Nmap è un mappatore di rete che è emerso come uno dei più popolari strumenti gratuiti di scoperta della rete sul mercato. Nmap è ora uno degli strumenti principali utilizzati dagli amministratori di rete per mappare le loro reti. Il programma può essere utilizzato per trovare host live su una rete, eseguire la scansione delle porte, ping sweep, rilevamento del sistema operativo e rilevamento della versione.
Un certo numero di recenti attacchi informatici ha riportato l’attenzione sul tipo di controllo della rete che Nmap fornisce. Gli analisti hanno sottolineato che il recente hack di Capital One, per esempio, avrebbe potuto essere rilevato prima se gli amministratori di sistema avessero monitorato i dispositivi collegati. In questa guida, vedremo cos’è Nmap, cosa può fare e spiegheremo come usare i comandi più comuni.
Prendi l’EBook gratuito Pen Testing Active Directory Environments
Idealmente, Nmap dovrebbe essere usato come parte di una piattaforma integrata di sicurezza dei dati. Una volta che Nmap è stata usata per mappare una rete, una piattaforma come Datadvantage di Varonis può essere usata per implementare un controllo avanzato degli accessi.
- Come usare Nmap
- Esercitazioni ed esempi di Nmap
- Comandi Nmap
- Nmap FAQ
Cosa è Nmap?
Nella sua essenza, Nmap è uno strumento di scansione della rete che usa i pacchetti IP per identificare tutti i dispositivi connessi ad una rete e per fornire informazioni sui servizi e sui sistemi operativi che stanno eseguendo.
Il programma è più comunemente usato tramite un’interfaccia a riga di comando (sebbene siano disponibili anche interfacce GUI) ed è disponibile per molti sistemi operativi diversi come Linux, Free BSD e Gentoo. La sua popolarità è stata anche sostenuta da un’attiva ed entusiasta comunità di supporto degli utenti.
Nmap è stato sviluppato per reti su scala aziendale e può scansionare migliaia di dispositivi collegati. Tuttavia, negli ultimi anni Nmap è sempre più utilizzato dalle aziende più piccole. L’ascesa dell’IoT, in particolare, significa che le reti utilizzate da queste aziende sono diventate più complesse e quindi più difficili da proteggere.
Questo significa che Nmap è ora utilizzato in molti strumenti di monitoraggio di siti web per controllare il traffico tra i server web e i dispositivi IoT. Il recente emergere di botnet IoT, come Mirai, ha anche stimolato l’interesse per Nmap, non ultimo per la sua capacità di interrogare i dispositivi collegati tramite il protocollo UPnP e di evidenziare eventuali dispositivi che possono essere dannosi.
Cosa fa Nmap?
A livello pratico, Nmap è usato per fornire informazioni dettagliate e in tempo reale sulle vostre reti e sui dispositivi ad esse collegati.
Gli usi principali di Nmap possono essere suddivisi in tre processi principali. In primo luogo, il programma fornisce informazioni dettagliate su ogni IP attivo sulle vostre reti, e ogni IP può essere scansionato. Questo permette agli amministratori di controllare se un IP è utilizzato da un servizio legittimo, o da un attaccante esterno.
In secondo luogo, Nmap fornisce informazioni sulla rete nel suo complesso. Può essere utilizzato per fornire una lista di host e porte aperte, oltre a identificare il sistema operativo di ogni dispositivo collegato. Questo lo rende uno strumento prezioso nel monitoraggio continuo del sistema, così come una parte critica del pentesting. Nmap può essere utilizzato insieme al framework Metasploit, per esempio, per sondare e poi riparare le vulnerabilità di rete.
In terzo luogo, Nmap è diventato anche uno strumento prezioso per gli utenti che cercano di proteggere i siti web personali e aziendali. Usare Nmap per scansionare il proprio server web, in particolare se si ospita il proprio sito web da casa, è essenzialmente simulare il processo che un hacker utilizzerebbe per attaccare il proprio sito. “Attaccare” il proprio sito in questo modo è un modo potente per identificare le vulnerabilità di sicurezza.
Come usare Nmap
Nmap è semplice da usare, e la maggior parte degli strumenti che fornisce sono familiari agli amministratori di sistema da altri programmi. Il vantaggio di Nmap è che porta una vasta gamma di questi strumenti in un unico programma, piuttosto che costringerti a saltare tra strumenti di monitoraggio di rete separati e discreti.
Per usare Nmap, devi avere familiarità con le interfacce a riga di comando. La maggior parte degli utenti avanzati sono in grado di scrivere script per automatizzare compiti comuni, ma questo non è necessario per il monitoraggio di rete di base.
Come installare Nmap
Il processo di installazione di Nmap è facile ma varia a seconda del sistema operativo. Le versioni Windows, Mac e Linux del programma possono essere scaricate qui.
- Per Windows, Nmap viene fornito con un programma di installazione personalizzato (namp<versione>setup.exe). Scarica ed esegui questo programma di installazione, e configurerà automaticamente Nmap sul tuo sistema.
- Su Mac, Nmap ha anche un programma di installazione dedicato. Esegui il file Nmap-<versione>mpkg per avviare questo programma di installazione. Su alcune versioni recenti di macOS, potresti vedere un avviso che Nmap è uno “sviluppatore non identificato”, ma puoi ignorare questo avviso.
- Gli utenti Linux possono o compilare Nmap dai sorgenti o usare il loro gestore di pacchetti scelto. Per usare apt, per esempio, si può eseguire Nmap -version per controllare se Nmap è installato, e sudo apt-get install Nmap per installarlo.
Tutorial ed esempi di Nmap
Una volta installato Nmap, il modo migliore per imparare ad usarlo è eseguire alcune scansioni di rete di base.
Come eseguire una scansione ping
Una delle funzioni più basilari di Nmap è quella di identificare gli host attivi sulla tua rete. Nmap fa questo usando una scansione ping. Questo identifica tutti gli indirizzi IP che sono attualmente online senza inviare alcun ping a questi host.
Per eseguire un ping scan, esegui il seguente comando:
# nmap -sp 192.100.1.1/24
Questo comando restituisce una lista di host sulla tua rete e il numero totale di indirizzi IP assegnati. Se individuate qualche host o indirizzo IP in questa lista di cui non potete rendere conto, potete eseguire ulteriori comandi (vedi sotto) per investigare ulteriormente.
Come eseguire una scansione dell’host
Un modo più potente per scansionare le vostre reti è usare Nmap per eseguire una scansione dell’host. A differenza di una scansione ping, una scansione host invia attivamente pacchetti di richiesta ARP a tutti gli host connessi alla vostra rete. Ogni host risponde a questo pacchetto con un altro pacchetto ARP contenente il suo stato e l’indirizzo MAC.
Per eseguire una scansione di host, utilizzare il seguente comando:
# nmap -sp <target IP range>
Questo restituisce informazioni su ogni host, la loro latenza, il loro indirizzo MAC, e anche qualsiasi descrizione associata a questo indirizzo. Questo può essere un modo potente per individuare host sospetti collegati alla tua rete.
Se vedi qualcosa di insolito in questa lista, puoi poi eseguire una query DNS su un host specifico, usando:
# namp -sL <IP address>
Questo restituisce una lista di nomi associati all’IP scansionato. Questa descrizione fornisce informazioni sull’effettiva destinazione dell’IP.
Come usare Nmap in Kali Linux
Utilizzare Nmap in Kali Linux può essere fatto in modo identico all’esecuzione del programma su qualsiasi altra versione di Linux.
Detto questo, ci sono vantaggi nell’usare Kali quando si eseguono scansioni Nmap. La maggior parte delle moderne distro di Kali ora sono dotate di una suite Nmap completa, che include una GUI avanzata e un visualizzatore di risultati (Zenmap), un flessibile strumento di trasferimento dati, reindirizzamento e debug (Ncat), un’utilità per confrontare i risultati della scansione (Ndiff) e uno strumento di generazione di pacchetti e analisi della risposta (Nping).
Comandi Nmap
La maggior parte delle funzioni comuni di Nmap possono essere eseguite usando un singolo comando, e il programma usa anche un certo numero di comandi ‘shortcut’ che possono essere usati per automatizzare compiti comuni.
Ecco una rapida panoramica:
Scansione ping
Come detto sopra, una scansione ping fornisce informazioni su ogni IP attivo nella tua rete. Puoi eseguire un ping scan usando questo comando:
#
Port Scanning
Ci sono diversi modi per eseguire il port scanning usando Nmap. I più comunemente usati sono questi:
# sS TCP SYN scan# sT TCP connect scan# sU UDP scans# sY SCTP INIT scan# sN TCP NULL
Le principali differenze tra questi tipi di scansione sono se coprono porte TCP o UDP e se eseguono una connessione TCP. Ecco le differenze di base:
- La più elementare di queste scansioni è la scansione sS TCP SYN, e questa dà alla maggior parte degli utenti tutte le informazioni di cui hanno bisogno. Esamina migliaia di porte al secondo, e poiché non completa una connessione TCP non desta sospetti.
- L’alternativa principale a questo tipo di scansione è la scansione TCP Connect, che interroga attivamente ogni host e richiede una risposta. Questo tipo di scansione richiede più tempo di una scansione SYN, ma può restituire informazioni più affidabili.
- La scansione UDP funziona in modo simile alla scansione TCP connect, ma utilizza i pacchetti UDP per analizzare le porte DNS, SNMP e DHCP. Queste sono le porte più frequentemente prese di mira dagli hacker, e quindi questo tipo di scansione è uno strumento utile per controllare le vulnerabilità.
- La scansione SCTP INIT copre un diverso insieme di servizi: SS7 e SIGTRAN. Questo tipo di scansione può anche essere usato per evitare sospetti durante la scansione di una rete esterna, perché non completa l’intero processo SCTP.
- La scansione TOP NULL è anche una tecnica di scansione molto astuta. Utilizza una scappatoia nel sistema TCP che può rivelare lo stato delle porte senza interrogarle direttamente, il che significa che è possibile vedere il loro stato anche quando sono protette da un firewall.
Host Scanning
Host scanning restituisce informazioni più dettagliate su un particolare host o un intervallo di indirizzi IP. Come menzionato sopra, è possibile eseguire una scansione dell’host utilizzando il seguente comando:
# nmap -sp <target IP range>
Scansione dell’OS
La scansione dell’OS è una delle caratteristiche più potenti di Nmap. Quando si utilizza questo tipo di scansione, Nmap invia pacchetti TCP e UDP a una particolare porta, e poi analizza la sua risposta. Confronta questa risposta con un database di 2600 sistemi operativi, e restituisce informazioni sul sistema operativo (e la versione) di un host.
Per eseguire una scansione del sistema operativo, usa il seguente comando:
nmap -O <target IP>
Scan The Most Popular Ports
Se stai eseguendo Nmap su un server domestico, questo comando è molto utile. Esegue automaticamente la scansione di un certo numero di porte più ‘popolari’ per un host. Puoi eseguire questo comando usando:
nmap --top-ports 20 192.168.1.106
Sostituisci il “20” con il numero di porte da scansionare, e Nmap scansiona rapidamente quel numero di porte. Restituisce un output conciso che dettaglia lo stato delle porte più comuni, e questo ti permette di vedere rapidamente se hai qualche porta inutilmente aperta.
Output su file
Se vuoi inviare i risultati delle tue scansioni Nmap su un file, puoi aggiungere un’estensione ai tuoi comandi per farlo. Aggiungi semplicemente:
-oN output.txt
al tuo comando per emettere i risultati in un file di testo, oppure:
-oX output.xml
per emettere i risultati in un XML.
Disabilita la risoluzione dei nomi DNS
Infine, puoi accelerare le tue scansioni Nmap usando il parametro -n per disabilitare la risoluzione DNS inversa. Questo può essere estremamente utile se si vuole scansionare una grande rete. Per esempio, per disattivare la risoluzione DNS per la scansione ping di base di cui sopra, aggiungi -n:
# nmap -sp -n 192.100.1.1/24
Nmap FAQ
I comandi di cui sopra coprono la maggior parte delle funzionalità di base di Nmap. Potresti comunque avere ancora qualche domanda, quindi passiamo a quelle più comuni.
Q: Quali sono alcune alternative a Nmap?
Ci sono alcune alternative a Nmap, ma la maggior parte di esse sono focalizzate a fornire funzionalità specifiche e di nicchia di cui l’amministratore di sistema medio ha bisogno frequentemente. MASSCAN, per esempio, è molto più veloce di Nmap ma fornisce meno dettagli. Umit, al contrario, permette di eseguire diverse scansioni in una volta sola.
In realtà, comunque, Nmap fornisce tutte le funzionalità e la velocità che l’utente medio richiede, specialmente quando viene usato insieme ad altri strumenti altrettanto popolari come NetCat (che può essere usato per gestire e controllare il traffico di rete) e ZenMap (che fornisce una GUI per Nmap)
Q: Come funziona Nmap?
Nmap si basa sui precedenti strumenti di controllo della rete per fornire scansioni veloci e dettagliate del traffico di rete. Funziona usando i pacchetti IP per identificare gli host e gli IP attivi su una rete e poi analizza questi pacchetti per fornire informazioni su ogni host e IP, così come i sistemi operativi che stanno eseguendo.
Q: Nmap è legale?
Sì. Se usato correttamente, Nmap aiuta a proteggere la vostra rete dagli hacker, perché vi permette di individuare rapidamente qualsiasi vulnerabilità di sicurezza nei vostri sistemi.
Se il port scanning sui server esterni è legale è un’altra questione. La legislazione in questo settore è complessa e varia a seconda del territorio. Usare Nmap per scansionare le porte esterne può portarvi ad essere banditi dal vostro ISP, quindi assicuratevi di ricercare le implicazioni legali dell’uso del programma prima di iniziare ad usarlo più ampiamente.
La linea di fondo
Prendersi il tempo per imparare Nmap può aumentare notevolmente la sicurezza delle vostre reti perché il programma offre un modo rapido ed efficiente di controllare i vostri sistemi. Anche le caratteristiche di base offerte dal programma – come la capacità di eseguire la scansione delle porte – rivelano rapidamente qualsiasi dispositivo sospetto che è attivo sulla vostra rete.
Utilizzare Nmap per eseguire frequenti controlli di rete può aiutarvi a evitare di diventare facile preda per gli hacker, migliorando anche la vostra conoscenza della vostra rete. Inoltre, Nmap fornisce funzionalità che integrano piattaforme per la sicurezza dei dati più complete, come quelle offerte da Varonis, e quando viene utilizzato insieme a questi strumenti può migliorare notevolmente la vostra sicurezza informatica.
Il sistema Nmap è un sistema di controllo della rete.