Die Werkzeuge rund um das Nmap-Projekt

Kein Admin möchte auf Nmap verzichten, wenn es darum geht, ein Netzwerk zu inventarisieren, offene Dienste zu überprüfen oder komplexe Firewall-Regeln zu verifizieren [1]. Dass das Nmap-Projekt auch weitere Tools hervorgebracht hat, die darüber hinausgehen, weiß nicht jeder. Einige der Werkzeuge sind neueren Datums, in vielen steckt Potenzial, das sich nicht auf den ersten Blick offenbart. Grund genug für eine Tour d\'Horizon rund um Nmap und seine Helfer.

Klickende Hacker

Die Fülle an Möglichkeiten von Nmap ist für Einsteiger ein harter Brocken. Die über hundert Programmoptionen wirken auf den ersten Blick abschreckend. Da führen auch die ausführliche und hilfreiche Manual-Page oder das kürzlich erschienene Buch vom Projektleiter Fyodor erst mal nicht zum schnellen Erfolg [2]. Zenmap, die grafische Oberfläche der zweiten Generation, erleichtert den Einstieg bereits deutlich. Die Eingabe eines Ziels sowie die Auswahl eines vordefinierten Scanprofils reichen bereits aus, um erste Resultate zu erhalten. Entdeckte Rechner und deren Dienste bereitet Zenmap strukturiert auf (siehe Abbildung 1). Im ersten Reiter präsentiert sich dem Anwender die altbekannte textuelle Ausgabe von Nmap - farblich aufgepeppt. Durch einen Klick in die Rechnerliste navigiert der Admin durch die Resultate.

Abbildung 1: Zenmap ist mehr als ein Wrapper um Nmap: Das Werkzeug stellt die gewohnte Ausgabe des Scanners grafisch aufgepeppt dar.

Im zweiten Reiter sind die Autoren von Zenmap noch einen Schritt weiter gegangen: Hier stellt das Tool die Dienste dar, die der ausgewählte Rechner offenhält. Schaltet der Anwender von dieser Ansicht auf die Liste der Services um, zeigt das Tool rechts die Systeme an, die die jeweiligen Daemons anbieten. Ein Netzadmin, der sich Sorgen um die Ausbreitung eines Wurms wie Conficker macht, listet so beispielsweise alle Systeme auf, deren TCP-Port 445 offen steht und damit vielleicht von der Windows-Schwachstelle MS08-067 [3] betroffen sind.

Zenmaps Resultate hängen wesentlich vom gewählten Scanprofil ab. Neben dem regulären Scan mit den Standardeinstellungen von Nmap bieten neun vordefinierte Profile bereits für viele Einsatzzwecke angepasste Konfigurationen (siehe Abbildung  2). Bei den Namen der Scanprofile macht sich bemerkbar, dass die deutsche Übersetzung der Benutzeroberfläche noch unvollständig ist.

Abbildung 2: Die mitgelieferten Profile decken viele Anwendungsfälle vom Übersichtsscan eines Netzes bis zur Detailanalyse eines Hosts ab.

Tagesmenü oder à la carte?

Ein Ping-Scanprofil bietet die Grundlage für die so genannte Host Discovery, also das Entdecken von aktiven Rechnern, ohne sie komplett nach offenen Ports zu scannen. Ein derartiger Scan bereitet oft weitere Untersuchungen vor. In einem ersten Schritt versucht der Admin in einem großen IP-Adressenbereich die erreichbaren Systeme zu finden. Erst im zweiten Schritt führt er weiterführende Suchläufe gegen die erreichbaren Systeme durch.

Zwei Quick-Scans aktivieren Nmap-Optionen, um rasche Analysen mit wenigen gesendeten Paketen zu starten. Sie erzielen dafür bei nicht-lokalen Scans eine etwas geringere Genauigkeit. Ein weiteres Profil untersucht die Netzwerktopologie, indem es den Mechanismus von Traceroute verwendet. Vier Profile widmen sich intensiven Suchläufen mit verschiedenen Protokollen. Sie sind gute Voreinstellungen für umfangreiche Scans mit allen Tricks von Nmap, insbesondere auch der Betriebssystemerkennung, Versionserkennung von Diensten und dem Ausführen von NSE-Skripten [4].

Der langsame Comprehensive Scan aktiviert schließlich das volle Programm: Mit diesen Einstellungen verwendet Zenmap das komplette Arsenal der Möglichkeiten von Nmap, das die grafischen Oberfläche in jedem Fall aufruft. Das Tool sucht mit diversen Methoden nach Hosts, fahndet über alle existierenden Ports nach TCP- und UDP-Diensten, erledigt OS- und Version-Detection, startet das Skript-Scanning und zeichnet die Verbindungswege mit Traceroute auf. Solche Scans decken zwar alle Bedürfnisse ab, sind aber auf dem Kabel höchst auffällig, da sie sehr viel Netzwerkverkehr erzeugen.

Durch die Wahl des Profils stellt Zenmap passende Nmap-Optionen zusammen und zeigt sie dem Benutzer an, er darf Parameter auch verändern oder ergänzen. Damit präsentiert sich Zenmap nicht nur als Werkzeug für Anfänger, anspruchsvolle Anwender haben oft genaue Vorstellungen davon, mit welchen Parametern sie einen Scan durchgeführen wollen.

Wer zum Beispiel bis ins Detail wissen will, aus welchem Grund Nmap einen Port als offen oder geschlossen markiert hat, aktiviert beim Scannen die Option »--reason«. Dieser Parameter bewegt Nmap dazu, zusammen mit den Resultaten auch auszuweisen, welche Art von Antwortpaket Nmap von einem untersuchten Rechner empfangen hat.

Profis gehen noch einen Schritt weiter und fügen neue Profile hinzu, indem sie oft benötigte Parameter zu den mitgelieferten Vorgaben hinzufügen. Wer sich im Dschungel der Nmap-Parameter noch nicht auswendig zurechtfindet, verwendet den Befehlsassistenten, um einen maßgeschneiderten Nmap-Scan zusammenzustellen (siehe Abbildung 3).

Abbildung 3: Mit Hilfe des Befehlsassistenten lassen sich komplexe Scans zusammenstellen. Das Ergebnis dürfen Admins trotzdem manuell anpassen.