060-066_Nmap

06.02.2006

15:03

Uhr

Pgina

60

ADMINISTRACIN Nmap

Comprendiendo las tcnicas de anlisis con Nmap

ESCANEANDO
Cmo puede el popular escner Nmap identificar los agujeros de seguridad de la red? En este artculo se van a examinar varias tcnicas de anlisis con Nmap. POR CHRISTIAN NEY
en [1]. Nmap utiliza huellas TCP para identificar el sistema operativo del equipo escaneado. Puede proporcionar bastante informacin de una mquina, identificando los servicios que estn activos y las versiones de los mismos. La inmensa cantidad de funciones que proporciona Nmap implica que el programa posee un nmero impresionante de parmetros para la lnea de comandos. Dispone de unos 15 mtodos para escanear un equipo, con unas 20 configuraciones para cada uno de ellos, que pueden llegar a producir paquetes realmente extraos. No se necesita disponer de conocimientos de experto para poder utilizar Nmap, aunque los usuarios principiantes podran confundirse con los comandos ms sofisticados. Sin embargo, para conseguir un control pleno de toda la potencia de Nmap s que es necesario disponer de algunos conocimientos previos. Este artculo describe algunas de las tcnicas que Nmap utiliza para descubrir vulnerabilidades. termina el proceso, en el caso de que le parezca que est durando demasiado. Si se le ha indicado a Nmap que escriba los resultados a un fichero de registro, puede seguir, posteriormente, escaneando el equipo desde el punto en que se interrumpi. Nmap distingue entre cuatro posibles estados a la hora de comprobar los puertos (Tabla 2). La ventaja principal de Nmap consiste en el amplio rango de tcnicas de escaneado de que dispone.

No es slo para los Chicos Malos

Aunque Nmap, a veces se utiliza malintencionadamente como una herramienta Black Hat, tambin puede ayudar a los administradores simplificando el proceso de anlisis de la red. Los administradores de red pueden encontrar las vulnerabilidades antes de que los atacantes puedan tener la oportunidad de descubrir servicios olvidados y peligrosos. La herramienta tambin ayuda a los administradores a comprobar el inventario, comprobar las reglas del cortafuegos y documentar la versin de los parches y las actualizaciones. Nmap fue originalmente desarrollado para Linux, aunque actualmente se puede ejecutar en Windows, BSD y diversas versiones de Unix. Existen varias interfaces grficas para Unix (Nmapfe, Figura 1) y para los sistemas operativos basados en Windows (Nmapwin [5]). PHP-Nmap [6] (vase la Figura 2) incluso permite a los usuarios controlar el escner desde un navegador web. La pgina oficial de Nmap contiene una lista de otros proyectos basados en Nmap [7], incluido una versin para Zaurus de Sharp.

l escaneado de redes es casi tan antiguo como las propias redes. Antes los hackers solan usar modems para comprobar bloques de nmeros telefnicos y grabar las respuestas en un proceso conocido como wardialing. Hoy en da, los escneres de puertos envan paquetes IP especialmente manipulados a travs de Internet para detectar e identificar sistemas en funcionamiento. Nmap (Network Mapper [1]), que fue en un primer momento presentado por Fyodor en septiembre de 1997 [2], es probablemente una de las utilidades ms completas para escanear redes. Fyodor no estaba muy contento con las caractersticas que proporcionaban herramientas como Strobe [3] o Pscan [4]. Quera una herramienta que realizara algo que an no se haba visto, algo que consigui con Nmap. El escner Nmap se incluye con la mayora de las distribuciones populares de Linux y si se dispone de una distribucin que no lo incluya, se puede obtener desde el sitio web del proyecto

El Truco de las Tres Cartas

Nmap usa un proceso de escaneado de tres etapas. Por defecto, los tres pasos son como siguen: Nmap enva un ping a la mquina objetivo. El usuario puede elegir entre una solicitud habitual de Echo o de alguna tcnica propia de Nmap para identificar si un equipo est en funcionamiento. Por defecto, se realiza una bsqueda inversa para averiguar el nombre del equipo a partir de su direccin IP. Nmap escanea los puertos de la mquina utilizando la tcnica seleccionada. Presionando [Ctrl]+[C] se

60

Nmero 15

WWW.LINUX- MAGAZINE.ES

060-066_Nmap

06.02.2006

15:03

Uhr

Pgina

61

Nmap ADMINISTRACIN

un simple connect(), que hace uso de la funcin de conexin del sistema operativo para establecer una conexin compatible con los RFCs basada en el tpico saludo en tres partes (three-way handshake). El escner enva un paquete TCP con el flag SYN (Figura 4) y con los puertos de origen y destino apropiados. Si no hay ningn servicio a la escucha en el puerto de destino, el otro sistema devuelve un paquete Figura 1: La interfaz grfica de Nmap elimina la necesidad de RST en respuesta para aprender la enorme cantidad de opciones y proporciona a los cerrar la conexin; si administradores una lnea de comandos rpida (vase al pie de no, el sistema de destino responde con un la figura). paquete en donde los En vez de simplemente abrir una coneflags SYN y ACK estn activados. Un xin TCP normal, el programa transmite paquete ACK completa el saludo y paquetes especialmente manipulados establece la conexin, que Nmap que contravienen los RFCs. Nmap inmediatamente cierra enviando un obtiene entonces conclusiones basnreset (Listado 1). dose en la reaccin de la mquina Escaneando a Medias escaneada. Para algunas de estas tcnicas, la herramienta necesita de los priviSi se dispone de los privilegios de root, legios del usuario root, ya que ha de traes preferible el escaneado TCP-SYN. bajar con sockets raw y de este modo Esta tcnica ahorra recursos de la red y poder crear los paquetes propios. del sistema; no se basa en ningn sistema operativo especfico y es sigilosa. Primitivas de Escaneado En vez de establecer una conexin TCP Sin los privilegios del root (Figura 3), completa, Nmap simplemente transmite Nmap est restringido a escanear con el primer paquete SYN del saludo en

tres partes. Un puerto cerrado reaccionar enviando un flag RST para limpiar la conexin medio abierta. Un puerto abierto responder con un SYN/ ACK, que Nmap cerrar transmitiendo un reset (Listado 2). El servicio escaneado no se dar cuenta de este proceso, que no deja ningn rastro en los ficheros de registro. Este truco simple no activar los sistemas de deteccin de intrusos como Snort [8] o Prelude [9]. Una inusual peticin de conexin en una gran cantidad de puertos simultneamente se conoce como escaneado de puertos. Snort registra la siguiente informacin:
[**] [100:1:1] spp_portscan: U PORTSCAN DETECTED U from 192.168.5.22 (THRESHOLD U 4 connections exceeded in U 0 seconds) [**] 10/05-19:40:49.540435

A menudo se puede evitar ser detectado por un sistema indicndole a Nmap que vaya ms despacio. Esto disimula los paquetes entre los paquetes del trfico normal. Incluso se pueden usar tcnicas como escaneado FIN, Xmas o Null.

Alto Secreto
Estas tcnicas extremadamente sigilosas no se basan en la solicitud o apertura de una conexin; sino en el envo de una trama al sistema de destino. FIN, Xmas y Null difieren slo en los flags TCP que tienen activados (Figura 4), ninguno de los cuales se producen en un trfico normal de red. Ninguna de estas tcnicas hace uso del flag SYN. El paquete de respuesta o la carencia del mismo le indican a Nmap todo lo que necesita para saber sobre la disponibilidad del

Tabla 1: Tcnicas de Escaneado

Tcnica de Escaneado TCPSYN TCP connect() FIN Xmas Null Ping Version Detection UDP IP Protocol ACK Window RPC List Idle FTP Bounce Sintaxis -sS -sT -sF -sX -sN -sP -sV -sU -sO -sA -sW -sR -sL -sI -b Uso Escner Sigiloso Escaneado sin los privilegios de root Escner Sigiloso Escner Sigiloso Escner Sigiloso Indetificacin de equipos en funcionamiento Identificacin de Servicios Encuentra servicios UDP Descubre los protocolos soportados Identifica cortafuegos Escner ACK avanzado Informacin sobre los servicios RPC Para realizar pruebas Escaneado a travs de un tercero Histrico

Figura 2: Nmap dispone tambin de una interfaz web, aunque esta interfaz no ofrece el acceso a todas las caractersticas del programa.

WWW.LINUX- MAGAZINE.ES

Nmero 15

61

060-066_Nmap

06.02.2006

15:03

Uhr

Pgina

62

ADMINISTRACIN Nmap

sistema de destino. La pila TCP estndar con puertos cerrados responder enviando un paquete RST para resetear la conexin. Si algn servicio de red est a la escucha en el puerto de destino, el sistema escaneado no ser capaz de encontrar una conexin que concuerde con el paquete solicitante. Desafortunadamente, los RFCs no proporcionan instrucciones claras con lo que hay que hacer con los paquetes de esta clase. Como consecuencia de ello, las diferentes implementaciones de la pila TCP

Buscando Equipos
Nmap no slo ayuda a los administradores en la bsqueda de sistemas y servicios en una mquina individual; si fuera necesario, puede escanear subredes completas en busca de mquinas. El escner Ping es una herramienta ideal para este escenario. Como sugiere el nombre, el comando ping genera una Solicitud de Eco ICMP que solicita una Respuesta de Eco ICMP de un sistema en funcionamiento. Como el protocolo ICMP no utiliza ningn puerto que Nmap pueda investigar, el escner tan slo necesita dos tramas por mquina y esto hace que sea muy rpido. Por el contrario, si no se recibe una respuesta, no hay forma de saber si el sistema est realmente apagado o si un filtrador de paquetes simplemente ha eliminado el mensage ICMP. Los escneres ping se utilizan habitualmente para preparar el camino a investigaciones ms intensivas. Un escner Ping proporciona al usuario una forma rpida de comprobar la reaccin de un sistema, haciendo que sea ms fcil aplicar escneres de puerto que consumen ms tiempo sobre los sistemas que estn en marcha.

Fuera del Dique

El escner List proporciona al usuario la opcin de comprobar sus configuraciones para posibles fuentes de error antes de que suceda. El escner simplemente le indica al usuario qu sistemas debera Nmap investigar y cmo, sin realizar realmente ningn escaneado. Sin embargo, hay que tener cuidado: reacurdese que Nmap intenta resolver la direccin IP realizando una bsqueda inversa, as que hay que asegurarse de deshabilitar este comportamiento.

reaccionan de manera diferente ante esta situacin; el Listado 3 muestra el modo en que acta un sistema Linux ante esta situacin, ignorando el paquete inesperado. Los sistemas Windows reaccionan de manera diferente. La respuesta de un sistema Windows es Figura 3: Sin los privilegios de root, Nmap est restringido a resetear la conexin, una pequea seleccin de tcnicas para identificar los puertos sin tener en cuenta que abiertos disponibles en la red. el puerto est abierto o cerrado. Esto permite a Nmap identipuerto. Los candidatos potenciales son ficar el sistema operativo, ya que este identificados anteriormente con las tcnicomportamiento slo es propio de los cas de escaneado de puertos (escneres sistemas Windows y de alguna otra pila Connect o SYN). La deteccin de la verTCP extica. sin abre una conexin normal y se Si el destino no responde, Nmap comunica con el servicio que est a la informa que el puerto est cerrado o filescucha. Normalmente produce una entrada en los ficheros de registro. Nmap trado (vase la Tabla 2); los cortafuegos almacena los resultados como nmap-sertienden a descartar los paquetes de esta vice-probe en su base de datos. La versin clase sin comentario. Si se necesitan 3.93 incluye 2895 firmas de servicios. ms detalles, probablemente se desee Nmap puede aplicar la tcnica para activar la deteccin de versiones (tamidentificar los servicios individuales de bin conocida como version probe): un sistema completo. OS fingerprinting esta tcnica no intenta pasar inadveres la tcnica de identificar remotamente tida y hace uso de otra ms agresiva el sistema operativo y es una de las caracpara la identificacin de puertos. tersticas avanzadas de Nmap, siendo Perforando indiscutiblemente, Nmap, el maestro en La deteccin de versiones no busca los este campo. puertos abiertos, sino que investiga el La tcnica se basa en las ligeras variaservicio que est a la escucha en un ciones subyacentes en el comportamiento de Listado 1: Escner Connect la pila TCP. Una base de 01 Port closed: datos con02 192.168.5.22 -> 192.168.5.10 TCP 60319 > 80 [SYN] tiene las 03 192.168.5.10 -> 192.168.5.22 TCP 80 > 60319 [RST, ACK] diferencias 04 especficas 05 Port open: como fin06 192.168.5.22 -> 192.168.5.10 TCP 60320 > 80 [SYN] gerprints o 07 192.168.5.10 -> 192.168.5.22 TCP 80 > 60320 [SYN, ACK] huellas: En 08 192.168.5.22 -> 192.168.5.10 TCP 60320 > 80 [ACK] Nmap 3.93, 09 192.168.5.22 -> 192.168.5.10 TCP 60320 > 80 [RST, ACK] nmap-os-fingerprints Listado 2: Escneres TCP-SYN tiene unas 01 Port closed: 1707 02 192.168.5.22 -> 192.168.5.10 TCP 56522 > 80 [SYN] entradas. 03 192.168.5.10 -> 192.168.5.22 TCP 80 > 56522 [RST, ACK] Comparando 04 los resulta05 Port open: dos con la 06 192.168.5.22 -> 192.168.5.10 TCP 60420 > 80 [SYN] lista se con07 192.168.5.10 -> 192.168.5.22 TCP 80 > 60420 [SYN, ACK] sigue identi08 192.168.5.22 -> 192.168.5.10 TCP 60420 > 80 [RST] ficar la pila

62

Nmero 15

WWW.LINUX- MAGAZINE.ES

060-066_Nmap

06.02.2006

15:03

Uhr

Pgina

63

Nmap ADMINISTRACIN

del protocolo y el sistema operativo. El escner es sorprendentemente sigiloso. Se realiza sin conectarse a aplicaciones especficas y tan slo hace uso de unas 30 tramas simples. OS fingerprinting comienza con un simple escaneado de puertos y luego realiza ocho pequeas comprobaciones, todas ellas envan paquetes especialmente manipulados al sistema destino. Algunos de estos paquetes nunca apareceran en el trfico normal de la red y hace que sean una presa fcil para los IDS de los sistemas. El sistema destino no se da cuenta de que est siendo escaneado. Al mismo tiempo, la opcin de marca de tiempo de TCP revela el tiempo del sistema. Si Nmap es incapaz de identificar el sistema destino, presenta los datos al usuario y si el usuario es capaz de identificar el sistema, ste puede publicar la firma por medio de una pgina de Envo en [10]. As es como los usuarios de Nmap pueden ayudar a mejorar la utilidad de identificacin.

Figura 4: Nmpa utiliza los campos de las cabeceras TCP para descubrir los detalles de los sistemas. Adems de los flags normales ACK, RST y SYN (amarillo), algunas tcnicas usan combinaciones inusuales de otros flags (rosa).

Sin Filtros
En escenarios donde Nmap es incapaz de distinguir entre un puerto filtrado y un puerto abierto (Tabla 2), los escneres ACK pueden ayudar a aclarar la situacin. Los escneres

Tabla 2: Estado de los Puertos

Estado Abierto Explicacin La comunicacin a travs de este puerto es posible sin ninguna restriccin. Filtrado Probablemente el puerto est siendo bloqueado por un cortafuegos. Si un escner SYN o Connect descubre puertos que estn abiertos o filtrados, puede ser que el administrador haya cometido el error de implementar una configuracin DROP insegura. Sin Filtrar Los escneres ACK o de Ventanas descubren los puertos sin filtrar. La comunicacin con el puerto en cuestin es posible, pero se nece sitan utilizar otras tcnicas de escaneado para obtener mayor informacin. Cerrado El puerto est correctamente bloqueado por el cortafuegos o no hay ningn servicio a la escucha en esta direccin. En ambos casos la comunicacin es imposible.

ACK son una tcnica sencilla y sigilosa y aunque puede que no ayude a identificar un puerto como abierto, detectar si hay un cortafuegos. Para ello, Nmap transmite un paquete simple ACK al equipo de destino, que responder devolviendo un RST. Si la respuesta es un ICMP Destination Unreachable en vez de un reset, se puede suponer que la respuesta ha sido bloqueada por un cortafuegos, es decir, el puerto est siendo filtrado. Nmap tambin usa escneres de ventanas TCP, una variacin del escner ACK, para identificar los puertos abiertos. El escner de nuevo comienza transmitiendo un paquete ACK, pero adicionalmente evala el tamao de la ventana establecida por el sistema de destino en su respuesta. Los paquetes RST con un tamao de ventana de cero le indican al escner que el puerto est abierto. Como el nmero de sistemas operativos que respondern a esta tcnica es bastante pequeo y continuar menguando en el futuro, el escner de ventana puede proporcionar adicionalmente ms informacin sobre la plataforma de destino. Por ello, esta

tcnica es una buena eleccin si se necesita ms informacin sobre el sistema.

Ms all de TCP
Adems de TCP, Nmap puede realizar escneres UDP. Hay pocas opciones para esta tcnica, ya que el protocolo no hace uso del flag SYN ni otros. Esto hace que el escner UDP sea bastante simple: el objetivo responde a las peticiones para los puertos cerrados con un paquete ICMP Port Unreachable, mientras que los puertos abiertos respondern habitualmente con datos de alguna clase. Si no hay respuesta, Nmap clasifica el puerto como abierto o filtrado (Tabla 2). En caso de duda, la deteccin de versiones podra ayudar. Como la mayora de los sistemas reducen los mensajes de error ICMP a unos pocos paquetes por segundo, Nmap detecta este comportamiento. Por ello los escneres UDP pueden tardar un rato.

A Bajo Nivel
El escaneado del protocolo IP no tiene nada que hacer con la identificacin de

Figura 5: La cabecera IP contiene el campo IPID (rosa), que especifica el nmero de fragmentos contiguos.

WWW.LINUX- MAGAZINE.ES

Nmero 15

63

060-066_Nmap

06.02.2006

15:03

Uhr

Pgina

64

ADMINISTRACIN Nmap

Listado 3: FIN, Xmas y Null

01 02 03 04 05 06 07 08 09 10 11 12 13 14 15 16 17 18 19 20 21 22 23 FIN scan, Port closed: 192.168.5.22 -> 192.168.5.10 TCP 56485 > 80 [FIN] 192.168.5.10 -> 192.168.5.22 TCP 80 > 56485 [RST, ACK] FIN Scan, Port open: 192.168.5.22 -> 192.168.5.10 TCP 43406 > 80 [FIN] 192.168.5.22 -> 192.168.5.10 TCP 43407 > 80 [FIN] Xmas Scan, Port closed: 192.168.5.22 -> 192.168.5.10 TCP 49499 > 80 [FIN, PSH, URG] 192.168.5.10 -> 192.168.5.22 TCP 80 > 49499 [RST, ACK] Xmas Scan, Port open: 192.168.5.22 -> 192.168.5.10 TCP 47109 > 80 [FIN, PSH, URG] 192.168.5.22 -> 192.168.5.10 TCP 47110 > 80 [FIN, PSH, URG] Null Scan, Port closed: 192.168.5.22 -> 192.168.5.10 TCP 50508 > 80 [] 192.168.5.10 -> 192.168.5.22 TCP 80 > 50508 [RST, ACK] Null Scan, Port open: 192.168.5.22 -> 192.168.5.10 TCP 55971 > 80 [] 192.168.5.22 -> 192.168.5.10 TCP 55972 > 80 []

ilosos, aunque con un poco de suerte pueden revelar bastantes detalles de los sistemas bajo investigacin.

Pistas Falsas
En algunas situaciones, incluso la tcnica de escaneado ms sigilosa de Nmap puede dejar demasiadas pistas. Un analizador podra necesitar informacin detallada que tan slo podra revelar un escner fcilmente identificable. El truco, en este caso, es alimentarlo con IDS de sistemas y seuelos para mantenerlo ocupado. Cuando Nmap utiliza seuelos, simula otros escneres desde un nmero preestablecido de direcciones IP inventadas para ocultar el proceso de escaneado real. Aunque esto hace que sea ms probable ser detectado, el ruido ocasionado desde la direccin falsa hace que sea ms difcil identificar al atacante real. Desde el punto de vista del administrador del sistema, el escaneado de seuelos es una buena prueba para averiguar el funcionamiento del equipo, el cortafuegos y la deteccin de Intrusos. Por defecto, Nmap puede llegar a simular hasta 128 equipos al mismo tiempo. Si se dispone de una mquina potente con una buena conexin de red, probablemente se desee incrementar el valor de la constante MAX_DECOYS en nmap.h y recompilar Nmap.

puertos especficos; simplemente le indica al usuario qu protocolos de Nivel 4 soporta el destino. Con un cliente Linux, Nmap normalmente descubrir ICMP (Internet Control Message Protocol), IGMP (Internet Group Multicast Protocol), TCP, UDP e IPv6 (para un tnel IPv6 sobre IPv4). Comprueba todos los nmeros de protocolos entre 1 y 255, esperando sus respuestas. Esta informacin permite a Nmap averiguar qu clase de sistema est escaneando. Se puede realizar una identificacin bsica con este conocimiento, ya que tan slo los routers y algunos servidores especiales usan VRRP (Virtual Router Redundancy Protocol) o la alternativa gratuita CARP, por ejemplo.

Llamando a todas las Estaciones

Los escneres RPC pueden identificar servicios tales como NFS y NIS, que estn basados en esta tecnologa, junto con los puertos que utilizan. Los escneres RPC tan slo tienen sentido si van seguidos de otros escneres que proporcionen informacin de los puertos abiertos. El escaneado RPC habilita automticamente la deteccin de versiones. Para ayudar a descubrir servicios RPC ocultos, esta tcnica utiliza adicionalmente la instruccin RPC especial PROC=0. Esta instruccin no le pide, en realidad, al servicio que haga algo, sino que fuerza al servicio a revelar su existencia. Los servicios que no estn basados en RPC fallan a la hora de identificar la instruccin y no responden. Como los escneres RPC se basan en interaccionar con la aplicacin, no son sig-

Zombies
Los escneres ociosos se realizan por la mquina sin la necesidad de un tercero. Este tipo de escneres eliminan la necesidad para la mquina escaneadora de intercambiar paquetes con el destino en cualquier momento del proceso. Nmap maneja la IP inventada requerida autnomamente. Para que esta tcnica funcione debe aplicarse la siguiente condicin: El equipo zombie (el tercero sin implicacin, tambin conocido como proxy) debe tener poca o ninguna carga de red para evitar que se modifique el IPID (El campo de identificacin de la cabecera IP, vase la Figura 5). La IPID del zombie debe ser predecible. Un sistema adecuado incrementar la IPID en uno para cada paquete nuevo. Nmap rpidamente identifica un sis-

64

Nmero 15

WWW.LINUX- MAGAZINE.ES

060-066_Nmap

06.02.2006

15:03

Uhr

Pgina

65

Nmap ADMINISTRACIN

Ciego) si el IPID del reset resultante se ha incrementado en una cuenta de cinco.

Ejemplos
Los siguientes ejemplos estn escogidos para mostrar que Nmap no es una herramienta para los hackers, sino que es una ayuda muy valiosa para los administradores. Antes de decidirse a experimentar con estas tcnicas, el lector debe saber que jugar con los protocolos no est completamente libre de riesgo: los sistemas crticos pueden reaccionar de manera imprevista. Derribar un sistema importante es una prueba de fuego a la hora de identificar una vulnerabilidad crtica, pero en este caso, puede que sea demasiado daina la comprobacin y sea peor el remedio que la enfermedad. Imagnese un escner que bloquee la pila TCP de su sistema de telefona de Internet, por poner un ejemplo y eche por tierra sus sistemas de comunicacin. Para las comprobaciones rutinarias, puede que se desee aadir la direccin IP de los sistemas crticos a un fichero y especificar la opcin --excludefile con este fichero para escanear la red completa, pero sin molestar a los sistemas crticos. Nmap posee un amplio rango de caractersticas de registro para documentar y comparar los resultados de los escneres. La opcin -oA habilita tres formatos tiles y prepara la forma para la evaluacin manual o automatizada de los datos proporcionados por el escner. NDiff [11] es til para comparar los datos procedentes de varios escneres.

Visin Ciega
Nmap utiliza una solucin similar para investigar el objetivo: enva paquetes SYN al destino, utilizando la direccin del zombie como direccin fuente. El destino escaneado responder a las peticiones de los puertos cerrados con un RST, que el zombie ignorar. Por el contrario, los puertos abiertos intentarn pasar al siguiente estado del intercambio de saludos, enviando un paquete SYN/ACK. Como el zombie no sabe nada sobre la conexin responder con un reset, incrementando al mismo tiempo el IPID. El equipo que est realizando el escaneado puede luego preguntar al zombie por el valor de su contador (Figura 6). Para acelerar este proceso, Nmap inteligentemente supone que la mayora de los puertos estarn cerrados. Empieza con 30 puertos TCP seleccionados aleatoriamente y enva paquetes SYN a cada uno de ellos. Si el IPID se incrementa, Nmap sabr ahora cuantos puertos del rango a escanear estn abiertos. En la segunda fase, Nmap reduce el nmero de puertos y contina restringiendo el rango hasta que pueda determinar qu nmero de puertos son.

tema zombie adecuado. El programa enva seis paquetes SYN/ACK al equipo zombie y comprueba si se produce un incremento lineal de los IPIDs de los paquetes RST de la respuesta. Si esto no se produce, el escaneado termina indicndole al usuario: Idlescan is unable to obtain meaningful results from proxy 192.168.5.99 (192.168.5.99). Im sorry it didnt work out. QUITTING!. Si los IPIDs se incrementan de manera predecible, Nmap repite el proceso cuatro veces, utilizando paquetes cuya direccin de origen coincide con la direccin del sistema que se desea investigar en el proceso. El zombie entonces enva paquetes de reset al equipo de destino en vez de envirselo al escner. Para obtener los resultados, Nmap enva un paquete ms SYN/ACK al zombie, utilizando su propia direccin IP fuente esta vez. Nmap slo intentar realizar un escner Ocioso (o

Problemas de Licencia
Puede ocurrir que las organizaciones con oficinas distribuidas geogrficamente no dispongan de administradores en cada una de ellas. Nmap puede mostrarle una imagen clara de lo que sucede en dichas oficinas. Esto no es slo una buena idea referente a la seguridad, sino que da sentido al hecho de comprobar qu programas se estn ejecutando en las mquinas para evitar los problemas de las licencias. Un simple escner Ping puede proporcionar un resumen de las mquinas; las tcnicas ms complejas proporcionan informacin del estado de los parches y ayudan a identificar a los equipos:

Figura 6: Los escneres ociosos son una tcnica que implican a un tercero tambin conocido como zombie o proxy. Los paquetes enviados al destino se originan por el zombie. El atacante obtiene conclusiones comprobando los cambios sufridos en los IPID (el campo de identificacin de las cabeceras IP).

nmap -vv -sS -O -T Polite -n U -oA remote 192.168.6.0/24

WWW.LINUX- MAGAZINE.ES

Nmero 15

65

060-066_Nmap

06.02.2006

15:03

Uhr

Pgina

66

ADMINISTRACIN Nmap

Esto le indica a Nmap que use un escner SYN -sS para investigar una subred de clase C 192.168.6.0 y que recolecte informacin sobre el sistema operativo (deteccin OS -O). Aqu no tiene sentido que se resuelvan las direcciones IP para obtener los nombres de los equipos; -n deshabilita la bsqueda inversa. Para evitar sobrecargar la conexin WAN, -T Polite conmuta a una

resultados del escner se incluirn en los ficheros titulados infected.nmap, infected.gnmap e infected.xml. La deteccin de versiones de Nmap, caracterstica -sV hace un buen

opcin -A son nuevas. Los resultados proporcionan ms informacin sobre los parches y las actualizaciones olvidadas. Pero tngase en cuenta que algunos parches de seguridad no incrementan el nmero de versin. Nmap no es el sustituto de un gestor de parches real.

Verstil y Potente
Nmap posee gran cantidad de escneres con tcnicas sofisticadas y sigilosas. El hecho de que la herramienta pueda ser utilizada por los atacantes no debera determinar el uso que los administradores puedan hacer de ella. Su uso proporciona una informacin importante, y en algunos casos, sorprendente I sobre la red. trabajo detectando malware que est a la escucha en los puertos estndar. Nmap referencia a su base de datos interna para identificar los servicios en cuestin. Sin embargo, el proceso consume bastante tiempo y puede ocasionar una carga considerable para la red, que lo hace impracticable en la mayora de los casos.

variante menos agresiva en cuestiones de tiempo. -oA remote proporciona un registro ms descriptivo. Nmap posee tres formatos de registro estndar: uno fcilmente legible remote.nmap; remote.gnmap, que le permite as mismo investigar con Grep y remote.xml que proporciona un fichero XML.

Christian Ney es administrador de sistemas Unix y Cortafuegos de una lnea area regional y colabora en varios proyectos de cdigo abierto en su tiempo libre.

Parcheando
Los gusanos, virus y otras clases de malware hacen uso de las vulnerabilidades pblicamente conocidas y de los sistemas que no han sido parcheados. SQL Slammer es un ejemplo de un gusano que ha ganado notoriedad debido a su xito a la hora de expandirse, pero OpenSSL tambin tiene mala publicidad debida al gusano Scalper. Para comprobar si un sistema posee una vulnerabilidad de esta clase, sgase el ejemplo mostrado anteriormente. Puede ser que se prefiera realizar la deteccin de la versin y la deteccin de la versin del sistema operativo de forma separada para evitar la sobrecarga de la red:
nmap -vv -sS -A -n U --excludefile exceptions -oA U version 192.168.5.0/24

EL AUTOR

Intrusiones
En las redes basadas en Windows es bastante comn la intrusin de gusanos y herramientas spyware como Backorifice, que an se encuentran con frecuencia. Nmap ayuda a los administradores creativos a establecer IDS de pobres buscando los puertos utilizados por los programas malware habituales:
nmap -vv -sS -n --excludefile U exceptions -p wormports -oA U infected 192.168.5.0/24

Recursos
[1] Nmap: http:// www.insecure.org/ nmap/ [2] Fyodor, The Art of Port Scanning, Phrack 51: http://www.phrack.org/ phrack/51/P51-11 [3] Strobe: http://ftp.surfnet.nl/security/ coast/scanners/strobe/ [4] Pscan: http://www. packetstormsecurity.com/UNIX/ scanners/pscan.c [5] Nmapwin: http://nmapwin. sourceforge.net [6] PHP-Nmap: http://phpnmap. sourceforge.net [7] Proyectos relacionados con Nmap: http://www.insecure.org/nmap/ nmap_relatedprojects.html [8] Snort IDS: http://www.snort.org [9] Prelude IDS: http://www.prelude-ids. org [10] Identificacin de servicios y puertos: http://www.insecure.org/cgi-bin/ nmap-submit.cgi [11] NDiff: http://www.vinecorp.com/ndiff/ [12] OpenSSL: http://www.openssl.org

El comando anterior le indica a Nmap que sea lo ms descriptivo posible, -vv. Una lista de puertos potencialmente peligrosos conocidos siguen al parmetro -p. Los gusanos utilizan estos puertos para enviar comandos, cargar cdigo peligroso o propagarse. Los equipos la red 192.168.5.0/24 sern escaneados utilizando el escner SYN sS, pero sin resolucin de nombres -n. Los equipos en el fichero de excepciones se omitirn del escner. Los

De nuevo, la tcnica bsica subyacente es un escner SYN -sS y las opciones son ms o menos las mismas. La deteccin de versiones y las tcnicas de identificacin del SO, combinadas con la

66

Nmero 15

WWW.LINUX- MAGAZINE.ES