Académique Documents
Professionnel Documents
Culture Documents
es
NMAP
Jos Luis Chica Uribe Tcnico en seguridad CSIRT-cv
ndice
Indroduccin Descubrimientodeequiposypuertos DetectandolaversindelSSOOydelservicio DeteccinyevasindefirewallseIDS NmapScriptingEngine Consejosdeoptimizacindelrendimiento ContramedidascontraNmap
Introduccin
Como funciona?
TCP
SYN
TCP
SYN SYN/ACK
TCP
TCP
Un primer ejemplo
#nmapT4192.168.111.222 Notshown:995filteredports PORTSTATESERVICE 21/tcpopenftp 22/tcpclosedssh 25/tcpopensmtp 80/tcpopenhttp 8080/tcpopenhttpproxy Nmapdone:1IPaddress(1hostup)scannedin12.69 seconds
Enumeracin de equipos
Barridoconpings
#nmapsP192.168.1.0/24
SieltrficoICMPestfiltrado,sepuede hacerbarridoconpingTCP
#nmapsPPS80,21,22,25192.168.1.0/24
11
Escaneorpido,100puertosmsusualesF
#nmapT4F192.168.1.0/24
12
13
Deteccin de versin
#nmapT4sV10.10.10.30 Notshown:998closedports PORTSTATESERVICEVERSION 80/tcpopenhttpApachehttpd2.2.16(Debian) 3333/tcpopensshOpenSSH5.5p1Debian 6+squeeze1(protocol2.0)
14
15
Escaneo a UDP
#nmapT4sUF10.10.10.20 Notshown:997closedports PORTSTATESERVICE 67/udpopen|filtereddhcps 68/udpopen|filtereddhcpc 135/udpopen|filteredmsrpc
AUDITANDO FIREWALLS
Nmapcomoherramientadeanlisisde configuracindefirewalls
Deteccindelapolticapordefecto. DEFAULTACCEPT DEFAULTDROP Deteccindeltipodefirewall STATELESS STATEFULL EvasindefirewallseIDS
17
18
AUDITANDO FIREWALLS
FIREWALLACCEPTPORDEFECTO
#nmapT4ejemplo.com Notshown:995closedports PORTSTATESERVICE 22/tcpopenssh 80/tcpopenhttp 135/tcpfilteredmsrpc 139/tcpfilterednetbiosssn 445/tcpfilteredmicrosoftds
RespuestaactivaRSTde995puertos
19
AUDITANDO FIREWALLS
FIREWALLDROPPORDEFECTO
#nmapT4asdf.com Notshown:996filteredports PORTSTATESERVICE 22/tcpopenssh 25/tcpclosedsmtp 80/tcpopenhttp 113/tcpclosedauth
Sinrespuestade996puertos
20
AUDITANDO FIREWALLS
DETECCINDELTIPODEFIREWALL
Statefull:capazdecontrolarlassesionesTCP SelanzaNmapnormal(SYNscan) Selanzaotroescaneoextico ACKscan Xmasscan FINscan Sielsegundoscannomuestraresultado,esun firewallstatefull
21
AUDITANDO FIREWALLS
FIREWALLSTATEFULL
#nmapsAT4asdf.com Notshown:1000filteredports
FirewalldetectapaquetesACKsinestablecer conexinpreviaylosdropea
22
AUDITANDO FIREWALLS
FIREWALLSINESTADO
#nmapsAT4asdf.com Notshown:996filteredports PORTSTATESERVICE 22/tcpunfilteredssh 25/tcpunfilteredsmtp 80/tcpunfilteredhttp 113/tcpunfilteredauth
SondasACKhanburladoelfirewall
23
EVASIN DE FIREWALLS
Manipulacindelpuertodeorigen
Puertosqueelequipoconsideradeconfianza Permitentodoeltrficoentrante Anteniendoreglasquelobloqueenimplcitamente!!! Ej: W2KyXPpermitatodotrficoTCPyUDPdesdeel puerto88(Kerberos) OSXTIGERpermitatrficodesdeelpuerto67(DHCP) y5353(Zeroconf)
24
EVASIN DE FIREWALLS
#nmap -T4 asdf.com PORT STATE SERVICE 22/tcp open ssh 25/tcp filtered smtp 80/tcp open http 113/tcp closed auth #nmap -T4 -6 asdf.com PORT STATE SERVICE 22/tcp open ssh 25/tcp open smtp 80/tcp open http 113/tcp closed auth
26
EVASIN DE IDS
BARRIDOSLEEEEENTOS
Ralentizarlosenvosdesondas EvitardeteccinporreglasdeXpaquetesenY segundos. ModificadorT0:envodesondaporcada300sg_ zZzZzz ModificadorT1:envodesondaporcada15sg
28
NMAP SCRIPTING ENGINE Herramientamuypotenteyflexible Permitealusuarioescribirscriptspara automatizartareas BasadoenlenguajeLUA Permite: Deteccindevulnerabilidades Explotacindevulnerabilidades Etcetcetc........
29
NMAP SCRIPTING ENGINE Actualmente: 284scripts 74librerias Mantenidosactivamenteporcomunidaden listadecorreonmapdev Categorias: Bruteforce,version,fuzzing,DoS http://nmap.org/nsedoc/
31
32
33
OPTIMIZACIN NMAP
Necesidaddeutilizarconfiguracin personalizada Plantillasdetiempo:T0...T6 T0,T1MUYlento.EvasindeIDS T2,T3,lento.Redesmuysaturadasoinferiores amodems56Kb T4,T5rpido,apaapararedesWANoLAN (PordefectoT3)
34
OPTIMIZACIN NMAP
35
OPTIMIZACIN NMAP
minhostgroup,maxhostgroup
36
OPTIMIZACIN NMAP
maxrtttimeout,initialrtttimeout
Ajustaeltiempodertt(roundtriptime) Sepuedeaproximarconping/hping3
5packetstransmitted,5received,time4005ms rttmin/avg/max/mdev=210.736/ 215.089/221.475/4.063
37
OPTIMIZACIN NMAP
minparallelism,maxparalleism
38
OPTIMIZACIN NMAP
TABLADETIEMPOS
T0 min-rtt-timeout 100 max-rtt-timeout 300,000 Initialrtt-timeout 300,000 max-retries 10 host-timeout 0 min-parallelism max-parallelism 1 min-hostgroup max-hostgroup T1 100 15,000 15,000 10 0 1 T2 T3 100 100 10,000 10,000 1,000 1,000 10 10 0 0 Dinmico 1 Dinmico Dinmico T4 100 1,250 500 6 0 T5 50 300 250 2 900,000
Dinmico
39
OPTIMIZACIN NMAP
nmapT41.2.3.0/24 #NmapdoneatTueNov2914:45:362011256IP addresses(229hostsup)scannedin3475.76seconds nmapT4initialrtttimeout250maxrtttimeout 500maxretries2minparallelism701.2.3.0/24 #NmapdoneatWedNov3011:30:572011256IP addresses(229hostsup)scannedin1052.46seconds
40
OPTIMIZACIN NMAP
SCANMLPEDITION
nmapT4217.124.152.0/22 #NmapdoneatWedDec712:50:2220111024IP addresses(339hostsup)scannedin2227.96seconds nmapT4initialrtttimeout2maxrtttimeout5 maxretries2minparallelism70217.124.152.0/22
#NmapdoneatWedDec713:33:0820111024IP addresses(395hostsup)scannedin875.07second
41
DEFENSA CONTRA NMAP UNBUENATAQUE! Escaneatured Cierrapuertosinnecesarios Buscavulnerabilidadesyarrglalas! Interesanteprogramarescaneos peridicosycompararresultadoscon Ndiff
42
DEFENSA CONTRA NMAP DETECTARESCANEOS FirewallsoIDSsoncapacesdedetectar Eshabitualignorarladeteccin,debidoa quecasisiempresoninofensivos Peroavecesesprecursoraunaintrusin Interesantecorrelarestainformacin EscaneoyaccesoSSH Escaneoycaidadeservicio
43
DEFENSA CONTRA NMAP OCULTARPUERTOS Nmapescanea1000puertosusuales Interesantebindearunservicioaun puertopococonocido Obligasahacerunbarridocompleto Valorarseguridadvsusabilidad Pocoutilservidorwebpuerto23981
44
DEFENSA CONTRA NMAP OTROS OSSpoofing OperatingSystem:MSMapache2011 PortKnoking Llamaraunasecuenciadepuertos Honeypots Falsosserviciosabiertosygolosospara entreteneralatacante
45
46