Nmap ile Ag uzerinde envanter calismasi

[megabros]

Guvenligi saglanacak bir ortamda yapilmasi gereken ilk is envanter calismasi yapmaktir. “Neyi koruyacaginizi bilmezseniz nasil koruyacaginizi da bilmezsiniz” ozlu sozu bu durumu cok iyi acikliyor. Envanter calismalarinda yasanan temel iki sıkıntıdan biri envanter calismasinin nasil yapilacagi(aktif, pasif?) digeri de envanterin  guncel tutulmasidir.

Sistemimde kullanılan guvenlik yazılım/donanımları icin basit bir excel tablosu(piyasada bulunan envanter tutma programlari cok karmasik geldigi icin) tutuyor ve her envanter bileseni karsısına sorumlusunu yazıyorum ve elimden geldigince guncel tutuyorum.

Fakat is sistemde kontrol edilecek(sunucu sistemler) aktif makinelere gelince bu kadar basit olmuyor. Binlerce sunucunun ve her gun yenilerinin eklenip/cikarildigi bir ortamda bu isi excel vs ile yapmak mumkun degil.

Bu sebeple isi otomatize etme amaciyla Nmap’i kullanmaya karar vermistim. Her gun/hafta Nmap ile yapacagim taramalari karsilastirip yeni eklenen ip, servis, isletim sistemi, cihaz(Nmap ile alinabilecek tum bilgiler)lari bulup bunlari bir onceki tarama sonuclari ile karsilastiriyor ve listemi guncel tutmaya calisiyordum.

Bugun gordugum benzer bir calisma bana isimi daha kisa surede daha az ugrasla yaptiracak bir fikir verdi.

http://blog.rootshell.be/2008/10/15/asset-management-using-nmap/ adresindeki blog girdisi benim uzun uzun yaptigim isi Google SOC kapsaminda nmap raporlarini (xml) karsilastirip yeni eklenen, cikarilan sistemleri raporlayan bir arac “Ndiff” la nasil yapilacagini anlatmis.

Kisaca yapilan islem; Nmap ile tarama sonuclarini xml formatinda kaydedecek bir tarama yap ve bunu baseline tarama olarak al. Sonra her gece/hafta yapacagin ek taramalar sonucu cikan raporlari bir onceki ile karsilastir(Ndiff araciligi ile) ve sonuclari incele. Arada cikan farklar icin Firewall ve sistem ekibini sorgula:). Bazen oyle durumlarla karsilasiyorsunuz ki : bir ip adresi uzerinden yayin yapan sistem kapatiliyor fakat ayni ip adresi uzerinde tamamen farkli bir sistem devreye aliniyor. Bu gibi istenmeyen durumlari saglikli bir envanter calismasi ile farkedebilirsiniz, tabi eger Nmap ile yaptiginiz taramalarda isletim sistemi ve servis bilgilerini de aliyorsaniz.

Tarama sonrasi ekteki gibi ciktilar aliyorsunuz ki bu da fazlasi ile yeterli oluyor.

– ndiff /root/baseline.xml /root/current.xml Wed Oct 15 13:25:02 2008 -> Wed Oct 15 13:25:02 2008 server1.rootshell.be (10.255.0.12): 25/tcp is closed, was open. –

Saygılar..