Lektion 3: Network Penetration Testing (CEH v12)

Efter at have indsamlet stamoplysninger i footprinting-fasen, bevæger vi os i denne lektion over i de mere aktive faser af et angreb. Notatet her dækker kapitel 5 (Scanning Networks) og kapitel 6 (Enumeration) fra Certified Ethical Hacker (CEH) v12.

1. Scanning Networks (Kapitel 5)

Scanning er skridtet dybere end footprinting. Hvor recon handlede om passive domæne-opslag og virksomhedsstruktur, handler scanning om konkret interaktion med netværksudstyret for at finde levende hosts, åbne porte, kørende services og operativsystemer (OS Fingerprinting).

Scanningsmetoder:

  • TCP Connect Scan (Full Open Scan): Gennemfører det fulde “three-way handshake” (SYN $\rightarrow$ SYN-ACK $\rightarrow$ ACK). Er langsomt og logges med sikkerhed i målets logs.
  • TCP SYN Scan (Stealth Scan / Half-open): Standardscannet for værktøjer som Nmap (-sS). Afsender kun en SYN-pakke – hvis målet svarer tilbage med en SYN-ACK, ved vi at porten er åben, men vi sender en RST (Reset) for at afbryde forbindelsen i stedet for at fuldføre den. Kan somme tider flyve under radaren i ældre systemer.
  • Xmas Scan: Sender en pakke med FIN, PSH og URG flagene sat i TCP headeren (lyser op som et juletræ). Bruges primært til at omgå visse regelbaserede firewalls (oftest effektiv mod Unix/Linux systemer, afvises/droppes typisk i Windows).

OS Fingerprinting / Banner Grabbing:

  • Vigtigt element i at finde potentielle sårbarheder, er at vide præcis hvilket OS the host kører (f.eks. Windows Server 2019 eller Ubuntu 22.04 LTS).
  • Aktiv fingerprinting: Nmap (med -O parameteren) inspicerer specifikke forskelle i, hvordan forskellige netværksstakke reagerer på uventede TCP-flag og ICMP-pakker.
  • Passiv Fingerprinting: At sniffe pakker i luften via tools som Wireshark uden selv at sende nogen trafik for at afsløre OS.

Advarsel: Scanning af netværk uden explicit skriftlig tilladelse kan betragtes som en strafbar handling ligestillet med at trække i dørhåndtag og vinduer på en fremmed bygning.

2. Enumeration (Kapitel 6)

Hvor scanning finder åbne døre (porte), sørger Enumeration for at “kigge ind”. Det er den direkte tekniske udvinding af konfigurationer, maskinnavne, brugernavne, grupper, shares og routing-tabeller fra det fundne host-operativsystem eller underliggende services.

Primære Enumeration Vektorer og Porte:

  • NetBIOS (Port 137, 138, 139): Specielt i ældre Windows netværk blev det brugt til domæne- og filnavnsdeling. Tillader en angriber at stjæle en liste over computeraktiver.
  • SMB (Port 445 - Server Message Block): Efterfølgeren til NetBIOS for Windows-fildeling. Meget lukrativt mål, via Null Sessions (anonym adgang uden adgangskode) kan man trække komplette Active Directory lister over medlemmer og password-politikker.
  • SNMP (Port 161/162 - Simple Network Management Protocol): Bruges til overvågning af netværksudstyr. Kører komponenter stadig med default “Community Strings” (f.eks. passwords som public eller private), er det fatalt for netværket, og angriberen kan aflæse enorme mængder router og switch config data.
  • LDAP (Port 389/636): Lightweight Directory Access Protocol. Ved vellykket LDAP-enumeration kan en hacker kortlægge hele virksomhedens Active Directory træstruktur internt.

Vigtige og gængse værktøjer:

  • Nmap Scripts (NSE): Nmaps indbyggede motor, der indeholder specifikke scrips for smb-enumeration, snmp, og utallige andre protokoller.
  • Enum4linux: Perl script specifikt designet til at hente info fra Windows- og Samba-servere via SMB og NetBIOS.
  • SNMPWalk: Aflæser OID (Object Identifiers) direkte fra SNMP aktiverede maskiner.

Kilder

> Quiz: Test din viden

1. Hvad er et TCP SYN Scan?

2. Hvad trækker Enumeration ud fra åbne porte og services?

3. Hvilken port bruger SMB?

4. Hvad tillader NetBIOS Null Sessions?