Kuinka testata palomuurikokoonpanosi Nmapilla Linuxissa

Johdanto

Nmap on ilmainen ja erittäin suosittu verkon suojausskanneri. Se on helppokäyttöinen ja erittäin tehokas. Tämä artikkeli selittää Nmapin asennuksen ja käytön palomuurin kokoonpanojen testaamiseen. Vaikka voit tarkistaa, mitkä portit ovat avoinna palomuurin kautta, sen testaaminen skannaamalla voi olla erittäin hyödyllistä. Jos sinulla on esimerkiksi palomuurisääntö, joka estää ulkopuolisen pääsyn MariaDB-palveluun, Nmap voi auttaa sinua varmistamaan, että palomuuri toimii tarkoitetulla tavalla.

HUOMAUTUS: Älä koskaan käytä Nmapia IP-osoitteissa, jotka eivät kuulu sinulle, ellei sinulla ole siihen nimenomaista lupaa Vultr.comin Acceptable Use Policy (AUP) mukaisesti.

Edellytykset

• Vultr VPS, joka käyttää Linux-jakelua
• Root-käyttöoikeus VPS:ään SSH:n tai konsolin kautta.

Asennus

Asenna Nmap VPS:ään, jota haluat testata.

• Debian ja Debian-pohjaiset jakelut: apt install -y nmap
• CentOS ja RHEL: yum install -y nmap

Käyttö

Ensin sinun on tiedettävä VPS:si IP-osoite. Sinun tulisi käyttää julkista IP-osoitettasi, koska tavoitteena on testata julkisen palomuurikokoonpanoa. Tätä artikkelia käytetään 203.0.113.1esimerkkinä. Muista korvata se omalla IP-osoitteellasi.

Testataan yhtä TCP-porttia.

Komento yksittäisen portin testaamiseksi on seuraava:

nmap -p 80 203.0.113.1

Tässä esimerkissä 80on TCP-portin numero, jonka haluat testata.

Esimerkkituloste:

root@debian1:~# nmap -p 80 203.0.113.1

Starting Nmap 7.40 at 2018-10-19 00:00 EEST
Nmap scan report for 203.0.113.1
Host is up (0.000097s latency).
PORT   STATE SERVICE
80/tcp open  http

Nmap done: 1 IP address (1 host up) scanned in 0.36 seconds

Kaikkien TCP-porttien testaus.

Seuraava komento testaa kaikki TCP-portit ( -p-) ja tallentaa tulosteen osoitteeseen nmap.out.

nmap -oN nmap.out -p- 203.0.113.1 

Testataan kaikkia TCP-portteja ja havaitaan versio.

Seuraava komento testaa kaikki TCP-portit ( -p-), yrittää havaita, mitkä palvelut ja versiot ovat käynnissä ( -sV), ja tallentaa tulosteen osoitteeseen nmap.out.

nmap -sV -oN nmap.out -p- 203.0.113.1 

Testaa kaikki TCP-portit ja suorita perusturvatarkistukset.

Seuraava komento testaa kaikki TCP-portit ( -p-), suorittaa perusturvatarkistukset avoimille porteille ( -sC) ja tallentaa tulosteen osoitteeseen nmap.out.

nmap -sC -oN nmap.out -p- 203.0.113.1 

Nämä turvatarkastukset ovat erityisen hyödyllisiä havaittaessa yleisiä haavoittuvuuksia ja virheellisiä määrityksiä.

Muita hyödyllisiä vaihtoehtoja

-v, -vv, -vvvjohtavat yhä monisanaisempiin tulosteisiin.

-sU käytetään UDP-skannauksiin.

Johtopäätös

Nmap-ohjelman suorittaminen ei aina ole välttämätöntä, mutta se voi olla erittäin hyödyllistä varsinkin, kun monimutkaiset verkkoasetukset ja palomuurisäännöt ovat käytössä.