Herramientas de Redes

Ramiro Estigarribia Canese

NmapNmap es un programa de código abierto que permite realizar verificaciones múltiples en las redes.

Por ejemplo, se puede averiguar que puertos están activos en una computadora, y también los bloqueados por un firewall.

Fué escrito por Gordon Lyon (más conocido por su alias Fyodor Vaskovich).

Se usa para evaluar la seguridad de sistemas, así como para descubrir servicios o servidores en una red.

NmapHa sido la herramienta utilizada por Hollywood para mostrar en escenas de hacking, o expertos en seguridad informática.

Lista de películas: http://nmap.org/movies/

PC local.nmap localhost

nmap -sV -O (Dirección IP)Obtiene información acerca de los puertos y detección del sistema operativo.

Ejemplo:nmap -sV -O www.ande.gov.pyPORT STATE SERVICE VERSION25/tcp open smtp Postfix smtpd80/tcp open http Apache httpd 2.2.14 (Ubuntu)443/tcp open ssl/http Apache httpd 2.2.15 (CentOS)5060/tcp filtered sip

No OS matches for host

nmap 190.128.222.* -p 80Obtener una lista de servicios con un puerto.nmap 190.128.222.* -p 80Nmap scan report for pool-1-222-128-190.telecel.com.py (190.128.222.1)Host is up (0.020s latency).PORT STATE SERVICE80/tcp open http

Nmap scan report for pool-5-222-128-190.telecel.com.py (190.128.222.2)Host is up (0.024s latency).PORT STATE SERVICE80/tcp closed http

Nmap scan report for pool-5-222-128-190.telecel.com.py (190.128.222.3)Host is up (0.026s latency).PORT STATE SERVICE80/tcp filtered http

nmap -sP 192.168.0.*

Buscar las IP activas, se puede hacer de 3 formas:● nmap -sP 192.168.0.*● nmap -sP 192.168.0.0/24● nmap -sP 192.168.1.100-120Nmap scan report for 192.168.1.100Host is up (0.0056s latency).Nmap scan report for 192.168.1.103Host is up (0.032s latency).Nmap scan report for 192.168.1.110Host is up (0.00029s latency).Nmap done: 256 IP addresses (3 hosts up) scanned in 3.69 seconds

IptablesEs el cortafuegos o firewall del kernel de Linux.

Permite no solamente filtrar paquetes, sino también realizar traducción de direcciones de red (NAT) y mantener registros de log, en caso de encontrar anomalías.

Iptables permite al administrador del sistema definir reglas acerca de qué hacer con los paquetes de red.

Iptables

Las reglas se agrupan en cadenas: cada cadena es una lista ordenada de reglas. Las cadenas se agrupan en tablas: cada tabla está asociada con un tipo diferente de procesamiento de paquetes.

Cada regla especifica qué paquetes la cumplen (match) y un objetivo que indica qué hacer con el paquete si éste cumple la regla

IptablesCadenas básicas: INPUT: Entrada.OUTPUT: Salida.FORWARD: Reenvío.POSTROUTING: Tomar decisiones para la red local.

Acciones a realizar:ACCEPT: Aceptar una conexión.DROP: Descartar una conexión, sin avisar.REJECT: Descartar una conexión avisando.

Borrar todas las reglas en Iptables:iptables --flush

IptablesFormas de insertar y eliminar las reglas:

Iptables -I: Agrega una regla, en la primera posición. Iptables -A: Agrega una regla, en la última posición.Iptables -D: Elimina una regla.Iptables -P: Sirve para definir las políticas por defecto.

Ejemplos:iptables -A INPUT -p tcp --dport 80 -j ACCEPTiptables -I INPUT -p tcp --dport 80 -j DROPiptables -D INPUT -p tcp --dport 80 -j DROP

Si quiero bloquear la entrada de 1 IP atacante:iptables -i INPUT -s 192.168.1.1 -j DROP

Compartir internet para la red 192.168.1.0/24:iptables -P INPUT ACCEPTiptables -P OUTPUT ACCEPTiptables -P FORWARD ACCEPT

iptables -A INPUT -p tcp --dport 80 -j ACCEPTiptables -A INPUT -s 200.108.136.35 -j ACCEPTiptables -A INPUT -p tcp -j DROP

iptables -A POSTROUTING -t nat -s 192.168.1.0/24 -j MASQUERADE

Iptables Ejemplos

Compartir internet, solo en los puertos: 80, 53 y 443:iptables -P INPUT ACCEPTiptables -P OUTPUT ACCEPTiptables -P FORWARD ACCEPT

iptables -A POSTROUTING -t nat -s 192.168.1.0/24 -p tcp -dport 80 -j MASQUERADEiptables -A POSTROUTING -t nat -s 192.168.1.0/24 -p tcp -dport 443 -j MASQUERADEiptables -A POSTROUTING -t nat -s 192.168.1.0/24 -p udp -dport 53 -j MASQUERADE

Iptables Ejemplos

Iptables Ejemplos

Bloquear todo, y redireccionar el puerto 3389:

iptables -P INPUT DROPiptables -P OUTPUT DROPiptables -P FORWARD DROP

iptables -A INPUT -p tcp --dport 3389 -j ACCEPT

iptables -t nat -A PREROUTING -p tcp --dport 3389 -j DNAT --to-destination 192.168.3.9:3389

Iptables EjemplosEjemplo:nmap -sV -O www.ande.gov.pyPORT STATE SERVICE VERSION25/tcp open smtp Postfix smtpd80/tcp open http Apache httpd 2.2.14 (Ubuntu)443/tcp open ssl/http Apache httpd 2.2.15 (CentOS)5060/tcp filtered sip

Probablemente el Firewall de la Ande sea así:iptables -A INPUT -p tcp --dport 25 -j ACCEPTiptables -A INPUT -p tcp --dport 80 -j ACCEPTiptables -A INPUT -p tcp --dport 443 -j ACCEPTiptables -A INPUT -p tcp --dport 5060 -j REJECT

Iptables Ejemplos

iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination 192.168.1.1iptables -t nat -A PREROUTING -p tcp --dport 443 -j DNAT --to-destination 192.168.1.2

Más del Firewall de la ANDE:

80/tcp open http Apache httpd 2.2.14 (Ubuntu)

443/tcp open ssl/http Apache httpd 2.2.15 (CentOS)

DIGEs una herramienta de administración de red para consultar el Sistema de nombres de dominio (DNS).

Es útil para detectar problemas de red, principalmente entre servidores correo y sitios web.

Ejemplo: Identificar el servidor de www.copaco.com.pydig www.copaco.com.py;; ANSWER SECTION:www.copaco.com.py. 84279 IN A 201.217.1.239

84279 : Es un número para verificar si se hizo algún cambio.

DIG EjemplosIdentificar el servidor DNS:dig ns presidencia.gov.py;; ANSWER SECTION:presidencia.gov.py. 68904 IN NSns2.senatics.gov.py.presidencia.gov.py. 68904 IN NSns1.senatics.gov.py.En este caso, corresponde al DNS de SENATICS

Identificar el servidor de Correo:dig mx ande.gov.py;; ANSWER SECTION:ande.gov.py. 388552 IN MX 10 mail.ande.gov.py.

mail.ande.gov.py. 454130 IN A 200.85.34.26

DIG EjemplosIdentificar si el IP tiene servidor de Correo:dig x 190.128.222.59

;; ANSWER SECTION:26.34.85.200.in-addr.arpa. 86304 IN PTR mail.ande.gov.py.

A esto también se le llama: DNS reverso.

Identificar si el Dominio tiene configuración SPF:

dig txt afd.gov.py

;; ANSWER SECTION:afd.gov.py. 3600 IN TXT "v=spf3 ip4:200.108.136.48/29 mx:mail.afd.gov.py -all"

DIG Ejemplos

DIG EjemplosIdentificar si el Dominio tienen Servidor FTP:

dig ftp.rieder.net.py

;; ANSWER SECTION:ftp.rieder.net.py. 3600 IN CNAME www.rieder.net.py.www.rieder.net.py. 3600 IN A 200.108.130.7

DIG EjemplosIdentificar el servidor de Copaco, utilizando el DNS de Google:

dig www.copaco.com.py @8.8.8.8

;; ANSWER SECTION:www.copaco.com.py. 19510 IN A 201.217.1.239

TCPDUMPEs un herramienta cuya utilidad principal es analizar el tráfico que circula por la red.

Permite al usuario capturar y mostrar a tiempo real los paquetes transmitidos y recibidos en la red a la cual el ordenador está conectado.

La tarjeta de red se pone en modo promiscuo y va a capturar todo lo que pasa.

TCPDUMPEjemplos:Capturar tráfico cuya dirección IP de origen es190.128.131.250 (Diario Ultima Hora):

tcpdump src host 190.128.131.25023:49 IP www.ultimahora.com.http > 10.3.2.42.51476: Flags [.], ack 1, win 471, length 1380

Capturar tráfico cuya dirección origen o destino sea 190.128.131.250:

tcpdump host 190.128.131.25023:49 IP www.ultimahora.com.http > 10.3.2.42.51476: Flags [.], ack 1, win 471, length 138023:49 IP 10.3.2.42.51476 > www.ultimahora.com.http: Flags [.], ack 218040, win 16560, length 0

Capturar tráfico cuya dirección IP es190.128.131.250, sin resolver DNS: (mas rápido)

tcpdump host 190.128.131.250 -n23:49 IP 190.128.131.250.80 > 10.3.2.42.51476: Flags [.], ack 1, win 471, length 1380

Capturar tráfico cuya dirección IP es200.85.32.59, y el puerto es 25 (correo de tigo)

tcpdump host 200.85.32.59 and port 25 -n23:49 IP 200.85.32.59.25 > 200.108.130.5.51476: Flags [.], ack 1, win 471, length 1380

TCPDUMPEjemplos:

TCPFLOWTcpflow es un analizador de tráfico bastante potente y sencillo de usar.

La gran diferencia con tcpdump, es que en lugar de mostrar las conexiones, este muestra los datos transmitidos, con lo que permite la interpretación de los mismos.

TCPFLOWEjemplos.Mostrar en pantalla todos los datos transferidos por el puerto 80 (navegación).

tcpflow -c port 80192.168.1.1: GET /__utm.gif?utmwv=5.4.5&utms=1&utmn=1203542486&utmhn=www.abc.com.py&utmcs=UTF-8&utmsr=1024x600&utmvp=1009x514&utmsc=24-bit&utmul=en-us&utmje=1&utmfl=11.2%20r202&utmdt=Noticias%20de%20Paraguay

TCPFLOWEjemplos.Mostrar en pantalla todos los datos transferidos por el puerto 80, para el ip 192.168.1.110 .

tcpflow -c port 80 and host 192.168.1.110192.168.001.110: GET /__utm.gif?utmwv=5.4.5&utms=1&utmn=1203542486&utmhn=www.abc.com.py&utmcs=UTF-8&utmsr=1024x600&utmvp=1009x514&utmsc=24-bit&utmul=en-us&utmje=1&utmfl=11.2%20r202&utmdt=Noticias%20de%20Paraguay

TCPFLOWEjemplos.Mostrar en pantalla todos los datos transferidos por el puerto 25 (navegación).

tcpflow -c port 25font-family: 'Helvetica Neue', Helvetica, Arial, sans-serif; font-size: 20px;line-height: 18px;"><a href="javascript:void(0)" style="text-decoration: none;color: white;cursor:default">lilopez@fleni.org.ar</a> quiere seguirte</td>

TELNET(Telecommunication Network)

Es una aplicación que opera en un entorno de cliente/servidor, lo que implica que el equipo remoto se configura como servidor, por lo que espera que el otro equipo le solicite un servicio.

Permite para manejar al equipo remoto, mediante la red.

Para que la conexión funcione, la máquina a la que se acceda debe tener un programa activo y permitiendo conexiones entrantes.

TELNETEjemplos.

Conectarse a un equipo en internet:telnet eisner.decus.org

TELNETEjemplos.

Conectarse a un sitio web:telnet www.copaco.com.py 80get index.php

TELNETEjemplos.

Una manera de enviar correos, sin utilizar Outlook, es conectarse a un servidor, con un TELNET al puerto 25:

telnet mx1.hotmail.com 25220 SNT0-MC2-F11.Snt0.hotmail.com helo hotmailmail from:prueba@hotmail.com250 prueba@hotmail.com....Sender OKrcpt to:ramiroec@hotmail.comdata354 Start mail input; end with <CRLF>.<CRLF>prueba de correo<Snt0.hotmail.com> Queued mail for delivery

TracerouteTraceroute es una herramienta de diagnóstico para mostrar el camino de los paquetes en una red IP y su retardo en tránsito.

Analiza la conexión entre la máquina donde se ejecuta y el host destino especificado por el usuario. Para definir la traza entre ambos extremos, se determina la dirección de cada salto de red existente en la trayectoria, con el objetivo de establecer la calidad del enlace.

Traceroute a Google8.8.8.8

MTRCombina las funcionalidades de traceroute y ping en una única utilidad de diagnóstico.

Prueba cada uno de los saltos que hay desde que un paquete se envía hasta que llegar a su destino, realizando pings en cada uno de ellos y sacando por pantalla estadísticas de respuesta en porcentajes de cada uno de estos saltos cada x segundos.

Es de extrema utilidad para detectar fallos de conectividad entre redes. Mientras esta en ejecución presionando la tecla n, transforma los nombres DNS en IPs.

Fing: Escáner de red para AndroidNos permite escanear una red Wifi y buscar todos los equipos que estén conectados a la misma.

Por otro lado también nos permite hacer varias cosas interesantes, como por ejemplo escanear los puertos del equipo (nmap),, hacer un ping, trazar la ruta desde nuestro smartphone hasta otro lugar (traceroute).

Fing: Escáner de red para Android

Preguntas1. ¿Qué es NMAP? ¿Para qué sirve?2. Escriba el comando de NMAP para escanear los puertos de: www.unibe.edu.py.3. ¿Qué es Iptables? ¿Para qué sirve?4. ¿Qué es DIG? ¿Para qué sirve?5. Escriba el comando para identificar el servidor de: www.copaco.com.py.6. ¿Qué es TCPDUMP? ¿Para qué sirve?7. Escriba el comando tcpdump para capturar el trafico de: 10.10.1.18. ¿Qué es TCPFLOW? ¿En qué se diferencia con TCPDUMP?9. ¿Qué es TELNET? ¿Para qué sirve?