O que é UDP x TCP/IP?
Dois protocolos são comuns em uma rede padrão: UDP e TCP . O protocolo de datagrama de usuário (UDP, User Datagram Protocol) é um protocolo sem conexão, o que significa que um computador envia uma mensagem a um destinatário sem saber se o destinatário está disponível ou a recebe. O software básico de mensagens de texto online usa UDP, pois é desnecessário saber se a outra parte está online para receber a mensagem.
O protocolo de Transmission Control Protocol (TCP) é um protocolo baseado em conexão em que ocorre um handshake antes da transmissão de dados. O UDP é mais leve do que o TCP, mas o TCP garante que a outra parte esteja online e disponível usando um processo chamado handshake. O handshake de TCP é comum em aplicativos da Web em que o handshake acontece antes de um usuário baixar conteúdo de um servidor.
O componente IP (Protocolo de Internet) no TCP/IP é o endereço atribuído a todas as máquinas conectadas: servidores, dispositivos móveis, computadores desktop, dispositivos IoT e qualquer outra máquina que precise enviar e receber dados. A maioria dos aplicativos usa TCP/IP para suas transferências de dados baseadas em conexão, mas o UDP também é útil para aplicativos leves de notificação e bate-papo.
A ferramenta NMAP verifica portas TCP e UDP abertas em dispositivos conectados. Observe a saída depois de executar um comando NMAP e as portas abertas listadas também exibem o protocolo. O NMAP também informa se o estado está aberto ou fechado e se o serviço está sendo executado na porta.
O que é Network Mapper (NMAP)?
A ferramenta NMAP é um aplicativo de varredura com uma interface gráfica de usuário (GUI, Graphical User Interface) ou uma interface padrão de linha de comando. A ferramenta encontra computadores na rede e verifica se há portas abertas. O NMAP também verifica mais do que apenas computadores. Ele verifica qualquer dispositivo conectado à rede, incluindo desktops, dispositivos móveis, roteadores e dispositivos IoT.
O NMAP é uma ferramenta de código aberto disponível gratuitamente no site do desenvolvedor. Ele é executado em sistemas operacionais Linux, Mac e Windows. A empresa faz parte da maioria das ferramentas de hacking ética e de administrador de rede há anos, e é útil para encontrar dispositivos em uma rede e determinar se eles têm serviços vulneráveis executados neles.
Como fazer uma varredura NMAP UDP
Antes de realizar uma verificação de NMAP, abra a GUI de NMAP ou abra seu utilitário de linha de comando. A maioria dos administradores usa o NMAP na linha de comando, porque é rápido e fácil de usar com saída básica para revisão. Depois de digitar o comando, a ferramenta NMAP pesquisa dispositivos em uma sub-rede. Cada sub-rede tem um número definitivo de hosts, portanto, o NMAP verifica todas as possibilidades para uma resposta de host. Com uma resposta de host, a ferramenta NMAP identifica portas abertas UDP e TCP.
Você também pode verificar portas específicas no NMAP em vez de verificar todos os endereços IP para todas as portas abertas. As portas recebem um valor numérico entre 1 e 65.535, portanto, você deve realizar uma pesquisa de serviços executados em uma porta específica antes de executar uma verificação. Depois de escolher uma porta, você pode executar o seguinte comando:
nmap -p 22 192.168.1.100
A verificação de NMAP acima procura a porta aberta 22 (o serviço SSH) em execução em um dispositivo com o endereço IP 192.168.1.100. Se o serviço estiver sendo executado no host de destino, a saída NMAP exibirá o estado como aberto. Caso contrário, a saída NMAP exibe o estado como fechado.
As verificações de UDP são mais lentas do que as verificações de TCP, portanto, você pode sofrer um atraso extremo nas respostas ou atrasos longos antes que a ferramenta exiba a saída. Alguns hosts podem levar até uma hora para serem verificados se você não otimizar o processo de NMAP. Você pode acelerar as verificações de UDP dependendo do caso de uso. Por exemplo, use o seguinte comando NMAP para eliminar hosts de resposta lenta e desiste de varreduras quando um host não responde em 1 minuto:
nmap 192.168.1.100 --host-timeout 1m
Sem especificar TCP ou UDP, o NMAP tentará todas as portas abertas. Outra maneira de otimizar as varreduras é limitá-las às portas UDP e definir a intensidade da versão. Definir a intensidade da versão como 0 só mostrará serviços comuns executados no host de destino. A intensidade da versão varia de 0 a 9. Quanto maior a intensidade, mais sondas serão enviadas ao host alvo. O padrão NMAP é 7. A execução do seguinte comando encontra apenas portas comuns no host:
nmap 192.168.1.100 -sU -sV –version-intensity 0
Por que você faria uma varredura UDP com NMAP?
Os administradores têm vários motivos para realizar uma verificação UDP usando o NMAP. Pode ser apenas auditar a rede para portas abertas desnecessárias. Por motivos de cibersegurança, os serviços desnecessários devem ser desativados, e uma verificação de NMAP informa aos administradores quais máquinas estão executando serviços que podem ser desligados.
Outra razão para uma verificação de UDP é encontrar vulnerabilidades na rede. Se um invasor puder instalar malware na rede, um host comprometido pode estar executando um serviço malicioso em uma porta UDP. Usando a verificação de NMAP, um administrador encontraria a porta aberta e realizaria verificações e análises adicionais no host.
O NMAP também pode ser usado para descobrir hosts na rede. Shadow IT é o termo dado a dispositivos não autorizados instalados na rede. Um administrador conseguiu encontrar o dispositivo não autorizado e descobrir quem o possui e como ele foi instalado no ambiente.
Conclusão
Para qualquer administrador responsável pela segurança da rede, a ferramenta NMAP é uma excelente auditoria e um scanner de vulnerabilidade. O NMAP pode descobrir máquinas, sistemas operacionais e serviços que não devem ser executados no ambiente. A descoberta de dispositivos não autorizados e portas abertas é essencial para proteger hosts e dados corporativos. A verificação de portas é apenas uma faceta do tipo de monitoramento que você precisará fazer para manter seu datacenter seguro. Potencialize sua análise de segurança com soluções de infraestrutura de dados eficientes, escaláveis e simples da Pure Storage.