.\" ** You probably do not want to edit this file directly ** .\" It was generated using the DocBook XSL Stylesheets (version 1.69.1). .\" Instead of manually editing it, you probably should edit the DocBook XML .\" source for it and then use the DocBook XSL Stylesheets to regenerate it. .TH "NMAP" "1" "02/25/2006" "" "" .\" disable hyphenation .nh .\" disable justification (adjust text to left margin only) .ad l .SH "NAME" nmap \- Herramienta de exploración de redes y de sondeo de seguridad / puertos .SH "SYNOPSIS" .HP 5 \fBnmap\fR [\fITipo\ de\ sondeo\fR...] [\fIOpciones\fR] {\fIespecificación\ de\ objetivo\fR} .SH "DESCRIPCIóN" .PP Nmap (\(lqmapeador de redes\(rq) es una herramienta de código abierto para exploración de red y auditoría de seguridad. Se diseñó para analizar rápidamente grandes redes, aunque funciona muy bien contra equipos individuales. Nmap utiliza paquetes IP "crudos" en formas novedosas para determinar qué equipos se encuentran disponibles en una red, qué servicios (nombre y versión de la aplicación) ofrecen, qué sistemas operativos (y sus versiones) ejecutan, qué tipo de filtros de paquetes o cortafuegos se están utilizando así como y docenas de otras características. Aunque generalmente se utiliza Nmap en auditorías de seguridad, muchos administradores de redes y sistemas lo encuentran útil para realizar tareas rutinarias, como puede ser el inventariado de la red, la planificación de actualización de servicios y la monitorización del tiempo que los equipos o servicios se mantiene activos. .PP La salida de Nmap es un listado de objetivos analizados, con información adicional para cada uno dependiente de las opciones utilizadas. La información primordial es la \(lqtabla de puertos interesantes\(rq. Dicha tabla lista el número de puerto y protocolo, el nombre más común del servicio, y su estado. El estado puede ser open (abierto), filtered (filtrado), closed (cerrado), o unfiltered (no filtrado). Abierto significa que la aplicación en la máquina destino se encuentra esperando conexiones o paquetes en ese puerto. Filtrado indica que un cortafuegos, filtro, u otro obstáculo en la red está bloqueando el acceso a ese puerto, por lo que Nmap no puede saber si se encuentra abierto o cerrado. Los puertos cerrados no tienen ninguna aplicación escuchando en los mismos, aunque podrían abrirse en cualquier momento. Los clasificados como no filtrados son aquellos que responden a los sondeos de Nmap, pero para los que que Nmap no puede determinar si se encuentran abiertos o cerrados. Nmap informa de las combinaciones de estado open|filtered y closed|filtered cuando no puede determinar en cual de los dos estados está un puerto. La tabla de puertos también puede incluir detalles de la versión de la aplicación cuando se ha solicitado detección de versiones. Nmap ofrece información de los protocolos IP soportados, en vez de puertos abiertos cuando se solicita un análisis de protocolo IP con la opción (\fB\-sO\fR). .PP Además de la tabla de puertos interesantes, Nmap puede dar información adicional sobre los objetivos, incluyendo el nombre de DNS según la resolución inversa de la IP, un listado de sistemas operativos posibles, los tipos de dispositivo, y direcciones MAC. .PP Puede ver un análisis típico con Nmap en Example\ 1, \(lqEjemplo típico de análisis con Nmap\(rq. Los únicos parámetros de Nmap que se utilizan en este ejemplo son la opción \fB\-A\fR, que habilita la detección de sistema operativo y versión, y la opción \fB\-T4\fR que acelerar el proceso, y después el nombre de los dos objetivos. Example\ 1.\ Ejemplo típico de análisis con Nmap.sp .nf # nmap \-A \-T4 scanme.nmap.org saladejuegos Starting nmap ( http://www.insecure.org/nmap/ ) Interesting ports on scanme.nmap.org (205.217.153.62): (The 1663 ports scanned but not shown below are in state: filtered) PORT STATE SERVICE VERSION 22/tcp open ssh OpenSSH 3.9p1 (protocol 1.99) 53/tcp open domain 70/tcp closed gopher 80/tcp open http Apache httpd 2.0.52 ((Fedora)) 113/tcp closed auth Device type: general purpose Running: Linux 2.4.X|2.5.X|2.6.X OS details: Linux 2.4.7 \- 2.6.11, Linux 2.6.0 \- 2.6.11 Uptime 33.908 days (since Thu Jul 21 03:38:03 2005) Interesting ports on saladejuegos.nmap.org (192.168.0.40): (The 1659 ports scanned but not shown below are in state: closed) PORT STATE SERVICE VERSION 135/tcp open msrpc Microsoft Windows RPC 139/tcp open netbios\-ssn 389/tcp open ldap? 445/tcp open microsoft\-ds Microsoft Windows XP microsoft\-ds 1002/tcp open windows\-icfw? 1025/tcp open msrpc Microsoft Windows RPC 1720/tcp open H.323/Q.931 CompTek AquaGateKeeper 5800/tcp open vnc\-http RealVNC 4.0 (Resolution 400x250; VNC TCP port: 5900) 5900/tcp open vnc VNC (protocol 3.8) MAC Address: 00:A0:CC:63:85:4B (Lite\-on Communications) Device type: general purpose Running: Microsoft Windows NT/2K/XP OS details: Microsoft Windows XP Pro RC1+ through final release Service Info: OSs: Windows, Windows XP Nmap finished: 2 IP addresses (2 hosts up) scanned in 88.392 seconds .fi .PP Puede obtener la versión más reciente de Nmap en \fI\%http://www.insecure.org/nmap/\fR. La versión más reciente de la página de manual está disponible en \fI\%http://www.insecure.org/nmap/man/\fR. .SH "NOTAS DE LA TRADUCCIóN" .PP Esta edición de la Guía de referencia de Nmap ha sido traducida de la versión 2991 de la [1]\&\fIversión original en inglés\fR por Arturo Busleiman , Pablo Fernández y Javier Fernández\-Sanguino . Ha sido adaptada al español como se habla en España (localización \(Foes_ES\(Fc) por Javier Fernández\-Sanguino. Aunque nuestra intención es hacer Nmap más accesible a los lectores españoles en todo el mundo no podemos garantizar que esta traducción está tan actualizada o completa como la versión oficial en inglés. Este trabajo puede ser modificado y redistribuido bajo los términos de la [2]\&\fILicencia Creative Commons Atribución\fR. .PP Cualquier comentario o errata sobre esta traducción debe enviarse a Javier Fernández\-Sanguino. .SH "RESUMEN DE OPCIONES" .PP Cuando se ejecuta Nmap sin parámetros se muestra este resumen de opciones. Puede encontrar siempre la última versión en \fI\%http://www.insecure.org/nmap/data/nmap.usage.txt\fR. Aunque ayuda a recordar las opciones más habituales no es un sustituto de la documentación en detalle que acompaña al resto de este manual. Algunas de las opciones menos conocidas no se incluyen aquí. .PP .nf Uso: nmap [Tipo(s) de Análisis] [Opciones] {especificación de objetivos} ESPECIFICACIÓN DE OBJETIVO: Se pueden indicar nombres de host, direcciones IP, redes, etc. Ej: scanme.nmap.org, microsoft.com/24, 192.168.0.1; 10.0.0\-255.1\-254 \-iL : Lee una lista de hosts/redes del archivo. \-iR : Selecciona objetivos al azar \-\-exclude : Excluye ciertos sistemas o redes \-\-excludefile : Utilizar la lista de exclusión del fichero DESCUBRIMIENTO DE HOSTS: \-sL: Sondeo de lista \- Simplemente lista los objetivos a analizar \-sP: Sondeo Ping \- Sólo determina si el objetivo está vivo \-P0: Asumir que todos los objetivos están vivos \-PS/PA/PU [listadepuertos]: Análisis TCP SYN, ACK o UDP a los puertos indicados \-PE/PP/PM: Solicitar análisis ICMP del tipo echo, marca de fecha y máscara de red \-n/\-R: No hacer resolución DNS / Siempre resolver [por omisión: a veces] \-\-dns\-servers : Especificar servidores DNS específicos \-\-system\-dns: Utilizar la resolución del sistema operativo TÉCNICAS DE ANÁLISIS: \-sS/sT/sA/sW/sM: Análisis TCP SYN/Connect()/ACK/Window/Maimon \-sN/sF/sX: Análisis TCP Null, FIN, y Xmas \-\-scanflags : Personalizar los indicadores TCP a utilizar \-sI : Análisis pasivo ("Idle", N. del T.) \-sO: Análisis de protocolo IP \-b : Análisis por rebote FTP ESPECIFICACIÓN DE PUERTOS Y ORDEN DE ANÁLISIS: \-p : Sólo sondear los puertos indicados Ej: \-p22; \-p1\-65535; \-p U:53,111,137,T:21\-25,80,139,8080 \-F: Rápido \- Analizar sólo los puertos listados en el archivo nmap\-services \-r: Analizar los puertos secuencialmente, no al azar. DETECCIÓN DE SERVICIO/VERSIÓN: \-sV: Sondear puertos abiertos, para obtener información de servicio/versión \-\-version\-intensity : Fijar de 0 (ligero) a 9 (probar todas las sondas) \-\-version\-light: Limitar a las sondas más probables (intensidad 2) \-\-version\-all: Utilizar todas las sondas (intensidad 9) \-\-version\-trace: Presentar actividad detallada del análisis (para depurar) DETECCIÓN DE SISTEMA OPERATIVO \-O: Activar la detección de sistema operativo (SO) \-\-osscan\-limit: Limitar la detección de SO a objetivos prometedores \-\-osscan\-guess: Adivinar el SO de la forma más agresiva TEMPORIZADO Y RENDIMIENTO: \-T[0\-5]: Seleccionar plantilla de temporizado (los números altos son más rápidos) \-\-min\-hostgroup/max\-hostgroup : Paralelizar los sondeos \-\-min\-parallelism/max\-parallelism : Paralelización de sondeos \-\-min_rtt_timeout/max\-rtt\-timeout/initial\-rtt\-timeout : Indica el tiempo de ida y vuelta de la sonda \-\-max\-retries : Limita el número máximo de retransmisiones de las sondas de análisis de puertos \-\-host\-timeout : Abandonar un objetivo pasado este tiempo \-\-scan\-delay/\-\-max\-scan\-delay : Ajusta el retraso entre sondas EVASIÓN Y FALSIFICACIÓN PARA CORTAFUEGOS/IDS: \-f; \-\-mtu : fragmentar paquetes (opc. con el MTU indicado) \-D : Disimular el análisis con señuelos N. del T.: "ME" es "YO" mismo. \-S : Falsificar la dirección IP origen \-e : Utilizar la interfaz indicada \-g/\-\-source\-port : Utilizar el número de puerto dado \-\-data\-length : Agregar datos al azar a los paquetes enviados \-\-ttl : Fijar el valor del campo time\-to\-live (TTL) de IP \-\-spoof\-mac : Falsificar la dirección MAC \-\-badsum: Enviar paquetes con una suma de comprobación TCP/UDP falsa SALIDA: \-oN/\-oX/\-oS/\-oG : Guardar el sondeo en formato normal, XML, s|: Guardar en los tres formatos principales al mismo tiempo \-v: Aumentar el nivel de mensajes detallados (\-vv para aumentar el efecto) \-d[nivel]: Fijar o incrementar el nivel de depuración (Tiene sentido hasta 9) \-\-packet\-trace: Mostrar todos los paquetes enviados y recibidos \-\-iflist: Mostrar interfaces y rutas (para depurar) \-\-append\-output: Agregar, en vez de sobreescribir, a los archivos indicados con \-o. \-\-resume : Retomar un análisis abortado/detenido \-\-stylesheet : Convertir la salida XML a HTML según la hoja de estilo XSL indicada \-\-webxml: Referenciar a la hoja de estilo de Insecure.Org para tener un XML más portable \-\-no_stylesheet: No asociar la salida XML con ninguna hoja de estilos XSL MISCELÁNEO: \-6: Habilitar análisis IPv6 \-A: Habilita la detección de SO y de versión \-\-datadir : Indicar la ubicación de los archivos de datos Nmap personalizados. \-\-send\-eth/\-\-send\-ip: Enviar paquetes utilizando tramas Ethernet o paquetes IP "crudos" \-\-privileged: Asumir que el usuario tiene todos los privilegios \-V: Muestra el número de versión \-h: Muestra esta página resumen de la ayuda. EJEMPLOS: nmap \-v \-A scanme.nmap.org nmap \-v \-sP 192.168.0.0/16 10.0.0.0/8 nmap \-v \-iR 10000 \-P0 \-p 80 .fi .sp .SH "ESPECIFICACIóN DE OBJETIVOS" .PP Se considera una especificación de sistema objetivo todo lo que se escriba en la línea de parámetros de Nmap que no sea una opción. El caso más sencillo es la indicación de sólo una IP, o nombre de host, para que sea analizado. .PP Puede darse la situación en que uno desee analizar una red completa de equipos adyacentes. Nmap soporta el direccionamiento estilo CIDR para estos casos. Puede añadir /\fIcantBits\fR a una dirección IP o nombre de host para que Nmap sondee toda IP cuyos primeros \fIcantBits\fR sean los mismos que los de la dirección IP o nombre de host indicados. Por ejemplo, 192.168.10.0/24 analizaría los 256 hosts que existen entre la dirección 192.168.10.0 (que en binario se representa como 11000000 10101000 00001010 00000000) y la dirección 192.168.10.255 (binario: 11000000 10101000 00001010 11111111), ambas inclusives. De hecho, si usa 192.168.10.40/24 obtendría exactamente el mismo resultado. En el caso del host scanme.nmap.org que posee una dirección IP 205.217.153.62, la especificación scanme.nmap.org/16 analizaría las 65.536 direcciones IP entre 205.217.0.0 y 205.217.255.255. La máscara mas pequeña permitida es /1, que analizaría media Internet. La más grande, /32, analizaría únicamente la IP o nombre de host indicados porque todos los bits estarían fijos. .PP La notación CDIR es corta pero no siempre es suficiemente flexible. Por ejemplo, puede querer sondear la red 192.168.0.0/16 pero omitir cualquier IP que termine por .0 o por .255 ya que son habitualmente direcciones de difusión. Es posible hacer esto con Nmap dado a través del direccionamiento por octetos. En lugar de especificar una dirección IP normal puede especificar una lista separada por comas de números o rangos para cada octeto. Por ejemplo, si utiliza 192.168.0\-255.1\-254 se omitirán todas las direcciones del rango que terminen en .0 o .255. Los rangos no tienen por qué estar limitados a los últimos octetos. Por ejemplo, si especifica 0\-255.0\-255.13.37 se realizará un sondeo en todo Internet de direcciones IP que terminan en 13.37. Este tipo de muestreo amplio puede ser útil para encuestas en Internet y con fines de investigación. .PP Sólo puede especificar direcciones IPv6 si utiliza su nombre IPv6 totalmente cualificado o su nombre de host. No se soporta el uso de CIDR o rangos de octetos para IPv6 porque raramente son útiles. .PP Con Nmap puede especificar múltiples hosts en la línea de órdenes y no tienen por qué ser del mismo tipo. Por ejemplo, la orden \fBnmap scanme.nmap.org 192.168.0.0/16 10.0.0,1,3\-7.0\-255\fR hace lo que uno esperaría. .PP Aunque habitualmente se especifican los objetivos en la línea de órdenes puede utilizar las siguientes opciones para controlar la selección de objetivos: .TP \fB\-iL \fR (Entrada de una lista) Toma la especificación de objetivos del archivo \fIarchivo_entrada\fR. Habitualmente es un tanto molesto especificar una lista de sistemas muy grande en la línea de órdenes, pero es algo que también uno quiere hacer. Por ejemplo, si tu servidor DHCP puede exportar un listado de 10.000 direcciones entregadas IP que querría analizar. O tal vez quiera analizar todas las direcciones IP \fIexcepto\fR esas mismas direcciones para así localizar sistemas que estén utilizando direcciones IP estáticas no sin autorización. Para sondear un número elevado de objetivos sólo tiene que generar la lista en un archivo, y entregárselo a Nmap con la opción \fB\-iL\fR. Las entradas de ese archivo pueden estar en cualquiera de los formatos aceptados por Nmap en la línea de órdenes (direcciones IP, nombres de sistema, CIDR, IPv6 o rangos de octeto). Cada elemento debe estar separado por uno o más espacios, tabuladores, o por líneas. Si quiere leer el archivo de la entrada estándar puede especificar un guión (\-) como nombre de archivo. .TP \fB\-iR \fR (Elegir objetivos al azar) Cuando se quieren realizar encuestas que cubran toda Internet uno puede querer elegir objetivos al azar. La opción \fIcant. sistemas\fR indica a Nmap cuántas direcciones IP debe generar aleatoriamente. Se filtran de forma automática las direcciones no deseables, incluyendo las direcciones privadas, de multicast o direccionamiento no asignado. Si se utiliza el valor 0, Nmap realizará un análisis que no acabará nunca. Hay que tener en cuenta que a algunos administradores de red puede no gustarle que les analicen sus redes, y pueden llegar a quejarse \(r!Utilice esta opción bajo su propia responsabilidad! Si está realmente aburrido un día de tarde lluviosa, puede intentar la orden \fBnmap \-sS \-PS80 \-iR 0 \-p 80\fR para encontrar servidores web al azar para navegar. .TP \fB\-\-exclude \fR (Excluir equipo o redes) Indica con una lista separada por comas los objetivos que deben excluirse del análisis. Se excluirán aunque se encuentren dentro de un rango especificado en la línea de órdenes. La lista que se indica utiliza la sintaxis normal de Nmap, por lo que puede incluir nombres de equipo, rangos de red CIDR, rangos de octeto, etc. Esto puede ser útil cuando la red a analizar tiene objetivos que no se deben tocar, como puedan ser servidores de misión crítica, que pueden reaccionar adversamente a un análisis de puertos, o si la red incluye subredes administradas por otras personas. .TP \fB\-\-excludefile \fR (Excluir desde una Lista) Al igual que \fB\-\-exclude\fR, esta función permite excluir objetivos, pero en lugar de utilizar la línea de órdenes toma el listado de un \fIarchivo\fR, que utiliza la misma sintaxis que la opción \fB\-iL\fR. .SH "DESCUBRIENDO SISTEMAS" .PP Uno de los primeros pasos en cualquier misión de reconocimiento de red es el de reducir un (muchas veces enorme) conjunto de rangos de direcciones IP en una lista de hosts activos o interesantes. Analizar cada puerto de cada una de las direcciones IP es lento, y usualmente innecesario. Por supuesto, lo que hace a un host interesante depende ampliamente del propósito del análisis. Los administradores de red pueden interesarse sólo en hosts ejecutando un cierto servicio, mientras que los auditores de seguridad pueden interesarse en todos y cada uno de los dispositivos que tengan una dirección IP. Un administrador puede sentirse cómodo con obtener un listado de hosts en su red interna mediante un ping ICMP, mientras que un consultor en seguridad realizando un ataque externo puede llegar a utilizar un conjunto de docenas de sondas en su intento de saltarse las restricciones de los cortafuegos. .PP Siendo tan diversas las necesidades de descubrimiento de hosts, Nmap ofrece una gran variedad de opciones para personalizar las técnicas utilizadas. Al descubrimiento de sistemas (\(FoHost Discovery\(Fc) se lo suele llamar sondeo ping, pero va más allá de la simple solicitud ICMP echo\-request de los paquetes asociados al querido y nunca bien ponderado ping. Los usuarios pueden evitar el paso de ping utilizando un sondeo de lista (\fB\-sL\fR) o deshabilitando el ping (\fB\-P0\fR), o enviando combinaciones arbitrarias de sondas TCP SYN/ACK, UDP y ICMP a múltiples puertos de la red remota. El propósito de estas sondas es el de solicitar respuestas que demuestren que una dirección IP se encuentra activa (está siendo utilizada por un host o dispositivo de red). En varias redes solo un pequeño porcentaje de direcciones IP se encuentran activos en cierto momento. Esto es particularmente común en las redes basadas en direccionamiento privado RFC1918, como la 10.0.0.0/8. Dicha red tiene más de 16 millones de direcciones IP, pero la he visto siendo utilizada por empresas con menos de mil máquinas. El descubrimiento de hosts puede encontrar dichas maquinas en un rango tan grande como el indicado. .PP Si no se proveen opciones de descurbrimiento de sistemas, Nmap envía un paquete TCP ACK al puerto 80 y un ICMP Echo Request a cada máquina objetivo. Una excepción a este comportamiento es cuando se utiliza un análisis ARP, para los objetivos que se encuentren en la red Ethernet local. Para usuarios de shell UNIX que no posean privilegios, un paquete SYN es enviado en vez del ACK, utilizando la llamada al sistema \fBconnect()\fR. Estos valores por omisión son el equivalente a las opciones \fB\-PA \-PE\fR. Este descubrimiento de host es generalmente suficiente cuando se analizan redes locales, pero para auditorías de seguridad se recomienda utilizar un conjunto más completo de sondas de descubrimiento. .PP Las opciones \fB\-P*\fR (que permiten seleccionar los tipos de ping) pueden combinarse. Podes aumentar tus probabilidades de penetrar cortafuegos estrictos enviando muchos tipos de sondas utilizando diferentes puertos o banderas TCP y códigos ICMP. Recuerde que el ARP discovery (\fB\-PR\fR) se realiza por defecto contra objetivos de la red Ethernet local incluso si se especifica otra de las opciones \fB\-P*\fR, porque es generalmente más rápido y efectivo. .PP Las siguientes opciones controlan el descubrimiento de hosts. .TP \fB\-sL\fR (Sondeo de lista) El sondeo de lista es un tipo de descubrimiento de host que tan solo lista cada host de la/s red/es especificada/s, sin enviar paquetes de ningún tipo a los objetivos. Por defecto, Nmap va a realizar una resolución inversa DNS en los hosts, para obtener sus nombres. Es sorprendente cuanta información útil se puede obtener del nombre de un host. Por ejemplo fw.chi.playboy.com es el cortafuegos de la oficina en Chicago de Playboy Enterprises. Adicionalmente, al final, Nmap reporta el número total de direcciones IP. El análisis lista es una buena forma de asegurarse de que tenemos las direcciones IP correctas de nuestros objetivos. Si se encontraran nombres de dominio que no reconoces, vale la pena investigar un poco más, para prevenir realizar un análisis de la red de la empresa equivocada. .sp Ya que la idea es simplemente emitir un listado de los hosts objetivo, las opciones de mayor nivel de funcionalidad como análisis de puertos, detección de sistema operativo, o análisis ping no pueden combinarse con el análisis lista. Si deseas deshabilitar el análisis ping aún realizando dicha funcionalidad de mayor nivel, chequea la documentación de la opción \fB\-P0\fR. .TP \fB\-sP\fR (Sondeo ping) Esta opción le indica a Nmap que \fIúnicamente\fR realice descubrimiento de host mediante un sondeo ping, y que luego emita un listado de los hosts que respondieron al mismo. No se realizan mayores sondeos (como un análisis de puertos o detección de sistema operativo). A diferencia del análisis lista, el análisis ping es intrusivo, ya que envía paquetes a los objetivos, pero es usualmente utilizado con el mismo propósito. Permite un reconocimiento liviano de la red objetivo sin llamar mucho la atención. El saber cuantos hosts se encuentran activos es de mayor valor para los atacantes que el listado de cada una de las IP y nombres provisto por el análisis lista (List Scan). .sp De la misma forma, los administradores de sistema suelen encontrar valiosa esta opción. Puede ser fácilmente utilizada para contabilizar las máquinas disponibles en una red, o monitorizar servidores. A esto se lo suele llamar barrido ping, y es mas confiable que hacer ping a la dirección de broadcast, porque algunos hosts no responden a ese tipo de consultas. .sp La opción \fB\-sP\fR envía una solicitud de eco ICMP y un paquete TCP al puerto 80 por defecto. Cuando es ejecutado por un usuario sin privilegios, un paquete SYN es enviado (utilizando la llamada \fBconnect()\fR) al puerto 80 del objetivo. Cuando un usuario privilegiado intenta analizar objetivos en la red Ethernet local, se utilizan solicitudes ARP (\fB\-PR\fR) excepto que la opción \fB\-\-send\-ip\fR sea especificada. .sp La opción \fB\-sP\fR puede combinarse con cualquiera de las opciones de tipo de sonda de descubrimiento (las opciones \fB\-P*\fR, excepto \fB\-P0\fR) para mayor flexibilidad. Si se utilizan cualquiera de las opciones de tipo de sonda y número de puerto, las sondas por defecto (ACK y solicitud de eco ICMP) son ignoradas. Si entre el host corriendo Nmap y la red objetivo se encuentran cortafuegos estrictos, la utilización de estas técnicas es recomendada. De otra forma ciertos hosts podrían ser pasados por alto, ya que el cortafuegos anularía las sondas o las respuestas a las mismas. .TP \fB\-P0\fR (No realizar ping) Con esta opción, Nmap no realiza la etapa de descubrimiento. Bajo circunstancias normales, Nmap utiliza dicha etapa para determinar que máquinas se encuentran activas para un análisis más agresivo. Por defecto, Nmap realiza ese tipo de sondeos, como análisis de puertos, detección de versión o de sistema operativo contra los hosts que se descubren activos. El deshabilitar el descubrimiento de hosts con la opción \fB\-P0\fR provoca que Nmap intente las funciones de análisis solicitadas contra \fItodas\fR las direcciones IP especificadas. Por lo tanto, si se especifica a una red del tamaño de una clase B cuya espacio de direccionamiento es de 16 bits, en la línea de comandos, se analizará cada una de las 65.536 direcciones IP. El segundo carácter en la opción \fB\-P0\fR es un cero, y no la letra O. El descubrimiento de host apropiado es evitado, como con el Análisis Lista, pero en vez de detenerse y emitir un listado de objetivos, Nmap continúa y realiza las funciones solicitadas, como si cada IP objetivo se encontrara activa. .TP \fB\-PS [lista de puertos]\fR (Ping TCP SYN) Esta opción envía un paquete TCP vacío con la bandera SYN puesta. El puerto destino por omisión es el 80 (se puede configurar en tiempo de compilación cambiando el valor de DEFAULT_TCP_PROBE_PORT en \fInmap.h\fR), pero se puede añadir un puerto alternativo como parámetro. También se puede especificar una lista de puertos separados por comas (p.ej. \fB\-PS22,23,25,80,113,1050,35000\fR). Si hace esto se enviarán sondas en paralelo a cada uno de los puertos. .sp La bandera SYN indica al sistema remoto que quiere establecer una conexión. Normalmente, si el puerto destino está cerrado se recibirá un paquete RST (de \(Foreset\(Fc). Si el puerto está abierto entonces el objetivo responderá con el segundo paso del saludo en tres pasos TCP respondiendo con un paquete TCP SYN/ACK. El sistema donde se ejecuta Nmap romperá la conexión que se está estableciendo enviando un paquete RST en lugar de enviar el paquete ACK que completaría el saludo TCP. Nmap no envía este paquete, sino que lo envía el núcleo del sistema donde se ejecuta Nmap respondiendo al paquete SYN/ACK que no esperaba. .sp A Nmap no le importa si el puerto está abierto o cerrado. Si, tal y como se acaba de describir, llega una respuesta RST ó SYN/ACK entonces Nmap sabrá que el sistema está disponible y responde. .sp En sistemas UNIX, generalmente sólo el usuario privilegiado root puede enviar paquetes TCP crudos. Los usuarios no privilegiados tienen una forma de evitar esta restricción utilizando la llamada al sistema \(Foconnect()\(Fc contra el puerto destino. Esto hace que se envíe el paquete SYN al sistema, para establecer la conexión. Si la llamada \(Foconnect()\(Fc devuelve un resultado de éxito rápidamente o un fallo ECONNREFUSED entonces se puede deducir que la pila TCP que tiene bajo ésta ha recibido un SYN/ACK o un RST y que puede marcar el sistema como disponible. El sistema se puede marcar como no disponible si el intento de conexión se mantiene parado hasta que vence un temporizador. Esta es también la forma en la que se gestiona esto en conexiones IPv6 ya que Nmap aún no puede crear paquetes IPv6 crudos. .TP \fB\-PA [lista de puertos]\fR (Ping TCP ACK) El ping TCP ACK es muy parecido al ping SYN que se acaba de tratar. La diferencia es que en este caso se envía un paquete con la bandera ACK en lugar de la SYN. Este paquete indica que se han recibido datos en una conexión TCP establecida, pero se envían sabiendo que la conexión no existe. En este caso los sistemas deberían responder con un paquete RST, lo que sirve para determinar que están vivos. .sp La opción \fB\-PA\fR utiliza el mismo puerto por omisión que la sonda SYN (el puerto 80) y también puede tomar una lista de puertos destino en el mismo formato. Si un usuario sin privilegios intenta hacer esto, o se especifica un objetivo IPv6, se utiliza el procedimiento descrito anteriormente. Aunque en este caso el procedimiento no es perfecto porque la llamada \(Foconnect()\(Fc enviará un paquete SYN en lugar de un ACK. .sp Se ofrecen tanto mecanismos de sondeo con ping SYN y ACK para maximizar las posibilidades de atravesar cortafuegos. Muchos administradores configuran los enrutadores y algunos cortafuegos sencillos para que se bloqueen los paquetes SYN salvo para aquellos destinados a los servicios públicos, como pudieran ser el servidor web o el servidor de correo de la organización. Esto evita que se realicen otras conexiones entrantes al mismo tiempo que permite a los usuarios realizar conexiones salientes a Internet. Este acercamiento de filtrado sin estados toma pocos recursos de los cortafuegos/enrutadores y está ampliamente soportado por filtros hardware y software. El programa de cortafuegos Netfilter/iptables de Linux ofrece la opción \fB\-\-syn\fR para implementar este acercamiento sin estados. Cuando se han implementado reglas de filtrado como éstas es posible que se bloqueen las sondas ping SYN (\fB\-PS\fR) cuando éstas se envíen a un puerto cerrado. Sin embargo, en estos casos, las sondas ACK podrían saltarse las reglas y llegar a su destino. .sp Otros tipos de cortafuegos comunes utilizan reglas con estados que descartan paquetes no esperados. Esta funcionalidad se encontraba antes fundamentalmente en los cortafuegos de gama alta pero se ha hecho cada vez más común. El sistema Netfilter/iptables de Linux soporta esta posibilidad a través de la opción \fB\-\-state\fR, que hace categorías de paquetes en base a su estado de conexión. En estos sistemas es más probable que funcione una sonda SYN, dado que los paquetes ACK no esperados se reconocen como falsos y se descartan. Una solución a este dilema es enviar sondas SYN y ACK especificando tanto la opción \fB\-PS\fR como \fB\-PA\fR. .TP \fB\-PU [lista de puertos]\fR (Ping UDP) El ping UDP es otra opción para descubrir sistemas. Esta opción envía un paquete UDP vacío (salvo que se especifique \fB\-\-data\-length\fR) a los puertos indicados. La lista de puertos se debe dar en el mismo formato que se ha indicado anteriormente para las opciones \fB\-PS\fR y \fB\-PA\fR . Si no se especifica ningún puerto se utiliza el puerto 31338 por omisión. Se puede configurar este puerto por omisión en el momento de compilar cambiando DEFAULT_UDP_PROBE_PORT en \fInmap.h\fR. Se utiliza un puerto alto y poco común por omisión porque no es deseable enviar a otro tipo de puertos en este sondeo en particular. .sp La sonda UDP debería generar un paquete ICMP de puerto no alcanzable si da contra un puerto cerrado en el equipo objetivo. Si llega éste entonces Nmap puede identificar ese sistema como vivo y alcanzable. Otros errores ICMP, como el de sistema o red inalcanzables o TTL excedido indican un sistema que está muerto o que no es alcanzable. Si no llega ninguna respuesta también se entiende que el sistema no está disponible. Si se alcanza un puerto abierto la mayoría de los servicios simplemente descartarán el paquete vacío y no devolverán ninguna respuesta. Ésta es la razón por la que se utiliza el puerto por omisión 31338 ya que es poco probable que esté utilizándose. Algunos servicios, como chargen, responderán con un paquete UDP vacío lo que ayuda a Nmap a determinar que el sistema está disponible. .sp La principal ventaja de este tipo de sondeos es que atraviesan cortafuegos y filtros que sólo analizan TCP. Yo, por ejemplo, una vez fui propietario de un encaminador de banda ancha inalámbrico BEFW11S4. El interfaz externo de este dispositivo filtraba por omisión todos los puertos TCP, pero las sondas UDP podían generar mensajes de puerto no alcanzable y permitían detectar al dispositivo. .TP \fB\-PE\fR; \fB\-PP\fR; \fB\-PM\fR (Tipos de ping ICMP) Nmap puede enviar los paquetes estándar que envía el programa ping además de los tipos de descubrimiento de equipos con TCP y UDP. Nmap envía paquetes ICMP tipo 7 (\(Foecho request\(Fc) a las direcciones IP objetivos y espera recibir un tipo 0 (\(FoEcho Reply\(Fc) de los sistemas que estén disponibles. Lamentablemente para los exploradores de redes, muchos sistemas y cortafuegos ahora bloquean esos paquetes en lugar de responder como requiere el estándar [3]\&\fIRFC 1122\fR. Es por esto por lo que los sondeos que sólo son ICMP no son muy fiables para analizar sistemas desconocidos en Internet. Pero esto puede ser una forma eficiente y práctica de hacerlo para administradores que tengan que monitorizar una red interna. Utilice la opción \fB\-PE\fR para activar este comportamiento de solicitud de eco. .sp Nmap no hace sólo ésto aunque la solicitud eco es la consulta estándar de ping ICMP. El estándar ICMP ([4]\&\fIRFC 792\fR) también específica solicitudes de huellas de tiempo, de información y de máscara de red, que corresponden con los códigos 13, 15 y 17 respectivamente. Aunque el objetivo de estas solicitudes es obtener la máscara de red o fecha actual de un sistema también pueden utilizarse para descubrir sistemas. Un sistema que responde es por que está vivo y disponible. Nmap no implementa los paquetes de solicitud de información en sí, ya que no están muy soportados. El estándar RFC 1122 insiste en que \(lqun equipo NO DEBE implementar estos mensajes\(rq. Las consultas de huella de tiempo y máscara de red se pueden enviar con las opciones \fB\-PP\fR y \fB\-PM\fR, respectivamente. Si se recibe una respuesta de huella de tiempo (código ICMP 14) o de máscara de red (código 18) entonces es que el sistema está disponible. Estas dos consultas pueden ser útiles cuando los administradores bloquean los paquetes de consulta eco explícitamente pero se olvidan de que se pueden utilizar otra consultas ICMP con el mismo fin. .TP \fB\-PR\fR (Ping ARP) Una de las formas de uso más comunes de Nmap es el sondeo de una red de área local Ethernet. En la mayoría de las redes locales hay muchas direcciones IP sin usar en un momento determinado. Esto es así especialmente en las que utilizan rangos de direcciones privadas definidas en el RFC1918. Cuando Nmap intenta enviar un paquete IP crudo como pudiera ser una solicitud de eco ICMP, el sistema operativo debe determinar primero la dirección (ARP) correspondiente a la IP objetivo para poder dirigirse a ella en la trame Ethernet. Esto es habitualmente un proceso lento y problemático, dado que los sistemas operativos no se escribieron pensando en que tendrían que hacer millones de consultas ARP contra sistemas no disponibles en un corto periodo de tiempo. .sp El sondeo ARP hace que sea Nmap y su algoritmo optimizado el que se encargue de las solicitudes ARP. Si recibe una respuesta, no se tiene ni que preocupar de los paquetes basados en IP dado que ya sabe que el sistema está vivo. Esto hacer que el sondeo ARP sea mucho más rápido y fiable que los sondeos basados en IP. Por ello se utiliza por omisión cuando se analizan sistemas Ethernet si Nmap detecta que están en la red local. Nmap utilizar ARP para objetivos en la misma red local aún cuando se utilicen distintos tipos de ping (como \fB\-PE\fR o \fB\-PS\fR). Si no quiere hacer un sondeo ARP tiene que especificar la opción \fB\-\-send\-ip\fR. .TP \fB\-n\fR (Nunca resolver) Le indica a Nmap que \fInunca\fR debe realizar resolución DNS inversa de las direcciones IP activas que encuentre. Ya que DNS es generalmente lento, esto acelera un poco las cosas. .TP \fB\-R\fR (Resolver todos los objetivos) Le indica a Nmap que deberá realizar \fIsiempre\fR la resolución DNS inversa de las direcciones IP objetivo. Normalmente se realiza esto sólo si se descubre que el objetivo se encuentra vivo. .TP \fB\-\-system\-dns\fR (Utilizar resolución DNS del sistema) Por defecto, Nmap resuelve direcciones IP por si mismo enviando las consultas directamente a los servidores de nombres configurados en el sistema, y luego espera las respuestas. Varias solicitudes (generalmente docenas) son realizadas en paralelo para mejorar el rendimiento. Especifica esta opción si deseas que si utilice la resolución del sistema (una IP por vez utilizando la llamada getnameinfo()). Este método es más lento y raramente útil, excepto que hubiera un error en el código DNS de Nmap \-\- por favor notifícanos si ese fuera el caso. Para análisis IPv6 éste es el método por omisión. .TP \fB\-\-dns\-servers \fR (Servidores a utilizar para las consultas DNS) Nmap generalmente determina los servidores DNS de su archivo resolv.conf (UNIX) o del registro (Win32). Puede utilizar esta opción para especificar sus propios servidores. Esta opción no se utiliza si utiliza la opción \fB\-\-system\-dns\fR o está realizando un sondeo IPv6. La resolución a través de más de un servidor de DNS es generalmente más rápida que la consulta a uno solo. .SH "INTRODUCCIóN AL ANáLISIS DE PUERTOS" .PP Nmap comenzó como un analizador de puertos eficiente, aunque ha aumentado su funcionalidad a través de los años, aquella sigue siendo su función primaria. La sencilla orden \fBnmap \fR\fB\fIobjetivo\fR\fR analiza más de 1660 puertos TCP del host \fIobjetivo\fR. Aunque muchos analizadores de puertos han agrupado tradicionalmente los puertos en dos estados: abierto o cerrado, Nmap es mucho más descriptivo. Se dividen a los puertos en seis estados distintos: abierto, cerrado, filtrado, no filtrado, abierto|filtrado, o cerrado|filtrado. .PP Estos estados no son propiedades intrínsecas del puerto en sí, pero describen como los ve Nmap. Por ejemplo, un análisis con Nmap desde la misma red en la que se encuentra el objetivo puede mostrar el puerto 135/tcp como abierto, mientras que un análisis realizado al mismo tiempo y con las mismas opciones, pero desde Internet, puede presentarlo como filtrado. .PP \fBLos seis estados de un puerto, según Nmap\fR .TP abierto Una aplicación acepta conexiones TCP o paquetes UDP en este puerto. El encontrar esta clase de puertos es generalmente el objetivo primario de realizar un sondeo de puertos. Las personas orientadas a la seguridad saben que cada puerto abierto es un vector de ataque. Los atacantes y las personas que realizan pruebas de intrusión intentan atacar puertos abiertos, por lo que los administradores intentan cerrarlos, o protegerlos con cortafuegos, pero sin que los usuarios legítimos pierdan acceso al servicio. Los puertos abiertos también son interesantes en sondeos que no están relacionados con la seguridad porque indican qué servicios están disponibles para ser utilizados en una red. .TP cerrado Un puerto cerrado es accesible: recibe y responde a las sondas de Nmap, pero no tiene una aplicación escuchando en él. Pueden ser útiles para determinar si un host está activo en cierta dirección IP (mediante descubrimiento de hosts, o sondeo ping), y es parte del proceso de detección de sistema operativo. Como los puertos cerrados son alcanzables, o sea, no se encuentran filtrados, puede merecer la pena analizarlos pasado un tiempo, en caso de que alguno se abra. Los administradores pueden querer considerar bloquear estos puertos con un cortafuegos. Si se bloquean aparecerían filtrados, como se discute a continuación. .TP filtrado Nmap no puede determinar si el puerto se encuentra abierto porque un filtrado de paquetes previene que sus sondas alcancen el puerto. El filtrado puede provenir de un dispositivo de cortafuegos dedicado, de las reglas de un enrutador, o por una aplicación de cortafuegos instalada en el propio host. Estos puertos suelen frustrar a los atacantes, porque proveen muy poca información. A veces responden con mensajes de error ICMP del tipo 3, código 13 (destino inalcanzable: comunicación prohibida por administradores), pero los filtros que sencillamente descartan las sondas sin responder son mucho más comunes. Esto fuerza a Nmap a reintentar varias veces, considerando que la sonda pueda haberse descartado por congestión en la red en vez de haberse filtrado. Esto ralentiza dramáticamente los sondeos. .TP no filtrado Este estado indica que el puerto es accesible, pero que Nmap no puede determinar si se encuentra abierto o cerrado. Solamente el sondeo ACK, utilizado para determinar las reglas de un cortafuegos, clasifica a los puertos según este estado. El analizar puertos no filtrados con otros tipos de análisis, como el sondeo Window, SYN o FIN, pueden ayudar a determinar si el puerto se encuentra abierto. .TP abierto|filtrado Nmap marca a los puertos en este estado cuando no puede determinar si el puerto se encuentra abierto o filtrado. Esto ocurre para tipos de análisis donde no responden los puertos abiertos. La ausencia de respuesta puede también significar que un filtro de paquetes ha descartado la sonda, o que se elimina cualquier respuesta asociada. De esta forma, Nmap no puede saber con certeza si el puerto se encuentra abierto o filtrado. Los sondeos UDP, protocolo IP, FIN, Null y Xmas clasifican a los puertos de esta manera. .TP cerrado|filtrado Este estado se utiliza cuando Nmap no puede determinar si un puerto se encuentra cerrado o filtrado, y puede aparecer aparecer sólo durante un sondeo IPID pasivo. .SH "TéCNICAS DE SONDEO DE PUERTOS" .PP Cuando intento realizar un arreglo de mi coche, siendo novato, puedo pasarme horas intentando utilizar mis herramientas rudimentarias (martillo, cinta aislante, llave inglesa, etc.). Cuando fallo miserablemente y llevo mi coche antiguo en grúa al taller a un mecánico de verdad siempre pasa lo mismo: busca en su gran cajón de herramientas hasta que saca una herramienta que hace que la tarea se haga sin esfuerzo. El arte de sondear puertos es parecido. Los expertos conocen docenas de técnicas de sondeo y eligen la más apropiada (o una combinación de éstas) para la tarea que están realizando. Los usuarios sin experiencia y los "script kiddies", sin embargo, intentan resolver cada problema con el sondeo SYN por omisión. Dado que Nmap es libre, la única barrera que existe para ser un experto en el sondeo de puertos es el conocimiento. Esto es mucho mejor que el mundo del automóvil, donde puedes llegar a saber que necesitas un compresor de tuerca, pero tendrás que pagar mil dolares por él. .PP La mayoría de los distintos tipos de sondeo disponibles sólo los puede llevar a cabo un usuario privilegiado. Esto es debido a que envían y reciben paquetes en crudo, lo que hace necesario acceso como administrador (root) en la mayoría de los sistemas UNIX. En los entornos Windows es recomendable utilizar una cuenta de administrador, aunque Nmap algunas veces funciona para usuarios no privilegiados en aquellas plataformas donde ya se haya instalado WinPcap. La necesidad de privilegios como usuario administrador era una limitación importante cuando se empezó a distribuir Nmap en 1997, ya que muchos usuarios sólo tenían acceso a cuentas compartidas en sistemas como usuarios normales. Ahora ésto el mundo ha cambiado. Los ordenadores son más baratos, hay más personas que tienen acceso permanente a Internet, y los sistemas UNIX (incluyendo Linux y MAC OS X) son más comunes. También se dispone de una versión para Windows de Nmap, lo que permite que se ejecute en más escritorios. Cada vez es menos necesario ejecutar Nmap utilizando cuentas de sistema compartidas por todas estas razones. Esto es bueno, porque las opciones que requieren de más privilegios hacen que Nmap sea más potente y flexible. .PP Aunque Nmap intenta producir resultados precisos hay que tener en cuenta que sus resultados se basan en los paquetes que devuelve el sistema objetivo (o los cortafuegos que están delante de éstos). Estos sistemas pueden no ser fiables y envían respuestas cuyo objetivo es confundir a Nmap. Son aún más comunes los sistemas que no cumplen con los estándares RFC que no responden a las sondas de Nmap. Son especialmente susceptibles a este problema los sondeos FIN, Null y Xmas. Hay algunos problemas específicos a algunos tipos de sondeos que se discuten en las entradas dedicadas a sondeos concretos. .PP Esta sección documenta las aproximadamente doce técnicas de sondeos de puertos que soporta Nmap. Sólo puede utilizarse un método en un momento concreto, salvo por el sondeo UDP (\fB\-sU\fR) que puede combinarse con cualquiera de los sondeos TCP. Para que sea fácil de recordar, las opciones de los sondeos de puertos son del estilo \fB\-s\fR\fB\fIC\fR\fR, donde \fIC\fR es una letra característica del nombre del sondeo, habitualmente el primero. La única excepción a esta regla es el opción obsoleta de sondeo FTP rebotado (\fB\-b\fR). Nmap hace un sondeo SYN por omisión, aunque lo cambia a un sondeo Connect() si el usuario no tiene los suficientes privilegios para enviar paquetes en crudo (que hace falta que tenga acceso de administrador en UNIX) o si se especificaron objetivos IPv6. De los sondeos que se listan en esta sección los usuarios sin privilegios sólo pueden ejecutar los sondeos Connect() o de rebote FTP. .TP \fB\-sS\fR (sondeo TCP SYN) El sondeo SYN es el utilizado por omisión y el más popular por buenas razones. Puede realizarse rápidamente, sondeando miles de puertos por segundo en una red rápida en la que no existan cortafuegos. El sondeo SYN es relativamente sigiloso y poco molesto, ya que no llega a completar las conexiones TCP. También funciona contra cualquier pila TCP en lugar de depender en las idiosincrasia específicas de una plataforma especifica, al contrario de lo que pasa con los sondeos de Nmap Fin/Null/Xmas, Maimon o pasivo. También muestra una clara y fiable diferenciación entre los estados abierto, cerrado, y filtrado. .sp A esta técnica se la conoce habitualmente como sondeo medio abierto, porque no se llega a abrir una conexión TCP completa. Se envía un paquete SYN, como si se fuera a abrir una conexión real y después se espera una respuesta. Si se recibe un paquete SYN/ACK esto indica que el puerto está en escucha (abierto), mientras que si se recibe un RST (reset) indica que no hay nada escuchando en el puerto. Si no se recibe ninguna respuesta después de realizar algunas retransmisiones entonces el puerto se marca como filtrado. También se marca el puerto como filtrado si se recibe un error de tipo ICMP no alcanzable (tipo 3, códigos 1,2, 3, 9, 10, ó 13). .TP \fB\-sT\fR (sondeo TCP connect()) El sondeo TCP Connect() es el sondeo TCP por omisión cuando no se puede utilizar el sondeo SYN. Esto sucede, por ejemplo, cuando el usuario no tiene privilegios para enviar paquetes en crudo o cuando se están sondeando redes IPv6. Nmap le pide al sistema operativo subyacente que establezcan una conexión con el sistema objetivo en el puerto indicado utilizando la llamada del sistema connect(), a diferencia de otros tipos de sondeo, que escriben los paquetes a bajo nivel. Ésta es la misma llamada del sistema de alto nivel que la mayoría de las aplicaciones de red, como los navegadores de red o los clientes P2P, utilizan para establecer una conexión. Esta llamada es parte del interfaz de programación conocido como la API de conectores de Berkeley. También, en lugar de leer las respuestas directamente de la línea, Nmap utiliza esta API para obtener la información de estado de cada intento de conexión. .sp Generalmente es mejor utilizar un sondeo SYN, si éste está disponible. Nmap tiene menos control sobre la llamada de alto nivel Connect() que cuando utiliza paquetes en crudo, lo que hace que sea menos eficiente. La llamada al sistema completa las conexiones para abrir los puertos objetivo, en lugar de realizar el reseteo de la conexión medio abierta como hace el sondeo SYN. Esto significa que se tarda más tiempo y son necesarios más paquetes para obtener la información, pero también significa que los sistemas objetivos van a registrar probablemente la conexión. Un IDS decente detectará cualquiera de los dos, pero la mayoría de los equipos no tienen este tipo de sistemas de alarma. Sin embargo, muchos servicios de los sistemas UNIX habituales añadirán una nota en el syslog, y algunas veces con un mensaje de error extraño, dado que Nmap realiza la conexión y luego la cierra sin enviar ningún dato. Los servicios realmente patéticos morirán cuando ésto pasa, aunque esto no es habitual. Un administrador que vea muchos intentos de conexión en sus registros que provengan de un único sistema debería saber que ha sido sondeado con este método. .TP \fB\-sU\fR (sondeos UDP) Aunque la mayoría de los servicios más habituales en Internet utilizan el protocolo TCP, los servicios [5]\&\fIUDP\fR también son muy comunes. Tres de los más comunes son los servicios DNS, SNMP, y DHCP (puertos registrados 53, 161/162, y 67/68 respectivamente). Dado que el sondeo UDP es generalmente más lento y más difícil que TCP, algunos auditores de seguridad ignoran estos puertos. Esto es un error, porque es muy frecuente encontrarse servicios UDP vulnerables y los atacantes no ignoran estos protocolos. Afortunadamente, Nmap puede utilizarse para hacer un inventario de puertos UDP. .sp El sondeo UDP se activa con la opción \fB\-sU\fR. Puede combinarse con un tipo de sondeo TCP como el sondeo SYN (\fB\-sS\fR) para comprobar ambos protocolos al mismo tiempo. .sp Los sondeos UDP funcionan mediante el envío (sin datos) de una cabecera UDP para cada puerto objetivo. Si se obtiene un error ICMP que indica que el puerto no es alcanzable (tipo 3, código 3) entonces se marca el puerto como cerrado. Si se recibe cualquier error ICMP no alcanzable (tipo 3, códigos 1, 2, 9, 10, o 13) se marca el puerto como filtrado. En algunas ocasiones se recibirá una respuesta al paquete UDP, lo que prueba que el puerto está abierto. Si no se ha recibido ninguna respuesta después de algunas retransmisiones entonces se clasifica el puerto como abierto|filtrado. Esto significa que el puerto podría estar abierto o que hay un filtro de paquetes bloqueando la comunicación. Puede utilizarse el sondeo de versión (\fB\-sV\fR) para diferenciar de verdad los puertos abiertos de los filtrados. .sp Uno de las grandes problemas con el sondeo UDP es hacerlo rápidamente. Pocas veces llega una respuesta de un puerto abierto o filtrado, lo que obliga a expirar a Nmap y luego a retransmitir los paquetes en caso de que la sonda o la respuesta se perdieron. Los puertos cerrados son aún más comunes y son un problema mayor. Generalmente envían un error ICMP de puerto no alcanzable. Pero, a diferencia de los paquetes RST que envían los puertos TCP cerrados cuando responden a un sondeo SYN o Connect, muchos sistemas imponen una tasa máxima de mensajes ICMP de puerto inalcanzable por omisión. Linux y Solaris son muy estrictos con esto. Por ejemplo, el núcleo de Linux versión 2.4.20 limita la tasa de envío de mensajes de destino no alcanzable a uno por segundo (en \fInet/ipv4/icmp.c\fR). .sp Nmap detecta las limitaciones de tasa y se ralentiza para no inundar la red con paquetes inútiles que el equipo destino acabará descartando. Desafortunadamente, un límite como el que hace el núcleo de Linux de un paquete por segundo hace que un sondeo de 65536 puertos tarde más de 18 horas. Puede acelerar sus sondeos UDP incluyendo más de un sistema para sondearlos en paralelo, haciendo un sondeo rápido inicial de los puertos más comunes, sondeando detrás de un cortafuegos, o utilizando la opción \fB\-\-host\-timeout\fR para omitir los sistemas que respondan con lentitud. .TP \fB\-sN\fR; \fB\-sF\fR; \fB\-sX\fR (sondeos TCP Null, FIN, y Xmas) Estos tres tipos de sondeos (aunque puede hacer muchos más a través de la opción \fB\-\-scanflags\fR que se describe en la próxima sección) aprovechan una indefinición en la [6]\&\fIRFC de TCP\fR que diferencia los puertos abiertos y cerrados. La página 65 dice que \(lqsi el estado del puerto [destino] es CERRADO .... un segmento entrante que contiene un RST hace que se envíe un RST en la respuesta.\(rq Después la página siguiente discute los paquetes que se envían a puertos abiertos sin fijar los bits SYN, RST, o ACK, diciendo: \(lqes improbable que llegue aquí, pero si lo hace, debe descartar el segmento y volver.\(rq .sp Cuando se sondean sistemas que cumplen con el texto de esta RFC, cualquier paquete que no contenga los bits SYN, RST, o ACK resultará en el envío de un RST si el puerto está cerrado. Mientras que no se enviará una respuesta si el puerto está cerrado. Siempre y cuando se incluyan esos tres bits es válida la combinación de cualquiera de los otros tres (FIN, PSH, y URG). Nmap aprovecha esto con tres tipos de sondeo: .RS .TP Sondeo Null(\fB\-sN\fR) No fija ningún bit (la cabecera de banderas TCP es 0) .TP sondeo FIN (\fB\-sF\fR) Solo fija el bit TCP FIN. .TP sondeo Xmas (\fB\-sX\fR) Fija los bits de FIN, PSH, y URG flags, iluminando el paquete como si fuera un árbol de Navidad. .RE .IP Estos tres tipos de sondeos son exactamente los mismos en comportamiento salvo por las banderas TCP que se fijen en los paquetes sonda. Si se recibe un paquete RST entonces se considera que el puerto está cerrado. Si no se recibe ninguna respuesta el puerto se marca como cerrado|filtrado. El puerto se marca filtrado si se recibe un error ICMP no alcanzable (tipo 3, código 1, 2, 3, 9, 10, o 13). .sp La ventaja fundamental de este tipo de sondeos es que pueden atravesar algunos cortafuegos que no hagan inspección de estados o encaminadores que hagan filtrado de paquetes. Otra ventaja es que este tipo de sondeos son algo más sigilosos que, incluso, un sondeo SYN. Sin embargo, no cuente con que pase siempre esto ya que la mayoría de los productos IDS pueden configurarse para detectarlos. El problema es que no todos los sistemas siguen el estándar RFC 793 al pie de la letra. Algunos sistemas envían respuestas RST a las sondas independientemente de si el puerto está o no cerrado. Esto hace que la mayoría de los puertos se marquen como cerrados. Algunos sistemas operativos muy utilizados que hacen ésto son Microsoft Windows, muchos dispositivos Cisco, BSDI, e IBM OS/400. Este sondeo no funciona contra sistemas basados en UNIX. Otro problema de estos sondeos es que no se puede distinguir los puertos abiertos de algunos puertos filtrados, lo que resulta en la respuesta abierto|filtrado. .TP \fB\-sA\fR (sondeo TCP ACK) Este sondeo es distinto de otros que se han discutido hasta ahora en que no puede determinar puertos abiertos (o incluso abiertos|filtrados). Se utiliza para mapear reglas de cortafuegos, y para determinar si son cortafuegos con inspección de estados y qué puertos están filtrados. .sp La sonda de un sondeo ACK sólo tiene fijada la bandera ACK (a menos que utilice \fB\-\-scanflags\fR). Cuando se sondean sistemas no filtrados los puertos abiertos y cerrados devolverán un paquete RST. Nmap marca el puerto como no filtrado, lo que significa que son alcanzables por el paquete ACK, pero no se puede determinar si están abiertos o cerrados. Los puertos que no responden o que envían mensajes de error ICMP en respuesta (tipo 3, código 1, 2, 3, 9, 10, o 13), se marcan como filtrados. .TP \fB\-sW\fR (sondeo de ventana TCP) El sondeo de ventana ("window", N. del T.) es exactamente igual al sondeo ACK que se aprovecha de un detalle de implementación de algunos sistemas que permite diferenciar puertos abiertos de los cerrados, en lugar de imprimir no filtrado cuando se devuelve un RST. Hace esto examinando el campo de ventana TCP del paquete RST devuelto. Algunos sistemas fijan un tamaño de ventana positivo para puertos abiertos (incluso para paquetes RST) mientras que se utiliza una ventana de tamaño cero para los cerrados. Así, en lugar de listar el puerto como no filtrado cuando se recibe un RST, el sondeo de ventana permite listar el puerto como abierto o cerrado en función de si el valor de la ventana TCP en ese paquete RST es positivo o cero, respectivamente. .sp Este sondeo depende de un detalle de implementación de una minoría de sistemas q que existen en Internet, así que no es siempre fiable. Los sistemas que no hacen ésto habitualmente harán que se muestren los puertos como cerrados. Por supuesto, es posible que el sistema no tenga ningún puerto abierto. Si la mayoría de los puertos están cerrados pero alguno de los números de puertos comunes (como pueda ser el 22, 25 ó 53) están filtrados, entonces el sistema es posible que sea susceptible a ésto. Algunas veces hay sistemas que mostrarán el comportamiento justo contrario. Si su sondeo muestra 1000 puertos abiertos y 3 puertos cerrados o filtrados entonces es posible que sean estos últimos los que están abiertos en realidad. .TP \fB\-sM\fR (sondeo TCP Maimon) El sondeo Maimon debe su nombre a la persona que lo descubrió: Uriel Maimon. Describió la técnica en la revista Phrack número 49 (noviembre de 1996). Nmap, que incluye esta técnica, se publicó dos números más tarde. Esta técnica es exactamente la misma a los sondeos Null, FIN, y Xmas, pero en los que se envía una sonda FIN/ACK. Según el RFC 793 (TCP), se debería generar un paquete RST cuando se responde a dicha sonda independientemente de si el puerto está cerrado o abierto. Uriel se dio cuenta, sin embargo, de que muchos sistemas derivados de BCD simplemente descartan el paquete si el puerto está abierto. .TP \fB\-\-scanflags\fR (Sondeo TCP a medida) Los usuarios realmente avanzados de Nmap no tienen por qué limitarse a los tipos de sondeos preparados que se ofrecen. La opción \fB\-\-scanflags\fR le permite diseñar su propio sonde mediante la especificación de banderas TCP arbitrarias. Deje volar a su imaginación al tiempo que evita las reglas de los sistemas de detección de intrusos cuyos fabricantes sólo echaron un vistazo a la página de manual de Nmap y añadieron reglas específicas para detectarlo. .sp La opción \fB\-\-scanflags\fR puede ser un valor numérico como el 9 (PSH y FIN), aunque es más sencillo utilizar nombres simbólicos. Sólo tienes que juntar una combinación de URG, ACK, PSH, RST, SYN, y FIN. Por ejemplo, la configuración \fB\-\-scanflags URGACKPSHRSTSYNFIN\fR fija todas las banderas, aunque no es muy útil para sondear. No importa el orden en que se especifiquen los nombres. .sp Además de poder especificar las banderas que desee se puede especificar el tipo de sondeo TCP (como \fB\-sA\fR o \fB\-sF\fR). Ésto le dice a Nmap cómo debe interpretar las respuestas. Por ejemplo, un sondeo SYN considera que si no se recibe respuesta el puerto está filtrado mientras que si no se recibe una respuesta en un sondeo FIN se trata como abierto|filtrado. Nmap se comportará igual que para el sondeo tipo base, con la diferencia de que utilizar las banderas TCP que vd. especifique. Se utiliza el sondeo SYN si no se especifica ningún tipo base. .TP \fB\-sI \fR (Sondeo ocioso) Este es un método de sondeo avanzado que le permite hacer un sondeo de puertos TCP a ciegas de verdad (lo que significa que no se envía ningún paquete al sistema objetivo desde su dirección IP real). En lugar de ésto se aprovecha un ataque con un canal alternativo que se aprovecha de la generación de la secuencia de los identificadores de fragmentación IP del sistema zombi para obtener información de los puertos abiertos en el objetivo. Los sistemas IDS mostrarán que el sondeo lo está realizando el sistema zombi que especifique (que debe estar vivo y cumplir algunos requisitos). Este tipo de sondeo tan fascinante es demasiado complejo como para describirlo por completo en esta guía de referencia por lo que escribí y publiqué un documento informal que contiene todos los detalles, el documento está disponible en \fI\%http://www.insecure.org/nmap/idlescan.html\fR. .sp Además de ser extraordinariamente sigiloso (debido a su funcionamiento a ciegas), este tipo de sondeo permite determinar las relaciones basadas en IP entre distintos sistemas. El listado de puertos muestra los puertos abiertos \fIdesde la perspectiva del sistema zombi.\fR Así que puede analizar el mismo objetivo con zombis distintos que cree que podrían ser de confianza para éste (a través de las reglas de filtrados de los paquetes o reglas de filtrados de encaminadores). .sp Puede añadir un número de puerto separado por dos puntos del sistema zombi si desea analizar un puerto específico del zombi para consultar los cambios IPID. Si no lo hace Nmap utilizar el puerto que utiliza para pings TCP por omisión (el puerto 80). .TP \fB\-sO\fR (sondeo de protocolo IP) El sondeo de protocolo IP le permite determinar qué protocolos (TCP, ICMP, IGMP, etc.) soportan los sistemas objetivo. Esto no es, técnicamente, un sondeo de puertos, dado que cambia los números de protocolo IP en lugar de los números de puerto TCP ó UDP. Pero también se puede utilizar la opción \fB\-p\fR para seleccionar los números de protocolo a analizar, los resultados se muestran en el formato de tabla utilizado para los puertos e incluso utiliza el mismo motor de sondeo que los métodos de sondeo de puertos reales. Es tan parecido a un sondeo de puertos que debe tratarse aquí. .sp El sondeo de protocolos, además de ser útil en sí mismo, demuestra el poder del software de fuentes abiertas. Aunque la idea fundamental era bastante sencilla, no había pensado añadirla ni tampoco había habido personas que solicitaran esta funcionalidad. Entonces, en el verano de 2000, se le ocurrió la idea a Gerhard Rieger y la implementó escribiendo un parche excelente, enviándolo posteriormente a la lista de correo de nmap\-hackers. Incorporé ese parche en el árbol de código de Nmap y publiqué una nueva versión ese mismo día. \(r!Pocas piezas de programas comerciales tienen usuarios tan entusiastas que diseñan y contribuyen sus propias mejoras! .sp El sondeo de protocolos utiliza mecanismos parecidos al sondeo UDP. Envía cabeceras de paquetes IP iterando por el campo de 8 bits que indica el protocolo IP, en lugar de iterar por el campo de número de puerto de un paquete UDP. Las cabeceras generalmente están vacías y no contienen datos. De hecho, ni siquiera tienen una cabecera apropiada para el protocolo que se indica. Las tres excepciones son TCP, UDP e ICMP. Se incluye una cabecera de protocolo válida para éstos porque algunos sistemas no los enviarán sin ellas y porque Nmap ya tiene funciones para crearlas. El sondeo de protocolos espera la recepción de mensajes de ICMP \fIprotocolo\fR no alcanzable en lugar de mensajes ICMP puerto no alcanzable. Nmap marca el protocolo como abierto si recibe una respuesta en cualquier protocolo del sistema objetivo. Se marca como cerrado si se recibe un error ICMP de protocolo no alcanzable (tipo 3, código 2). Si se reciben otros errores ICMP no alcanzable (tipo 3, códigos 1, 3, 9, 10, o 13) se marca el protocolo como filtrado (aunque al mismo tiempo indican que el protocolo ICMP está abierto). El protocolo se marca como abierto|filtrado si no se recibe ninguna respuesta después de las retransmisiones. .TP \fB\-b \fR (sondeo de rebote FTP) Una funcionalidad interesante en el protocolo FTP ([7]\&\fIRFC 959\fR) es la posibilidad de utilizar conexiones FTP de pasarela. Esta opción puede abusarse a muchos niveles así que muchos servidores han dejado de soportarla. Una de las formas de abusar de ésta es utilizar el servidor de FTP para hacer un sondeo de puertos a otro sistema. Simplemente hace falta decirle al servidor de FTP que envíe un fichero a cada puerto interesante del servidor objetivo cada vez. El mensaje de error devuelto indicará si el puerto está abierto o no. Esta es una buena manera de atravesar cortafuegos porque, habitualmente, los servidores de FTP de una organización están ubicados en un lugar en el que tienen más acceso a otros sistemas internos que el acceso que tiene un equipo en Internet. Nmap puede hacer sondeos con rebotes de FTP con la opción \fB\-b\fR. Esta opción toma un argumento como: \fIusuario\fR:\fIcontraseña\fR@\fIservidor\fR:\fIpuerto\fR. \fIServidor\fR es el nombre de la dirección IP del servidor FTP vulnerable. Al igual que con una URL normal, se puede omitir \fIusuario\fR:\fIcontraseña\fR, en caso de que se deseen utilizar credenciales de acceso anónimo (usuario: : anonymous contraseña:\-wwwuser@)\- También se puede omitir el número de puerto (y los dos puntos que lo preceden). Si se omiten se utilizará el puerto FTP estándar (21) en \fIservidor\fR. .sp Esta vulnerabilidad era muy habitual en 1997, el año que se publicó Nmap, pero ya ha sido arreglada en muchos sitios. Aún siguen existiendo servidores vulnerables así que merece la pena probar este sondeo si lo demás falla. Si su objetivo es atravesar un cortafuegos, analice la red objetivo en busca del puerto 21 (o incluso cualquier servicio FTP, si sondea todos los puertos y activa la detección de versiones). Después intente un sondeo de rebote utilizando cada uno. Nmap le indicará si el sistema es o no vulnerable. Si está intentado ocultar sus huellas no tiene que (y de hecho no debería) limitarse a servidores en la red objetivo. En cualquier caso, antes de empezar a sondear Internet al azar para buscar servidores de FTP vulnerables, tenga en cuenta que pocos administradores de sistemas apreciarán el que abuse de sus servidores de esta forma. .SH "ESPECIFICACIóN DE PUERTOS Y ORDEN DE SONDEO" .PP Nmap ofrece distintas opciones para especificar los puertos que se van a sondear y si el orden de los sondeos es aleatorio o secuencial. Estas opciones se añaden a los métodos de sondeos que se han discutido previamente. Nmap, por omisión, sondea todos los puertos hasta el 1024 además de algunos puertos con números altos listados en el fichero \fInmap\-services\fR para los protocolos que se sondeen. .TP \fB\-p \fR (Sólo sonde unos puertos específicos) Esta opción especifica los puertos que desea sondear y toma precedencia sobre los valores por omisión. Puede especificar tanto números de puerto de forma individual, así como rangos de puertos separados por un guión (p. ej. 1\-1023). Puede omitir el valor inicial y/o el valor final del rango. Nmap utilizará 1 ó 65535 respectivamente. De esta forma, puede especificar \fB\-p\-\fR para sondear todos los puertos desde el 1 al 65535. Se permite sondear el puerto cero siempre que lo especifique explícitamente. Esta opción especifica el número de protocolo que quiere sondear (de 0 a 255) en el caso de que esté sondeando protocolos IP (\fB\-sO\fR). .sp Puede especificar un protocolo específico cuando sondee puertos TCP y UDP si precede el número de puerto con T: o U:. El calificador dura hasta que especifique otro calificador. Por ejemplo, la opción \fB\-p U:53,111,137,T:21\-25,80,139,8080\fR sondearía los puertos UDP 53,111, y 137, así como los puertos TCP listados. Tenga en cuenta que para sondear tanto UDP como TCP deberá especificar la opción \fB\-sU\fR y al menos un tipo de sondeo TCP (como \fB\-sS\fR, \fB\-sF\fR, o \fB\-sT\fR). Si no se da un calificador de protocolo se añadirán los números de puerto a las listas de todos los protocolos. .TP \fB\-F\fR (Sondeo rápido (puertos limitados)) Indica que sólo quiere sondear los puertos listados en el fichero \fInmap\-services\fR que se incluye con nmap (o el fichero de protocolos si indica \fB\-sO\fR). Esto es más rápido que sondear todos los 65535 puertos de un sistema. La diferencia de velocidad con el sondeo TCP por omisión (unos 1650 puertos) no es muy alta dado que esta lista contiene muchos puertos TCP (más de 1200). La diferencia puede ser muy grande si especifica su propio fichero \fInmap\-services\fR más pequeño si utiliza la opción \fB\-\-datadir\fR. .TP \fB\-r\fR (No aleatorizar los puertos) Nmap ordena de forma aleatoria los puertos a sondear por omisión (aunque algunos puertos comúnmente accesibles se ponen al principio por razones de eficiencia). Esta aleatorización generalmente es deseable, pero si lo desea puede especificar la opción \fB\-r\fR para analizar de forma secuencia los puertos. .SH "DETECCIóN DE SERVICIOS Y DE VERSIONES" .PP Si le indicas a Nmap que mire un sistema remoto te dirá que tiene abiertos los puertos 25/tcp, 80/tcp y 53/udp. Informará que esos puertos se corresponden habitualmente con un servidor de correo (SMTP), servidor de web (HTTP) o servidor de nombres (DNS), respectivamente, si utilizas su base de datos \fInmap\-services\fR con más de 2.200 puertos conocidos. Generalmente este informe es correo dado que la gran mayoría de demonios que escuchan en el puerto 25 TCP son, en realidad, servidores de correo. \(r!Pero no debe confiar su seguridad en este hecho! La gente ejecuta a veces servicios distintos en puertos inesperados .PP Aún en el caso de que Nmap tenga razón y el servidor de ejemplo indicado arriba está ejec