Siempre que queramos auditar un sistema siempre hay que tomar encuenta esta fabulosa herramienta llamada nmap.
Nmap nos sirve para verificar el estado de los puertos de un determinado host para determinar las puertas de acceso que tiene dichos host.
Nmap lo podemos tomar en cuenta en distintos casos como:
- Instalamos un sistema operativo y queremos ver con que servicios viene activado.
- si notamos algo extraño en nustra red.
- cierto usuario nos reporta un ataque.
- por supuesto para aser auditorias de red
Una vez instalado nmap (puedes descargarlo desde http://insecure.org/ o desde un apt-get install nmap) escribimos nmap en una terminal para verificar que funcione todo correcamente, despues puedes scanearte ati mismo tecleando
nmap 127.0.0.1 o nmap localhost visualizaremos algo como esto.
Starting Nmap 4.11 ( http://www.insecure.org/nmap/ ) at 2007-10-06 12:04 CDT
Interesting ports on localhost (127.0.0.1):
Not shown: 1675 closed ports
PORT STATE SERVICE
22/tcp open ssh
25/tcp open smtp
111/tcp open rpcbind
113/tcp open auth
631/tcp open ipp
Nmap finished: 1 IP address (1 host up) scanned in 0.561 seconds
Como podemos observar el unico parametro necesario para que en map funcione es la direccion ip del host que queremos analizar. Nos manda en pantalla los puertos que estan funcionando, en el caso del ejemplo hay varios puertos abiertos. Si queremos obtener mas informacion aserca del escaneo a realizar solamente ponemos la opcion -v (significa modo vervose) seria algo como lo siguiente.
Starting Nmap 4.11 ( http://www.insecure.org/nmap/ ) at 2007-10-06 12:18 CDT
Initiating SYN Stealth Scan against localhost (127.0.0.1) [1680 ports] at 12:18
Discovered open port 25/tcp on 127.0.0.1
Discovered open port 113/tcp on 127.0.0.1
Discovered open port 22/tcp on 127.0.0.1
Discovered open port 631/tcp on 127.0.0.1
Discovered open port 111/tcp on 127.0.0.1
The SYN Stealth Scan took 0.10s to scan 1680 total ports.
Host localhost (127.0.0.1) appears to be up ... good.
Interesting ports on localhost (127.0.0.1):
Not shown: 1675 closed ports
PORT STATE SERVICE
22/tcp open ssh
25/tcp open smtp
111/tcp open rpcbind
113/tcp open auth
631/tcp open ipp
Nmap finished: 1 IP address (1 host up) scanned in 0.128 seconds
Raw packets sent: 1680 (73.920KB) | Rcvd: 3365 (141.340KB)
Nmap es una exelente herramienta para auditar sistemas y podemos tener diversos tipos de escaneos:
sT TCP conect () scan ---> este es el modo mas basico de escaneo ya que utiliza la funcion conect () del sistema operativo. Si utilizamos este tipo de scaneos lo mas seguro es que queden bastantes registros en la maquina scaneada.
sF sN sX ---> ( stealth, modo nulo y arbol navideño ) estos tres tipos de escaneos son muy avanzados y realmente buenos ya que pueden atravesar firewalls y sistemas de segurdad sin ser detectados.
sP ---> scaneo de ping, es para saber los host que estan conectados a una red ( nmap -sP 198.168.0.10-255).
sV ---> este tipo de escaneos le dice a nmap que trate de comunicarse con los puertos abiertos ydetectar las verciones de los servicios que esta ejecutando.
sL ---> escaneo que genera una lista de Ips y host.
sA ---> ataque ACK, este metodo de escaneo es muy util ya que sirve para determinar que reglas de firewall tiene dicho host.
sO ---> este tipo de escaneo sirve para determinar que sevicios de IP estan funcionando en el host.
sU ---> con este escaneo detectamos los servicion UDP que estan activos en el host.
