Как да тествате конфигурацията на защитната си стена с Nmap на Linux

Въведение

Nmap е безплатен и много популярен скенер за мрежова сигурност. Той е лесен за използване и много мощен. Тази статия ще обясни инсталирането и използването на Nmap за тестване на конфигурации на защитната стена. Въпреки че можете да проверите кои портове са отворени през вашата защитна стена, тестването му чрез сканиране може да бъде много полезно. Например, ако имате правило за защитна стена, което забранява външния достъп до вашата услуга MariaDB, Nmap може да ви помогне да се уверите, че защитната стена работи по предназначение.

ЗАБЕЛЕЖКА: Никога не трябва да стартирате Nmap на IP адреси, които не ви принадлежат, освен ако нямате изрично разрешение за това, съгласно Правилата за приемлива употреба („AUP“) на Vultr.com.

Предпоставки

• Vultr VPS, работещ с дистрибуция на Linux
• Root достъп до вашия VPS, чрез SSH или конзола.

Инсталация

Инсталирайте Nmap на VPS, който искате да тествате.

• Debian и базирани на Debian дистрибуции: apt install -y nmap
• CentOS и RHEL: yum install -y nmap

Използване

Първо, трябва да знаете IP адреса на вашия VPS. Трябва да използвате своя публичен IP адрес, тъй като целта е да тествате конфигурацията на обществената защитна стена. Тази статия ще използваме 203.0.113.1като пример. Уверете се, че сте го заменили със собствен IP адрес.

Тестване на един TCP порт.

Командата за тестване на един порт е както следва:

nmap -p 80 203.0.113.1

В този пример 80е номерът на TCP порта, който искате да тествате.

Примерен изход:

root@debian1:~# nmap -p 80 203.0.113.1

Starting Nmap 7.40 at 2018-10-19 00:00 EEST
Nmap scan report for 203.0.113.1
Host is up (0.000097s latency).
PORT   STATE SERVICE
80/tcp open  http

Nmap done: 1 IP address (1 host up) scanned in 0.36 seconds

Тестване на всички TCP портове.

Следната команда ще тества всички TCP портове ( -p-) и ще запише изхода в nmap.out.

nmap -oN nmap.out -p- 203.0.113.1 

Тестване на всички TCP портове и откриване на версията.

Следната команда ще тества всички TCP портове ( -p-), ще се опита да открие кои услуги и кои версии се изпълняват ( -sV) и ще запише изхода в nmap.out.

nmap -sV -oN nmap.out -p- 203.0.113.1 

Тестване на всички TCP портове и извършване на основни проверки за сигурност.

Следната команда ще тества всички TCP портове ( -p-), ще изпълни основни проверки за сигурност на отворените портове ( -sC) и ще запише изхода в nmap.out.

nmap -sC -oN nmap.out -p- 203.0.113.1 

Тези проверки за сигурност са особено полезни при откриване на често срещани уязвимости и неправилни конфигурации.

Други полезни опции

-v, -vv, -vvvводят до все по-подробен изход.

-sU се използва за UDP сканиране.

Заключение

Изпълнението на nmap не винаги е необходимо, но може да бъде много полезно, особено когато са налице сложни мрежови конфигурации и правила за защитна стена.