Nmap, che significa “Network Mapper”, è uno strumento open source utilizzato per indagare sulla mappa della rete e condurre un’ispezione sulla sicurezza. Questo strumento è molto efficace per il rilevamento di host e servizi sulla rete, ottenendo informazioni su sistemi operativi, tipi e versioni di server, e rilevando eventuali vulnerabilità.
Ora, la domanda è se il tuo obiettivo sarà in grado di sapere che stai utilizzando Nmap per scansionarlo. La risposta a questa domanda dipende da come si utilizza Nmap e dalle capacità di logging e rilevamento del sistema obiettivo.
Da un lato, gli scan Nmap possono essere discreti e non invasivi, specialmente se utilizzati con le opzioni appropriate. Ad esempio, l’opzione “-T2” può rendere la scansione più lenta ma meno probabile che sia rilevata. Tuttavia, bisogna tenere a mente che non esiste un metodo garantito al 100% per evitarne la rilevazione.
D’altro canto, se il sistema target è ben protetto e ha log di rete o software di rilevamento delle intrusioni adeguatamente configurati, potrebbe essere in grado di rilevare e registrare la scansione Nmap. In particolare, molte scansioni Nmap possono generare un volume insolito di traffico di rete o tipi di pacchetti inusuali, che possono essere identificati come sospetti.
Inoltre, ci sono moduli di varie tecnologie di prevenzione delle intrusioni (IDS) o di rilevamento delle intrusioni (IPS) come Snort, Suricata o altri, che possono rilevare le scansioni Nmap sulla base dei pattern di traffico e delle firme specifiche. Per esempio, alcune delle scansioni più aggressive di Nmap, come “TCP SYN scan” o “TCP connect scan”, possono essere facilmente identificate da questi sistemi.
Per fare un esempio specifico, la suite di sicurezza open source Security Onion include sia Snort che Suricata e può essere configurata per rilevare e avvisare l’utente di una scansione Nmap in corso sulla rete. In effetti, Security Onion include regole specifiche per rilevare le scansioni Nmap. Quindi, se il tuo obiettivo sta usando questa suite o qualcosa di simile, è molto probabile che sappia che stai eseguendo una scansione.
In definitiva, mentre Nmap può essere un potente strumento di testing per la sicurezza, dovrebbe essere usato con la consapevolezza che la sua presenza sulla rete potrebbe essere rilevata dalle difese del tuo obiettivo.
Sources:
- Nmap Documentation (nmap.org/book/man.html)
- Enciclopedia Treccani, voce “Nmap” (https://www.treccani.it/enciclopedia/nmap)
- Security Onion Documentation (https://docs.securityonion.net/en/16.04/ids-nsm.html)