Post Image

Come Scoprire le Porte Aperte e i Servizi Attivi con NMAP: Guida Completa alla Sicurezza di Rete

Dopo aver introdotto NMAP e la sua installazione nel primo articolo, Introduzione a NMAP: Cos'è, Come Funziona e Come Installarlo per la Sicurezza di Rete, è ora il momento di approfondire uno degli usi più comuni di questo potente strumento: scoprire le porte aperte e i servizi attivi su un dispositivo di rete. Questa operazione è cruciale per comprendere meglio lo stato della tua rete e identificare potenziali vulnerabilità.

Perché identificare le porte aperte?

Le porte aperte su un dispositivo rappresentano potenziali punti di ingresso per potenziali attaccanti. Ogni porta aperta corrisponde a un servizio che potrebbe essere utilizzato per scambiare dati o accedere al dispositivo. Identificare quali porte sono aperte e quali servizi sono attivi è fondamentale per:

  • Monitorare la Sicurezza: Evitare che servizi non autorizzati o non sicuri siano accessibili.
  • Gestione delle Risorse: Assicurarsi che solo i servizi necessari siano in esecuzione, riducendo il rischio di attacchi.
  • Individuare Vulnerabilità: Alcuni servizi potrebbero avere delle vulnerabilità conosciute. Individuare le porte aperte permette di capire quali servizi necessitano di aggiornamenti o ulteriori controlli di sicurezza.

Scansione delle Porte Aperte con NMAP

Per iniziare a scoprire quali porte sono aperte su un dispositivo specifico, possiamo utilizzare NMAP con il comando base:

nmap <indirizzo IP>

Supponiamo di voler scansionare un dispositivo con l'indirizzo IP 192.168.43.65, eseguiremo il seguente comando:

nmap 192.168.43.65

NMAP eseguirà una scansione delle 1000 porte TCP più comuni su quel dispositivo e restituirà un output simile a questo:

Starting Nmap 7.95 ( https://nmap.org ) at 2024-08-30 22:18 CEST
Nmap scan report for 192.168.43.65
Host is up (0.000068s latency).
Not shown: 999 closed tcp ports (conn-refused)
PORT    STATE SERVICE
631/tcp open  ipp

In questo esempio, la porta 631/tcp è aperta, e corrisponde al servizio IPP (Internet Printing Protocol).

Scansione delle Versioni dei Servizi

Per ottenere maggiori dettagli sui servizi attivi, come la versione specifica del software in esecuzione su una determinata porta, puoi utilizzare l'opzione -sV di NMAP:

nmap -sV 192.168.43.65

Eseguendo questo comando, potresti ottenere un output come questo:

Starting Nmap 7.95 ( https://nmap.org ) at 2024-08-30 22:13 CEST
Nmap scan report for 192.168.43.65
Host is up (0.000068s latency).
PORT    STATE SERVICE  VERSION
631/tcp open  ipp      CUPS 2.3

Qui vediamo che il servizio IPP in esecuzione sulla porta 631 è gestito da CUPS (Common UNIX Printing System) nella versione 2.3. Queste informazioni sono utili per determinare se il servizio è aggiornato o se potrebbe essere vulnerabile.

Scansione di Tutte le Porte

NMAP scansiona solo le 1000 porte più comuni per default. Tuttavia, potrebbe essere necessario eseguire una scansione completa di tutte le porte TCP (65535 in totale) per essere sicuri di non trascurare nessuna porta aperta:

nmap -p- 192.168.43.65

Questa opzione permette di scansionare tutte le porte, anche quelle meno comuni, che potrebbero essere state aperte intenzionalmente o accidentalmente.

Scansione delle Porte UDP

Oltre alle porte TCP, NMAP può anche scansionare le porte UDP, che sono utilizzate da molti servizi di rete come DNS, DHCP e SNMP. Per eseguire una scansione delle porte UDP, utilizza l'opzione -sU:

nmap -sU 192.168.43.65

Le scansioni UDP tendono ad essere più lente rispetto a quelle TCP, ma sono essenziali per ottenere una visione completa dei servizi attivi su un dispositivo.

Scansione di localhost vs IP Esterno

Un aspetto interessante da notare è che i risultati della scansione su localhost (127.0.0.1) possono differire significativamente rispetto a quelli ottenuti su un IP esterno della rete. Questo accade perché la scansione di localhost mostra solo i servizi in esecuzione sul proprio computer, mentre la scansione di un IP esterno rivela i servizi disponibili sulla rete a cui il computer è connesso.

Esempio di Scansione su localhost

Quando esegui una scansione su localhost, il comando:

nmap 127.0.0.1

Potrebbe restituire un output come questo:

Starting Nmap 7.95 ( https://nmap.org ) at 2024-08-30 22:18 CEST
Nmap scan report for localhost (127.0.0.1)
Host is up (0.000044s latency).
Not shown: 999 closed tcp ports (conn-refused)
PORT    STATE SERVICE
631/tcp open  ipp

In questo caso, la scansione di localhost mostra solo la porta 631 aperta sul proprio computer, probabilmente legata al servizio di stampa IPP.

Esempio di Scansione su IP Esterno

Al contrario, scansionare un IP esterno della rete, come 192.168.43.65, potrebbe restituire risultati diversi a causa dei servizi esposti dalla rete locale o dalla configurazione del firewall. La differenza nei risultati tra localhost e un IP esterno riflette la differenza tra i servizi in esecuzione sul proprio computer e quelli visibili sulla rete a cui il computer è connesso.

Interpretazione dei Risultati

Interpretare correttamente i risultati di NMAP è fondamentale per la gestione della rete. Ecco alcuni punti chiave da considerare:

  • Stato della Porta:

    • open: La porta è aperta e un servizio è in ascolto su di essa.
    • closed: La porta è chiusa, ma il dispositivo è raggiungibile.
    • filtered: NMAP non riesce a determinare se la porta è aperta o chiusa, spesso a causa di un firewall.
  • Servizi Identificati: Verifica che i servizi rilevati siano quelli previsti e siano aggiornati all'ultima versione per evitare vulnerabilità.

Considerazioni Finali

Utilizzare NMAP per scoprire le porte aperte e i servizi attivi è un passo fondamentale nella gestione della sicurezza di una rete. Conoscere quali porte sono aperte e quali servizi sono in esecuzione ti permette di prendere decisioni informate per proteggere la tua infrastruttura.

NMAP offre un'ampia gamma di opzioni e funzionalità per adattarsi a diversi scenari, e nelle prossime parti della serie esploreremo ulteriori tecniche avanzate di scansione e analisi. Mantieni la tua rete sicura, iniziando da una solida comprensione delle porte aperte e dei servizi attivi.