Scanner les ports avec nmap

Transcription

1 Scanner les ports avec nmap Version Date Révision Auteur /01/2015 Initiation du document Shura /11/2015 Ajout des scans de versions et des «options bien pratiques». Shura

2 Description L'outil indispensable de tout administrateur système et réseau ou d'auditeur sécurité lors du pentest d'un système est le scanneur de ports. Incontestablement nmap est l'outil incontournable pour détecter les ports ouverts, fermés et filtrés ou non par un pare-feu. Nous allons aborder les différents types de scans. Les différents états Abordons les différents états d'un port : Ouvert : le port est ouvert et une application écoute. Fermé : le port est fermé aucune application n'écoute. Filtré : le port est ouvert ou fermé, mais un filtre nous empêche d'y accéder (probablement un parefeu). Non filtré : le port est ouvert ou fermé et aucun filtre nous empêche d'y accéder. Le scan TCP SYN C'est le scan le plus couramment utilisé, c'est celui par défaut de nmap. Il est aussi appelé «Half Open scan» car il n'établit pas pleinement la connexion TCP. Il permet de plus une différenciation fiable entre les états ouvert, fermé et filtré. Si aucune réponse n'est reçue après plusieurs essais, le port est considéré comme étant filtré. Il ne s'encombre pas à envoyer un ACK à chaque réponse positive. Un seul paquet est envoyé e qui fait de lui un scan rapide. # nmap X.X.X.X Ou # nmap -ss X.X.X.X 2

3 Le scan TCP connect Même principe que TCP SYN scan, sauf que cette fois la connexion est terminée en cas de port ouvert. Il peut donc laisser davantage de traces dans les logs. A noter qu'il y a un paquet supplémentaire d'envoyer ce qui fait qu'il est légèrement plus lent. # nmap -st X.X.X.X Le scan TCP FIN Ce scan permet de déterminer si un port et soit fermé, soit ouvert ou filtré. Il utilise la RFC TCP qui dit que si le port est fermé et qu'un paquet n'ayant pas de drapeau RST provoque en réponse l'émission d'un paquet RST. A noter, il permet de déjouer certains dispositif de filtrage ou routeur filtrants sans état de connexion, car ces types de scan n'ont pas un comportement de connexion normal. A noter qu'il ne fonctionnera pas avec certains systèmes tels que Microsoft Windows qui ne respecte pas la RFC. # nmap -sf X.X.X.X 3

4 Comme vous le voyez, ce scan ne peut pas faire la différence entre un port filtré ou ouvert. Le scan TCP NULL Même principe que le TCP FIN scan, sauf que cette fois ce sont tous les drapeaux qui sont mis à 0. # nmap -sn X.X.X.X 4

5 Le scan TCP Xmas Même principe que les deux précédents scans, avec cette fois l'activation des drapeaux URG, PUSH et FIN. # nmap -sx X.X.X.X Le scan TCP ACK Il est utilisé pour détecter la présence d'un pare-feu sur la machine cible ou entre la machine cible et la machine de scan. Nous ne saurons pas si les ports sont ouverts ou fermé, mais s'ils sont filtrés ou non. # nmap -sa X.X.X.X 5

6 Le scan UDP Le scan UDP envoie une en-tête UDP, si un message ICMP «port unreachable (type 3, code 3)» est renvoyé, le port est alors fermé. Les autres messages d'erreur «unreachable ICMP (type 3, codes 1, 2, 9, 10, or 13)» rendront le port filtré. Si un paquet UDP est retourné (coup de chance) alors il sera ouvert, sinon si aucune réponse n'est retournée il sera soit ouvert, soit filtré. # nmap -su X.X.X.X Les scans de versions Version des systèmes d exploitation L option O permet d activer la détection du système d exploitation. Cette option n est pas spécialement fiable à 100%, cependant elle donne de bonnes estimations cotées en pourcentage. # nmap O X.X.X.X La détection peut devenir plus agressive en utilisant l option --osscan-guess ou son équivalente --fuzzy. # nmap O -fuzzy X.X.X.X Version des services Il est possible de lancer la détection de versions des services en écoute avec l option -sv. # nmap sv X.X.X.X L option --version-all permettra de forcer tous les tests unitaires à chaque port. # nmap sv -version-all X.X.X.X Quelques options bien pratiques Scan sans ping Si le système ou l équipement cible ne répond pas au ping (ce qui est très courant) le scan de port ne se lancera pas avec la configuration par défaut de nmap. Vous pouvez désactiver le ping au lancement du scan avec l option Pn. # nmap Pn X.X.X.X Les ports L option p- permet de scanner les ports d un hôte, c est un raccourci bien pratique pour les fainéants. # nmap p X.X.X.X Ou # nmap p- X.X.X.X 6

7 Le mode verbeux Il est possible d activer le mode verbeux d nmap avec l option v, -vv et vvv pour augmenter la verbosité. Cette option permettra par exemple d afficher les ports ouverts au fur et à mesure de la progression du scan sans attendre la fin. C est utile lorsque le scan est long (matériel ou réseau sous dimensionné, plusieurs hôtes, -p-, firewall, etc.) et que l on souhaite analyser les premiers résultats dès que possible. # nmap vvv X.X.X.X Sauvegarde des résultats Les options on, -ox, -os et -og permettent respectivement de sauvegarder les résultats du scan dans un fichier normal, XML, s <ript kiddi3 et Grepable format. # nmap X.X.X.X on file.txt 7