1 00:00:00,000 --> 00:00:09,360 La scansione di rete (Network scanning) è una tecnica critica e fondamentale nel campo della cybersecurity, 2 00:00:09,360 --> 00:00:13,880 che serve come parte essenziale sia delle strategie offensive che difensive. 3 00:00:13,880 --> 00:00:20,480 Permette ai professionisti della sicurezza di mappare un'infrastruttura di rete, identificare vulnerabilità 4 00:00:20,480 --> 00:00:25,840 e mantenere la visibilità dei dispositivi e dei sistemi di rete. 5 00:00:25,840 --> 00:00:32,000 Scansionando la rete, i professionisti sono in grado di rilevare porte aperte, servizi in esecuzione e 6 00:00:32,000 --> 00:00:35,720 potenziali debolezze che potrebbero essere sfruttate dagli attaccanti. 7 00:00:35,720 --> 00:00:40,760 Al contrario, gli attaccanti usano la scansione di rete per la ricognizione, raccogliendo informazioni 8 00:00:40,760 --> 00:00:46,240 sui bersagli disponibili prima di lanciare attacchi più mirati come exploit o tentativi 9 00:00:46,240 --> 00:00:48,280 di denial of service (DoS). 10 00:00:48,280 --> 00:00:53,560 Il processo di scansione di rete inizia tipicamente con la scoperta degli host (host discovery), che identifica 11 00:00:53,560 --> 00:00:56,400 i dispositivi attivi sulla rete. 12 00:00:56,400 --> 00:01:04,320 Ciò può essere ottenuto attraverso strumenti che sfruttano il protocollo ARP o ICMP usando "ping sweeps", 13 00:01:04,320 --> 00:01:10,600 entrambi metodi per determinare quali dispositivi sono attualmente attivi e reattivi 14 00:01:10,600 --> 00:01:13,560 all'interno di un intervallo specifico. 15 00:01:13,560 --> 00:01:19,440 Una volta identificati gli host attivi, la scansione continua con il rilevamento delle porte (port detection), dove 16 00:01:19,440 --> 00:01:24,960 l'obiettivo è determinare quali porte sono aperte, chiuse o protette da firewall. 17 00:01:24,960 --> 00:01:31,680 Questo è cruciale perché le porte aperte spesso espongono servizi che potrebbero essere potenzialmente attaccati. 18 00:01:31,680 --> 00:01:38,400 Esistono diverse tecniche per la scansione delle porte, incluse le scansioni SYN che sono furtive e 19 00:01:38,400 --> 00:01:45,240 non completano un handshake TCP completo, rendendole più difficili da rilevare, le scansioni connect che 20 00:01:45,240 --> 00:01:53,040 completano l'handshake completo e sono quindi più facili da rilevare, e metodi più evasivi come 21 00:01:53,040 --> 00:01:56,960 null scans, fin scans o Xmas Tree scans. 22 00:01:56,960 --> 00:02:02,440 Questi metodi variano nella loro rilevabilità e possono essere usati a seconda della necessità dell'attaccante 23 00:02:02,440 --> 00:02:07,520 di evitare il rilevamento o aggirare specifici meccanismi di sicurezza. 24 00:02:07,520 --> 00:02:12,560 Una volta completata la fase di scansione delle porte e noto lo stato delle porte (aperte, chiuse, 25 00:02:12,560 --> 00:02:17,240 filtrate), il passo successivo è l'enumerazione dei servizi (service enumeration). 26 00:02:17,240 --> 00:02:23,720 L'enumerazione dei servizi va un passo oltre identificando i servizi specifici in esecuzione sulle 27 00:02:23,720 --> 00:02:24,920 porte aperte. 28 00:02:24,920 --> 00:02:30,360 Ciò può essere fatto attraverso tecniche come il "banner grabbing" dove l'attaccante invia una richiesta 29 00:02:30,360 --> 00:02:35,520 al servizio e analizza la risposta per informazioni sulla versione del servizio 30 00:02:35,520 --> 00:02:37,160 o le configurazioni. 31 00:02:37,160 --> 00:02:42,360 Ad esempio, una semplice richiesta HTTP a un server web potrebbe rivelare il tipo di server. 32 00:02:42,360 --> 00:02:48,360 Ad esempio, se sta usando Apache o NGINX e la sua versione. 33 00:02:48,360 --> 00:02:54,600 L'enumerazione dei servizi permette ai professionisti della sicurezza di identificare servizi obsoleti, configurazioni errate 34 00:02:54,600 --> 00:03:00,800 o servizi esposti inutilmente, che possono essere sfruttati dagli attaccanti. 35 00:03:00,800 --> 00:03:06,000 Un esempio reale di scansione di rete sarebbe un amministratore di sistema che scansiona la propria 36 00:03:06,000 --> 00:03:13,680 sottorete interna, ad esempio .1.0, per identificare host attivi, porte aperte e servizi. 37 00:03:13,680 --> 00:03:18,640 L'amministratore potrebbe usare Nmap, un popolare strumento di scansione di rete, per eseguire una scansione 38 00:03:18,640 --> 00:03:27,120 con vari strumenti come -sS per una scansione SYN, -sV per il rilevamento della versione del servizio, 39 00:03:27,120 --> 00:03:31,440 e -O per il fingerprinting del sistema operativo. 40 00:03:31,440 --> 00:03:39,160 Eseguire un comando, come Nmap -sS -sV -O, restituirebbe una mappa completa della 41 00:03:39,160 --> 00:03:45,320 rete elencando directory attive, host attivi, le loro porte aperte, i servizi in esecuzione 42 00:03:45,320 --> 00:03:50,600 su queste porte e i sistemi operativi dei dispositivi. 43 00:03:50,600 --> 00:03:57,800 Questa mappa consente all'amministratore di rilevare rischi, dispositivi non autorizzati o servizi 44 00:03:57,800 --> 00:04:02,560 vulnerabili che potrebbero essere esposti alle minacce. 45 00:04:02,560 --> 00:04:09,000 La scansione di rete è tipicamente suddivisa in tre fasi sequenziali: scoperta degli host, scansione 46 00:04:09,000 --> 00:04:11,560 delle porte ed enumerazione dei servizi. 47 00:04:11,560 --> 00:04:16,280 Ogni fase si basa sulla precedente, creando un quadro completo della rete e 48 00:04:16,280 --> 00:04:18,600 dei suoi rischi associati. 49 00:04:18,600 --> 00:04:24,560 Scoperta degli Host: la prima fase della scansione di rete è la scoperta degli host, dove l'obiettivo 50 00:04:24,560 --> 00:04:29,200 è identificare quali dispositivi o sistemi sono attivi su una rete. 51 00:04:29,200 --> 00:04:34,840 La scoperta degli host può essere ottenuta usando diverse tecniche, come richieste echo ICMP, usando 52 00:04:34,840 --> 00:04:40,960 comandi ping, richieste ARP per reti locali o probe TCP UDP. 53 00:04:40,960 --> 00:04:45,280 Strumenti come Nmap e ARP scan sono spesso usati per questo scopo. 54 00:04:45,280 --> 00:04:51,280 Ad esempio, un penetration tester potrebbe eseguire il comando Nmap -sn, e poi l'IP della 55 00:04:51,280 --> 00:04:56,520 rete, per eseguire un ping sweep attraverso una sottorete aziendale. 56 00:04:56,520 --> 00:05:02,600 Questa scansione restituirà un elenco di host attivi, che sono i dispositivi o sistemi attualmente 57 00:05:02,600 --> 00:05:06,080 rispondenti e connessi alla rete. 58 00:05:06,080 --> 00:05:11,840 La scoperta degli host è un primo passo cruciale, perché aiuta il tester a concentrare gli sforzi sui dispositivi 59 00:05:11,840 --> 00:05:15,280 vivi, ignorando quelli che sono offline. 60 00:05:15,280 --> 00:05:21,160 La scansione delle porte: una volta identificati gli host attivi, la fase successiva è la scansione delle porte. 61 00:05:21,160 --> 00:05:28,680 Questa determina quali endpoint di comunicazione, le porte, sono aperti sugli host vivi. 62 00:05:28,680 --> 00:05:35,000 Sondando queste porte, il tester può valutare lo stato di ogni porta, se è aperta, 63 00:05:35,000 --> 00:05:39,240 chiusa o filtrata da un firewall o altro motivo. 64 00:05:39,240 --> 00:05:45,040 Esistono diversi tipi di tecniche di scansione delle porte, incluse scansioni SYN, scansioni connect, 65 00:05:45,040 --> 00:05:48,840 -sT, e scansioni UDP, -sU. 66 00:05:48,840 --> 00:05:53,080 Le scansioni SYN sono tipicamente preferite per la furtività, poiché inviano solo il pacchetto SYN senza 67 00:05:53,080 --> 00:05:55,760 completare l'handshake TCP. 68 00:05:55,760 --> 00:06:01,480 Ad esempio, dopo aver condotto una scansione SYN, il tester potrebbe scoprire che la porta 80 o la porta 69 00:06:01,480 --> 00:06:07,240 22 per SSH sono aperte su diversi host, fornendo informazioni preziose sui servizi 70 00:06:07,240 --> 00:06:09,240 in esecuzione su quei sistemi. 71 00:06:09,240 --> 00:06:10,920 Poi c'è l'enumerazione dei servizi. 72 00:06:10,920 --> 00:06:15,520 La fase finale della scansione di rete è chiamata enumerazione dei servizi, dove l' 73 00:06:15,520 --> 00:06:20,520 obiettivo è raccogliere informazioni dettagliate sui servizi o applicazioni in esecuzione sulle 74 00:06:20,520 --> 00:06:22,520 porte aperte identificate. 75 00:06:22,520 --> 00:06:26,560 Questo passo è essenziale, perché aiuta a identificare potenziali vulnerabilità o 76 00:06:26,560 --> 00:06:28,560 configurazioni errate. 77 00:06:28,560 --> 00:06:34,880 L'enumerazione dei servizi utilizza tipicamente il rilevamento della versione, -sV, o metodi più avanzati 78 00:06:34,880 --> 00:06:40,000 come il Nmap scripting engine, NSE, per interagire con i servizi e determinare 79 00:06:40,000 --> 00:06:42,040 le loro esatte configurazioni. 80 00:06:42,040 --> 00:06:48,640 Ad esempio, il tester potrebbe eseguire il comando Nmap usando -sV per identificare le versioni 81 00:06:48,640 --> 00:06:49,640 dei servizi. 82 00:06:49,640 --> 00:06:58,400 Questo può rivelare che l'host che esegue HTTP sulla porta 80 sta usando Apache 2.4.2.9 e SSH 83 00:06:58,400 --> 00:07:04,720 sulla porta 22 sta usando OpenSSH versione 7.6, per esempio. 84 00:07:04,720 --> 00:07:09,120 Tali informazioni sono molto preziose per i penetration tester, perché possono essere 85 00:07:09,120 --> 00:07:14,840 evidenziati software obsoleti o vulnerabili che necessitano di patch. 86 00:07:14,840 --> 00:07:19,800 Uno scenario di esempio considera un penetration tester che valuta una sottorete 87 00:07:19,800 --> 00:07:24,080 aziendale come 10.0.0.0. 88 00:07:24,080 --> 00:07:30,200 Il tester inizia la scoperta degli host, eseguendo un ping sweep o scansione ARP, poi 89 00:07:30,200 --> 00:07:33,720 per identificare 12 host attivi sulla rete. 90 00:07:33,720 --> 00:07:38,200 Questi sono dispositivi connessi all'interno della rete. 91 00:07:38,280 --> 00:07:44,560 Eseguono una scansione SYN su ciascuno degli host identificati per sondare le porte aperte, 92 00:07:44,560 --> 00:07:49,680 rivelando che le porte 80 o 22 sono aperte su alcuni dei dispositivi. 93 00:07:49,680 --> 00:07:54,080 Dopo aver identificato le porte aperte, il tester passa all'enumerazione dei servizi 94 00:07:54,080 --> 00:08:00,680 e cerca di determinare la versione di ogni sistema, Apache versione X e OpenSSH. 95 00:08:00,680 --> 00:08:06,480 Queste informazioni sulla versione sono critiche e potrebbero avere vulnerabilità note. 96 00:08:06,480 --> 00:08:11,520 Il tester può ora raccomandare mitigazioni specifiche, come l'applicazione di patch a quelle 97 00:08:11,520 --> 00:08:15,080 versioni per prevenire lo sfruttamento da parte degli attaccanti. 98 00:08:16,840 --> 00:08:22,000 Dopo aver identificato l'host attivo, lo strumento Nmap può eseguire scansioni dettagliate delle porte 99 00:08:22,000 --> 00:08:26,160 per identificare quali porte sono aperte, come spiegato prima. 100 00:08:26,160 --> 00:08:30,880 Tuttavia, quando si ha a che fare con grandi reti o vasti spazi di indirizzi, 101 00:08:30,880 --> 00:08:33,000 la velocità diventa un fattore significativo. 102 00:08:33,000 --> 00:08:35,400 È qui che brilla Masscan. 103 00:08:35,400 --> 00:08:41,120 A differenza di Nmap, che è noto per la scansione dettagliata, Masscan è ottimizzato per la velocità. 104 00:08:41,120 --> 00:08:44,920 Posso inviare milioni di pacchetti al secondo, rendendolo estremamente veloce 105 00:08:44,920 --> 00:08:49,760 per condurre una ricognizione iniziale su ampi intervalli IP. 106 00:08:49,760 --> 00:08:55,080 Masscan utilizza il proprio stack TCP IP, che abilita lo strumento a scansionare 107 00:08:55,080 --> 00:08:59,280 intere sottoreti o grandi reti rapidamente. 108 00:08:59,280 --> 00:09:03,280 Ad esempio, se un analista di sicurezza ha il compito di scansionare una grande 109 00:09:03,280 --> 00:09:08,400 rete aziendale, potrebbe usare Masscan con un comando come 110 00:09:08,400 --> 00:09:15,680 masscan e poi l'IP di rete .0.0, lo specifico -p e i numeri di porta 111 00:09:15,680 --> 00:09:21,440 e il rate che definisce quanto saranno grandi i pacchetti, 112 00:09:21,440 --> 00:09:26,000 il che scansionerà un'intera sottorete a un tasso molto alto per porte comuni 113 00:09:26,000 --> 00:09:31,440 come SSH, che è sulla 22, HTTP o HTTPS. 114 00:09:31,440 --> 00:09:36,800 Questa capacità di scansione rapida consente all'analista di identificare rapidamente quali host sono attivi 115 00:09:36,800 --> 00:09:43,280 e quali porte sono aperte, fornendo un elenco di potenziali bersagli per ulteriori indagini. 116 00:09:43,280 --> 00:09:47,200 Una volta che Masscan ha identificato host attivi e porte aperte, 117 00:09:47,200 --> 00:09:51,760 Nmap viene tipicamente utilizzato per eseguire scansioni più dettagliate su questi bersagli. 118 00:09:51,760 --> 00:09:55,040 Ad esempio, possiamo usare i tag che abbiamo usato prima, 119 00:09:55,040 --> 00:10:00,640 come -sV, -O per condurre scansioni SYN e così via. 120 00:10:00,640 --> 00:10:05,120 Questo fornirà dettagli sulla versione di Apache e così via. 121 00:10:05,120 --> 00:10:09,920 Per coloro che preferiscono un'interfaccia più visiva per gestire le scansioni di rete, 122 00:10:09,920 --> 00:10:15,280 ZenMap è un'ottima scelta. ZenMap è un'interfaccia grafica utente ufficiale per 123 00:10:15,280 --> 00:10:20,560 Nmap progettata per rendere le potenti funzionalità di Nmap più accessibili agli utenti 124 00:10:20,560 --> 00:10:25,200 che potrebbero non essere molto a loro agio con le operazioni da riga di comando. 125 00:10:25,200 --> 00:10:30,000 ZenMap fornisce un'interfaccia intuitiva per configurare scansioni Nmap e 126 00:10:30,000 --> 00:10:35,440 visualizzare i risultati visivamente. Semplifica il processo di scelta dei tipi di scansione, 127 00:10:36,240 --> 00:10:42,080 impostazione dei bersagli e intercettazione dei risultati mentre Nmap richiede un input dettagliato da riga di comando 128 00:10:42,080 --> 00:10:46,960 per configurare le scansioni. ZenMap offre un'alternativa user-friendly, 129 00:10:46,960 --> 00:10:53,440 che può essere particolarmente utile per gli amministratori di rete e gli utenti meno esperti 130 00:10:53,440 --> 00:10:58,000 che vogliono comunque sfruttare tutta la potenza di Nmap per le capacità di scansione. 131 00:10:58,000 --> 00:11:05,920 Angry IP scanner è un altro strumento che offre semplicità e facilità d'uso per compiti di scansione di rete di base. 132 00:11:08,240 --> 00:11:15,200 Questo strumento è un'ottima scelta per amministratori o utenti per effettuare scansioni. 133 00:11:17,200 --> 00:11:25,920 Infine, Netcat, o come viene chiamato NC, è uno strumento versatile che è spesso sottovalutato, 134 00:11:26,000 --> 00:11:29,600 ma incredibilmente potente quando si tratta di test di rete. 135 00:11:29,600 --> 00:11:37,120 Netcat è un'utilità da riga di comando aperta che può essere utilizzata per testare e aprire porte e dati 136 00:11:37,120 --> 00:11:41,920 tra i dispositivi e diversi fattori stabiliti in esercizi di team. 137 00:11:41,920 --> 00:11:48,240 Uno degli usi più comuni per Netcat è il "banner grabbing", che comporta la connessione a una porta aperta 138 00:11:48,240 --> 00:11:52,080 per estrarre informazioni sul servizio in esecuzione su quella porta. 139 00:11:52,080 --> 00:11:58,880 Ad esempio, se l'analista trova una porta HTTP aperta sulla 8080, 140 00:11:58,880 --> 00:12:04,400 può usare Netcat per interagire manualmente con il servizio digitando NC, 141 00:12:04,400 --> 00:12:08,320 Netcat, l'indirizzo IP, e poi il numero di porta. 142 00:12:08,320 --> 00:12:14,240 Questo potrebbe consentire all'analista di inviare richieste HTTP di bassissimo livello 143 00:12:14,240 --> 00:12:18,400 o ricevere banner che rivelano la versione del servizio e altri dettagli 144 00:12:18,400 --> 00:12:22,000 che potrebbero essere utili per identificare le vulnerabilità. 145 00:12:23,840 --> 00:12:29,120 Tornando a Angry IP Scanner, è uno strumento multipiattaforma leggero. 146 00:12:29,120 --> 00:12:33,200 È ideale per determinare rapidamente quali dispositivi sono attivi sulla rete. 147 00:12:33,200 --> 00:12:38,480 È come la scansione di massa o la scansione Nmap per identificare dispositivi aperti 148 00:12:38,480 --> 00:12:40,240 che sono connessi alla rete. 149 00:12:40,240 --> 00:12:44,480 Questo lo rende uno strumento eccellente, Angry IP Scanner, per gli utenti per 150 00:12:45,440 --> 00:12:49,840 condurre un'enumerazione veloce e per controllare lo stato di salute e così via. 151 00:12:49,840 --> 00:12:50,960 Ma è molto intrusivo. 152 00:12:52,320 --> 00:12:58,080 In pratica, un analista di sicurezza può combinare questi strumenti in un approccio a strati alla scansione. 153 00:12:58,080 --> 00:13:03,200 Per prima cosa, potrebbero usare una scansione di massa per identificare rapidamente host attivi e porte aperte su un 154 00:13:03,200 --> 00:13:05,040 ampio spazio di indirizzi. 155 00:13:05,040 --> 00:13:11,520 Una volta identificati i potenziali bersagli, Nmap può essere utilizzato per condurre un'analisi più approfondita, 156 00:13:11,520 --> 00:13:16,720 rivelando i servizi in esecuzione su quelle porte aperte e identificando le loro versioni. 157 00:13:16,720 --> 00:13:22,640 Se viene trovato un servizio sospetto, l'analista può usare Netcat per interagire manualmente 158 00:13:22,640 --> 00:13:27,840 con il servizio, recuperare banner o sondare ulteriormente usando pacchetti raw a basso livello. 159 00:13:28,400 --> 00:13:35,680 Per gli utenti meno esperti, possono usare un host discoverer come Angry IP Scanner o ZenMap 160 00:13:35,680 --> 00:13:40,160 che è molto semplice da usare e un modo più accessibile per eseguire, 161 00:13:40,160 --> 00:13:45,360 ma è come se avessi bisogno di strumenti più avanzati e configurazioni più avanzate, 162 00:13:45,360 --> 00:13:48,000 alla fine vai alla scansione Nmap. 163 00:13:48,880 --> 00:13:49,280 Ecco fatto. 164 00:13:50,960 --> 00:13:55,360 Ogni strumento nel toolkit di scansione di rete porta vantaggi unici e compromessi 165 00:13:55,360 --> 00:14:00,160 tecnici, a seconda degli obiettivi specifici e delle circostanze della scansione. 166 00:14:00,160 --> 00:14:06,480 Nmap è uno strumento standard del settore noto per la sua versatilità e profondità di funzionalità. 167 00:14:06,560 --> 00:14:10,240 Uno dei punti di forza chiave è Nmap scripting engine, gli script NSE, 168 00:14:10,240 --> 00:14:15,120 che consente agli utenti di automatizzare un'ampia varietà di attività come la scansione delle vulnerabilità, 169 00:14:15,120 --> 00:14:21,440 il brute forcing delle credenziali e persino l'esecuzione di rilevamento complesso dei servizi o attacchi DoS. 170 00:14:21,440 --> 00:14:27,600 Nmap eccelle anche nella scansione furtiva, abilitando diverse opzioni di configurazione, 171 00:14:27,600 --> 00:14:34,640 e altre impostazioni avanzate, che rendono più difficile per i sistemi di rilevamento delle intrusioni 172 00:14:34,640 --> 00:14:40,320 rilevarlo se vengono utilizzati in modo molto avanzato, quindi molto sofisticato. 173 00:14:40,320 --> 00:14:45,440 Queste capacità rendono Nmap ideale per valutazioni di rete complete che 174 00:14:45,440 --> 00:14:48,880 sono un'analisi approfondita dei servizi e delle vulnerabilità. 175 00:14:52,720 --> 00:14:58,240 Abbiamo visto Netcat e MassScan e tutti questi strumenti che possono essere utilizzati per la 176 00:14:58,240 --> 00:15:04,000 scansione di rete. Tuttavia, la scansione di rete, indipendentemente dallo strumento utilizzato, 177 00:15:04,000 --> 00:15:07,440 non è priva di considerazioni legali ed etiche. 178 00:15:07,440 --> 00:15:12,960 La scansione non autorizzata, anche se fatta con l'intento di migliorare la sicurezza, 179 00:15:12,960 --> 00:15:16,160 può portare a significative conseguenze legali. 180 00:15:16,160 --> 00:15:22,640 Ad esempio, leggi come il Computer Fraud and Abuse Act (CFAA) negli Stati Uniti, 181 00:15:22,640 --> 00:15:26,320 o la direttiva sul crimine informatico nell'Unione Europea, 182 00:15:26,320 --> 00:15:32,080 rendono illegale accedere o manomettere i sistemi informatici senza autorizzazione. 183 00:15:32,080 --> 00:15:37,280 In alcuni casi, anche condurre semplici attività di ricognizione come la scansione delle porte 184 00:15:37,280 --> 00:15:43,520 può essere considerato una violazione di queste leggi, in particolare se la scansione viene intercettata 185 00:15:43,520 --> 00:15:50,080 come precursore di un attacco. Eticamente, la scansione di rete dovrebbe sempre essere eseguita 186 00:15:50,080 --> 00:15:55,120 con le autorizzazioni appropriate. Ci si aspetta che i professionisti della sicurezza seguano 187 00:15:55,120 --> 00:16:00,400 pratiche di divulgazione responsabile, assicurandosi di avere un'autorizzazione esplicita 188 00:16:00,400 --> 00:16:04,720 prima di condurre qualsiasi scansione. Questa autorizzazione è tipicamente concessa 189 00:16:04,720 --> 00:16:11,040 attraverso regole di ingaggio (Rules of Engagement - ROE) o contratti che delineano l'ambito, 190 00:16:11,040 --> 00:16:16,400 gli obiettivi e i confini della scansione. Questi documenti servono come salvaguardia legale sia 191 00:16:16,400 --> 00:16:21,360 per il professionista che per l'organizzazione, garantendo che le attività di scansione siano 192 00:16:21,360 --> 00:16:28,640 in linea con le linee guida etiche e non interrompano inavvertitamente i servizi 193 00:16:28,640 --> 00:16:34,160 o violino la privacy degli utenti. Aderendo alle linee guida etiche e al quadro legale, 194 00:16:34,160 --> 00:16:40,160 i professionisti della sicurezza possono garantire che le loro attività di scansione contribuiscano a migliorare 195 00:16:40,160 --> 00:16:44,640 la sicurezza piuttosto che causare involontariamente danni. 196 00:16:46,800 --> 00:16:51,200 Analizziamo lo scenario in cui un Amministratore di Rete sta controllando una 197 00:16:51,200 --> 00:16:57,840 sottorete locale .1.0 per esempio. Gli utenti possono mappare per ottenere informazioni sui dispositivi attivi 198 00:16:57,920 --> 00:17:02,480 e i servizi all'interno della rete. Il processo inizia con un semplice passo di scoperta 199 00:17:02,480 --> 00:17:07,360 degli host. L'amministratore esegue il comando Nmap -sn, 200 00:17:07,360 --> 00:17:13,840 e poi l'IP della rete. Questo comando invia richieste echo ICMP, anche come 201 00:17:13,840 --> 00:17:18,880 richiesta ping all'intera sottorete. Inoltre, sulle reti locali 202 00:17:18,880 --> 00:17:25,200 nmap può usare la scansione ARP per identificare i dispositivi attivi, poiché ARP funziona anche quando 203 00:17:25,200 --> 00:17:30,480 ICMP è bloccato dai firewall. È come un'informazione pubblicamente disponibile usando il 204 00:17:30,480 --> 00:17:35,600 protocollo di risoluzione degli indirizzi. L'interruttore -sn dice a nmap di non 205 00:17:35,600 --> 00:17:40,960 eseguire alcuna scansione delle porte, controlla solo la presenza di host vivi. 206 00:17:40,960 --> 00:17:46,000 Se il dispositivo risponde, Nmap lo contrassegna come attivo, fornendo all'amministratore 207 00:17:46,000 --> 00:17:49,840 un elenco di dispositivi che sono online all'interno della sottorete. 208 00:17:49,840 --> 00:17:56,880 Successivamente, l'amministratore si concentra su un dispositivo specifico, ad esempio .1.1, e controlla le comuni 209 00:17:56,880 --> 00:18:05,200 porte aperte usando il comando Nmap -p 22,80,443. Questa scansione è focalizzata sul controllo 210 00:18:05,200 --> 00:18:11,200 se il dispositivo bersaglio ha porte specifiche aperte, come SSH, HTTP e HTTPS. 211 00:18:12,080 --> 00:18:16,640 Queste sono tipicamente usate per l'accesso remoto e i servizi basati sul web. 212 00:18:16,640 --> 00:18:24,400 Il comando invia pacchetti SYN e scopre se le porte sono aperte, chiuse o filtrate dal firewall. 213 00:18:24,400 --> 00:18:30,320 Questo processo è utile per identificare potenziali vettori di attacco su un dispositivo specifico. 214 00:18:30,320 --> 00:18:35,120 Per ottenere informazioni più granulari sui servizi in esecuzione su una porta specifica, 215 00:18:35,840 --> 00:18:41,760 puoi usare -p 80 e quindi scoprire una porta specifica, o avere un intervallo da 216 00:18:41,760 --> 00:18:46,640 1 a 1.000 e controllare quali porte di esse sono effettivamente aperte. 217 00:18:47,360 --> 00:18:52,480 Il -sV ricorderà che questo riguarda la versione e fornirà la versione del 218 00:18:52,480 --> 00:18:59,440 servizio specifico che ha la porta aperta. Il -sn è usato per eseguire la scansione ping 219 00:18:59,440 --> 00:19:04,320 e -p per le porte e -sV per le versioni. 220 00:19:04,320 --> 00:19:12,320 Quindi un'altra opzione importante sono le opzioni di timing che possono regolare quanto velocemente Nmap esegue le scansioni, 221 00:19:12,320 --> 00:19:17,680 con scansioni più lente che hanno meno probabilità di attivare avvisi dai sistemi di rilevamento delle intrusioni. 222 00:19:18,640 --> 00:19:24,800 Quindi -T ha le sue variabili per impostare la soglia del timing, 223 00:19:24,800 --> 00:19:31,680 e ci sono anche altre opzioni come i formati di output. Puoi estrarre il risultato di 224 00:19:31,760 --> 00:19:38,240 Nmap su un file specifico, definendo -oN o -oX, lascia che l'amministratore 225 00:19:38,240 --> 00:19:44,240 salvi le scansioni in diversi formati come testo semplice o XML o JSON e così via. 226 00:19:44,240 --> 00:19:49,440 Gli script NSE consentono l'esecuzione degli script che possono automatizzare la scansione 227 00:19:49,440 --> 00:19:54,560 delle vulnerabilità, quindi questo è molto importante da gestire su Nmap. 228 00:19:55,920 --> 00:20:01,040 Per iniziare, gli studenti avvieranno il processo con una scansione di base per la scoperta degli host. 229 00:20:01,760 --> 00:20:07,120 Usando il comando Nmap -sn e poi l'IP della rete. 230 00:20:07,120 --> 00:20:12,480 Normalmente nell'IP di rete sull'adattatore host only c'è 56.0, 231 00:20:12,480 --> 00:20:15,680 ma questo può essere configurato diversamente se vuoi. 232 00:20:15,680 --> 00:20:19,920 Identificheranno quali macchine virtuali (VM) sono attualmente attivate sulla rete, 233 00:20:19,920 --> 00:20:25,520 quindi scopriranno webgoat, dvwa o qualunque macchina vulnerabile abbiano 234 00:20:26,240 --> 00:20:30,880 caricato sulla loro rete. Questo passo imita la prima fase di una valutazione 235 00:20:30,880 --> 00:20:35,440 di rete dove i professionisti della sicurezza stabiliscono quali host sono online 236 00:20:35,440 --> 00:20:40,480 e pronti per un ulteriore esame. Una volta identificati gli host vivi, 237 00:20:40,480 --> 00:20:45,360 il compito successivo sarà la scansione delle porte. Ad esempio, eseguendo la scansione Nmap 238 00:20:45,360 --> 00:20:48,880 -p e poi definiscono l'intervallo dei numeri 239 00:20:48,880 --> 00:20:53,840 di porta e l'indirizzo IP della specifica VM, gli studenti saranno in grado 240 00:20:53,840 --> 00:21:00,320 di controllare i servizi comuni come FTP, SSH, HTTP e così via. 241 00:21:00,400 --> 00:21:04,160 Queste sono porte tipiche di interesse nella scansione di sicurezza principale. 242 00:21:04,160 --> 00:21:09,600 Infine, gli studenti approfondiranno l'integrazione dei servizi con un comando come -sV 243 00:21:09,600 --> 00:21:14,800 per trovare le versioni specifiche del servizio vulnerabile. 244 00:21:14,800 --> 00:21:19,120 Attraverso questo laboratorio gli studenti esploreranno anche diverse opzioni avanzate di Nmap 245 00:21:19,120 --> 00:21:23,120 e per personalizzare le loro scansioni useranno -v, -oN, 246 00:21:23,120 --> 00:21:29,120 -oX per estrarre in XML e possono usare opzioni di timing come 247 00:21:29,120 --> 00:21:34,640 T3 per regolare il timing della scansione, bilanciando la velocità con la furtività, 248 00:21:34,640 --> 00:21:40,080 che è importante in scenari del mondo reale dove evitare il rilevamento è spesso una priorità. 249 00:21:40,080 --> 00:21:45,520 È cruciale che le scansioni siano condotte solo su sandbox o sistemi con permesso concesso, 250 00:21:45,520 --> 00:21:51,200 ambienti controllati come rete NAT e strumenti di virtualizzazione come virtual box 251 00:21:51,200 --> 00:21:58,640 forniranno questa opportunità. Altrimenti, gli studenti possono usare anche scanme.nmap.org 252 00:21:58,640 --> 00:22:05,440 che è un sito web offerto da Nmap per fare scansioni di prova senza problemi legali. 253 00:22:05,440 --> 00:22:11,120 Lavorando con le impostazioni di controllo, gli studenti possono testare e ottimizzare le loro tecniche di scansione 254 00:22:11,120 --> 00:22:15,840 senza preoccuparsi di violare le policy o causare interruzioni. 255 00:22:15,840 --> 00:22:19,200 I risultati delle scansioni dovrebbero essere documentati attentamente e gli studenti 256 00:22:19,200 --> 00:22:24,080 dovrebbero analizzare i dati criticamente. Verrà loro chiesto di interpretare 257 00:22:24,080 --> 00:22:27,680 il significato di ogni porta e del servizio associato. 258 00:22:27,680 --> 00:22:33,600 Ad esempio, una porta SSH aperta potrebbe indicare un potenziale vettore per attacchi di login remoto 259 00:22:33,600 --> 00:22:38,720 se sono in uso password deboli usando attacchi di forza bruta, mentre una porta HTTP aperta 260 00:22:38,720 --> 00:22:44,240 potrebbe esporre un'applicazione web vulnerabile allo sfruttamento. Incoraggiare gli studenti a pensare 261 00:22:44,240 --> 00:22:50,560 alle implicazioni di sicurezza che risulteranno da ogni scansione, li aiuterà a sviluppare non solo 262 00:22:50,560 --> 00:22:56,160 la loro competenza tecnica ma anche il loro pensiero analitico che è essenziale 263 00:22:56,160 --> 00:23:01,760 per pratiche di cybersecurity efficaci in scenari del mondo reale.