18/10/07

NMAP ---> El rastreador de la RED


Siempre que queramos auditar un sistema siempre hay que tomar encuenta esta fabulosa herramienta llamada nmap.
Nmap nos sirve para verificar el estado de los puertos de un determinado host para determinar las puertas de acceso que tiene dichos host.

Nmap lo podemos tomar en cuenta en distintos casos como:

- Instalamos un sistema operativo y queremos ver con que servicios viene activado.

- si notamos algo extraño en nustra red.

- cierto usuario nos reporta un ataque.

- por supuesto para aser auditorias de red


Una vez instalado nmap (puedes descargarlo desde http://insecure.org/ o desde un apt-get install nmap) escribimos nmap en una terminal para verificar que funcione todo correcamente, despues puedes scanearte ati mismo tecleando

nmap 127.0.0.1 o nmap localhost visualizaremos algo como esto.


Starting Nmap 4.11 ( http://www.insecure.org/nmap/ ) at 2007-10-06 12:04 CDT

Interesting ports on localhost (127.0.0.1):

Not shown: 1675 closed ports

PORT STATE SERVICE

22/tcp open ssh

25/tcp open smtp

111/tcp open rpcbind

113/tcp open auth

631/tcp open ipp


Nmap finished: 1 IP address (1 host up) scanned in 0.561 seconds

Como podemos observar el unico parametro necesario para que en map funcione es la direccion ip del host que queremos analizar. Nos manda en pantalla los puertos que estan funcionando, en el caso del ejemplo hay varios puertos abiertos. Si queremos obtener mas informacion aserca del escaneo a realizar solamente ponemos la opcion -v (significa modo vervose) seria algo como lo siguiente.


Starting Nmap 4.11 ( http://www.insecure.org/nmap/ ) at 2007-10-06 12:18 CDT

Initiating SYN Stealth Scan against localhost (127.0.0.1) [1680 ports] at 12:18

Discovered open port 25/tcp on 127.0.0.1

Discovered open port 113/tcp on 127.0.0.1

Discovered open port 22/tcp on 127.0.0.1

Discovered open port 631/tcp on 127.0.0.1

Discovered open port 111/tcp on 127.0.0.1

The SYN Stealth Scan took 0.10s to scan 1680 total ports.

Host localhost (127.0.0.1) appears to be up ... good.

Interesting ports on localhost (127.0.0.1):

Not shown: 1675 closed ports

PORT STATE SERVICE

22/tcp open ssh

25/tcp open smtp

111/tcp open rpcbind

113/tcp open auth

631/tcp open ipp


Nmap finished: 1 IP address (1 host up) scanned in 0.128 seconds

Raw packets sent: 1680 (73.920KB) | Rcvd: 3365 (141.340KB)

Nmap es una exelente herramienta para auditar sistemas y podemos tener diversos tipos de escaneos:


  • sS TCP SYN scan ---> no se abre una conexion TCP completa. simplemente envia un paquete SYN para saber si un puerto esta abierto o no, ademas de que este tipo de escaneos es el modo por defecto para los usuarios privilegiados.

  • sT TCP conect () scan ---> este es el modo mas basico de escaneo ya que utiliza la funcion conect () del sistema operativo. Si utilizamos este tipo de scaneos lo mas seguro es que queden bastantes registros en la maquina scaneada.

  • sF sN sX ---> ( stealth, modo nulo y arbol navideño ) estos tres tipos de escaneos son muy avanzados y realmente buenos ya que pueden atravesar firewalls y sistemas de segurdad sin ser detectados.

  • sP ---> scaneo de ping, es para saber los host que estan conectados a una red ( nmap -sP 198.168.0.10-255).

  • sV ---> este tipo de escaneos le dice a nmap que trate de comunicarse con los puertos abiertos ydetectar las verciones de los servicios que esta ejecutando.

  • sL ---> escaneo que genera una lista de Ips y host.

  • sA ---> ataque ACK, este metodo de escaneo es muy util ya que sirve para determinar que reglas de firewall tiene dicho host.

  • sO ---> este tipo de escaneo sirve para determinar que sevicios de IP estan funcionando en el host.

  • sU ---> con este escaneo detectamos los servicion UDP que estan activos en el host.


1 comentario:

cesar rdz dijo...

Necesito una mano con mi wirelles

no puede configurarla.