1.

IDENTIFICACIÓN DE LA GUÍA

COMPETENCIAS CONTENIDO TEMÁTICO INDICADOR DE LOGRO

Identifica el estado de
Realizar un escaneo de red o
Conceptos sobre el puertos TCP y UDP en
exploración de puertos para
escaneo de puertos y redes los dispositivos de una
identificar la presencia de
usando la herramienta red Ethernet para tomar
servicios de red y potenciales
NMAP medidas que permitan
amenazas o riesgos de
mitigar riesgos de
seguridad
seguridad informática

Realizar la exploración y el análisis de puertos en los dispositivos presentes en las redes

de Ethernet con el fin de identificar potenciales amenazas o riesgos de seguridad.

2. FUNDAMENTO TEÓRICO

ESCANEO DE REDES Y PUERTOS CON NMAP

El software NMAP posee varias funciones para sondear

redes de computadores, incluyendo detección de equipos,
servicios y sistemas operativos.

NMAP ha llegado a ser una de las herramientas

imprescindibles para todo administrador de sistema, y es
usado para pruebas de penetración y tareas de seguridad informática en general.

Como muchas herramientas usadas en el campo de la seguridad informática, es también

una herramienta muy utilizada para hacking. Los administradores de sistema pueden
utilizarlo para verificar la presencia de posibles aplicaciones no autorizadas ejecutándose
en el servidor, así como los crackers pueden usarlo para descubrir objetivos potenciales.
FUNDAMENTOS SOBRE LA EXPLORACIÓN DE PUERTOS

El simple comando nmap <destino> ejecuta el escaneo a 1.000 puertos TCP en el host
<destino>. Mientras que muchos analizadores de puertos han agrupado tradicionalmente
todos los puertos en los estados abiertos o cerrados, Nmap es mucho más granular. Se
divide en seis estados de puertos: abierto, cerrado, filtrada, sin filtrar, abierto | filtrado, o
cerrado | filtrada.

Estos estados no son propiedades intrínsecas del propio puerto, pero describen cómo los
ve Nmap. Por ejemplo, un escaneo Nmap desde la misma red que el objetivo puede
mostrar que el puerto 135/tcp como abierto, mientras que una exploración al mismo
tiempo con las mismas opciones y realizado desde Internet podría mostrar que el puerto
está filtrado.

LOS SEIS ESTADOS DE PUERTOS RECONOCIDOS POR NMAP (Lyon)

Open
Una aplicación está aceptando activamente conexiones TCP, datagramas UDP o
asociaciones SCTP en este puerto. El descubrimiento de este estado es a menudo el
objetivo principal de un escaneo de puertos pues cada puerto abierto es una potencial vía
de ataque. Los atacantes y pen-testers quieren explotar los puertos abiertos, mientras que
los administradores tratan de cerrar o protegerlos con firewalls sin frustrar a los usuarios
legítimos.

Closed
Un puerto cerrado es accesible (que recibe y responde a paquetes de sondeo de Nmap),
pero no hay ninguna aplicación escuchando en él. Pueden ser útiles en mostrar que un
host está activo en una dirección IP (descubrimiento de sistemas, o la digitalización de
ping), y como parte de detección de sistema operativo.

Filtered
Nmap no puede determinar si el puerto está abierto, porque alguna sonda de filtrado de
paquetes impide la llegada al puerto. El filtrado podría ser de un dispositivo dedicado
como un servidor de seguridad, reglas de router o un cortafuego basado en host. Estos
puertos frustran atacantes, ya que proporcionan muy poca información.

Unfiltered
El estado sin filtrar significa que un puerto es accesible, pero Nmap no puede determinar
si está abierto o cerrado. Sólo la exploración ACK, que se utiliza para asignar conjuntos
de reglas de firewall, clasifica los puertos en este estado. Escaneo de puertos no filtrados
con otros tipos de análisis, tales como la exploración de ventana, el sondeo SYN o FIN,
pueden ayudar a resolver si el puerto está abierto.
Open / Filtered
Nmap coloca puertos en este estado cuando es incapaz de determinar si un puerto está
abierto o filtrado. Esto ocurre por los tipos de exploración en el que los puertos abiertos
dan ninguna respuesta. La falta de respuesta también podría significar que un filtro de
paquetes dejó caer la sonda o cualquier respuesta que suscitó. Así que Nmap no sabe
con seguridad si el puerto está abierto o se está filtrando. El protocolo UDP, IP, los
análisis FIN, NULL y XMAS clasifican los puertos de esta manera.

Closed / Filtered
Este estado se utiliza cuando Nmap no puede determinar si un puerto se cierra o se filtra.

TÉCNICAS DE EXPLORACIÓN DE PUERTOS

Nmap intenta producir resultados precisos, sin embargo es importante tener en cuenta
que todas sus lecturas están basadas en paquetes devueltos por los equipos de destino
(o cortafuegos delante de ellos). Tales huéspedes pueden ser poco fiables y enviar las
respuestas previstas para confundir o engañar a Nmap.

Por omisión, Nmap realiza un escaneo SYN, aunque se sustituye una exploración de TCP
Connect si el usuario no tiene privilegios adecuados para enviar paquetes crudos
(requiere acceso de root en Unix).

-sS (sondeo TCP SYN)

SYN es la opción de escaneo predeterminado y más popular por buenas razones. Se
puede realizar de forma rápida, el escaneo de miles de puertos por segundo en una red,
no obstaculizado por los cortafuegos restrictivos. También es relativamente discreto y
sigiloso ya que nunca se completan conexiones TCP.

Esta técnica se refiere a menudo como la exploración entreabierta, porque no abre una
conexión TCP completa. Se envía un paquete SYN, como si se va a abrir una conexión
real y luego esperar una respuesta. Un SYN / ACK indica que el puerto está escuchando
(abierto), mientras que un RST (reset) es indicativo de que el puerto no está a la escucha
(cerrado). Si no se recibe ninguna respuesta después de varias retransmisiones, el puerto
se marca como filtrado..

-sT (TCP Connect)

En lugar de escribir paquetes crudos como la mayoría de otros tipos de exploración
hacen, en este tipo de escaneo Nmap le hace una petición al sistema operativo
subyacente para establecer una conexión con la máquina destino y el puerto mediante la
emisión de la llamada CONNECT al sistema de conexión. Esta es la misma llamada de
sistema de alto nivel que los navegadores web, clientes P2P, y la mayoría de otras
aplicaciones de red utilizan para establecer una conexión. Es parte de una interfaz de
programación conocido como el API de sockets Berkeley. En lugar de leer las respuestas
de paquetes primas de la conexión, Nmap utiliza esta API para obtener información de
estado en cada intento de conexión.

La llamada CONNECT al sistema se realiza para abrir conexiones completas en los

puertos de destino en lugar de realizar el establecimiento entrabierto del sondeo SYN.
Esto no sólo toma más tiempo sino que requiere de más paquetes para obtener la misma
información, además los equipos de destino son más propensos a registrar la conexión.

-sU (exploraciones UDP)

Aunque la mayoría de los servicios populares de Internet se ejecutan a través del
protocolo TCP, también en UDP existen servicios ampliamente desplegados como DNS,
SNMP y DHCP (53 puertos registrados, 161/162 y 67/68). Debido a que el escaneo UDP
es generalmente más lento y más difícil que TCP, algunos auditores de seguridad ignoran
estos puertos. Esto es un error, ya que los servicios UDP explotables son bastante
comunes y los atacantes sin duda no ignoran todo el protocolo..
.
-sN; -sF; -sX (TCP NULL, escaneos FIN, y Xmas)
Estos tres tipos de exploración explotan una escapatoria sutil en el RFC TCP para
diferenciar entre los puertos abiertos y cerrados. La página 65 del RFC 793 dice que "si el
estado del puerto [destino] es CLOSED, un segmento entrante que no contenga un RST
causaría que un RST se envíe como respuesta."

Al escanear los sistemas compatibles con este texto RFC, cualquier paquete que no
contenga los bits SYN, RST, o ACK resultará en un RST devuelto si el puerto está cerrado
y no habrá respuesta en absoluto si el puerto está abierto. En tanto no se incluya ninguno
de esos tres bits, cualquier combinación de los otros tres (FIN, PSH, y URG) están bien
para este escaneo y Nmap explota esto con tres tipos de análisis:

sV (detección Version)
Permite la detección de versión, como se discutió anteriormente. Como alternativa, puede
utilizar -A, que permite la detección de versiones entre otras cosas.

-O (Habilitar detección de sistema operativo)

Permite la detección de sistema operativo, como se discutió anteriormente. Como
alternativa, puede utilizar -A para permitir la detección del sistema operativo junto con
otras cosas.

-A (Opciones de análisis agresivo)

Permite la detección de sistema operativo (-O), escaneo versión (sV), la exploración de la
escritura (-sC) y traceroute (--traceroute). Esta opción es considerada intrusiva, no se
debe utilizar -A contra las redes de destino sin permiso.

-V; --version (Imprimir número de versión)

Imprime el número y salidas versión de Nmap.

-h; --help (Imprimir página de resumen de ayuda)

Imprime una corta ventana de ayuda con las opciones de órdenes más comunes.
Ejecución de Nmap sin argumentos hace lo mismo.

-sl (Lista de Exploración)

El sondeo de lista es una forma degenerada de descubrimiento de sistemas que se limita
a enumerar cada host de la red especificada, esto sin enviar paquetes a los hosts de
destino. A menudo es sorprendente la cantidad de información útil que nombres de host
simples dan hacia fuera. Nmap también informa del número total de direcciones IP al final.

-Sn (No Scanning)

Esta opción le indica a Nmap no hacer un escaneo de puertos después del
descubrimiento de acogida, y sólo imprimir los ordenadores disponibles que respondieron
a las sondas de detección de acogida. Esto a menudo se conoce como un "barrido ping".

-Pn (No ping)

Esta opción se salta la etapa de descubrimiento Nmap. Normalmente, Nmap utiliza esta
etapa para determinar las máquinas activas para la exploración. Por omisión, Nmap sólo
realiza las labores del sondeo tales como análisis de puertos, detección de versión, o
detección de sistema operativo contra los dispositivos identificados como activos.
Desactivación de descubrimiento de sistemas con -Pn hace que Nmap para tratar las
funciones de escaneado solicitados contra todas las direcciones IP de destino
especificado.
. OBJETIVO(S)

 Identificar el estado de puertos TCP y UDP en los dispositivos de redes Ethernet.

 Comprender los conceptos relacionados con el escaneo de redes y la exploración

de puertos de manera que se puedan mitigar potenciales amenazas de seguridad
o servicios de red no autorizados presentes en una máquina.

3. RECURSOS REQUERIDOS

Equipos y herramientas de software requeridas

– Software virtualizador VMWare o VirtualBox

– Máquina virtual o física con el O.S Kali Linux (HD 20GB --- RAM 512MB)
– Software NMAP (Preinstalado en Kali Linux)
– Máquina virtual o física con O.S Windows X
– Software XAMPP o LAMPP compatible con la respectiva versión de Windows.

Nota: Para la práctica no es necesario disponer de conectividad a Internet, pero si es

recomendado algún dispositivo que cumpla funciones de servidor DHCP para otorgar
direcciones IP a las máquinas. Si lo desea también puede utilizar direccionamiento
estático. Se recomienda desactivar los antivirus.

4. PROCEDIMIENTO O METODOLOGÍA PARA EL DESARROLLO

Tenga en cuenta que para la ejecución del procedimiento descrito a continuación,

usted cumplirá el rol de auditor de seguridad de red, por tanto deberá disponer de
sus propias máquinas virtuales y a manera de evidencia deberá incluir las capturas de
pantalla (con fecha visible) de las acciones más destacadas con los comentarios donde
relate sus hallazgos.
Nota importante: Tenga en cuenta que los comentarios que debe incluir no son a
manera de “tutorial” ni de “paso a paso” y que cada captura debe incluir el texto
correspondiente.

a) Realice algunos escaneos a dispositivos de su interés (Servidores, equipos

clientes, Smartphone, Smart TV, etc); luego identifique puertos llamativos y
consulte de qué servicios se trata.

5. PARÁMETROS PARA ELABORACIÓN DEL INFORME

Análisis de resultados.

a) Cumpliendo su rol de auditor de seguridad de red, recuerde analizar cada una

de las situaciones presentadas incluyendo sus comentarios.

b) Incluya ordenadamente las capturas de pantalla (máximo 2 por página) con los
respectivos comentarios.
 c) Describa sus hallazgos y sopórtelos en las respectivas capturas de pantalla

Cuestionario.

Responda de manera clara y concisa las siguientes preguntas:

a) En la exploración de puertos con NMAP. ¿Qué diferencias identificó en el uso de

los distintos comandos de exploración de puertos?
b) ¿Qué diferencias advirtió en los distintos procesos y técnicas de exploración
cuando el firewall local estaba activo?

c) ¿Por qué es importante conocer los puertos abiertos en una máquina?

d) Consulte: ¿Cómo podría engañar a NMAP para impedir que se reconozca al

sistema operativo en la máquina objetivo? Si lo desea realice pruebas para
comprobar el procedimiento identificado.

e) Consulte: ¿Cómo se podrían limitar las respuestas ICMP para evitar que un
escaneo de red o barrido de ping sea exitoso?