table of contents
- NAME
- SYNOPSIS
- DESCRIPCIóN
- NOTAS DE LA TRADUCCIóN
- RESUMEN DE OPCIONES
- ESPECIFICACIóN DE OBJETIVOS
- DESCUBRIENDO SISTEMAS
- INTRODUCCIóN AL ANáLISIS DE PUERTOS
- TéCNICAS DE SONDEO DE PUERTOS
- ESPECIFICACIóN DE PUERTOS Y ORDEN DE SONDEO
- DETECCIóN DE SERVICIOS Y DE VERSIONES
- DETECCIóN DE SISTEMA OPERATIVO
- CONTROL DE TIEMPO Y RENDIMIENTO
- EVASIóN DE CORTAFUEGOS/IDS Y FALSIFICACIóN
- SALIDA
- OPCIONES MISCELáNEAS
- EJECUCIóN INTERACTIVA
- EJEMPLOS
- FALLOS
- AUTOR
- NOTAS LEGALES
- NOTES
NMAP(1) | [FIXME: manual] | NMAP(1) |
NAME¶
nmap - Herramienta de exploración de redes y de sondeo de seguridad / puertos
SYNOPSIS¶
nmap [Tipo de sondeo...] [Opciones] {especificación de objetivo}
DESCRIPCIóN¶
Nmap (“mapeador de redes”) es una herramienta de código abierto para exploración de red y auditoría de seguridad. Se diseñó para analizar rápidamente grandes redes, aunque funciona muy bien contra equipos individuales. Nmap utiliza paquetes IP "crudos" («raw», N. del T.) en formas originales para determinar qué equipos se encuentran disponibles en una red, qué servicios (nombre y versión de la aplicación) ofrecen, qué sistemas operativos (y sus versiones) ejecutan, qué tipo de filtros de paquetes o cortafuegos se están utilizando así como docenas de otras características. Aunque generalmente se utiliza Nmap en auditorías de seguridad, muchos administradores de redes y sistemas lo encuentran útil para realizar tareas rutinarias, como puede ser el inventariado de la red, la planificación de actualización de servicios y la monitorización del tiempo que los equipos o servicios se mantiene activos.
La salida de Nmap es un listado de objetivos analizados, con información adicional para cada uno dependiente de las opciones utilizadas. La información primordial es la “tabla de puertos interesantes”. Dicha tabla lista el número de puerto y protocolo, el nombre más común del servicio, y su estado. El estado puede ser open (abierto), filtered (filtrado), closed (cerrado), o unfiltered (no filtrado). Abierto significa que la aplicación en la máquina destino se encuentra esperando conexiones o paquetes en ese puerto. Filtrado indica que un cortafuegos, filtro, u otro obstáculo en la red está bloqueando el acceso a ese puerto, por lo que Nmap no puede saber si se encuentra abierto o cerrado. Los puertos cerrados no tienen ninguna aplicación escuchando en los mismos, aunque podrían abrirse en cualquier momento. Los clasificados como no filtrados son aquellos que responden a los sondeos de Nmap, pero para los que que Nmap no puede determinar si se encuentran abiertos o cerrados. Nmap informa de las combinaciones de estado open|filtered y closed|filtered cuando no puede determinar en cual de los dos estados está un puerto. La tabla de puertos también puede incluir detalles de la versión de la aplicación cuando se ha solicitado detección de versiones. Nmap ofrece información de los protocolos IP soportados, en vez de puertos abiertos, cuando se solicita un análisis de protocolo IP con la opción (-sO).
Además de la tabla de puertos interesantes, Nmap puede dar información adicional sobre los objetivos, incluyendo el nombre de DNS según la resolución inversa de la IP, un listado de sistemas operativos posibles, los tipos de dispositivo, y direcciones MAC.
Puede ver un análisis típico con Nmap en Example 1, “Ejemplo típico de análisis con Nmap”. Los únicos parámetros de Nmap que se utilizan en este ejemplo son la opción -A, que habilita la detección de sistema operativo y versión, y la opción -T4 que acelerar el proceso, y después el nombre de los dos objetivos.
Example 1. Ejemplo típico de análisis con Nmap
# nmap -A -T4 scanme.nmap.org saladejuegos Starting nmap ( http://www.insecure.org/nmap/ ) Interesting ports on scanme.nmap.org (205.217.153.62): (The 1663 ports scanned but not shown below are in state: filtered) PORT STATE SERVICE VERSION 22/tcp open ssh OpenSSH 3.9p1 (protocol 1.99) 53/tcp open domain 70/tcp closed gopher 80/tcp open http Apache httpd 2.0.52 ((Fedora)) 113/tcp closed auth Device type: general purpose Running: Linux 2.4.X|2.5.X|2.6.X OS details: Linux 2.4.7 - 2.6.11, Linux 2.6.0 - 2.6.11 Uptime 33.908 days (since Thu Jul 21 03:38:03 2005) Interesting ports on saladejuegos.nmap.org (192.168.0.40): (The 1659 ports scanned but not shown below are in state: closed) PORT STATE SERVICE VERSION 135/tcp open msrpc Microsoft Windows RPC 139/tcp open netbios-ssn 389/tcp open ldap? 445/tcp open microsoft-ds Microsoft Windows XP microsoft-ds 1002/tcp open windows-icfw? 1025/tcp open msrpc Microsoft Windows RPC 1720/tcp open H.323/Q.931 CompTek AquaGateKeeper 5800/tcp open vnc-http RealVNC 4.0 (Resolution 400x250; VNC TCP port: 5900) 5900/tcp open vnc VNC (protocol 3.8) MAC Address: 00:A0:CC:63:85:4B (Lite-on Communications) Device type: general purpose Running: Microsoft Windows NT/2K/XP OS details: Microsoft Windows XP Pro RC1+ through final release Service Info: OSs: Windows, Windows XP Nmap finished: 2 IP addresses (2 hosts up) scanned in 88.392 seconds
Puede obtener la versión más reciente de Nmap en http://www.insecure.org/nmap/. La versión más reciente de la página de manual está disponible en http://www.insecure.org/nmap/man/.
NOTAS DE LA TRADUCCIóN¶
Esta edición de la Guía de referencia de Nmap ha sido traducida de la versión 3137 de la versión original en inglés[1] por Arturo Busleiman <buanzo_AT_buanzo.com.ar>, Pablo Fernández <pablo_AT_littleQ.net> y Javier Fernández-Sanguino <jfs_AT_computer.org>. Aunque nuestra intención es hacer Nmap más accesible a los lectores españoles en todo el mundo no podemos garantizar que esta traducción está tan actualizada o completa como la versión oficial en inglés. Este trabajo puede ser modificado y redistribuido bajo los términos de la Licencia Creative Commons Atribución[2].
Esta traducción ha sido adaptada al español como se habla en España (localización «es_ES») por Javier Fernández-Sanguino. Cualquier comentario o errata sobre esta traducción debe enviarse a Javier Fernández-Sanguino a la dirección arriba indicada. El coordinador de la traducción quiere agradecer el esfuerzo de revisión realizado por Jesús Escoredo.
Glosario de traducción¶
A continuación se listan las traducciones utilizadas a los términos originales en inglés en este documento, es decir, el glosario utilizado en este documento:
Decoy
Fingerprinting
Host
Port scan
(to) Probe
(to) Scan
(To) Spoof
Existen otros términos que puedan aparecer en el documento traducidos pero cuya traducción es ambigua. En este caso las traducciones se introducen en el texto acompañadas de notas de traducción (mostradas como «N. del T.») indicando el término original la primera vez que éste aparezca en el texto.
Nótese que éste glosario difiere en algunos términos del utilizado para otras traducciones, como la traducción realizada por Marbo Babosa del artículo Deteccion Remota de SO via Reconocimiento de Pila TCP/IP[3] (documento traducido al español como se habla en México).
RESUMEN DE OPCIONES¶
Cuando se ejecuta Nmap sin parámetros se muestra este resumen de opciones. Puede encontrar siempre la última versión en http://www.insecure.org/nmap/data/nmap.usage.txt. Aunque ayuda a recordar las opciones más habituales no es un sustituto de la documentación en detalle que acompaña al resto de este manual. Algunas de las opciones menos conocidas no se incluyen aquí.
Uso: nmap [Tipo(s) de Análisis] [Opciones] {especificación de objetivos} ESPECIFICACIÓN DE OBJETIVO:
Se pueden indicar nombres de sistema, direcciones IP, redes, etc.
Ej: scanme.nmap.org, microsoft.com/24, 192.168.0.1; 10.0.0-255.1-254
-iL <archivo_entrada>: Lee una lista de sistemas/redes del archivo.
-iR <número de sistemas>: Selecciona objetivos al azar
--exclude <sist1[,sist2][,sist3],...>: Excluye ciertos sistemas o redes
--excludefile <fichero_exclusión>: Excluye los sistemas indicados en el fichero DESCUBRIMIENTO DE HOSTS:
-sL: Sondeo de lista - Simplemente lista los objetivos a analizar
-sP: Sondeo Ping - Sólo determina si el objetivo está vivo
-P0: Asume que todos los objetivos están vivos
-PS/PA/PU [listadepuertos]: Análisis TCP SYN, ACK o UDP de los puertos indicados
-PE/PP/PM: Solicita un análisis ICMP del tipo echo, marca de fecha y máscara de red
-n/-R: No hacer resolución DNS / Siempre resolver [por omisión: a veces]
--dns-servers <serv1[,serv2],...>: Especificar servidores DNS específicos
--system-dns: Utilizar la resolución del sistema operativo TÉCNICAS DE ANÁLISIS:
-sS/sT/sA/sW/sM: Análisis TCP SYN/Connect()/ACK/Window/Maimon
-sN/sF/sX: Análisis TCP Null, FIN, y Xmas
--scanflags <indicador>: Personalizar los indicadores TCP a utilizar
-sI <sistema zombi[:puerto_sonda]>: Análisis pasivo («Idle», N. del T.)
-sO: Análisis de protocolo IP
-b <servidor ftp rebote>: Análisis por rebote FTP ESPECIFICACIÓN DE PUERTOS Y ORDEN DE ANÁLISIS:
-p <rango de puertos>: Sólo sondear los puertos indicados
Ej: -p22; -p1-65535; -p U:53,111,137,T:21-25,80,139,8080
-F: Rápido - Analizar sólo los puertos listados en el archivo nmap-services
-r: Analizar los puertos secuencialmente, no al azar. DETECCIÓN DE SERVICIO/VERSIÓN:
-sV: Sondear puertos abiertos, para obtener información de servicio/versión
--version-intensity <nivel>: Fijar de 0 (ligero) a 9 (probar todas las sondas)
--version-light: Limitar a las sondas más probables (intensidad 2)
--version-all: Utilizar todas las sondas (intensidad 9)
--version-trace: Presentar actividad detallada del análisis (para depurar)
DETECCIÓN DE SISTEMA OPERATIVO
-O: Activar la detección de sistema operativo (SO)
--osscan-limit: Limitar la detección de SO a objetivos prometedores
--osscan-guess: Adivinar el SO de la forma más agresiva TEMPORIZADO Y RENDIMIENTO:
-T[0-5]: Seleccionar plantilla de temporizado (los números altos son más rápidos)
--min-hostgroup/max-hostgroup <tamaño>: Paralelizar los sondeos
--min-parallelism/max-parallelism <msegs>: Paralelización de sondeos
--min-rtt-timeout/max-rtt-timeout/initial-rtt-timeout <msegs>: Indica
el tiempo de ida y vuelta de la sonda
--max-retries <reintentos>: Limita el número máximo de retransmisiones de las
sondas de análisis de puertos
--host-timeout <msegs>: Abandonar un objetivo pasado este tiempo
--scan-delay/--max-scan-delay <msegs>: Ajusta el retraso entre sondas EVASIÓN Y FALSIFICACIÓN PARA CORTAFUEGOS/IDS:
-f; --mtu <valor>: fragmentar paquetes (opc. con el MTU indicado)
-D <señuelo1,señuelo2[,ME],...>: Disimular el análisis con señuelos
N. del T.: «ME» es «YO» mismo.
-S <Dirección_IP>: Falsificar la dirección IP origen
-e <interfaz>: Utilizar la interfaz indicada
-g/--source-port <numpuerto>: Utilizar el número de puerto dado
--data-length <num>: Agregar datos al azar a los paquetes enviados
--ttl <val>: Fijar el valor del campo time-to-live (TTL) de IP
--spoof-mac <dirección mac/prefijo/nombre de fabricante>: Falsificar la dirección MAC
--badsum: Enviar paquetes con una suma de comprobación TCP/UDP falsa SALIDA:
-oN/-oX/-oS/-oG <file>: Guardar el sondeo en formato normal, XML,
s|<rIpt kIddi3 (n3n3b4n4n4), y Grepeable (para usar con grep(1), N. del T.),
respectivamente, al archivo indicado.
-oA <nombre_base>: Guardar en los tres formatos principales al mismo tiempo
-v: Aumentar el nivel de mensajes detallados (-vv para aumentar el efecto)
-d[nivel]: Fijar o incrementar el nivel de depuración (Tiene sentido hasta 9)
--packet-trace: Mostrar todos los paquetes enviados y recibidos
--iflist: Mostrar interfaces y rutas (para depurar)
--append-output: Agregar, en vez de sobreescribir, a los archivos indicados con -o.
--resume <archivo>: Retomar un análisis abortado/detenido
--stylesheet <ruta/URL>: Convertir la salida XML a HTML según la hoja de estilo
XSL indicada
--webxml: Referenciar a la hoja de estilo de Insecure.Org para tener un XML más portable
--no_stylesheet: No asociar la salida XML con ninguna hoja de estilos XSL MISCELÁNEO:
-6: Habilitar análisis IPv6
-A: Habilita la detección de SO y de versión
--datadir <nombreDir>: Indicar la ubicación de los archivos de datos Nmap
personalizados.
--send-eth/--send-ip: Enviar paquetes utilizando tramas Ethernet o paquetes IP
"crudos"
--privileged: Asumir que el usuario tiene todos los privilegios
-V: Muestra el número de versión
-h: Muestra esta página resumen de la ayuda. EJEMPLOS:
nmap -v -A scanme.nmap.org
nmap -v -sP 192.168.0.0/16 10.0.0.0/8
nmap -v -iR 10000 -P0 -p 80
ESPECIFICACIóN DE OBJETIVOS¶
Todo lo que se escriba en la línea de parámetros de Nmap que no sea una opción se considera una especificación de sistema objetivo. El caso más sencillo es la indicación de sólo una IP, o nombre de sistema, para que sea analizado.
Puede darse la situación en que uno desee analizar una red completa de equipos adyacentes. Nmap soporta el direccionamiento estilo CIDR para estos casos. Puede añadir /numBits a una dirección IP o nombre de sistema para que Nmap sondee toda IP cuyos primeros numBits sean los mismos que los de la dirección IP o nombre de sistema indicado. Por ejemplo, 192.168.10.0/24 analizaría los 256 sistemas que existen entre la dirección 192.168.10.0 (que en binario se representa como 11000000 10101000 00001010 00000000) y la dirección 192.168.10.255 (binario: 11000000 10101000 00001010 11111111), ambas inclusives. De hecho, si usa 192.168.10.40/24 obtendría exactamente el mismo resultado. En el caso del sistema scanme.nmap.org que posee una dirección IP 205.217.153.62, la especificación scanme.nmap.org/16 analizaría las 65.536 direcciones IP entre 205.217.0.0 y 205.217.255.255. La máscara mas pequeña permitida es /1, que analizaría media Internet. La más grande, /32, analizaría únicamente la IP o nombre de sistema indicados porque todos los bits estarían fijos.
La notación CDIR es breve pero no siempre es suficiemente flexible. Por ejemplo, puede querer sondear la red 192.168.0.0/16 pero omitir cualquier IP que termine por .0 o por .255 ya que son habitualmente direcciones de difusión. Es posible hacer esto con Nmap mediante el direccionamiento por octetos. En lugar de especificar una dirección IP normal puede especificar una lista separada por comas de números o rangos para cada octeto. Por ejemplo, si utiliza 192.168.0-255.1-254 se omitirán todas las direcciones del rango que terminen en .0 o .255. Los rangos no tienen por qué estar limitados a los últimos octetos. Por ejemplo, si especifica 0-255.0-255.13.37 se realizará un sondeo en todo Internet de las direcciones IP que terminan en 13.37. Este tipo de muestreo amplio puede ser útil para encuestas en Internet y con fines de investigación.
Sólo puede especificar direcciones IPv6 si utiliza su nombre IPv6 totalmente cualificado o su nombre de sistema. No se soporta el uso de CIDR o rangos de octetos para IPv6 porque raramente son útiles.
Con Nmap puede especificar múltiples sistemas en la línea de órdenes y no tienen por qué ser del mismo tipo. Por ejemplo, la orden nmap scanme.nmap.org 192.168.0.0/16 10.0.0,1,3-7.0-255 hace lo que uno esperaría.
Aunque habitualmente se especifican los objetivos en la línea de órdenes puede utilizar las siguientes opciones para controlar la selección de objetivos:
-iL <archivo_entrada> (Entrada de una lista)
-iR <cant. sistemas> (Elegir objetivos al azar)
--exclude <equipo1[,equipo2][,equipo3],...> (Excluir equipo o redes)
--excludefile <archivo> (Excluir desde una Lista)
DESCUBRIENDO SISTEMAS¶
Uno de los primeros pasos en cualquier misión de reconocimiento de red es el de reducir un (muchas veces enorme) conjunto de rangos de direcciones IP en una lista de equipos activos o interesantes. Analizar cada puerto de cada una de las direcciones IP es lento, y usualmente innecesario. Por supuesto, lo que hace a un sistema interesante depende ampliamente del propósito del análisis. Los administradores de red pueden interesarse sólo en equipos que estén ejecutando un cierto servicio, mientras que los auditores de seguridad pueden interesarse en todos y cada uno de los dispositivos que tengan una dirección IP. Un administrador puede sentirse cómodo con obtener un listado de equipos en su red interna mediante un ping ICMP, mientras que un consultor en seguridad realizando un ataque externo puede llegar a utilizar un conjunto de docenas de sondas en su intento de saltarse las restricciones de los cortafuegos.
Siendo tan diversas las necesidades de descubrimiento de sistemas, Nmap ofrece una gran variedad de opciones para personalizar las técnicas utilizadas. Al descubrimiento de sistemas («Host Discovery») se lo suele llamar sondeo ping, pero va más allá de la simple solicitud ICMP echo-request de los paquetes asociados al querido y nunca bien ponderado ping. Los usuarios pueden evitar el paso de ping utilizando un sondeo de lista (-sL) o deshabilitando el ping (-P0), o enviando combinaciones arbitrarias de sondas TCP SYN/ACK, UDP e ICMP a múltiples puertos de la red remota. El propósito de estas sondas es el de solicitar respuestas que demuestren que una dirección IP se encuentra activa (está siendo utilizada por un equipo o dispositivo de red). En varias redes solo un pequeño porcentaje de direcciones IP se encuentran activos en cierto momento. Esto es particularmente común en las redes basadas en direccionamiento privado RFC1918, como la 10.0.0.0/8. Dicha red tiene más de 16 millones de direcciones IP, pero la he visto siendo utilizada por empresas con menos de mil máquinas. El descubrimiento de sistemas puede encontrar dichas maquinas en un rango tan grande como el indicado.
Si no se proveen opciones de descurbrimiento de sistemas, Nmap envía un paquete TCP ACK al puerto 80 y un ICMP Echo Request a cada máquina objetivo. Una excepción a este comportamiento es cuando se utiliza un análisis ARP, para los objetivos que se encuentren en la red Ethernet local. Para usuarios de shell UNIX que no posean privilegios, un paquete SYN es enviado en vez del ACK, utilizando la llamada al sistema connect(). Estos valores por omisión son el equivalente a las opciones -PA -PE. Este descubrimiento de sistemas es generalmente suficiente cuando se analizan redes locales, pero para auditorías de seguridad se recomienda utilizar un conjunto más completo de sondas de descubrimiento.
Las opciones -P* (que permiten seleccionar los tipos de ping) pueden combinarse. Puede aumentar sus probabilidades de penetrar cortafuegos estrictos enviando muchos tipos de sondas utilizando diferentes puertos o banderas TCP y códigos ICMP. Recuerde que el ARP discovery (-PR) se realiza por omisión contra objetivos de la red Ethernet local incluso si se especifica otra de las opciones -P*, porque es generalmente más rápido y efectivo.
Las siguientes opciones controlan el descubrimiento de sistemas.
-sL (Sondeo de lista)
Ya que la idea es simplemente emitir un listado de los sistemas objetivo, las opciones de mayor nivel de funcionalidad como análisis de puertos, detección de sistema operativo, o análisis ping no pueden combinarse con este sondeo. Si desea deshabilitar el análisis ping aún realizando dicha funcionalidad de mayor nivel, compruebe la documentación de la opción -P0.
-sP (Sondeo ping)
De la misma forma, los administradores de sistemas suelen encontrar valiosa esta opción. Puede ser fácilmente utilizada para contabilizar las máquinas disponibles en una red, o monitorizar servidores. A esto se lo suele llamar barrido ping, y es más fiable que hacer ping a la dirección de broadcast, ya que algunos equipos no responden a ese tipo de consultas.
La opción -sP envía una solicitud de eco ICMP y un paquete TCP al puerto 80 por omisión. Cuando un usuario sin privilegios ejecuta Nmap se envía un paquete SYN (utilizando la llamada connect()) al puerto 80 del objetivo. Cuando un usuario privilegiado intenta analizar objetivos en la red Ethernet local se utilizan solicitudes ARP (-PR) a no ser que se especifique la opción --send-ip.
La opción -sP puede combinarse con cualquiera de las opciones de sondas de descubrimiento (las opciones -P*, excepto -P0) para disponer de mayor flexibilidad. Si se utilizan cualquiera de las opciones de sondas de descubrimiento y número de puerto, se ignoran las sondas por omisión (ACK y solicitud de eco ICMP). Se recomienda utilizar estas técnicas si hay un cortafuegos con un filtrado estricto entre el sistema que ejecuta Nmap y la red objetivo. Si no se hace así pueden llegar a pasarse por alto ciertos equipos, ya que el cortafuegos anularía las sondas o las respuestas a las mismas.
-P0 (No realizar ping)
-PS [lista de puertos] (Ping TCP SYN)
La bandera SYN indica al sistema remoto que quiere establecer una conexión. Normalmente, si el puerto destino está cerrado se recibirá un paquete RST (de «reset»). Si el puerto está abierto entonces el objetivo responderá con el segundo paso del saludo en tres pasos TCP respondiendo con un paquete TCP SYN/ACK. El sistema donde se ejecuta Nmap romperá la conexión que se está estableciendo enviando un paquete RST en lugar de enviar el paquete ACK que completaría el saludo TCP. Nmap no envía este paquete, sino que lo envía el núcleo del sistema donde se ejecuta Nmap respondiendo al paquete SYN/ACK que no esperaba.
A Nmap no le importa si el puerto está abierto o cerrado. Si, tal y como se acaba de describir, llega una respuesta RST ó SYN/ACK entonces Nmap sabrá que el sistema está disponible y responde.
En sistemas UNIX, generalmente sólo el usuario privilegiado root puede enviar paquetes TCP crudos. Los usuarios no privilegiados tienen una forma de evitar esta restricción utilizando la llamada al sistema «connect()» contra el puerto destino. Esto hace que se envíe el paquete SYN al sistema, para establecer la conexión. Si la llamada «connect()» devuelve un resultado de éxito rápidamente o un fallo ECONNREFUSED entonces se puede deducir que la pila TCP que tiene bajo ésta ha recibido un SYN/ACK o un RST y que puede marcar el sistema como disponible. El sistema se puede marcar como no disponible si el intento de conexión se mantiene parado hasta que vence un temporizador. Esta es también la forma en la que se gestiona esto en conexiones IPv6 ya que Nmap aún no puede crear paquetes IPv6 crudos.
-PA [lista de puertos] (Ping TCP ACK)
La opción -PA utiliza el mismo puerto por omisión que la sonda SYN (el puerto 80) y también puede tomar una lista de puertos destino en el mismo formato. Si un usuario sin privilegios intenta hacer esto, o se especifica un objetivo IPv6, se utiliza el procedimiento descrito anteriormente. Aunque en este caso el procedimiento no es perfecto porque la llamada «connect()» enviará un paquete SYN en lugar de un ACK.
Se ofrecen tanto mecanismos de sondeo con ping SYN y ACK para maximizar las posibilidades de atravesar cortafuegos. Muchos administradores configuran los enrutadores y algunos cortafuegos sencillos para que se bloqueen los paquetes SYN salvo para aquellos destinados a los servicios públicos, como pudieran ser el servidor web o el servidor de correo de la organización. Esto evita que se realicen otras conexiones entrantes al mismo tiempo que permite a los usuarios realizar conexiones salientes a Internet. Este acercamiento de filtrado sin estados toma pocos recursos de los cortafuegos/enrutadores y está ampliamente soportado por filtros hardware y software. El programa de cortafuegos Netfilter/iptables de Linux ofrece la opción --syn para implementar este acercamiento sin estados. Cuando se han implementado reglas de filtrado como éstas es posible que se bloqueen las sondas ping SYN (-PS) cuando éstas se envíen a un puerto cerrado. Sin embargo, en estos casos, las sondas ACK podrían saltarse las reglas y llegar a su destino.
Otros tipos de cortafuegos comunes utilizan reglas con estados que descartan paquetes no esperados. Esta funcionalidad se encontraba antes fundamentalmente en los cortafuegos de gama alta pero se ha hecho cada vez más común. El sistema Netfilter/iptables de Linux soporta esta posibilidad a través de la opción --state, que hace categorías de paquetes en base a su estado de conexión. En estos sistemas es más probable que funcione una sonda SYN, dado que los paquetes ACK no esperados se reconocen como falsos y se descartan. Una solución a este dilema es enviar sondas SYN y ACK especificando tanto la opción -PS como -PA.
-PU [lista de puertos] (Ping UDP)
La sonda UDP debería generar un paquete ICMP de puerto no alcanzable si da contra un puerto cerrado en el equipo objetivo. Si llega éste entonces Nmap puede identificar ese sistema como vivo y alcanzable. Otros errores ICMP, como el de sistema o red inalcanzables o TTL excedido indican un sistema que está muerto o que no es alcanzable. Si no llega ninguna respuesta también se entiende que el sistema no está disponible. Si se alcanza un puerto abierto la mayoría de los servicios simplemente descartarán el paquete vacío y no devolverán ninguna respuesta. Ésta es la razón por la que se utiliza el puerto por omisión 31338 ya que es poco probable que esté utilizándose. Algunos servicios, como chargen, responderán con un paquete UDP vacío lo que ayuda a Nmap a determinar que el sistema está disponible.
La principal ventaja de este tipo de sondeos es que atraviesan cortafuegos y filtros que sólo analizan TCP. Yo, por ejemplo, una vez fui propietario de un encaminador de banda ancha inalámbrico BEFW11S4. El interfaz externo de este dispositivo filtraba por omisión todos los puertos TCP, pero las sondas UDP podían generar mensajes de puerto no alcanzable y permitían detectar al dispositivo.
-PE; -PP; -PM (Tipos de ping ICMP)
Nmap no hace sólo ésto, aunque la solicitud eco es la consulta estándar de ping ICMP. El estándar ICMP (RFC 792[5]) también específica solicitudes de huellas de tiempo, de información y de máscara de red, que corresponden con los códigos 13, 15 y 17 respectivamente. Aunque el objetivo de estas solicitudes es obtener la máscara de red o fecha actual de un sistema también pueden utilizarse para descubrir sistemas. Un sistema que responde es por que está vivo y disponible. Nmap no implementa los paquetes de solicitud de información en sí, ya que no están muy soportados. El estándar RFC 1122 insiste en que “un equipo NO DEBE implementar estos mensajes”. Las consultas de huella de tiempo y máscara de red se pueden enviar con las opciones -PP y -PM, respectivamente. Si se recibe una respuesta de huella de tiempo (código ICMP 14) o de máscara de red (código 18) entonces es que el sistema está disponible. Estas dos consultas pueden ser útiles cuando los administradores bloquean los paquetes de consulta eco explícitamente pero se olvidan de que se pueden utilizar otras consultas ICMP con el mismo fin.
-PR (Ping ARP)
El sondeo ARP hace que sea Nmap y su algoritmo optimizado el que se encargue de las solicitudes ARP. Si recibe una respuesta, no se tiene ni que preocupar de los paquetes basados en IP dado que ya sabe que el sistema está vivo. Esto hace que el sondeo ARP sea mucho más rápido y fiable que los sondeos basados en IP. Por ello se utiliza por omisión cuando se analizan sistemas Ethernet si Nmap detecta que están en la red local. Nmap utiliza ARP para objetivos en la misma red local aún cuando se utilicen distintos tipos de ping (como -PE o -PS). Si no quiere hacer un sondeo ARP tiene que especificar la opción --send-ip.
-n (No realizar resolución de nombres)
-R (Realizar resolución de nombres con todos los objetivos)
--system-dns (Utilizar resolución DNS del sistema)
--dns-servers <servidor1[,servidor2],...> (Servidores a utilizar para las consultas DNS)
INTRODUCCIóN AL ANáLISIS DE PUERTOS¶
Nmap comenzó como un analizador de puertos eficiente, aunque ha aumentado su funcionalidad a través de los años, aquella sigue siendo su función primaria. La sencilla orden nmap objetivo analiza más de 1660 puertos TCP del equipo objetivo. Aunque muchos analizadores de puertos han agrupado tradicionalmente los puertos en dos estados: abierto o cerrado, Nmap es mucho más descriptivo. Se dividen a los puertos en seis estados distintos: abierto, cerrado, filtrado, no filtrado, abierto|filtrado, o cerrado|filtrado.
Estos estados no son propiedades intrínsecas del puerto en sí, pero describen como los ve Nmap. Por ejemplo, un análisis con Nmap desde la misma red en la que se encuentra el objetivo puede mostrar el puerto 135/tcp como abierto, mientras que un análisis realizado al mismo tiempo y con las mismas opciones, pero desde Internet, puede presentarlo como filtrado.
Los seis estados de un puerto, según Nmap
abierto
cerrado
filtrado
no filtrado
abierto|filtrado
cerrado|filtrado
TéCNICAS DE SONDEO DE PUERTOS¶
Cuando intento realizar un arreglo de mi coche, siendo novato, puedo pasarme horas intentando utilizar mis herramientas rudimentarias (martillo, cinta aislante, llave inglesa, etc.). Cuando fallo miserablemente y llevo mi coche antiguo en grúa al taller a un mecánico de verdad siempre pasa lo mismo: busca en su gran cajón de herramientas hasta que saca una herramienta que hace que la tarea se haga sin esfuerzo. El arte de sondear puertos es parecido. Los expertos conocen docenas de técnicas de sondeo y eligen la más apropiada (o una combinación de éstas) para la tarea que están realizando. Los usuarios sin experiencia y los "script kiddies", sin embargo, intentan resolver cada problema con el sondeo SYN por omisión. Dado que Nmap es libre, la única barrera que existe para ser un experto en el sondeo de puertos es el conocimiento. Esto es mucho mejor que el mundo del automóvil, donde puedes llegar a saber que necesitas un compresor de tuerca, pero tendrás que pagar mil dolares por él.
La mayoría de los distintos tipos de sondeo disponibles sólo los puede llevar a cabo un usuario privilegiado. Esto es debido a que envían y reciben paquetes en crudo, lo que hace necesario tener acceso como administrador (root) en la mayoría de los sistemas UNIX. En los entornos Windows es recomendable utilizar una cuenta de administrador, aunque Nmap algunas veces funciona para usuarios no privilegiados en aquellas plataformas donde ya se haya instalado WinPcap. La necesidad de privilegios como usuario administrador era una limitación importante cuando se empezó a distribuir Nmap en 1997, ya que muchos usuarios sólo tenían acceso a cuentas compartidas en sistemas como usuarios normales. Ahora, las cosas son muy distintas. Los ordenadores son más baratos, hay más personas que tienen acceso permanente a Internet, y los sistemas UNIX (incluyendo Linux y MAC OS X) son más comunes. También se dispone de una versión para Windows de Nmap, lo que permite que se ejecute en más escritorios. Por todas estas razones, cada vez es menos necesario ejecutar Nmap utilizando cuentas de sistema compartidas. Esto es bueno, porque las opciones que requieren de más privilegios hacen que Nmap sea más potente y flexible.
Aunque Nmap intenta generar resultados precisos, hay que tener en cuenta que estos resultados se basan en los paquetes que devuelve el sistema objetivo (o los cortafuegos que están delante de éstos). Estos sistemas pueden no ser fiables y envíar respuestas cuyo objetivo sea confundir a Nmap. Son aún más comunes los sistemas que no cumplen con los estándares RFC, que no responden como deberían a las sondas de Nmap. Son especialmente susceptibles a este problema los sondeos FIN, Null y Xmas. Hay algunos problemas específicos a algunos tipos de sondeos que se discuten en las entradas dedicadas a sondeos concretos.
Esta sección documenta las aproximadamente doce técnicas de sondeos de puertos que soporta Nmap. Sólo puede utilizarse un método en un momento concreto, salvo por el sondeo UDP (-sU) que puede combinarse con cualquiera de los sondeos TCP. Para que sea fácil de recordar, las opciones de los sondeos de puertos son del estilo -sC, donde C es una letra característica del nombre del sondeo, habitualmente la primera. La única excepción a esta regla es la opción obsoleta de sondeo FTP rebotado (-b). Nmap hace un sondeo SYN por omisión, aunque lo cambia a un sondeo Connect() si el usuario no tiene los suficientes privilegios para enviar paquetes en crudo (requiere acceso de administrador en UNIX) o si se especificaron objetivos IPv6. De los sondeos que se listan en esta sección los usuarios sin privilegios sólo pueden ejecutar los sondeos Connect() o de rebote FTP.
-sS (sondeo TCP SYN)
A esta técnica se la conoce habitualmente como sondeo medio abierto, porque no se llega a abrir una conexión TCP completa. Se envía un paquete SYN, como si se fuera a abrir una conexión real y después se espera una respuesta. Si se recibe un paquete SYN/ACK esto indica que el puerto está en escucha (abierto), mientras que si se recibe un RST (reset) indica que no hay nada escuchando en el puerto. Si no se recibe ninguna respuesta después de realizar algunas retransmisiones entonces el puerto se marca como filtrado. También se marca el puerto como filtrado si se recibe un error de tipo ICMP no alcanzable (tipo 3, códigos 1,2, 3, 9, 10, ó 13).
-sT (sondeo TCP connect())
Generalmente es mejor utilizar un sondeo SYN, si éste está disponible. Nmap tiene menos control sobre la llamada de alto nivel Connect() que cuando utiliza paquetes en crudo, lo que hace que sea menos eficiente. La llamada al sistema completa las conexiones para abrir los puertos objetivo, en lugar de realizar el reseteo de la conexión medio abierta como hace el sondeo SYN. Esto significa que se tarda más tiempo y son necesarios más paquetes para obtener la información, pero también significa que los sistemas objetivos van a registrar probablemente la conexión. Un IDS decente detectará cualquiera de los dos, pero la mayoría de los equipos no tienen este tipo de sistemas de alarma. Sin embargo, muchos servicios de los sistemas UNIX habituales añadirán una nota en el syslog, y algunas veces con un mensaje de error extraño, dado que Nmap realiza la conexión y luego la cierra sin enviar ningún dato. Los servicios realmente patéticos morirán cuando ésto pasa, aunque esto no es habitual. Un administrador que vea muchos intentos de conexión en sus registros que provengan de un único sistema debería saber que ha sido sondeado con este método.
-sU (sondeos UDP)
El sondeo UDP se activa con la opción -sU. Puede combinarse con un tipo de sondeo TCP como el sondeo SYN (-sS) para comprobar ambos protocolos al mismo tiempo.
Los sondeos UDP funcionan mediante el envío (sin datos) de una cabecera UDP para cada puerto objetivo. Si se obtiene un error ICMP que indica que el puerto no es alcanzable (tipo 3, código 3) entonces se marca el puerto como cerrado. Si se recibe cualquier error ICMP no alcanzable (tipo 3, códigos 1, 2, 9, 10, o 13) se marca el puerto como filtrado. En algunas ocasiones se recibirá una respuesta al paquete UDP, lo que prueba que el puerto está abierto. Si no se ha recibido ninguna respuesta después de algunas retransmisiones entonces se clasifica el puerto como abierto|filtrado. Esto significa que el puerto podría estar abierto o que hay un filtro de paquetes bloqueando la comunicación. Puede utilizarse el sondeo de versión (-sV) para diferenciar de verdad los puertos abiertos de los filtrados.
Uno de las grandes problemas con el sondeo UDP es hacerlo rápidamente. Pocas veces llega una respuesta de un puerto abierto o filtrado, lo que obliga a expirar a Nmap y luego a retransmitir los paquetes en caso de que la sonda o la respuesta se perdieron. Los puertos cerrados son aún más comunes y son un problema mayor. Generalmente envían un error ICMP de puerto no alcanzable. Pero, a diferencia de los paquetes RST que envían los puertos TCP cerrados cuando responden a un sondeo SYN o Connect, muchos sistemas imponen una tasa máxima de mensajes ICMP de puerto inalcanzable por omisión. Linux y Solaris son muy estrictos con esto. Por ejemplo, el núcleo de Linux versión 2.4.20 limita la tasa de envío de mensajes de destino no alcanzable a uno por segundo (en net/ipv4/icmp.c).
Nmap detecta las limitaciones de tasa y se ralentiza para no inundar la red con paquetes inútiles que el equipo destino acabará descartando. Desafortunadamente, un límite como el que hace el núcleo de Linux de un paquete por segundo hace que un sondeo de 65536 puertos tarde más de 18 horas. Puede acelerar sus sondeos UDP incluyendo más de un sistema para sondearlos en paralelo, haciendo un sondeo rápido inicial de los puertos más comunes, sondeando detrás de un cortafuegos, o utilizando la opción --host-timeout para omitir los sistemas que respondan con lentitud.
-sN; -sF; -sX (sondeos TCP Null, FIN, y Xmas)
Cuando se sondean sistemas que cumplen con el texto de esta RFC, cualquier paquete que no contenga los bits SYN, RST, o ACK resultará en el envío de un RST si el puerto está cerrado. Mientras que no se enviará una respuesta si el puerto está cerrado. Siempre y cuando se incluyan esos tres bits es válida la combinación de cualquiera de los otros tres (FIN, PSH, y URG). Nmap aprovecha esto con tres tipos de sondeo:
Sondeo Null(-sN)
sondeo FIN (-sF)
sondeo Xmas (-sX)
Estos tres tipos de sondeos son exactamente los mismos en comportamiento salvo por las banderas TCP que se fijen en los paquetes sonda. Si se recibe un paquete RST entonces se considera que el puerto está cerrado. Si no se recibe ninguna respuesta el puerto se marca como cerrado|filtrado. El puerto se marca filtrado si se recibe un error ICMP no alcanzable (tipo 3, código 1, 2, 3, 9, 10, o 13).
La ventaja fundamental de este tipo de sondeos es que pueden atravesar algunos cortafuegos que no hagan inspección de estados o encaminadores que hagan filtrado de paquetes. Otra ventaja es que este tipo de sondeos son algo más sigilosos que, incluso, un sondeo SYN. Sin embargo, no cuente con que pase siempre esto ya que la mayoría de los productos IDS pueden configurarse para detectarlos. El problema es que no todos los sistemas siguen el estándar RFC 793 al pie de la letra. Algunos sistemas envían respuestas RST a las sondas independientemente de si el puerto está o no cerrado. Esto hace que la mayoría de los puertos se marquen como cerrados. Algunos sistemas operativos muy utilizados que hacen ésto son Microsoft Windows, muchos dispositivos Cisco, BSDI, e IBM OS/400. Este sondeo no funciona contra sistemas basados en UNIX. Otro problema de estos sondeos es que no se puede distinguir los puertos abiertos de algunos puertos filtrados, lo que resulta en la respuesta abierto|filtrado.
-sA (sondeo TCP ACK)
La sonda de un sondeo ACK sólo tiene fijada la bandera ACK (a menos que utilice --scanflags). Cuando se sondean sistemas no filtrados los puertos abiertos y cerrados devolverán un paquete RST. Nmap marca el puerto como no filtrado, lo que significa que son alcanzables por el paquete ACK, pero no se puede determinar si están abiertos o cerrados. Los puertos que no responden o que envían mensajes de error ICMP en respuesta (tipo 3, código 1, 2, 3, 9, 10, o 13), se marcan como filtrados.
-sW (sondeo de ventana TCP)
Este sondeo depende de un detalle de implementación de una minoría de sistemas q que existen en Internet, así que no es siempre fiable. Los sistemas que no hacen ésto habitualmente harán que se muestren los puertos como cerrados. Por supuesto, es posible que el sistema no tenga ningún puerto abierto. Si la mayoría de los puertos están cerrados pero alguno de los números de puertos comunes (como pueda ser el 22, 25 ó 53) están filtrados, entonces el sistema es posible que sea susceptible a ésto. Algunas veces hay sistemas que mostrarán el comportamiento justo contrario. Si su sondeo muestra 1000 puertos abiertos y 3 puertos cerrados o filtrados entonces es posible que sean estos últimos los que están abiertos en realidad.
-sM (sondeo TCP Maimon)
--scanflags (Sondeo TCP a medida)
La opción --scanflags puede ser un valor numérico como el 9 (PSH y FIN), aunque es más sencillo utilizar nombres simbólicos. Sólo tienes que juntar una combinación de URG, ACK, PSH, RST, SYN, y FIN. Por ejemplo, la configuración --scanflags URGACKPSHRSTSYNFIN fija todas las banderas, aunque no es muy útil para sondear. No importa el orden en que se especifiquen los nombres.
Además de poder especificar las banderas que desee se puede especificar el tipo de sondeo TCP (como -sA o -sF). Ésto le dice a Nmap cómo debe interpretar las respuestas. Por ejemplo, un sondeo SYN considera que si no se recibe respuesta el puerto está filtrado mientras que si no se recibe una respuesta en un sondeo FIN se trata como abierto|filtrado. Nmap se comportará igual que para el sondeo tipo base, con la diferencia de que utilizará las banderas TCP que usted especifique. Se utiliza el sondeo SYN si no se especifica ningún tipo base.
-sI <sistema zombi [:puerto_sonda]> (Sondeo ocioso)
Además de ser extraordinariamente sigiloso (debido a su funcionamiento a ciegas), este tipo de sondeo permite determinar las relaciones basadas en IP entre distintos sistemas. El listado de puertos muestra los puertos abiertos desde la perspectiva del sistema zombi. Así que puede analizar el mismo objetivo con zombis distintos que cree que podrían ser de confianza para éste (a través de las reglas de filtrados de los paquetes o reglas de filtrados de encaminadores).
Puede añadir un número de puerto separado por dos puntos del sistema zombi si desea analizar un puerto específico del zombi para consultar los cambios IPID. Si no lo hace Nmap utilizará el puerto que utiliza para pings TCP por omisión (el puerto 80).
-sO (sondeo de protocolo IP)
El sondeo de protocolos, además de ser útil en sí mismo, demuestra el poder del software de fuentes abiertas («opensource», N. del T.). Aunque la idea fundamental era bastante sencilla, no había pensado añadirla ni tampoco había habido personas que solicitaran esta funcionalidad. Entonces, en el verano de 2000, se le ocurrió la idea a Gerhard Rieger y la implementó escribiendo un parche excelente, enviándolo posteriormente a la lista de correo de nmap-hackers. Incorporé ese parche en el árbol de código de Nmap y publiqué una nueva versión ese mismo día. ¡Pocas piezas de programas comerciales tienen usuarios tan entusiastas que diseñan y contribuyen sus propias mejoras!
El sondeo de protocolos utiliza mecanismos parecidos al sondeo UDP. Envía cabeceras de paquetes IP iterando por el campo de 8 bits que indica el protocolo IP, en lugar de iterar por el campo de número de puerto de un paquete UDP. Las cabeceras generalmente están vacías y no contienen datos. De hecho, ni siquiera tienen una cabecera apropiada para el protocolo que se indica. Las tres excepciones son TCP, UDP e ICMP. Se incluye una cabecera de protocolo válida para éstos porque algunos sistemas no los enviarán sin ellas y porque Nmap ya tiene funciones para crearlas. El sondeo de protocolos espera la recepción de mensajes de ICMP protocolo no alcanzable en lugar de mensajes ICMP puerto no alcanzable. Nmap marca el protocolo como abierto si recibe una respuesta en cualquier protocolo del sistema objetivo. Se marca como cerrado si se recibe un error ICMP de protocolo no alcanzable (tipo 3, código 2). Si se reciben otros errores ICMP no alcanzable (tipo 3, códigos 1, 3, 9, 10, o 13) se marca el protocolo como filtrado (aunque al mismo tiempo indican que el protocolo ICMP está abierto). El protocolo se marca como abierto|filtrado si no se recibe ninguna respuesta después de las retransmisiones.
-b <sistema de rebote ftp> (sondeo de rebote FTP)
Esta vulnerabilidad era muy habitual en 1997, el año que se publicó Nmap, pero ya ha sido arreglada en muchos sitios. Aún siguen existiendo servidores vulnerables así que merece la pena probar este sondeo si lo demás falla. Si su objetivo es atravesar un cortafuegos, analice la red objetivo en busca del puerto 21 (o incluso cualquier servicio FTP, si sondea todos los puertos y activa la detección de versiones). Después intente un sondeo de rebote utilizando cada uno. Nmap le indicará si el sistema es o no vulnerable. Si está intentado ocultar sus huellas no tiene que (y de hecho no debería) limitarse a servidores en la red objetivo. En cualquier caso, antes de empezar a sondear Internet al azar para buscar servidores de FTP vulnerables, tenga en cuenta que pocos administradores de sistemas apreciarán el que abuse de sus servidores de esta forma.
ESPECIFICACIóN DE PUERTOS Y ORDEN DE SONDEO¶
Nmap ofrece distintas opciones para especificar los puertos que se van a sondear y si el orden de los sondeos es aleatorio o secuencial. Estas opciones se añaden a los métodos de sondeos que se han discutido previamente. Nmap, por omisión, sondea todos los puertos hasta el 1024 además de algunos puertos con números altos listados en el fichero nmap-services para los protocolos que se sondeen.
-p <rango de puertos> (Sólo sondea unos puertos específicos)
Puede especificar un protocolo específico cuando sondee puertos TCP y UDP si precede el número de puerto con T: o U:. El calificador dura hasta que especifique otro calificador. Por ejemplo, la opción -p U:53,111,137,T:21-25,80,139,8080 sondearía los puertos UDP 53,111, y 137, así como los puertos TCP listados. Tenga en cuenta que para sondear tanto UDP como TCP deberá especificar la opción -sU y al menos un tipo de sondeo TCP (como -sS, -sF, o -sT). Si no se da un calificador de protocolo se añadirán los números de puerto a las listas de todos los protocolos.
-F (Sondeo rápido (puertos limitados))
-r (No aleatorizar los puertos)
DETECCIóN DE SERVICIOS Y DE VERSIONES¶
Si le indica a Nmap que mire un sistema remoto le podrá decir que tiene abiertos los puertos 25/tcp, 80/tcp y 53/udp. Informará que esos puertos se corresponden habitualmente con un servidor de correo (SMTP), servidor de web (HTTP) o servidor de nombres (DNS), respectivamente, si utilizas su base de datos nmap-services con más de 2.200 puertos conocidos. Generalmente este informe es correo dado que la gran mayoría de demonios que escuchan en el puerto 25 TCP son, en realidad, servidores de correo. ¡Pero no debe confiar su seguridad en este hecho! La gente ejecuta a veces servicios distintos en puertos inesperados
Aún en el caso de que Nmap tenga razón y el servidor de ejemplo indicado arriba está ejecutando servidores de SMTP, HTTP y DNS ésto no dice mucho. Cuando haga un análisis de vulnerabilidades (o tan sólo un inventario de red) en su propia empresa o en su cliente lo que habitualmente también quiere saber es qué versión se está utilizando del servidor de correcto y de DNS. Puede ayudar mucho a la hora de determinar qué ataques pueden afectar a un servidor el saber el número de versión exacto de éste. La detección de versiones le ayuda a obtener esta información.
La detección de versiones pregunta para obtener más información de lo que realmente se está ejecutando una vez se han detectado los puertos TCP y/o UDP con alguno de los métodos de sondeo. La base de datos nmap-service-probes contiene sondas para consultar distintos servicios y reconocer y tratar distintas respuestas en base a una serie de expresiones. Nmap intenta determinar el protocolo del servicio (p. ej. ftp, ssh, telnet ó http), el nombre de la aplicación (p. ej. Bind de ISC, http de Apache, telnetd de Solaris), un número de versión, un tipo de dispositivo (p. ej. impresora o router), la familia de sistema operativo (p. ej. Windows o Linux) y algunas veces algunos detalles misceláneos como, por ejemplo, si un servidor X acepta cualquier conexión externa, la versión de protocolo SSH o el nombre de usuario Kazaa). Por supuesto, la mayoría de los servicios no ofrecen toda esta información. Si se ha compilado Nmap con soporte OpenSSL se conectará también a servidores SSL para determinar qué servicio escucha detrás de la capa de cifrado. Se utiliza la herramienta de pruebas RPC de Nmap (-sR) de forma automática para determinar el programa RPC y el número de versión si se descubren servicios RPC. Algunos puertos UDP se quedan en estado open|filtered (N. del T., 'abierto|filtrado') si un barrido de puertos UDP no puede determinar si el puerto está abierto o filtrado. La detección de versiones intentará obtener una respuesta de estos puertos (igual que hace con puertos abiertos) y cambiará el estado a abierto si lo consigue. Los puertos TCP en estado open|filtered se tratan de forma similar. Tenga en cuenta que la opción -A de Nmap actualiza la detección de versiones entre otras cosas. Puede encontrar un documento describiendo el funcionamiento, modo de uso, y particularización de la detección de versiones en http://www.insecure.org/nmap/vscan/.
Cuando Nmap obtiene una respuesta de un servicio pero no encuentra una definición coincidente en la base de datos se imprimirá una firma especial y un URL para que la envíe si sabe lo que está ejecutándose detrás de ese puerto. Por favor, tómese unos minutos para enviar esta información para ayudar a todo el mundo. Gracias a estos envíos Nmap tiene ahora alrededor de 3.000 patrones para más de 350 protocolos distintos como smtp, ftp, http, etc.
La detección de versiones se activa y controla con la siguientes opciones:
-sV (Detección de versiones)
--allports (No excluir ningún puerto de la detección de versiones)
--version-intensity <intensidad> (Fijar la intensidad de la detección de versiones)
--version-light (Activar modo ligero)
--version-all (Utilizar todas las sondas)
--version-trace (Trazar actividad de sondeo de versiones)
-sR (Sondeo RPC)
DETECCIóN DE SISTEMA OPERATIVO¶
Uno de los aspectos más conocidos de Nmap es la detección del sistema operativo (SO) en base a la comprobación de huellas TCP/IP. Nmap envía una serie de paquetes TCP y UDP al sistema remoto y analiza prácticamente todos los bits de las respuestas. Nmap compara los resultados de una docena de pruebas como puedan ser el análisis de ISN de TCP, el soporte de opciones TCP y su orden, el análisis de IPID y las comprobaciones de tamaño inicial de ventana, con su base de datos nmap-os-fingerprints. Esta base de datos consta de más de 1500 huellas de sistema operativo y cuando existe una coincidencia se presentan los detalles del sistema operativo. Cada huella contiene una descripción en texto libre del sistema operativo, una clasificación que indica el nombre del proveedor (por ejemplo, Sun), el sistema operativo subyacente (por ejemplo, Solaris), la versión del SO (por ejemplo, 10) y el tipo de dispositivo (propósito general, encaminador, conmutador, consola de videojuegos, etc.).
Nmap le indicará una URL donde puede enviar las huellas si conoce (con seguridad) el sistema operativo que utiliza el equipo si no puede adivinar el sistema operativo de éste y las condiciones son óptimas (encontró al menos un puerto abierto y otro cerrado). Si envía esta información contribuirá al conjunto de sistemas operativos que Nmap conoce y la herramienta será así más exacta para todo el mundo.
La detección de sistema operativo activa, en cualquier caso, una serie de pruebas que hacen uso de la información que ésta recoge. Una de estas pruebas es la medición de tiempo de actividad, que utiliza la opción de marca de tiempo TCP (RFC 1323) para adivinar cuánto hace que un equipo fue reiniciado. Esta prueba sólo funciona en sistemas que ofrecen esta información. Otra prueba que se realiza es la clasificación de predicción de número de secuencia TCP. Esta prueba mide de forma aproximada cuánto de difícil es crear una conexión TCP falsa contra el sistema remoto. Se utiliza cuando se quiere hacer uso de relaciones de confianza basadas en la dirección IP origen (como es el caso de rlogin, filtros de cortafuegos, etc.) para ocultar la fuente de un ataque. Ya no se hace habitualmente este tipo de malversación pero aún existen muchos equipos que son vulnerables a ésta. Generalmente es mejor utilizar la clasificación en inglés como: “worthy challenge” («desafío difícil», N. del T.) o “trivial joke” («broma fácil», N. del T.). Esta información sólo se ofrece en la salida normal en el modo detallado (-v). También se informa de la generación de números de secuencia IPID cuando se activa el modo detallado conjuntamente con la opción -O. La mayoría de los equipos estarán en la clase “incremental”, lo que significa que incrementan el campo ID en la cabecera IP para cada paquete que envían. Esto hace que sean vulnerables a algunos ataques avanzados de obtención de información y de falseo de dirección.
Puede encontrar un trabajo traducido a una docena de idiomas que detalla el modo de funcionamiento, utilización y ajuste de la detección de versiones en http://www.insecure.org/nmap/osdetect/.
La detección de sistema operativo se activa y controla con las siguientes opciones:
-O (Activa la detección de sistema operativo)
--osscan-limit (Limitar la detección de sistema operativo a los objetivos prometedores)
--osscan-guess; --fuzzy (Aproximar los resultados de la detección de sistema operativo)
CONTROL DE TIEMPO Y RENDIMIENTO¶
Una de las prioridades durante el desarrollo de Nmap ha sido siempre el rendimiento. Un sondeo por omisión (nmap nombre_de_sistema) de cualquier sistema en una red local tarda un quinto de segundo. Esto es menos que el tiempo que uno tarda en parpadear, pero se va sumando al tiempo que se tarda cuando se realiza un sondeo sobre decenas o centenares o miles de equipos. Además, ciertas opciones de sondeo como puedan ser el sondeo UDP y la detección de versiones pueden incrementar los tiempos de sondeos de forma sustancial. También puede afectar a este tiempo algunas configuraciones de sistemas cortafuegos, especialmente cuando implementan limitaciones a la tasa de respuestas. Aunque Nmap trabaja en paralelo y tiene muchos algoritmos avanzados para acelerar estos sondeos, el usuario tiene el control en última instancia de cómo funciona éste. Los usuarios con experiencia pueden definir las órdenes a Nmap cuidadosamente para obtener sólo la información que necesitan mientras que, al mismo tiempo, cumplen las limitaciones de tiempo que tengan.
Algunas técnicas que pueden ayudar a mejorar los tiempos de sondeo son el limitar el número de pruebas que no sean críticas y actualizar a la última versión de Nmap (se hacen mejoras de rendimiento con cierta frecuencia). La optimización de los parámetros de control de tiempo pueden introducir también diferencias significativas. Las opciones aplicables se detallan a continuación.
Algunas opciones aceptan un parámetro tiempo. Este valor se especifica, por omisión, en milisegundos, aunque puede seguirlo de ‘s’, ‘m’, o ‘h’ para indicar segundos, minutos, u horas. Por tanto, el valor 900000, 900s, y 15m hacen exáctamente lo mismo al aplicarse a la opción --host-timeout.
--min-hostgroup <numsists>; --max-hostgroup <numsists> (Ajustar el tamaño del grupo para los sondeos paralelos)
Nmap tiene una implementación de compromiso por omisión para resolver este conflicto. Empieza los sondeos con un tamaño de grupo inferior a cinco para que los primeros resultados se obtengan con rapidez y después se incrementa el tamaño de grupo hasta, como mucho, 1024. El número exacto por omisión depende de las opciones dadas en la ejecución. Nmap utiliza grupos más grandes para los sondeos UDP y para aquellos sondeos TCP con pocos puertos por razones de eficiencia.
Nmap nunca excede el tamaño indicado cuando éste se especifica con --max-hostgroup. Si se indica un valor mínimo en --min-hostgroup Nmap intentará mantener el tamaño de los grupos por encima de ese nivel. Nmap puede tener que utilizar grupos más pequeños si no hay suficientes sistemas objetivo en una interfaz dada para cumplir el mínimo especificado. Se pueden especificar ambos valores para mantener el tamaño de grupo dentro de un rango específico, aunque ésto es poco habitual.
El uso principal de esta opción es el de especificar el tamaño de grupo mínimo para que los sondeos se ejecuten más rápidamente. 256 es un valor habitual para sondear la red en trozos del tamaño de una clase C. Si se trata de un sondeo con muchos puertos no sirve de mucho incrementar ese número. Si los sondeos son de pocos puertos puede ayudar utilizar un tamaño de grupo de 2048 o más elementos.
--min-parallelism <numsondas>; --max-parallelism <numsondas> (Ajustar el número de sondas enviadas en paralelo)
Lo más habitual es fijar el valor --min-parallelism a un número mayor que uno para que los sondeos contra sistemas o redes poco eficientes sean rápidos. Esta es una opción que tiene sus riesgos, ya que si se define un valor demasiado elevado se puede reducir la precisión del sondeo. Si se fija también se impide a Nmap controlar el paralelismo de forma dinámica basándose en las condiciones de la red. Un valor razonable puede ser diez, aunque sólo debe ajustarse como último recurso.
A veces se fija la opción --max-parallelism a uno para evitar que Nmap envíe más de una sonda a la vez a los sistemas. Esto puede ser útil conjuntamente con --scan-delay (del que se habla más adelante), aunque habitualmente es suficiente con utilizar este último por sí sólo.
--min-rtt-timeout <tiempo>, --max-rtt-timeout <tiempo>, --initial-rtt-timeout <tiempo> (Ajustar expiración de sondas)
Se pueden recortar los tiempos de análisis de forma apreciable si se especifican valores para --max-rtt-timeout y --initial-rtt-timeout por debajo de los de por omisión. Esto es especialmente verdadero en sondeos en los que no se envían paquetes ICMP (-P0) y en aquellos realizados en redes con mucho filtrado. Sin embargo, no se debería establecer a valores muy agresivos. El sondeo puede acabar tardando más de lo esperado si se especifica un valor bajo que hace que las sondas expiren y se retransmitan mientras está llegando la respuesta.
En el caso de que todos los sistemas estén en una red local al equipo que sondea, un valor razonablemente agresivo para --max-rtt-timeout es 100 milisegundos. Si se está rutando, primero envíe un ping a un equipo en la red con la herramienta ICMP ping, o con una herramienta para construir paquetes a medida como hping2 dado que es más probable que atraviese cualquier cortafuegos. Consulte el tiempo máximo de la ronda (tiempo entre solicitud y respuesta) después de haber enviado unos diez paquetes. Una vez obtenido ese valor puede utilizarlo el doble de éste para --initial-rtt-timeout y triplicarlo o cuadruplicarlo para --max-rtt-timeout. Yo no configuro habitualmente el valor máximo rtt por debajo de 100ms, independientemente del valor que den los ping. Ni tampoco lo pongo por encima de 1000ms.
La opción --min-rtt-timeout se utiliza rara vez, aunque puede ser útil cuando la red es tan poco fiable que incluso los valores por omisión son demasiado agresivos. Dado que Nmap sólo reduce el tiempo al mínimo cuando la red parece fiable este valor es poco habitual y debería reportarse como una errata en la lista de correo nmap-dev.
--max-retries <reintentos> (Especifica el número máximo de sondas de puertos que se retransmiten)
El valor por omisión (cuando no hay una plantilla -T) es permitir las retransmisiones. Nmap generalmente sólo hará una retransmisión si la red parece fiable y el sistema objetivo no tiene una limitación de tasa de tráfico. Es por esto por lo que la mayoría de los sondeos no se verán afectados si reduce el valor de --max-retries a un valor pequeño, como pudiera ser tres. Estos valores pueden hacer que los sondeos a equipos lentos (limitados en tasa) sean más rápidos. Puede que pierda información cuando Nmap dé por finalizado el análisis de un puerto antes de tiempo, aunque eso puede ser mejor que hacer que la expire el --host-timeout y se pierda toda la información del objetivo.
--host-timeout <tiempo> (Abandona equipos objetivo lentos)
--scan-delay <tiempo>; --max-scan-delay <tiempo> (Ajusta la demora entre sondas)
El sondeo se ralentiza de forma drástica cuando Nmap incrementa el valor del tiempo de espera para poder tratar las limitaciones de tasa. Puede utilizar la opción --max_scan-delay para indicar el tiempo máximo de espera que permitirá Nmap. Si especifica un valor muy pequeño tendrá retransmisiones inútiles de paquetes y posiblemente no detecte puertos para los que el objetivo implemente tasas de tráfico estrictas.
También se puede usar --scan-delay para evitar sistemas de detección y prevención de intrusos (IDS/IPS) basados en umbrales.
-T <Paranoid|Sneaky|Polite|Normal|Aggressive|Insane> (Fija una plantilla de tiempos)
Estas plantillas permiten que el usuario especifique cuan agresivo quiere ser, al mismo tiempo que deja que sea Nmap el que escoja los valores exactos de tiempos. Las plantillas hacen también algunos ajustes menores de velocidad para los cuales no existe aún una opción de control de grano fino. Por ejemplo, -T4 prohíbe que la expiración en sondeos dinámicos exceda los 10ms para puertos TCP y -T5 limita ese valor a 5 milisegundos. Las plantillas pueden utilizarse combinadas con controles de grano fino, siempre que se especifique primero la plantilla. Si no lo hace así los valores especificados por la plantilla modificarán los valores que defina como opción. Le recomiendo utilizar -T4 cuando sondee redes razonablemente modernas y fiables. Mantenga esa opción al principio de la línea de órdenes aún cuando especifique otras opciones de control de grano fino para poder beneficiarse de las optimizaciones menores que activa.
Le recomiendo que empiece siempre con -T4 si está utilizando una conexión de banda ancha o conexión Ethernet decente. Algunas personas adoran la opción -T5 aunque es demasiado agresiva para mi gusto. Otras personas especifican la opción -T2 porque piensan que es menos probable que bloqueen sistemas o porque se consideran a sí mismos amables en general. Muchas veces no se dan cuenta de lo lenta que -T Polite es realmente. Su sondeo puede llegar a tardar diez veces más que un sondeo por omisión. Dado que las caídas de sistemas y problemas de ancho de banda son raros con las opciones de tiempos por omisión (-T3), lo recomiendo habitualmente para las personas cuidadosas. Para reducir estos problemas es más efectivo omitir la detección de versiones que jugar con los valores de tiempos.
Mientras que puede ser útil evitar alarmas de IDS con -T0 y -T1, éste tardará mucho más tiempo para sondear miles de sistemas o puertos. Para este tipo de sondeos puede que prefiera fijar los valores exactos de tiempos que necesita antes que utilizar los valores predefinidos para -T0 y -T1.
Los efectos principales del uso de T0 es la serialización de los sondeos de forma que sólo se sondea un puerto cada vez, y se espera cinco minutos antes de enviar cada sonda. Las opciones T1 y T2 son similares pero sólo esperan 15 y 0.4 segundos entre sondas, respectivamente. El comportamiento por omisión de Nmap es T3, que incluye sondeos en paralelo. T4 es equivalente a especificar --max-rtt-timeout 1250 --initial-rtt-timeout 500 --max-retries 6 y fija el valor máximo para las demoras de sondeos TCP a 10 milisegundos. T5 hace lo mismo que --max-rtt-timeout 300 --min-rtt-timeout 50 --initial-rtt-timeout 250 --max-retries 2 --host-timeout 15m así como definir el valor máximo para las demoras de sondeos TCP a 5ms.
EVASIóN DE CORTAFUEGOS/IDS Y FALSIFICACIóN¶
Muchos pioneros de Internet habían previsto una red global abierta con un espacio de direcciones IP universal que permitiese conexiones virtuales entre dos nodos cualquiera. Esto permitiría a los equipos actuar como verdaderos iguales, sirviendo y recuperando información el uno del otro. La gente podría acceder a todos los sistemas de su casa desde el trabajo, cambiando las propiedades del control del clima o desbloqueando puertas. Esta visión de una conectividad universal fue sofocada por la escasez del espacio de direcciones y los problemas de seguridad. Al comienzo de la década de los años 90, las organizaciones empezaron a replegar cortafuegos con el propósito de reducir la conectividad. Se acordonaron redes enormes para protegerlas de la Internet no filtrada con pasarelas («proxies», N. del T.) de aplicación, sistemas de traducción de direcciones de red y filtros de paquetes. Del flujo sin restricciones de la información se pasó a una regulación estricta de los canales de comunicación aprobados y del contenido que pasa por ellos.
Los filtros de red como los cortafuegos pueden hacer muy difícil el análisis de una red. Esto no va a ser más fácil en el futuro, ya que uno de los objetivos de estos dispositivos es generalmente limitar el reconocimiento casual de la red. En cualquier caso, Nmap ofrece varias funcionalidades para ayudar a entender estas redes complejas, y que también sirven para verificar que los filtros funcionan como se espera de ellos. Incluso tiene mecanismos para saltarse las defensas que no hayan sido implementadas del todo correctamente. Uno de los mejores métodos de entender la posición de la seguridad de su red es intentar comprometerla. Empiece a pensar como un atacante, e intenta utilizar las técnicas de esta sección contra sus propias redes. Lance un sondeo de rebote FTP, un sondeo pasivo, un ataque de fragmentación, o intente realizar un túnel desde una de sus propias pasarelas.
Las compañías, además de restringir la actividad de red, están monitorizando cada vez más el tráfico con sistemas de detección de intrusos (IDS, «Intrusion Detection Systems», N. del T.). Todos los IDS principales vienen preinstalados con reglas diseñadas para detectar sondeos de Nmap porque, a veces, se realizan sondeos previos a un ataque. Muchos de estos productos han mutado recientemente para convertirse en sistemas de prevención de intrusiones (IPS) que bloquean activamente el tráfico reconocido como maligno. Desafortunadamente para los administradores de redes y para los fabricantes de IDS es muy difícil detectar las malas intenciones analizando los datos de los paquetes. Los atacantes con paciencia, habilidad y con la ayuda de ciertas opciones de Nmap pueden, generalmente, esquivar el análisis de los IDS sin ser detectados. Mientras tanto, los administradores deben lidiar con un alto número de falsos positivos debido a que algunas actividades inocentes se diagnostican erróneamente y generan alarmas o se bloquean.
Algunas personas sugieren que Nmap no debería ofrecer funcionalidades de evasión de cortafuegos o para esquivar los IDS, argumentando que es igual de probable que las funcionalidades las utilicen los atacantes como que las utilicen los administradores para mejorar la seguridad. El problema con esta forma de pensar es que los atacantes van a utilizar estos métodos de todas formas: encontrarían otra herramienta para hacerlo o parchearían a Nmap para añadírsela. Al mismo tiempo, los administradores tendrían muchos más problemas para hacer su trabajo. Es mucho mejor defensa utilizar servidores FTP modernos y parcheados que intentar prevenir la distribución de herramientas que permitan la implementación de ataques de rebote FTP.
No hay ninguna herramienta mágica (u opción de Nmap) que permita detectar y evitar cortafuegos y sistemas IDS. Esto requiere habilidad y experiencia. Un tutorial va más allá del alcance de esta guía de referencia, que sólo lista las opciones relevantes y describe lo que hacen.
-f (fragmentar los paquetes); --mtu (utilizar el MTU especificado)
-D <señuelo1 [,señuelo2][,ME],...> (Esconde un sondeo con señuelos)
Se debe separar cada equipo de distracción mediante comas, y puede utilizar ME («YO», N. del T.) como uno de los señuelos para representar la posición de su verdadera dirección IP. Si pone ME en la sexta posición o superior es probable que algunos detectores de sondeos de puertos habituales (como el excelente scanlogd de Solar Designer) ni siquiera muestren su dirección IP. Si no utiliza ME, Nmap le pondrá en una posición aleatoria.
Tenga en cuenta que los equipos que utilice como distracción deberían estar conectados o puede que accidentalmente causes un ataque de inundación SYN a sus objetivos. Además, sería bastante sencillo determinar qué equipo está realmente haciendo el sondeo si sólo uno está disponible en la red. Puede que quiera utilizar direcciones IP en lugar de nombres (de manera que no aparezca en los registros del servidor de nombres de los sistemas utilizados como señuelo).
Se utilizan los señuelos tanto para el sondeo de ping inicial (si se utiliza ICMP, SYN, ACK, o cualquier otro) como durante la fase de sondeo. También se utilizan los señuelos durante la detección de sistema operativo (-O). Los señuelos no funcionarán con la detección de versión o el sondeo TCP connect().
Vale la pena tener en cuenta que utilizar demasiados señuelos puede ralentizar el sondeo y potencialmente hacerlo menos exacto. Además, algunos proveedores de acceso a Internet filtrarán los paquetes falsificados, aunque hay muchos que no lo hacen.
-S <Dirección_IP> (Falsifica la dirección de origen)
Otro uso alternativo de esta opción es la de falsificar la dirección para que los objetivos del análisis piensen que algún otro los está sondeando. ¡Imagine una compañía a los que les sondea repetidamente la competencia! Generalmente es necesaria la opción -e si lo quiere utilizar así, y también sería recomendable la opción -P0.
-e <interfaz> (Utilizar la interfaz especificada)
--source-port <número_de_puerto>; -g <número_de_puerto> (Falsificar el puerto de origen)
Existen soluciones seguras para estos problemas, como las pasarelas en el nivel de aplicación o los módulos de cortafuegos que realizan un análisis del protocolo. Desgraciadamente, también hay soluciones más fáciles y menos seguras. Al darse cuenta que las respuestas de DNS vienen del puerto 53 y que las conexiones activas de FTP vienen del puerto 20, muchos administradores caen en la trampa de configurar su sistema de filtrado para permitir el tráfico entrante desde estos puertos. Generalmente asumen que ningún atacante se dará cuenta de estos agujeros en el cortafuegos ni los aprovechará. En otros casos, los administradores consideran esto una solución a corto plazo hasta que puedan implementar una solución más segura. Y después se olvidan de hacer la mejora de la seguridad.
Los administradores de red con mucho trabajo no son los únicos que caen en esta trampa. Muchos productos se lanzan al mercado con estas reglas inseguras. Hasta Microsoft lo ha hecho. Los filtros de IPsec que se preinstalan con Windows 2000 y Windows XP contienen una regla implícita que permite todo el tráfico TCP o UDP desde el puerto 88 (Kerberos). Otro caso conocido es el de las versiones de Zone Alarm Firewall Personal que, hasta la versión 2.1.25, permitían cualquier paquete entrante UDP desde el puerto 53 (DNS) o 67 (DHCP).
Nmap ofrece las opciones -g y --source-port (son equivalentes) para aprovecharse de estas debilidades. Simplemente indique el número de puerto y Nmap enviará los paquetes desde ese puerto cuando sea posible. Nmap debe utilizar distintos números de puerto para ciertos tipos de prueba en la detección de sistema operativo para que funcionen correctamente, y las solicitudes de DNS ignoran la opción --source-port porque Nmap depende de las librerías del sistema para hacerlas. Esta opción se soporta completamente en muchos sondeos TCP, incluyendo el sondeo SYN, al igual que los sondeos UDP.
--data-length <número> (Añadir datos aleatorios a los paquetes enviados)
--ttl <valor> (Indica el valor del campo tiempo-de-vida de la cabecera IP)
--randomize-hosts (Mezclar aleatoriamente la lista de equipos a sondear)
--spoof-mac <dirección MAC, prefijo o nombre del fabricante> (Falsifica la dirección MAC)
--badsum (Envía paquetes con sumas de comprobación TCP/UDP erróneas)
SALIDA¶
La utilidad de una herramienta de seguridad está limitada por la salida que genera. De poco sirven pruebas y algoritmos complejos si luego no se presentan de una forma organizada y comprensible. Dada la cantidad de formas en las que puede utilizarse Nmap, tanto por personas como por otros programas, no es posible complacer a todos con un único formato. Por ello Nmap ofrece varios formatos, incluyendo el modo interactivo para que los humanos lo lean directamente y un formato XML para que sea interpretado por otros programas.
Además de ofrecer distintos formatos de salida, Nmap ofrece opciones adicionales para controlar cuanta información de más se muestra en la salida, así como opciones para controlar los mensajes de depuración que se muestran. Los tipos de salida pueden enviarse a la salida estándar o a algún archivo especificando su nombre. Nmap puede añadir información al archivo o sobreescribirlo. Los formatos de salida pueden utilizarse también para retomar un sondeo que se haya interrumpido.
Nmap puede generar la salida en cinco formatos distintos. El formato por omisión es el llamado salida interactiva, y se envía a la salida estándar («stdout»). También está la salida normal, que es similar a la salida interactiva salvo que muestra menos información de ejecución y menos advertencias, ya que se espera que se analice una vez que el sondeo haya terminado en lugar de ser analizada interactivamente.
La salida XML es uno de los formatos de salida más importantes, ya que puede convertirse a HTML, los programas (como la interfaz de usuario de Nmap) pueden interpretarla fácilmente o puede importarse a una base de datos.
Los dos tipos de salida restantes son la sencilla salida para grep (o «grepeable») que incluye la mayoría de la información de un sistema analizado en una sola línea, y la s4L1d4 sCRiPt KiDDi3 para usuarios que se consideran a sí mismos |<-r4d.
Aunque se utiliza la salida interactiva por omisión y no tiene ninguna opción de la línea de órdenes, los demás formatos utilizan la misma sintaxis. Toman un solo argumento, que es el archivo donde se guardarán los resultados. Pueden especificarse múltiples formatos al mismo tiempo, pero sólo puede especificar el mismo formato una vez. Por ejemplo, puede querer guardar la salida normal para su propia visualización mientras se guarda la información del mismo sondeo en formato XML para realizar un análisis posterior con un programa. Para hacer ésto debe utilizar las opciones -oX misondeo.xml -oN misondeo.nmap. Se recomienda utilizar nombres más descriptivos, si bien este capítulo utiliza nombres sencillos como misondeo.xml por razones de brevedad. Los nombres elegidos son una cuestión de preferencia personal. Yo utilizo nombres largos que incluyen la fecha del análisis y una palabra o dos describiendo el sondeo, dentro de un directorio con el nombre de la empresa que estoy analizando.
Nmap seguirá imprimiendo la salida interactiva en «stdout» como lo hace habitualmente aunque se guarden en archivos la salida con estas opciones. Por ejemplo, la orden nmap -oX misondeo.xml destino imprime XML en misondeo.xml y llena la salida estándar con los mismos resultados interactivos que habría impreso si no se hubiese especificado la opción -oX. Puedes cambiar este comportamiento dando un guión como argumento a una de las opciones de salida. Esto hace que Nmap desactive la salida interactiva y que imprima en su lugar los resultados en el formato especificado en la salida estándar. Con lo que la orden nmap -oX - destino enviará únicamente la salida XML a la salida estándar («stdout»). Los errores graves seguirán presentándose, posiblemente, en la salida normal de error, «stderr».
A diferencia de algunos argumentos de Nmap, es obligatorio separar con un espacio la opción de salida (como -oX) y el nombre del archivo o el guión. Si los omite y pone el argumento como -oG- o -oXsondeo.xml, una funcionalidad de compatibilidad con versiones anteriores hará que se cree una salida normal en los ficheros llamados G- y Xscan.xml respectivamente.
Nmap también ofrece opciones para controlar la información extra que se ofrece sobre el sondeo y añadirlo a los archivos de salida en lugar de sobreescribirlos. Todas estas opciones se describen a continuación.
Formatos de salida de Nmap
-oN <filespec> (Salida normal)
-oX <filespec> (salida XML)
XML ofrece un formato estable que es fácilmente interpretado por cualquier programa. Hay intérpretes libres de XML para los lenguajes de ordenador más importantes, incluyendo C/C++, Perl, Python, y Java. La gente ha escrito librerías para la mayoría de estos lenguajes que manejan específicamente la salida de Nmap. Por ejemplo Nmap::Scanner[9] y Nmap::Parser[10] en el CPAN de Perl. XML es el formato preferente en la mayoría de los casos en que una aplicación no trivial quiere utilizar Nmap.
La salida de XML hace referencia a la hoja de estilo XSL que puede utilizarse para formatear los resultados en HTML. La forma más fácil de utilizarla es simplemente cargar la salida XML en un navegador web como Firefox o IE. Por omisión, ésto solo funcionará en el equipo en el que ejecutó Nmap (o uno configurado igual que dicho equipo) ya que la ruta de nmap.xsl se incluye directamente dentro del archivo. Puede utilizar la opción --webxml o --stylesheet para crear un XML portable que pueda mostrarse como HTML en cualquier ordenador conectado a la web.
-oS <filespec> (SaLiDa ScRipT KIdd|3)
-oG <filespec> (Salida «grepeable»)
Sin embargo, la salida para grep es todavía bastante popular. Es simplemente un formato que lista cada sistema en una línea y que puede ser fácilmente tratado con herramientas estándar de UNIX como grep, awk, cut, sed, diff y Perl. Incluso yo la utilizo para pruebas rápidas que hago desde la línea de órdenes. Sólo hace falta un grep para identificar todos los sistemas con el puerto de ssh abierto o que ejecuten Solaris, enviando la salida a través de un conector a awk o cut para mostrar los campos deseados.
La salida para grep consiste en comentarios (líneas que empiezan por una almohadilla, «#») y líneas de objetivo. Una línea de objetivo incluye una combinación de seis campos marcados, separados por tabulaciones y seguidos de dos puntos. Los campos (en inglés) son Host (Sistema), Ports (Puertos), Protocols (Protocolos), Ignored State (Estado omitido), OS (Sistema operativo), Seq Index (índice de secuencia), IPID, y Status (Estado).
El campo más importante de todos habitualmente es Ports, que es el que da los detalles de cada puerto interesante encontrado. Consiste en una lista separada por comas de entradas de puerto. Cada entrada de puerto representa uno de los puertos de interés y se muestra con siete subcampos separados por una barra («/»). Los subcampos son: Port number (Número de puerto), State (Estado), Protocol (Protocolo), Owner (Propietario), Service (Servicio), SunRPC info (Información SunRPC), y Version info (Información de versión).
Esta página de manual, al igual que en el caso de la salida XML, no puede incluir la documentación completa de este formato. Puede encontrar más información detallada de la salida de Nmap para grep en http://www.unspecific.com/nmap-oG-output.
-oA <nombre_base> (Salida en todos los formatos)
Opciones de depuración y de detalle
-v (Incrementa el nivel de detalle)
La mayoría de los cambios sólo afectan a la salida interactiva, y algunos también afectan a la salida «script kiddie». Dado que los demás formatos van a ser tratados por programas, Nmap da información detallada en estos formatos por omisión sin fatigar a un usuario humano. Sin embargo, hay algunos cambios en los otros modos que hacen que el tamaño de la salida resultante se reduzca sustancialmente al omitir información detallada. Por ejemplo, sólo se imprime una línea de comentario con todos los puertos sondeados en el formato de salida para grep si se activa el modo de detalle, porque puede ser demasiada información.
-d [level] (Incrementar o fijar el nivel de depuración)
La salida de depuración es útil cuando sospecha que hay un fallo en Nmap o simplemente si está confundido y quiere saber qué hace Nmap y por qué. Las líneas de depuración no son auto-explicativas, dado que esta función está dirigida a los desarrolladores. Puede obtener algo como esto: Timeout vals: srtt: -1 rttvar: -1 to: 1000000 delta 14987 ==> srtt: 14987 rttvar: 14987 to: 100000. Su único recurso si no entiende una línea es ignorarla, buscarla en el código fuente, o solicitar ayuda en la lista de desarrolladores (nmap-dev). Algunas líneas sí son auto-explicativas, pero los mensajes se vuelven más y más extraños a medida que se incrementa el nivel de depuración.
--packet-trace (Trazar paquetes y datos enviados y recibidos)
--iflist (Listar interfaces y rutas)
Opciones misceláneas de salida
--append-output (Añadir en lugar de borrar los archivos de salida)
--resume <nombre_archivo> (Continuar un sondeo detenido)
--stylesheet <ruta o URL> (Fija la hoja de estilo XSL para transformar la salida XML)
--webxml (Carga la hoja de estilo de Insecure.Org)
--no_stylesheet (Omite la declaración de hoja de estilo XSL del XML)
OPCIONES MISCELáNEAS¶
Esta sección describe algunas opciones importantes (y no tan importantes) que no encajan realmente en ningún otro sitio.
-6 (Activa el sondeo IPv6)
Aunque IPv6 no se está utilizando en todo el mundo, sí que se utiliza mucho en algunos países (generalmente asiáticos) y muchos sistemas operativos modernos lo soportan. Tanto el origen como el objetivo de su sondeo deben estar configurados para utilizar IPv6 si desea utilizar Nmap con IPv6. Si su ISP (como sucede con la mayoría) no le da direcciones IPv6, puede encontrar gestores de túneles gratuitos en muchos sitios y funciona bien con Nmap. Una lista de gestores está en Wikipedia[11]. Los túneles IPv6 a IPv4 («6to4») son también otro método muy popular y gratuito.
-A (Opciones de sondeos agresivos)
--datadir <nombre_directorio> (Indica la ubicación de un archivo de datos de Nmap)
--send-eth (Enviar tramas Ethernet en crudo)
--send-ip (Enviar al nivel crudo IP)
--privileged (Asumir que el usuario tiene todos los privilegios)
--interactive (Comienza en modo interactivo)
-V; --version (Mostrar el número de versión)
-h; --help (Mostrar la página resumen de ayuda)
EJECUCIóN INTERACTIVA¶
Todas las pulsaciones de teclado se capturan durante la ejecución de Nmap. Esto le permite interactuar con el programa sin abortarlo ni reiniciarlo. Algunas teclas especiales cambiarán las opciones mientras que otras teclas imprimirán un mensaje de estado informándole del estado del sondeo. La convención es que las letras en minúsculas incrementan la cantidad de información que se imprime, mientras que las letras en mayúsculas reducen la información impresa. Tambén puede pulsar ‘?’ para obtener ayuda.
v / V
d / D
p / P
?
Cualquier otra tecla
Stats: 0:00:08 elapsed; 111 hosts completed (5 up), 5 undergoing Service Scan
Service scan Timing: About 28.00% done; ETC: 16:18 (0:00:15 remaining)
EJEMPLOS¶
A continuación se muestran algunos ejemplos de utilización, desde lo más simple y rutinario hasta algo más complejo y esotérico. Se utilizan algunas direcciones IP y dominios para concretar un poco las cosas. En su lugar deberías poner las direcciones o nombres de tu propia red.. Mientras que yo no considero que sondear los puertos de otras redes es o debería ser ilegal, algunos administradores de redes no aprecian un sondeo no solicitado de sus redes y pueden quejarse. Lo mejor es pedir permiso primero.
A modo de prueba, tienes permiso de sondear el servidor scanme.nmap.org. Este permiso sólo incluye sondear mediante Nmap y no para probar "exploits" o ataques de denegación de servicio. Por favor, para conservar el ancho de banda no inicie más de una docena de sondeos contra este servidor el mismo día. Si se abusa de este servicio de sondeo se desconectará y Nmap reportará Failed to resolve given hostname/IP: scanme.nmap.org ("No se pudo resolver la dirección IP o nombre datos: scanme.nmap.org"). Este permiso también se aplica a los servidores analizame2.nmap.org, analizame3.nmap.org, y así sucesivamente, aunque esos servidores actualmente no existen.
nmap -v scanme.nmap.org
Esta opción sondea todos los puertos TCP reservados en el servidor scanme.nmap.org. La opción -v activa el modo detallado (también llamado verboso).
nmap -sS -O scanme.nmap.org/24
Lanza un sondeo de tipo SYN sigiloso contra cada una de las 255 máquinas en la “clase C” de la red donde está el sistema "analizame". También intenta determinar cual es el sistema operativo que se ejecuta en cada máquina que esté encendida. Esto requiere permisos de root por la opción de sondeo SYN y por la de detección de sistema operativo.
nmap -sV -p 22,53,110,143,4564 198.116.0-255.1-127
Lanza una enumeración de equipos y un sondeo TCP a cada uno de la primera mitad de las 255 posibles subredes de 8 bit en la red de clase B 198.116. Esto probará si los sistemas están ejecutando sshd, DNS, pop3d, imapd o tienen un servidor en el puerto 4564. Para cualquier puerto que se encuentre abierto, se realizará una detección de versión para determinar qué aplicación se está ejecutando.
nmap -v -iR 100000 -P0 -p 80
Solicita a Nmap que elija 100.000 sistemas aleatoriamente y los sondee buscando servidores web (puerto 80). La enumeración de sistemas se deshabilita con -P0 ya que es un desperdicio enviar un par de pruebas para determinar si el sistema debe ser analizado cuando de todas maneras sólo se va a analizar un puerto.
nmap -P0 -p80 -oX logs/pb-port80scan.xml -oG logs/pb-port80scan.gnmap 216.163.128.20/20
Esto sondea 4096 IPs para buscar cualquier servidor web (sin enviar sondas ICMP) y guarda la salida en formato para grep y en XML.
FALLOS¶
Al igual que su autor, Nmap no es perfecto. Pero tu puedes ayudar a hacerlo mejor enviando informes de fallo o incluso escribiendo parches. Si Nmap no se comporta como tú esperas, primero actualiza a la última versión disponible en http://www.insecure.org/nmap/. Si el problema persiste, investiga para determinar si la causa ya ha sido descubierta y solucionada. Busca en Google el mensaje de error o navega en los archivos de Nmap-dev en http://seclists.org/. También deberías leer este manual completo. Si esto no te ayuda, envía un informe de error en inglés a <dev@nmap.org>. Por favor, incluya todo lo que haya visto del problema, así como qué versión de Nmap está utilizando y sobre qué versión del sistema operativo está trabajando. Hay muchas más probabilidades de que un informe de fallo o una pregunta sobre el uso de Nmap se contesten si se envían a dev@nmap.org que si se envían directamente a Fyodor.
Es mejor enviar parches para arreglar el código que un informe de error. Puedes encontrar las instrucciones básicas para crear parches con sus cambios en http://www.insecure.org/nmap/data/HACKING. Puede enviar los parches a nmap-dev (recomendado) o directamente a Fyodor.
AUTOR¶
Fyodor <fyodor@nmap.org> (http://www.insecure.org)
Cientos de personas han realizado valiosas contribuciones a Nmap a lo largo de los años. Sus nombres se detallan en el archivo CHANGELOG que se distribuye conjuntamente con Nmap y que está también disponible en http://www.insecure.org/nmap/changelog.html.
NOTAS LEGALES¶
Unofficial Translation Disclaimer / Descargo de traducción no oficial¶
This is an unnofficial translation of the Nmap license details[12] into Spanish. It was not written by Insecure.Com LLC, and does not legally state the distribution terms for Nmap -- only the original English text does that. However, we hope that this translation helps Spanish speakers understand the Nmap license better.
Esta es una traducción no oficial de los detalles de la licencia de Nmap details[12] al español. Esta traducción no ha sido escrita por Insecure.Com LLC por lo que no refleja legalmente los términos de distribución de Nmap, eso sólo puede hacerlo el texto original en inglés. Esperamos, sin embargo, que esta traducción pueda ayudar a aquellas personas que hablan español a entender mejor la licencia de Nmap.
Licencia y copyright de Nmap¶
The Nmap Security Scanner is (C) 1996-2005 Insecure.Com LLC. Nmap is also a registered trademark of Insecure.Com LLC. This program is free software; you may redistribute and/or modify it under the terms of the GNU General Public License as published by the Free Software Foundation; Version 2. This guarantees your right to use, modify, and redistribute this software under certain conditions. If you wish to embed Nmap technology into proprietary software, we may be willing to sell alternative licenses (contact <sales@insecure.com>). Many security scanner vendors already license Nmap technology such as host discovery, port scanning, OS detection, and service/version detection.
Traducción no autorizada: La herramienta de sondeos de seguridad Nmap es (C) 1996-2005 Insecure.Com LLC. Nmap también es una marca registrada por Insecure.Com LLC. Este programa es software libre. Puede redistribuirlo y/o modificarlo bajo los términos de la Licencia Pública General de GNU según es publicada por la Free Software Foundation, versión 2. Esto garantiza su derecho a utilizarla, modificarla y redistribuirla bajo ciertas condiciones. Si desea introducir la tecnología de Nmap en programas propietarios podemos vender licencias alternativas (póngase en contacto con <sales@insecure.com>). Hay muchos fabricantes de herramientas de análisis de seguridad que licencian la tecnología de Nmap como es el descubrimiento de equipos, sondeos de puertos, detección de sistema operativo y detección de servicios y versiones.
Tenga en cuenta que la GPL impone restricciones importantes en los “trabajos derivados”, pero no ofrece una definición precisa de ese término. Para evitar malentendidos, a continuación se definen, para los propósitos de esta licencia, las condiciones bajo las que una aplicación constituye un “trabajo derivado”:
Se debe considerar que el término “Nmap” incluye las porciones o trabajos derivados de Nmap. Esta lista no es exclusiva, su único objetivo es clarificar la interpretación de trabajos derivados con algunos ejemplos comunes. Estas restricciones no se aplican cuando redistribuye Nmap. Por ejemplo, nada le impide escribir y vender una interfaz propietaria a Nmap. Sólo debe distribuirla de forma separada e indicar a sus usuarios que vayan a http://www.insecure.org/nmap/ para obtener Nmap.
No consideramos que las restricciones sean añadidos a la GPL, sino simplemente una forma de clarificar cómo interpretamos el término “trabajos derivados” y su aplicación al producto Nmap licenciado GPL. Esto es parecido a la interpretación que Linus Torvalds ha dado a “trabajos derivados” y su aplicación a los módulos del núcleo de Linux. Nuestra interpretación sólo aplica a Nmap, no hablamos en nombre de otros productos GPL.
Estaremos encantados de ayudarle si tiene alguna pregunta de cómo aplican las restricciones de licenciamiento GPL al uso de Nmap en trabajos que no son GPL. Tal y como se menciona más arriba, ofrecemos licencias alternativas para integrar Nmap en aplicaciones propietarias así como en dispositivos hardware. Ya se han vendido este tipo de contratos a fabricantes de dispositivos de seguridad y habitualmente incluye una licencia perpetua, al tiempo que se da soporte prioritario y actualizaciones. Estos contratos financian el desarrollo continuo de la tecnología Nmap. Por favor, contacte con <sales@insecure.com> si desea más información.
Insecure.Com LLC da permiso para enlazar el código de este programa con cualquier librería de OpenSSL que se distribuya bajo una licencia idéntica a la indicada en el fichero Copying.OpenSSL adjunto, así como a la distribución de la combinación enlazada que incluye a ambos. Ésta es una excepción especial a los términos de la GPL. Debe obedecer los demás términos de la GPL de GNU en cualquier otro aspecto en relación al código que utilice que no sea OpenSSL. Si modifica este fichero puede extender esta excepción a su versión del fichero, aunque no está obligado a hacerlo.
Si recibe estos ficheros con un acuerdo de licencia por escrito o contrato que indique términos distintos de los que se describen arriba entonces dicha licencia alternativa toma precedencia sobre estos comentarios.
Licencia Creative Commons para esta guía Nmap¶
Esta guía de referencia de Nmap Reference Guide es (C) 2005 Insecure.Com LLC. Se distribuye bajo la versión 2.5 de la Licencia Creative Commons de Reconocimiento[2]. Esta licencia le permite redistribuir y modificar el trabajo como desee siempre que reconozca la fuente original. Puede, si lo desea, tratar este documento con la misma licencia con la que distribuya Nmap (como se ha discutido previamente).
Disponibilidad del código fuente y contribuciones de la comunidad¶
Se da el código fuente de este programa porque creemos que los usuarios tienen el derecho a saber cómo funciona un programa con exactitud antes de ejecutarlo. También le permite auditar el programa en búsqueda de agujeros de seguridad (no se ha encontrado ninguno aún).
El código fuente le permite migrar Nmap a otras plataformas, arreglar erratas y añadir nuevas funciones. Le pedimos encarecidamente que envíe sus cambios a <fyodor@nmap.org> para que puedan incorporarse en la distribución principal. Al enviar estos cambios a Fyodor o cualquiera de las listas de correo de desarrollo en Insecure.Org se asume que está ofreciendo a Fyodor y a Insecure.Com LLC derechos ilimitados y no exclusivos para reutilizar, modificar y relicenciar el código. Nmap siempre estará disponible como software libre, pero esto es importante porque la incapacidad de relicenciar el código ha dado muchos problemas a otros proyectos de software libre (como es el caso de KDE y NASM). También relicenciamos el código de forma ocasional a terceros, como se ha descrito previamente. Puede especificar condiciones especiales de licencia para sus contribuciones, sólo tiene que indicarlas cuando las envíe.
Sin garantía¶
Este programa se distribuye con la esperanza de que sea útil, pero SIN NINGUNA GARANTÍA, incluso sin la garantía MERCANTIL implícita o sin garantizar la CONVENIENCIA PARA UN PROPÓSITO PARTICULAR. Véase la Licencia Pública General de GNU para más detalles en http://www.gnu.org/copyleft/gpl.html, o en el fichero COPYING que se incluye con Nmap.
También debería tener en cuenta que se sabe que Nmap ha provocado en algunas ocasiones que alguna aplicación mal escrita se bloquee, como también ha pasado con pilas TCP/IP e incluso sistemas operativos. Esto es muy raro, pero es importante tenerlo en mente. Nunca debería utilizar Nmap contra sistemas de misión crítica a no ser que esté preparado para sufrir una caída. Reconocemos que Nmap puede bloquear sus sistemas o redes y hacemos un descargo de responsabilidad frente a cualquier daño o problemas que Nmap pueda causar.
Uso inapropiado¶
Debido al ligero riesgo de que se produzcan caídas porque un black hat (persona que ataca sistemas sin autorización, N. del T.) utilice Nmap para realizar un análisis antes de atacar algún sistema hay administradores que se molestan y se quejan cuando se sondean sus sistemas. Así, por regla general es recomendable pedir permiso para hacer cualquier tipo de sondeo, aún uno ligero, de una red.
Nunca debería instalar Nmap con privilegios especiales (p. ej. suid root) por razones de seguridad.
Programas de terceros¶
Este producto incluye programas desarrollados por la Fundación Apache Software Foundation[13]. También se distribuye una versión modificada de la librería portable de captura de paquetes Libpcap[14] conjuntamente con nmap. La versión para Windows de Nmap utiliza la librería WinPcap library[15] que es una versión derivada de la libcap. La librería PCRE[16], software libre escrito por Philip Hazel, da el soporte de expresiones regulares. Algunas de las funciones de acceso a bajo nivel de la red utiliza la librería de red Libdnet[17], escrita por Dug Song. Se distribuye una versión modificada con Nmap. Nmap puede, opcionalmente, enlazar con las herramientas criptográficas OpenSSL[18] para poder hacer un análisis de versiones SSL. Todos los programas de terceros descritos en este párrafo se distribuyen libremente bajo licencias tipo BSD.
Clasificación de control de exportación de los EEUU¶
Control de exportación de los EEUU: Insecure.Com LLC cree que Nmap se encuentra dentro del capítulo US ECCN (número de clasificación de control de exportación) 5D992. Esta categoría se denomina “Programas de seguridad de la información no controlados en 5D002”. La única restricción a esta clasificación es AT (anti-terrorismo), que se aplica a casi todos los bienes y deniega la exportación a un número reducido de naciones rebeldes como Irán o Corea del Norte. Así, la exportación de Nmap no requiere de una licencia especial, permiso o cualquier otra autorización del gobierno.
NOTES¶
- 1.
- versión original en inglés
- 2.
- Licencia Creative Commons Atribución
- 3.
- Deteccion Remota de SO via Reconocimiento de Pila TCP/IP
- 4.
- RFC 1122
- 5.
- RFC 792
- 6.
- UDP
- 7.
- RFC de TCP
- 8.
- RFC 959
- 9.
- Nmap::Scanner
- 10.
- Nmap::Parser
- 11.
- en Wikipedia
- 12.
- Nmap license details
- 13.
- Fundación Apache Software Foundation
- 14.
- librería portable de captura de paquetes Libpcap
- 15.
- WinPcap library
- 16.
- librería PCRE
- 17.
- Libdnet
- 18.
- herramientas criptográficas OpenSSL
07/28/2013 | [FIXME: source] |