Entrar al aula
×

Herramientas de análisis de red, puertos y servicios

Las herramientas vistas hasta ahora se basaban únicamente en las características de los protocolos de Internet. Ahora presentamos otra serie de herramientas de análisis de red algo más sofisticadas. Su finalidad es la de evaluar los sistemas informáticos desde el punto de vista de la seguridad, y no tanto la depuración de errores en la configuración, si bien también pueden ser detectados con ellas.

Del mismo modo que las anteriores, se basan en los protocolos de Internet para sondear las redes y sistemas operativos, identificando equipos, viendo qué puertos de comunicación están siendo utilizados, tratando de detectar vulnerabilidades y recopilando información de uso de la red, como datos de latencia y congestión. Estas utilidades más avanzadas, a veces se basan en los servicios más básicos que proporcionan otras utilidades, como ping, traceroute o nslookup

Describimos a continuación algunas de estas utilidades/herramientas.

Nmap

Ha llegado a ser una de las herramientas imprescindibles para todo administrador de sistema, y es usado para pruebas de penetración y tareas de seguridad informática en general.

Como muchas herramientas usadas en el campo de la seguridad informática, es también una herramienta muy utilizada para hacking. Es decir que mientras los administradores de sistema lo usan para verificar la presencia de posibles aplicaciones no autorizadas ejecutándose en el servidor, los crackers pueden usarlo para descubrir objetivos potenciales de ataque en dichas vulnerabilidades.

Se caracteriza por proporcionar estos servicios entre otros:

Descubrimiento de servidores
Identifica computadoras en una red, por ejemplo listando aquellas que responden ping. Permite hacer el inventario y el mantenimiento del inventario de computadores de una red. Se puede usar entonces para auditar la seguridad de una red, mediante la identificación de todo nuevo servidor que se conecte.
Puertos abiertos
Identifica puertos abiertos en una computadora objetivo.
Servicios en ejecución
Determina qué servicios está ejecutando la misma.
Fingerprinting
Determinar qué sistema operativo y versión utiliza dicha computadora, (esta técnica es también conocida como fingerprinting).
Datos de Hardware
Obtiene algunas características del hardware de red de la máquina objeto de la prueba.

Nmap interfiere lo menos posible con las operaciones normales de las redes y de las computadoras que son analizadas. Nmap puede funcionar en sistemas operativos basados en Unix (GNU/Linux, Solaris, BSD y Mac OS X), y también en otros Sistemas Operativos como Microsoft Windows yAmigaOS.

Si bien toda la funcionalidad de nmap es accesible por medio de la línea de comandos, también cuenta con una interfaz gráfica, para facilitar su manejo. La interfaz usuario oficial es nmapfe y Nmap la integra desde la versión 2.2. Existen otras interfaces basadas en navegadores Web o específicas para entornos Windows, como ZenMap.


Ejemplo de topología de red identificada con nmap y mostrada en ZenMap

Te indicamos algunos enlaces relacionados con nmap:
- Sitio web oficial de nmap, desde donde descargar el software.
- Documentación oficial de Nmap en español.
Nmap fue utilizado en la película Matrix (1999), con un interfaz adaptado. Trinity, la protagonista de la película, lo utiliza para llevar a cabo un ataque a un servidor SSH, aprovechando una vulnerabilidad del mismo en ese momento.

Escaneo de Puertos

Una de las acciones imprescindibles que un/a buen/a administrador/a de sistemas ha de llevar a cabo para proteger su red es la de cerrar (deshabilitar) todos los puertos UDP y TCP que no están siendo utilizados en los equipos de nuestra red. Muchos de los ataques se llevan a cabo precisamente sobre esos puertos y lo que se consigue al deshabilitarlos, es que no se pueda establecer ninguna comunicación con ellos.

En este enlace se muestra información sobre qué son los puertos, cómo identificar puertos abiertos en Windows y cómo deshabilitarlos con la herramienta CurrPorts
Existen herramientas que nos ayudan a llevar a cabo el Escaneo de Puertos. De nuevo, son herramientas que no solo usan los/as administradores/as de red para identificar puertos que han de proteger, sino también los hacker, para identificar puertos desprotegidos que poder atacar.

NBTScan

NBTScan es una utilidad de línea de comandos que realiza análisis en busca de servidores de nombres NetBIOS abiertos en redes TCP/IP locales o remotas, con la finalidad de localizar recursos compartidos abiertos (generalmente carpetas compartidas de datos). Se basa en herramienta nbtstat, pero operando en un rango de direcciones en lugar de en una sola.

Es un "caso particular" de escaneo de puertos, en el que se escanean solo los puertos NetBIOS para buscar recursos.

En este artículo se describe cómo se utiliza NETBIOS para crear recursos compartidos en la red, y los peligros que esto conlleva si no se hace bien.
Esta es la página principal de la utilidad NBTScan, desde donde la puedes descargar en su versión para Window, Linux y Mac OS. Hoy en día esta herramienta viene incorporada en los sistemas operativos Windows, por lo que se puede ejecutar directamente desde la consola.
Vea un ejemplo del resultado de escanear una red con NBTScan
Como se ve, la información que se obtiene incluye direcciones IP, direcciones MAC y nombres NetBIOS, por lo tanto información muy sensible.

Netcat

Netcat (nc) es una herramienta de red que permite a través de intérprete de comandos y con una sintaxis sencilla abrir puertos TCP/UDP en un host (quedando netcat a la escucha), asociar una shell a un puerto en concreto (para conectarse por ejemplo al intérprete bash de Linux remotamente) y forzar conexiones UDP/TCP. Esto es útil por ejemplo para realizar rastreos de puertos o realizar transferencias de archivos bit a bit entre dos equipos. Netcat puede funcionar en modo servidor, abriendo un puerto y quedando a la escucha, o bien en modo cliente, tratando de conectarse a algún puerto abierto en una máquina. Además, como ya se mencionó, las conexiones que se pueden abrir son tanto TCP como UDP.

Entre sus múltiples aplicaciones, es frecuente la depuración de aplicaciones de red. También es utilizada a menudo para abrir puertas traseras en un sistema, luego nuevamente, puede ser de utilidad tanto para administradores de sistemas como para hackers.

La forma más básica de operar de netcat consiste en:

1
Crear un socket para conectarse a un servidor ( o bien para hacer de servidor )
2
Enviar todo lo que entre por la entrada estándar por el socket
3
Sacar por la salida estándar todo lo recibido por el socket
Vea un ejemplo del resultado de utilizar la herramienta Netcat (comando nc) para escanear el rango de puertos 1300 a 13000 en la máquina local (127.0.0.1) de un equipo Ubuntu

Para los puertos conocidos, también indica el servicio encontrado, como es el caso del puerto de postgresql. La opción -v significa "verbose", es decir, que queremos información por pantalla. La opción -z indica que solo estamos interesados en conocer el estado del puerto, y no en establecer ninguna conexión con este.