Verkon turvallisuuden testaus-softa?

Liittynyt
08.01.2020
Viestejä
173
Hei,

kotiverkkoni on jaettu VLAN:eihin ja useisiin wifi-verkkoihin. Tottakai olen pyrkinyt asettamaan kaikki asetukset oikein, mutta olisi silti mieltä lohduttavaa ajaa eri verkoissa jokin testisofta, joka visualisoi minne kaikkeen verkosta on pääsy.

Google listaa lukuisiakin tähän tarkoitettuja softia, mutta luottaisin enemmän TechBBS:n yhteisöön, valitessani softaa, joka ei itse olisi troijalainen :) Voin ajaa softaa windowsissa, linuxissa tai vaikka androidissa.
 
Nmap:lla vaan ajelemaan omat IP avaruudet läpi niin selviää mitkä hostit on mistäkin saavutettavissa ja mitä portteja auki
 
Nmap:lla vaan ajelemaan omat IP avaruudet läpi niin selviää mitkä hostit on mistäkin saavutettavissa ja mitä portteja auki
nmap.org/ , ilmeisesti tuolta ?
Aloitta ilmeisesti haluaa varmistaa VLAN pitävyyden, linkin mukaan jäi käsitys että tuo toimii IP kerroksessa, en tavannut tarkkaan saati kokeillut. Eli riittääkö tuo kaikkeen ?

Eli jos pitäisi testata että portista onnistuu vain se ethernet liikenne mikä tarkoitus, ettei vuoda lähin kytkin, tai jostain muualta. VLAN tageilla tai ilman.
Jos itse pitäisi maalikkona testata niin hyvät ohjeet plussaa, ja tietenkin se mitkä rautavaatimukset oleellisia.
 
Joo eli NMAP jokaisesta vlan segmentistä toisiinsa, saa sillä avoimet portit tietoon. Huom, tämä ei sitten näytä että toimiiko sun muuri, vaan siellä toisessa päässä pitää olla jotain kuuntelemassa jotta se portti näkyy auki. Eli siis muurilla voi olla vahingossa kaikki portit auki mutta kohdepalvelimen muuri estää paketin tai sitten siellä kohdekoneen portissa ei ole mitään kuuntelemassa.

Eli kaikkeen tuplatsekki, ja ehdottomasti muurit päälle joka paikkaan, ei pelkästään keskitettyyn muuriin. Tällä estetään lateraalinen liikkuminen hyökkääjän näkökulmasta saman verkkosegmentin sisällä olevaan palvelimeen.

Jos sulla on ”hallintapalvelin” sieltä on helppo sallia ulospäin liikenne mutta ei sisään, näin hyökkääjä ei pääse hallintapalvelimelle haavoittuneen kohdepalvelimen kautta. Toki tämä sitten aiheuttaa harmia jos itse haluaa päästä miltä tahansa palvelimelta toiselle palvelimelle.

KTS Googlesta esim AD Red Forest tai AD tiering model. Zero trust on myös kiinnostava, helpoiten toteuttaa esim Tailscale:lla jolloin ei välttämättä tarvitse paljastaa mitään hallintaportteja koska kohde avaa reverse WireGuard tunnelin hallintapalvelimeen.
 
Joo eli NMAP jokaisesta vlan segmentistä toisiinsa, saa sillä avoimet portit tietoon. Huom, tämä ei sitten näytä että toimiiko sun muuri, vaan siellä toisessa päässä pitää olla jotain kuuntelemassa jotta se portti näkyy auki. Eli siis muurilla voi olla vahingossa kaikki portit auki mutta kohdepalvelimen muuri estää paketin tai sitten siellä kohdekoneen portissa ei ole mitään kuuntelemassa.

Tuossa aiemmin kyselin, voiko tuolla ohjelmalla testata sitä pitääko VLANit kuten haluttu, testata kupariportista, testata wifistä.
Ja jos tukee, niin mitkä on rautavaatimukset.

Jos ei taasen tue, niin millä sen ethernetin VLAN pitävyyden voisi testata ? noin yleisesti (aloittajalle voi riittää jokin muu) jotain sellaista helppoa kyselen, mikä ei vaatisi hirvesti osaamista. eli helpot ohjeet testiympäristön rakentamiseen ja käyyttöön.

Kirjoittaessa tuli mieleen että tarvitaanko siihen kaksi verkkokorttia?

Jos skannailet vain IP osoitteita jokin käyttöjärjestelmän takaa, niin se on vain se näkymä mitä siellä IP mailmassa käyttöjärjestelmän IP pinojen takaa näkyy ja jos testaa portista toiseen, niin "näkyvyys" voi olla ihan eri kuin se että uuden laitteen kytkee.
 
Viimeksi muokattu:
Tuossa aiemmin kyselin, voiko tuolla ohjelmalla testata sitä pitääko VLANit kuten haluttu, testata kupariportista, testata wifistä.
Ja jos tukee, niin mitkä on rautavaatimukset.

Jos ei taasen tue, niin millä sen ethernetin VLAN pitävyyden voisi testata ? noin yleisesti (aloittajalle voi riittää jokin muu) jotain sellaista helppoa kyselen, mikä ei vaatisi hirvesti osaamista. eli helpot ohjeet testiympäristön rakentamiseen ja käyyttöön.

Kirjoittaessa tuli mieleen että tarvitaanko siihen kaksi verkkokorttia?

Jos skannailet vain IP osoitteita jokin käyttöjärjestelmän takaa, niin se on vain se näkymä mitä siellä IP mailmassa käyttöjärjestelmän IP pinojen takaa näkyy ja jos testaa portista toiseen, niin "näkyvyys" voi olla ihan eri kuin se että uuden laitteen kytkee.
Hieman pidempi vastaus nyt kun pääsin vihdoin koneen äärelle :)

TLDR: lataa GNS3 ja labraa verkko, testaa siirtämällä koneita yms yms https://www.gns3.com/

https://visualsubnetcalc.com/ -> kätsy L2 verkkojen jakotyökalu.
Ehkä helpoin tapa toteuttaa testit on kaksi laitetta eri aliverkoissa. Eli otetaan seuraava tavoite, laite A ei saa keskustella laite B:n kanssa.

Laite A: 192.168.110.10/24
Laite B: 192.168.115.10/24

Vaikka laitteet ovat eri aliverkoissa, ne voivat silti kommunikoida keskenään jos laitat esim laite B:lle aliverkon maskiksi /16 eli 255.255.0.0, se voi kommunikoida laite A:n kanssa. Eli aliverkot eivät luo tietoturvaa, vain ainostaan loogisia tapoja eriyttää esim kuvitteellisessa yrityksessä eri toimipisteitä toisistaan. Aliverkotusta tarvitaan myös reitityksen toimintaan yms yms.

Nyt laitetaan VLAN:t käyttöön seuraavasti:
Laite A: VLAN1100 192.168.110.10/24
Laite B: VLAN1150 192.168.115.10/24

Oletetaan myös että laitteiden välillä ei ole mitään palomuuria vaan pelkästään L2 kytkin.
Laitteet eivät voi kommunikoida keskenään koska jokainen VLAN on oma "L2 broadcast domain", eli teknisesti kytkin ei anna X VLAN:ssa olevien laitteiden selvittää Y VLAN:ssa olevien laitteiden MAC osoitteita ARP taulusta.

Sitten testaamiseen:
Aseta laitteille seuraavat IP:t ja kytke ne eri VLAN:n kytkimessä:
Laite A: VLAN1 192.168.1.10/24
Laite B: VLAN2 192.168.1.11/24

Asenna molempiin laitteisiin Wireshark työkalu sekä Zenmap (jos käytät windowsia, kätsy GUI nmap:lle).
Käynnistä Wireshark ja aloita molemmilla laitteilla ethernet verkon pakettien tallentaminen.

Aja nyt laitteella A komento ping 192.168.1.11. Wiresharkissa näkyy välittömästi paketti jonka protokolla on "ARP"
1731265209613.png

Eli siis laite A lähettää kytkimelle (sekä koko L2 broadcast domainiin eli VLANiin) kyselyn missä on IP 192.168.20.2.
Jos laite ei ole samassa L2 verkossa (eli tässä tapauksessa eri VLAN:ssa), niin vastausta ei tule koskaan. Eli tällä on helppo todeta ovatko laitteet eri VLAN:ssa.

Tilanne muuttuu jos sinulla on reititin välissä. (HUOM! pitää vaihtaa eri L2 boradcast osoitteet muuten muuri ei tiedä mihin reitittää paketit :)) Eli tässä esimerkissä on liitetty VLAN:n trunkkina esim pfsense reitittävä muuri väliin ja molemmille VLAN:lle on luotu pfsensessä oma interface käyttäen VLAN Tag:jä:
Jokaisella kytkimellä on ARP taulu, josta kytkin sitten katsoo että onko kyseiseen IP:n jo minulla MAC osoitetta. Jos MAC osoitetta ei ole omassa taulussa, se lähettää koko kyseisen framen uudelleen koko verkkoon.
Reititin täten saa tämän kyseisen framen koska kytkin oli kytketty reitittimeen (tai kytkin ja reititin ovat toisissaan kiinni VLAN:n trunkilla yhden tai useamman kaapelin yli).
Reititin sitten ottaa tämän framen vastaan, katsoo siihen frameen liitetyn IP osoitteen jota alkuperäinen laite on kysellyt, katsoo löytyykö kyseistä IP avaruutta paikallisesta reittitaulusta.
Jos IP on paikallisessa reittitaulussa -> ohjaa frame kyseisen reittitaulun "porttiin" L2 broadcastina, ja siitä frame menee kyseisen VLAN:n kytkimelle ja siitä edelleen kytkimen ARP taulun avulla kohdekoneelle.

Ja vielä tähän lisäksi voidaan sitten laittaa pfsense muuriin estona että VLAN1 ei saa kommunikoida VLAN2:n kanssa (eli "default deny" sääntö). Tällöin paketit eivät ikinä mene VLAN:lta toiselle.

Ja tähän vielä lisäksi vaikka muuri sallisi paketin, voidaan estää kohdekoneella esim ICMP pakettiin vastaukset, jolloin kone mikä yrittää pingata toista konetta, vastausta ei tule ikinä takaisin.
 
Viimeksi muokattu:
Nyt oli perusteellinen vastaus. Suurimman osan jopa ymmärsin. Haastavaa on testailla kotiverkkoa. Itse laittanutkin siksi aina oletuksena uudesta VLAN:sta kaiken liikenteen muualle stop ja sitten tarpeen mukaan avataan reikiä kun testataan laitteistoja ja joku ei toimi.
 
Ehkä helpoin tapa toteuttaa testit on kaksi laitetta eri aliverkoissa. Eli otetaan seuraava tavoite, laite A ei saa keskustella laite B:n kanssa.
Oli mennyt vastaus ohi, sori, kiitos.
Toiveissa vähänhelpompi _:-)
Eli softa joka ihan ethernet tasolla testaa, kaksi verkkokorttia tai kaksi laitetta, ja softa joka sitten tuppaa ethernet verkkoon paketteja, yleis lähetykset, käy läpi eri VLAN tagit, ja kuuntelee mitä kuuluu. sovitteminen MAC osoittetta vaihtaa tarpeen vaatiessa.
Sitten käyt kytkeminen läpi portti kerralaan, perään Wifi tukarien verkot.

Kotikäytössä vähän sitä hintakattoakin. Vaihtoehtona on sitten ihan se että komponenentit on selkeitä ja ajatuksella käy läpi mitä tuli tehtyä, ja sitten pieni manuaali testillä pisto tsekki (Wireshark + portti millä puljaa)
 
Tuollaisen kun löydät niin vinkkaa, nimittäin olisi yrityskäytössä aika jees.

Lähin on ehkä Advanced IP Scanner - Download Free Network Scanner jota on tullut käytettyä monta vuotta kotikäytössä.

Yrityspuolella homma toimii paljon enemmän perustuen verkon valvontaan muureilla sekä kytkintasolla esim käyttäen sflow/netflow sekä ntopng softa. Muurit älähtää melkein heti jos vlan:ssa nähdään liikennettä mikä ei kuulu kyseisen vlanin subnettiin.
 
Jos oikein simppeliä porttiskanneria hakee, niin Android-puhelimille on saatavilla Fing, jolla voi skannata Wifi-verkon laitteita.
 
Jos oikein simppeliä porttiskanneria hakee, niin Android-puhelimille on saatavilla Fing, jolla voi skannata Wifi-verkon laitteita.
Tosta löytyy Winkkari-sovellus myös, mutta kerran kokeilleena vaikutti ehkä liiankin simppeliltä. Toki se listaa verkossa roikkuvia laitteita ihan kohtuudella.
 
Mulla on linux käytössä zenmap (nmap gui) näköjään olemassa myös windows gui.
Monipuoleinen ja helppokäyttöinen ip-skanneri, löytänyt monta hukassa olevaa laitetta ;)
Tuota joskus sivuilta katsellut, mutta en ehkä ole olenko kokeillut. Tukeeko se VLAN juttuja.

Jos oikein simppeliä porttiskanneria hakee, niin Android-puhelimille on saatavilla Fing, jolla voi skannata Wifi-verkon laitteita.
Ketjussa ei ehkä nyt haetan IP portti skannereita, vaan ethernet VLAN testeriä.

En tässä esitä että ketjuun tarjotut ei olisi toimivia ja hyviä, mutta ihan jokaista ei jaksaisi asentaa ja lähteä opiskeleen, että onko niissä haluttuja juttuja.

Laiskana sivuilta haulla etsii VLAN tekstiä, jos ei löydy, niin hypännyt seuraavaan.
 
Tuollainen fyysinen laite löytyy kyllä, Pockethernet
Sekä jos on fyrkkaa heittää niin Fluke LinkIQ™ Cable + Network Tester

En ole vielä kahdeksan vuoden järjestelmäasiantuntijan hommien jälkeen löytänyt mitään softaa mikä tekisi samaa poislukien tuo nmap.
Taitaa johtua siitä että allaolevan käyttöjärjestelmän pitää ymmärtää VLAN:ja ja softan pitää päästä sitten säätämään niitä…
 
Oma tarvehan on vain kartoittaa eri VLAN:sta mitä laitteita siellä on ja mitä portteja vlaniin näkyy mistäkin. Tietty olisi hyvä jos työkalu osaisi myös kertoa miksi jokin asia on riski.
 
Oma tarvehan on vain kartoittaa eri VLAN:sta mitä laitteita siellä on ja mitä portteja vlaniin näkyy mistäkin. Tietty olisi hyvä jos työkalu osaisi myös kertoa miksi jokin asia on riski.
Kyllä VLAN sisältä scannatessa ehdotettu nmap näyttää osoitteet ja portit, riskejä se ei suoraan näytä.
Eli esim kameroissa on välillä ftp portti johon ei itse pääse sisälle. Onko riski... en tiedä. Jos huolettaa niin täytyy blokata muualta.
 
Kyllä VLAN sisältä scannatessa ehdotettu nmap näyttää osoitteet ja portit, riskejä se ei suoraan näytä.
Eli esim kameroissa on välillä ftp portti johon ei itse pääse sisälle. Onko riski... en tiedä. Jos huolettaa niin täytyy blokata muualta.
Komppaan, eli perus verkon skannaus nmapilla, jonka jälkeen käydään läpi avoimet portit ja mahdolliset haavat.

Tähän haavojen ja verkkojen skannauksiin on monta erilaista tuotetta, kevyimmillään voit käyttää nmap+vulnscan database (GitHub - scipag/vulscan: Advanced vulnerability scanning with Nmap NSE). Tästä hieman automaattisempi versio on OpenVAS joka asetetaan verkkoon mistä on pääsy kaikkiin verkkoihin (muurilla mallia OpenVAS -> any). Sitten OpenVAS sisään kerrotaan sinun käyttämät aliverkot ja ajoitetaan skannaukset x ajan välein.

Kaupallisia tuotteita tästä on esim WithSecure RADAR sekä Nessus.
 
Oma tarvehan on vain kartoittaa eri VLAN:sta mitä laitteita siellä on ja mitä portteja vlaniin näkyy mistäkin. Tietty olisi hyvä jos työkalu osaisi myös kertoa miksi jokin asia on riski.
Fluke taidaa mennä pitkäksi, Pocketehernet jo kuluttaja, mutta taitaa sekin mennä pitkäksi, noita taitaa olla muitakin mutta hukkasin yhden linkin.

Onko kaikki piuhalaitteet samankytkimentakan ? saako sieltä mitään tolkullista näkymää, että sillä voisi olla suht varma.

Onko jokin vihamielinen verkko, naapuri, vieras, vuokralainen, teini, avoin, tai onko erityisen haavoittuva, riski, kiinteistöautomaatioverkko,

Sori pitkäveteinen, mutta testata tarkoitus se että VLAN pitää, kytkin ei vuoda. joka portti läpi , ja varmistaa ettei siitä portista pääsee vain haluttuihin portteihin.

Kaksi laitetta , A joka kyketään porttiin ilman VLAN ID, sillä skannattaan mitä laitteita ethernet verkossa on, sitten vaihdetaan VLAN ID sama homma, käydään kaikki ID läpi, koska kytkimet toimii mac osoitteiden kanssa, niin vaihdetaan sitä MAC osoitetta, niin vastaa tilannetta että uusi laite kytketty. Koska isoa homma käsin, niin ehkä riittää ilman VLAN ID, ja ne VLAN ID mitä käytössä.

Jos kaksi laitetta käytössä, niin toisella laitteella käydään kuuntelemassa mitä porteista kuuluu, joka VLAN/mac testi kierros mitä laite Alla

Sitten siirrtytään porttiin B. ja sama homma.

Kauhee homma jos portteje vähänkään enemmän, ns joka WiFi tukarin joka SSID pitää myös käydä läpi. (jos VLAN sidottu SSID)

Riittäskö jos koeponnistaa kunnolla ne riskialttiit portit.


Testilaitteen verkkosovittimen VLAN ID ja mac osoitteen voi vaihtaa ajureista, jos siellä tuki sille.

Wireshark mielestäni osaa näyttää etrhernet pakttien paketit, joista näkyy VLAN tavut.

Sitten joku skanneri joka etsii laitteita ethernet verkossa (ketjussa mainostettu joitain). oleellista se että ei mennä IP kerrosella, vaan ethernet.


MAC osoite tässä nyt vähän mietityttää, jos sitä ei vaihda, niin oma juttunsa, kytkimet kuitenkin senkin mukaan toimii, vaihtamalla taasen saat testattua sen että uusilaite kytkeytyy ko porttiin.

Kun VLANit testattu, ja Jos verkkojen välillä yhteys reittimen kautta, niin sen palomuurin voi sitten testailla IP tasolla.



Edit2
Jos ei ole tietkonetta jossa voi VLAN ID vaihtaa, niin kytkimestä yksi ylimääräinen portti, mihin kytket tietokoneen, ja muutat sen asetusta , siis se mikä VLAN ID siihen ilman tagia, ja sillä portin asetuksella vaihtelet. Kai sillä jo alkuun pääsee.

Sillä saat scannattua mitä mistäkin löytyy kytkettynä ja sitten siellä kakkos koneella käyt portit läpi tuleeko sinne mitään (Wireshark) ja kuuleeko tuo testikone mitään.

Jos testi laite ei tue VLANia, niin se jää testaamatta että portista tuuppaat tagattuja paketteja.


Oma tarvehan on vain kartoittaa eri VLAN:sta mitä laitteita siellä on ja mitä portteja vlaniin näkyy mistäkin. Tietty olisi hyvä jos työkalu osaisi myös kertoa miksi jokin asia on riski.
Kun VLANit testattu, ja Jos verkkojen välillä yhteys reittimen kautta, niin sen reititykset, säännöt sitten testata IP tasolla. Siinäkin parempi se että käyttöliittymä on selkeä,
 
Viimeksi muokattu:
Eli näytöstää ettei kovin selkeää skanneria ole olemassa? Kuvittelin että löytyisi softa jonka pistän läppärille, kytken läppärin eri wifi-verkkoihin ja eri kytkimen portteihin ja softa skannaa portit läpi ja kertoo mihin pääsee ja minne ei.
 
Ei ainakaan ilmaista.
Voihan tuon nmapin automatisoida niin että etsit sopivat liput siihen komentoon ja ajat sitä simppelin bash/powershell scriptin avulla. Scripti käynnistää nmapin ja tallentaa tuloksen CSV filuun. Samalla saat sen MAC osoitteen vaihdettua ainakin linux puolella. Piuha kiinni, tuplaklikkaa scriptiä ja eikun odottelemaan ainakin se pari minuuttia mitä nmapilla menee.

Nmappiin on saatavilla eri porttilistoja, esim top10, top100 sekä top1000, jolloin ei mene sitä puolta tuntia per verkko skannauksiin vaan skannataan kaikki verkon IP:t mutta vain esim top100 useiten käytettyä porttia.
 
Ei ainakaan ilmaista.
Voihan tuon nmapin automatisoida niin että etsit sopivat liput siihen komentoon ja ajat sitä simppelin bash/powershell scriptin avulla. Scripti käynnistää nmapin ja tallentaa tuloksen CSV filuun. Samalla saat sen MAC osoitteen vaihdettua ainakin linux puolella. Piuha kiinni, tuplaklikkaa scriptiä ja eikun odottelemaan ainakin se pari minuuttia mitä nmapilla menee.

Nmappiin on saatavilla eri porttilistoja, esim top10, top100 sekä top1000, jolloin ei mene sitä puolta tuntia per verkko skannauksiin vaan skannataan kaikki verkon IP:t mutta vain esim top100 useiten käytettyä porttia.
Pari ektjussa mainostettu ohjelmaan kokeilin ja mielestäni winkkarilla kokeilin tuota nmappia, niin näytti hakevan verkosta vain laitteiteita joilla on IP: Olin toki malttamaton.
 
Suosittelen kokeilemaan tuota ZenMap, jota jo ehdotettiin, jos et vielä ole testannut...
 
Pari ektjussa mainostettu ohjelmaan kokeilin ja mielestäni winkkarilla kokeilin tuota nmappia, niin näytti hakevan verkosta vain laitteiteita joilla on IP: Olin toki malttamaton.
Mitähän sen pitäis löytää, toisesta aliverkosta se ei löydä.
Suosittelen kokeilemaan tuota ZenMap, jota jo ehdotettiin, jos et vielä ole testannut...
Zenmap on Gui meille heikoille, tosihenkilöt sitten komentoriviltä loitsuja luettelemaan ;)
 
Tietenkin jos haluaa syvemmin tutkia, niin esim. Greenbone Free (entinen OpenVAS)

Nessus saa version, joka skannaa max 16 IP osoitetta

Rahalla sitten saa ties miten hienoja systeemejä...
 

Statistiikka

Viestiketjuista
259 029
Viestejä
4 503 711
Jäsenet
74 313
Uusin jäsen
okimotoyoko

Hinta.fi

Back
Ylös Bottom