כיצד לסרוק את המחשב שלך ביציאות לאיתור חורי אבטחה

מאת ג'ייסון תומס

אם אתה חכם ואתה מחובר לרשת, אתה מודאג מאבטחת המחשב. יציאות פתוחות במחשבים שלך הן הזמנות להאקרים פושעים ולעושים רשעים אחרים לזרוע הרס - ואם לא תגן על עצמך, אף אחד אחר לא יעשה זאת. לספק האינטרנט שלך ולשוטרים יש דברים טובים יותר לעשות מאשר לרדוף אחרי האקרים מבלארוס שמחקו את תמונות הקוספליי שלך עם הזקן שלך ותלבושת תלמידת סיילור מון. (נכון, אני יודע על כל הפרשה המטופשת הזו).

החדשות הטובות הן שבדומה לאבטחת הבית, קל למדי לנעול את הדלת. בדוק את המנעולים הללו בעזרת כלי עזר לסורק יציאות, אשר בודק את המחשבים שלך לאיתור חורי אבטחה.

הערה: מובן מאליו שהמחשב שלך צריך להיות מאחורי חומת אש - חומת אש של HARDWARE. ייתכן שתצטרכו להסתפק בפחות חסין כדורים שאתם מטייליםחומת אש של תוכנהעל הכביש.

סורק יציאות Nmap

במקור כלי עזר UNIX, הNmapכלי עזר לסורק יציאות הועבר לרוב מערכות ההפעלה האחרות. זה זמין כ-Windows .exe, ופועל גם על מחשבי Mac. אני מריץ את זה במכונות ה-Linux וה-BSD שלי בגלל תכונות הסקריפט הזמינות שם, אבל אתה יכול להשיג את אותו הדבר באמצעותCygwin האהוב על Lifehacker.

הורד והתקן את Nmap. אם אתה מפעיל את Cygwin, פשוט העבר את קובץ ההפעלה nmap לתיקיית c:/cygwin/bin שלך (או בכל מקום שבו cygwin נמצא במחשב שלך.) חלקים מהמאמר הזה יניחו שאתה משתמש ב-Cygwin, אבל אתה כנראה יכול לקבל משם בלעדיו.סליחה על ההפסקה, אבל אני חושב שזה מקום טוב לספר לך משהו. תיאורטית אתה יכול להסתבך עם Nmap. סביר להניח שלא מדובר בעבירה פלילית או אפילו בבעיות ברמת עוון, אבל אתה יכול בקלות רבה לעצבן בטעות אנשים שאתה ממש לא רוצה לעצבן - אז הקפד להפנות את Nmap למכונות שלך, ולא של אף אחד אחר.חזרה להדרכה. לאחר התקנת Nmap, אתה מוכן לסרוק את הרשת שלך. הפעל מעטפת Cygwin bash והקלד את הדברים הבאים:nmap -v -A 192.168.1.1-255פקודה זו תסרוק את כל המשנה שלך. טווח הכתובות בפועל בשימוש עשוי להיות שונה בהתאם לנתב שלך או לאופן שבו אתה מגדיר אותו, אבל עבור רוב הנתבים הביתיים, זוהי ברירת המחדל. השדה האחרון, 1-255, אומר ל-Nmap לסרוק את כל המכונות ברשת שלך. ה-v הופך את הפלט ליותר מילולי והוא כנראה כל מה שתצטרך. אם אתה רוצה הרבה יותר מידע, השתמש ב-vv או -vvv, אבל כנראה שלא תצטרך את רמת הפירוט הזו. האפשרות -A גורמת ל-nmap לסרוק אחר סוג מערכת ההפעלה. אם אתה מפעיל רשת גדולה, אולי תרצה להפעיל את זה כל יום או כל שעה כדי לזהות מכונות חדשות שצצות ברשת. שורת פקודה זו אמורה לייצר פלט מיד, ולאחר מכן לייצר פלט נוסף במרווחים. זה עשוי להימשך זמן מה, תלוי במספר המכונות ברשת שלך. כעת, הקלד שוב את אותה פקודה, אך הפעם העבר אותה לקובץ, כך:nmap -v -A 192.168.1.1-255 > nmapoutput.txtה-">" הוא סמל ההפניה מחדש של UNIX. אם אתה לא יודע איך להשתמש ב-UNIX pipes והפניות מחדש, זה באמת משהו שאתה צריך ללמוד, אבל אתה לא באמת צריך להבין איך הם עובדים למטרות המאמר הזה. (ראה גם פריימר עלפקודות Cygwin שימושיות ליותר על הפניות מחדש של Unix ופחות.) פתח את nmapoutput.txt בעורך הטקסט שלך, או פשוט השתמש ב-"less:"less nmapoutput.txt

ייתכן שתראה כאן מעט מאוד. אם המערכות שלך ננעלות, החלק הזה יהיה די משעמם. במקרה שלי, אני מפעיל שרת אינטרנט ברשת הביתית שלי, אז ראיתי את השורה הזו:

Discovered open port 80/tcp on 192.168.1.123

ייתכן שתראה גם יציאה 80 פתוחה ב-192.168.1.1, שהיא ככל הנראה כתובת ה-IP של הנתב שלך. זה נורמלי, כי זו יציאת התצורה של הנתב שלך.

גוש השורות הראשון הזה מגיע ממעבר הגשוש הראשון של nmap, שבו הוא מנסה לדעת אילו יציאות באילו מכונות פתוחות ומאזינות. לאחר מכן, הוא מנסה לגלות אילו שירותים פועלים ביציאות אלו. אם אתה מפעיל מחשב Windows ברשת שלך, סביר להניח שתראה משהו כמו הבא:

יציאות מעניינות ב-192.168.1.100: (1671 היציאות שנסרקו אך אינן מוצגות למטה נמצאות במצב: סגור) PORT STATE SERVICE 139/tcp פתוח netbios-ssn 445/tcp פתוח microsoft-ds

עכשיו תשים לב ש-nmap חפר קצת יותר עמוק לתוך מה שרץ ביציאות נתונות. זה עושה זאת על ידי זריקת נתונים עליהם וניתוח מה חוזר. אלו חלק מהשירותים הפועלים.

ל-Nmap יש רשימה די טובה של שירותים רגילים, והיא אמורה לתת לך מושג מה פועל ברשת שלך. אם אתה רואה משהו שעולה כ"לא ידוע" או נראה מוזר או חשוד בדרך אחרת, בדוק את מספר היציאה דרך גוגל וכן כמה אתרים שיש להם מסדי נתונים של יציאות,כמו זה.

IANA הוא הארגון שאליו מתכנתים מדברים כשהם רוצים להציג פרוטוקול חדש. אם הנמל שאתה תוהה לגביו אינו ברשימה הזו, יש סיכוי טוב שיש בו משהו מפוקפק.

אם תחפש בגוגל יציאה, למשל "פורט 27374", אתה אמור להיות מסוגל לקבל מושג טוב אם השירות לגיטימי או לא.

מנע מהשירותים לשמור על נמל פתוח

תהליך שפותח יציאה במחשב שלך עשוי להיות לגיטימי, אבל יכול להיות שזה משהו שאתה לא רוצה. נניח שאתה מפעיל שרת FTP חסין כדורים במחשב Windows שלך ששכחת ממנו ואינך רוצה יותר.

בחר התחל -> הגדרות -> לוח הבקרה -> כלי ניהול. בחר שירותים. גלול למטה ברשימה עד שתראה את שם השירות שברצונך לסגור. בחר בו, שנה את סוג האתחול ל"מושבת" ולחץ על "עצור" כדי להפסיק את השירות. נסה לדעת מה אתה עושה כאן, כי אתה יכול להפסיק את השירותים הנדרשים כדי לשמור על המחשב שלך פועל.

הנהקצת מידע טוב על שירותי סגירה.(זה לא הדף שלי, זה ג'ייסון אחר. אבל זה טוב בכל מקרה.)

חלופות Nmap

אם אתה לא רוצה להתקין שום דבר, יש משהו נחמדסורק מבוסס אינטרנט בשם Shields Upאשר יבדוק אוטומטית את כל יציאות השירות בכתובת ה-IP שלך כפי שהיא נראית על ידי הרשת. זה נהדר, וחשוב אם יש לך חומת אש, כי אתה צריך לדעת איך הרשת שלך נראית מבחוץ. אבל אם יש לך יותר ממחשב אחד ברשת שלך, תרצה גם לדעת אילו יציאות חשופות במכונות האלה, ומכיוון ש-Shields Up ושירותים דומים אחרים לא יכולים לראות הרבה מעבר לחומת האש שלך, עליך להתקין סורק שפועל על אחד מהמכונות המקומיות שלך.

יישום מבוסס חלונות לעשות זאת הואסורק IP זועם(ראה צילום מסך בראש מאמר זה). זה קל לשימוש, מהיר ויעיל, ואם אתה צריך לעשות משהו מיד, לא באמת תצטרך להסתכל רחוק יותר מזה.

אני מקווה שמאמר זה נתן לך רעיון בסיסי כיצד לאבטח מכונות ברשת שלך. בעוד שהפעלת חומת אש חומרה וסגירת כל היציאות המיותרות בתוך הרשת שלך היא המינימום ההכרחי, היא תמנע את כל ההתקפות פרט למתקפות הנחושות ביותר, וסריקה מעת לעת תודיע לך אם התקנת איכשהו תוכנה זדונית או נדבקת בסוס טרויאני.

ג'ייסון תומסהוא סופר ומקצוען מחשבים המתגורר בערים התאומות.