Linux, Antivirus, antispam, Cursos

Una opción muy importante el nmap es la posibilidad que tiene de determinar, dada la información del stack TCP IP, el sistema operativo que corre en la máquina que está siendo revisada. Es muy simple:

nmap -O 192.168.1.1

no sólo determinará los puertos abiertos de esa máquina, sino que también dirá el SO de ella.

A propósito: Los comandos pueden ser usados combinados; es decir, podemos hacer un nmap de toda la red, combinado con el switch -O y el -P0:

nmap -O -P0 192.168.1.1/24

La determinación del sistema operativo puede resultarle imposible al nmap debido a que no conoce el stack tcpip conque está trabajando el sistema remoto, en este caso no nos dará una respuesta correcta sino nos indicará una serie de datos para que reportemos a los autores de nmap e indiquemos que SO aquí un ejemplo:

No exact OS matches for host (If you know what OS is running on it, see http://www.insecure.org/cgi-bin/nmap-submit.cgi).

TCP/IP fingerprint:
SInfo(V=3.00%P=i386-redhat-linux-gnu%D=6/1%Time=429DF2DB%O=21%C=1)
TSeq(Class=RI%gcd=1%SI=41C47B%IPID=I%TS=U)
TSeq(Class=RI%gcd=1%SI=41C4AB%IPID=I%TS=U)
TSeq(Class=RI%gcd=1%SI=41C486%IPID=I%TS=U)
T1(Resp=Y%DF=N%W=7FFF%ACK=S++%Flags=AS%Ops=M)
T2(Resp=N)
T3(Resp=Y%DF=N%W=7FFF%ACK=S++%Flags=AS%Ops=M)
T4(Resp=Y%DF=Y%W=0%ACK=O%Flags=R%Ops=)
T5(Resp=Y%DF=Y%W=0%ACK=S++%Flags=AR%Ops=)
T6(Resp=Y%DF=Y%W=0%ACK=O%Flags=R%Ops=)
T7(Resp=Y%DF=Y%W=0%ACK=S++%Flags=AR%Ops=)
PU(Resp=Y%DF=N%TOS=C0%IPLEN=164%RIPTL=148%RID=E%RIPCK=E%UCK=E%ULEN=134%DAT=E)

Pero al menos podemos determinar por lo que leemos que es un redhat linux, ya que lo dice en la información inicial.

Determinando hosts activos en la red:
Para esto se usa el comando
nmap -sP 192.168.1.1/24

El cual nos indicará qué máquinas de la red han respondido al ping. Solamente eso.

Escaneo transparente:

Esta es una forma que se puede usar para intentar evadir sistemas de detección de intrusos en nuestra red, lo que hace es no cerrar la conexión inicial (3 way handshake) aunque ya la mayoría de los sistemas de detección de intrusos detecta este tipo de escaneo, al menos nos servirá para ver en los logs de nuestros IDS si se reporta este tipo de escaneo:

nmap -sS 192.168.1.1

Realizará un escaneo transparente. Si el firewall que tenemos es moderno, éste indicará que le hemos escaneado, si no reporta nada, es que no está realizando detección contra escaneos transparentes.

nmap -sS 192.168.1.1 -p 80,110

Este comando anterior nos indicará que revise solamente los puertos 80 y 110 de forma transparente.

nmap -sS 192.168.1.1 -D 1.1.1.1,5.5.5.5,6.6.6.6,7.7.7.7 192.168.1.1

El comando anterior le indicará al NMAP que falsifique la dirección de origen haciendo pasar que viene desde (1.1.1.1,5.5.5.5,6.6.6.6,7.7.7.7), algunos IDS no son capaces de lidiar con multiples origenes y solo reportan los 4 primeros. Si nuestro IDS solo reporta estas IP que hemos falsificado y no reporta la nuestra, es que no está teniendo una eficiente determinación de la IP agresora.

Conclusiones

Con estos simples ejemplos estamos seguros que se podrá revisar la red o máquinas que nos pertenezcan con el objetivo de ayudar a mejorar la seguridad y cerrar puertos inecesarios de nuestra red.

Si desea una auditoría más profunda de su red, no dude en contactarnos para ayudarle con una auditoría de seguridad completa.