LinuxParty

Inicio desactivadoInicio desactivadoInicio desactivadoInicio desactivadoInicio desactivado
 

Un análisis de una red de computadoras comienza al comprender cuáles son las herramientas disponibles para realizar dicha tarea, cómo elegir la(s) correcta(s) para cada paso del camino, y por último, pero no menos importante, dónde comenzar.

Tenga en cuenta que esta lista no pretende ser exhaustiva, así que no dude en comentar esta publicación utilizando el formulario que se encuentra en la parte inferior si desea agregar otra utilidad útil que podamos estar perdiendo.

¿Qué servicios se están ejecutando y por qué?

Una de las primeras cosas que un administrador de sistemas debe saber acerca de cada sistema es qué servicios se están ejecutando y por qué. Con esa información en la mano, es una sabia decisión desactivar todos aquellos que no son estrictamente necesarios y evitar alojar demasiados servicios/servidores en la misma máquina física.

Por ejemplo, necesita deshabilitar su servidor FTP si su red no requiere uno (por cierto, hay métodos más seguros para compartir archivos a través de una red). Además, debe evitar tener un servidor web y un servidor de base de datos en el mismo sistema. Si un componente se ve comprometido, el resto corre el riesgo de verse comprometido también.

Investigando conexiones de zócalo con ss

ss se utiliza para volcar estadísticas de socket y muestra información similar a netstat , aunque puede mostrar más TCP e información de estado que otras herramientas. Además, está listado en man netstat como reemplazo de netstat, que está obsoleto.

Sin embargo, en este artículo nos centraremos solo en la información relacionada con la seguridad de la red.

Ejemplo 1: Mostrar TODOS los puertos TCP (sockets) que están abiertos en nuestro servidor

Todos los servicios que se ejecutan en sus puertos predeterminados (es decir, http en 80, mysql en 3306) se indican con sus respectivos nombres. Otros (ocultos aquí por razones de privacidad) se muestran en su forma numérica.

 # ss -t -a

Comprobar todos los puertos TCP abiertos

La primera columna muestra el estado de TCP , mientras que la segunda y la tercera columna muestran la cantidad de datos que actualmente están en cola para la recepción y transmisión. La cuarta y quinta columnas muestran los sockets de origen y destino de cada conexión.
Como nota adicional, es posible que desee verificar RFC 793 para actualizar su memoria sobre posibles estados de TCP, ya que también necesita verificar el número y el estado de las conexiones TCP abiertas para conocer los ataques (D) DoS.

Ejemplo 2: Mostrar TODAS las conexiones TCP activas con sus temporizadores
 # ss -t -o

Revise todas las conexiones activas

En la salida anterior, puede ver que hay 2 conexiones SSH establecidas. Si observa el valor del segundo campo del temporizador , notará un valor de 36 minutos en la primera conexión. Esa es la cantidad de tiempo hasta que se enviará la próxima sonda keepalive.

Dado que se trata de una conexión que se mantiene activa, puede asumir de forma segura que se trata de una conexión inactiva y, por lo tanto, puede detener el proceso después de descubrir su PID .

Matar proceso activo

En cuanto a la segunda conexión, puede ver que se está utilizando actualmente (como se indica en).

Ejemplo 3: Filtrar conexiones por socket

Supongamos que desea filtrar las conexiones TCP por socket. Desde el punto de vista del servidor, debe verificar las conexiones donde el puerto de origen es 80.

 # ss -tn sport =: 80

Resultando en..

Conexiones de filtro por zócalo

Protección contra el escaneo de puertos con NMAP

El escaneo de puertos es una técnica común utilizada por los crackers para identificar hosts activos y abrir puertos en una red. Una vez que se descubre una vulnerabilidad, se explota para obtener acceso al sistema.

Un administrador de sistemas sabio necesita verificar cómo sus sistemas externos son vistos por personas ajenas, y asegurarse de que no se deja nada al azar al auditarlos con frecuencia. Eso se llama " escaneo de puertos defensivos ".

Ejemplo 4: Mostrar información sobre puertos abiertos

Puede usar el siguiente comando para escanear qué puertos están abiertos en su sistema o en un host remoto:

 # nmap -A -sS [dirección IP o nombre de host]

El comando anterior escaneará el host para el sistema operativo y la detección de versión , información del puerto y traceroute ( -A ). Finalmente, -sS envía una exploración TCP SYN , impidiendo que nmap complete el protocolo de enlace TCP de 3 vías y, por lo tanto, generalmente no deja registros en la máquina de destino.

Antes de continuar con el siguiente ejemplo, tenga en cuenta que el escaneo de puertos no es una actividad ilegal. Lo que es ilegal es usar los resultados para un propósito malicioso.

Por ejemplo, la salida del comando anterior ejecutada contra el servidor principal de una universidad local devuelve lo siguiente (solo una parte del resultado se muestra en aras de la brevedad):

Comprobar puertos abiertos

Como puede ver, descubrimos varias anomalías que debemos hacer bien para informar a los administradores del sistema en esta universidad local.

Esta operación específica de escaneo de puertos proporciona toda la información que también puede obtenerse con otros comandos, como:

Ejemplo 5: Visualización de información sobre un puerto específico en un sistema local o remoto
 # nmap -p [puerto] [nombre de host o dirección]
Ejemplo 6: Mostrar traceroute y descubrir la versión de los servicios y el tipo de SO, nombre de host
 # nmap -A [nombre de host o dirección]
Ejemplo 7: Escaneando varios puertos o hosts simultáneamente

También puede escanear varios puertos (rango) o subredes, de la siguiente manera:

 # nmap -p 21,22,80 192.168.0.0/24 

Nota : que el comando anterior explora los puertos 21, 22 y 80 en todos los hosts en ese segmento de red.

Puede consultar la página del manual para obtener más detalles sobre cómo realizar otros tipos de escaneo de puertos. Nmap es, de hecho, una utilidad de mapeador de redes muy potente y versátil, y debe conocerlo muy bien para defender los sistemas de los que es responsable frente a los ataques originados después de un escaneo de puertos maliciosos por parte de terceros.

Pin It

Escribir un comentario


Código de seguridad
Refescar



Redes:



 

Suscribete / Newsletter

Suscribete a nuestras Newsletter y periódicamente recibirás un resumen de las noticias publicadas.

Donar a LinuxParty

Probablemente te niegues, pero.. ¿Podrías ayudarnos con una donación?


Tutorial de Linux

Nos obligan a moslestarte con la obviedad de que este sitio utiliza Cookies. Ver política