Taller de Seguridad en Redes

Nmap
Programa que orientado para hacer un mapeo o scaneo y barrido de las redes con el fin de
determinar información importante sobre determinados hosts, redes o grupos de hosts. Este
programa creado por Fyodor (fyodor @insecure.org) se ha ganado mucho adeptos debido a su
versatilidad y facilidad de manejo, además de poder utilizar protocolos como el udp y el tcp.

Analizar las siguientes opciones del scanning NMAP :

Port ScanningTCP connect: -sT

El escaneo que se está realizando es para establecer una conexión normal TCP. Para lograr la
negociación es necesario tener dos maquinas (Una de origen y otra de destino), lo que finalmente nos
da como resultado en el equipo de destino, los puertos que utilizan TCP, están abierto o cerrado. En
la imagen se hizo un escaneo con esta opción, en donde podemos ver los resultados de los puertos
TCP nos muestra que están abierto o también nos podría mostrar los puertos que están cerrado.

E puerto cerrado R

SYN
Taller de Seguridad en Redes

RST

Port ScanningUDP: -sU

El protocolo UDP, no está orientado a la conexión, es posible hacer un

escaneo a la máquina de destino. Como el protocolo TCP tiene un paquete SYN,
este no lo tiene. Igualmente podemos hacer un escaneo muy sencillo, en donde nos
puede arrojar algunos resultados muy llamativos. Si escaneamos con esta opción en
el nmap y nos arroja un error ICMP, que nos muestra que el puerto no es alcanzable
marca el puerto cerrado. En la imagen, podemos observar que el escaneo nos arrojó
resultados de puertos udp que se encuentra abierto.

Port ScanningTCP connect: -sU

E Puerto Filtrado R

SYN
Taller de Seguridad en Redes

MSG ICMP

Port ScanningUDP: -sF, -sX,-sN Stealth FIN,Xmas

-sF, -sX,-sN Stealth FIN, Xmas, o Scan Nulo (solo trabaja contra UNIX) este tipo de scan se le
llama nulo porque intenta molestar lo menos posible al "inetd" o demonio de servicios para evitar caer
en el log del sistema, además existen muchos host con firewall que poseen filtrado para paquetes del
tipo SYN por lo que quedaríamos automáticamente grabados en el Log del sistema , para esos casos
es necesario utilizar el sF, sX, sN o el Xmas en vez de el sS.

Port ScanningTCP connect: -sN

Port ScanningTCP connect: -sN

Port ScanningTCP connect: -sF

Taller de Seguridad en Redes

Port ScanningTCP connect: -sF

Port ScanningTCP connect: -sX

Port ScanningTCP connect: -sX

Puerto cerrado

Ports Scanning connect: -sN Port Scanning connect: -sF Port Scanning connect: -sX
Taller de Seguridad en Redes

R E R E R
E

SYN SYN
SYN

RST,ACK RST, ACK

RST,ACK

La siguiente actividad requiere que Ud. prepare Wireshark o SNORT para capturar tráfico
HTTP y HTTPS.

Entrar en una página que solicite usuario y contraseña bajo HTTP

Taller de Seguridad en Redes

• Capturamos los paquetes de nuestra propia conexión con el Wireshark

• Nos logueamos en una página con (HTTP)
• Usando los filtros del Wireshark buscamos el usuario y el password con el que
nos logueamos

Conclusión.

Podemos visualizar en la captura de pantalla los resultados que demuestran

fehacientemente, que es sencillo obtener la contraseña de una página web que no
está utilizando ningún cifrado, solo utiliza el protocolo http. En la imagen podemos
ver, en los círculos rojos, muestran el usuario y su contraseña. Podríamos decir que
tener una página sin cifrado es muy peligroso si se trata de dar servicios delicados
(bancos, comprar en la red, ect..), por la simple razón que se podrían obtener esta
información cualquier persona mal intencionada.

Entrar en una página que solicite usuario y contraseña bajo HTTPS

Taller de Seguridad en Redes

Falsos Positivos

Un falso positivo es un término que es aplicado a un fallo de detección en un

sistema de alertas. Esto sucede cuando nuestro IDS detecta la presencia de una
intrusión en el sistema que en realidad no existe.

Falsos Negativos.

Un falso negativo es un término que se hace referencia a un fallo en el sistema de

alerta. Sucede cuando una intrusión existe en nuestro IDS y es permitida (ignorada
o no detectada) por el sistema de alerta.

Son posibles dividirlos en categorías en las que se puede comentar:

• Reactionary traffic alarms

Se detecta un comportamiento sospechoso como consecuencia de tráfico generado
anteriormente (generalmente no malicioso).
Ej. ICMP network unreachable.
• Equipment-related alarms
Se detectan paquetes dentro del tráfico de la red que identifica como no “usuales”.
Ej. Balanceadores de carga.
• Protocol violations
Taller de Seguridad en Redes

Se producen por software mal programado (bugs) o que implementan de forma

incorrecta o anticuada
algunas partes de los protocolos de Internet.
• Non malicious alarms
Alarmas producidas al detectar rastros de comportamientos maliciosos pero que en
este contexto determinado no lo son.
Ej. Publicamos un shellcode en nuestra pagina web :-)
• True false positives
Toda alarma que no se encuentre en las anteriores categorías.

¿Cuál sería la relación entre falsos positivos y falsos negativos para que un IDS
sea considerado útil y confiable?

Para que un IDS sea útil para la relación entre los falsos positivos y falsos
negativos un ejemplo es en el caso de tener un firewall que esté al medio de
nuestra red, en donde el falso positivo se colocaría en nuestra red local, por ser
una red insegura, y nos entregaría más información de posibles falsos positivos,
mientras que los falsos negativos se dejarían afuera de nuestra red en donde