NMAP

www.securityartwork.es www.csirtcv.gva.es www.s2grupo.
es
NMAP
Jos Luis Chica Uribe Tcnico en seguridad CSIRT-cv
ndice
Indroduccin Descubrimientodeequiposypuertos DetectandolaversindelSSOOydelservicio DeteccinyevasindefirewallseIDS NmapScriptingEngine Consejosdeoptimizacindelrendimiento ContramedidascontraNmap
Introduccin
Herramientadeexploracinyauditora Escaneaequiposyredes Primeraversin1997porFyodor Gratuita,abierta,GPL Multiplataforma Documentada Respaldadaporunagrancomunidad
Como funciona?
Haceunbarrido,enviandosondas Enfuncindelasrespuestas,reconoce equiposyserviciosactivos. Aprovechaambigedadesenprotocolos deredparaadivinarlaversindelSSOO Necesarioconocimientosbsicosdel protocoloTCPparaentenderyaprovechar almximoelfuncionamientodeNmap

4
TCP
SYN
PETICIN DEL CLIENTE PARA CONECTARSE A UN P
TCP
SYN SYN/ACK
SI EST DISPONIBLE, RESPUESTA AFIRMATIVA DEL SERVIDOR
TCP
SYN SYN/ACK ACK
CONFIRMACIN DEL CLIENTE, COMPLETANDO LA CONEXIN
TCP
UnpaqueteTCPentraaunbarydice: Quierounacerveza. Elcamarerolecontesta: Unacervezaquieres? ElpaqueteTCPresponde: Si,unacerveza.

8
Un primer ejemplo
#nmapT4192.168.111.222 Notshown:995filteredports PORTSTATESERVICE 21/tcpopenftp 22/tcpclosedssh 25/tcpopensmtp 80/tcpopenhttp 8080/tcpopenhttpproxy Nmapdone:1IPaddress(1hostup)scannedin12.69 seconds
Explicacin estado puertos
ABIERTO:elpuertoesalcanzableyhay algunaaplicacinalaescucha. CERRADO:elpuertoesalcanzable,pero nohayningunaaplicacinalaescucha. FILTRADO:nohayrespuesta. Seguramentehayunfirewallenmedio.

10
Enumeracin de equipos
Barridoconpings
#nmapsP192.168.1.0/24
SieltrficoICMPestfiltrado,sepuede hacerbarridoconpingTCP
#nmapsPPS80,21,22,25192.168.1.0/24
11
Otros ejemplos Escaneoapuertosespecficosp<nums>

#nmapT4p21,22,25,80,137,8080192.168.1.0/24
Escaneorpido,100puertosmsusualesF
#nmapT4F192.168.1.0/24
12
Deteccin del SSOO

#nmapT4O10.10.10.30 Notshown:997closedports PORTSTATESERVICE 135/tcpopenmsrpc 139/tcpopennetbiosssn 445/tcpopenmicrosoftds Running:MicrosoftWindowsVista|2008|7 OSdetails:MicrosoftWindowsVistaSP0SP2,Server2008, orWindows7Ultimate
13
Deteccin de versin
#nmapT4sV10.10.10.30 Notshown:998closedports PORTSTATESERVICEVERSION 80/tcpopenhttpApachehttpd2.2.16(Debian) 3333/tcpopensshOpenSSH5.5p1Debian 6+squeeze1(protocol2.0)
14
Todo en uno #nmapT4A10.10.10.30 ModificadorA DeteccindeversinsV DeteccindeSSOOO UsodescriptssC Usodetraceroutetraceroute
15
Escaneo a UDP
#nmapT4sUF10.10.10.20 Notshown:997closedports PORTSTATESERVICE 67/udpopen|filtereddhcps 68/udpopen|filtereddhcpc 135/udpopen|filteredmsrpc
- EnUDPnopodemosdeterminarsiunpuerto estabiertoofiltrado(poresotardatanto) InteresanteusarsVparareconocerservicio yF(haypocospuertoscomunesenUDP)

16
AUDITANDO FIREWALLS
Nmapcomoherramientadeanlisisde configuracindefirewalls
Deteccindelapolticapordefecto. DEFAULTACCEPT DEFAULTDROP Deteccindeltipodefirewall STATELESS STATEFULL EvasindefirewallseIDS
17
AUDITANDO FIREWALLS POLITICAPORDEFECTO Basado en el estado de los puertos no mostrados en un escaneo

Cerrados: accept by default Filtrados: deny by default
18
AUDITANDO FIREWALLS
FIREWALLACCEPTPORDEFECTO
#nmapT4ejemplo.com Notshown:995closedports PORTSTATESERVICE 22/tcpopenssh 80/tcpopenhttp 135/tcpfilteredmsrpc 139/tcpfilterednetbiosssn 445/tcpfilteredmicrosoftds
RespuestaactivaRSTde995puertos
19
AUDITANDO FIREWALLS
FIREWALLDROPPORDEFECTO
#nmapT4asdf.com Notshown:996filteredports PORTSTATESERVICE 22/tcpopenssh 25/tcpclosedsmtp 80/tcpopenhttp 113/tcpclosedauth
Sinrespuestade996puertos
20
AUDITANDO FIREWALLS
DETECCINDELTIPODEFIREWALL
Statefull:capazdecontrolarlassesionesTCP SelanzaNmapnormal(SYNscan) Selanzaotroescaneoextico ACKscan Xmasscan FINscan Sielsegundoscannomuestraresultado,esun firewallstatefull
21
AUDITANDO FIREWALLS
FIREWALLSTATEFULL
#nmapsAT4asdf.com Notshown:1000filteredports
FirewalldetectapaquetesACKsinestablecer conexinpreviaylosdropea
22
AUDITANDO FIREWALLS
FIREWALLSINESTADO
#nmapsAT4asdf.com Notshown:996filteredports PORTSTATESERVICE 22/tcpunfilteredssh 25/tcpunfilteredsmtp 80/tcpunfilteredhttp 113/tcpunfilteredauth
SondasACKhanburladoelfirewall
23
EVASIN DE FIREWALLS
Manipulacindelpuertodeorigen
Puertosqueelequipoconsideradeconfianza Permitentodoeltrficoentrante Anteniendoreglasquelobloqueenimplcitamente!!! Ej: W2KyXPpermitatodotrficoTCPyUDPdesdeel puerto88(Kerberos) OSXTIGERpermitatrficodesdeelpuerto67(DHCP) y5353(Zeroconf)
24
EVASIN DE FIREWALLS EscaneoIPv6 ServiciosqueescuchanIPv6 Nosetienenencuenta Electrnicaqueannosoportareglasde filtradoIPv6 Posibilidaddellegaraserviciosqueestn filtradossoloenIPv4

25
EVASIN DE FIREWALLS
#nmap -T4 asdf.com PORT STATE SERVICE 22/tcp open ssh 25/tcp filtered smtp 80/tcp open http 113/tcp closed auth #nmap -T4 -6 asdf.com PORT STATE SERVICE 22/tcp open ssh 25/tcp open smtp 80/tcp open http 113/tcp closed auth
26
EVASIN DE FIREWALLS FragmentacinIP
Firewallsquenotratanpaquetes fragmentados Podrandejarlospasartodoslos fragmentos(oignorarlos) Modificadorf<numbytes> Sepuedeusartambinmtu

27
EVASIN DE IDS
BARRIDOSLEEEEENTOS
Ralentizarlosenvosdesondas EvitardeteccinporreglasdeXpaquetesenY segundos. ModificadorT0:envodesondaporcada300sg_ zZzZzz ModificadorT1:envodesondaporcada15sg
28
NMAP SCRIPTING ENGINE Herramientamuypotenteyflexible Permitealusuarioescribirscriptspara automatizartareas BasadoenlenguajeLUA Permite: Deteccindevulnerabilidades Explotacindevulnerabilidades Etcetcetc........
29
NMAP SCRIPTING ENGINE

#nmapsCp139T41.2.3.4 StartingNmap(http://nmap.org) Nmapscanreportforflog(1.2.3.4) PORTSTATESERVICE 139/tcpopennetbiosssn Hostscriptresults: |smbosdiscovery:Unix |LANManager:Samba3.0.310.fc8 |_Name:WORKGROUP Nmapdone:1IPaddressscannedin0.33seconds
30
NMAP SCRIPTING ENGINE Actualmente: 284scripts 74librerias Mantenidosactivamenteporcomunidaden listadecorreonmapdev Categorias: Bruteforce,version,fuzzing,DoS http://nmap.org/nsedoc/
31
NMAP SCRIPTING ENGINE usodeunscriptespecifico script<nombre/categoria> sinecesitaalgnargumento scriptargs
32
OPTIMIZACIN NMAP CapazdeescanearredesMUYextensasy heterogeneas Noeslomismoescanearunaredlejanaque unaLAN Niconfirewallsquesinellos Lostiemposderespuestasondiferentes
33
OPTIMIZACIN NMAP
Necesidaddeutilizarconfiguracin personalizada Plantillasdetiempo:T0...T6 T0,T1MUYlento.EvasindeIDS T2,T3,lento.Redesmuysaturadasoinferiores amodems56Kb T4,T5rpido,apaapararedesWANoLAN (PordefectoT3)
34
OPTIMIZACIN NMAP
Peroavecesnoessuficiente Perfilesdemasiadogenricos Sepuedeexprimirms! Usodemodificadorespara configuracinavanzadadetiempo
35
OPTIMIZACIN NMAP
minhostgroup,maxhostgroup
AgrupalasIPsylasescaneaenparalelo InteresanteusarloenescaneosUDPocon pocospuertosporhost
36
OPTIMIZACIN NMAP
maxrtttimeout,initialrtttimeout
Ajustaeltiempodertt(roundtriptime) Sepuedeaproximarconping/hping3
5packetstransmitted,5received,time4005ms rttmin/avg/max/mdev=210.736/ 215.089/221.475/4.063
37
OPTIMIZACIN NMAP
minparallelism,maxparalleism
Nmerodesondaspendientesderespuestaquees capazdemanejar. Nmapcalculaestevalordeformadinmica Siseestnperdiendopaquetes,ralentizaelenvo desondasyreduceelnmeroderespuestas pendientes,paranoperderprecisin
38
OPTIMIZACIN NMAP
TABLADETIEMPOS
T0 min-rtt-timeout 100 max-rtt-timeout 300,000 Initialrtt-timeout 300,000 max-retries 10 host-timeout 0 min-parallelism max-parallelism 1 min-hostgroup max-hostgroup T1 100 15,000 15,000 10 0 1 T2 T3 100 100 10,000 10,000 1,000 1,000 10 10 0 0 Dinmico 1 Dinmico Dinmico T4 100 1,250 500 6 0 T5 50 300 250 2 900,000
Dinmico
39
OPTIMIZACIN NMAP
nmapT41.2.3.0/24 #NmapdoneatTueNov2914:45:362011256IP addresses(229hostsup)scannedin3475.76seconds nmapT4initialrtttimeout250maxrtttimeout 500maxretries2minparallelism701.2.3.0/24 #NmapdoneatWedNov3011:30:572011256IP addresses(229hostsup)scannedin1052.46seconds
40
OPTIMIZACIN NMAP
SCANMLPEDITION
nmapT4217.124.152.0/22 #NmapdoneatWedDec712:50:2220111024IP addresses(339hostsup)scannedin2227.96seconds nmapT4initialrtttimeout2maxrtttimeout5 maxretries2minparallelism70217.124.152.0/22
#NmapdoneatWedDec713:33:0820111024IP addresses(395hostsup)scannedin875.07second
41
DEFENSA CONTRA NMAP UNBUENATAQUE! Escaneatured Cierrapuertosinnecesarios Buscavulnerabilidadesyarrglalas! Interesanteprogramarescaneos peridicosycompararresultadoscon Ndiff
42
DEFENSA CONTRA NMAP DETECTARESCANEOS FirewallsoIDSsoncapacesdedetectar Eshabitualignorarladeteccin,debidoa quecasisiempresoninofensivos Peroavecesesprecursoraunaintrusin Interesantecorrelarestainformacin EscaneoyaccesoSSH Escaneoycaidadeservicio
43
DEFENSA CONTRA NMAP OCULTARPUERTOS Nmapescanea1000puertosusuales Interesantebindearunservicioaun puertopococonocido Obligasahacerunbarridocompleto Valorarseguridadvsusabilidad Pocoutilservidorwebpuerto23981
44
DEFENSA CONTRA NMAP OTROS OSSpoofing OperatingSystem:MSMapache2011 PortKnoking Llamaraunasecuenciadepuertos Honeypots Falsosserviciosabiertosygolosospara entreteneralatacante
45
46

NMAP

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

NMAP

Transféré par

Droits d'auteur :

Formats disponibles

www.securityartwork.es www.csirtcv.gva.es www.s2grupo.

Herramientadeexploracinyauditora Escaneaequiposyredes Primeraversin1997porFyodor Gratuita,abierta,GPL Multiplataforma Documentada Respaldadaporunagrancomunidad

Haceunbarrido,enviandosondas Enfuncindelasrespuestas,reconoce equiposyserviciosactivos. Aprovechaambigedadesenprotocolos deredparaadivinarlaversindelSSOO Necesarioconocimientosbsicosdel protocoloTCPparaentenderyaprovechar almximoelfuncionamientodeNmap

PETICIN DEL CLIENTE PARA CONECTARSE A UN P

SI EST DISPONIBLE, RESPUESTA AFIRMATIVA DEL SERVIDOR

SYN SYN/ACK ACK

CONFIRMACIN DEL CLIENTE, COMPLETANDO LA CONEXIN

UnpaqueteTCPentraaunbarydice: Quierounacerveza. Elcamarerolecontesta: Unacervezaquieres? ElpaqueteTCPresponde: Si,unacerveza.

Explicacin estado puertos

ABIERTO:elpuertoesalcanzableyhay algunaaplicacinalaescucha. CERRADO:elpuertoesalcanzable,pero nohayningunaaplicacinalaescucha. FILTRADO:nohayrespuesta. Seguramentehayunfirewallenmedio.

Otros ejemplos Escaneoapuertosespecficosp<nums>

Deteccin del SSOO

Todo en uno #nmapT4A10.10.10.30 ModificadorA DeteccindeversinsV DeteccindeSSOOO UsodescriptssC Usodetraceroutetraceroute

- EnUDPnopodemosdeterminarsiunpuerto estabiertoofiltrado(poresotardatanto) InteresanteusarsVparareconocerservicio yF(haypocospuertoscomunesenUDP)

AUDITANDO FIREWALLS POLITICAPORDEFECTO Basado en el estado de los puertos no mostrados en un escaneo

EVASIN DE FIREWALLS EscaneoIPv6 ServiciosqueescuchanIPv6 Nosetienenencuenta Electrnicaqueannosoportareglasde filtradoIPv6 Posibilidaddellegaraserviciosqueestn filtradossoloenIPv4

EVASIN DE FIREWALLS FragmentacinIP

Firewallsquenotratanpaquetes fragmentados Podrandejarlospasartodoslos fragmentos(oignorarlos) Modificadorf<numbytes> Sepuedeusartambinmtu

NMAP SCRIPTING ENGINE

NMAP SCRIPTING ENGINE usodeunscriptespecifico script<nombre/categoria> sinecesitaalgnargumento scriptargs

OPTIMIZACIN NMAP CapazdeescanearredesMUYextensasy heterogeneas Noeslomismoescanearunaredlejanaque unaLAN Niconfirewallsquesinellos Lostiemposderespuestasondiferentes

Peroavecesnoessuficiente Perfilesdemasiadogenricos Sepuedeexprimirms! Usodemodificadorespara configuracinavanzadadetiempo

AgrupalasIPsylasescaneaenparalelo InteresanteusarloenescaneosUDPocon pocospuertosporhost

Nmerodesondaspendientesderespuestaquees capazdemanejar. Nmapcalculaestevalordeformadinmica Siseestnperdiendopaquetes,ralentizaelenvo desondasyreduceelnmeroderespuestas pendientes,paranoperderprecisin

Vous aimerez peut-être aussi