Netzwerkanalyse mit nmap

nmap ist eine Open-Source Software, um das eigene Netzwerk zu analysieren und zu überprüfen. Hierbei ist wichtig zu wissen, dass es aus rechtlichen Gründen nur im eigenen Netzwerk eingesetzt werden darf oder die Genehmigung zum Scannen eines fremden Netzes vorliegen muss! Seit 2007 gibt es den sogenannten Hackerparagraphen „§ 202c
Vorbereiten des Ausspähens und Abfangens von Daten“
, der dem Einsatz gewisser Tools nicht gerade offen gegenüber steht. Dazu gehört auch nmap. Wie soll es jedoch ohne den Einsatz solcher Tools möglich sein, sein eigenes System/Netz auf potentielle Schwachstellen zu prüfen? Nur weil ein Werkzeug eine gewisse Möglichkeit bietet, heisst es nicht, dass es auch genau dafür eingesetzt wird. Eine Kettensäge… Ach lassen wir das…

Die Installation kann z.B. auf einem Raspberry Pi oder auch direkt auf einem OpenWRT Router erfolgen, der an das Netzwerk angeschlossen ist. Unter Debian basierten Systemen wird nmap wie folgt installiert.

sudo apt-get update && sudo apt-get install nmap

Ist nmap installiert, kann auch sofort mit dem Einsatz losgelegt werden. Im Folgenden werden ein paar typische Einsatzszenarien für nmap beschrieben. Eine detaillierte Anleitung findet sich im Handbuch, welches direkt auf dem Raspberry Pi gelesen werden kann.

man nmap

Soll ermittelt werden, wieviele aktive Clients sich in einem Netzsegment (/24) befinden?

nmap -v -sn 192.168.1.0/24

Das Ergebnis kann auch direkt in eine Datei geschrieben werden.

nmap -v -sn 192.168.1.0/24 > /tmp/scan_result.txt

Zeige alle offenen Ports eines bestimmten Systems an. Dieser Befehl ist z.B. gut zu gebrauchen, wenn ein Raspberry Pi im Internet hängt und festgestellt werden soll, über welche Ports überhaupt kommuniziert werden kann.

nmap -v 192.168.1.100

Das nächste Beispiel ist nur mit root Rechten möglich, da es unter anderem prüft, welches Betriebssystem auf einem aktiven Host in einem definierten Netzsegment läuft. Hierbei werden natürlich auch aktive WLAN Geräte gescannt und in dem Report entsprechend angezeigt. Zusätzlich werden offene Ports, MAC Adressen, Hostname und IP Adresse angezeigt.

sudo nmap -sS -O 192.168.1.0/24

nmap01

Anhand dieser Beispiele lässt sich schon erkennen, wie mächtig das Tool nmap ist. Die Ergebnisse werden leicht verständlich dargestellt. Da man es nicht oft genug sagen kann, hier nochmal: Finger weg von fremden Netzen! Schon allein der Scan kann bzw. wird in Deutschland strafrechtlich verfolgt! Aber um das eigene Netzwerk zu testen bzw. um Netze besser zu verstehen, ist nmap absolut klasse.