O que é, como usá-lo e as diferenças entre Zmap e Nmap

A questão da segurança será sempre um pilar muito importante dentro de uma organização e em cada tarefa que executamos, pois dela depende a disponibilidade e integridade de todas as informações que tratamos e estão sob a nossa responsabilidade.

Existem muitas ferramentas, protocolos e tarefas que podemos aplicar em nossas funções para melhorar ou implementar melhorias de segurança em ambientes de computação, mas hoje vamos analisar dois em detalhes ferramentas que serão vitais para a digitalização Y Verificação de faixa de endereço IP. Desta forma, podemos ter um controle mais específico sobre todo o roteamento de nossa rede.

As duas ferramentas que veremos são Zmap Y NmapMas para que servem e como ajudarão em nossos papéis?

A Solvetic dará a resposta a essas respostas de uma forma simples e profunda.

O que é ZmapZmap é uma ferramenta de código aberto que nos permite realizar uma varredura de rede para determinar erros e possíveis falhas o que é vital para seu funcionamento e estabilidade ideais.

Uma das grandes vantagens de Zmap é que o scanner pode fazer isso rapidamente, menos de 5 minutos, o que aumenta significativamente os resultados que devemos entregar como administradores ou equipe de suporte.

Entre as vantagens de usar Zmap temos:

  • Zmap pode monitorar a disponibilidade do serviço.
  • Zmap é multiplataforma (Windows, Linux, Mac OS, etc) e totalmente gratuito.
  • Podemos usar o Zmap para analisar um protocolo específico.
  • Zmap nos dá a possibilidade de entender sistemas distribuídos na internet.

Quando executamos o Zmap, exploramos completamente toda a gama de endereços IPv4, portanto, quando executamos a ferramenta, estamos analisando endereços IPv4 privados, por isso devemos ter muito cuidado para não cometer atos contra a privacidade de uma organização ou pessoa.

O que é NmapNmap (Network Mapper) é uma ferramenta poderosa que nos dá a possibilidade de auditar a segurança de uma rede e descobrir computadores conectados a ele.

Esta ferramenta pode ser usada para testes de penetração, ou seja, para validar que nossa rede não é sensível a ataques de hackers.

Com o Nmap, temos uma ferramenta disponível que nos dá uma verificação rápida de grandes redes ou computadores Individual. Para sua análise, o Nmap utiliza pacotes IP para determinar quais computadores estão disponíveis na rede, quais serviços esses computadores oferecem, qual sistema operacional está sendo utilizado e que tipo de Firewall está implementado e a partir daí fazer a respectiva análise.

Entre as vantagens que temos ao usar o Nmap, temos:

  • Detecção de equipamentos em tempo real na rede.
  • Ele detecta as portas abertas nesses computadores, bem como o software e a versão dessas portas.
  • Detecte vulnerabilidades atuais.
  • Ele detecta o endereço de rede, o sistema operacional e a versão do software de cada computador.
  • É uma ferramenta portátil.
  • Nmap é multiplataforma (suporta Windows, FreeBSD, Mac OS, etc).

Diferenças entre Zmap e NmapExistem algumas diferenças entre as duas ferramentas, que mencionamos a seguir:

  • Com o Nmap não podemos escanear grandes redes, com o Zmap se possível.
  • O Zmap realiza a varredura muito mais rápido do que o Nmap.
  • O Nmap pode ser usado no mogo gráfico baixando a ferramenta ZenMap.
  • Com o Nmap podemos analisar várias portas, enquanto com o Zmap podemos analisar uma única porta.
  • A cobertura do Zmap é muito maior do que o Nmap.
  • O Nmap mantém o estado de cada conexão, enquanto o Zmap não mantém nenhum estado nas conexões, o que aumenta sua velocidade.
  • O Nmap detecta as conexões perdidas e encaminha as solicitações, o Zmap apenas envia um pacote de solicitações para um destino que evita retrabalho.
  • O Nmap foi projetado para pequenos scanners de rede ou computadores individuais, enquanto o Zmap foi projetado para escanear toda a rede da Internet em menos de 45 minutos.

Notamos que as diferenças entre uma ferramenta e outra são notáveis ​​e dependem das necessidades que temos no momento.

1. Como usar e analisar com Zmap


Para esta análise, usaremos o Ubuntu 16 como a plataforma a ser usada Zmap.

Para instalar o Zmap, usaremos o seguinte comando:

 sudo apt install zmap

Esperamos que todos os pacotes sejam baixados e instalados para começar a usar Zmap no Ubuntu 16.

Usando Zmap no Ubuntu
Para começar a usar o Zmap, o primeiro comando que será de grande ajuda é:

 zmap -help
Que nos mostram as seguintes opções:

A seguir, veremos algumas das maneiras que podemos usar Zmap no Ubuntu.

 Zmap -p
Com este parâmetro, podemos verificar todos os computadores que estão na porta TCP 80 da rede.

Além deste parâmetro, temos a possibilidade de salvar o resultado em um arquivo texto, para isso utilizaremos a seguinte sintaxe.

 sudo zmap -p (porta) -o (nome do arquivo)

Uma vez processada a análise, veremos os resultados em um arquivo de texto para sua respectiva edição. Podemos restringir a pesquisa a um intervalo de endereços IP usando a seguinte sintaxe:

 sudo zmap -p (Port) -o (Text.csv) Intervalo de endereços IP
Neste caso, vamos verificar todos os computadores que usam a porta TCP 80 no intervalo de endereços 192.168.1.1

Assim que o processo for concluído, veremos nosso arquivo na pasta Home do Ubuntu 16:

 Sudo zmap -S
O parâmetro -S refere-se à fonte ou recurso da porta. Por exemplo, podemos ter a seguinte sintaxe:
 sudo zmap -s 555 -S 192.168.0.1 62.168.1.0/16 -p 80
Neste caso estamos indicando que a porta de origem que enviará os pacotes será 555 e o endereço de origem será 192.168.0.1

Parâmetros extras para usar com ZmapExistem outros parâmetros que serão muito úteis ao usar Zmap e exibir melhores resultados, são eles:
-BEste valor permite definir a velocidade em bits por segundo que será enviada pelo Zmap.

-eEle nos permite definir endereços IP por permutação, o que é útil quando usamos Zmap em diferentes consoles e com diferentes intervalos de endereços.

-rEle nos permite definir a taxa de remessas de pacotes que serão feitas a cada segundo.

-TRefere-se ao número de threads simultâneos que o Zmap usará para enviar pacotes.

-sIndica a porta de origem da qual os pacotes irão para o endereço de destino.

-SIndica o endereço IP de origem do qual os pacotes sairão para a varredura.

-euRefere-se ao nome da interface de rede usada para a varredura.

-MTeste os módulos que são implementados com Zmap.

-XEnvie pacotes IP (útil para VPNs).

-GUsando esta opção, podemos especificar o endereço MAC do Gateway

-euEle nos permite inserir entradas no arquivo gerado.

-VExibir a versão Zmap

Editando arquivos de configuração Zmap
No Zmap, existem dois arquivos vitais para a operação e edição dos parâmetros do Zmap.

Estes são:

 /etc/zmap/zmap.conf
Este arquivo nos permite configurar os valores da ferramenta, como portas de varredura, largura de banda, etc.

Para editá-lo, podemos usar o editor VI ou Nano.

 /etc/zmap/blacklist.conf
Este arquivo nos permite configurar a lista de intervalos de endereços IP bloqueados para verificação por motivos de administração ou privacidade.

Da mesma forma, podemos adicionar um intervalo de endereços se quisermos que eles não sejam digitalizados pelo Zmap.

Como podemos ver, o Zmap nos oferece uma ampla gama de opções para gerenciar o processo de digitalização de computadores e redes.

2. Como usar e analisar com Nmap


Para instalar o Nmap, neste caso no Ubuntu 16, usaremos o seguinte comando:
 sudo apt instalar nmap

Aceitamos iniciar o processo de download e instalação dos respectivos pacotes. Para consultar a ajuda do Nmap, podemos usar o seguinte comando:

 Nmap -help

Lá obtemos acesso a todos os parâmetros que podem ser implementados usando o Nmap.
Os parâmetros básicos para iniciar o processo de digitalização são os seguintes:

  • -v: Esta opção aumenta o nível de detalhamento (Detalhado).
  • -PARA: Ativa a detecção de SO, verificação de script e caminho de rastreamento.

Por exemplo, usaremos a seguinte sintaxe para Solvetic.com:

 sudo nmap -v -A Solvetic.com

Podemos exibir informações tão importantes quanto:

  • Portas TCP que foram descobertas em cada computador de destino, indicando seu respectivo endereço IP
  • Quantidade de portas para analisar, por padrão 1000.

Podemos ver o andamento da varredura e, assim que concluirmos o processo, veremos o seguinte:

Podemos ver um resumo completo da tarefa executada. Se quisermos uma verificação mais rápida, basta usar a seguinte sintaxe:

 nmap IP_address

Podemos ver um resumo de quantas portas estão fechadas e quantas estão abertas no endereço de destino.

Parâmetros para usar com NmapAlguns dos parâmetros que podemos implementar com o Nmap e que serão de grande ajuda para a tarefa de digitalização e monitoramento são os seguintes:

-sTEste parâmetro faz uma varredura das portas TCP sem precisar ser um usuário privilegiado.

-H.HÉ uma varredura TCP SYN, ou seja, realiza a varredura sem deixar rastros no sistema.
-sAEste parâmetro usa mensagens ACK para que o sistema emita uma resposta e descubra quais portas estão abertas.

-EstáEste parâmetro faz uma varredura das portas UDP.
-sN / -sX / -sFEle pode ignorar Firewalls configurados incorretamente e detectar os serviços em execução na rede.

-sPEste parâmetro identifica os sistemas que estão upstream na rede de destino.

-SWEsta opção identifica os protocolos de nível superior na camada três (Rede).
-sVEsta opção permite que você identifique quais serviços são abertos por portas no sistema de destino.

Além desses parâmetros, podemos incluir o seguinte para que o o processo de digitalização é eficiente:

-nNão realiza conversões de DNS
-bDetermina se a equipe alvo é vulnerável a "ataque de rejeição"
-vvPermite que você obtenha informações detalhadas sobre o console.
-FEle permite a fragmentação, o que torna mais difícil ser detectado por um Firewall.
-emIsso nos permite gerar um relatório.
-POEsta opção evita pings para o destino antes de iniciar a análise.

Para este exemplo, fizemos a seguinte linha:

 nmap -sS -P0 -sV -O hostname
Onde substituímos o nome do host pelo nome do site ou endereço IP a ser analisado. O resultado obtido será o seguinte:

Lá podemos ver que o Nmap detectou o sistema operacional, portas abertas e fechadas, etc.

Opções adicionais para usar com o Nmap
Existem alguns utilitários importantes que podemos usar com o Nmap, tais como:

Faça ping em um intervalo de endereços IPPara esta tarefa, faremos o ping dos endereços no intervalo 192.168.1.100 a 254, para isso inseriremos o seguinte:

 nmap -sP 192.168.1.100-254

Obtenha uma lista de servidores com portas abertasPara obter esta lista, usaremos a seguinte sintaxe, tomando como exemplo um intervalo de endereços 192.168.1. *:

 nmap -sT -p 80 -oG - 192.168.1. * | grep open

Crie chamarizes digitalizados para evitar a detecçãoIsso é muito importante, pois se formos detectados, todo o processo de verificação pode ser perdido, mas também devemos ser responsáveis ​​pela verificação, pois lembramos que ela não pode ser usada em redes proibidas.

Para isso, usaremos esta sintaxe como exemplo:

 sudo nmap -sS 192.168.0.10 -D 192.168.0.1

Faça a varredura de várias portas de uma vezPodemos escanear simultaneamente várias portas em um computador de destino; neste caso, escanearemos as portas 80, 21 e 24 do endereço IP 192.168.1.1, o resultado é o seguinte:

Podemos ver qual ação a porta executa em tempo real.

Use a análise FINEsta análise envia um pacote ao computador de destino com um flag, ou flag FIN, para detectar o comportamento do firewall antes de realizar uma análise profunda, para isso utilizamos o parâmetro -sF.

Para este caso, usaremos a seguinte linha:

 sudo nmap -sF 192.168.1.1

Verifique a versão do computador de destinoPara esta informação, usaremos o parâmetro -sV que retornará a versão do software que está sendo executado naquele momento no computador de destino.

Vimos como essas duas ferramentas serão de grande ajuda para toda a tarefa de digitalização e análise do processo de comunicação com as equipes-alvo. As análises de auditoria são sempre necessárias, independentemente do sistema, sendo Windows, Windows Server, Linux, Mac etc. Continuaremos a aumentar essas informações.

Análise de vulnerabilidade com OpenVAS

wave wave wave wave wave