Nmap 을 사용하여 일반 네트워크 포트 스캔

소개

이 랩에서는 일반적인 네트워크 포트를 스캔하기 위해 Nmap 을 사용하는 방법을 배우게 됩니다. 포트 스캔은 네트워크 보안에서 중요한 기술로, 대상 시스템에서 열린 포트를 식별하는 데 도움이 됩니다. 이러한 열린 포트는 공격자에게 잠재적인 진입점이 될 수 있으므로 네트워크 관리자 및 보안 전문가에게 필수적인 기술입니다.

강력한 오픈 소스 네트워크 스캔 도구인 Nmap 을 마스터함으로써 네트워크에서 활성 서비스를 발견하고, 보안 취약점을 평가하며, 시스템의 무결성을 유지할 수 있습니다.

네트워크 포트 이해 및 웹 서버 설치

포트 스캔을 시작하기 전에 네트워크 포트가 무엇이며 사이버 보안 분야에서 왜 중요한지 이해하는 것이 중요합니다. 네트워크 포트는 컴퓨터 네트워크 내에서 서로 다른 애플리케이션 및 서비스 간의 통신을 가능하게 하는 데 중요한 역할을 합니다. 이는 시스템 안팎으로 데이터가 흐르도록 하는 게이트웨이 역할을 하며, 네트워크 보안에 관심 있는 모든 사람이 이해해야 할 필수적인 개념입니다.

네트워크 포트란 무엇인가요?

네트워크 포트는 컴퓨터 네트워크에서 통신을 위한 가상 엔드포인트입니다. 서로 다른 애플리케이션과 서비스가 데이터를 송수신할 수 있는 문으로 생각할 수 있습니다. 여러 애플리케이션과 서비스가 서로 간섭하지 않고 동일한 시스템에서 네트워크 리소스를 공유할 수 있도록 합니다. 포트는 0 에서 65535 까지의 숫자로 식별되며, 이러한 숫자의 서로 다른 범위는 특정 목적으로 지정됩니다.

• 포트 0 - 1023: 이는 표준 서비스를 위해 예약된 잘 알려진 포트입니다. 예를 들어, HTTP (웹 브라우징에 사용) 는 일반적으로 포트 80 을 사용하고, FTP (파일 전송용) 는 포트 21 을 사용하며, SSH (보안 원격 액세스용) 는 포트 22 를 사용합니다.
• 포트 1024 - 49151: 이는 특정 애플리케이션을 위한 등록된 포트입니다. 소프트웨어 개발자는 애플리케이션에서 사용할 특정 포트 번호를 등록할 수 있습니다.
• 포트 49152 - 65535: 이는 동적 또는 개인 포트입니다. 임시 연결을 설정해야 할 때 애플리케이션에서 사용됩니다.

스캔을 위한 웹 서버 설정

포트 스캔을 연습하기 위해 먼저 로컬 머신에 웹 서버를 설정합니다. 웹 서버는 HTTP (Hypertext Transfer Protocol) 를 사용하여 웹 페이지를 구성하는 파일을 사용자에게 제공하는 프로그램입니다. 사용자가 브라우저에 웹사이트 주소를 입력하면 브라우저는 웹 서버로 요청을 보내고, 서버는 적절한 웹 페이지를 전송하여 응답합니다. 기본적으로 웹 서버는 포트 80 에서 실행됩니다.

1. LabEx VM 환경에서 터미널 창을 엽니다. 터미널은 명령을 입력하여 운영 체제와 상호 작용할 수 있는 텍스트 기반 인터페이스입니다. 기본 디렉토리 /home/labex/project에 있어야 합니다. 현재 디렉토리를 확인하려면 다음 명령을 사용할 수 있습니다.

   pwd
   

   pwd 명령은 "print working directory"의 약자입니다. 이 명령을 실행하면 현재 있는 디렉토리의 경로가 표시됩니다. 다음과 같은 출력이 표시됩니다.

   /home/labex/project
   

2. 다음 명령을 사용하여 Apache2 웹 서버를 설치합니다.

   sudo apt update && sudo apt install apache2 -y
   

   sudo 명령은 관리자 권한으로 명령을 실행하는 데 사용됩니다. apt update는 시스템의 패키지 정보를 업데이트하여 사용 가능한 소프트웨어 패키지에 대한 최신 정보를 갖도록 합니다. apt install apache2 -y는 Apache2 웹 서버를 설치합니다. -y 옵션은 설치 과정에서 모든 프롬프트에 자동으로 "yes"로 응답합니다. 설치가 진행됨에 따라 시스템이 소프트웨어를 설치하기 위해 수행하는 단계를 보여주는 많은 출력이 표시됩니다.

3. Apache2 서비스를 시작합니다.

   sudo service apache2 start
   

   Apache2 웹 서버를 설치한 후에는 해당 서비스를 시작해야 합니다. service 명령은 시스템 서비스를 관리하는 데 사용됩니다. 이 경우 Apache2 서비스를 시작하여 들어오는 요청을 수락할 수 있도록 합니다.

4. Apache2 가 제대로 실행되고 있는지 확인합니다.

   sudo service apache2 status
   

   Apache2 서비스가 예상대로 실행되고 있는지 확인하려면 service 명령과 함께 status 옵션을 사용할 수 있습니다. 이렇게 하면 Apache2 서비스의 현재 상태가 표시됩니다. 다음과 유사하게 Apache2 가 활성 (실행 중) 상태임을 나타내는 출력이 표시되어야 합니다.

   * apache2 is running
   

5. "Web Service" 탭을 새로 만들어 웹 서버에 액세스할 수 있는지 확인할 수도 있습니다. 가상 환경의 상단 탭에서 + 기호를 클릭하고 "Web Service" 옵션을 선택한 다음 포트 80을 입력합니다. 이렇게 하면 포트 80 에서 실행 중인 웹 서버에 연결을 시도합니다. 모든 것이 올바르게 설정되어 있으면 기본 Apache2 환영 페이지가 표시됩니다.

이제 시스템에서 웹 서버가 실행되고 있으므로 통신을 위해 포트 80 이 열렸습니다. 다음 단계에서는 Nmap 을 사용하여 이 열린 포트를 검색합니다.

Nmap 소개 및 일반 포트 스캔 수행

웹 서버를 성공적으로 설정했으므로 Nmap 을 사용하여 시스템에서 어떤 포트가 열려 있는지 확인하는 방법을 배울 차례입니다. 열린 포트를 이해하는 것은 네트워크 보안에서 매우 중요합니다. 열린 포트는 공격자에게 잠재적인 진입점이 될 수 있기 때문입니다. Nmap 을 사용하면 이러한 포트를 식별하고 적절한 보안 조치를 취할 수 있습니다.

Nmap 이란 무엇인가요?

Nmap 은 Network Mapper 의 약자로, 네트워크 검색 및 보안 감사를 위해 사용되는 잘 알려진 무료 오픈 소스 도구입니다. 네트워크 보안 분야에서 광범위한 응용 프로그램을 가지고 있습니다.

• 네트워크에서 호스트 및 서비스 검색: Nmap 을 사용하면 네트워크에 연결된 장치와 해당 장치가 제공하는 서비스를 확인할 수 있습니다. 예를 들어, 네트워크에 파일 서버, 웹 서버 또는 메일 서버가 있는지 감지할 수 있습니다.
• 네트워크에서 실행 중인 시스템의 인벤토리 생성: Nmap 을 사용하여 IP 주소와 실행 중인 서비스를 포함하여 네트워크의 모든 시스템 목록을 만들 수 있습니다. 이 인벤토리는 네트워크 관리자가 네트워크를 관리하고 유지 관리하는 데 유용합니다.
• 대상 호스트에서 열린 포트 확인: 포트는 컴퓨터로 들어가는 문과 같습니다. 열린 포트는 서비스가 수신 대기 중이며 연결을 수락할 준비가 되었음을 의미합니다. Nmap 은 대상 호스트를 스캔하여 열린 포트를 찾을 수 있습니다.
• 네트워크 호스트의 운영 체제 및 서비스 버전 식별: 호스트에서 실행 중인 운영 체제 및 서비스 버전을 알면 보안 전문가가 공격자가 악용할 수 있는 알려진 취약점이 있는지 확인할 수 있습니다.

Nmap 을 사용한 일반 포트 스캔

Nmap 은 다양한 스캔 옵션을 제공합니다. 처음 시작하는 사람들에게는 빠른 스캔 옵션 (-F) 이 매우 유용합니다. 기본적으로 Nmap 은 1000 개의 포트를 스캔하는데, 시간이 오래 걸릴 수 있습니다. -F 옵션은 스캔할 포트 수를 가장 일반적인 100 개 포트로 줄여 스캔 속도를 훨씬 빠르게 합니다.

방금 설정한 웹 서버를 찾기 위해 로컬 머신에서 빠른 스캔을 수행해 보겠습니다.

1. 터미널을 엽니다. 터미널에서 운영 체제와 상호 작용하기 위해 명령을 입력합니다. 다음 명령을 입력하고 Enter 키를 누릅니다.

   nmap -F localhost
   

   이 명령을 자세히 살펴보겠습니다.

   • nmap: 이것은 우리가 사용하고 있는 스캔 도구입니다. 네트워크 스캔을 시작하도록 시스템에 지시하는 주요 명령입니다.
   • -F: 이 옵션은 빠른 스캔 모드를 활성화합니다. 가장 일반적인 100 개의 포트로 스캔을 제한하여 시간을 절약합니다.
   • localhost: 이것은 우리가 스캔하는 대상입니다. localhost는 IP 주소 127.0.0.1 인 로컬 머신을 나타냅니다.

2. 명령을 실행하면 다음과 유사한 출력이 표시됩니다.

   Starting Nmap 7.80 ( https://nmap.org ) at 2023-XX-XX XX:XX UTC
   Nmap scan report for localhost (127.0.0.1)
   Host is up (0.000097s latency).
   Not shown: 96 closed ports
   PORT   STATE SERVICE
   80/tcp open  http
   
   Nmap done: 1 IP address (1 host up) scanned in X.XX seconds
   

   이 출력은 중요한 정보를 제공합니다.

   • 스캔은 IP 주소가 127.0.0.1 인 로컬 머신에서 수행되었습니다.
   • 포트 80 이 열려 있고 HTTP 서비스를 실행하고 있습니다. 이것은 우리가 이전에 설치한 Apache 웹 서버입니다. 기본적으로 Apache 는 포트 80 에서 수신 대기합니다.
   • 다른 96 개의 일반 포트는 닫혀 있습니다. 출력에 자세히 표시되지 않습니다.

3. 열린 포트에서 실행 중인 서비스의 버전과 같은 자세한 정보가 필요한 경우 더 자세한 스캔을 실행할 수 있습니다. 다음 명령을 사용합니다.

   nmap -sV -F localhost
   

   이 명령의 -sV 옵션은 열린 포트에서 실행 중인 서비스의 버전을 파악하려고 시도합니다. 출력은 더 자세해집니다.

   Starting Nmap 7.80 ( https://nmap.org ) at 2023-XX-XX XX:XX UTC
   Nmap scan report for localhost (127.0.0.1)
   Host is up (0.000097s latency).
   Not shown: 96 closed ports
   PORT   STATE SERVICE VERSION
   80/tcp open  http    Apache httpd 2.4.X
   
   Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
   Nmap done: 1 IP address (1 host up) scanned in X.XX seconds
   

   이 출력은 Apache 웹 서버가 포트 80 에서 실행되고 있음을 확인하며, Apache HTTP 서버의 버전도 알려줍니다.

결과 이해

스캔 결과는 포트 80 이 열려 있고 HTTP 서비스를 실행하고 있음을 보여줍니다. 이것은 우리가 Apache 웹 서버를 설치하고 시작했기 때문에 예상되는 결과입니다. 기본적으로 Apache 는 포트 80 에서 수신 대기합니다. 실제 상황에서 어떤 포트가 열려 있는지 아는 것은 보안 전문가에게 매우 중요합니다.

1. 잠재적인 보안 취약점 식별: 열린 포트에서 실행 중인 서로 다른 서비스에는 알려진 취약점이 있을 수 있습니다. 어떤 포트가 열려 있고 어떤 서비스가 실행 중인지 알면 보안 전문가는 보안 위험이 있는지 확인할 수 있습니다.
2. 필요한 서비스만 실행되도록 보장: 불필요한 서비스가 열린 포트에서 실행되면 공격 표면이 증가할 수 있습니다. 열린 포트를 식별함으로써 보안 전문가는 실제로 필요한 서비스만 실행되도록 할 수 있습니다.
3. 방화벽 구성이 예상대로 작동하는지 확인: 방화벽은 들어오고 나가는 네트워크 트래픽을 제어하는 데 사용됩니다. 열린 포트를 스캔함으로써 보안 전문가는 방화벽이 차단해야 하는 포트를 차단하고 열어야 하는 포트를 허용하는지 확인할 수 있습니다.

스캔 결과 문서화 및 보안 영향

네트워크 보안 분야에서 발견 사항을 문서화하는 것은 중요한 단계입니다. Nmap 은 스캔 결과를 보다 효과적으로 기록하는 데 도움이 되는 내장 보고 기능을 제공합니다. 이 단계에서는 Nmap 보고서를 생성하고, 결과를 분석하고, 열린 포트의 보안 영향을 논의합니다. 마지막으로, 시스템의 보안을 보장하기 위해 이 랩을 위해 시작한 서비스를 적절하게 중지합니다.

Nmap 을 사용하여 보고서 생성

Nmap 은 일반 텍스트, XML, JSON 등을 포함한 다양한 보고서 형식으로 스캔 결과를 직접 출력할 수 있습니다. 이는 수동으로 보고서를 만드는 것보다 더 효율적이고 정확합니다. Nmap 의 출력 옵션을 사용하여 보고서를 생성해 보겠습니다.

1. 출력 옵션으로 Nmap 스캔을 실행합니다.

nmap -F -sV localhost -oN /home/labex/project/nmap_report.txt

이 명령에서:

• -F 옵션은 빠른 스캔을 수행합니다 (가장 일반적인 100 개의 포트만 스캔).
• -sV는 열린 포트에서 실행 중인 서비스의 버전을 확인하려고 시도합니다.
• -oN /home/labex/project/nmap_report.txt는 출력을 지정된 파일에 일반 텍스트 형식으로 저장합니다.

2. 생성된 보고서를 봅니다.

cat /home/labex/project/nmap_report.txt

다음과 같은 완전한 스캔 정보를 포함하는 보고서를 볼 수 있습니다.

• 스캔 시간 및 날짜
• 대상 정보
• 열린 포트 목록
• 각 열린 포트에서 실행 중인 서비스 및 버전

더 많은 보고서 형식 옵션

Nmap 은 다양한 목적에 적합한 여러 출력 형식을 지원합니다.

• -oX filename - 자동 처리에 적합한 XML 형식으로 출력
• -oG filename - grep 으로 검색하는 데 편리한 Grepable 형식으로 출력
• -oJ filename - 최신 애플리케이션에 적합한 JSON 형식으로 출력
• -oA filename - 모든 형식 (Normal, XML 및 Grepable) 을 동시에 출력

예를 들어, XML 형식으로 보고서를 생성하려면 다음을 수행합니다.

nmap -F -sV localhost -oX /home/labex/project/nmap_report.xml

스캔 결과의 보안 영향 이해

스캔 보고서에서 포트 80/tcp가 열려 있고 HTTP 서비스 (Apache 웹 서버) 를 실행하고 있음을 확인할 수 있습니다. 이는 몇 가지 중요한 보안 영향을 미칩니다.

1. 잠재적인 공격 진입점: 열린 포트는 건물 안의 문과 같습니다. 각 열린 포트는 잠재적으로 공격자가 시스템에 진입할 수 있는 방법이 될 수 있습니다.

2. 서비스 취약성 위험: 열린 포트에서 실행 중인 서비스에는 공격자가 악용할 수 있는 보안 결함이 있을 수 있습니다.

3. 모니터링이 필요한 통신 채널: 열린 포트는 통신에 사용되며, 이러한 포트에서 비정상적인 동작을 감지하려면 활동을 모니터링해야 합니다.

포트 보안을 보장하려면 다음과 같은 모범 사례를 따라야 합니다.

• 필요한 포트만 열어두세요: 불필요한 열린 포트는 시스템의 공격 표면을 증가시킵니다.
• 이러한 포트를 사용하는 서비스를 정기적으로 업데이트하세요: 업데이트에는 종종 취약점을 수정하는 보안 패치가 포함됩니다.
• 액세스를 제한하는 방화벽 규칙을 구현하세요: 방화벽은 특정 포트를 통해 시스템에 액세스할 수 있는 사용자를 제어하는 데 도움이 될 수 있습니다.
• 비정상적인 패턴에 대한 포트 활동을 모니터링하세요: 활동을 모니터링하면 잠재적인 위협을 적시에 감지하고 대응할 수 있습니다.

랩 정리

스캔 연습을 완료했으므로 Apache 웹 서버를 중지할 차례입니다. 필요하지 않을 때 서비스를 실행 상태로 두면 보안 위험이 발생할 수 있으므로 적절한 정리가 중요합니다.

1. Apache 서비스를 중지합니다.

sudo service apache2 stop

2. 서비스가 중지되었는지 확인합니다.

sudo service apache2 status

다음과 같이 Apache2 가 실행되고 있지 않음을 나타내는 출력이 표시되어야 합니다.

* apache2 is not running

3. 포트 80 이 닫혔는지 확인합니다.

nmap -F localhost

출력은 포트 80 이 닫혔거나 열린 포트 목록에 표시되지 않아야 합니다. 이 정리 프로세스는 서비스가 필요하지 않을 때 계속 실행되지 않도록 하여 보안 위험을 초래할 수 있는 실제 시나리오에서 매우 중요합니다.

요약

이 랩에서는 네트워크 보안에서 강력한 오픈 소스 도구인 Nmap 을 사용하여 네트워크 포트 스캔의 기본 사항을 배웠습니다. 네트워크 포트 이해, 열린 포트가 있는 웹 서버 설정, 일반 포트 스캔을 위한 Nmap 사용, 스캔 결과 해석, 보안 보고서에 발견 사항 문서화, 서비스 적절히 종료에 대한 실질적인 경험을 얻었습니다.

이러한 기술은 네트워크 보안 평가의 초석입니다. IT 보안, 네트워크 관리 및 시스템 관리 전문가에게 매우 중요합니다. 포트 스캔을 마스터하면 네트워크 취약점을 식별하고 무단 액세스로부터 시스템을 보호하는 데 도움이 됩니다.