Post on 21-Jun-2015
www.csirtcv.gva.es
3.
4. Descubrimiento de equipos y puertos 5. Detectando la versin del SSOO y del servicio 6. Deteccin y evasin de firewalls e IDS 7. Nmap Scripting Engine 8. Consejos de optimizacin del rendimiento 9. Contramedidas contra Nmap 10.
11. Escanea equipos y redes 12. Primera versin 1997 por Fyodor 13. Gratuita, abierta, GPL 14. Multiplataforma 15. Documentada 16. Respaldada por una gran comunidad 17.
18. En funcin de las respuestas, reconoce equipos y servicios activos. 19. Aprovecha ambigedades en protocolos de red para adivinar la versin del SSOO 20. Necesario conocimientos bsicos del protocolo TCP para entender y aprovechar al mximo el funcionamiento de Nmap 21.
PETICIN DEL CLIENTE PARA CONECTARSE A UN PUERTO 22.
SYN/ACK SI EST DISPONIBLE, RESPUESTA AFIRMATIVA DEL SERVIDOR 23.
SYN/ACK CONFIRMACIN DEL CLIENTE, COMPLETANDO LA CONEXIN 24.
25.
Nmap done: 1 IP address (1 host up) scanned in 12.69 seconds 26.
27. CERRADO : el puerto es alcanzable, pero no hay ninguna aplicacin a la escucha. 28. FILTRADO : no hay respuesta. Seguramente hay un firewall en medio. 29.
Barrido con pings # nmap -sP 192.168.1.0/24 Si el trfico ICMP est filtrado, se puede hacer barrido con ping TCP # nmap -sP -PS80,21,22,25 192.168.1.0/24 30.
- Escaneo a puertos especficos -p # nmap -T4 -p21,22,25,80,137,8080 192.168.1.0/24 - Escaneo rpido, 100 puertos ms usuales -F # nmap -T4 -F 192.168.1.0/24 31.
# nmap -T4-O10.10.10.30 Not shown: 997 closed ports PORTSTATE SERVICE 135/tcpopenmsrpc 139/tcpopennetbios-ssn 445/tcpopenmicrosoft-ds Running:Microsoft Windows Vista|2008|7 OS details:Microsoft Windows Vista SP0 - SP2, Server 2008, or Windows 7 Ultimate 32.
# nmap -T4-sV10.10.10.30 Not shown: 998 closed ports PORTSTATE SERVICE VERSION 80/tcpopenhttpApache httpd 2.2.16 (Debian) 3333/tcp opensshOpenSSH 5.5p1 Debian 6+squeeze1 (protocol 2.0) 33.
# nmap -T4-A10.10.10.30 Modificador-A
35. Uso de scripts -sC 36. Uso de traceroute --traceroute 37.
# nmap -T4-sU -F10.10.10.20 Not shown: 997 closed ports PORTSTATESERVICE 67/udpopen|filtered dhcps 68/udpopen|filtered dhcpc 135/udpopen|filtered msrpc -En UDP no podemos determinar si un puerto est abierto o filtrado (por eso tarda tanto) - Interesante usar -sV para reconocer servicio y -F (hay pocos puertos comunes en UDP) 38.
39. Deteccin de la poltica por defecto.
40. DEFAULT DROP Deteccin del tipo de firewall
41. STATEFULL Evasin de firewalls e IDS 42.
Basado en el estado de los puertos no mostrados en un escaneo
44.
FIREWALL ACCEPT POR DEFECTO #nmap -T4 ejemplo.com Not shown:995 closed ports PORT STATE SERVICE 22/tcp open ssh 80/tcp open http 135/tcp filtered msrpc 139/tcp filtered netbios-ssn 445/tcp filtered microsoft-ds Respuesta activaRSTde 995 puertos 45.
FIREWALL DROP POR DEFECTO #nmap -T4 asdf.com Not shown:996 filtered ports PORT STATE SERVICE 22/tcp open ssh 25/tcp closed smtp 80/tcp open http 113/tcp closed auth Sin respuesta de 996 puertos 46.
DETECCIN DEL TIPO DE FIREWALL
47. Se lanza Nmap normal (SYN scan)
48. Xmas scan 49. FIN scan Si el segundo scan no muestra resultado, es un firewall statefull 50.
FIREWALL STATEFULL #nmap -sA -T4 asdf.com Not shown:1000 filteredportsFirewall detecta paquetes ACK sin establecer conexin previa y los dropea 51.
FIREWALL SIN ESTADO #nmap -sA -T4 asdf.com Not shown: 996 filtered portsPORT STATE SERVICE 22/tcp unfiltered ssh 25/tcp unfiltered smtp 80/tcp unfiltered http 113/tcp unfiltered auth Sondas ACK han burlado el firewall 52.
Manipulacin del puerto de origen
53. Permiten todo el trfico entrante 54. An teniendo reglas que lo bloqueen implcitamente!!! Ej:
55. OS X TIGER permita trfico desde el puerto 67 (DHCP) y 5353 (Zeroconf) 56.
Escaneo IPv6
57. No se tienen en cuenta 58. Electrnica que an no soporta reglas de filtrado IPv6 59. Posibilidad de llegar a servicios que estn filtrados solo en IPv4 60.
#nmap -T4 asdf.com PORT STATE SERVICE 22/tcp open ssh 25/tcp filtered smtp 80/tcp open http 113/tcp closed auth#nmap -T4-6asdf.com PORT STATE SERVICE 22/tcp open ssh 25/tcp open smtp 80/tcp open http 113/tcp closed auth 61.
Fragmentacin IP
62. Podran dejarlos pasar todos los fragmentos (o ignorarlos) 63. Modificador -f 64. Se puede usar tambin mtu 65.
BARRIDOS LEEEEENTOS
66. Evitar deteccin por reglas de X paquetes en Y segundos. 67. Modificador T0: envo de sonda por cada 300sg -_-zZzZzz 68. Modificador T1: envo de sonda por cada 15sg 69.
70. Permite al usuario escribir scripts para automatizar tareas 71. Basado en lenguaje LUA 72. Permite:
73. Explotacin de vulnerabilidades 74. Etcetcetc........ 75.
# nmap -sC -p139 -T4 1.2.3.4 Starting Nmap ( http://nmap.org ) Nmap scan report for flog (1.2.3.4) PORTSTATE SERVICE 139/tcpopennetbios-ssn Host script results: |smb-os-discovery : Unix | LAN Manager: Samba 3.0.31-0.fc8 |_Name: WORKGROUP Nmap done: 1 IP address scanned in 0.33 seconds 76.
77. 74 librerias Mantenidos activamente por comunidad en lista de correo nmap-dev 78. Categorias:
http://nmap.org/nsedoc/ 79.
--script
--script-args 80.
81. No es lo mismo escanear una red lejana que una LAN 82. Ni con firewalls que sin ellos 83. Los tiempos de respuesta son diferentes 84.
85. Plantillas de tiempo: -T0...T6
86. T2,T3, lento. Redes muy saturadas o inferiores a modems 56Kb 87. T4,T5 rpido, apaa para redes WAN o LAN (Por defecto T3) 88.
90. Uso de modificadores para configuracin avanzada de tiempo 91.
- Agrupa las IPs y las escanea en paralelo - Interesante usarlo en escaneos UDP o con pocos puertos por host 92.
- Ajusta el tiempo de rtt (round trip time) - Se puede aproximar con ping/hping3 5 packets transmitted, 5 received, time 4005ms rtt min/avg/max/mdev=210.736/ 215.089/221.475 /4.063 93.
- Nmero de sondas pendientes de respuesta que es capaz de manejar. - Nmap calcula este valor de forma dinmica -Si se estn perdiendo paquetes, ralentiza el envo de sondas y reduce el nmero de respuestas pendientes, para no perder precisin 94.
T0 T1 T2 T3 T4 T5 min-rtt-timeout 100 100 100 100 100 50 max-rtt-timeout 300,000 15,000 10,000 10,000 1,250 300 Initialrtt-timeout 300,000 15,000 1,000 1,000 500 250 max-retries 10 10 10 10 6 2 host-timeout 0 0 0 0 0 900,000 min-parallelism Dinmico max-parallelism 1 1 1 Dinmico min-hostgroup Dinmico max-hostgroup Dinmico TABLA DE TIEMPOS 95.
# Nmap done at Tue Nov 29 14:45:36 2011 -- 256 IP addresses (229 hosts up) scanned in 3475.76 seconds - nmap -T4 --initial-rtt-timeout 250 --max-rtt-timeout 500 --max-retries 2 --min-parallelism 701.2.3.0/24 # Nmap done at Wed Nov 30 11:30:57 2011 -- 256 IP addresses (229 hosts up) scanned in1052.46seconds 96.
# Nmap done at Wed Dec7 12:50:22 2011 -- 1024 IP addresses (339 hosts up) scanned in 2227.96 seconds - nmap -T4 --initial-rtt-timeout 2 --max-rtt-timeout 5 --max-retries 2 --min-parallelism 70 217.124.152.0/22 # Nmap done at Wed Dec7 13:33:08 2011 -- 1024 IP addresses ( 395 hosts up ) scanned in875.07 second 97.
98. Cierra puertos innecesarios 99. Busca vulnerabilidades y arrglalas! 100. Interesante programar escaneos peridicos y comparar resultados con Ndiff 101.
102. Es habitual ignorar la deteccin, debido a que casi siempre son inofensivos 103. Pero a veces es precursor a una intrusin 104. Interesante correlar esta informacin
105. Escaneo y caida de servicio 106.
107. Interesante bindear un servicio a un puerto poco conocido 108. Obligas a hacer un barrido completo 109. Valorar seguridad vs usabilidad
110.
Port Knoking
Honeypots
111. www.neuronasdigitales.com Twitter: @spankito