PRCTICAS DE SEGURIDAD EN LA INFORMACIN

PRCTICA 2.1: ESCANEO DE PUERTOS

El escaneo de puertos es una tcnica usada por hackers y administradores para auditar mquinas y redes con el fin de saber qu puertos estn abiertos o cerrados, los servicios que se ofrecen, chequear la existencia de un firewall as como verificar el funcionamiento del mismo. Ni que decir tiene que sta es una de las tcnicas ms utilizadas a la hora de penetrar en un sistema y realizar un anlisis preliminar.

LA HERRAMIENTA NMAP
Nmap es una herramienta para administradores de sistemas y gente interesada en el escaneo de grandes o pequeas redes para determinar los equipos que se encuentran activos y cuales son sus servicios. En definitiva un escner de puertos muy potente. El objetivo seria poder determinar si un servidor o mquina est en uso y que servicios ofrece.

USANDO NMAP
Vamos ahora a entrar un poco en la prctica y a ver como se usa bsicamente el Nmap. Lo ejecutamos seguido de la IP que nos gustara escanear.
Bash$ nmap 192.168.3.103 Starting nmap 3.70 ( http://www.insecure.org/nmap/ ) at 2004-10-20 02:13 CEST Interesting ports on 192.168.3.103: (The 1654 ports scanned but not shown below are in state: closed) PORT STATE SERVICE 9/tcp open discard 13/tcp open daytime 22/tcp open ssh 37/tcp open time 74/tcp filtered netrjs-4 80/tcp open http 349/tcp filtered mftp 6000/tcp open X11 Nmap run completed -- 1 IP address (1 host up) scanned in 2.529 seconds

Como podis observar la salida del programa tras escanear es bastante simple y se entiende perfectamente. Nos dice que la IP 192.168.3.103, tiene los puertos 9, 13, 22, 37, 80 y 6000 abiertos y al servicio a los cuales pertenecen. Esto es un escaneo bsico, empecemos a introducir opciones y comentar para qu es cada una.

ESCANEANDO RANGO DE PUERTOS

Normalmente no podemos permitirnos un escaneo completo de todos los 65535 puertos TCP y UDP de cada direccin IP de nuestra red, dado que consumiramos mucho tiempo. Por tanto, nmap incorpora opciones de PORT SPECIFICATION que permiten restringir el nmero de puertos a escanear. Cmo especificamos el rango de puertos que va desde el 1 al 80 para una IP determinada?:
bash$ nmap _____________________________________ Starting nmap 3.70 ( http://www.insecure.org/nmap/ ) at 2007-04-20 02:29 CEST Interesting ports on 172.26.0.3 (The 74 ports scanned but not shown below are in state: closed) PORT STATE SERVICE 9/tcp open discard 13/tcp open daytime

PRCTICAS DE SEGURIDAD EN LA INFORMACIN

PRCTICA 2.1: ESCANEO DE PUERTOS

22/tcp 25/tcp 37/tcp 80/tcp open open open open ssh smtp time http

Nmap run completed -- 1 IP address (1 host up) scanned in 3.612 seconds

Tambin con esa misma opcin podemos escanear una lista concreta de puertos. Cmo especificaramos el escaneo de los puertos 22, 53, 110 y 143?
bash$ nmap _____________________________________

ESCANEANDO UN RANGO DE IPS PARA UN PUERTO DETERMINADO

Nmap tambin permite especificar rangos de IPs para escanear. Si estamos en una red donde nos interesa conocer TODOS los ordenadores que tienen abierto por ejemplo el puerto 139 (usado para el protocolo NetBIOS) cmo podramos actuar?
bash# nmap _______________________________________ Starting nmap 3.70 ( http://www.insecure.org/nmap/ ) at 2004-10-20 02:35 CEST Interesting ports on 172.26.0.2: PORT STATE SERVICE 139/tcp filtered netbios-ssn Interesting ports on 172.26.0.9): PORT STATE SERVICE 139/tcp open netbios-ssn Nmap run completed -- 10 IP addresses (2 hosts up) scanned in 4.002 second

La informacin que obtenemos sera: El total de ordenadores encendidos: ____________________________________ Cul de ellos tiene el servicio NetBios abierto: ____________________________ Cul de ellos tiene el servicio NetBios cerrado: ____________________________ Cul de ellos tiene el servicio NetBios filtrados: ___________________________

Escaneando y sacando Versiones de los servicios

Adems del escaneo simple, nmap puede detectar la versin concreta del servicio que se est ejecutando en una mquina; por ejemplo, la versin de FTP (puerto 110) que se est ejecutando. Esto es til para luego poder buscar posibles vulnerabilidades. La seccin de ayuda SERVICE/VERSION DETECTION explica cmo hacerlo. Aplica el escaneo a nuestra mquina vctima:
bash# # nmap __________________________________________ Starting nmap 3.70 ( http://www.insecure.org/nmap/ ) at 2004-10-20 02:44 CEST Interesting ports on 172.26.0.3: (The 1654 ports scanned but not shown below are in state: closed) PORT STATE SERVICE VERSION

PRCTICAS DE SEGURIDAD EN LA INFORMACIN

PRCTICA 2.1: ESCANEO DE PUERTOS

9/tcp 13/tcp 22/tcp 37/tcp 80/tcp 6000/tcp open open open open open open discard? daytime ssh OpenSSH 3.8.1p1 (protocol 2.0) time http Apache httpd 1.3.31 ((Debian GNU/Linux)) X11 (access denied)

Nmap run completed -- 1 IP address (1 host up) scanned in 103.108 seconds

Es tan til saber qu se est ejecutando en una maquina como cunto tiempo hace que actualizan algn tipo de servicio. Como podemos ver en el ejemplo anterior hemos obtenido la versin de OpenSsh y de Apache.

Cmo saber el sistema operativo que esta instalado en un host

En muchas ocasiones, puede ser muy til conocer cul es el Sistema Operativo de la mquina que vamos a escanear. Nmap incorpora opciones concretas para deteccin de sistemas operativos OS DETECTION. Comprueba la eficacia de la opcin correspondiente:
bash# nmap ___________________________

Starting nmap 3.70 ( http://www.insecure.org/nmap/ ) at 2004-10-20 02:50 CEST Insufficient responses for TCP sequencing (3), OS detection may be less accurate Interesting ports on 172.26.0.6: (The 1654 ports scanned but not shown below are in state: closed) PORT STATE SERVICE 9/tcp open discard 13/tcp open daytime 22/tcp open ssh 37/tcp open time 80/tcp open http 6000/tcp open X11 Device type: general purpose Running: Linux 2.4.X|2.5.X|2.6.X OS details: Linux 2.4.0 - 2.5.20, Gentoo 1.2 linux (Kernel 2.4.19-gentoo-rc5), Linux 2.4.20, Linux 2.4.20 - 2.4.22 w/grsecurity.org patch, Linux 2.5.25 - 2.6.3 or Gentoo 1.2 Linux 2.4.19 rc1-rc7) Uptime 0.132 days (since Tue Oct 19 23:41:15 2004) Nmap run completed -- 1 IP address (1 host up) scanned in 4.572 seconds

En el ejemplo nos informa de que la vctima tiene un ncleo 2.4 y lleva Gentoo instalado, muy til para ciertas cosas. En un ordenador con Windows, nos saldra un mensaje similar a este:
Device type: general purpose Running: Microsoft Windows 2003/.NET|NT/2K/XP OS details: Microsoft Windows Server 2003, Microsoft Windows 2000 SP3

ste sera un ordenador con Windows Server 2003 y el Service Pack 3 instalado. Es importante resaltar que Nmap puede fallar y decirnos que se trata de una Gentoo y ser en realidad una Debian, pero no fallan de Windows a Linux o FreeBSD.

PRCTICAS DE SEGURIDAD EN LA INFORMACIN

PRCTICA 2.1: ESCANEO DE PUERTOS

TIPOS DE ESCANEO
Algunos de los tipos de escaneo explicados de forma breve, y que podemos encontrar dentro de SCAN TECHNIQUES de nmap, son los siguientes (identifica los parmetros correspondientes a cada opcin): TCP connect: esta es una tcnica rpida y simple, pero tiene el inconveniente de que es fcilmente detectable. Se basa en intentar establecer una conexin con el puerto del host remoto mediante llamada a connect(). Si se establece dicha conexin, evidentemente el puerto est abierto. Comando: _______________ TCP SYN: se trata de un escaneo en el que no se establece una conexin completa, enviamos SYN y en funcin de la respuesta obtenida por el host, contestamos con RST (en caso de estar abierto) para resetear la conexin, es decir, abortar. Si no se recibe respuesta, el host est desconectado o la conexin a ese puerto est filtrada. Comando: _______________ Stealth Scan (TCP FIN): se trata de enviar FIN y esperar la respuesta del host vctima de nuestro escaneo FIN stealth (sigiloso). Si ignora los paquetes enviados, entonces el puerto est abierto. Los sistemas Microsoft no son vulnerables a este escaneo. Comando: _______________ Ping Scan: Evidente se basa en el envo de paquetes de ECHO (ping). Se debe usar cuando tu intencin sea saber qu mquinas est despiertas. Comando: _______________ Bounce Attack (va FTP): se trata de aprovechar la conexin Proxy ftp para escanear a travs de un servidor FTP. Esto es as porque podemos usar el comando PORT indicando una direccin IP y un puerto (nuestro objetivo de escaneo) y solicitar una transmisin de datos. Si el puerto est cerrado, se generar un error 425. Comando: _______________ UDP Scan: este escaneo mostrar los puertos abiertos que usan el protocolo UDP. Es bastante lento, pero funciona bien si la mquina a escanear usa Windows. Comando: _______________ ACK Scan: muchas veces nos encontramos con un firewall que impide el correcto flujo de paquetes (jejeje) desde nuestra mquina al host vctima. Por eso nos interesa saber el tipo de configuracin del cortafuegos, es decir, si el trfico ha sido filtrado o no. Comando: _______________ Window Scan: parecido al anterior, pero nos dice tambin qu puertos estn abiertos. Comando: _______________ Null Scan: se trata de otro mtodo de escaneo stealth, en el que enviamos un curioso paquete sin banderas levantadas. Comando: _______________ Xmas Scan: lo realizamos enviando paquetes TCP anormalmente configurados y todas las flags (banderas) levantados. Comando: _______________ Idle Scan: se trata de una tcnica de escaneo stealth muy potente y eficaz, con la que no tenemos necesidad de enviar ni un solo paquete con nuestra IP, sino que se utilizan hosts zombies. Comando: _______________

PRCTICAS DE SEGURIDAD EN LA INFORMACIN

PRCTICA 2.1: ESCANEO DE PUERTOS

USANDO NMAP PARA DESCUBRIMIENTO DE HOSTS
Hoy es un da aburrido y no hay nada mejor que hacer que buscar RealVNC (una aplicacin muy popular que sirve de escritorio remoto) en nuestra mquina vctima. Lo primero es identificar el puerto en el que suele funcionar. Usamos google y averiguamos
RealVNC -> Puerto _________

Abrimos una ventana de comandos y escribimos:

Nmap sP vv p _________ IP_victima

Pero vamos a empezar desde el principio. A menos que tengamos un objetivo tan claro como el anterior, usaremos el siguiente comando para realizar el descubrimiento de hosts:
nmap sP 172.26.1.0/29 (sustituye este rango de IPs por otro de tu inters)

Qu especifica la opcin sP? ________________________________ Si no existe filtrado de firewall, ese comando funcionar bien. Sin embargo, si la vctima tiene un firewall configurado, la opcin anterior no ser suficiente. Sin embargo, podemos probar a usar el siguiente:
nmap sP PS 172.26.1.2

Qu indicamos con la opcin PS? ________________________________ La opcin anterior sigue usando el puerto 80 por defecto para mandar nuestro escaneo, pero para complicarle an ms la cosa al firewall, podemos elegir otro puerto (p.e. 25, que suele pertenecer a servidores de correo SMTP 53, que suele pertenecer a servidores de dominio DNS):
nmap sP PS25 172.26.1.2

Y ricemos el rizo: no slo cambiaremos el puerto de destino, sino que haremos lo siguiente:
nmap sP PS25 172.26.1.2 g 53

Qu especifica la opcin g 53? ________________________________ Aunque la mayor parte de los firewalls rechazarn los paquetes ICMP echo como los anteriores, puede que permitan el trfico de otros paquetes ICMP como por ejemplo:
nmap sP -PP 172.26.1.4

Qu especifica la opcin PP? ________________________________ Y la opcin PM? ________________________________ Usando distintas combinaciones de puertos de origen/destino, tendremos muchas garantas de llegar con xito a descubrir los hosts que hay tras un firewall.