Qu’est-ce qu’une analyse NMAP pour les ports UDP ?

L’analyse de votre réseau à la recherche de ports et de services ouverts est un élément essentiel de l’évaluation de votre surface d’attaque et de l’identification des vulnérabilités. Une analyse de port NMAP (Network Mapper) trouve les hôtes sur votre réseau et identifie les ports TCP et UDP ouverts, les services exécutés sur ces ports et le système d’exploitation exécuté sur des hôtes ciblés.

Qu’est-ce que l’analyse de port ?

À mesure qu’un réseau se développe et que de plus en plus de périphériques s’y connectent, un administrateur peut souhaiter rassembler une liste de périphériques et de services exécutés sur le réseau. NMAP est une commande Linux qui analyse le réseau et détecte les ports et services ouverts connectés à l’environnement. L’objectif principal d’une analyse de port NMAP est d’auditer le réseau, mais elle est également utile pour identifier les vulnérabilités susceptibles d’être exploitées.

Après avoir exécuté la commande NMAP et analysé un hôte, la sortie affiche les ports ouverts sur la machine ciblée. L’image suivante est un exemple de sortie NMAP montrant des ports ouverts :

Qu’est-ce qu’un protocole UDP ou TCP/IP ?

Deux protocoles sont courants sur un réseau standard : UDP et TCP. Le protocole UDP (User Datagram Protocol) est un protocole sans connexion, ce qui signifie qu’un ordinateur envoie un message à un destinataire sans savoir si le destinataire est disponible ou le reçoit. Un logiciel de messagerie texte en ligne de base utilise l’UDP, car il n’est pas nécessaire de savoir si l’autre partie est en ligne pour recevoir le message.

Le protocole Transmission Control Protocol (TCP) est un protocole basé sur la connexion dans lequel une poignée de main se produit avant la transmission des données. Le protocole UDP est plus léger que le protocole TCP, mais le protocole TCP garantit que l’autre partie est en ligne et disponible à l’aide d’un processus appelé poignée de main. La liaison TCP est courante avec les applications Web où la liaison se produit avant qu’un utilisateur télécharge du contenu à partir d’un serveur.

Le composant IP (Internet Protocol) dans TCP/IP est l’adresse attribuée à chaque machine connectée : serveurs, appareils mobiles, ordinateurs de bureau, appareils IoT et toute autre machine qui doit envoyer et recevoir des données. La plupart des applications utilisent TCP/IP pour leurs transferts de données basés sur la connexion, mais l’UDP est également utile pour les applications de notification et de discussion légères.

L’outil NMAP recherche les ports TCP et UDP ouverts sur les périphériques connectés. Regardez la sortie après avoir exécuté une commande NMAP, et les ports ouverts répertoriés affichent également le protocole. NMAP vous indique également si l’état est ouvert ou fermé, et si le service s’exécute sur le port.

Qu’est-ce que Network Mapper (NMAP) ?

L’outil NMAP est une application de numérisation avec une interface utilisateur graphique (GUI) ou une interface de ligne de commande standard. L’outil trouve les ordinateurs sur le réseau et les analyse pour détecter les ports ouverts. La technologie NMAP analyse bien plus que les ordinateurs. Il analyse n’importe quel appareil connecté au réseau, y compris les ordinateurs de bureau, les appareils mobiles, les routeurs et les appareils IoT.

NMAP est un outil open source disponible gratuitement sur le site Web des développeurs . Il s’exécute sur les systèmes d’exploitation Linux, Mac et Windows. L’utilitaire fait partie de la plupart des outils d’administration réseau et de piratage éthique depuis des années, et il est utile de trouver des périphériques sur un réseau et de déterminer s’ils disposent de services vulnérables.

Comment effectuer une analyse NMAP UDP

Avant d’effectuer une analyse NMAP, ouvrez l’interface graphique NMAP ou l’utilitaire de ligne de commande. La plupart des administrateurs utilisent la technologie NMAP dans la ligne de commande, car elle est rapide et facile à utiliser, avec des résultats de base pour examen. Après avoir saisi la commande, l’outil NMAP recherche les périphériques sur un sous-réseau. Chaque sous-réseau a un nombre définitif d’hôtes, de sorte que la NMAP analyse toutes les possibilités de réponse de l’hôte. Avec une réponse hôte, l’outil NMAP identifie ensuite les ports UDP et TCP ouverts.

Vous pouvez également analyser des ports spécifiques sur NMAP au lieu d’analyser toutes les adresses IP pour tous les ports ouverts. Les ports reçoivent une valeur numérique comprise entre 1 et 65 535. Vous devez donc effectuer une recherche de services exécutés sur un port spécifique avant d’exécuter une analyse. Une fois que vous avez choisi un port, vous pouvez exécuter la commande suivante :

nmap -p 22 192.168.1.100

L’analyse NMAP ci-dessus recherche le port ouvert 22 (le service SSH) exécuté sur un périphérique dont l’adresse IP est 192.168.1.100. Si le service est exécuté sur l’hôte cible, la sortie NMAP affiche l’état ouvert. Si ce n’est pas le cas, la sortie NMAP affiche l’état fermé.

Les analyses UDP sont plus lentes que les analyses TCP, vous pouvez donc rencontrer des retards de réponse ou des retards importants avant que l’outil n’affiche la sortie. Si vous n’optimisez pas le processus NMAP, certains hôtes peuvent prendre jusqu’à une heure à analyser. Vous pouvez accélérer les analyses UDP en fonction du cas d’utilisation. Par exemple, utilisez la commande NMAP suivante pour éliminer les hôtes à réponse lente et abandonner les analyses lorsqu’un hôte ne répond pas dans un délai d’une minute :

nmap 192.168.1.100 --host-timeout 1m

Sans spécifier TCP ou UDP, NMAP essaiera tous les ports ouverts. Une autre façon d’optimiser les analyses consiste à les limiter aux ports UDP et à définir l’intensité de la version. Le réglage de l’intensité de la version sur 0 n’affichera que les services courants exécutés sur l’hôte cible. L’intensité de la version varie de 0 à 9. Plus l’intensité est élevée, plus le nombre de sondes envoyées à l’hôte ciblé est élevé. La valeur NMAP par défaut est 7. L’exécution de la commande suivante ne trouve que des ports communs sur l’hôte :

nmap 192.168.1.100 -sU -sV –version-intensity 0

Pourquoi effectuer une analyse UDP avec NMAP ?

Les administrateurs ont plusieurs raisons d’effectuer une analyse UDP à l’aide de NMAP. Il peut s’agir simplement d’auditer le réseau pour détecter les ports ouverts inutiles. Pour des raisons de cybersécurité, les services inutiles doivent être désactivés, et une analyse NMAP indique aux administrateurs quelles machines exécutent des services pouvant être arrêtés.

Une autre raison d’une analyse UDP est de détecter les vulnérabilités sur le réseau. Si un attaquant peut installer un logiciel malveillant sur le réseau, un hôte compromis peut exécuter un service malveillant sur un port UDP. À l’aide de l’analyse NMAP, un administrateur trouve le port ouvert et effectue des analyses et analyses supplémentaires sur l’hôte. 

Le NMAP peut également être utilisé pour détecter les hôtes sur le réseau. Le terme Shadow IT désigne les périphériques non autorisés installés sur le réseau. Un administrateur peut trouver le périphérique non autorisé et déterminer qui en est propriétaire et comment il a été installé sur l’environnement.

Conclusion

Pour tout administrateur responsable de la sécurité réseau, l’outil NMAP est un excellent outil d’audit et de détection des vulnérabilités. Le NMAP peut détecter les machines, les systèmes d’exploitation et les services qui ne doivent pas fonctionner sur l’environnement. La détection des périphériques non autorisés et des ports ouverts est essentielle pour sécuriser les hôtes et protéger les données d’entreprise. L’analyse des ports n’est qu’une facette du type de surveillance que vous devrez faire pour assurer la sécurité de votre datacenter. Optimisez vos analyses de sécurité avec les solutions d’infrastructure de données performantes, évolutives et simples de Pure Storage.