NMAP: O Que É e Como Utilizar Essa Ferramenta de Varredura de Redes
Em um Centro de Operações de Segurança (SOC), a visibilidade da rede é essencial para detectar ameaças e responder rapidamente a incidentes. Ferramentas de varredura de rede são indispensáveis para que Analistas SOC identifiquem dispositivos conectados, avaliem a exposição de serviços e antecipem possíveis vetores de ataque. O Nmap (Network Mapper) é uma das principais ferramentas utilizadas para esse propósito.
Com ele, um Analista SOC pode mapear a superfície de ataque da rede, identificar portas abertas, detectar serviços em execução e até mesmo encontrar vulnerabilidades que podem ser exploradas por agentes mal-intencionados. Dominar o uso do Nmap é um diferencial para profissionais de segurança cibernética, pois possibilita uma melhor compreensão do ambiente de rede e auxilia na criação de estratégias de defesa mais eficazes.
Neste guia, vamos explorar o que é o Nmap, para que serve e como utilizá-lo no contexto de um SOC, ajudando você a aprimorar suas habilidades na segurança defensiva.
O que é NMAP?
Nmap, a sigla para Network Mapper, é um software de auditoria de segurança e varredura de rede de código aberto projetado por Gordon Lyon. Ele é desenvolvido de tal forma que pode analisar rapidamente redes massivas, bem como hosts únicos. Os administradores de rede geralmente o usam para detectar os dispositivos que estão atualmente trabalhando no sistema, o número da porta à qual os dispositivos estão conectados e as portas livres que podem ser usadas.
O Nmap se torna útil ao executar testes de invasão de rede. Ele não apenas fornece informações de rede, mas também auxilia na descoberta de problemas de segurança no sistema. O Nmap é independente de plataforma e pode ser executado em vários sistemas operacionais padrão, incluindo Linux, Windows, macOS e BSD. É simples de usar e inclui uma interface de linha de comando (CLI) e uma interface gráfica de usuário (GUI).
NMAP para que serve?
Algumas das tarefas que o nmap pode realizar são:
- Descobrir hosts conectados em uma rede
- Analisar portas livres em um host de destino
- Detectar serviços em execução em um sistema junto com o número da versão
- Descobrir vulnerabilidades de rede e brechas do sistema.
Agora que você tem uma ideia sobre o que é Nmap, entenda como o Nmap funciona durante o processo de teste de invasão.
Modos de Operação
- Ping sweep: Uma varredura simples do Nmap que faz ping em todos os endereços IP acessíveis para ver quais respondem ao ICMP (Internet Control Message Protocol). Esta varredura de ping é ótima para pessoas que precisam saber a quantidade de endereços IP.
- SYN Scan: Ele envia uma mensagem SYN por TCP para todas as portas de destino. Se o sistema receber uma confirmação de volta, uma porta foi aberta. Nenhuma resposta indica uma porta fechada ou indisponível.
- TCP Scan: Assim como a varredura SYN, ele usa a camada TCP para enviar pacotes para todas as portas. A distinção é que os pacotes de confirmação concluem a conexão. Os logs podem localizar prontamente a varredura TCP e usar poder de computação adicional.
- Idle Scan: Esta varredura é usada para ver se algum ataque malicioso está planejado em uma rede. As varreduras do Nmap são realocadas para longe de uma porta para procurar malware. No entanto, o host externo deve receber um endereço IP e uma porta.
- RPC Scan: Hackers usam Chamadas de Procedimento Remoto (RPC) para tornar os sistemas vulneráveis a ataques virais. É recomendável escanear periodicamente uma rede em busca de comandos RPC, pois esses procedimentos podem ser executados no sistema e coletar dados.
- Escaneamento do Windows: quando pacotes SYN são emitidos, o programa pesquisa as portas em busca de pacotes de confirmação. Esse escaneamento detecta quaisquer irregularidades nos pacotes ACK recebidos e ajuda a identificar quais portas estão com defeito.
- Escaneamento de rejeição: esse escaneamento verifica a segurança da camada do Protocolo de Transferência de Arquivos. Os níveis de FTP raramente aceitam pacotes e, se o fizerem, eles podem ser encaminhados para uma camada interna para acessar computadores internos. O escaneamento de rejeição avalia a mesma falha e determina se sua camada FTP é vulnerável.
- Escaneamento UDP: esse escaneamento é eficaz principalmente no Windows para ver se a camada UDP é vulnerável. Nem sempre é crucial obter uma resposta da camada UDP, mas é útil saber se algum ataque de Trojan está ativo.
- Escaneamento FIN: como o Escaneamento SYN, o sistema que envia os pacotes recebe uma resposta de pacote TCP FIN em grande parte. O sistema que envia um pacote RST é um alarme falso, e os usuários não devem se preocupar.
- NULL Scan: Este scan é benéfico para sistemas diferentes do Windows que podem detectar prontamente tipos de pacotes e reagir com respostas TCP ou NULL. O Windows não pode utilizar scans NULL, pois eles nem sempre funcionam.
NMAP como usar?
Em nossa demonstração do que é nmap, você usará o parrot security os, um sistema operacional projetado especificamente para testadores de invasão. Ele vem com todas as ferramentas essenciais de hacking pré-instaladas. No entanto, caso precise reinstalar o software, você pode usar o comando ‘sudo apt install nmap’ para instalar o Nmap em distribuições Linux baseadas em Debian.
Assim que a instalação da ferramenta estiver concluída, você pode começar com uma varredura básica de host. Ela verificará endereços IP disponíveis em uma única sub-rede. Conforme mostrado abaixo, você encontra a sub-rede IP usando o comando ‘ifconfig’ e realiza uma varredura de host usando o sinalizador ‘-sP’ com Nmap.
Comando NMAP para ver portas abertas
Uma varredura de porta simples para detectar serviços em execução pode ser realizada usando o comando ‘nmap <target IP address>.
O sistema operacional também pode ser detectado usando o sinalizador ‘-O’. No entanto, isso executa a impressão digital TCP/IP, que requer privilégios de root ou sudo ao executar o comando.
Para reunir o número da versão dos serviços que estão sendo executados no alvo, você deve usar o sinalizador ‘-sV’. Versões mais antigas específicas de alguns softwares geralmente têm vulnerabilidades que podem ser exploradas quando detectadas.
Você pode escanear portas específicas na máquina alvo usando o sinalizador ‘-p <port number>’ com o comando Nmap padrão. Também é possível escanear múltiplas portas separando-as usando vírgulas como ‘-p 80,443’.
No próximo estágio, você deve se conectar a uma rede vulnerável e escanear sua máquina alvo usando um scan de versão padrão. Ao ver as portas 139 e 445 abertas, você pode testar uma vulnerabilidade bem conhecida em máquinas Windows que rodam nessas portas, conhecida como eternalblue.
Você usa o Metasploit para executar esse exploit e, como pode ver abaixo, o acesso ao shell da sua máquina alvo foi alcançado. Isso só foi possível porque você descobriu que as portas vulneráveis estavam abertas.
Com isso, você chegou ao final do tutorial sobre o que é Nmap.
Aprimore suas habilidades e torne-se um Analista SOC de alto nível
Dominar ferramentas como o Nmap é apenas o começo para quem deseja atuar na linha de frente da cibersegurança. Um Analista SOC precisa estar preparado para identificar ameaças, responder a incidentes e proteger infraestruturas críticas contra ataques cibernéticos.
Se você quer se aprofundar no mundo da segurança defensiva e conquistar as habilidades essenciais para trabalhar em um SOC, conheça o Curso Defesa Cibernética: Analista SOC na Prática da IBSEC. Nele, você terá acesso a um treinamento imersivo e focado na prática, aprendendo com especialistas da área e simulando cenários reais de ataques.
🚀 Inscreva-se agora e dê o próximo passo na sua carreira! 👉 Acesse aqui
