Installazione e Configurazione di IVRE (Network Recon Framework) su Ubuntu Server 22.04

da | Mar 19, 2024

IVRE è un framework open source per la ricognizione della rete. Si basa su strumenti open source ben noti (Nmap, Masscan, ZGrab2, ZDNS e Zeek (Bro)) per raccogliere dati (network intelligence), archiviarli in un database (MongoDB è il backend consigliato) e fornisce strumenti per analizzarlo.

Include un’interfaccia Web finalizzata all’analisi dei risultati della scansione di Nmap (poiché si basa su un database, può essere molto più efficiente con scansioni di grandi dimensioni rispetto ad uno strumento come Zenmap, la GUI di Nmap, ad esempio).

IVRE significa Instrument de saille sur les réseaux extérieurs, ed è francese per DRUNK, Dynamic Recon of Unknown NetworKs.

È un software gratuito, il codice è su GitHub e la documentazione su Read the Docs.

PREREQUISTI

Server Ubuntu 22.05
user con diritti di sudo

AGGIORNAMENTO PRE INSTALLAZIONE

Prima di procedere con l’installazione aggiornare Ubuntu cn i seguenti comandi:

INSTALLAZIONE DEL DATABASE MONGODB

Importare la chiave pubblica utilizzata dal sistema di gestione dei pacchetti

Installare gnupgcurl con il comando:

Per importare la chiave GPG pubblica di MongoDB, eseguire il seguente comando:

Creare un file di elenco per MongoDB in /etc/apt/sources.list.d/mongodb-org-7.0.list con il comando:

Usare il comando seguente per ricaricare il database dei pacchetti locale:

Installare l’ultima versione stabile di MongoDB con il comando:

Il comando installa il server database MongoDB insieme ai componenti principali del database inclusi gli strumenti della shell.

Una volta completata l’installazione, verificare la versione di MongoDB installata con il comando:

Se è andato tutto a buon fine dovremmo vedere il seguente output:

Il servizio MongoDB è disabilitato al momento dell’installazione per impostazione predefinita ed è possibile verificarlo eseguendo il comando:

Dovremmo visualizzare il seguente output:

Abilitare MongoDB all’avvio con il comando:

Avviare il servizio di MongoDB con il comando:

INSTALLAZIONE DI NMAP

Per installare Nmap su Ubuntu Server eseguire il comando:

Quindi verificare la versione installata con il comando:

Se è andato tutto a buon fine dovremmo visualizzare il seguente output:

INSTALLAZIONE DI IVRE

A questo punto è possibile avviare l’installazione di Ivre con il seguente comando:

Per impostazione predefinita, DokuWiki memorizza tutte le sue pagine in un database di file in /var/lib/dokuwiki.
Accettando questa opzione sarà possibile avere un sistema più ordinato nel momento in cui viene eliminato il pacchetto DokuWiki.

ATTENZIONE: Questo potrebbe causare la perdita di informazioni se si ha un wiki operativo che viene rimosso.

Procedere con l’eliminazione del pacchetto selezionando Yes quindi Invio

Inserire la password del wiki Administrator quindi premere OK

Reinserire la password del wiki Administrator quindi premere OK

Quindi eseguire i comandi:

Eseguire la configurazione di IVRE con i seguenti comandi:

Eseguire quindi il comando:

quindi eseguire:

Procedere con la configurazione con i seguenti comandi:

Per verificare che il server web di IVRE sia attivo eseguire il comando:

Dovremmo visualizzare il seguente output:

A questo punto è possibile aprire un browser Web e visitare http://localhost/. Dovremmo visualizzare l’interfaccia utente Web di IVRE, ovviamente senza risultati.

In teoria l’interfaccia web dovrebbe essere raggiungibile anche da remoto richiamando da un qualsiasi browser il link http://IP-DEL-SERVER-IVRE

Se così non dovesse essere editare il file ports.conf di Apache con il comando:

Al posto della riga

inserire la riga

Se si intende abilitare tutti gli IP del server IVRE al raggiungimento. Altimenti inserire la riga puntuale:

Salvare e chiudere il file di configurazione.

Riavviare Apache con il comando:

A questo punto da un qualsiasi browser è possibile richiamare il link:

http://IP-DEL-SERVER-IVRE

Se è andato tutto a buon fine dovremmo visualizzare l’interfaccia utente Web IVRE, ovviamente senza risultati.

INSTALLAZIONE DEI MODULI DI PYTHON

Per verificare tutti i moduli installati e i moduli mancanti eseguire il comando:

Dovremmo vedere il seguente output relativo alle dipendenze:

Installare le dipendenze Missing con i seguenti comandi:

Verificare nuovamente le dipendenze con il comando:

Dovremmo vedere il seguente output:

INSTALLAZIONE DEI PROGRAMMI DI SCANSIONE (OPZIONALE)

Di seguito i comandi per installare i pacchetti utilizzati per le scansioni:

Installare Masscan con il comando:

Installare Zmap con il seguente comando:

Se si desidera integrare screenshot, installare Tesseract, ImageMagick, FFmpeg e PhantomJS

INIZIALIZZAZIONE DEL DATABASE E DOWNLOAD E IMPORTAZIONI DEI DATI

Ora possiamo inizializzare IVRE eseguendo i comandi:

Quindi premere Y

Quindi premere Y

Quindi premere Y

Quindi premere Y

Quindi premere Y

Ciò rimuoverà i dati esistenti dal database.

ATTENZIONE: Questi comandi possono essere utilizzati tra un’indagine e l’altra per ripulire i dati.

L’ultimo passaggio sarà quello di recuperare i dati IP con il comando:

Questo comando recupera i dati IP dal sito Web IVRE e Maxmind. Questi dati sono richiesti se si desidera scansionare/elencare gli indirizzi IP da un AS o per paese.

SCANSIONE DEGLI IP INSTRADABILI

Eseguire la prima scansione di test con 1000 indirizzi IP (instradabili), con un singolo processo nmap:

sudo ivre runscans –routable –limit 1000

ATTENZIONE: questo comandi richiede davvero tanto tempo. Portare pazienza e attendere il termine.

Il comando termina quando appare il seguente output:

Terminato il comando, importare i risultati e creare una vista con i seguenti comandi:

Verificare se tutti i dati sono caricati sul Database con il comando:

Dovremmo vedere come output un numero. Nel mio caso è 65

Aprendo l’interfaccia web dovremmo vedere una schermata come quella sovrastante con i 65 risultati appena caricati.

Dopo aver fatto tutte le analisi del caso sarà possibile cancellare i dati esistenti con i comandi:

Se si desidera avviare una nuova indagine di ricognizione attiva senza dati esistenti nel database o nella vista è possibile rimuovere i dati eseguendo i due comandi:

SCANSIONE DI IP O SUBNET PUNTUALI

Per avviare la scansione su una sottorete che presenta alcuni IP che si intende monitorare eseguire il comando:

Nel comando sopra abbiamo eseguito le operazioni elencate:

  • Creazione della categoria “TEST”, che apparirà in /scans/TEST/
  • Scansione di un’intera sottorete in “rete”
  • Utilizzo di cinque processi Nmap simultanemente

NOTA BENE:

La prima cosa che possiamo appurare eseguendo questa scansione è la lentezza del processo di scansione per una sottorete relativamente piccola.
Ciò potrebbe essere dovuto alla quantità di processi utilizzati (cinque dei quali sono troppo pochi). Il tempo di esecuzione totale ha richiesto circa 4 ore.

Procedere con l’inserimento dei dati nel database in modo da poter fare ulteriori indagini con i seguenti comandi:

Se è andato tutto a buon fine dovremmo vedere il seguente output:

Eseguire quindi il comando:

Dopo aver eseguito il comando ivre db2view nmap potrebbe essere necessario eseguire il comando:

Questo se IVRE non riesce a trovare dei file specifici

Da interfaccia web dovremmo vedere una schermata come mostrato nell’immagine sovrastante

CHECK CONFIGURAZIONE DI IVRE

Per fare il check della configurazione di IVRE con le dipendenze e i comandi installati eseguire il comando:

Dovremmo visualizzare il seguente output:

LIMITARE L’ ACCESSO ALL’INTERFACCIA WEB DI IVRE

Se si vuole impedire l’accesso non autorizzato ai risultati di IVRE seguire questa sezione.

Innanzitutto configurare il server web per autenticare gli utenti remoti. La cosa più importante, ovviamente, è proteggere l’accesso ai file CGI (i file statici sono disponibili pubblicamente e non contengono alcun risultato).

In un ambiente AD o Kerberos, ad esempio, Apache può essere configurato per fornire l’autenticazione SSO.

Quindi se si desidera limitare l’accesso ai risultati in base al login o al dominio dell’utente è possibile aggiungere le seguenti righe nel file di configurazione di IVRE /etc/ivre.conf:

Per impostazione predefinita, gli utenti non avranno accesso a nessun risultato. L’utente [email protected] avrà accesso ai risultati nella categoria Sottorete. Gli utenti nell’ambito ADMIN.NETWORK.AD avranno accesso a tutti i risultati.

Scritto da Raffaele Chiatto

Sono Raffaele Chiatto, un appassionato di informatica a 360 gradi.
Tutto è iniziato nel 1996, quando ho scoperto il mondo dell'informatica grazie a Windows 95, e da quel momento non ho più smesso di esplorare e imparare.
Ogni giorno mi dedico con curiosità e passione a scoprire le nuove frontiere di questo settore in continua evoluzione.

Articoli Recenti

Veeam Backup

Monitoring

Friends

  • My English Lab  English School
  • ChrSystem   Infrastrutture IT
  • ACT For Cange  Mental Coach
  • Since 01  Kreative Graphics

Database

Networking

Autori

  • Raffaele Chiatto  Amministratore
  • Marco Valle  Autore Collaboratore

Related Post

0 commenti

Invia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Virtualizzazione

Linux

Microsoft

Apple

Backup

Database

Security

Automazione