NMAP, che sta per Network Mapper, è un potente strumento open-source utilizzato nelle attività di network discovery e security auditing. Può fornire informazioni preziose sulla distribuzione e le vulnerabilità della vostra rete. Uno dei modi migliori per identificare una scansione NMAP sulla vostra rete è attraverso un software di rilevamento delle intrusioni (IDS) che monitorizza il traffico in entrata e in uscita della vostra rete (fonte: https://www.varonis.com/blog/what-is-nmap/).
Un popolare IDS open-source è Snort (https://www.snort.org/). L’idea alla base di Snort è che monitora il traffico di rete per modelli “sospetti” che potrebbero indicare un tentativo di intrusione. Snort può essere configurato per riconoscere e segnalare le scansioni NMAP.
Oltre a Snort, potreste considerare l’uso di un sistema di rilevamento delle anomalie di rete (NADS). Il NADS lavora in modo leggermente diverso rispetto all’IDS, in quanto si basa su un modello di “comportamento normale” della rete e segnala qualsiasi cosa che si discosta da quel modello.
Un esempio di NADS è RSA NetWitness, che utilizza l’apprendimento automatico per identificare le anomalie di rete. È in grado di rilevare varie tecniche di scansione, tra cui quelle utilizzate da NMAP (fonte: https://www.rsa.com/en-us/products/threat-detection-response).
Un altro strumento che può essere utilizzato per individuare una scansione NMAP sulla vostra rete è Wireshark. Wireshark è un analizzatore di protocolli che cattura e analizza i pacchetti che attraversano la rete. Attraverso l’analisi del traffico, potrebbe essere possibile identificare i modelli di traffico che indicano una scansione NMAP (https://www.wireshark.org/).
Ricordate, chiunque abbia accesso alla vostra rete può effettuare una scansione NMAP. È importante fare tutto il possibile per proteggere la vostra rete, che si tratti di utilizzare un firewall, un IDS o un NADS, di mantenere aggiornato il software, o di monitorare regolarmente il traffico di rete.
Un ultimo punto da ricordare è che non tutte le scansioni NMAP sono malevole. Gli amministratori di rete e i professionisti della sicurezza utilizzano spesso NMAP per identificare le vulnerabilità e le aree problematichesulla rete. Tuttavia, se notate una scansione NMAP non autorizzata, è sicuramente qualcosa che vale la pena indagare.
In sintesi, un sistema di rilevamento delle intrusioni (come Snort), un sistema di rilevamento delle anomalie di rete (come RSA NetWitness) o un analizzatore di protocolli di rete (come Wireshark) possono tutti aiutare a identificare una scansione NMAP sulla vostra rete.