nmap

Intrusos en tu red! Nmap, la herramienta definitiva para la caza de amenazas

Bienvenido al fascinante universo de la ciberseguridad y la forensia de red, donde cada clic es crucial y cada amenaza representa una batalla que no podemos perder. En este artículo, te sumergiré en una herramienta que se convertirá en tu aliada para dominar tu propio dominio digital: Nmap. Explora cómo esta poderosa herramienta cibernética puede identificar intrusos y desvelar los enigmas ocultos de tu red con precisión y eficacia.

Cazando al intruso con nmap

Requisitos previos

Tanto si estamos haciendo una investigación forense, una auditoría de red o tratando de detectar un intruso en nuestra red hogareña, debemos partir de la premisa de no contagiar la escena.

A la red que tenemos que auditar, vamos a conectarnos desde un dispositivo externo, como una notebook, directamente a la red a través de una conexión con cable. Si nuestra computadora no tiene un puerto apropiado, podemos utilizar algún adaptador de usb a rj45 o a la interfaz que se necesite. Lo importante es no contaminar la escena cuando hagamos la auditoría con nmap, por eso es que no lo ejecutaremos desde una terminal de la propia red.

Esta premisa puede ser saltada en el caso que estemos tratando de investigar nuestra propia red hogareña, sobre todo si no contamos con una notebook extra para este propósito.

Nmap viene en versiones para Linux, Windows y Mac. Esta guía está desarrollada sobre Linux pero aplica perfectamente para cualquier distribución.

Una vez conectados a la red y con el nmap descargado e instalado en nuestra máquina forense, procedemos a averiguar nuestra ip con ip addr o ifconfig.

ip addr

Ahora ya sabemos que vamos a tener que escanear todo el segmento de red 192.168.0.0/24. También podemos representarlo como 192.168.0.* que como nomenclatura es igualmente válido.

Nmap divide el trabajo en 9 fases que se ejecutan una a continuación de la anterior.

Fase 1: Inicia la Partida – Enumeración de Objetivos

En esta fase vamos a realizar la enumeración de dispositivos de usuarios (equipos PC, USB, SD, SIM, CD, dispositivos móviles, etc.) conectados a la red y la resolución de DNS, IP o redes.

Lo primero que hacemos es un sondeo de lista, que no es intrusivo y nos ayudará a identificar los objetivos. Un sondeo de lista es una fase inicial de exploración no intrusiva que busca identificar los objetivos presentes en la red. Este proceso implica la enumeración de dispositivos y la resolución de DNS, IP o redes, sin generar impacto o interrupción notoria en la infraestructura.

Es como tomar un vistazo rápido para trazar un mapa de los recursos disponibles, permitiendo al investigador comprender la topología de la red antes de adentrarse en fases más detalladas de escaneo y análisis. Este enfoque estratégico contribuye a una investigación forense más eficiente y a una evaluación de la seguridad precisa.

En este caso no dio ningún resultado positivo y nos indica que no hay ningún host en nuestro segmento de red.

Fase 2 y 3: Despierta a tu Red – Descubrimiento de hosts

El sondeo de ping representa una fase crucial de la exploración de red que se enfoca en descubrir hosts activos mediante la transmisión de paquetes de solicitud de eco ICMP (Protocolo de Control de Mensajes de Internet). Este enfoque es intrusivo, ya que implica enviar solicitudes de ping a los dispositivos en la red y evaluar las respuestas recibidas.

El sondeo de ping es fundamental para determinar la conectividad y la disponibilidad de los hosts objetivo, proporcionando información esencial para fases posteriores del escaneo. Esta técnica permite identificar dispositivos activos y distinguirlos de aquellos que podrían estar apagados o no accesibles en el momento de la evaluación. El sondeo de ping se convierte así en un elemento esencial en el arsenal de herramientas de un investigador forense o de seguridad en el ámbito de la informática.

Realizamos un escaneo de ping. Este nos arroja que hay cuatro dispositivos conectados, incluida la PC desde donde ejecutamos nmap y el gateway.

Fase 4: Escaneo de puertos y servicios

El escaneo de puertos y servicios en Nmap es una fase crítica durante la evaluación de una red, destinada a descubrir qué servicios y puertos están activos en un determinado host. Este proceso implica el envío de paquetes a diferentes puertos del host objetivo y analiza las respuestas para determinar si un puerto está abierto, cerrado o filtrado. Además, proporciona información detallada sobre los servicios que se ejecutan en esos puertos, incluida la versión del software.

Este análisis exhaustivo de la infraestructura de red permite a los profesionales de seguridad identificar posibles puntos de vulnerabilidad y fortalecer las defensas contra amenazas potenciales. En última instancia, el escaneo de puertos y servicios en Nmap desempeña un papel fundamental en la evaluación de la seguridad de una red al proporcionar una visión detallada de la exposición potencial frente a posibles ataques.

Un puerto puede tener los siguientes estados.

  • Abierto
  • Cerrado
  • Filtrado
  • Sin filtrar
  • Abierto-Filtrado
  • Cerrado-Filtrado

Vamos a profundizar con más detalle en la investigación de uno de estos dispositivos. Vemos que los 1000 puertos más comunes que por defecto escanea nmap están cerrados y rechazan la conexión, con excepción del puerto 6100 que está abierto y donde corre el servicio synchronet-db.

Nota: Nos salteamos la fase 3 ya que en este ejemplo no hay resolución inversa de DNS (convertir una página a una dirección IP).

Fase 5: Detectando Versiones de los Servicios

En la fase de «Detectando Versiones de los Servicios» en Nmap, se busca obtener información detallada sobre las versiones específicas de los servicios que se ejecutan en los puertos identificados durante el escaneo. Para lograr esto, Nmap envía solicitudes específicas a los servicios activos con el objetivo de identificar la versión exacta del software que están utilizando.

Sin embargo, es importante tener en cuenta que, en algunos casos, la detección precisa de versiones puede no ser exitosa debido a configuraciones específicas de seguridad o la capacidad del servicio para ocultar esta información. A pesar de posibles limitaciones, la identificación de versiones de servicios proporciona una comprensión más profunda de la infraestructura de red, permitiendo a los profesionales de seguridad evaluar la exposición potencial a vulnerabilidades y fortalecer las medidas de protección correspondientes.

Lamentablemente nmap no logra detectar la versión del servicio synchronet-db.

Fase 6: Detectar SO

Utilizando el parámetro «-O», Nmap intenta identificar el sistema operativo de un host mediante análisis de las respuestas a ciertos paquetes. Esta información crítica permite a los profesionales de seguridad no solo conocer la estructura de la red, sino también evaluar la diversidad de sistemas operativos presentes.

Identificar los sistemas operativos es fundamental para comprender las posibles vulnerabilidades específicas de cada plataforma y adaptar estrategias de seguridad en consecuencia. Aunque esta fase puede enfrentar desafíos, la detección precisa del sistema operativo es un componente clave en el proceso de evaluación forense y fortalecimiento de la seguridad de una red.

Vamos a tratar de detectar el Sistema Operativo de nuestro dispositivo agregando el parámetro -O.

Fase 7: Trazar Rutas

La fase de «Trazar Rutas» en Nmap desempeña un papel crucial al revelar la topología de la red y los caminos que sigue la información entre los diferentes hosts. Al emplear técnicas como el rastreo de paquetes, Nmap intenta mapear la ruta exacta que sigue un paquete desde la máquina del remitente hasta el destino, identificando los routers y dispositivos intermedios en el proceso.

Este conocimiento detallado de la ruta de la información no solo es valioso para comprender la estructura de la red, sino que también es esencial para la identificación de posibles cuellos de botella y puntos críticos. La capacidad de trazar rutas en Nmap proporciona a los profesionales de seguridad una visión más completa de la red, permitiéndoles tomar decisiones informadas para optimizar la eficiencia y fortalecer las medidas de seguridad en áreas específicas de la infraestructura.

Fase 8: Escaneo de scripts

La fase de «Escaneo de Scripts» en Nmap ofrece una funcionalidad avanzada al permitir la ejecución de scripts personalizados para realizar evaluaciones más específicas y detalladas de los hosts en una red. Estos scripts proporcionan capacidades extendidas, desde la detección de vulnerabilidades hasta la recopilación de información adicional sobre servicios y configuraciones específicas.

Nmap cuenta con una amplia biblioteca de scripts predefinidos, pero también brinda la flexibilidad de permitir a los usuarios desarrollar scripts personalizados según las necesidades particulares de la evaluación de seguridad. El escaneo mediante scripts potencia la capacidad de identificar amenazas potenciales, fortalecer la postura de seguridad y personalizar el análisis de la red según los requisitos específicos del usuario, brindando así una herramienta poderosa para los profesionales de seguridad y forenses de red.

Fase 9: Guardar resultados.

La capacidad de guardar o exportar resultados en Nmap representa un aspecto fundamental para documentar y analizar las conclusiones de una evaluación de red. Después de llevar a cabo escaneos detallados y recopilar información valiosa, la opción de guardar los resultados permite a los profesionales de seguridad y analistas forenses archivar de manera sistemática la información descubierta. Esto no solo facilita la generación de informes, sino que también brinda la posibilidad de comparar resultados a lo largo del tiempo, rastrear cambios en la infraestructura y respaldar evidencia en investigaciones forenses.

La funcionalidad de guardar/exportar en Nmap, que soporta diversos formatos como XML o texto plano, mejora la eficiencia y la trazabilidad de las operaciones de seguridad al tiempo que facilita la comunicación de los hallazgos a otros profesionales del ámbito o partes interesadas.

En conclusión, explorar las profundidades de Nmap es sumergirse en un viaje fascinante de descubrimiento y seguridad cibernética. Desde la identificación de dispositivos y servicios hasta la detección de vulnerabilidades y la travesía a través de la topología de la red, Nmap se revela como una herramienta imprescindible para los profesionales de la informática forense y la seguridad.

¿Listo para fortalecer tus habilidades y enfrentarte a los desafíos de la ciberseguridad? ¡Descarga Nmap, explora tu red y descubre el poder de controlar tu reino digital! El conocimiento adquirido a través de estas técnicas no solo te posicionará como un defensor experto, sino que también contribuirá a la mejora continua de la seguridad de tu entorno digital. ¡Actúa ahora y da el siguiente paso hacia un dominio cibernético más seguro!

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.