IP-аналитика обеспечивает современную перспективу для защиты виртуальной организации таким же образом, как физический офис и активы организации. А с увеличением частоты и изощренности интернет-атак необходимость защиты своей организации становится все более важной с каждым днем. Поэтому рассмотрим как создать полную IP-карту вашей организации.
Почему обнаружение IP-адресов важно для организаций
Поскольку в организациях используется несколько стеков программного обеспечения, а внутренние группы используют разные версии одного и того же программного обеспечения, важно понимать и отслеживать, что и где выполняется.
Учтите следующее: часто программное обеспечение тестируется на устаревших платформах, чтобы гарантировать совместимость с версиями программного обеспечения с долгосрочной поддержкой (LTS). В этом сценарии крайне важно знать, является ли сама тестовая платформа безопасной или нет, поскольку уязвимости могут проникнуть в саму тестовую платформу, открывая тестируемое программное обеспечение для угрозы внедрения вредоносного кода.
Техническое обслуживание — еще один важный аспект, который следует учитывать. Общедоступные веб-приложения с выходом в Интернет часто настраиваются и остаются работающими без обслуживания, а это означает, что компоненты веб-приложения (например, веб-сервер или база данных) могут устареть, оставив работать с присутствующими уязвимостями. И эти уязвимости могут быть использованы злоумышленниками для проникновения в сеть вашей организации.
Проще говоря, IP-разведка является ключевым моментом, чтобы знать, какие службы работают в вашей организации, для целей обслуживания и безопасности.
Обнаружение IP с помощью Nmap
Nmap — это удобный инструмент для составления карты сети, который можно использовать из любой системы под управлением Linux или Windows для составления карты своей организации. Однако, когда дело доходит до картографирования крупных организаций, Nmap имеет определенные недостатки, связанные со скоростью и временем.
Затем запустите Nmap для сканирования диапазона IP-адресов, от 192.168.0.1 до 192.168.0.100, с помощью следующей команды:
nmap 192.168.0.1-100
Конечная «загвоздка» в использовании Nmap заключается в том, что вы уже должны знать все активы IP-адреса вашей организации перед тем, как начать. Только после того, как все IP-адреса вашей организации будут просканированы, вы сможете получить полное покрытие при поиске устаревшего программного обеспечения, неправильно настроенных частных служб через общедоступные сети и т. д.
А как насчет fping?
fping — еще один удобный инструмент для обнаружения активных хостов в пространстве IP-адресов вашей организации.
Рассмотрим следующий пример:
fping -g -r 1 192.168.0.0/24
С помощью приведенной выше команды fping отправляет 1 запрос ping на каждый IP-адрес в подсети 192.168.0.0/24 (то есть с 192.168.0.1 на 192.168.0.254). Все активные хосты, которые отвечают на запрос ping, будут перечислены на вашем терминале.
Уловка с использованием fping аналогична той, что используется при использовании Nmap: некоторые хост-устройства по умолчанию просто не отвечают на запросы ping (например, системы Windows и другие устройства с брандмауэром). Это может привести к пропуску узловых устройств, что, в свою очередь, может привести к тому, что ваша организация останется уязвимой для злоумышленников и множества распространенных угроз сетевой безопасности.
Полное обнаружение IP с помощью SurfaceBrowser ™
Давайте посмотрим, как вы можете выполнить полное обнаружение IP-адресов в своей организации.
Перейдите к SurfaceBrowser ™ по адресу https://securitytrails.com/app/sb.
Введите доменное имя вашей организации в поле поиска вверху:
Оказавшись на странице, перейдите в область IP-адресов.
и панель управления IP-адресами.
Сводка по региональному регистратору
Это первый блок информации, доступный вам через инструмент SurfaceBrowser ™.
Региональный регистратор часто является ключевым элементом информации при попытке выяснить, где используется IP-адрес. Региональные регистраторы часто имеют ограничения в отношении того, в каком регионе можно использовать IP-адрес; IP-адреса, выделенные APNIC, могут использоваться только в Азиатско-Тихоокеанском регионе, в то время как IP-адреса LACNIC могут использоваться только в Южной Америке.
Статистика по размеру IP-подсети
Следующая ключевая информация — это размер IP-подсети.
Размер IP-подсети позволяет подсчитать, сколько IP-подсетей присутствует. Подсети часто используются для каждого проекта, когда группа IP-адресов будет использоваться для одной и той же цели или будет подключена к одной и той же физической системе.
Черный список IP-адресов
Ниже показан скриншот где показан список заблокированых IP-адресов
Теперь давайте посмотрим на блок IP:
Далее мы попадаем на информационную страницу IP Block 165.156.0.0/16:
Здесь вы видите количество IP-адресов, которое представляет собой количество IP-адресов в этом блоке, а также другую информацию о IP-блоке.
Что наиболее важно, мы видим организацию, которая сообщает нам, какому подразделению GE назначен этот IP-блок — в данном случае GE Drive Systems.
Если прокрутить дальше вниз, мы найдем отдельные подсети и IP-адреса в этом большом блоке IPv4 / 16:
Взглянем на подблок 165.156.128.0/20,
мы видим открытые порты в этом блоке IP, имена хостов, связанные с этим блоком IP, и указание на то, что блок IP имел выходную сетевую активность.
Нажав на этот блок IP, мы получим дополнительную информацию об отдельных IP-адресах и подсетях внутри.
Резюме
Использование SecurityTrails SurfaceBrowser ™ дает вам четкое представление об IP-активах вашей организации и работающих на них службах.
С появлением IPv6 и сетей с двойным стеком критически важно знать, какие адреса и где назначены, чтобы также развернуть брандмауэры для устройств с IPv6.
Защита веб-сервисов и веб-приложений вашей организации начинается с знания и понимания активов интеллектуальной собственности вашей организации. Только тогда вы сможете эффективно организовать и поддерживать различные части программного обеспечения, работающие на задействованных IP-адресах.
?