domingo, 19 de diciembre de 2010

Auditoria de seguridad con Nmap, detectar un intruso en tu red

---------------------------------------------------------------------------------------------------------------------------------------------------------------------
Si alguna vez sospechas que tienes algún intruso dentro de tu red puedes comprobarlo con Nmap. Nmap monitorea tu red en busca de las maquinas conectadas, mira los puertos abiertos, identifica sistemas operativos, etc...
---------------------------------------------------------------------------------------------------------------------------------------------------------------------

Últimamente he trasteando un poco con las redes wireless y aunque ya habia leido sobre el tema he comprobado lo vulnerables que son. Una clave wep de una red con tráfico se consigue como mucho en 20 minutos, las wpa y wpa2 cuestan más pero dicen que también se consiguen. Asi que si tienes un router wireless toma medidas contra posibles intrusos. Usa cifrado wpa2, haz un filtrado mac, oculta tu essid, y si es una zona con mucho tráfico cambia la clave como mucho cada 2 semanas.
En una de las redes que administro el 90% de las maquinas se conectan por wifi, por lo que regularmente tengo que monitorearla en busca de intrusos. Uso Nmap, que me proporciona mucha información.

INSTALAMOS SOFTWARE NECESARIO

Nmap se puede instalar en todos los linux que cocnozco, en Debian Squeeze  lo tenemos disponible en los repositorios de software. Yo lo instalo en una consola de admistrador con apt :
          # apt-get install nmap

DETECTAMOS SI HAY INTRUSOS 

Ahora mismo tengo todos los PCs de mi red desconectados excepto este que es desde el que voy a monitorear. Así que en mi red solo deberia de ver dos maquinas, el router y este Debian.
La red que voy a monitorear es la "192.168.66.0". He configurado en el router el wifi sin cifrado hace un rato y voy a ver si alguien se ha conectado a mi red.

          # nmap 192.168.66.1-255

          Starting Nmap 5.00 ( http://nmap.org ) at 2010-12-17 21:00 CET
          Interesting ports on 192.168.66.1:
          ..................
          ..................

          Interesting ports on 192.168.66.110:
          Not shown: 997 filtered ports
          PORT     STATE  SERVICE
          139/tcp  open   netbios-ssn
          445/tcp  open   microsoft-ds
          2869/tcp closed unknown
          MAC Address: 00:3C:6D:D2:B4:6A (Unknown)

          Interesting ports on 192.168.66.169:
          ..................
          ..................

          Nmap done: 255 IP addresses (3 hosts up) scanned in 11.90 seconds

Acabamos de detectar que además del router con la @ip 192.168.66.1 y mi Debian con la @ip 192.168.66.169 tenemos dentro de nuestra red alguien conectado. Este intruso esta conectado con la @ip 192.168.66.110, la MAC de su targeta wireless es "00:3C:6D:D2:B4:6A", tiene dos puertos abiertos y vemos los servicios que usa cada puerto.

CONOCER MAS DATOS DEL INTRUSO

Si quieres saber más datos sobre el intruso con @ip 192.168.66.110 como por ejemplo el sistema operativo puedes añadir la opción "-A", y para que sea más rapido "-T4". Aún con esta opción tarda un poco más que antes porque tiene que recoger muchos más datos :

          # nmap -A -T4 192.168.66.110

          Starting Nmap 5.00 ( http://nmap.org ) at 2010-12-17 21:12 CET
          Interesting ports on 192.168.66.110:
          Not shown: 997 filtered ports
          PORT     STATE  SERVICE      VERSION
          139/tcp  open   netbios-ssn
          445/tcp  open   microsoft-ds Microsoft Windows XP microsoft-ds
          2869/tcp closed unknown
          MAC Address: 00:3C:6D:D2:B4:6A (Unknown)
          Device type: general purpose
          Running (JUST GUESSING) : Microsoft Windows XP|2000|2003 (95%)
          Aggressive OS guesses: Microsoft Windows XP SP2 (95%), Microsoft Windows XP SP2 or SP3 (95%),
          Microsoft Windows XP SP2 (firewall disabled) (92%), Microsoft Windows XP SP3 (92%), Microsoft
          Windows 2000 SP4 or Windows XP SP2 or SP3 (91%), Microsoft Windows 2003 Small Business
          Server (91%), Microsoft Windows XP Professional SP2 (91%), Microsoft Windows Server 2003 SP1or
          SP2 (89%), Microsoft Windows XP (89%), Microsoft Windows XP Professional SP2 (firewall enabled)
          (88%)
          No exact OS matches for host (test conditions non-ideal).
          Network Distance: 1 hop
          Service Info: OS: Windows

          Host script results:
          |_ nbstat: NetBIOS name: WINEVA, NetBIOS user: , NetBIOS MAC: 00:3C:6D:D2:B4:6A
          |  smb-os-discovery: Windows XP
          |  LAN Manager: Windows 2000 LAN Manager
          |  Name: WORKGROUP\WINEVA
          |_ System time: 2010-12-17 21:13:31 UTC+1

          OS and Service detection performed. Please report any incorrect results at http://nmap.org/submit/ .
          Nmap done: 1 IP address (1 host up) scanned in 62.12 seconds

Pues ya sabemos que tenemos un intruso que usa Windows Xp y como podeis ver muchisimos más datos. Como en mi caso he dejado mi wifi de libre acceso realmente no era un intruso real, simplemente vuelvo a configurarla con cifrado wpa2, filtrado MAC y mi essid oculta, y este supuesto intruso dejará de estar conectado a mi red. Pero si tienes un intruso de verdad en tu red inmediatamente cambia la contraseña, refuerza las medidas de seguridad en tu router, y monitorea regularmente con nmap las maquinas conectadas a tu red.

Si quieres saber más sobre Nmap aquí tienes la guia de referencia en castellano.

---------------------------------------------------------------------------------------------------------------------------------------------------------------------

1 comentario:

Avrah dijo...

Hola! Quiero hacerte una consulta, debido a una mala configuracion en mi router con openwrt no puedo ingresar, no tengo su ip y no tengo puerta de enlace, pero sin embargo el router funciona ya que me da una ip en la red. Mi pregunta es: Puedo usar NMAP para detectar la ip del router? Muchas gracias.