Ako otestovať konfiguráciu brány firewall pomocou Nmap v systéme Linux

Úvod

Nmap je bezplatný a veľmi populárny sieťový bezpečnostný skener. Ľahko sa používa a je veľmi výkonný. Tento článok vysvetlí inštaláciu a použitie Nmap na testovanie konfigurácií firewallu. Aj keď môžete skontrolovať, ktoré porty sú otvorené cez váš firewall, testovanie skenovaním môže byť veľmi užitočné. Napríklad, ak máte pravidlo brány firewall, ktoré zakazuje vonkajší prístup k vašej službe MariaDB, Nmap vám môže pomôcť uistiť sa, že brána firewall funguje podľa plánu.

POZNÁMKA: Nikdy by ste nemali spúšťať Nmap na IP adresách, ktoré vám nepatria, pokiaľ na to nemáte výslovné povolenie podľa Zásad prijateľného používania ('AUP') Vultr.com.

Predpoklady

• Vultr VPS s distribúciou Linuxu
• Rootový prístup k vášmu VPS cez SSH alebo konzolu.

Inštalácia

Nainštalujte Nmap na VPS, ktoré chcete otestovať.

• Debian a distribúcie založené na Debiane: apt install -y nmap
• CentOS a RHEL: yum install -y nmap

Použitie

Najprv musíte poznať IP adresu vášho VPS. Mali by ste použiť svoju verejne prístupnú IP adresu, pretože cieľom je otestovať konfiguráciu brány firewall pre verejnosť. Tento článok bude použitý 203.0.113.1ako príklad. Uistite sa, že ste ju nahradili vlastnou IP adresou.

Testovanie jedného TCP portu.

Príkaz na testovanie jedného portu je nasledujúci:

nmap -p 80 203.0.113.1

V tomto príklade 80je číslo portu TCP, ktorý chcete otestovať.

Príklad výstupu:

root@debian1:~# nmap -p 80 203.0.113.1

Starting Nmap 7.40 at 2018-10-19 00:00 EEST
Nmap scan report for 203.0.113.1
Host is up (0.000097s latency).
PORT   STATE SERVICE
80/tcp open  http

Nmap done: 1 IP address (1 host up) scanned in 0.36 seconds

Testovanie všetkých portov TCP.

Nasledujúci príkaz otestuje všetky TCP porty ( -p-) a uloží výstup do nmap.out.

nmap -oN nmap.out -p- 203.0.113.1 

Testovanie všetkých portov TCP a zistenie verzie.

Nasledujúci príkaz otestuje všetky TCP porty ( -p-), pokúsi sa zistiť, ktoré služby a ktoré verzie sú spustené ( -sV) a uloží výstup do nmap.out.

nmap -sV -oN nmap.out -p- 203.0.113.1 

Testovanie všetkých TCP portov a spustenie základných bezpečnostných kontrol.

Nasledujúci príkaz otestuje všetky TCP porty ( -p-), spustí základné bezpečnostné kontroly na otvorených portoch ( -sC) a uloží výstup do nmap.out.

nmap -sC -oN nmap.out -p- 203.0.113.1 

Tieto bezpečnostné kontroly sú užitočné najmä pri zisťovaní bežných zraniteľností a nesprávnych konfigurácií.

Ďalšie užitočné možnosti

-v, -vv, -vvvVedú k stále ukecaný výstup.

-sU sa používa na skenovanie UDP.

Záver

Spustenie nmap nie je vždy potrebné, ale môže byť veľmi užitočné, najmä ak sú zavedené komplikované sieťové konfigurácie a pravidlá brány firewall.