NAME¶

nmap - Ferramenta de exploração de rede e segurança / scanner de portas

SYNOPSIS¶

DESCRIçãO¶

O Nmap (“Network Mapper”) é uma ferramenta de código aberto para exploração de rede e auditoria de segurança. Ela foi desenhada para escanear rapidamente redes amplas, embora também funcione muito bem contra hosts individuais. O Nmap utiliza pacotes IP em estado bruto (raw) de maneira inovadora para determinar quais hosts estão disponíveis na rede, quais serviços (nome da aplicação e versão) os hosts oferecem, quais sistemas operacionais (e versões de SO) eles estão executando, que tipos de filtro de pacotes/firewalls estão em uso, e dezenas de outras características. Embora o Nmap seja normalmente utilizado para auditorias de segurança, muitos administradores de sistemas e rede consideram-no útil para tarefas rotineiras tais como inventário de rede, gerenciamento de serviços de atualização agendados, e monitoramento de host ou disponibilidade de serviço. A saída do Nmap é uma lista de alvos escaneados, com informações adicionais de cada um dependendo das opções utilizadas. Uma informação chave é a “tabela de portas interessantes”. Essa tabela lista o número da porta e o protocolo, o nome do serviço e o estado. O estado pode ser aberto (open), filtrado (filtered), fechado (closed), ou não-filtrado (unfilterd). Aberto (open) significa que uma aplicação na máquina-alvo está escutando as conexões/pacotes naquela porta. Filtrado (filtered) significa que o firewall, filtro ou outro obstáculo de rede está bloqueando a porta de forma que o Nmap não consegue dizer se ela está aberta (open) ou fechada (closed). Portas fechadas (closed)não possuem uma aplicação escutando nelas, embora possam abrir a qualquer instante. Portas são classificadas como não filtradas (unfiltered)quando elas respondem às sondagens do Nmap, mas o Nmap não consegue determinar se as portas estão abertas ou fechadas. O Nmap reporta as combinações aberta|filtrada (open|filtered)e fechada|filtrada (closed|filtered)quando não consegue determinar qual dos dois estados descrevem melhor a porta. A tabela de portas também pode incluir detalhes de versão de software quando a detecção de versão for solicitada. Quando um scan do protocolo IP é solicitado ( -sO), o Nmap fornece informações dos protocolos IP suportados ao invés de portas que estejam abertas. Além da tabela de portas interessantes, o Nmap pode fornecer informações adicionais sobre os alvos, incluíndo nomes de DNS reverso, possível sistema operacional, tipos de dispositivos e endereços MAC. Um scan típico do Nmap é mostrado em Example 1, “Uma amostra de scan do Nmap”. Os únicos argumentos que o Nmap utiliza nesse exemplo são -A, para habilitar a detecção de SO e a versão, -T4 para execução mais rápida, e os hostnames de dois alvos. Example 1. Uma amostra de scan do Nmap A versão mais nova do Nmap pode ser obtida em http://insecure.org/nmap/. A versão mais nova da página do manual está disponível em http://insecure.org/nmap/man/.

NOTAS DA TRADUçãO¶

Esta edição em Português (Brasil) do Guia de Referência do Nmap foi traduzida da versão [3244] do original em Inglês[1] por Lucien Raven :> (aka:ekita) <lucienraven.at.yahoo.com.br> e foi revisada por Humberto Sartini <humberto.at.onda.com.br>. Embora tenhamos a esperança de que esta tradução torne o Nmap mais acessível para os brasileiros do mundo todo, não podemos garantir que ela esteja tão completa ou atualizada quanto a versão original em Inglês. Este trabalho pode ser modificado e redistribuído sob os termos da Licença de Atribuição da Creative Commons[2]. Algumas liberdades foram tomadas na tradução de expressões, jargão e gíria. Para maiores detalhes sobre a tradução, sugestões ou críticas, envie um e-mail para os tradutores -- não esqueça de substituir '.at.' por '@'. [Rev:3244-01]

SUMáRIO DAS OPçõES¶

Este sumário de opções é mostrado quando o Nmap é executado sem argumentos, e a última versão está sempre disponível em http://insecure.org/nmap/data/nmap.usage.txt. Ele ajuda as pessoas a lembrar das opções mais comuns, mas não substitui a documentação mais técnica do restante deste manual. Algumas opções obscuras não estão incluídas aqui.

ESPECIFICAçãO DE ALVO¶

Tudo na linha de comando do Nmap que não for uma opção (ou argumento de uma opção) é tratado como uma especificação de um host-alvo. O caso mais simples é especificar um endereço IP como alvo ou um hostname para ser escaneado. Algumas vezes você pode querer escanear uma rede inteira de hosts adjacentes. Para isso o Nmap suporta o estilo de endereçamento CIDR. Você pode acrescentar / númerodebits em um endereço ou hostname e o Nmap irá escanear cada endereço IP para o qual os primeiros númerosdebits sejam o mesmo que o IP de referência ou o hostname dado. Por exemplo, 192.168.10.0/24 escanearia os 256 hosts entre 192.168.10.0 (binário: 11000000 10101000 00001010 00000000) e 192.168.10.255 (binário: 11000000 10101000 00001010 11111111), inclusive. 192.168.10.40/24 faria exatamente a mesma coisa. Dado que o host scanme.nmap.org está no endereço IP 205.217.153.62, a especificação scanme.nmap.org/16 escanearia os 65.536 endereços IP entre 205.217.0.0 e 205.217.255.255. O menor valor permitido é /1, que equivale a escanear metade da Internet. O maior valor é 32, que escaneia apenas o host nomeado ou endereço IP porque todos os bits de endereçamento estão fixos. A notação CIDR é curta mas nem sempre flexível o suficiente. Por exemplo, você pode querer escanear 192.168.0.0/16 mas desejar pular todos os IPs terminados em .0 ou .255 porque eles são normalmente endereços de broadcast. O Nmap suporta isso através de endereçamento por faixa de octeto. Ao invés de especificar um endereço IP normal, você pode especificar uma lista de números separada por vírgulas ou faixa de números para cada octeto. Por exemplo, 192.168.0-255.1-254 irá pular todos os endereços na faixa que terminarem com .0 e/ou .255. Faixas não precisam ser limitadas ao octeto final: o especificador 0-255.0-255.13.37 irá executar um scan em toda a Internet buscando os endereços IP terminados em 13.37. Esse tipo de amostragem ampla pode ser útil em levantamentos e pesquisas da Internet toda. Endereços IPv6 podem apenas ser especificados utilizando o endereço ou hostname IPv6 completamente qualificado. Faixas CIDR e octetos não são suportados para o IPv6 porque eles raramente são úteis. O Nmap aceita múltiplas especificações de host na linha de comando, e elas não precisam ser do mesmo tipo. O comando nmap scanme.nmap.org 192.168.0.0/16 10.0.0,1,3-7.0-255 executa o que se espera que dele. Embora os alvos sejam normalmente especificados na linha de comando, as seguintes opções também estão disponíveis para controlar a seleção de alvos: -iL <arquivodeentrada> (Entrada à partir de uma lista) -iR <número de hosts> (Escolhe alvos aleatórios) --exclude <host1[,host2][,host3],...> (Exclui hosts/redes) --excludefile <arquivo_exclusão> (Exclui a lista do arquivo)

DESCOBERTA DE HOSTS¶

Um dos primeiros passos em qualquer missão de reconhecimento de uma rede é reduzir um conjunto (às vezes enorme) de faixas de endereços IP, em uma lista de hosts ativos e interessantes. Escanear cada porta de cada endereço IP é vagaroso e normalmente desnecessário. É claro que o que torna um host interessante depende muito do propósito do scan. Administradores de rede podem estar apenas interessados em hosts que executam um determinado serviço, enquanto os auditores de segurança podem se importar com cada dispositivo que possuir um endereço IP. Um administrador pode se sentir à vontade em usar o ping ICMP para localizar os hosts na rede interna, enquanto um profissional externo de análise de vulnerabilidades (penetration tester) pode utilizar um conjunto diversificado de dezenas de sondagens em uma tentativa de burlar as restrições do firewall. As necessidades para o descobrimento de host são muito diversas e, por isso, o Nmap oferece uma ampla variedade de opções para customizar as técnicas utilizadas. A descoberta de host às vezes é chamada de ping scan, mas ela vai muito além dos simples pacotes ICMP de echo request associados com a ferramenta onipresente conhecida como ping. Os usuários podem pular a etapa do ping inteiramente com uma lista de scan ( -sL) ou desabilitanto o ping (-P0), ou enfrentar a rede com combinações arbitrárias de sondagens multi-portas TCP SYN/ACK, UDP e ICMP. O objetivo dessas sondagens é solicitar respostas que mostrem que um endereço IP está realmente ativo (é utilizado por um host ou dispositivo de rede). Em muitas redes, apenas uma pequena percentagem dos endereços IP está ativa em um dado momento. Isso é particularmente comum com o espaço de endereçamento privativo abençoado pela RFC1918 como, por exemplo, 10.0.0.0/8. Essa rede tem 16 milhões de IPs, mas eu já a vi sendo utilizado em empresas com menos de mil máquinas. A descoberta de hosts pode encontrar essas máquinas escassamente alocadas em um mar de endereços IP. Se nenhuma opção de descoberta de hosts for dada, o Nmap envia um pacote TCP ACK destinado a porta 80 e uma procura ICMP Echo Request a cada máquina-alvo. Uma exceção a isso é que um scan ARP é utilizado para cada alvo localizado na rede ethernet local. Para usuários Unix sem privilégios, com shell, um pacote SYN é enviado ao invés do ack utilizando a chamada de sistema connect(). Esses valores padrão equivalem às opções -PA -PE. Esta descoberta de host freqüentemente é suficiente para escanear redes locais, mas um conjunto de sondagens mais abrangentes é recomendado para auditoria de segurança. As opções -P* (que selecionam tipos de ping) podem ser combinadas. Você pode aumentar as chances de penetrar em um firewall rígido enviando muitos tipos de sondagens, utilizando diferentes portas/flags TCP e códigos ICMP. Note também que a descoberta por ARP ( -PR) é feita por padrão contra alvos na rede ethernet local mesmo que você especifique outras opções -P* , porque é quase sempre mais rápida e eficiente. Por definição, o Nmap faz a descoberta de host e então executa um escaneamento de portas contra cada host que ele determina que está ativo. Isto é verdade mesmo que você especifique tipos de busca não-padronizadas de hosts, tais como sondagens UDP ( -PU). Leia sobre a opção -sP para saber como executar apenas uma descoberta de hosts, ou utilize -P0 para pular a descoberta de hosts e escanear as portas de todos os hosts-alvo. As seguintes opções controlam a descoberta de hosts: -sL (Scan Listagem) -sP (Scan usando Ping) -P0 (Sem ping) -PS [listadeportas] (Ping usando TCP SYN) -PA [listadeportas] (Ping usando TCP ACK) -PU [listadeportas] (Ping usando UDP) -PE; -PP; -PM (Tipos de Ping do ICMP) -PR (Ping usando ARP) -n (Não faça resolução DNS) -R (resolução DNS para todos os alvos) --system-dns (Usa a resolução DNS do sistema) --dns-servers <servidor1[,servidor2],...> (Servidores a utilizar para a pesquisa DNS reversa)

FUNDAMENTOS DO ESCANEAMENTO DE PORTAS¶

Embora o Nmap tenha crescido em funcionalidade ao longo dos anos, ele começou como um eficiente scanner de portas, e essa permanece sua função principal. O simples comando nmap alvo escaneia mais de 1660 portas TCP no host alvo. Embora muitos scanner de portas tenham tradicionalmente agrupado todas as portas nos estados aberto ou fechado, o Nmap é muito mais granular. Ele divide as portas em seis estados: aberto(open), fechado(closed),filtrado(filtered), não-filtrado(unfiltered), open|filtered, ou closed|filtered. Esses estados não são propriedades intrínsecas da porta, mas descrevem como o Nmap as vê. Por exemplo, um scan do Nmap da mesma rede como alvo pode mostrar a porta 135/tcp como aberta, enquanto um scan ao mesmo tempo com as mesmas opções, à partir da Internet poderia mostrar essa porta como filtrada. Os seis estados de porta reconhecidos pelo Nmap aberto (open) fechado (closed) filtrado (filtered) não-filtrado (unfiltered) open|filtered closed|filtered

TéCNICAS DE ESCANEAMENTO DE PORTAS¶

Como um novato executando um reparo automotivo, posso brigar por horas tentando usar minhas ferramentas rudimentares (martelo, fita adesiva, grifo, etc.) nas tarefas. Quando eu falho miseravelmente e reboco minha lata-velha para um mecânico de verdade ele invariavelmente pesca aqui e ali em um enorme baú de ferramentas até pegar a coisa perfeita que torna a tarefa uma brincadeira. A arte de escanear portas é similar. Os experts entendem as dezenas de técnicas de escaneamento e escolhem as que são apropriadas (ou uma combinação) para uma dada tarefa. Usuários inexperientes e script kiddies, por outro lado, tentam resolver todos os problemas com o scan SYN padrão. Uma vez que o Nmap é gratuito, a única barreira para a maestria em escaneamento de portas é o conhecimento. Isso certamente é melhor que no mundo automotivo, onde pode ser necessário uma grande habilidade para determinar que você precisa de um compressor de molas e então você tem que pagar milhares de dólares por um. A maioria dos tipos de scan está disponível apenas para usuários privilegiados. Isso acontece porque eles enviam e recebem pacotes em estado bruto, o que requer acesso de root em sistemas Unix. Utilizar a conta de administrador no Windows é recomendado, embora o Nmap às vezes funcione com usuários sem privilégios nessa plataforma quando o WinPcap foi carregado no SO. Requerer privilégio de root era uma séria limitação quando o Nmap foi lançado em 1997, pois muitos usuários apenas tinham acesso a contas de shell compartilhadas. Agora o mundo é diferente. Computadores estão mais baratos, muito mais pessoas tem acesso direto e permanente à Internet, e computadores de mesa Unix (incluindo Linux e MAC OS X) são comuns. Uma versão para o Windows do Nmap se encontra disponível atualmente, permitindo que se rode em muito mais computadores de mesa. Por todas essas razões, os usuários tem menos necessidade de executar o Nmap à partir de contas de shell compartilhadas e limitadas. Isso é muito bom pois as opções privilegiadas tornam o Nmap muito mais poderoso e flexível. Embora o Nmap tente produzir resultados precisos, tenha em mente que todas as deduções são baseadas em pacotes devolvidos pelas máquinas-alvo (ou firewalls na frente delas). Tais hosts podem ser não-confiáveis e enviar respostas com o propósito de confundir ou enganar o Nmap. Muito mais comum são os hosts não-de-acordo-com-a-rfc que não respondem como deveriam às sondagens do Nmap. As sondagens FIN, Null e Xmas são particularmente suscetíveis a esse problema. Tais questões são específicas de determinados tipos de scan e portanto são discutidos nas entradas individuais de cada um dos tipos. Esta seção documenta as dezenas de técnicas de escaneamento de portas suportadas pelo Nmap. Apenas um método pode ser utilizado de cada vez exceto que um scan UDP ( -sU) pode ser combinado com qualquer um dos tipos de scan TCP. Como uma ajuda para a memória, as opções dos tipos de escaneamento de portas estão no formato -sC, onde C é um caracter proeminente no nome do scan, normalmente o primeiro. A única exceção a essa regra é para o scan depreciado FTP bounce ( -b). Por padrão, o Nmap executa um scan SYN, embora ele substitua por um scan connect se o usuário não tiver os privilégios adequados para enviar pacotes em estado bruto (requer acesso de root no UNIX) ou se alvos IPv6 forem especificados. Dos scans listados nesta seção, os usuários não privilegiados podem apenas executar os scans connect e ftp bounce. -sS (scan TCP SYN) -sT (scan TCP connect) -sU (scans UDP) -sN; -sF; -sX (scans TCP Null, FIN, e Xmas) -sA (scan TCP ACK) -sW (scan da Janela TCP) -sM (scan TCP Maimon) --scanflags (scan TCP Personalizado) -sI <hostzumbi[:portadesondagem]> (scan Idle) -sO (Scans do protocolo IP) -b <host para relay de ftp> (Scan de FTP bounce)

ESPECIFICAçãO DE PORTAS E ORDEM DE SCAN¶

Somado a todos os métodos de scan discutidos anteriormente, o Nmap oferece opções para especificar quais portas são escaneadas e se a ordem de escaneamento é aleatória ou sequencial. Por padrão, o Nmap escaneia todas as portas até, e incluindo, 1024, bem como portas com numeração alta listadas no arquivo the nmap-services para o(s) protocolo(s) escaneados. -p <faixa de portas> (Escaneia apenas as portas especificadas) -F (Scan Rápido (portas limitadas)) -r (Não usa as portas de forma aleatória)

DETECçãO DE SERVIçO E VERSãO¶

Aponte o Nmap para uma máquina remota e ele poderá lhe dizer que as portas 25/tcp, 80/tcp e 53/udp estão abertas. Utilizar o banco de dados nmap-services, com cerca de 2.200 serviços bastante conhecidos, do Nmap iria relatar que aquelas portas provavelmente correspondem a um servidor de correio eletrônico (SMTP), a um servidor de páginas web (HTTP) e a um servidor de nomes (DNS) respectivamente. Essa pesquisa normalmente é precisa -- a grande maioria de daemons escutando na porta TCP 25 é, de fato, de servidores de correio eletrônico. Entretanto, você não deveria apostar a sua segurança nesta informação! As pessoas podem e executam serviços em portas estranhas. Mesmo que o Nmap esteja certo, e o servidor hipotético acima esteja executando os serviços SMTP, HTTP e DNS, isso não é informação o bastante. Quando fizer uma avaliação de vulnerabilidades (ou mesmo um simples inventário da rede) de sua empresa ou clientes, você realmente deseja saber qual o programa-servidor de correio eletrônico ou de nomes e as versões que estão rodando. Ter um número de versão exato ajuda substancialmente na determinação de quais explorações (exploits) o servidor está vulnerável. A detecção de versão ajuda a obter esta informação. Depois que as portas TCP e/ou UDP forem descobertas usando qualquer um dos outros métodos de scan, a detecção de versão interroga essas portas para determinar mais informações sobre o que realmente está sendo executado nessas portas. O banco de dados nmap-service-probes do Nmap contém sondagens para pesquisar diversos serviços e expressões de acerto (match expressions) para reconhecer e destrinchar as respostas. O Nmap tenta determinar os protocolos de serviços (p.ex.: ftp, ssh, telnet, http), o nome da aplicação (p.ex.: ISC Bind, Apache httpd, Solaris telnetd), o número da versão, o nome do host, tipo de dispositivo (p.ex.: impressora, roteador), a família do SO (p.ex.: Windows, Linux) e às vezes detalhes diversos do tipo, se um servidor X está aberto para conexões, a versão do protocolo SSH ou o nome do usuário do KaZaA. É claro que a maioria dos serviços não fornece todas essas informações. Se o Nmap foi compilado com o suporte ao OpenSSL, ele irá se conectar aos servidores SSL para deduzir qual o serviço que está escutando por trás da camada criptografada. Quando os serviços RPC são descobertos, o "amolador" de RPC (RPC grinder) do Nmap ( -sR) é automaticamente utilizado para determinar o nome do programa RPC e o número da versão. Algumas portas UDP são deixadas no estado aberta|filtrada depois que scan de porta UDP não consegue determinar se a porta está aberta ou filtrada. A detecção de versão irá tentar provocar uma resposta dessas portas (do mesmo jeito que faz com as portas abertas), e alterar o estado para aberta se conseguir. Portas TCP do tipo aberta|filtrada são tratadas da mesma forma. Note que a opção -A do Nmap habilita a detecção de versão, entre outras coisas. Um trabalho documentando o funcionamento, uso e customização da detecção de versão está disponível em http://insecure.org/nmap/vscan/. Quando o Nmap recebe uma resposta de um serviço mas não consegue encontrá-la em seu banco de dados, ele mostra uma identificação (fingerprint) especial e uma URL para que você envie informações se souber com certeza o que está rodando nessa porta. Por favor, considere dispor de alguns minutos para mandar essa informação de forma que sua descoberta possa beneficiar a todos. Graças a esses envios, o Nmap tem cerca de 3.000 padrões de acerto para mais de 350 protocolos, tais como o smtp, ftp, http, etc. A detecção de versão é habilitada e controlada com as seguintes opções: -sV (detecção de versão) --allports (Não exclui nenhuma porta da detecção de versão) --version-intensity <intensidade> (Estabelece a intensidade do scan de versão) --version-light (Habilita o modo leve (light)) --version-all (Tenta simplesmente todas as sondagens) --version-trace (Monitora as atividades do scan de versão) -sR (Scan RPC)

DETECçãO DE SO¶

Uma das características mais conhecidas do Nmap é a detecção remota de SO utilizando a identificação da pilha (stack fingerprinting) do TCP/IP. O Nmap envia uma série de pacotes TCP e UDP ao host remoto e examina praticamente todos os bits das respostas. Após executar dezenas de testes como a amostragem TCP ISN, suporte e ordenamento das opções do TCP, amostragem IPID e a checagem do tamanho inicial da janela, o Nmap compara os resultados com o banco de dados nmap-os-fingerprints com mais de 1500 identificações de SO conhecidas e mostra os detalhes do SO se houver uma correspondência. Cada identificação inclui uma descrição textual livre do SO e uma classificação que fornece o nome do fabricante (p.ex.: Sun), SO base (p.ex.: Solaris), geração do SO (p.ex.: 10) e tipo de dispositivo (genérico, roteador, switch, console de jogo, etc.). Se o Nmap não conseguir identificar o SO da máquina, e as condições forem favoráveis (p.ex.: pelo menos uma porta aberta e uma porta fechada foram encontradas), o Nmap irá fornecer uma URL onde você poderá enviar a identificação se souber (com certeza) o SO em execução na máquina. Fazendo isso, você contribui para a gama de sistemas operacionais conhecidos pelo Nmap e, com isso, ele será mais preciso para todos. A detecção de SO habilita diversos outros testes que usam as informações coletadas durante o processo. Um deles é a medição de uptime, que utiliza a opção timestamp do TCP (RFC 1323) para supor quando uma máquina foi reiniciada pela última vez. Isso apenas é mostrado para as máquinas que fornecem essa informação. Outro é a Classificação de Previsibilidade da Seqüencia do TCP. Ele mede aproximadamente o grau de dificuldade de se estabelecer uma conexão TCP forjada contra um host remoto. É útil para se explorar relações de confiança baseadas no IP de origem (rlogin, filtros de firewall, etc.) ou para ocultar a origem de um ataque. Esse tipo de enganação (spoofing) raramente é executada hoje em dia, mas muitas máquinas ainda estão vulneráveis a ele. O número de dificuldade real é baseado em amostragens estatísticas e pode variar. Normalmente é melhor usar a classificação em inglês, do tipo “worthy challenge” (um desafio que vale a pena) ou “trivial joke” (uma piada, muito fácil). Isso só é mostrado na saída normal do modo verbose ( -v). Quando o modo verbose é habilitado juntamente com o -O, a Geração de Seqüencia IPID também é mostrada. A maioria das máquinas é classificada como “incremental” , o que significa que elas incrementam o campo ID no cabeçalho IP para cada pacote que envia. Isso torna-as vulnerável a diversos ataques avançados de levantamento e forjamento de informações. Um trabalho documentando o funcionamento, utilização e customização da detecção de SO está disponível em mais de uma dezena de línguas em http://insecure.org/nmap/osdetect/. A detecção de SO é habilitada e controlada com as seguintes opções: -O (Habilita a detecção de SO) --osscan-limit (Limitar a detecção de SO a alvos promissores) --osscan-guess; --fuzzy (Resultados de tentativas de detecção de SO)

TEMPORIZAçãO (TIMING) E DESEMPENHO¶

Uma das minhas prioridades mais altas no desenvolvimento do Nmap tem sido o desempenho. Um scan padrão ( nmap hostname) de um host em minha rede local leva apenas um quinto de segundo. Isso mal dá tempo de piscar o olho, mas esse tempo aumenta conforme você está escaneando dezenas ou centenas de milhares de hosts. Além disso, certos tipos de scan, como o escaneamento UDP ou a detecção de versão, aumentam o tempo de escaneamento substancialmente. Da mesma forma algumas configurações de firewall fazem o mesmo, particularmente quando limitam a taxa de resposta. Embora o Nmap se utilize de paralelismo e muitos outros algoritmos avançados para acelerar esses scans, o usuário tem o controle final sobre como o Nmap executa. Usuários avançados elaboram comandos do Nmap cuidadosamente para obter apenas as informações que importam, sempre se preocupando com as restrições de tempo. Técnicas para melhorar os tempos de scan incluem omitir testes não-críticos e atualizar até a versão mais recente do Nmap (melhorias de desempenho são feitas freqüentemente). Otimizar os parâmetros de tempo também podem fazer uma grande diferença. Essas opções estão listadas abaixo. Algumas opções aceitam um parâmetro de tempo. É especificado em milissegundos por padrão, embora você possa acrescentar ‘s’, ‘m’ ou ‘h’ ao valor para especificar segundos, minutos ou horas. Dessa forma, os argumentos --host-timeout arguments 900000, 900s e 15m fazem a mesma coisa. --min-hostgroup <númerodehosts>; --max-hostgroup <númerodehosts> (Ajuste dos tamanhos dos grupos de scan paralelos) --min-parallelism <numprobes>; --max-parallelism <numprobes> (Ajuste da paralelização das sondagens) --min-rtt_timeout <tempo>, --max_rtt-timeout <tempo>, --initial-rtt-timeout <tempo> (Ajuste de tempo de expiração (timeouts) das sondagens) --max-retries <númerodetentativas> (Especifica o número máximo de retransmissões de sondagens de scan de portas) --host-timeout <tempo> (Desiste de hosts-alvo lentos) --scan-delay <tempo>; --max-scan-delay <tempo> (Ajusta o atraso entre sondagens) --defeat-rst-ratelimit -T <Paranoid|Sneaky|Polite|Normal|Aggressive|Insane> (Estabelece um padrão de temporização)

EVITANDO E ENGANANDO O FIREWALL/IDS¶

Muitos pioneiros da Internet vislumbraram uma rede mundial aberta com um espaço de endereçamento IP universal que permitisse conexões virtuais entre quaisquer dois nós. Isso permite que os hosts atuem como verdadeiros semelhantes, servindo e obtendo informações uns dos outros. As pessoas poderiam acessar seus computadores domésticos do trabalho, mudando os ajustes do controle de climatização ou abrindo as portas para convidados. Essa visão de conectividade universal foi sufocada pela falta de espaço de endereçamento e preocupações com a segurança. No início dos anos 1990, as empresas começaram a instalar firewalls para o propósito claro de reduzir a conectividade. Rede enormes foram isoladas da Internet-sem-fronteiras por proxies de aplicativos, tradução de endereçamento de rede (network address translation) e filtros de pacotes. O fluxo irrestrito de informações deu a vez à regulamentação acirrada de canais de comunicação autorizados e ao conteúdo que neles trafegam. As obstruções de rede, como o firewall, podem tornar o mapeamente de uma rede extremamente difícil. E isso não vai se tornar mais fácil, pois sufocar as sondagens casuais é, freqüentemente, o objetivo principal de se instalar esses dispositivos. Apesar disso, o Nmap oferece muitas ferramentas para ajudar a entender essas redes complexas, e para verificar que os filtros estão funcionando como esperado. Ele até suporta mecanismos para passar por cima de defesas mal implementadas. Um dos melhores métodos para se entender a postura de segurança de uma rede é tentar derrubá-la. Pense com a mente de uma pessoa que quer atacá-lo, e aplique técnicas desta seção contra a sua rede. Lance um scan FTP bounce, um scan idle, um ataque de fragmentação ou tente "tunelar" (criar um túnel) através de um de seus próprios proxies. Além de restringir a atividade de rede, as empresas estão monitorando o tráfego cada vez mais, com sistemas de detecção de intrusão (IDS). Todos os principais IDS vêm com regras designadas para detectar escaneamentos feitos com o Nmap porque os scans são, às vezes, precursores de ataques. Muitos desses produtos foram recentemente metamorfoseados em sistemas de prevenção de intrusão (IPS) que bloqueiam o tráfego considerado malicioso de forma ativa. Infelizmente, para administradores de rede e vendedores de IDS, detectar confiavelmente as más intenções através da análise de dados de pacotes é um problema difícil. Atacantes com paciência, habilidade e a ajuda de certas opções do Nmap podem normalmente passar por um IDS sem serem detectados. Enquanto isso, os administradores devem lidar com um alto número de resultados do tipo falso-positivo, onde atividades inocentes são diagnosticadas erroneamente e recebem alertas ou são bloqueadas. De vez em quando, as pessoas sugerem que o Nmap não deveria oferecer opções que permitam evitar as regras de firewalls ou passar desapercebidos por IDSs. Elas argumentam que essas características são tão sujeitas à má-utilização por atacantes quanto são utilizadas por administradores para aumentar a segurança. O problema com esta lógica é que esses métodos ainda assim seriam utilizados pelos atacantes, que encontrariam outras ferramentas ou então acrescentariam essa funcionalidade no Nmap. Enquanto isso, os administradores achariam muito mais difícil executar suas tarefas. Instalar apenas servidores FTP modernos e corrigidos é uma defesa muito melhor do que tentar evitar a distribuição de ferramentas que implementem o ataque FTP bounce. Não existe uma carta mágica (ou opção do Nmap) para detectar e subverter firewalls e sistemas IDS. É necessário habilidade e experiência. Um tutorial está além do escopo deste guia de referência, que apenas lista as opções relevantes e descreve suas funções. -f (fragmenta os pacotes); --mtu (usando a MTU especificada) -D <chamariz1 [,chamariz2][,ME],...> (Disfarça um scan usando chamarizes) -S <Endereço_IP> (Disfarça o endereço de origem) -e <interface> (Usa a interface especificada) --source-port <númerodaporta>; -g <númerodaporta> (Disfarça o número de porta de origem) --data-length <número> (Acrescenta dados aleatórios nos pacotes enviados) --ttl <valor> (Establece o valor do campo time-to-live) --randomize-hosts (Torna aleatória a ordem dos hosts-alvo) --spoof-mac <endereço mac, prefixo, ou nome do fabricante> (Disfarça o endereço MAC) --badsum (Send packets with bogus TCP/UDP checksums)

SAíDA (OUTPUT)¶

Qualquer ferramenta de segurança só é útil se a saída que ela gera também o for. Testes e algoritmos complexos são de pouco valor se não forem apresentados de uma forma organizada e compreensível. Dado o número de formas que o Nmap é utilizado pelas pessoas e por outros softwares, nenhum formato irá agradar a todos. Então o Nmap oferece diversos formatos, incluindo o modo interativo para humanos lerem diretamente e o XML para fácil interpretação por um software. Além de oferecer diversos formatos de saída, o Nmap fornece opções para controlar a verbosidade da saída, bem como das mensagens de depuração. Os tipos de saída podem ser enviados para a saída padrão (standard output) ou para arquivos, o qual o Nmap pode acrescentar ou então sobrescrever. Arquivos de saída também podem ser utilizados para se retomar scans abortados. O Nmap torna a saída disponível em cinco formatos diferentes. O padrão é chamado de saída interativa (interactive output), e é enviada para a saída padrão (stdout). Há também a saída normal (normal output), que é similar à interativa exceto pelo fato de mostrar menos informações e alertas sobre a execução uma vez que se espera que seja feita uma análise somente após o scan completar, ao invés de interativamente. A saída XML é um dos tipos de saída mais importantes pois permite a conversão para HTML, é facilmente analisada por programas como a interface gráfica do Nmap, ou pode ser importada em banco de dados. Os dois tipos restantes de saída são a simples saída para o grep (grepable output) que inclui a maioria das informações de um host-alvo em uma única linha e a s4íd4 sCRiPt KiDDi3 (sCRiPt KiDDi3 0utPUt) para usuários que se consideram 1r4d0z (|<-r4d). Embora a saída interativa seja a padrão e não tenha associada nenhuma opção de linha de comando, as outras quatro opções de formato utilizam a mesma sintaxe. Elas recebem um argumento, que é o nome do arquivo onde os resultados devem ser armazenados. Formatos múltiplos podem ser especificados, mas cada formato só pode ser especificado uma vez. Por exemplo, você pode querer armazenar a saída normal para seu uso enquanto grava a saída XML do mesmo scan para análise utilizando programas. Você pode fazer isso com as opções -oX myscan.xml -oN myscan.nmap. Embora este capítulo use nomes simples como myscan.xml por uma questão de brevidade, nomes mais descritivos normalmente são recomendados. Os nomes escolhidos são uma questão de preferência pessoal, embora eu use nomes longos que incorporam a data do scan e uma palavra ou duas que descrevam o scan, colocados em um diretório com o nome da empresa que eu estou escaneando. Mesmo que essas opções gravem os resultados em arquivos, o Nmap ainda assim mostra a saída interativa na stdout como de costume. Por exemplo, o comando nmap -oX myscan.xml target grava em XML no myscan.xml e enche a saída padrão com os mesmos resultados interativos que teria mostrado se a opção -oX não tivesse sido especificada. Você pode mudar isso passando um caracter hífen como argumento de um dos tipos de formato. Isso faz com que o Nmap desative a saída interativa e apenas grave os resultados no formato que você especificou para a saída padrão. Dessa forma, o comando nmap -oX - target irá enviar apenas a saída XML para a stdout. Erros sérios ainda podem ser mostrados na saída padrão de erros, stderr. Ao contrário de alguns argumentos do Nmap, o espaço em branco entre a flag da opção (como a -oX) e o nome do arquivo ou hífen é obrigatório. Se você omitir as flags e informar argumentos como -oG- ou -oXscan.xml, uma característica de compatibilidade retroativa do Nmap irá causar a criação de arquivos de saída do tipo normal format chamados G- e Xscan.xml respectivamente. O Nmap também oferece opções para controlar a verbosidade do scan e para acrescentar informações nos arquivos de saída, ao invés de sobrepor. Todas essas opções estão descritas abaixo. Formatos de Saída do Nmap -oN <especificaçãodearquivo> (Saída normal) -oX <especificaçãodearquivo> (Saída em XML) -oS <especificaçãodearquivo> (S4íd4 ScRipT KIdd|3) -oG <especificaçãodearquivo> (Saída para o grep) -oA <nome-base> (Saída para todos os formato) Opções de Verbosidade e depuração (debugging) -v (Aumenta o nível de verbosidade) -d [nível] (Aumenta ou estabelece o nível de depuração) --packet-trace (Rastreia pacotes e dados enviados e recebidos) --iflist (Lista as interfaces e rotas) --log-errors (Registrar os erros/avisos em um arquivo de sáida em modo normal) Opções diversas (miscellaneous) de saída --append-output (Acrescenta no arquivo de saída, ao invés de sobrepor) --resume <nomedoarquivo> (Retoma um scan abortado) --stylesheet <caminho ou URL> (Informa a folha de estilo XSL usada para transformar a saída XML) --webxml (Carrega a folha de estilo da Insecure.Org) --no_stylesheet (Omite do XML a declaração da folha de estilo XSL)

OPçõES DIVERSAS (MISCELâNEA)¶

Esta seção descreve algumas opções importantes (e não-tão-importantes) que realmente não couberam em nenhum outro lugar. -6 (Habilita o escaneamento IPv6) -A (Opções agressivas de scan) --datadir <nomedodiretório> (Especifica a localização dos arquivos de dados do scan) --send-eth (Use a transmissão pela ethernet em estado bruto) --send-ip (Envia no nível do IP em estado bruto) --privileged (Assume que o usuário é altamente privilegiado) --release-memory (Release memory before quitting) --interactive (Inicial em modo interativo) -V; --version (Mostra o número da versão) -h; --help (Mostra a página do sumário de ajuda)

INTERAçãO EM TEMPO DE EXECUçãO¶

Durante a execução do Nmap, todas as teclas pressionadas são capturadas. Isso permite que você interaja com o programa sem abortá-lo ou reiniciá-lo. Algumas teclas especiais irão mudar as opções, enquanto outras irão mostrar uma mensagem de estado dando informações sobre o scan. A convenção é que letras minúsculas aumentam a quantidade de informação e letras maiúsculas diminuem. Você também pode pressionar ‘ ?’ para obter ajuda. v / V d / D p / P ? Qualquer outra letra

EXEMPLOS¶

Aqui estão alguns exemplos de utilização do Nmap, desde o simple e rotineiro, até o um pouco mais complexo e esotérico. Alguns endereços IP reais e nomes de domínio foram utilizados para tornar as coisas mais concretas. Nesses lugares você deve substituir os endereços/nomes pelos da sua própria rede. Embora eu não ache que o escaneamento de portas de outras redes seja, ou deva ser considerado, ilegal alguns administradores de rede não apreciam o escaneamento não-solicitado de suas redes e podem reclamar. Obter a permissão antecipadamente é a melhor opção. Para fins de teste, você tem permissão para escanear o host scanme.nmap.org. Esta permissão inclui apenas o escaneamento via Nmap e não tentativas de explorar vulnerabilidades ou ataques de negação de serviço (denial of service). Para preservar a banda, por favor não inicie mais do que uma dúzia de scans contra o host por dia. Se esse serviço de alvo livre para escaneamento for abusado, será derrubado e o Nmap irá reportar Failed to resolve given hostname/IP: scanme.nmap.org. Essas permissões também se aplicam aos hosts scanme2.nmap.org, scanme3.nmap.org, e assim por diante, embora esses hosts ainda não existam. nmap -v scanme.nmap.org Esta opção escaneia todas as portas TCP reservadas na máquina scanme.nmap.org . A opção -v habilita o modo verboso (verbose). nmap -sS -O scanme.nmap.org/24 Inicia um scan SYN camuflado contra cada máquina que estiver ativa das 255 possíveis da rede “classe C” onde o Scanme reside. Ele também tenta determinar qual o sistema operacional que está rodando em cada host ativo. Isto requer privilégio de root por causa do scan SYN e da detecção de SO. nmap -sV -p 22,53,110,143,4564 198.116.0-255.1-127 Inicia uma enumeração de hosts e um scan TCP na primeira metade de cada uma das 255 sub-redes de 8 bits possíveis na classe B do espaço de endereçamento 198.116. Também testa se os sistemas estão executando sshd, DNS, pop3d, imapd ou a porta 4564. Para cada uma destas portas encontradas abertas, a detecção de versão é usada para determinar qual aplicação está executando. nmap -v -iR 100000 -P0 -p 80 Pede ao Nmap para escolher 100.000 hosts de forma aleatória e escaneá-los procurando por servidores web (porta 80). A enumeração de hosts é desabilitada com -P0 uma vez que enviar primeiramente um par de sondagens para determinar se um hosts está ativo é um desperdício quando se está sondando uma porta em cada host alvo. nmap -P0 -p80 -oX logs/pb-port80scan.xml -oG logs/pb-port80scan.gnmap 216.163.128.20/20 Este exemplo escaneia 4096 endereços IP buscando por servidores web (sem usar o ping) e grava a saída nos formatos XML e compatível com o programa grep.

BUGS¶

Como seu autor, o Nmap não é perfeito. Mas você pode ajudar a torná-lo melhor enviando relatórios de erros (bug reports) ou mesmo escrevendo correções. Se o Nmap não se comporta da forma que você espera, primeiro atualize para a versão mais atual disponível em http://insecure.org/nmap/. Se o problema persistir, pesquise um pouco para determinar se o problema já foi descoberto e encaminhado. Tente procurar no Google pela mensagem de erro ou navegar nos arquivos da Nmap-dev em http://seclists.org/. Se não encontrar nada, envie uma mensagem com um relatório do erro para <dev@nmap.org>. Por favor, inclua tudo o que souber sobre o problema, bem como a versão do Nmap que você está executando e em qual versão e sistema operacional você está rodando-o. Correções codificadas para consertar os erros são ainda melhores que os relatórios de erro. Instruções básicas para a criação de arquivos de correções com as suas alterações estão disponíveis em http://insecure.org/nmap/data/HACKING.

AUTOR¶

Fyodor <fyodor@nmap.org> ( http://insecure.org) Centenas de pessoas fizeram contribuições valiosas para o Nmap ao longo dos anos. Isso está detalhado no arquivo CHANGELOG que é distribuído com o Nmap e também está disponível em http://insecure.org/nmap/changelog.html.

AVISOS LEGAIS¶

Unofficial Translation Disclaimer / Aviso de Tradução Não-Oficial¶

This is an unnofficial translation of the Nmap license details[10] into Portuguese (Brazil). It was not written by Insecure.Com LLC, and does not legally state the distribution terms for Nmap -- only the original English text does that. However, we hope that this translation helps Portuguese (Brazil) speakers understand the Nmap license better. Esta é uma tradução não-oficial dos detalhes do licenciamento do Nmap[10] em português (Brasil). Ela não foi escrita pela Insecure.Com LLC e não tem poder legal sobre os termos de distribuição do Nmap -- apenas o texto original em inglês o tem. Entretanto, esperamos que esta tradução auxilie os falantes de português (Brasil) a compreender melhor a licença do Nmap.

Copyright e Licenciamento do Nmap¶

O Nmap Security Scanner é (C) 1996-2005 Insecure.Com LLC. O Nmap também é uma marca registrada de Insecure.Com LLC. Este programa é um software livre; você pode redistribuí-lo e/ou modificá-lo sob os termos da Licença Pública Geral GNU (GNU General Public License) conforme publicado pela Free Software Foundation; Versão 2. Isso garante o seu direito de usar, modificar e redistribuir este software sob certas condições. Se você desejar embutir a tecnologia do Nmap em um software proprietário, poderemos querer vender licenças alternativas (contate <sales@insecure.com>). Muitos vendedores de scanner de segurança já licenciam a tecnologia do Nmap, tal como a descoberta de hosts, escaneamento de portas, detecção de SO e detecção de serviços/versões. Observe que a GPL impõe restrições importantes em “trabalhos derivados”, embora ela não forneça uma definição detalhada desse termo. Para evitar más-interpretações, consideramos que uma aplicação constitui um “trabalho derivado”, para o propósito desta licença, se ela se enquadra em um dos seguintes ítens: O termo “Nmap” deve ser considerado como contendo parte ou sendo trabalho derivado do Nmap. Esta lista não é definitiva, mas deve ser entendida como uma forma de clarear nossa interpretação de trabalho derivado com alguns exemplos comuns. Estas restrições apenas se aplicam quando você realmente redistribui o Nmap. Por exemplo, nada impede que você escreva e venda um front-end proprietário para o Nmap. Apenas redistribua o seu produto isoladamente e mostre às pessoas aonde elas podem http://insecure.org/nmap/baixar o Nmap. Nós não consideramos isso como restrições adicionais à GPL, mas apenas uma elucidação de como nós interpretamos “trabalhos derivados” pois elas se aplicam ao nosso produto Nmap licenciado no formato GPL. Isso é idêntico à forma como Linus Torvalds anunciou sua interpretação de como os “trabalhos derivados” se aplicam aos módulos do kernel do Linux. Nossa interpretação refere-se apenas ao Nmap - não respondemos por qualquer outro produto GPL. Se você tiver qualquer dúvida quanto às restrições do licenciamento GPL na utilização do Nmap em produtos não-GPL, ficaríamos felizes em ajudar. Como mencionado acima, também oferecemos licenças alternativas para a integração do Nmap em aplicações e dispositivos proprietários. Esses contratos foram vendidos para muitas empresas de segurança e geralmente incluem uma licença perpétua, bem como disponibiliza um suporte e atualizações prioritários, e também nos ajuda financeiramente o desenvolvimento contínuo da tecnologia do Nmap. Por favor, envie um e-mail para <sales@insecure.com> se desejar mais informações. Como uma exceção especial aos termos da GPL, a Insecure.Com LLC permite que uma ligação (link) do código deste program seja feito com qualquer versão da biblioteca do OpenSSL que seja distribuída sob uma licença idêntica àquela listada no arquivo Copying.OpenSSL incluso, e distribuir combinações de ligação incluindo os dois. Você deve obedecer à GPL GNU em todos os aspectos para todo o código utilizado que não seja OpenSSL. Se você modificar este aquivo, você pode estender esta exceção para a sua versão do arquivo, mas você não é obrigado a fazer isso. Se você recebeu estes arquivos com um acordo de licenciamento por escrito ou um contrato ditando termos que não sejam diferentes dos acima, então essa licença alternativa tem precedência sobre estes comentários.

Licença da Creative Commons para este guia do Nmap¶

Este Guia de Referência do Nmap é (C) 2005 da Insecure.Com LLC. Está aqui colocado sob a versão 2.5 da Licença de Atribuição da Creative Commons[2]. Isso permite que você redistribua e modifique o trabalho como desejar, contanto que você credite a fonte original. Opcionalmente, você pode preferir tratar este documento sob as mesmas regras de licenciamento do Nmap (discutido anteriormente).

Disponibilidade de código fonte e contribuições da comunidade¶

O código fonte é fornecido com este software porque acreditamos que os usuários tem o direito de saber exatamente o que um programa irá fazer antes de se executá-lo. Isso também permite que você audite o software procurando por brechas na segurança (nenhuma foi encontrada até agora). O código fonte também permite que você porte o Nmap para novas plataformas, conserte problemas e adicione novas características. Você é altamente encorajado a enviar suas alterações para <fyodor@nmap.org> para uma possível incorporação na distribuição principal. Enviar essas alterações para Fyodor ou para alguém da lista de mensagens de desenvolvimento da Insecure.Org, pressupõe que você está oferecendo a Fyodor e à Insecure.Com LLC o direito ilimitado e não-exclusivo para reutilizar, modificar e re-licenciar o código. O Nmap sempre estará disponível como um Open Source, mas isto é importante porque a impossibilidade de re-licenciar o código causou problemas devastadores para outros projetos de Software Livre (tal como o KDE e o NASM). Nós também re-licenciamos ocasionalmente o código para terceiros, conforme discutido anteriormente. Se você deseja especificar condições de licenciamento especiais das suas contribuições, apenas deixe isso claro quando enviá-las.

Sem Garantia¶

Este programa é distribuído na esperança de que será útil, mas SEM QUALQUER GARANTIA; sem sequer a garantia implícita de COMERCIALIZAÇÃO ou ADEQUAÇÃO A QUALQUER PROPÓSITO PARTICULAR. Veja a Licença Pública Geral GNU para mais detalhes em http://www.gnu.org/copyleft/gpl.html, ou no arquivo COPYING incluído com o Nmap. Também deve ser observado que o Nmap reconhecidamente trava certas aplicações mal-escritas, a pilha TCP/IP e mesmo alguns sistemas operacionais. O Nmap nunca deve ser executado contra sistemas de missão-crítica a menos que você esteja preparado para lidar com o serviço fora do ar (downtime). Nós reconhecemos aqui que o Nmap pode travar os seus sistemas ou redes e nós renunciamos toda e qualquer responsabilidade por qualquer dano ou problema que o Nmap possa causar.

Uso inapropriado¶

Pelo fato de haver o menor risco de travamento e porque existem pessoas mal-intencionadas (black hats) que gostam de usar o Nmap para reconhecimento antes de atacar um sistema, existem administradores que ficam chateados e podem reclamar quando o sistema deles é escaneado. Portanto, é normalmente aconselhável que se solicite a permissão antes de fazer um scan de uma rede, por mais leve que seja. O Nmap nunca deveria ser instalado com privilégios especiais (p.ex.: suid root) por questões de segurança.

Software de Terceiros¶

Este produto inclui software desenvolvido pela Apache Software Foundation[11]. Uma versão modificada da biblioteca portátil de captura de pacotes Libpcap[12] é distribuída junto com o Nmap. A versão para o Windows do Nmap, por outro lado, utiliza biblioteca WinPcap[13], derivada da libpcap. O suporte à expressões regulares é fornecido pela biblioteca PCRE[14], que é um software de código aberto, escrito por by Philip Hazel. Algumas funções de rede em estado bruto utilizam a biblioteca de rede Libdnet[15], que foi escrita por Dug Song. Uma versão modificada é distribuída com o Nmap. O Nmap pode, opcionalmente, ser ligado ao conjunto de ferramentas de criptografia do OpenSSL[16] para o suporte à detecção de versão do SSL. Todos os softwares de terceiros descritos neste parágrafo são distribuídos gratuitamente sob o licenciamento de software no estilo BSD.

Classificação do Controle de Exportação dos EUA¶

Controle de Exportação dos EUA: A Insecure.Com LLC acredita que o Nmap se enquadra no US ECCN (número de classificação para controle de exportação) 5D992. Essa categoria é chamada de “software de Segurança da Informação não-controlado pela 5D002”. A única restrição à essa classificação é o AT (anti-terrorismo), que se aplica a quase todos os produtos e nega a exportação à um punhado de nações não-confiáveis tais como o Irã e a Coréia do Norte. Portanto, exportar o Nmap não requer nenhuma licença ou permissão especial, ou qualquer outro tipo de autorização governamental.

NOTES¶

1.

original em Inglês

2.

Licença de Atribuição da Creative Commons

3.

RFC 1122

4.

RFC 792

5.

UDP

6.

RFC do TCP

7.

RFC 959

8.

Nmap::Scanner

9.

Nmap::Parser

10.

Nmap license details

11.

Apache Software Foundation

12.

biblioteca portátil de captura de pacotes Libpcap

13.

biblioteca WinPcap

14.

biblioteca PCRE

15.

Libdnet

16.

conjunto de ferramentas de criptografia do OpenSSL