- Nmap vous permet de découvrir les hôtes actifs, les ports ouverts et les services sur votre réseau local, facilitant ainsi la détection des vulnérabilités.
- Wireshark et d'autres logiciels d'analyse de paquets permettent de déterminer si les communications sont chiffrées ou en clair, mettant ainsi en évidence les risques liés aux protocoles non sécurisés.
- La combinaison d'analyses de ports, de scripts NSE et d'analyses de trafic permet de prioriser les mesures de renforcement et les arrêts de service.
- L'intégration de ces outils dans les procédures régulières améliore le contrôle du réseau et réduit la surface d'attaque disponible.
Quand on considère auditez la sécurité de votre réseau localDeux noms reviennent sans cesse : Nmap et Wireshark. Ce sont des outils gratuits et puissants, utilisés aussi bien par les administrateurs système que par les attaquants. Apprendre à les utiliser est donc quasiment indispensable si vous voulez savoir ce qui se passe dans votre infrastructure et quel est votre niveau de vulnérabilité.
Avec une combinaison de Analyse des ports, analyse des services et capture du trafic Vous pouvez ainsi déceler des vulnérabilités qui passeraient autrement inaperçues : ports ouverts par erreur, services mal configurés, protocoles non chiffrés ou périphériques cachés sur votre réseau local. Cet article détaillera comment ces éléments s’articulent, le fonctionnement précis de Nmap et Wireshark, les autres outils impliqués et comment les défenseurs comme les attaquants exploitent ces techniques.
Pourquoi l'audit des ports et du trafic de votre réseau est important
Dans tout réseau basé sur TCP/IP, vous avez jusqu'à 65 535 ports potentiels par machineEt nombre d'entre eux restent ouverts sans que personne n'ait pris la peine de les vérifier. Chaque port ouvert constitue un point d'entrée potentiel permettant à un cybercriminel de découvrir des services spécifiques, des versions logicielles et des vulnérabilités.
Si un attaquant réussit informations détaillées sur votre réseau (hôtes actifs, système d'exploitation, services actifs, versions, etc.), vous pourrez préparer vos attaques avec une bien plus grande précision : vol de données, accès aux mots de passe, installation de malware ou le déploiement d'un ransomware. Une fois infiltré dans le segment de réseau ou sur un ordinateur spécifique, votre confidentialité et la disponibilité de vos services sont gravement compromises.
Pour repérer ces faiblesses, on utilise les méthodes suivantes : analyseurs de réseau et scanners de portsDes outils comme Nmap, Zenmap, Masscan, ou des outils plus spécialisés, permettent de recenser les ports ouverts, d'identifier les services qui y sont associés et de déceler les failles de sécurité avant qu'une personne mal intentionnée ne les exploite.
Il est également crucial de limiter l'exposition : Il n'est pas conseillé d'ouvrir plus de ports que strictement nécessaires.Souvent, des services obsolètes ou inaccessibles depuis certains segments du réseau restent exposés. Plus vous réduisez ces risques, plus vous risquez de les compromettre. surface d'attaqueMoins un attaquant aura d'options pour exploiter une erreur spécifique.
Dans ce contexte, Nmap est responsable de l'inventaire et de la reconnaissance, tandis que Wireshark est spécialisé dans l'analyse du trafic qui circule sur le réseau. Combinés, ces deux outils permettent d'examiner à la fois la passerelle (ports et services) et le contenu des communications, afin de déterminer si des données sensibles sont transmises en clair ou si des protocoles obsolètes sont utilisés.
Quel est le véritable objectif de l'analyse des ports avec Nmap ?
Une analyse de ports avec Nmap vous permet de connaître les services proposés par chaque équipe et l'état de ses ports : ouverts, fermés ou filtrés par un pare-feu. Cet aperçu du réseau est utile à la fois pour l'administration et la sécurité : il permet de vérifier que seuls les services nécessaires sont actifs et de localiser les applications oubliées ou mal configurées.
Les administrateurs utilisent souvent Nmap pour découvrir les vulnérabilités potentielles sur les serveurs internes, services de bureau à distance, bases de données Les systèmes exposés ou de messagerie sont malheureusement exploités par les attaquants pour profiler leurs cibles, identifier les versions logicielles spécifiques et rechercher des failles de sécurité dans les bases de données publiques.
Parmi les avantages du scan de ports figure la puissance vérifier périodiquement l'état du réseau: détecter les nouveaux services démarrés sans avertissement, vérifier si les modifications apportées au pare-feu ont été correctement appliquées ou s'assurer qu'une machine devant être isolée n'expose aucune donnée critique.
Qu'est-ce que Nmap et comment fonctionne-t-il en pratique ?
Nmap est un Outil open source pour la découverte et l'audit de réseau, disponible en Linux, Windows et macOS. Il fonctionne principalement à partir de terminal, bien qu'il dispose d'une interface graphique (Zenmap) pour ceux qui préfèrent travailler avec des fenêtres prédéfinies et des profils de numérisation.
Avec Nmap, vous pouvez détecter les hôtes actifs sur un réseau local ou sur InternetIl peut identifier si un appareil est allumé, quels ports sont ouverts et quels services y sont actifs. De plus, il offre des techniques avancées pour deviner le système d'exploitation, réaliser des inventaires réseau complets et automatiser les tests d'intrusion grâce à son moteur de scripts NSE.
Le programme prend en charge plusieurs types de numérisationTCP (SYN, CONNECT, FIN, NULL, Xmas, ACK), UDP, ICMP, SCTP, etc. Il comprend également des options pour des analyses plus furtives, fragmentant les paquets ou usurpant l'origine, afin de compliquer la détection par les pare-feu, les IDS ou les IPS.
Lors du catalogage des ports, Nmap renvoie plusieurs états possibles Il est important de comprendre les termes : ouvert, fermé, filtré, ouvert/filtré et fermé/filtré. Cela permet de déterminer si le port accepte les connexions, répond mais ne fournit pas de service, bloque la communication avec un pare-feu ou si, tout simplement, les informations sont insuffisantes pour identifier la situation.
Une autre fonctionnalité puissante est la possibilité d'utiliser NSE (Moteur de script Nmap), un ensemble de scripts qui automatisent des tâches telles que la détection de version, les tests par force brute sur les services authentifiés (FTP, SSH, Samba…), en vérifiant les vulnérabilités connues ou les attaques plus avancées sur les serveurs web, le DNS et autres composants exposés.
L'état des ports dans Nmap et son impact sur la sécurité
Lorsque Nmap termine une analyse, il affiche les ports présentant différentes caractéristiques. des États qui décrivent leur comportementLes comprendre est essentiel pour interpréter correctement les résultats et prendre des décisions concernant le renforcement du réseau.
Un port marqué comme ouvert Cela signifie qu'une application écoute et accepte les connexions TCP ou UDP. Du point de vue d'un testeur d'intrusion, il s'agit de cibles privilégiées pour l'exploitation des vulnérabilités. Au niveau administratif, tout port ouvert doit être justifié et protégé par une authentification, un chiffrement ou un filtrage approprié.
Si l'État est ferméLe port répond à Nmap, mais aucun service n'y est exécuté. Cela confirme que l'hôte est actif et peut faciliter la détection du système d'exploitation. Idéalement, ces ports devraient être bloqués par un pare-feu afin d'empêcher tout accès depuis l'extérieur.
Quand il apparaît filtréNmap ne peut pas déterminer si le port est ouvert car un périphérique intermédiaire (pare-feu, routeur filtré, IPS) bloque les paquets. Ces ports apparaissent souvent ainsi sur des systèmes protégés par des pare-feu bien configurés, ce qui complique la tâche des administrateurs chargés du dépannage.
Les États ouvert|filtré y fermé|filtré Ces erreurs apparaissent lorsque la réponse est ambiguë, par exemple lors de l'utilisation de scans FIN, NULL ou Xmas, ou de techniques comme le scan IP Idle. Nmap détecte un filtrage ou une réponse non standard, mais ne peut pas déterminer avec certitude l'existence d'un service sous-jacent.
Principales utilisations de Nmap dans les audits de réseau
L'utilisation la plus courante de Nmap est analyse des ports d'un ou plusieurs hôtesVous pouvez limiter votre analyse aux ports les plus courants, à une plage spécifique ou à tous les ports, selon le niveau de détail souhaité. Cela vous permet de localiser les services exposés, de vérifier quels serveurs sont actifs et d'éliminer les ports qui devraient être fermés.
Une autre fonction clé est détection des systèmes actifs sur le réseauNmap peut analyser une gamme complète d'adresses IP et vous indiquer quels appareils répondent, en combinant même des techniques (ICMP, ARP, SYN, ACK, UDP…) pour contourner les filtres ou les pare-feu qui bloquent certains types de trafic.
Grâce à la détection des services et des versions (-sVNmap peut indiquer le logiciel exécuté derrière chaque port : HTTP, SSH, FTP, Telnet, POP3, IMAP, bases de données et bien d’autres, souvent avec la version exacte du serveur. Ces informations renvoient directement aux bases de données de vulnérabilités connues.
Il est également utilisé comme outil pour cartographie du réseauGrâce à différentes analyses et à la fonction de traçage intégrée, vous pouvez déduire la topologie du réseau, identifier les périphériques servant de relais intermédiaires, localiser les routeurs, commutateurs et serveurs clés et créer une carte visuelle ou logique de l'infrastructure.
Enfin, Nmap sert de support dans tests d'intrusion et surveillanceVous pouvez automatiser des analyses périodiques pour vérifier la disponibilité du service, détecter les changements inattendus ou vérifier qu'un serveur est toujours opérationnel après des mises à jour ou des modifications du pare-feu.
Types d'analyses dans Nmap et techniques d'évasion
Nmap intègre diverses techniques d'analyse des portsChaque méthode présente ses propres avantages, limites et niveaux de « bruit » dans les journaux des systèmes cibles. Certaines sont très directes et laissent une trace évidente, tandis que d'autres tentent de rester aussi discrètes que possible.
L'analyse SYN (-sS)Le protocole semi-ouvert, également appelé protocole semi-ouvert, envoie des paquets SYN sans établir de connexion TCP complète. Il est rapide, efficace et moins perceptible dans certaines situations. journaux Cette méthode permet d'analyser des milliers de ports par seconde sur des réseaux peu sécurisés, car la connexion complète n'est pas établie.
L'analyse Connexion TCP (-sT) Il utilise des appels système standard pour ouvrir des connexions complètes. C'est l'option par défaut lorsque vous ne disposez pas de privilèges spéciaux, mais elle est plus bruyante : de nombreux services enregistrent ces tentatives de connexion, ce qui la rend moins discrète.
Avec UDP (-sU) Les ports utilisant ce protocole (DNS, SNMP, DHCP, etc.), essentiels mais souvent négligés, sont analysés. Ce type d'analyse peut être plus lent et générer des réponses ICMP « port inaccessible », très utiles pour déterminer les ports ouverts ou fermés derrière un pare-feu.
De plus, Nmap propose des analyses FIN, NULL et NoëlCes méthodes manipulent les indicateurs TCP pour détecter les ports sans déclencher le comportement typique d'un signal SYN. Dans certains systèmes et configurations de pare-feu, elles permettent de déduire l'état du port sans générer d'alertes basées sur les schémas classiques.
Dans les environnements dotés d'un IDS/IPS ou de règles complexes, les techniques sont combinées à partir de évasion et fragmentation: fractionner les paquets, modifier la longueur des données, changer l'unité de transmission, utiliser des leurres (-D), usurper l'adresse IP source (-S), ou même modifier le MAC de l'origine. Tout cela complique la corrélation des événements et le suivi du scanner.
Téléchargement, installation et exemples de base de Nmap
L'installation de Nmap est relativement simple : il est généralement inclus dans les distributions GNU/Linux. disponible dans les référentiels officielsSur les systèmes basés sur Debian/Ubuntu, il suffit d'exécuter une commande comme celle-ci dans un terminal. sudo apt installer nmapSous Windows et macOS, vous pouvez télécharger le programme d'installation ou les fichiers binaires depuis la section officielle de téléchargements le projet.
Une fois installé, vous pouvez lancer un analyse rapide des ports Nmap permet d'accéder à un hôte avec un minimum de commandes, comme son adresse IP. Dans ce mode, Nmap se concentre sur les ports les plus courants et offre un aperçu rapide, idéal pour une première vérification d'un appareil.
Si vous souhaitez être plus précis, vous pouvez spécifier un plage de ports Plus précisément, ou même tous, de 1 à 65535. Cela augmente le temps de l'analyse, mais c'est le seul moyen de garantir qu'aucun port autre que les ports habituels ne reste ouvert, ce qui est particulièrement important lors d'audits de sécurité stricts.
Avec la bonne combinaison de paramètres, Nmap peut également essayez d'identifier le système d'exploitation et les services Ce test s'exécute sur l'hôte distant et analyse sa réponse à des paquets soigneusement construits. Bien que sa précision ne soit pas toujours parfaite, il permet généralement de bien distinguer les différentes familles de systèmes d'exploitation (Windows, Linux, etc.) et contribue à affiner les analyses ultérieures.
Pour les cas complexes, Nmap dispose d'une longue liste d'options pour sélectionner les cibles (plage d'adresses IP, noms de domaine, liste de fichiers, exclusions), contrôler le rythme et la parallélisation de l'analyse, ajuster les temps d'attente, définir les ports à analyser et comment enregistrer les résultats dans différents formats (texte, XML, orienté grep ou tous en même temps).
Nmap NSE : Automatisation des tests et exploitation des services
Le moteur de script Nmap, connu sous le nom de NSE (Moteur de script Nmap)Elle ajoute une couche d'automatisation puissante à l'outil. Au lieu de simplement savoir quels ports sont ouverts, vous pouvez exécuter des scripts qui testent des vulnérabilités spécifiques, effectuer des attaques par force brute contrôlées ou extraire des informations détaillées de services complexes.
Il existe des scripts NSE pour FTP, SSH, SambaServeurs web, DNS Et ainsi de suite. Certains vérifient si un serveur FTP autorise l'authentification anonyme, d'autres testent la robustesse des identifiants SSH, ou tentent d'exploiter des vulnérabilités connues dans des implémentations de services spécifiques. Tout cela peut être réalisé après une analyse des ports afin de se concentrer sur les services effectivement exposés.
Par exemple, il est possible de lancer un Attaque par force brute sur SSH invoquant un scénario Un outil NSE parcourt une liste de noms d'utilisateur et de mots de passe. Il en va de même pour les services FTP, où la vérification des identifiants et la détection des configurations non sécurisées ou des accès anonymes non autorisés peuvent être automatisées.
Le catalogue de scripts NSE est très vaste et en constante évolution. Vous y trouverez de tout, des tests de sécurité de base aux Exploitation de vulnérabilités déjà documentées Les serveurs web, les protocoles de partage de fichiers, les bases de données et de nombreux autres services présentent des vulnérabilités. C'est pourquoi il est crucial de maintenir tous les systèmes à jour : une vulnérabilité déjà corrigée peut toujours être exploitée si l'administrateur n'a pas appliqué la mise à jour.
De plus, vous pouvez créer vos propres scripts NSE pour les adapter aux besoins de votre environnement, générant sorties personnalisées ou intégrations avec d'autres outilsCela fait de Nmap un composant très flexible au sein des pipelines de tests d'intrusion ou d'audit continu.
Utilisation de Nmap dans les réseaux sans fil
Bien que beaucoup associent Nmap aux réseaux câblés, il est également très utile dans Environnements WiFi et réseaux mixtesUne fois connecté au réseau sans fil, Nmap ne fait pas de distinction entre le transport physique par cuivre ou par voie aérienne : vous pouvez analyser le réseau local comme vous le feriez dans un environnement câblé.
Dans les réseaux Wi-Fi, il est conseillé de commencer par identifier les Plage d'adresses IP attribuées par le serveur DHCP Depuis le routeur, recherchez les hôtes actifs et leurs ports. Cela vous indiquera quels appareils mobiles, portátilestéléviseurs, caméras IP ou appareils IoT Sont-ils connectés et quels services exposent-ils au réseau local ?
Des outils comme Aircrack-ng peuvent compléter le travail de Nmap, car ils sont spécialisés dans analyser et décrypter le chiffrement WiFi (WEP, WPA, WPA2) ou en injectant des paquets pour tester la robustesse du réseau. La combinaison de ces deux solutions permet d'évaluer tous les aspects, de la force de la clé du réseau sans fil aux services que chaque appareil laisse accessibles une fois connecté.
Une utilisation très pratique consiste à vérifier périodiquement quels appareils sont connectés au routeur et quels ports sont ouverts. De cette façon, vous pouvez Détectez les intrus sur votre réseau Wi-FiIdentifier les périphériques mal configurés ou décider d'isoler certains équipements dans des VLAN distincts afin de limiter l'impact d'une éventuelle compromission.
Wireshark et autres outils d'analyse du trafic réseau
Alors que Nmap se concentre sur la reconnaissance des hôtes et des ports, Wireshark est un analyseur de protocole et renifleur de trafic Il permet de visualiser en détail tout ce qui circule sur le réseau. Il est particulièrement utile pour consulter les identifiants en clair, analyser les échecs de communication ou comprendre le fonctionnement des protocoles à un niveau bas.
Des outils comme tcpdump et WinDump Ils remplissent une fonction similaire, bien que de la lignée de commandesCela les rend parfaitement adaptés aux serveurs sans interface graphique ou à l'automatisation des captures. Ces fichiers pcap peuvent ensuite être ouverts dans Wireshark pour une analyse plus simple et plus visuelle.
Lors des audits de sécurité, il est courant d'utiliser Wireshark pour vérifier si Des services tels que Telnet, FTP, POP3 ou HTTP envoient des informations sensibles sans chiffrement.Avec un simple filtre appliqué à la capture, vous pouvez voir les noms d'utilisateur, les mots de passe, les commandes et le contenu des courriels ou des requêtes Web en texte clair, ce qui souligne la nécessité de migrer vers des alternatives chiffrées telles que SSH, SFTP ou HTTPS.
Dans des scénarios plus avancés, des outils tels que MieuxcapCela facilite les attaques de type « homme du milieu » (MITM) sur les réseaux locaux par usurpation d'ARP, Wireshark étant utilisé pour capturer le trafic entre les victimes. Ceci permet d'étudier les différences entre les protocoles chiffrés (SSH, HTTPS) et non chiffrés (Telnet, HTTP) et de démontrer clairement quelles données sont exposées lorsque TLS n'est pas utilisé.
Outre Wireshark, il existe d'autres alternatives et modules complémentaires : Masscan pour des analyses de masse très rapides, Angry IP Scanner pour une reconnaissance simple, WinMTR pour le diagnostic des routes, Skipfish ou Scapy pour une analyse plus technique et la manipulation des paquets, ou des suites plus complètes comme Kali Linux qui regroupent des dizaines d'outils de test d'intrusion dans une seule distribution.
Exemple didactique : Nmap, Bettercap et Wireshark sur un réseau local
Un scénario très courant dans les cours de sécurité consiste à simuler un petit réseau local avec plusieurs machines virtuelles: quelques ordinateurs internes, un observateur et un serveur avec différents services activés (web, SSH, FTP, Telnet, messagerie, DNS, etc.).
Nmap est lancé depuis la machine d'observation vers Découvrez quelles équipes sont actives grâce à Ping Sweep et de scanner les ports sur chaque hôte en utilisant différentes techniques : connexion TCP (-sT), scan SYN (-sS), scan NULL (-sN), etc. De cette façon, vous pouvez vérifier quels ports sont ouverts et comment les services réagissent.
En parallèle, la journalisation des événements avec rsyslog est activée sur l'un des serveurs et Ils configurent des règles dans iptables pour enregistrer les paquets SYN. qui tentent d'établir des connexions TCP. Pendant le lancement des analyses depuis Nmap, l'administrateur peut observer dans /var/log/syslog comment certaines méthodes laissent des traces nettes tandis que d'autres ne génèrent quasiment aucune entrée.
Bettercap est ensuite introduit pour réaliser une Usurpation d'ARP et attaque de type MITMDans ce scénario, le dispositif d'observation usurpe l'identité des deux autres hôtes auprès du réseau. Ceci est vérifié en examinant les tables ARP de chaque machine et en analysant le trafic ARP qui inonde le segment local à l'aide de tshark ou Wireshark.
Une fois l'attaque MITM établie, les sessions Telnet, SSH, HTTP et HTTPS sont capturées à l'aide de Wireshark et enregistrées dans un fichier pcap. L'analyse ultérieure révèle que, pour Telnet et HTTP, les identifiants et le contenu sont transmis en clair, tandis que pour SSH et HTTPS (même avec un certificat auto-signé), la charge utile est chiffrée et ne peut être lue directement.
Avantages, inconvénients et alternatives à Nmap
Nmap présente de nombreux avantages : il est gratuit, open source et très flexibleIl vous permet de découvrir les ports ouverts, d'identifier OS, reconnaître les services et leurs versions et effectuer une multitude d'analyses de sécurité avec une relative facilité, même pour les utilisateurs débutants.
Parmi ses inconvénients figure le fait que peuvent être utilisés à des fins malveillantesLes mêmes fonctionnalités qui permettent à un administrateur de sécuriser son infrastructure peuvent être utilisées par un attaquant pour localiser des vulnérabilités. De plus, certains équipements et appareils inhabituels peuvent réagir négativement à certaines analyses, voire générer de faux positifs dans les systèmes de détection.
Vous devez également garder à l'esprit que Il ne détecte pas toujours correctement le système d'exploitation. Les logiciels antivirus ou les pare-feu peuvent bloquer une partie du trafic Nmap, limitant ainsi les résultats. Dans les réseaux vastes ou fortement segmentés, il peut être difficile d'atteindre tous les sous-réseaux sans l'aide de l'équipe réseau.
Quant aux alternatives, il existe des outils tels que Fing (et Fingbox), Masscan, Angry IP Scanner, WinMTR, Skipfish ou ScapyCes outils couvrent des tâches spécifiques, allant de la reconnaissance des appareils connectés et de l'exclusion des intrus à l'exécution d'analyses ultra-rapides ou à la manipulation de paquets à un niveau très bas. Cependant, Nmap demeure l'outil généraliste de référence pour l'analyse et l'audit des ports.
Dans le monde de l'entreprise, de nombreuses sociétés intègrent Nmap à des processus plus larges, définissant politiques d'utilisation claires, formation du personnel et procédures de mise à jourL’objectif est que cet outil s’inscrive dans une stratégie de sécurité cohérente, avec une analyse périodique, un examen des résultats et des actions correctives bien planifiées.
Combiné à Nmap pour la découverte et l'analyse des ports, à Wireshark et à d'autres outils d'inspection du trafic, Nmap offre une vue d'ensemble complète du comportement de votre réseau local : quels appareils sont actifs, quels services ils proposent, quels protocoles circulent en clair et où les risques sont concentrés. Vous pouvez ainsi fermer les ports inutiles, renforcer la sécurité de votre réseau et réduire les risques d'une attaque réussie avant qu'il ne soit trop tard.
Écrivain passionné par le monde des octets et de la technologie en général. J'aime partager mes connaissances à travers l'écriture, et c'est ce que je vais faire dans ce blog, vous montrer toutes les choses les plus intéressantes sur les gadgets, les logiciels, le matériel, les tendances technologiques et plus encore. Mon objectif est de vous aider à naviguer dans le monde numérique de manière simple et divertissante.