Standaard begint elke scan met de host-detectiefase, die gebruikmaakt van de functies ‘check alive’ (indien ingeschakeld) en poortdetectie. We voeren het check alive-mechanisme uit door gebruik te maken van een aangepaste versie van Nmap’s host discovery-functionaliteit die verschillende soorten pakketten, probes genaamd, verzendt.

Als de host online is, scant de poortdetectiefase naar open poorten en relevante informatie daarover, zoals draaiende services, en gaat de scan verder op basis van de resultaten en het type scan dat u hebt geselecteerd.

De Light Scan-versie – geoptimaliseerd voor snelheid

De gratis Light-versie van onze Network Vulnerability Scanner voert een zeer snelle netwerkbeveiligingsscan uit met minimale interactie met het doelsysteem.

Op basis van de resultaten die de ontdekkingsfase heeft opgeleverd, queried onze Network Vulnerability Scanner een database met bekende kwetsbaarheden om te controleren of de specifieke versies van de services kwetsbaar zijn. Hoewel deze detectiemethode sneller is, kan deze valse positieven retourneren omdat deze alleen afhankelijk is van de versie die door de services wordt gerapporteerd (die mogelijk onnauwkeurig is).

De Full Scan-versie – gepatenteerde detectie gecombineerd met OpenVAS
De volledige versie van de Network Vulnerability Scanner gebruikt een mix van aangepaste Sniper-modules voor het detecteren van kwetsbaarheden met een hoog risico en de bekende OpenVAS (de meest geavanceerde open source kwetsbaarheidsscanner) als scanengine.

Het detecteert actief duizenden kwetsbaarheden in netwerkdiensten zoals SMTP, DNS, VPN, SSH, RDP, VNC, HTTP en nog veel meer. OpenVAS doet kwetsbaarheidsdetectie door verbinding te maken met elke netwerkservice en bewerkte pakketten te verzenden om ze op bepaalde manieren te laten reageren. Afhankelijk van de respons meldt de scanner de dienst als kwetsbaar of niet.

We hebben OpenVAS vooraf geconfigureerd en verfijnd op onze servers en hebben naast de complexe functionaliteiten ook een VPN agent toegevoegd die u in staat stelt ook uw interne netwerk te scannen.

Onze kwetsbaarheidsscanner herkent meer dan 57.000 kwetsbaarheden en wordt continu bijgewerkt.

De netwerk vulnerability scan heeft de volgende opties:

• Protocol type (TCP of UDP)
• Scan type: Light of Full
• Check of host online is
• Port Scan type (meest voorkomende, poort range, poort lijst)

Opties om poorten te scannen:

• Meest voorkomende TCP-poorten (top 10, top 100, top 1000, top 5000)
• poortbereik (1-65535)
• aangepaste poortlijst (22, 80, 443, 5060) voor gerichte online poortscans.

Scannen op open poorten opties:

• detectie van serviceversie in- of uitschakelen
• detectie van besturingssysteem in- of uitschakelen
• doen traceroute
• Controleer vóór het scannen of de host actief is.

De TCP Port Scanner in ons cloudplatform geeft je twee opties: ofwel benader je je doelwit zoals een externe aanvaller zou doen, ofwel voer je poortscans rechtstreeks uit op je services, alsof de firewall al is omzeild. Het resulterende Nmap-scanrapport geeft u de kans om de hoofdoorzaken van beveiligingsrisico’s van uw doelwit te identificeren en op te lossen.

Laten we eens kijken hoe onze kant-en-klare online Nmap-scanner in drie fasen werkt om zijn doel te bereiken:

1. Nmap-hostdetectie

De scanner probeert te controleren of de doelhost live is voordat wordt gezocht naar open poorten. Dit is essentieel voor het optimaliseren van de scanduur wanneer de online IP-scanner wordt uitgevoerd tegen een groot aantal IP-adressen. Het zou tijdverspilling zijn om te zoeken naar open poorten op een ‘dode’ host (er is bijvoorbeeld geen server op een bepaald IP).

De ‘liveness’ van de host kan echter niet altijd correct worden gedetecteerd. Oorzaken zijn onder meer firewalls die alleen toegang geven tot een bepaalde poort en al het andere laten vallen. Het is dus mogelijk dat u hierdoor geen open poorten vindt. In deze situatie zet u onze scanners op de witte lijst of schakelt u de optie ‘Controleren of host actief is vóór scannen’ uit om de hostdetectiefase over te slaan en direct naar de stap ‘Alle poorten controleren’ te gaan.

2. Detectie van open poorten

Om te bepalen of een TCP-poort open is, maakt Nmap gebruik van het drieweg-handshake-mechanisme dat door TCP wordt gebruikt om een ​​verbinding tot stand te brengen tussen een client en een server.

Er zijn twee hoofdmethoden voor het detecteren van open TCP-poorten:

Connect-Scan (Nmap -sT)

Nmap voert een volledige three-way handshake uit met de doelserver, waardoor een volledige TCP-verbinding tot stand wordt gebracht. De volgorde van pakketten voor dit type scan is: SYN, SYN-ACK, ACK, RST.

Deze methode vereist geen root-/beheerderstoegang op de clientcomputer, maar het is nogal luidruchtig en de server kan de geprobeerde verbindingen van andere hosts loggen.

SYN-scan (Nmap -sS)

Dit is de standaard scanmethode, ook ingeschakeld in onze online open-poortscanner. Nmap maakt een half-open TCP-verbinding, wetende dat de poort open is zodra de server reageert met SYN-ACK. De volgorde van de pakketten is in dit geval: SYN, SYN-ACK, RST.

Deze methode is onopvallender dan een Connect-Scan, maar het vereist dat Nmap wordt uitgevoerd met root-/beheerdersrechten, omdat het low-level raw-sockets moet maken om de individuele pakketten te verzenden, in plaats van de kernelstack te verlaten om de verbinding tot stand te brengen.

3. Nmap-servicedetectie

Zodra Nmap een lijst met poorten heeft gevonden, kan het een meer diepgaande controle uitvoeren om het exacte type service te bepalen dat op die poort draait, inclusief de versie ervan. Dit is nodig omdat gewone services op niet-standaard poorten kunnen draaien (bijvoorbeeld een webserver die op poort 32566 draait). Servicedetectie wordt ingeschakeld met de parameter -sV.

Nmap doet servicedetectie door een aantal vooraf gedefinieerde probes voor verschillende protocollen naar de doelpoort te sturen en te kijken of deze dienovereenkomstig reageert. Het stuurt bijvoorbeeld:

• SSL Client Hello om te controleren op SSL-services;
• HTTP GET-verzoek om te controleren op HTTP-service;
• SIP-OPTIONS om te controleren op SIP/RTSP-protocol en vele andere.

Transport Layer Security (TLS) en (nu verouderd) Secure Sockets Layer (SSL) zijn cryptografische protocollen die bedoeld zijn om de communicatie tussen computersystemen te beveiligen. Ze worden gebruikt om een ​​gecodeerd communicatiekanaal te bieden waarover andere duidelijke-tekstprotocollen (HTTP, SMTP, POP3, FTP, enz.) veilig kunnen worden gebruikt om toepassingsspecifieke gegevens te verzenden.

Sinds de introductie van SSLv2.0 in 1995 en de voortzetting naar SSL v3.0, TLS 1.0, TLS 2.0 en het huidige TLS 3.0, zijn er echter meerdere zwakke punten ontdekt in deze protocollen, waardoor ze kwetsbaar zijn voor cryptografische aanvallen waardoor aanvallers de communicatie kunnen ontsleutelen en toegang krijgen tot gevoelige gegevens.

De SSL/TLS Vulnerability Scanner voert een veiligheidsbeoordeling uit van de configuratie van de doel-SSL/TLS-service om een ​​lijst met zwakke punten en kwetsbaarheden te bieden, boordevol gedetailleerde aanbevelingen voor herstel.

De lijst met kwetsbaarheden die door deze scanner zijn gedetecteerd, omvat:

Heartbleed
Ticketbleed
CCS Injection
POODLE
ROBOT
DROWN
Secure Renegotiation (server-side)
Secure Renegotiation (client-side)
CRIME
BREACH
FREAK
SWEET32
BEAST
LOGJAM

DNS-servers mogen geen zoneoverdrachten naar een IP-adres vanaf internet toestaan.

Zonebestanden bevatten volledige informatie over domeinnamen, subdomeinen en IP-adressen die zijn geconfigureerd op de doelnaamserver. Het is relevant om deze informatie te vinden omdat het helpt om uw aanvalsoppervlak te vergroten en de interne structuur van het doelbedrijf beter te begrijpen (bijv. testservers, ontwikkelingsservers, verborgen domeinen, interne IP-adressen, enz.)

Informatie verzameld uit zonebestanden kan aanvallers helpen bij het uitvoeren van verschillende aanvallen op het doelbedrijf, zoals het richten op test- of ontwikkelingsservers die minder veilig zijn.

Het uitvoeren van een aparte TCP of UDP scan heeft als voordeel dat deze 1) eerder klaar is en 2) minder uw netwerk belast.