes „ssl-enum-ciphers“ lassen sich schnelle und effiziente Analysen zu TLS-Problemen durchführen.

NSE ist in der aktuellen Version nicht nur Beiwerk, sondern übernimmt auch immer mehr Funktionen, die den Kern von Nmap betreffen. Beispiele dafür sind Host Discovery, Scannen der Versionen oder RPC Grinding. Aber auch das Brute-Force-Scannen oder die Suche nach Oracle-Sicherheitslücken und das umgehen von Firewalls wird jetzt über die NSE durchgeführt. Alle Neuerungen sind auf der Webseite der Entwickler zu finden.

in der neuen Version von Nmap haben die Entwickler insgesamt 516 Skripte für die Netzwerküberwachung integriert.
Vergrößern in der neuen Version von Nmap haben die Entwickler insgesamt 516 Skripte für die Netzwerküberwachung integriert.

In der neuen Version lässt sich auch IPv6-Datenverkehr besser überwachen. Im großen Ganzen kommen auch alle integrierten Skripte mit IPv6 zurecht. Auch an der grafischen Oberfläche Zenmap haben die Entwickler geschraubt. Die neue Version benötigt weniger Systemressourcen, lässt sich besser in verschiedenen Sprachen betreiben und bietet wesentlich mehr Filteroptionen. Die höhere Leistung wird durch die Verwendung der neuen Nsocks-Engine erreicht und äußert sich durch wesentlich schnellere Scan-Vorgänge. CIDR-Adressbereiche, Idle Scans oder auch Parallel-Reverse-DNS lassen sich mit der neuen Version ebenfalls durchführen. Hier lassen sich auch IPv6-Daten auslesen.

Auch die Webseite zur Verwaltung der Versionen und Feedback wurden verbessert. Die Seite Nmap.org nutzt jetzt komplett SSL. Für die Entwicklung wird seit der neuen Version das Git Version Control System verwendet. Außerdem wurde Ncat verbessert und als Standard-Pakete bei Red Hat und Fedora aufgenommen.

Skripte herunterladen und nutzen

Mit jeder neuen Version von Nmap stellen die Entwickler auch weitere Skripte zur Verfügung. Die Skripte haben alle die Endung *.nse (Nmap Script Engine) und lassen sich in Nmap zur Spezifizierung von Scanjobs verwenden. Geübte Administratoren können die Skripte natürlich an Ihre Anforderungen anpassen, die Skripte funktionieren aber auch in Netzwerken ohne eine Anpassung.

Im Installations-Verzeichnis Nmap\scripts befinden sich auch ohne Download bereits spezielle Skripts für Nmap, die spezielle Überwachung-Aufgaben durchführen können. In dieses Verzeichnis werden auch weitere Scripts kopiert, die Sie von der oben genannten Seite herunterladen können. Um ein Skript zu starten, ist der einfachste Weg die Skript-Datei bei gedrückter Umschalt-Taste mit der rechten Maustaste anzuklicken und die Option Als Pfad kopieren zu wählen. Über diesen Weg müssen Administratoren dann das Skript nur in Zenmap einfügen. Der Befehl funktioniert auch in der Befehlszeile.

Wenn Sie das Skript kopiert haben, starten Sie Zenmap und geben in der Spalte Befehl den Befehl nmap --script= ein. Direkt hinter dem Gleichzeitszeichen fügen Sie den Pfad zum Skript in Anführungszeichen ein. Das Feld Ziel ändert sich dann ebenfalls automatisch ab.  Durch einen Klick auf Scan überprüft der Befehl das lokale Netzwerk auf Dropbox-Clients. Um zum Beispiel ein ganzes Subnetz nach offenen Ports zu scannen, geben Sie den Befehl nmap -sn <Subnetz> ein, zum Beispiel nmap -sn 192.168.178.0/24. Alternativ verwenden sie den Befehl nmap <Start-IP-Adresse>-<Letzte Stelle der letzten IP-Adresse>, zum Beispiel nmap 192.168.178.1-254. Hier gibt das Tool mehr Informationen aus.

Auf der Registerkarte Netzstruktur können Sie Ihr Netzwerk und die verbundenen Clients grafisch anzeigen. Mit der Schaltfläche „Grafik speichern“ lässt sich die Grafik als normale Grafikdatei, die mit jedem Bildbetrachter geöffnet werden kann, speichern.

Die neue Version Nmap 7.01 läuft auch problemlos mit Windows 10.
Vergrößern Die neue Version Nmap 7.01 läuft auch problemlos mit Windows 10.

Einzelne Scanergebnisse lassen sich speichern und miteinander vergleichen. Abgespeicherte Scanergebnisse werden mit dem Zusatz Tool ndiff verglichen. Dazu geben Sie den Befehl ndiff <Datei1> <Datei2> ein. Ausführlichere Ergebnisse gibt das Tool mit der zusätzlichen Option -v aus.  Über Zenmap lassen sich die Ergebnisse mit dem Menü Werkzeuge\Ergebnisse vergleichen.



PC-WELT Marktplatz

775109