Tecnicas de escaneo de puertos
•Descargar como PPT, PDF•
2 recomendaciones•5,910 vistas
Presentación acerca de ataques por escaneo de puertos.
Recomendados
Más contenido relacionado
La actualidad más candente
La actualidad más candente (20)
Destacado
Destacado (20)
Similar a Tecnicas de escaneo de puertos
Similar a Tecnicas de escaneo de puertos (20)
Tecnicas de escaneo de puertos
- 1. 1 Técnicas deTécnicas de Escaneo de puertosEscaneo de puertos Reynaldo ReyesReynaldo Reyes Francisco VergaraFrancisco Vergara Seguridad en Redes - UCVSeguridad en Redes - UCV
- 2. 2 AgendaAgenda IntroducciónIntroducción Qué es un puertoQué es un puerto Puertos Bien conocidos vs puertos poco comunesPuertos Bien conocidos vs puertos poco comunes Qué es un escaneo de puertos. ¿Para qué?Qué es un escaneo de puertos. ¿Para qué? Por qué el escaneo de puertos es peligroso?Por qué el escaneo de puertos es peligroso? Técnicas de escaneo de puertosTécnicas de escaneo de puertos Aplicaciones más usadas para escaneo de puertosAplicaciones más usadas para escaneo de puertos Nmap, unicornScan, Scapy, hping3, SolarWindsNmap, unicornScan, Scapy, hping3, SolarWinds Cómo evitar y protegerse ante un ataque por escaneo deCómo evitar y protegerse ante un ataque por escaneo de puertos.puertos. Firewall como backbone ante ataques.Firewall como backbone ante ataques. Snort como estándar de facto en protección de redes.Snort como estándar de facto en protección de redes. Casos de estudio - Demostración de escaneo de puertosCasos de estudio - Demostración de escaneo de puertos ConclusionesConclusiones y Recomendacionesy Recomendaciones
- 3. 3 IntroducciónIntroducción Cuan vulnerables son nuestras actividadesCuan vulnerables son nuestras actividades diarias en el mundo de la computación ?diarias en el mundo de la computación ? Nada es totalmente seguro en Internet!!!Nada es totalmente seguro en Internet!!! Todos somos víctimas potenciales!!Todos somos víctimas potenciales!!
- 4. 4 Anatomía de un AtaqueAnatomía de un Ataque Obtención de Información Escaneo Enumeración Obtención de Acceso Escalamiento Privilegios Hurto Ocultando Evidencias Creación de Puertas Traseras Negación de Servicios Recordando …Recordando …
- 5. 5
- 6. 6 Qué es un puerto?Qué es un puerto? Nro. PuertoNro. Puerto + Dirección ip = Socket+ Dirección ip = Socket 8080 201.209.61.14201.209.61.14 16 bits16 bits 32 bits (128 bits en IPv6)
- 7. 7 Algunos puertos muy usadosAlgunos puertos muy usados y sus serviciosy sus servicios
- 8. 8 Qué es un escaneo de puertos. ¿Para qué?Qué es un escaneo de puertos. ¿Para qué? Es una de las primeras actividades que un potencial (o no tanEs una de las primeras actividades que un potencial (o no tan potencial) atacante realizará contra su objetivo será sin duda unpotencial) atacante realizará contra su objetivo será sin duda un escaneo de puertosescaneo de puertos •FacilidadFacilidad •Muchos ProgramasMuchos Programas •No es Ilegal!!No es Ilegal!!
- 9. 9 Técnicas de escaneo de puertosTécnicas de escaneo de puertos Los Tipos de escaneo se clasifican en:Los Tipos de escaneo se clasifican en: •AbiertoAbierto •Medio AbiertoMedio Abierto •SilenciosoSilencioso •BarridosBarridos •OtrosOtros
- 10. 10 Aplicaciones más usadas para escaneo de puertosAplicaciones más usadas para escaneo de puertos • unicornScanunicornScan • SolarWindsSolarWinds • ScapyScapy • NmapNmap • Hping3Hping3
- 11. 11 Técnicas de escaneo de puertosTécnicas de escaneo de puertos •TCP connect() / Full Open Scan
- 12. 12 •TCP SYN: también conocida como Half-open scan (es el escaneo medio abierto por excelencia), es parecida a TCP connect () con la importante salvedad de no establecer completamente las conexiones.
- 14. 14 •TCP Reverse IdentTCP Reverse Ident
- 15. 15 TCP XMAS ScanTCP XMAS Scan
- 16. 16 TCP NULL ScanTCP NULL Scan
- 17. 17 TCP ACK ScanTCP ACK Scan
- 18. 18 The FTP Bounce AttackThe FTP Bounce Attack
- 19. 19 UDP ICMP port scanUDP ICMP port scan
- 21. 21 •TCP echo: Envío de paquetes TCP al puerto echo (TCP/7). SiTCP echo: Envío de paquetes TCP al puerto echo (TCP/7). Si recibe respuesta, el host está activo.recibe respuesta, el host está activo. •UDP echo: Envío de paquetes UDP al puerto echo (UDP/7). SiUDP echo: Envío de paquetes UDP al puerto echo (UDP/7). Si recibe respuesta, el host está activo.recibe respuesta, el host está activo. •TCP ACK: Envío de paquetes TCP ACK. Si se obtiene respuestaTCP ACK: Envío de paquetes TCP ACK. Si se obtiene respuesta RST, el host está activo.RST, el host está activo. •TCP SYN: Envío de paquetes TCP SYN. Si se obtiene respuestaTCP SYN: Envío de paquetes TCP SYN. Si se obtiene respuesta RST o SYN/ACK, el host está activo.RST o SYN/ACK, el host está activo. •ICMP echo: Este es el ping de toda la vida. ICMP echo request eICMP echo: Este es el ping de toda la vida. ICMP echo request e ICMP echo reply.ICMP echo reply. Los métodos para comprobar esto son varios:Los métodos para comprobar esto son varios:
- 22. 22 Protección frente a escaneosProtección frente a escaneos •Abrir solamente los puertos necesariosAbrir solamente los puertos necesarios •Controlar los puertos abiertos dinámicamenteControlar los puertos abiertos dinámicamente •Proteger los puertos que no usemosProteger los puertos que no usemos •Proteger el acceso a los servicios que deban serProteger el acceso a los servicios que deban ser restringidosrestringidos •Proteger las conexionesProteger las conexiones •Usar un firewallUsar un firewall •Usar un IDSUsar un IDS •Usar esquemas de seguridad redundantesUsar esquemas de seguridad redundantes •Ocultar información sensibleOcultar información sensible •Usar sistemas de seguridad avanzadosUsar sistemas de seguridad avanzados •Tener el software actualizadoTener el software actualizado
- 23. 23 Y si me encuentro enY si me encuentro en Linux?Linux? /etc/hosts.allow /etc/hosts.deny
- 24. 24 Otra manera deOtra manera de defendernos: PortSentrydefendernos: PortSentry
- 25. 25 Firewall como backboneFirewall como backbone ante ataquesante ataques
- 26. 26 SnortSnort ® como estándar de factocomo estándar de facto en protección de redes.en protección de redes. •Snort es un sistema open source de prevención y detección de intrusos (IDS/IPS) •Se ha convertido en el estándar de facto para IPS
- 27. 27 Ejemplo de uso de SnortEjemplo de uso de Snort
- 28. 28 Qué es lo ideal?Qué es lo ideal? + =
- 29. 29 RecomendacionesRecomendaciones Conclusiones yConclusiones y RecomendacionesRecomendaciones• Todo sistema es vulnerable a un escaneo de puertos (sinTodo sistema es vulnerable a un escaneo de puertos (sin excepción)excepción) • La mejor Ofensiva frente a un ataque es una buena defensaLa mejor Ofensiva frente a un ataque es una buena defensa • Jamás hay que hacer la instalación predeterminada en losJamás hay que hacer la instalación predeterminada en los sistemas operativossistemas operativos • Antes de que un sistema sea puesto en línea, un escaneo deAntes de que un sistema sea puesto en línea, un escaneo de puertos se debe realizar contra el sistema.puertos se debe realizar contra el sistema. • Hay que tener en cuenta que entre más servicios ofrezca elHay que tener en cuenta que entre más servicios ofrezca el sistema, más vulnerable será.sistema, más vulnerable será. • Revise periodicamente el archivoRevise periodicamente el archivo /etc/inetd.conf y/etc/inetd.conf y • /etc/init.d file y los run control files en el sistema para eliminar/etc/init.d file y los run control files en el sistema para eliminar los servicios innecesarios.los servicios innecesarios. • Si un sistema ha sido comprometido, los atacantes podríanSi un sistema ha sido comprometido, los atacantes podrían tratar de abrir más puertos en el sistema para que sea más fáciltratar de abrir más puertos en el sistema para que sea más fácil explotar las debilidades de los puertos.explotar las debilidades de los puertos.
- 30. 30 Links de interés:Links de interés: •http://http://nmap.orgnmap.org//bookbook//man.htmlman.html •http://http://www.snort.orgwww.snort.org// •http://www.sans.org/reading_room/http://www.sans.org/reading_room/ •http://www.unicornscan.org/http://www.unicornscan.org/ •http://www.hping.org/http://www.hping.org/ •http://www.sans.org/reading_room/whitepapers/ahttp://www.sans.org/reading_room/whitepapers/a uditing/port-scanning-techniques-defense_70uditing/port-scanning-techniques-defense_70 •http://www.kernelnet.com/articulos/seguridad/59-http://www.kernelnet.com/articulos/seguridad/59- ataques-mas-comunes-en-redes-y-servidoresataques-mas-comunes-en-redes-y-servidores
Notas del editor
- El escaneo de puertos es seguramente la técnica de hacking más usada en el mundo, pues en cualquier “ataque” -bien se trate de una intrusión ilegal o de una auditoría legal- medianamente bien planificado, uno de los primeros pasos ha de ser obligatoriamente el escaneo metódico de los puertos de la máquina en cuestión. Lo malo es que la mayoría de la gente no sabe absolutamente nada sobre cómo funciona un escaneo de puertos: ellos saben que lo único que tienen que hacer es entrar en esa página tan cool con letras verdes sobre fondo negro y calaveras por doquier, bajar un programita actualizado por última vez en el 96, ejecutarlo e introducir la IP que quiere escanear en la caja de texto. El programa mágico hará el resto, y ellos no quieren saber cómo lo hace, porque no les importa. El escaneo de puertos es una de las técnicas más populares los atacantes utilizan para descubrir los servicios que pueden explotar a irrumpir en los sistemas. Todos los sistemas que están conectados a un LAN o Internet a través de un servicio de módem de ejecución que escuchan bien conocidos y no tan bien conocido puertos. En el escaneo de puertos, el atacante puede encontrar la siguiente información sobre el sistemas específicos: qué servicios se están ejecutando, lo que los usuarios poseen esos servicios, ya sean conexiones anónimas son compatibles, y si ciertos servicios de red requieren de autenticación. Escaneo de puertos se logra mediante el envío de un mensaje a cada puerto, una a la vez. El tipo de respuesta recibida indica si el puerto se utiliza y se puede probar para la deficiencias adicionales. Escáneres de puertos son importantes para la red técnicos de seguridad, ya que pueden revelar posibles las vulnerabilidades de seguridad en el sistema de destino. Así como los escaneos de puertos puede ser ejecutado en contra de sus sistemas, el puerto exploraciones pueden ser detectados y la cantidad de información sobre servicios abiertos se puede limitar la utilización de las herramientas adecuadas. Cada sistema tiene a disposición del público los puertos que están abiertos y disponible para su uso. El objeto es limitar la exposición de los abrir los puertos a los usuarios autorizados para denegar el acceso a la puertos cerrados. Por otro lado, en contra de lo que mucha gente piensa, existen muchas técnicas distintas de escaneo de puertos. Cada una tiene sus ventajas y sus desventajas, y resulta sumamente interesante conocerlas para poder realizar el escaneo adecuado según la ocasión lo requiera. estamos interesados en tres aspectos de una técnica: cómo funciona, cómo llevarla a cabo correctamente y cómo plantear una defensa eficaz frente a ella. De todo eso hablaremos, y además de otras técnicas avanzadas que siempre resultan interesantes de conocer.
- Reconocimiento: Técnicas de Ingeniería Social. WHOIS, DNS Tracer, DIG, Mail Headers. Google Mapear la red: NMAP, Hping, Xprobe2, Cheops-ng, NetDiscover Identificar Puertos Abiertos: NMAP, Unicorn
- En el momento que nuestro ordenador se conecta a internet, éste pasa a ser un elemento más dentro de la Red, es decir, forma parte de toda la Red y como tal se tiene que comunicar con el resto. Para poder comunicarse, lo primero que necesita es tener una dirección electrónica y poder identificarse con los demás. Si haces una petición, por ejemplo de una página web, el servidor tiene que saber a quien se la envía. Esa dirección electrónica es la dirección IP, qué es un número de 4 grupos de cifras de la formaxxx.xxx.xxx.xxx . Pero eso no es suficiente, ya que en internet se pueden utilizar muchos y diversos servicios y es necesario poder diferenciarlos. La forma de "diferenciarlos" es mediante los puertos. Imaginaros un edificio de oficinas, éste tiene una puerta de entrada al edificio (que en nuestro caso sería la IP) y muchas oficinas que dan servicios (que en nuestro caso serian los puertos). Eso nos lleva a que la dirección completa de una oficina viene dada por la dirección postal y el número de la oficina. En el caso de Internet viene dado por la dirección IP y por el número de puerto. Así por ejemplo, un servidor web escucha las peticiones que le hacen por el puerto 80, un servidor FTP lo hace por el puerto 21, etc... Es decir, los puertos son los puntos de enganche para cada conexión de red que realizamos. El protocolo TCP (el utilizado en internet) identifica los extremos de una conexión por las direcciones IP de los dos nodos (ordenadores) implicados (servidor y cliente) y el número de los puertos de cada nodo. Como hemos indicado al principio, cuando conectamos a Internet nuestro proveedor nos da, para esa conexión, una dirección IP para poder comunicarnos con el resto de Internet. Cuando solicitas un servicio de internet, por ejemplo una pagina web, haces tu solicitud de la pagina mediante un puerto de tu ordenador a un puerto del servidor web. Existen mas de 65000 de puertos diferentes, usados para las conexiones de Red. Los siguientes enlaces son una relación de puertos y los servicios a los que corresponden, así como un listado de puertos más utilizados por los troyanos.
- En la arquitectura TCP/IP, las conexiones se realizan mediante el establecimiento de sockets. ¿Y qué es un socket? Un socket es la combinación de una máquina y un puerto con otra (o la misma) máquina y otro puerto. ¿Y qué es un puerto? Un puerto es un número de 16 bits (comprendido entre 0 y 65535) que permite establecer conexiones diferenciadas entre máquinas. Los puertos desde el 0 al 1024 son puertos “reservados” para aplicaciones y protocolos conocidos, y los puertos del 1025 al 65535 son de uso libre. Esto es la teoría, claro, pues en la práctica nadie nos impide usar un puerto para lo que nos de la gana. Un puerto puede tener tres estados: abierto, en cuyo caso aceptará conexiones; cerrado, en cuyo caso rechazará cualquier intento de conexión; y bloqueado o silencioso, en cuyo caso ignorará cualquier intento de conexión. Una definición más casera de puerto sería los distintos “enchufes” que tenemos disponibles en un protocolo (los puertos TCP y UDP son independientes) para poder realizar conexiones. Así pues, toda conexión en Internet está identificada por un socket, es decir, una máquina de origen con su puerto, y una máquina de destino con su puerto. En realidad está identificada por más cosas... pero ahora mismo no nos interesan. ¿Y cómo identificamos una máquina en Internet? Por su IP. La IP (hablamos de IPv4) es una dirección lógica de 32 bits (cuatro números de 8 bits separados por puntos) que identifica de forma unívoca a un host dentro de una red. Así, podemos ampliar el anterior concepto de socket diciendo que se compone de un par de direcciones IP y puertos. Por ejemplo, ahora mismo acabo de realizar una consulta en http://www.google.es y consultando las conexiones de mi máquina encuentro una conexión TCP establecida entre 192.168.0.11:4191 y 66.102.11.99:80. Ahora algunos pensarán “un momento, esa IP (192.168.0.11) la tengo yo en mi red, y acabas de decir que identificaba a una máquina de forma unívoca”. Dije que identificaba de forma unívoca a un host dentro de una red, y 192.168.0.11 es una IP de mi red local. La conexión real en la red de Internet se realiza entre mi IP pública y la IP de google, y mi router se encarga luego de enrutar Internet con mi red local. Resumiendo... Un socket es un conjunto IP:puerto <> IP:puerto. Un puerto es un número de 16 bits que indica la numeración lógica de la conexión. Una IP es una dirección lógica de 32 bits que identifica a una máquina dentro de una red.
- Una de las primeras actividades que un potencial (o no tan potencial) atacante realizará contra su objetivo será sin duda un escaneo de puertos, un portscan; esto le permitirá obtener en primer lugar información básica acerca de qué servicios estamos ofreciendo en nuestras máquinas y, adicionalmente, otros detalles de nuestro entorno como qué sistema operativo tenemos instalados en cada host o ciertas características de la arquitectura de nuestra red. Analizando qué puertos están abiertos en un sistema, el atacante puede buscar agujeros en cada uno de los servicios ofrecidos: cada puerto abierto en una máquina es una potencial puerta de entrada a la misma. En cuanto a las vulnerabilidades de los puertos, el verdadero problema no es de los puertos, los que son sólo números, sino más bien el problema es los servicios que se escucha en esos puertos. A veces el sistema operativo es vulnerable a cierta actividad en los puertos (DoS, por ejemplo), pero es normal que los propios servicios que son vulnerables. Regularmente lo que se busca es lograr un Buffer overflow y finalmente inyectar un código que le permita ganar acceso privilegiado. No hay manera cierta a derrotar a los escaneos de puertos. Los sistemas judiciales han determinado que la realización de análisis de puertos no es ilegal. Los análisis de puertos son ilegal sólo si el atacante utiliza la información de un puerto exploración para explotar una vulnerabilidad o un puerto abierto en el sistema. Entonces la pregunta es: ¿Cómo limitar la información de nuestra sistemas va a dar? Comprobar el estado de un determinado puerto es a priori una tarea muy sencilla; incluso es posible llevarla a cabo desde la línea de órdenes, usando una herramienta tan genérica como telnet. Por ejemplo, imaginemos que queremos conocer el estado del puerto 5000 en la máquina cuya dirección IP es 192.168.0.10; si el telnet a dicho puerto ofrece una respuesta, entonces está abierto y escuchando peticiones:
- Vamos a echar un vistazo a las distintas técnicas de escaneo que existen, a su base técnica, a cómo realizarlas, así como a valorar los pros y los contras que conllevan. Comprenderemos que escaneando un mismo host de distintas formas obtenemos resultados distintos, así como porqué para realizar algunas de estas técnicas necesitamos unos privilegios especiales en el sistema. Para defenderse de los escaneos de puertos, usted tiene que entender cómo los escaneos de puertos se llevan a cabo. Hay varios escaneo de puertos técnicas disponibles. Los análisis de puertos se han automatizado por los populares herramientas de escaneo de puertos como Nmap y Nessus. Las tecnicas de escaneo de puertos se dividen en tres tipos especificos ydiferenciados: *.escaneo abierto *.escaneo medio abierto *.escaneo oculto Cada una de esastecnicas permite un ataque para localizar puertos abiertos y cerrados en un servidor pero saber hacer el escaneo correcto en un ambiente dado depende de la topologia de la red, IDS,caracteristicas de logging del servidor remoto. Aunque un escaneo abierto deja bitacoras grandes yes facilmente detectable produce los mejores resultados en los puertos abiertos y cerrados.Alternativamente, utilizar un escaneo oculto permite evitar ciertos IDS y pasar las reglas del firewallpero el mecanismo de escaneo como packet flags utilizados para detectar estos puertos puededejar muchos paquetes caidos sobre la red dando resultados positivos siendo estos falsos. Masadelante se discutira esto en la seccion de escaneo FIN de este documento. Enfocandonos masdirectamente en cada una de las tecnicas anteriores, estos metodos se pueden categorizar en tiposindividuales de escaneo. Veamos un modelo basico de escaneo incluyendo un barrido de ping Scaneos se denominan medio abierto debido a que el sistema atacante no cierra las conexiones abiertas.
- Nmap es un programa de código abierto que sirve para efectuar rastreo de puertos ). Se usa para evaluar la seguridad de sistemas informáticos, así como para descubrir servicios o servidores en una red informática. Scapy es un potente programa interactivo de la manipulación de paquetes. Es capaz de forjar o decodificar los paquetes de un gran número de protocolos, los envían en el cable, la captura de ellos, satisfacer las peticiones y respuestas, y mucho más. Se puede manejar fácilmente las tareas más clásicas, como la exploración, tracerouting, el sondeo, pruebas unitarias, los ataques o el descubrimiento de la red (se puede sustituir hping, el 85% de nmap, arpspoof, arp-sk, arping, tcpdump, tethereal, p0f, etc.) La herramienta hping es un analizador/ensamblador de paquetes TCP/IP de uso en modo consola. Está inspirado en el comando ping de unix, aunque a diferencia de éste, hping no solo es capaz de enviar paquetes ICMP sino que además también puede enviar paquetes TCP, UDP, y RAW-IP. Todo esto quiere decir, que con esta herramienta, podemos generar paquetes TCP/IP a medida, que contengan la información que queramos. Esto puede resultar muy interesante para poder efectuar auditorías de red y poder así prevenir ataques malintencionados.
- Esta técnica es quizá la más común en cualquier software de escaneo de puertos. La técnica consiste en usar la llamada connect() de TCP para intentar establecer una conexión con cada uno de los puertos del host a escanear. Si la conexión se establece, el puerto está abierto (escuchando conexiones); en caso de recibir un aviso de cierre de conexión (RST), el puerto estará cerrado; y en caso de no recibir respuesta, se deduce que el puerto está silencioso. Este tipo de escaneo es extremadamente rápido, pues puede realizarse de forma paralela para distintos puertos mediante el uso de varios sockets. Además, es un escaneo fácil de implementar. Su principal desventaja es que es llamativo en exceso, pues resulta a todas luces llamativo establecer cientos o miles de conexiones en un margen de pocos segundos. Además, al realizarse intentos completos de conexión, cualquier sistema guardará registros.
- En primer lugar, se envía un paquete SYN que finge intentar establecer una conexión y se espera la respuesta. Si llega un paquete SYN/ACK significa que el puerto está abierto; si llega un paquete RST, el puerto está cerrado; y si no se recibe respuesta se asume que está silencioso. En el caso de que el puerto esté abierto y recibamos el paquete SYN/ACK (es decir, están completos dos de los tres pasos del saludo en tres tiempos), nosotros no responderemos con un paquete ACK como sería lo esperado, sino que mandaremos un paquete RST. ¿Para qué? Pues precisamente para evitar que se complete el inicio de conexión y, por tanto, evitar que el sistema registre el suceso como un intento de conexión. En sistemas sin protección específica de cortafuegos o IDS, este escaneo suele pasar desapercibido. Una característica importante de este escaneo es que requiere elevados privilegios en el sistema para poder lanzarlo, debido a que este tipo de paquetes usan sockets TCP raw. Por tanto, solo el root puede lanzar escaneos TCP SYN. La principal ventaja de este tipo de escaneo es que suele ser bastante discreto y ofrece unos resultados bastante buenos. Entre sus desventajas encontramos el que es algo lento de realizar, y que un sistema con un firewall o un IDS (aunque algunos muy básicos no) lo detectará e identificará como escaneo de puertos sin ninguna duda.
- El escaneo TCP FIN, también conocido como Stealth scan (se trata del escaneo silencioso más conocido), es uno de los más discretos que podemos encontrar dentro de las técnicas convencionales. Se apoya en una particularidad de los estándares internacionales de TCP/IP. A la hora de realizar el escaneo, se envía un paquete FIN al puerto del host destino que queremos escanear. Los estándares de TCP/IP dicen que al recibir un paquete FIN en un puerto cerrado, se ha de responder con un paquete RST. Así pues, si recibimos RST por respuesta, el puerto está cerrado, y en caso de no recibir respuesta (se ignora el paquete FIN) el puerto puede encontrarse abierto o silencioso. Ésto supone uno de los principales inconvenientes del escaneo TCP FIN, y es que los puertos que nos figuran como abiertos, pueden estar en realidad en estado silencioso (puesto que un puerto silencioso por definición ignora cualquier paquete recibido). Así pues, este tipo de escaneos no obtienen unos resultados fiables, y ese es su talón de Aquiles. Otra gran desventaja de este sistema de escaneo viene de cierta compañía de software que tiene por costumbre pasarse por el forro cualquier estándar informático... sí, esa misma que estáis pensando: Microsoft. En los sistemas Windows, un puerto cerrado ignora los paquetes FIN, por lo que escanear un sistema de este tipo con SYN FIN nos generará una enorme lista de puertos abiertos, aunque realmente estén cerrados o silenciosos. Así que cuidado a la hora de usar esta técnica. Como ventaja, tenemos el que estos escaneos pasan desapercibidos en la gran mayoría de los firewalls, al no intentar establecer ninguna conexión. Un IDS bien configurado, lo detectará.
- Ident scan discovers the usernameof the owner of any TCP connected process on the targeted system. This type of scan allows the attacking system to connect to open ports and use the ident protocol to discover who owns the process. Antes de hablar del escaneo Ident inverso, debemos hablar del Protocolo de Identificación que está definido en el RFC #1413 -”Identification Protocol” (ftp://ftp.rfc-editor.org/in-notes/rfc1413.txt). El fin del protocolo Ident es proporcionar información acerca de la identidad del usuario de una conexión TCP, para lo cual existe un demonio a la escucha al que, enviando una query en una determinada estructura (definida en el RFC), devuelve la información del usuario. Esto es lo que se llama Ident... ¿y entonces qué es Ident inverso? Mediante Ident inverso somos nosotros los que establecemos una conexión con el host remoto y luego preguntamos a Ident por su usuario. De cara al host remoto, el usuario de esa conexión seguirá siendo el usuario de su sistema, aunque la conexión la hayamos establecido nosotros. Dado que esta técnica requiere que se establezca completamente una conexión TCP, su base es el escaneo TCP connect(). Una vez establecida la conexión con el puerto en el host remoto, redirigimos una query al puerto Ident y obtenemos así información bastante interesante sobre quién es el usuario tras esa conexión. Obviamente no tiene el mismo interés un demonio corriendo con privilegios de nobody (httpd) o con privilegios de root... Es importante tener en cuenta que no todos los hosts corren el servicio de Ident, y de los que lo hacen,muchos usan algún tipo de sistema de identificación. No obstante, puede resultar muy útil bajo determinadas circunstancias.Los atacantes envían paquetes sonda con varios flags TCP activos, o sin flags Si no hay respuesta, significa que el puerto está abierto Si se recibe RST/ACK, significa que el puerto esta cerrado.
- El escaneo Xmas se basa también en el principio de la respuesta RST por parte de un puerto cerrado al recibir un paquete incorrecto (como el escaneo FIN). En el caso del escaneo Xmas, se trata de un paquete con los flags FIN, URG y PSH activados (aunque ciertas implementaciones activan FIN, URG, PSH, ACK y SYN e incluso algunas activan todos los flags). Podría decirse que es lo contrario del escaneo Null, pero logrando el mismo efecto. Al igual que el escaneo Null, se usa bajo ciertas circunstancias en las que el escaneo FIN no es posible; y también comparte con éstos sus particularidades.
- scan uses a series of uniquely configured TCP packets that contain a sequence number but no flags. It the target’s TCP port is closed, the port will send an RST. If the port is open, the port will ignore the packet. Este escaneo tiene muchos puntos en común con el escaneo FIN. Su funcionamiento base es el mismo: enviamos un paquete malformado (en este caso se trata de un paquete TCP con todos los flags desactivados) y esperamos la respuesta. En caso de que el puerto destino esté cerrado, nos responderá con un paquete RST; y en caso de no recibir nada (nuestro paquete es ignorado), se trata de un puerto abierto o silencioso. La ventaja frente al escaneo FIN radica en que ciertos firewalls vigilan los paquetes de finalización de conexión además de los de establecimiento, de forma que el escaneo nulo podrá realizarse allí dónde el FIN no sería posible. El resto de ventajas y desventajas son las mismas que en el escaneo FIN.
- scan is used to identify active websites that may not respond to standard ICMP pings. The scan utilizes TCP packets with the ACK flag set to a probable port number. If the port is open, the target will send an RST in reply. If the port is closed, the target will ignore the packet. La mayoría de las técnicas de escaneo nos permiten identificar con exactitud los puertos abiertos o cerrados, pero generalmente los puertos silenciosos no se pueden identificar con claridad. El escaneo ACK está destinado a identificar de forma precisa cuándo un puerto se encuentra en estado silencioso. Esta técnica es usada también para poder escanear hosts que estén detrás de un firewall que bloquee los intentos de conexión (paquetes SYN). Su funcionamiento se basa en el envío de paquetes ACK con números de secuencia y confirmación aleatorios. Cuando reciba el paquete, si el puerto se encuentra abierto, responderá con un paquete RST, pues no identificará la conexión como suya; si el puerto está cerrado responderá con un paquete RST, pero si no se obtiene respuesta (obviamente primero debemos asegurarnos que el host está en línea) podemos identificar claramente el puerto como filtrado (puerto silencioso). Normalmente el escaneo ACK se realiza como apoyo a un escaneo anterior, para determinar los puertos silenciosos y poder identificar mediante una combinación de técnicas el estado real de todos ellos. Por ejemplo, ante un host con un firewall que bloquee intentos de conexión (SYN), podemos realizar un FIN scan para determinar los puertos cerrados, y después un ACK scan para determinar qué puertos están abiertos y cuáles silenciosos. Esta técnica también es usada como variante del ping (ICMP echo) de toda la vida, para saber si un host está activo (recibiremos respuesta RST) o no (cuando no hay respuesta o la respuesta es destino inalcanzable).
- uses the ftp protocol support for proxy ftp connections. The beauty of this scan is that the attacker can hide behind an ftp server and scan another target without being detected. The downside is that most ftp servers have this service disabled. El escaneo FTP bounce se parece en cierto modo al escaneo zombie... pero en su forma son totalmente distintos. El escaneo FTP bounce se basa en unas peculiaridades del protocolo FTP, Cuando establecemos una conexión FTP, en primer lugar se realiza una conexión entre el cliente y el puerto de control de datos del servidor (normalmente TCP/21). Pero para poder realizar transferencias de ficheros entre cliente y servidor, es necesario establecer otra conexión de datos. Esto, mediante comandos RAW, se realiza con el comando PORT, que indica la IP y el puerto con el que el servidor puede establecer la conexión de datos. El “fallo” está en que mediante el comando PORT, podemos indicar una IP cualquiera, aunque no sea desde la que se inició la conexión. Las consecuencias de ello son que podemos establecer una conexión de control de datos con un servidor FTP (mejor si es anónimo) y, mediante el comando PORT, intentar establecer conexiones de datos con los distintos puertos de la máquina a escanear. Según la respuesta que nos devuelva el servidor FTP, el puerto se encontrará abierto o cerrado. En caso de que el puerto esté abierto, el servidor FTP podrá establecer una conexión de datos y responderá “226 Transfer complete.”; y en caso de que el puerto esté cerrado y el servidor no pueda establecer la conexión, responderá “425 Can't open data connection.”.
- uses the UDP protocol. This port scan is successful in finding high number ports, especially in Solaris systems. The scan is slow and unreliable. Esta técnica, frente a las demás técnicas orientadas a TCP, está orientada al protocolo UDP y sus puertos. Aunque a priori parezca que los puertos UDP no son muy interesantes, servicios como el rpcbind de Solaris, TFTP, SNMP, NFS... usan todos ellos UDP como protocolo de transferencia. El sistema de escaneo consiste en mandar un paquete UDP vacío (0 bytes de datos) al puerto que deseamos escanear. Si el puerto está cerrado, el sistema responderá con un paquete ICMP de tipo 3 (destino inalcanzable). En caso de no responder, el puerto puede estar abierto o silencioso. Este sistema puede presentar un grave problema de carencia de velocidad según en qué sistemas, y es que en el RFC #1812-”Requirements for IP version 4 routers” (ftp://ftp.rfc-editor.org/in-notes/rfc1812.txt) se recomienda limitar la capacidad de generación de mensajes ICMP de error. En sistemas Linux (consultar el fichero /ipv4/icmp.h de las fuentes del kernel) esta limitación está fijada en unos 20 mensajes por segundo. Sistemas como Solaris son más estrictos y tiene la limitación fijada en 2 por segundo. Pero hay un sistema que, para variar, no hace mucho caso a los estándares, por lo que no tiene ninguna limitación prefijada... sí: Windows. Un escaneo UDP a un sistema Windows resulta extremadamente rápido como consecuencia de ello. Se pregunta al puerto 29 si se encuentra abierto Si no hay respuesta, esta abierto Si se recibe un ICMP port unreachable, esta cerrado
- scan utilizes the ping command to do a sweep to see what systems are active. The downside is that most networks have the ICMP protocol either filtered or disabled Un ping sweep (también llamado barrido de ping) no es en realidad una técnica de escaneo de puertos... sino más bien una técnica de escaneo de hosts. Es el momento de hablar de una opción de nmap que he incluido en el ejemplo de todos los escaneos de los que hemos hablado hasta ahora. Es la opción -P0. Veamos qué dice la guía de referencia rápida de nmap (nmap -h) al respecto de este comando... -P0 Don't ping hosts (needed to scan www.microsoft.com and others) Efectivamente, mediante esta opción logramos que, antes de realizar el escaneo de puertos propiamente dicho, el software no compruebe si el host está activo. Y os preguntaréis, ¿para qué demonios me gustaría a mí que no se realizara esa comprobación? Pues es una técnica muy común el denegar, vía firewall, la salida de paquetes ICMP echo reply. Así, al realizar un ping a un host, éste no responde y puede parecer que esté inactivo. Probad a realizar un ping a www.microsoft.com y luego visitad su web. Ahora imaginad que el objetivo de nuestro escaneo va a ser toda una red (por ejemplo 192.168.0.0/24), en lugar de un único host. Lo primero que nos interesará es saber qué hosts están activos, pues si escaneamos toda la red con la opción -P0, perderemos mucho tiempo mandando paquetes y esperando la respuesta de equipos que en realidad están inactivos. Pero cabe la posibilidad de que algunos equipos nos hagan creer que están inactivos cuando en realidad no lo están... y aquí es donde entran las diversas técnicas de ping sweep.
- Mediante esta técnica, se realiza un barrido comprobando qué host dentro de un rango se encuentran activados. TCP echo: Envío de paquetes TCP al puerto echo (TCP/7). Si recibe respuesta, el host está activo. UDP echo: Envío de paquetes UDP al puerto echo (UDP/7). Si recibe respuesta, el host está activo. TCP ACK: Envío de paquetes TCP ACK. Si se obtiene respuesta RST, el host está activo. TCP SYN: Envío de paquetes TCP SYN. Si se obtiene respuesta RST o SYN/ACK, el host está activo. ICMP echo: Este es el ping de toda la vida. ICMP echo request e ICMP echo reply.
- Ahora sabemos cómo realizar escaneos de puertos en toda clase de condiciones, cómo interpretar los resultados de distintas técnicas y cómo combinarlas para obtener resultados bastante fiables. Es hora de saber cómo proteger nuestro propio sistema de éstas mismas técnicas. Lo primero que debemos decir es que no es malo tener puertos abiertos: sin puertos abiertos Internet no existiría pues nadie podría conectarse con otra persona. Pero hay que tener unas normas básicas a la hora de ofrecer servicios, abrir y cerrar puertos Si se tiene un servidor de acceso público, el sistema es vulnerable a los escaneos de puertos. No hay manera cierta a derrotar a los escaneos de puertos. Los sistemas judiciales han determinado que la realización de análisis de puertos no es ilegal. Una medida básica de seguridad es conocer que puertos tenemos, cuales están abiertos, porque están abiertos y, de estos, últimos los que no utilicemos o que sean fuente de un problema de seguridad. 1- Abrir solamente los puertos necesarios: Los únicos puertos abiertos en nuestro sistema deben ser los necesarios para que funcionen correctamente los servicios que queremos ofrecer desde nuestra máquina. Si deseamos además evitar miradas indiscretas, mejor si los colocamos a la escucha en puertos no estándar. 2- Controlar los puertos abiertos dinámicamente: Cualquier aplicación que realiza conexiones debe abrir de forma dinámica puertos para poder realizar la conexión. Normalmente se utilizan puertos arbitrarios superiores al 1024, pero en ciertas circunstancias (por ejemplo para el DCC de IRC) conviene controlar el rango de puertos permitidos o asignarlos a mano (por ejemplo para aplicaciones P2P). 3- Proteger los puertos que no usemos: El resto de los puertos deberán estar cerrados, o mejor aún, silenciosos. 4- Proteger el acceso a los servicios que deban ser restringidos: Si debemos ofrecer un servicio pero no de forma pública, éste debe ser protegido mediante sistemas de autentificación adecuados. 5- Proteger las conexiones: Siempre que sea posible, usar conexiones cifradas: SSL es vuestro amigo, no le abandonéis: él nunca lo haría. :-) 6- Usar un firewall: Imprescindible su uso, bien se traten de máquinas independientes o dependientes del propio host. Nadie tiene excusa para no usar uno, pues existen muchos firewalls de escritorio gratuitos. 7- Usar un IDS: Un firewall protege nuestra red según las reglas con las que esté diseñado. Un IDS detecta (y actúa en consecuencia) ataques según una serie de reglas programadas por nostros. La combinación perfecta: firewall + IDS. 8- Usar esquemas de seguridad redundantes: ¿Qué mejor que un firewall? ¡Dos! Si tienes un router que actúa como firewall, instala otro en el sistema operativo de tu ordenador: dos barreras suponen mayores complicaciones que una. 9- Ocultar información sensible: Cuanta menos información tenga un potencial atacante de nuestro sistema, mejor para nosotros. Hay que desactivar los banners de información de cualquier servicio, ocultar las versiones... incluso se puede, mediante IPtables, falsificar la huella de la pila TCP/IP para engañar a los sistemas de detección de fingerprint que vimos en el punto anterior. Es un tema interesantísimo... quizá me ponga a ello para otro artículo... 10- Usar sistemas de seguridad avanzados: Aprovechar los últimos sistemas de seguridad. Imaginad que queremos ofrecer un servicio pero no tener absolutamente ningún puerto abierto. ¿Imposible? No. Existe una técnica llamada port knocking mediante la cual un sistema con todos los puertos cerrados tiene un demonio a la escucha de los logs del firewall. Cuando éste reconoce una secuencia determinada de intentos de conexión a determinados puertos y en un determinado orden, abre un puerto, establece un socket para abrir una conexión con el host remoto y vuelve a cerrarlo para que nadie más pueda conectarse al servicio. Otro tema muy interesante... 11- Tener el software actualizado: De nada le sirve a un atacante saber la versión de nuestro Apache si no hay fallos conocidos. Conviene así mismo estar al tanto de estos fallos para reaccionar un paso por delante del atacante. La lista de correo de bugtraq es un gran recurso a este respecto.
- Otra manera de limitar la información a los analizadores de puertos es emplear TCP Wrappers. TCP wrapper es un sistema de red ACL(acces control List) que trabaja en terminales y que se usa para filtrar el acceso de red a servicios de protocolos de Internet que corren en sistemas operativos (tipo UNIX), dan al administrador de la red la flexibilidad necesaria para permitir o denegar el el acceso a los servicios basados en direcciones IP o nombres de dominio. TCP Wrappers funciona mediante la invocación del demonio tcpd antes de proporcionar el servicio especificado. cuando una petición entrante se detecta que viene de un puerto autorizado, TCP Wrappers en primer lugar comprueba el archivo /etc/hosts.allow para ver si la dirección IP o nombre de dominio tiene permisos para acceder al servicio. Si no hay ninguna entrada encontrada, TCP Wrappers comprueba el archivo /etc/hosts.deny. Si no hay ninguna entrada se encuentra allí, o si la declaración ALL: ALL es encontrado, TCP Wrappers ignorará la solicitud y no permitira que la solicitud del servicio solicitado sea utilizada. Con TCP Wrappers el escáner no se recibe ninguna información adicional desde el puerto a menos que el escáner provenga de un host o de dominio especificado en el archivo /etc/hosts.allow. Cuando el atacante intenta explotar el puerto abierto, TCP Wrappers rechazará la conexión entrante si no se originó a partir de un host o dominio aprobado.El inconveniente de TCP Wrappers es que no todos los servicios están cubiertos. Servicios tales como http y smtp no están cubiertos, y si no se configura, será susceptible de explotar. TCP Wrappers no es susceptibles a la falsificación de direcciones IP. Cuando una solicitud de entrada es detectado, TCP Wrappers llevará a cabo una búsqueda DNS inversa en la solicitando la IP dirección. Si la búsqueda inversa coincide con solicitando la IP, TCP Wrappers permitirá la conexión. Si la búsqueda inversa falla, TCP Wrappers asumirá que se trata de un host no autorizado y no permitirá que la conexión.
- Finalmente, otra forma de limitar la cantidad de información dado a los escaneos de puertos es utilizar PortSentry ofrecido por Psiónico. PortSentry detecta las solicitudes de conexión en un número de puertos seleccionados. PortSentry es personalizable y puede ser configurado para ignorar un cierto número de intentos. El administrador puede seleccionar qué puertos escuchar a las solicitudes de conexión y la cantidad de peticiones inválidas. El administrador mostrará una lista de puertos que su sistema no está soportando. Tras la detección, portsentry emplean TCP Wrappers y crea una entrada en el archivo /etc/hosts.deny para el intruso sospechoso. en Los sistemas Linux, PortSentry es capaz de detectar todos los escaneos TCP y UDP, mientras que en los sistemas Solaris sólo son capaces de detectar los escaneos UDP.
- Los cortafuegos son la columna vertebral en la protección de puertos. Ellos son la principal defensa de los puertos ya que el firewall, lo que hace es tenerlos todos cerrados y abrir solo aquellos que permitas puertos. Es mucho más seguro éste último sistema, el firewall es más seguro que bloquear puerto por puerto, ya que solo permite el tráfico a/desde internet que tu aceptes. La mayoría de servidores de seguridad puede proteger de los escaneos de puertos. Firewall - un programa que realiza un seguimiento de las conexiones salientes y entrantes a su computadora. Un firewall puede abrir todos los puertos en su sistema para mantener sus puertos a los que participan en la exploración. Este método funciona en la mayoría de los casos. Hoy, nuevo puerto técnicas de exploración, incluyendo exploración utilizando ICMP de puerto y escanea NULL. Sería mejor si todas las pruebas y profiltruete escaneo de puertos en el equipo, pero no hay que olvidar que es necesario comprobar cada puerto que está abierto. Si deja el equipo en los puertos están abiertos, que podrían afectar adversamente el sistema y llevar a la pérdida de datos y el robo de identidad. Escaneo de puertos de su propio sistema puede mostrar exactamente todo lo que él ve el atacante y las acciones que debe tomar para repeler los ataques en su sistema.
- Snort ® es un sistema open source de prevencion y deteccion de instrusos (IDS/IPS) desarrollado por sourcefire, Combinando los beneficios de la firma, el protocolo, y la inspección basada en anomalías, Snort es el IDS/IPS más ampliamente usado a nivel mundial. Con millones de descargas y cerca de 400.000 usuarios registrados, Snort se ha convertido en el estándar de facto para IPS. Snort es una aplicacion de codigo abierto bajo licencia GPL, gratuito y funciona para los sistemas operativos Windows y Unix/Linux para la deteccion y prevencion de intrusiones en sistemas desarrollada por Sourcefire. Es un software flexible que ofrece una capacidadde almacenamiento de los eventos en dos formas, basados en base de datos abiertas o en archivos de textos. La forma en la que trabaja Snort es en implementar un motor de detecciones de ataques y barrido de puertos que permite detectar y alertar previamente a cualquier anomalia. Snort puede funcionar como sniffer, registro de paquetes o como un IDS normal. Snort implementa un lenguaje de creacion de reglas flexible, potente y sencillo. Cuando un paquete coincide con algun patron establecido en lass reglas de configuracion, se loguea y asi se puede saber cuando y desde donde se produjo un ataque o intento de ataque. La caracteristica mas apreciada de Snort es su subsistema flexible de firmas de ataques. Cuenta con una base de datos de ataques que se esta actualizando constantemente y a la cual se puede añadir o actualizar a traves de Internet.
- Contramedidas escaneo Configurar firewall y reglas IDS para detectar y bloquear sondas Usar reglas personalizadas para cada red Ocultar información sensible al público Bloquear puertos no usados en el firewall Técnicas de evasión de IDSs Usar paquetes fragmentados Herramientas Fragtest fragroute Hacer spoofing de tu dirección IP cuando lances un ataque y sniffar respuestas del servidor Utilizar source routing Conectar a servidores proxy
- Todo sistema es vulnerable al escaneo de puertos. la mejor ofensiva es una buena defensa. Jamás hay que hacer la instalación predeterminada en los sistemas operativos: La mayoría de lasinstalaciones default cuentan con numerosos puertos que se abren para permitir una mayor flexibilidad. Antes de que un sistema se pone en línea, un escaneo de puertos se debe realizar contra el sistema. Si los puertos son más abierto, entonces es necesario, cerrar esos puertos. El mayor número de los servicios que ofrece el sistema, más vulnerable el sistema. Controlar periódicamente el inetd.conf / etc /, el archivo / etc / init.d y los archivos de control se ejecutan en el sistema de para los servicios innecesarios. Si un sistema ha sido comprometido, los atacantes podrían tratar de abrir más puertos en el sistema para que es más fácil explotar las debilidades de los puertos. la más atentos al administrador del sistema, más resistente su sistema será a la penetración y por lo menos el probable que sean explotados. Antes de que un sistema sea puesto en línea, un escaneo de puertos se debe realizar contra el sistema. SI la mayoria de los puertos están abiertos entonces es necesario cerrar esos puertos