本文是如何在企业环境中使用Nmap软件的系列应用指南的第六讲。 在到目前为止的应用指南中,我们考察了如何使用Nmap映射一个网络和检查Nmap暴露的潜在的攻击者的什么信息。在本期应用指南中,我们将研究如何使用Nmap测试你的防火墙配置的有效性。 理解你的防火墙如何处理不请自来的通讯的最佳方法之一是验证你的防火墙的过滤器和规则正在按照你的预期工作。
例如,例如,许多管理员在制定允许通讯穿过防火墙的规则时犯的错误之一是仅仅根据其来源端口的编号就信任这个通讯,如端口53的DNS应答或者端口20的FTP等。要测试你的防火墙是否允许所有的通讯经过一个特定的端口,你可以充分利用Nmap的TCP扫描功……
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
本文是如何在企业环境中使用Nmap软件的系列应用指南的第六讲。
在到目前为止的应用指南中,我们考察了如何使用Nmap映射一个网络和检查Nmap暴露的潜在的攻击者的什么信息。在本期应用指南中,我们将研究如何使用Nmap测试你的防火墙配置的有效性。
理解你的防火墙如何处理不请自来的通讯的最佳方法之一是验证你的防火墙的过滤器和规则正在按照你的预期工作。例如,例如,许多管理员在制定允许通讯穿过防火墙的规则时犯的错误之一是仅仅根据其来源端口的编号就信任这个通讯,如端口53的DNS应答或者端口20的FTP等。要测试你的防火墙是否允许所有的通讯经过一个特定的端口,你可以充分利用Nmap的TCP扫描功能,包括SYN扫描,对欺骗性的源端口号码选择进行扫描。仅仅提供一个端口号码, Nmap就会从那个端口发送数据包。例如,使用下面的命令将运行一次FIN扫描,使用一个欺骗性的源端口号码25(SMTP),把输出结果存储名为 “firewallreport.txt”的文件。
nmap -sF -g 25 -oN firewallreport.txt www.yourorg.com
测试你的防火墙应付碎片数据包通讯的能力也是值得的。攻击者经常把TCP头文件分为几个数据包,使数据包过滤器和入侵检测系统很难检测到这种攻击。虽然碎片数据包不能通过对所有的IP碎片进行排列检查的数据包过滤器和防火墙,但是,许多设备为了避免性能下降在默认的状态下都关闭了排列检查功能。可以增加“-f”选项来设置扫描发送碎片式的IP数据包。
在审查你的防火墙的时候,我建议你按照数字的顺序(选项 -r)进行扫描。这样,在分析Nmap输出文件时就很容易跟上通讯流。然而,在测试防火墙和入侵检测系统的效率时,你可以使用默认的方式进行扫描,也就是随机的端口顺序。在随机顺序的端口扫描中,可以使用随机的主机选项对主机进行扫描,随机的主机的缩写字是“-rH”。这个选项与我们将在下个星期介绍的减缓时间的选项结合在一起将使你拥有的任何网络监视设备努力工作以检测扫描的结果。测试你的网络防御能力的一个命令的例子是:
nmap -sS --scan-delay 500 -f -rH firewallreport.txt www.yourorg.com
一旦你发现任何没有过滤的端口或者其它问题,你应该审查你的防火墙规则以确保对所有服务的访问在控制之下,过滤器和规则正在按计划发挥作用。经过修改之后,再一次运行Nmap,以检查你取得满意结果的机会。Nmap提供了许多饶过配置不佳的防火墙的功能,因此可以扮演一个攻击者的角色并且发现你的网络防御是否能够应付FTP反弹扫描、空闲扫描和碎片攻击。
作者
相关推荐
-
NSS实验室评估下一代防火墙
根据NSS实验室对下一代防火墙的评估发现,来自七家供应商的产品可有效保护企业免受恶意流量的侵害,而且总体拥有成 […]
-
为什么单靠网络外围安全行不通?
近20年来,大多数企业对网络安全采取了古老的“吊桥和护城河”的方法,即把所有企业流量汇集到网关,同时通过防火墙阻止所有不良流量。现在这种方法怎么会可行…
-
“外围”消亡 企业安全防护需要新形态
外围不复存在,所以我们如何期望防火墙保护员工呢?防火墙如何保护移动设备上的应用呢?因此,企业既要利用网络级的保护,更要重视利用应用级的保护。
-
怎样正确地测试和维护防火墙?
大多数企业认为防火墙是一种成熟的技术,且通常安全专家也不会过多考虑防火墙。在审计或评估防火墙时,企业通常只是简单地勾选表明防火墙在保护网络的选项就完事……