Em um Centro de Operações de Segurança (SOC), a visibilidade da rede é essencial para detectar ameaças e responder rapidamente a incidentes. Ferramentas de varredura de rede são indispensáveis para que Analistas SOC identifiquem dispositivos conectados, avaliem a exposição de serviços e antecipem possíveis vetores de ataque. O Nmap (Network Mapper) é uma das principais ferramentas utilizadas para esse propósito.

Com ele, um Analista SOC pode mapear a superfície de ataque da rede, identificar portas abertas, detectar serviços em execução e até mesmo encontrar vulnerabilidades que podem ser exploradas por agentes mal-intencionados. Dominar o uso do Nmap é um diferencial para profissionais de segurança cibernética, pois possibilita uma melhor compreensão do ambiente de rede e auxilia na criação de estratégias de defesa mais eficazes.

Neste guia, vamos explorar o que é o Nmap, para que serve e como utilizá-lo no contexto de um SOC, ajudando você a aprimorar suas habilidades na segurança defensiva.

O que é NMAP?

Nmap, a sigla para Network Mapper, é um software de auditoria de segurança e varredura de rede de código aberto projetado por Gordon Lyon. Ele é desenvolvido de tal forma que pode analisar rapidamente redes massivas, bem como hosts únicos. Os administradores de rede geralmente o usam para detectar os dispositivos que estão atualmente trabalhando no sistema, o número da porta à qual os dispositivos estão conectados e as portas livres que podem ser usadas.

O Nmap se torna útil ao executar testes de invasão de rede. Ele não apenas fornece informações de rede, mas também auxilia na descoberta de problemas de segurança no sistema. O Nmap é independente de plataforma e pode ser executado em vários sistemas operacionais padrão, incluindo Linux, Windows, macOS e BSD. É simples de usar e inclui uma interface de linha de comando (CLI) e uma interface gráfica de usuário (GUI).

NMAP para que serve?

Algumas das tarefas que o nmap pode realizar são:

• Descobrir hosts conectados em uma rede
• Analisar portas livres em um host de destino
• Detectar serviços em execução em um sistema junto com o número da versão
• Descobrir vulnerabilidades de rede e brechas do sistema.

Agora que você tem uma ideia sobre o que é Nmap, entenda como o Nmap funciona durante o processo de teste de invasão.

NMAP como usar?

O Nmap usa diversas técnicas para escanear, como escaneamento de conexão TCP, escaneamento TCP SYN, escaneamento de identificação reversa TCP, escaneamento de rejeição FTP e assim por diante. Cada um desses métodos tem seus próprios benefícios e desvantagens, e se você deve optar por escaneamento simples ou avançado depende da máquina de destino.

Antes de começar a usar o Nmap, o software precisa ser instalado.

O processo de instalação é fácil, mas pode variar de acordo com seu sistema operacional. Abaixo, abordamos como instalar um aplicativo para versões Windows, MacBook e Linux.

• Para sistema operacional Windows: Baixe e execute o instalador personalizado que você obtém com o Nmap (nmap<version>setup.exe). Isso configurará automaticamente o Nmap em seu sistema Microsoft.
• Para Mac OS: Execute o arquivo Nmap-<version>mpkg para iniciar o instalador dedicado (você obtém isso com o Nmap).
• Para sistema operacional Linux: Execute os seguintes comandos após abrir o terminal para instalar o Nmap
• CentOS/Fedora: sudo dnf install nmap
• Ubuntu/Debian: sudo apt-get install nmap

Modos de Operação

1. Ping sweep: Uma varredura simples do Nmap que faz ping em todos os endereços IP acessíveis para ver quais respondem ao ICMP (Internet Control Message Protocol). Esta varredura de ping é ótima para pessoas que precisam saber a quantidade de endereços IP.

2. SYN Scan (Comando NMAP para ver portas abertas): Ele envia uma mensagem SYN por TCP para todas as portas de destino. Se o sistema receber uma confirmação de volta, uma porta foi aberta. Nenhuma resposta indica uma porta fechada ou indisponível.

3. TCP Scan: Assim como a varredura SYN, ele usa a camada TCP para enviar pacotes para todas as portas. A distinção é que os pacotes de confirmação concluem a conexão. Os logs podem localizar prontamente a varredura TCP e usar poder de computação adicional.

4. Idle Scan: Esta varredura é usada para ver se algum ataque malicioso está planejado em uma rede. As varreduras do Nmap são realocadas para longe de uma porta para procurar malware. No entanto, o host externo deve receber um endereço IP e uma porta.

5. RPC Scan: Hackers usam Chamadas de Procedimento Remoto (RPC) para tornar os sistemas vulneráveis ​​a ataques virais. É recomendável escanear periodicamente uma rede em busca de comandos RPC, pois esses procedimentos podem ser executados no sistema e coletar dados.

6. Escaneamento do Windows: quando pacotes SYN são emitidos, o programa pesquisa as portas em busca de pacotes de confirmação. Esse escaneamento detecta quaisquer irregularidades nos pacotes ACK recebidos e ajuda a identificar quais portas estão com defeito.

7. Escaneamento de rejeição: esse escaneamento verifica a segurança da camada do Protocolo de Transferência de Arquivos. Os níveis de FTP raramente aceitam pacotes e, se o fizerem, eles podem ser encaminhados para uma camada interna para acessar computadores internos. O escaneamento de rejeição avalia a mesma falha e determina se sua camada FTP é vulnerável.

8. Escaneamento UDP: esse escaneamento é eficaz principalmente no Windows para ver se a camada UDP é vulnerável. Nem sempre é crucial obter uma resposta da camada UDP, mas é útil saber se algum ataque de Trojan está ativo.

9. Escaneamento FIN: como o Escaneamento SYN, o sistema que envia os pacotes recebe uma resposta de pacote TCP FIN em grande parte. O sistema que envia um pacote RST é um alarme falso, e os usuários não devem se preocupar.

10. NULL Scan: Este scan é benéfico para sistemas diferentes do Windows que podem detectar prontamente tipos de pacotes e reagir com respostas TCP ou NULL. O Windows não pode utilizar scans NULL, pois eles nem sempre funcionam.

Aprimore suas habilidades e torne-se um Analista SOC de alto nível

Dominar ferramentas como o Nmap é apenas o começo para quem deseja atuar na linha de frente da cibersegurança. Um Analista SOC precisa estar preparado para identificar ameaças, responder a incidentes e proteger infraestruturas críticas contra ataques cibernéticos.

Se você quer se aprofundar no mundo da segurança defensiva e conquistar as habilidades essenciais para trabalhar em um SOC, conheça o Curso Defesa Cibernética: Analista SOC na Prática da IBSEC. Nele, você terá acesso a um treinamento imersivo e focado na prática, aprendendo com especialistas da área e simulando cenários reais de ataques.

🚀 Inscreva-se agora e dê o próximo passo na sua carreira! 👉 Acesse aqui

CONFIRA TAMBÉM:

• 
  29.05.2025 | Carreiras em Cibersegurança

  Vazamento de Dados: Como Proteger sua Empresa e Evitar Prejuízos?

  Hoje em dia, tudo está conectado online, o que torna a proteção dos dados uma luta 24 horas por dia, 7 dias por semana. Basta um único deslize para o vazamento de dados confidenciais. Esses vazamentos […]

• 
  27.05.2025 | Carreiras em Cibersegurança

  Hardening: O que é e como proteger seus servidores e sistemas

  O hardening de sistemas é uma abordagem de cibersegurança que pode aprimorar significativamente a defesa da sua empresa contra ameaças cibernéticas. O hardening envolve uma variedade de técnicas, ferramentas e metodologias destinadas a minimizar vulnerabilidades em […]