Che cos'è una scansione NMAP per le porte UDP?

La scansione della rete alla ricerca di porte e servizi aperti è fondamentale per valutare la superficie di attacco e identificare le vulnerabilità. Una scansione delle porte NMAP (Network Mapper) rileva gli host sulla rete e identifica le porte TCP e UDP aperte, i servizi in esecuzione su tali porte e il sistema operativo in esecuzione su host di destinazione.

Che cos'è Port Scanning?

Man mano che una rete cresce e un numero sempre maggiore di dispositivi si connette, un amministratore potrebbe voler raccogliere un elenco di dispositivi e servizi in esecuzione sulla rete. NMAP è un comando Linux che esegue la scansione della rete e trova porte e servizi aperti connessi all'ambiente. Lo scopo principale di una scansione delle porte NMAP è controllare la rete, ma è utile anche per individuare vulnerabilità aperte a possibili exploit.

Dopo aver eseguito il comando NMAP e sottoposto a scansione un host, l'output visualizza porte aperte sul computer di destinazione. La seguente immagine mostra un esempio di output NMAP che mostra porte aperte:

Che cos'è UDP e TCP/IP?

Su una rete standard sono comuni due protocolli: UDP e TCP . User Datagram Protocol (UDP) è un protocollo senza connessione, il che significa che un computer invia un messaggio a un destinatario senza sapere se il destinatario è disponibile o lo riceve. Il software di messaggistica di testo online di base utilizza UDP, perché non è necessario sapere se l'altra parte è online per ricevere il messaggio.

Il TCP Transmission Control Protocol (TCP) è un protocollo basato sulla connessione in cui si verifica una stretta di mano prima della trasmissione dei dati. L'UDP è più leggero del TCP, ma il TCP garantisce che l'altro interlocutore sia online e disponibile utilizzando un processo chiamato handshake. L'handshake TCP è comune nelle applicazioni web in cui l'handshake avviene prima che un utente scarichi il contenuto da un server.

Il componente IP (Internet Protocol) in TCP/IP è l'indirizzo assegnato a ogni computer connesso: server, dispositivi mobili, computer desktop, dispositivi IoT e qualsiasi altro computer che deve inviare e ricevere dati. La maggior parte delle applicazioni utilizza TCP/IP per i trasferimenti di dati basati su connessione, ma UDP è utile anche per le applicazioni di notifica e chat leggere.

Lo strumento NMAP cerca porte TCP e UDP aperte sui dispositivi connessi. Osserva l'output dopo aver eseguito un comando NMAP e le porte aperte elencate visualizzano anche il protocollo. NMAP indica inoltre se lo stato è aperto o chiuso e se il servizio è in esecuzione sulla porta.

Che cos'è Network Mapper (NMAP)?

Lo strumento NMAP è un'applicazione di scansione con un'interfaccia grafica utente (GUI) o un'interfaccia a riga di comando standard. Lo strumento trova i computer in rete e li analizza alla ricerca di porte aperte. NMAP esegue scansioni molto più che semplici computer. Esegue la scansione di qualsiasi dispositivo connesso alla rete, compresi desktop, dispositivi mobili, router e dispositivi IoT.

NMAP è uno strumento open source disponibile gratuitamente sul sito web per gli sviluppatori . Funziona su sistemi operativi Linux, Mac e Windows. L'utilità fa parte della maggior parte degli amministratori di rete e degli strumenti di hacking etico da anni ed è utile per trovare i dispositivi su una rete e determinare se su di essi sono in esecuzione servizi vulnerabili.

Come eseguire una scansione UDP NMAP

Prima di eseguire una scansione NMAP, aprire la GUI NMAP o l'utilità della riga di comando. La maggior parte degli amministratori utilizza NMAP nella riga di comando, perché è veloce e facile da usare con output di base per la revisione. Dopo aver digitato il comando, lo strumento NMAP cerca i dispositivi in una sottorete. Ogni sottorete ha un numero definitivo di host, quindi NMAP analizza ogni possibilità di risposta dell'host. Con una risposta host, lo strumento NMAP identifica le porte UDP e TCP aperte.

È inoltre possibile eseguire la scansione di porte specifiche su NMAP invece di eseguire la scansione di tutti gli indirizzi IP per tutte le porte aperte. Alle porte viene assegnato un valore numerico compreso tra 1 e 65.535, pertanto è necessario eseguire una ricerca dei servizi in esecuzione su una porta specifica prima di eseguire una scansione. Una volta scelta una porta, è possibile eseguire il comando seguente:

nmap -p 22 192.168.1.100

La scansione NMAP di cui sopra cerca la porta aperta 22 (il servizio SSH) in esecuzione su un dispositivo con l'indirizzo IP 192.168.1.100. Se il servizio è in esecuzione sull'host di destinazione, l'uscita NMAP visualizza lo stato come aperto. In caso contrario, l'uscita NMAP visualizza lo stato come chiuso.

Le scansioni UDP sono più lente rispetto alle scansioni TCP, pertanto è possibile che si verifichi un ritardo estremo nelle risposte o ritardi lunghi prima che lo strumento visualizzi l'output. Alcuni host potrebbero richiedere fino a un'ora per la scansione se non si ottimizza il processo NMAP. È possibile accelerare le scansioni UDP a seconda del caso d'uso. Ad esempio, utilizzare il comando NMAP seguente per eliminare gli host a risposta lenta e rinunciare alle scansioni quando un host non risponde entro 1 minuto:

nmap 192.168.1.100 --host-timeout 1m

Senza specificare TCP o UDP, NMAP proverà tutte le porte aperte. Un altro modo per ottimizzare le scansioni è limitarle alle porte UDP e impostare l'intensità della versione. Impostando l'intensità della versione su 0 verranno visualizzati solo i servizi comuni in esecuzione sull'host di destinazione. L'intensità della versione varia da 0 a 9. Maggiore è l'intensità, maggiore sarà il numero di sonde inviate all'host di destinazione. Il valore predefinito NMAP è 7. L'esecuzione del comando seguente rileva solo le porte comuni sull'host:

nmap 192.168.1.100 -sU -sV –version-intensity 0

Perché eseguire una scansione UDP con NMAP?

Gli amministratori hanno diversi motivi per eseguire una scansione UDP utilizzando NMAP. Potrebbe essere sufficiente controllare la rete per rilevare eventuali porte aperte non necessarie. Per motivi di sicurezza informatica, i servizi non necessari devono essere disattivati e una scansione NMAP indica agli amministratori quali computer eseguono servizi che possono essere arrestati.

Un altro motivo per eseguire una scansione UDP è individuare le vulnerabilità nella rete. Se un utente malintenzionato può installare malware sulla rete, un host compromesso potrebbe eseguire un servizio dannoso su una porta UDP. Utilizzando la scansione NMAP, un amministratore può trovare la porta aperta ed eseguire ulteriori scansioni e analisi sull'host. 

NMAP può essere utilizzato anche per rilevare gli host sulla rete. Shadow IT è il termine attribuito ai dispositivi non autorizzati installati sulla rete. Un amministratore potrebbe trovare il dispositivo non autorizzato e scoprire chi lo possiede e come è stato installato nell'ambiente.

Conclusione

Per qualsiasi amministratore responsabile della sicurezza di rete, lo strumento NMAP è un ottimo scanner di auditing e vulnerabilità. NMAP è in grado di rilevare macchine, sistemi operativi e servizi che non dovrebbero essere eseguiti nell'ambiente. La scoperta di dispositivi non autorizzati e porte aperte è essenziale per proteggere gli host e i dati aziendali. La scansione delle porte è solo uno degli aspetti del tipo di monitoraggio che dovrai eseguire per garantire la sicurezza del tuo data center. Potenzia i tuoi analytics di sicurezza con soluzioni di infrastruttura dati semplici, scalabili e performanti di Pure Storage.