heise PlusAbo
Anzeige

Navi fĂĽrs Netz

Nmap dient Administratoren und Penetrationstestern seit vielen Jahren als Portscanner. Jetzt hat der Autor Fyodor eine neue Major-Release veröffentlicht und die Neuerungen der letzten Monate mit der Versionsnummer 4 gekrönt.

vorlesen Druckansicht 14 Kommentare lesen
Lesezeit: 6 Min.
iX Magazin
Von
  • Ralf Spenneberg
Inhaltsverzeichnis

Um einen Überblick über ihr Netz zu erhalten, setzen Administratoren häufig Werkzeuge wie Nmap ein. So lässt sich beispielsweise per nmap 10.10.19.23-45,171-254 in kurzer Zeit ermitteln, welche Systeme in bestimmten (Teil-)Netzen online sind und auf welchen Ports ihre Dienste anbieten. Aus demselben Grund setzen auch Penetrationstester Nmap im ersten Schritt gerne ein.

Seit seiner Veröffentlichung in der Ausgabe 51 des Online-Hacker-Magazins Phrack (siehe „Quellen“) im September 1997 hat sich Nmap zum De-fakto-Standard der Netzwerkscanner entwickelt. Es ist Pflicht im Werkzeugkasten des modernen Administrators und daher auch wichtiger Bestandteil von Werkzeugsammlungen wie der BOSS-CD des BSI (siehe „Quellen“). Der ehemalige Open-Source-Vulnerability-Scanner Nessus besitzt ein Plug-in, um einige der fortgeschrittenen Fähigkeiten von Nmap als Portscanner zu nutzen. Trotz aller Leistungsfähigkeit der Werkzeuge sollte man eines nicht vergessen: Die Kenntnis der eingesetzten Systeme und Dienste bleibt eine Grundvoraussetzung für die fundierte Sicherheitsanalyse.

Mehr Infos

Quellen

Auf vielen Plattformen zu Hause

Nmap ist besonders für seine Fähigkeiten als TCP- und UDP-Portscanner bekannt. Administratoren können es sowohl auf unixoiden (Linux, Solaris, diverse BSDs und Mac OS X) als auch Windows-Systemen einsetzen. Speziell Windows-Administratoren dürfte es freuen, dass seit wenigen Wochen ein Windows-Installer zur Verfügung steht, der auch den WinPcap-Treiber installiert. Dadurch funktioniert Nmap auch wieder unter Windows XP, das seit dem Servicepack 2 die Verwendung von Raw Sockets verhindert hat. Als Portscanner ermittelt Nmap, welche Ports auf einem einzelnen Rechner oder mehreren Rechnern geöffnet sind und ob gegebenenfalls eine Firewall diese Rechner schützt. Erkennt Nmap mindestens einen offenen und einen geschlossenen Port auf dem Zielsystem, so kann es über die Option -O seit 1998 das auf dem Zielsystem eingesetzte Betriebssystem ermitteln.

Alleine diese letzte Funktion dürfte oft ein Update rechtfertigen, da die Entwickler im September 2005 mehr als 350 neue Betriebssystemsignaturen („Fingerprints“) der eingesetzten Datenbank hinzufügten. Des Weiteren schrieben sie den Portscan-Code um, sodass er im Vergleich zur Vorversion schneller ist und weniger Arbeitsspeicher benötigt. Verliert der Administrator dennoch beim Scan die Geduld, kann er das Tool per Tastendruck fragen, wie lange der Portscan dauert. Während des Scanvorgangs kann er jetzt mit v/V Nmaps Geschwätzigkeit erhöhen beziehungsweise verringern; d/D verändern den Debug-Level des Programms. p/P schließlich schaltet das so genannte „Packet Tracing“, eine ausführliche Protokollierung auf Paketebene, an respektive aus. Ein ? gibt alle verfügbaren Optionen aus.

Nicht nur Portscans möglich

Schon seit längerem unterstützt Nmap neben den einfachen Portscans den von vielen Administratoren unterschätzten Protokoll-Scan (-sO). Hiermit lässt sich beispielsweise ein VPN-Gateway an der Unterstützung der Protokolle ESP und AH erkennen. Listing 1 zeigt eine Beispielausgabe.

Mehr Infos

Listing 1: nmap -sO localhost 

Starting Nmap 4.00 ( http://www.insecure.org/nmap/ ) at 2006-02-12 09:05 CET
Interesting protocols on xxxx.spenneberg.de (a.b.c.d):
(The 248 protocols scanned but not shown below are in state: closed)
PROTOCOL STATE         SERVICE
1        open          icmp                    
2        open|filtered igmp                    
6        open          tcp                     
17       open          udp                     
41       open|filtered ipv6                    
50       open|filtered esp                     
51       open|filtered ah                      
255      open|filtered unknown

Speziell für den Einsatz in geschlossenen LANs hat Nmap-Vater Fyodor den ARP-Scan entwickelt, der im September 2005 Einzug in den Netzwerk-Scanner hielt. Nmap nutzt dafür eine ARP-Anfrage, um festzustellen, ob eine IP-Adresse in Gebrauch ist. Erhält es eine Antwort, muss es kein weiteres ICMP-Paket schicken. Dies erlaubt einen wesentlich schnelleren und unauffälligeren Scan des Netzes als die Ping-Variante. Penetrationstester dürfte die Option zum Spoofen der MAC-Adresse bei sämtlichen Scans einschließlich des ARP-Scans freuen.

Eine weitere interessante Funktion für Penetrationstester ist die neue Option - -badsum, mit der Nmap fehlerhafte Prüfsummen für versandte Pakete generiert. Die meisten Netzwerk-Stacks verwerfen solche Pakete. Sämtliche Antworten dürften daher von Firewalls oder IDS-Systemen stammen, die keine Prüfsummen verifizieren. Ein Artikel in der Ausgabe 60 des Phrack Magazins (siehe „Quellen“) beschreibt, wie diese Technik im Detail funktioniert.

Guck mal, wer da spricht

Die wesentlichen Änderungen betreffen aber die Diensteerkennung. Seit Mitte 2003 (3.40) kann Nmap - ähnlich dem weniger bekannten amap - versuchen, den auf offenen Ports laufenden Dienst zu bestimmen. Diese Funktion erfuhr seitdem mehrfache Überarbeitungen und Verbesserungen. Die Datenbank verwaltet inzwischen über 3150 Signaturen für über 380 Protokolle. Wie im Aufmacher-Screenshot zu sehen, kann Nmap bei Einbindung von OpenSSL sogar Dienste über SSL erkennen. Er zeigt ebenfalls das zusätzlich installierbare grafische Nmap-Frontend, das denjenigen helfen soll, denen die Kommandozeile zu verwirrend ist.

Auch zukünftige Nmap-Versionen dürften überarbeitete Funktionen enthalten. Im Moment arbeitet man daran, die Betriebssystemerkennung neu zu implementieren. Dann soll Nmap viele bisher bisher nicht genutzte Details der TCP/IP-Protokollfamilie unterstützen. Bevor aber der neue Code nutzbar ist, müssen die Entwickler die OS-Datenbank neu generieren. Die alte ist über sieben Jahre gewachsen und weist inzwischen über 1600 Einträge auf. Der neue Code wird selbst zwischen Betriebssystemen wie Windows 2000 und XP unterscheiden und die OS-Erkennung parallel auf mehreren Systemen durchführen können. Das aktuelle Nmap kann dies noch nicht.

Leider unterstĂĽtzt die Windows-Version noch nicht alle Funktionen, darĂĽber hinaus sind die Scans langsamer. Auch bleiben die UnterstĂĽzung fĂĽr IPv6 und die Erkennung von SSL-Diensten Unix-Administratoren vorbehalten.

Fazit

Wer Nmap schon in der Vergangenheit eingesetzt hat und die letzten Monate die Entwicklung nicht verfolgt hat, dürfte sich über die Fülle der neuen Funktionen sowie die gestiegene Geschwindigkeit und Genauigkeit der OS- und Versionsdetektion freuen. Ein Update ist auf jeden Fall sinnvoll. Hierbei sollte der Administrator überlegen, ob er Nmap selbst übersetzt oder die fertigen Pakete von der Homepage wählt. Letztere enthalten keine Unterstützung für die Erkennung von SSL-Diensten.

Ralf Spenneberg
ist als Trainer und Berater seit vielen Jahren im Linux- und Unix-Umfeld tätig.

[1] Ralf Spenneberg; Linux Firewalls mit iptables und Co.; Addison Wesley, 2005

[2] Christoph Puppe; Netzdiagnose; Schlupflöcher; Mit Schwachstellenscannern Sicherheitslücken finden; iX 2/2005, S. 46

Mehr Infos

iX-WERTUNG

[+] Netzwerkscans schnell und grĂĽndlich

[+] viele neue Scanoptionen

[-] erweiterte Funktionen nicht fĂĽr Windows

(avr)

Mehr zum Thema

Immer informiert bleiben: Klicken Sie auf das Plus-Symbol an einem Thema, um diesem zu folgen. Wir zeigen Ihnen alle neuen Inhalte zu Ihren Themen.
Mehr erfahren.

Beliebte Bestenlisten

Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten