Présentation NMAP

NMAP étant un des scanner réseau des plus performant et connu, je me sens dans l’obligation de vous le présenter :P !

Présentation :

NMAP, pour Network Mapper est un célèbre scanner de port.

Open-source et multiplateforme (fonctionnant aussi bien aussi Linux, Windows, Mac, Solaris..) est donc un outil gratuit permettant l’exploration du réseau (préparation d’attaque, ou audit ?).

Cette article fait suite à une de video de la team cymru, merci à eux!

Concrètement sur un réseau NMAP permet de

=>Connaître quels sont les hosts présent sur le réseau

=>Les services disponibles et leur version. (port ouvert…)

=>Leur système d’exploitation  et version (version des services dont les ports sont ouvert)

=>Il permet aussi de faire de l’usurpation MAC / IP.

Pour résumer NMAP permet de faire  l’inventaire d’un réseau.

Il est donc indispensable pour les administrateurs réseaux qui veulent voir  les machines présentes sur leur réseau, les services qui tournent sur celle-ci et la version (afin d’éventuellement repérer une version obsolète qui pourrait être exploité par une personne malveillante).

En effet NMAP est aussi utilisé par grande nombre de pirate qui s’en serve pour collecter des informations sur la cible (port ouvert, services, versions). leur permettant ainsi à l’aide de metasploit ou autres exploiteurs de vulnérabilité d’attaquer un de ces services pour compromettre la machine/ réseau).

La pratique

Dans un premier temps nous allons tester ZenMap le GUI de nmap sous Windows :

Zenmap ayant une interface assez intuitive (aussi bien pour effectuer un scan que pour analyser les résultats) est assez sympathique a utilisé même sous Windows !

Cependant nous préférons la ligne de commande afin de peaufiner nos réglages :P :

Soit ici 192.168.1.11 l’ip de la cible.

nmap –O 192.168.1.11

Le paramètre O permet de récupérer l’OS et sa version de la personne ciblé

nmap –sT 192.168.1.11 cela permet un scan TCP pour voir les ports TCP ouvert de la cible

Avec NMAP il y a aussi la possibilité de faire des scans furtif, indétectable en envoyant des messages « SYN » .

nmap –sT 192.168.1.11

NMAP envoie  un message SYN à la cible, celle-ci répond avec un SYN/ACK, et là NMAP envoie un message RST de reset permettant de couper la connexion avant qu’il n’y ait des traces d’elle.

nmap –sU 192.168.11 pour voir les ports UDP ouvert.

Scannons notre propre poste (client Backtrack) :

Après notre scan nous avons vu que le port 80 était ouvert, nous nous doutons qu’il s’agit d’un apache qui tourne derrière mais nous souhaitons avoir plus d’informations :

nmap –p 80 –sV 192.168.11 :  permets détection de la version d’Apache .

En tant que pirate, il ne nous reste plus qu’à vérifier si cette version possède des failles connues…

Si vous souhaitez scanner tout un réseau, ou une plage réseau :

nmap -sS 192.168.1.0/24

nmap -sS 192.168.1.1-255

nmap -sS 192.168.1.*

Pour les autres options Retrouvez le manuel sur nmap.org, avec les commandes d’utilisation basique

Ou faites un « man nmap ».

Petit cadeau: une petite commande iptable à rajouter à votre firewall pour empêcher une bonne partie de scan :

 iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT

Notez que même s’il est possible d’empêcher certains scan, il est quasiment impossible de tous les bloquer.

Conclusion: NMAP est un scanner très puissant utile dans la phase de collecte d’informations pour préparer une attaque, ou au contraire observer l’état de son réseau afin de colmater une éventuelle brèche (service obsolète..). Il est très difficile d’empêcher totalement ces scans.