Por las tierras de los Banu Qasi

Todos los ejemplos que siguen los he sacado de la página man de nmap, por lo tanto estoy copiando a Fyodor el creador de esta herramienta. Podéis mirar su página http://www.insecure.org/namp. Está en inglés pero hay alguna documentación en castellano.

Empecemos:

Ejecución de nmap sin parámetros como mostraba en un post anterior

Starting nmap 3.81 ( http://www.insecure.org/nmap/ ) at 2005-06-19 20:02 CEST

Interesting ports on 192.168.XXX.XX:

(The 1658 ports scanned but not shown below are in state: closed)

PORT STATE SERVICE

135/tcp open msrpc

139/tcp open netbios-ssn

445/tcp open microsoft-ds

1025/tcp open NFS-or-IIS

5000/tcp open UPnP

MAC Address: XX:XX:XX:XX:XX:XX (Edimax Technology CO.)

Nmap finished: 1 IP address (1 host up) scanned in 12.248 seconds

Nota las X sustituyen a números o letras según corresponda.

Aquí tenemos una salida típica de un ordenador windows: un monton de cosas abiertas.

Miramos http://www.hackingballz.com/todo_sobre_puertos/1 qué puertos son los que están abiertos:

135 con protocolo tcp para el servicio epmap es bueno para que ser utilizado por los siguientes gusanos: W32.Blaster.Worm y W32/Lovsan.worm

139 con protocolo tcp para el servicio netbios-ssn es bueno para ser utilizado por los siguientes gusanos, virus y demás animalitos: Chode,God Message worm,Msinit,Netlog, Network, Qaz, Sadmind,SMB Relay. Vamos que si hubiera más bichos todos entrarían por aquí.

445 con protocolo tcp microsoft-ds y pidiendo a gritos que entren animalitos tales como: Lioten, Randon, WORM_DELODER.A, W32/Deloder.A, W32.HLLW.Deloder, Sasser

1025 con protocolo tcp NFS-or-IIS este tampocos se libra de ser un coladero preferido por todo esto: Fraggle Rock, md5 Backdoor, NetSpy, Remote Storm

5000 con protocolo tcp se están bajando música UPnP ideal para la siguiente fauna: Back Door Setup, BioNet Lite, Blazer5, Bubbel, ICKiller, Ra1d, Sockets des Troie, Kibuv

La pregunta del millón es cómo se cierran todos estos puertos con todos esos pretendientes. Pero es muy complicada, lo más básico es utilizar un cortafuegos, pero no hay garantía al 100×100. Otra cosa que se puede utilizar es repasar windows y cerrar todos los servicios que no se utilicen, pero según cuentan por los foros, windows tiene una necesidad imperiosa de abrir puertos y haría falta cambiar el registro de windows y eso son palabras mayores. Yo sé poco más, que borrar la basura que deja algún programa al desinstalarse. Aquí tenéis una dirección que he encontrado con una consulta al google como esta cerrar puerto 135 href=”http://www.lukor.com/foro/257.htm” target=”_parent”>http://www.lukor.com/foro/257.htm. Por lo demás, hay que actuar como en la vida diaria. Si entramos en zonas de riesgo, es posible que salgamos trasquilados y aunque no entremos también es verdad. Los catarros y cosas mayores nos pueden entrar en cualquier momento. En linux existe iptables, que estoy aprendiendo a utilizar, pronto comentaré algo.

Pero sigamos investigando nuestra red. Ahora usaremos nmap -v

-v este parámetro le indica a nmap que nos vaya describiendo sus progresos y nos lo muestre en pantalla.

Starting nmap 3.81 ( http://www.insecure.org/nmap/ ) at 2005-06-19 20:56 CEST

Initiating SYN Stealth Scan against 192.168.XXX.XXX [1663 ports] at 20:56

Increasing send delay for 192.168.XXX.XXX from 0 to 5 due to 11 out of 34 dropped probes since last increase.

Discovered open port 445/tcp on 192.168.XXX.XXX

Discovered open port 139/tcp on 192.168.XXX.XXX

Discovered open port 1025/tcp on 192.168.XXX.XXX

Discovered open port 5000/tcp on 192.168.XXX.XXX

Discovered open port 135/tcp on 192.168.XXX.XXX

The SYN Stealth Scan took 18.54s to scan 1663 total ports.

Host 192.168.1.33 appears to be up … good.

Interesting ports on 192.168.XXX.XXX:

(The 1658 ports scanned but not shown below are in state: closed)

... Aquí aparece lo mismo que habiamos visto antes.

En la primera parte, que es la que varía con respecto a lo que habíamos visto antes, vemos como nmap va descubriendo los puertos utilizando el indicador SYN (este indicador señala que se quiere iniciar la sesión)

Cómo sabemos los hosts encedidos de nuestra red, pues enviadole un ping. Así tenemos

El parámetro -s es el modo silencioso u oculto, y el parámetro -P es el que envía el ping a todos los hosts y los que respondan serán los que están encendidos.

Saber cuál es el sistema operativo que está funcionando se puede conocer con el parámetro -O.

nmap -sS -O 192.168.0.0/24

Aquí usamos nmap que envía SYN, procurando pasar desapercibido, de forma silenciosa con el parámetro s, como dije antes. Y O trata de decirnos qué sistemas operativos tenemos en nuestra red interna y nos dará información sobre los puertos. Esta técnica es la más usada por los que quieren averiguar algo de nosotros y saber de nuestras debilidades.

Si queremos de verdad pasar desapercibidos de los logs de los cortafuegos utilizaremos el parámetro Xmas, que envía los siguientes indicadores activa las flags FIN (final de sesión),URG (urgente,antes que nos pillen) y PUSH (reforzamos la urgencia). El parámetro p indica a nmap que, lo que sigue, es el puerto donde queremos que mire.

nmap -sX -p 22,53,110,143 192.168.0.0/24

Con este comando, además de procurar no llamar la atención, vemos el estado de los siguientes puertos:

22 Secure Shell, un sistema de telnet encriptado.

53 Servicio para traducir los nombres de servidores en direcciones IP.

110 Este puerto corresponde al servicio de correo POP3.

143 La presencia de este puerto de web segura en tu sistema implica que tu sistema establece conexiones seguras con los navegadores web.

Para las direcciones ip también se pueden usar comodines como el asterisco, que iquivale,en este caso a un número cualquiera. Si usamos comodines debemos poner la dirección entre comillas simples.Así:

Con este comando queremos saber los hosts con la dirección ip que comienza por 127 al 222, el segundo número el asterisco * indica que cualquiera, el tercer número el 2 y el último número puede ser el 3, el 4 o el 5.

Otro día más.