Cómo analizar los resultados de escaneo de Nmap en formato XML

Introducción

En el campo de la Ciberseguridad, comprender y analizar los resultados de los escaneos de red es crucial para mantener una infraestructura segura. Nmap (Network Mapper) es una de las herramientas más utilizadas para el descubrimiento de redes y la auditoría de seguridad. Este tutorial lo guiará a través del proceso de interpretación de los resultados de escaneo de Nmap en formato XML, equipándolo con las habilidades necesarias para aprovechar esta poderosa herramienta para sus necesidades de Ciberseguridad.

Al final de este laboratorio, sabrá cómo ejecutar escaneos de Nmap con salida XML, comprender la estructura de los datos XML, extraer información valiosa utilizando tanto herramientas de línea de comandos como scripts de Python, e identificar posibles problemas de seguridad a partir de los resultados del escaneo.

Instalación de Nmap y ejecución de un escaneo XML básico

¿Qué es Nmap?

Nmap (Network Mapper) es una utilidad gratuita y de código abierto para el descubrimiento de redes y la auditoría de seguridad. Los profesionales de la seguridad de todo el mundo lo utilizan para identificar qué dispositivos se están ejecutando en sus redes, descubrir hosts disponibles y los servicios que ofrecen, encontrar puertos abiertos y detectar vulnerabilidades de seguridad.

Instalación de Nmap

Comencemos instalando Nmap en nuestro sistema. Abra una ventana de terminal e ingrese los siguientes comandos:

sudo apt update
sudo apt install nmap -y

Una vez que se complete la instalación, verifique que Nmap esté instalado correctamente comprobando su versión:

nmap --version

Debería ver una salida similar a esta:

Nmap version 7.80 ( https://nmap.org )
Platform: x86_64-pc-linux-gnu
Compiled with: liblua-5.3.3 openssl-1.1.1f libssh2-1.8.0 libz-1.2.11 libpcre-8.39 nmap-libpcap-1.9.1 nmap-libdnet-1.12 ipv6
Compiled without:
Available nsock engines: epoll poll select

Ejecución de un escaneo básico de Nmap con salida XML

Nmap puede guardar los resultados de sus escaneos en formato XML, lo que proporciona una forma estructurada de analizar los datos mediante programación. Ejecutemos un escaneo básico de nuestra máquina local y guardemos los resultados en formato XML:

sudo nmap -A -T4 -oX ~/project/localhost_scan.xml localhost

Este comando realiza:

• -A: Habilita la detección del sistema operativo (OS detection), la detección de versiones (version detection), el escaneo de scripts (script scanning) y el traceroute.
• -T4: Establece la plantilla de tiempo (timing template) en "agresiva".
• -oX: Especifica que la salida debe estar en formato XML.
• localhost: El objetivo a escanear (nuestra propia máquina).

El escaneo puede tardar uno o dos minutos en completarse. Cuando termine, verá un resumen de los resultados del escaneo en la terminal.

Visualización de los resultados del escaneo XML

Examinemos el archivo XML que acabamos de crear:

cat ~/project/localhost_scan.xml

La salida será un documento XML estructurado que contiene información detallada sobre el escaneo. Puede parecer abrumador al principio, pero aprenderemos a interpretarlo en los próximos pasos.

También comprobemos la estructura básica del archivo XML utilizando el comando head:

head -n 20 ~/project/localhost_scan.xml

Esto muestra las primeras 20 líneas del archivo XML, lo que nos da una idea de su estructura.

Examinando la estructura de la salida XML

Comprensión del formato XML de Nmap

La salida XML de Nmap sigue una estructura jerárquica que organiza la información del escaneo de manera lógica. Exploremos los elementos principales de esta estructura:

1. <nmaprun>: El elemento raíz que contiene toda la información del escaneo.
2. <scaninfo>: Detalles sobre el tipo de escaneo y los parámetros.
3. <host>: Información sobre cada host escaneado.
   • <status>: Si el host está activo (up) o inactivo (down).
   • <address>: Direcciones IP y MAC.
   • <hostnames>: Nombres DNS.
   • <ports>: Detalles sobre los puertos escaneados.
     • <port>: Información sobre un puerto específico.
       • <state>: Si el puerto está abierto (open), cerrado (closed) o filtrado (filtered).
       • <service>: Información del servicio, si está disponible.
   • <os>: Resultados de la detección del sistema operativo (Operating System detection).
   • <times>: Información de tiempo sobre el escaneo.

Uso de herramientas de línea de comandos para extraer información

Los archivos XML pueden ser difíciles de leer en su forma sin procesar. Usemos algunas herramientas de línea de comandos para extraer información específica de los resultados de nuestro escaneo.

Primero, contemos cuántos puertos abiertos se encontraron usando grep y wc:

grep -c "state=\"open\"" ~/project/localhost_scan.xml

Este comando busca instancias de state="open" en el archivo XML y las cuenta.

A continuación, identifiquemos los puertos abiertos y sus servicios utilizando grep con la opción -A para mostrar las líneas posteriores a la coincidencia:

grep -A 3 "state=\"open\"" ~/project/localhost_scan.xml

Esto mostrará cada instancia de un puerto abierto junto con las 3 líneas que lo siguen, que normalmente incluyen información del servicio.

También podemos usar xmllint para formatear el archivo XML para una mejor legibilidad. Primero, instalémoslo:

sudo apt install libxml2-utils -y

Ahora, formateemos el archivo XML:

xmllint --format ~/project/localhost_scan.xml > ~/project/formatted_scan.xml

Echemos un vistazo al archivo formateado:

head -n 50 ~/project/formatted_scan.xml

Esto muestra las primeras 50 líneas del archivo XML formateado, que debería ser mucho más fácil de leer.

Finalmente, extraigamos información específica sobre el estado del host utilizando xmllint con XPath:

xmllint --xpath "//host/status/@state" ~/project/localhost_scan.xml

Este comando usa XPath para extraer el atributo state de todos los elementos status bajo los elementos host.

Analizando XML de Nmap con Python

Introducción al análisis XML con Python

Python proporciona bibliotecas potentes para analizar archivos XML. En este paso, crearemos un script simple de Python para analizar los resultados de nuestro escaneo de Nmap y mostrarlos en un formato más legible.

Creación de un analizador XML básico

Creemos un script de Python que utilice el módulo xml.etree.ElementTree para analizar el archivo XML de Nmap. Este módulo está incluido en la biblioteca estándar de Python, por lo que no necesitamos instalar nada adicional.

Cree un nuevo archivo llamado parse_nmap.py en el directorio del proyecto:

nano ~/project/parse_nmap.py

Copie y pegue el siguiente código en el editor:

#!/usr/bin/env python3
import xml.etree.ElementTree as ET
import sys

def parse_nmap_xml(xml_file):
    try:
        ## Parse the XML file
        tree = ET.parse(xml_file)
        root = tree.getroot()

        ## Print scan information
        print("Nmap Scan Report")
        print("=" * 50)
        print(f"Scan started at: {root.get('startstr')}")
        print(f"Nmap version: {root.get('version')}")
        print(f"Nmap command: {root.get('args')}")
        print("=" * 50)

        ## Process each host in the scan
        for host in root.findall('host'):
            ## Get host addresses
            for addr in host.findall('address'):
                if addr.get('addrtype') == 'ipv4':
                    ip_address = addr.get('addr')
                    print(f"\nHost: {ip_address}")

            ## Get hostname if available
            hostnames = host.find('hostnames')
            if hostnames is not None:
                for hostname in hostnames.findall('hostname'):
                    print(f"Hostname: {hostname.get('name')}")

            ## Get host status
            status = host.find('status')
            if status is not None:
                print(f"Status: {status.get('state')}")

            ## Process ports
            ports = host.find('ports')
            if ports is not None:
                print("\nOpen Ports:")
                print("-" * 50)
                print(f"{'PORT':<10}{'STATE':<10}{'SERVICE':<15}{'VERSION'}")
                print("-" * 50)

                for port in ports.findall('port'):
                    port_id = port.get('portid')
                    protocol = port.get('protocol')

                    ## Get port state
                    state = port.find('state')
                    port_state = state.get('state') if state is not None else "unknown"

                    ## Skip closed ports
                    if port_state != "open":
                        continue

                    ## Get service information
                    service = port.find('service')
                    if service is not None:
                        service_name = service.get('name', '')
                        service_product = service.get('product', '')
                        service_version = service.get('version', '')
                        service_info = f"{service_product} {service_version}".strip()
                    else:
                        service_name = ""
                        service_info = ""

                    print(f"{port_id}/{protocol:<5} {port_state:<10}{service_name:<15}{service_info}")

            ## Get OS detection information
            os = host.find('os')
            if os is not None:
                print("\nOS Detection:")
                for osmatch in os.findall('osmatch'):
                    print(f"OS: {osmatch.get('name')} (Accuracy: {osmatch.get('accuracy')}%)")

    except ET.ParseError as e:
        print(f"Error parsing XML file: {e}")
        return False
    except Exception as e:
        print(f"Error: {e}")
        return False

    return True

if __name__ == "__main__":
    if len(sys.argv) != 2:
        print(f"Usage: {sys.argv[0]} <nmap_xml_file>")
        sys.exit(1)

    xml_file = sys.argv[1]
    if not parse_nmap_xml(xml_file):
        sys.exit(1)

Guarde el archivo presionando Ctrl+O, luego Enter, y salga de nano con Ctrl+X.

Ahora, haga que el script sea ejecutable:

chmod +x ~/project/parse_nmap.py

Ejecución del analizador

Ejecutemos nuestro script de Python en el archivo XML de Nmap que creamos anteriormente:

python ~/project/parse_nmap.py ~/project/localhost_scan.xml

Debería ver una salida bien formateada de los resultados del escaneo, que incluye:

• Información básica del escaneo
• Detalles del host
• Puertos y servicios abiertos
• Resultados de la detección del sistema operativo (OS detection), si están disponibles

Esta salida formateada es mucho más fácil de leer que el archivo XML sin procesar y destaca la información más importante del escaneo.

Comprensión del código del analizador

Revisemos lo que hace nuestro script de Python:

1. Utiliza xml.etree.ElementTree para analizar el archivo XML.
2. Extrae información general del escaneo del elemento raíz.
3. Para cada host encontrado en el escaneo:
   • Extrae direcciones IP y nombres de host (hostnames).
   • Determina si el host está activo (up) o inactivo (down).
   • Enumera todos los puertos abiertos, incluido el número de puerto, el protocolo, el nombre del servicio y la versión.
   • Extrae la información de detección del sistema operativo (OS detection), si está disponible.

Este enfoque estructurado nos permite centrarnos en la información más relevante e ignorar la complejidad de XML.

Extracción de información relevante para la seguridad

Información de seguridad a partir de escaneos de Nmap

Ahora que podemos analizar datos XML de Nmap, ampliemos nuestro script para extraer información relevante para la seguridad. Esto incluye:

1. Identificar puertos abiertos potencialmente riesgosos.
2. Detectar versiones de servicio obsoletas.
3. Resumir las preocupaciones de seguridad.

Creemos una versión mejorada de nuestro analizador que se centre en el análisis de seguridad.

Creación de un script de análisis de seguridad

Cree un nuevo archivo llamado security_analysis.py:

nano ~/project/security_analysis.py

Copie y pegue el siguiente código:

#!/usr/bin/env python3
import xml.etree.ElementTree as ET
import sys
import datetime

## Define potentially risky ports
HIGH_RISK_PORTS = {
    '21': 'FTP - File Transfer Protocol (often unencrypted)',
    '23': 'Telnet - Unencrypted remote access',
    '25': 'SMTP - Email transfer (may allow relay)',
    '445': 'SMB - Windows file sharing (potential target for worms)',
    '3389': 'RDP - Remote Desktop Protocol (target for brute force)',
    '1433': 'MSSQL - Microsoft SQL Server',
    '3306': 'MySQL - Database access',
    '5432': 'PostgreSQL - Database access'
}

## Services with known security issues
OUTDATED_SERVICES = {
    'ssh': [
        {'version': '1', 'reason': 'SSHv1 has known vulnerabilities'},
        {'version': 'OpenSSH 7', 'reason': 'Older OpenSSH versions have multiple CVEs'}
    ],
    'http': [
        {'version': 'Apache httpd 2.2', 'reason': 'Apache 2.2.x is end-of-life'},
        {'version': 'Apache httpd 2.4.1', 'reason': 'Apache versions before 2.4.30 have known vulnerabilities'},
        {'version': 'nginx 1.14', 'reason': 'Older nginx versions have security issues'}
    ]
}

def analyze_security(xml_file):
    try:
        ## Parse the XML file
        tree = ET.parse(xml_file)
        root = tree.getroot()

        ## Prepare the report
        report = []
        report.append("NMAP SECURITY ANALYSIS REPORT")
        report.append("=" * 50)
        report.append(f"Report generated on: {datetime.datetime.now().strftime('%Y-%m-%d %H:%M:%S')}")
        report.append(f"Scan started at: {root.get('startstr')}")
        report.append(f"Scan command: {root.get('args')}")
        report.append("=" * 50)

        ## Track security findings
        high_risk_services = []
        potentially_outdated = []
        exposed_services = []

        ## Process each host in the scan
        for host in root.findall('host'):
            ## Get host addresses
            ip_address = None
            for addr in host.findall('address'):
                if addr.get('addrtype') == 'ipv4':
                    ip_address = addr.get('addr')

            hostname = "Unknown"
            hostnames = host.find('hostnames')
            if hostnames is not None:
                hostname_elem = hostnames.find('hostname')
                if hostname_elem is not None:
                    hostname = hostname_elem.get('name')

            report.append(f"\nHOST: {ip_address} ({hostname})")
            report.append("-" * 50)

            ## Process ports
            ports = host.find('ports')
            if ports is None:
                report.append("No port information available")
                continue

            open_ports = 0
            for port in ports.findall('port'):
                port_id = port.get('portid')
                protocol = port.get('protocol')

                ## Get port state
                state = port.find('state')
                if state is None or state.get('state') != "open":
                    continue

                open_ports += 1

                ## Get service information
                service = port.find('service')
                if service is None:
                    service_name = "unknown"
                    service_product = ""
                    service_version = ""
                else:
                    service_name = service.get('name', 'unknown')
                    service_product = service.get('product', '')
                    service_version = service.get('version', '')

                service_full = f"{service_product} {service_version}".strip()

                ## Check if this is a high-risk port
                if port_id in HIGH_RISK_PORTS:
                    high_risk_services.append(f"{ip_address}:{port_id} ({service_name}) - {HIGH_RISK_PORTS[port_id]}")

                ## Check for outdated services
                if service_name in OUTDATED_SERVICES:
                    for outdated in OUTDATED_SERVICES[service_name]:
                        if outdated['version'] in service_full:
                            potentially_outdated.append(f"{ip_address}:{port_id} - {service_name} {service_full} - {outdated['reason']}")

                ## Track all exposed services
                exposed_services.append(f"{ip_address}:{port_id}/{protocol} - {service_name} {service_full}")

            report.append(f"Open ports: {open_ports}")

        ## Add security findings to report
        report.append("\nSECURITY FINDINGS")
        report.append("=" * 50)

        ## High-risk services
        report.append("\nHIGH-RISK SERVICES")
        report.append("-" * 50)
        if high_risk_services:
            for service in high_risk_services:
                report.append(service)
        else:
            report.append("No high-risk services detected")

        ## Potentially outdated services
        report.append("\nPOTENTIALLY OUTDATED SERVICES")
        report.append("-" * 50)
        if potentially_outdated:
            for service in potentially_outdated:
                report.append(service)
        else:
            report.append("No potentially outdated services detected")

        ## Exposed services inventory
        report.append("\nEXPOSED SERVICES INVENTORY")
        report.append("-" * 50)
        if exposed_services:
            for service in exposed_services:
                report.append(service)
        else:
            report.append("No exposed services detected")

        ## Write the report to a file
        report_file = "security_report.txt"
        with open(report_file, 'w') as f:
            f.write('\n'.join(report))

        print(f"Security analysis complete. Report saved to {report_file}")

        ## Display a summary
        print("\nSummary:")
        print(f"- High-risk services: {len(high_risk_services)}")
        print(f"- Potentially outdated services: {len(potentially_outdated)}")
        print(f"- Total exposed services: {len(exposed_services)}")

    except ET.ParseError as e:
        print(f"Error parsing XML file: {e}")
        return False
    except Exception as e:
        print(f"Error: {e}")
        return False

    return True

if __name__ == "__main__":
    if len(sys.argv) != 2:
        print(f"Usage: {sys.argv[0]} <nmap_xml_file>")
        sys.exit(1)

    xml_file = sys.argv[1]
    if not analyze_security(xml_file):
        sys.exit(1)

Guarde el archivo presionando Ctrl+O, luego Enter, y salga de nano con Ctrl+X.

Haga que el script sea ejecutable:

chmod +x ~/project/security_analysis.py

Ejecución del análisis de seguridad

Ejecutemos nuestro script de análisis de seguridad en el archivo XML de Nmap:

cd ~/project
./security_analysis.py localhost_scan.xml

El script analizará los resultados del escaneo y generará un informe de seguridad centrado en posibles vulnerabilidades, guardándolo en un archivo llamado security_report.txt.

Veamos el contenido del informe:

cat ~/project/security_report.txt

Comprensión del análisis de seguridad

El script de análisis de seguridad realiza varias funciones importantes:

1. Identificación de puertos de alto riesgo (High-Risk Port Identification): Identifica puertos comúnmente explotados como FTP (21), Telnet (23) y RDP (3389), que son objetivos frecuentes para los atacantes.

2. Detección de servicios obsoletos (Outdated Service Detection): Comprueba si hay versiones antiguas de servicios como SSH, Apache y nginx que puedan tener vulnerabilidades de seguridad conocidas.

3. Inventario de servicios expuestos (Exposed Services Inventory): Crea un inventario completo de todos los puertos y servicios abiertos, lo cual es valioso para la auditoría de seguridad.

4. Categorización de riesgos (Risk Categorization): Organiza los hallazgos por nivel de riesgo para ayudar a priorizar las mejoras de seguridad.

Este tipo de análisis es crucial para que los profesionales de la seguridad identifiquen posibles vulnerabilidades en una red antes de que los atacantes puedan explotarlas.

Ampliación del análisis

En un escenario del mundo real, es posible que desee ampliar este análisis mediante:

1. Agregar más puertos de alto riesgo a la lista de detección.
2. Actualizar las definiciones de servicios obsoletos con la información de vulnerabilidad más reciente.
3. Integrar con bases de datos de vulnerabilidades para buscar CVE (Common Vulnerabilities and Exposures) conocidos.
4. Agregar recomendaciones para la remediación de los problemas detectados.

La capacidad de analizar mediante programación los datos XML de Nmap es una habilidad poderosa para los profesionales de la ciberseguridad, ya que permite la evaluación automatizada de vulnerabilidades y la integración con sistemas de monitoreo de seguridad más grandes.

Resumen

Felicitaciones por completar este laboratorio sobre el análisis de los resultados de escaneo de Nmap en formato XML. Ha aprendido varias habilidades importantes:

1. Instalación y ejecución de Nmap (Installing and Running Nmap): Aprendió a instalar Nmap y a ejecutar escaneos con salida XML, lo que proporciona una base para el reconocimiento de redes.

2. Comprensión de la estructura XML (Understanding XML Structure): Exploró la estructura de los archivos XML de Nmap y utilizó herramientas de línea de comandos para extraer información específica, lo que le brinda la capacidad de analizar rápidamente los resultados del escaneo.

3. Análisis XML con Python (Parsing XML with Python): Creó un script de Python para analizar y mostrar los resultados del escaneo de Nmap en un formato legible, lo que demuestra cómo trabajar mediante programación con datos estructurados.

4. Análisis de seguridad (Security Analysis): Amplió sus habilidades de Python para analizar los resultados del escaneo en busca de problemas de seguridad, identificando servicios potencialmente riesgosos y generando un informe de seguridad completo.

Estas habilidades son esenciales para los profesionales de la ciberseguridad que necesitan realizar evaluaciones de redes, escaneos de vulnerabilidades y auditorías de seguridad. La capacidad de automatizar el análisis de los resultados de Nmap permite una supervisión de seguridad más eficiente y exhaustiva.

Puede mejorar aún más estas habilidades mediante:

• Explorar técnicas de escaneo de Nmap más avanzadas.
• Integrar los resultados del escaneo con otras herramientas de seguridad.
• Crear algoritmos de análisis más sofisticados.
• Desarrollar herramientas de visualización para los datos del escaneo.

Recuerde que el escaneo de redes solo debe realizarse en redes de su propiedad o para las que tenga permiso explícito para escanear, ya que el escaneo no autorizado puede ser ilegal y poco ético.