LabEx
Iniciar SesiónÚnete Gratis

Cómo realizar escaneos sigilosos con Nmap para evitar la detección en Ciberseguridad

NmapNmapBeginner
Practicar Ahora

💡 Este tutorial está traducido por IA desde la versión en inglés. Para ver la versión original, puedes hacer clic aquí

Introducción

En el campo de la Ciberseguridad, realizar un reconocimiento de red efectivo es crucial para comprender la postura de seguridad de una organización. Nmap, una poderosa herramienta de escaneo de red de código abierto, puede ser un activo valioso en este proceso. Sin embargo, para evitar ser detectado y mantener el factor sorpresa, es esencial emplear técnicas de escaneo sigilosas. Este tutorial lo guiará a través de los pasos para realizar escaneos sigilosos con Nmap y navegar eficazmente por las evaluaciones de Ciberseguridad sin levantar ninguna alarma.

Skills Graph

%%%%{init: {'theme':'neutral'}}%%%% flowchart RL nmap(("Nmap")) -.-> nmap/NmapGroup(["Nmap"]) nmap/NmapGroup -.-> nmap/host_discovery("Host Discovery Techniques") nmap/NmapGroup -.-> nmap/target_specification("Target Specification") nmap/NmapGroup -.-> nmap/syn_scan("SYN Scan") nmap/NmapGroup -.-> nmap/firewall_evasion("Firewall Evasion Techniques") nmap/NmapGroup -.-> nmap/stealth_scanning("Stealth and Covert Scanning") subgraph Lab Skills nmap/host_discovery -.-> lab-415611{{"Cómo realizar escaneos sigilosos con Nmap para evitar la detección en Ciberseguridad"}} nmap/target_specification -.-> lab-415611{{"Cómo realizar escaneos sigilosos con Nmap para evitar la detección en Ciberseguridad"}} nmap/syn_scan -.-> lab-415611{{"Cómo realizar escaneos sigilosos con Nmap para evitar la detección en Ciberseguridad"}} nmap/firewall_evasion -.-> lab-415611{{"Cómo realizar escaneos sigilosos con Nmap para evitar la detección en Ciberseguridad"}} nmap/stealth_scanning -.-> lab-415611{{"Cómo realizar escaneos sigilosos con Nmap para evitar la detección en Ciberseguridad"}} end

Introducción a Nmap y el Escaneo de Redes

¿Qué es Nmap?

Nmap (Network Mapper) es una poderosa y versátil herramienta de código abierto utilizada para la detección de redes y la auditoría de seguridad. Es ampliamente utilizada por administradores de redes, profesionales de seguridad y hackers éticos para recopilar información sobre los hosts de la red, los servicios y las vulnerabilidades.

Conceptos Básicos del Escaneo de Redes

El escaneo de redes es el proceso de identificar dispositivos activos, puertos abiertos y servicios en ejecución en una red. Nmap proporciona diversas técnicas de escaneo para lograr esto, incluyendo:

  1. Escaneo TCP Connect: Realiza un completo traspaso de tres vías TCP para determinar si un puerto está abierto.
  2. Escaneo SYN: Envía un paquete SYN y espera una respuesta SYN - ACK para determinar si un puerto está abierto.
  3. Escaneo UDP: Envía paquetes UDP para determinar si un puerto está abierto y escuchando tráfico UDP.
  4. Escaneo Idle/Zombie: Utiliza un host inactivo o "zombie" para realizar el escaneo, lo que lo hace más sigiloso.

Modos de Escaneo de Nmap

Nmap ofrece varios modos de escaneo para adaptarse a diferentes casos de uso:

  1. Escaneo Básico: Realiza un escaneo TCP connect en los 1000 puertos más comunes.
  2. Escaneo Intenso: Escanea todos los 65,535 puertos TCP y realiza la detección de versiones.
  3. Escaneo Sigiloso: Utiliza técnicas como el escaneo SYN para evitar ser detectado por firewalls e IDS/IPS.
  4. Escaneo Completo: Combina diversas técnicas de escaneo para recopilar la mayor cantidad de información posible.
## Example: Basic Nmap Scan
nmap -sC -sV -oA basic_scan 192.168.1.1/24

El comando anterior realiza un escaneo TCP connect básico en la red 192.168.1.0/24, incluyendo la detección de versiones (-sV) y los scripts predeterminados de nmap (-sC), y guarda la salida en el archivo "basic_scan".

Técnicas de Escaneo Sigiloso con Nmap

Escaneos Lentos

Nmap ofrece varias opciones para ralentizar el proceso de escaneo y evitar ser detectado por los sistemas de seguridad:

  1. Opciones de Temporización: Utilice la opción -T<0 - 5> para establecer la plantilla de temporización, donde 0 es el más lento y 5 es el más rápido.
  2. Opciones de Retardo: Utilice las opciones -sS --max - rate <packets_per_second> o -sS --max - parallelism <number_of_threads> para controlar la velocidad de escaneo.
## Example: Slow TCP SYN Scan
nmap -sS -T2 --max-rate 10 -p- 192.168.1.1

Paquetes Fragmentados

Nmap puede dividir los paquetes en fragmentos más pequeños para eludir los firewalls e IDS/IPS que pueden estar configurados para detectar paquetes grandes:

  1. Fragmentación IP: Utilice la opción -f o --fragment para dividir los paquetes en fragmentos más pequeños.
  2. Reducción de la MTU: Utilice la opción --mtu <size> para establecer un tamaño personalizado de Unidad Máxima de Transmisión (MTU, por sus siglas en inglés) para la fragmentación de paquetes.
## Example: Fragmented TCP SYN Scan
nmap -sS -f -p- 192.168.1.1

Escaneos Idle/Zombie

La técnica de escaneo Idle/Zombie de Nmap utiliza un host "inactivo" o "zombie" para realizar el escaneo, haciéndolo parecer que el escaneo proviene del host inactivo:

  1. Identificación de un Zombie Adecuado: Encuentre un host que probablemente esté menos monitoreado, como un sistema antiguo o no utilizado.
  2. Escaneo a través del Zombie: Utilice la opción -sI <zombie_host:source_port> para realizar el escaneo a través del host zombie.
## Example: Idle/Zombie Scan
nmap -sI zombie_host:1234 192.168.1.1

Escaneos con Señuelos

Nmap puede iniciar el escaneo desde múltiples direcciones IP de origen para hacer que parezca que el escaneo proviene de diferentes hosts:

  1. Uso de Hosts Señuelo: Utilice la opción -D RND:10 para incluir 10 hosts señuelo aleatorios en el escaneo.
  2. Spoofing de Direcciones IP de Origen: Utilice la opción -S <source_ip> para falsificar la dirección IP de origen.
## Example: Decoy Scan
nmap -D RND:10 -S 192.168.1.100 192.168.1.1

Evitando la Detección en las Evaluaciones de Ciberseguridad

Comprendiendo el Panorama de Amenazas

En las evaluaciones de ciberseguridad, es crucial comprender el panorama de amenazas y las técnicas que utilizan los atacantes para eludir la detección. Esto incluye:

  1. Monitoreo y Registro: Comprender cómo los sistemas de seguridad de la organización objetivo, como firewalls, IDS/IPS y SIEM, monitorean y registran las actividades de red.
  2. Inteligencia de Amenazas: Mantenerte informado sobre las últimas tendencias de ataque, técnicas e indicadores de compromiso (IoCs, por sus siglas en inglés) utilizados por los actores de amenaza.

Implementando Técnicas Sigilosas

Aprovechando las técnicas de escaneo de Nmap discutidas anteriormente, puedes implementar diversas estrategias para evitar la detección durante las evaluaciones de ciberseguridad:

  1. Escaneos Lentos y Sigilosos: Utiliza opciones de temporización y retardo para ralentizar el proceso de escaneo y reducir el riesgo de activar alertas de seguridad.
  2. Paquetes Fragmentados: Divide los paquetes en fragmentos más pequeños para eludir los sistemas de seguridad que pueden estar configurados para detectar paquetes grandes.
  3. Escaneos Idle/Zombie: Utiliza un host "inactivo" o "zombie" para realizar el escaneo, haciéndolo parecer que el escaneo proviene de una fuente menos sospechosa.
  4. Escaneos con Señuelos: Inicia el escaneo desde múltiples direcciones IP de origen para hacer que parezca que el escaneo proviene de diferentes hosts.
## Example: Comprehensive Stealthy Scan
nmap -sS -T2 --max-rate 10 -f -D RND:10 -S 192.168.1.100 192.168.1.1

El comando anterior combina varias técnicas sigilosas, incluyendo un escaneo TCP SYN lento, fragmentación de paquetes y un escaneo con señuelos, para minimizar las posibilidades de detección durante una evaluación de ciberseguridad.

Consideraciones Éticas

Al realizar escaneos sigilosos con Nmap, es esencial considerar las implicaciones éticas y legales. Siempre obtén los permisos y aprobaciones necesarios antes de realizar cualquier actividad de escaneo de red, y asegúrate de que tus acciones estén dentro del alcance de la evaluación y cumplan con las políticas de la organización y las leyes aplicables.

Resumen

Este tutorial de Ciberseguridad te ha proporcionado el conocimiento y las técnicas para realizar escaneos sigilosos con Nmap y evitar la detección durante tus evaluaciones de Ciberseguridad. Al aprovechar métodos de escaneo avanzados y comprender la importancia del sigilo, puedes recopilar información valiosa sobre la red mientras mantienes un perfil bajo. Recuerda, en el campo de la Ciberseguridad, la capacidad de realizar un reconocimiento sin ser detectado es un activo poderoso para garantizar la seguridad y la resiliencia de tu organización.

Relacionado Nmap Cursos
Inicio rápido con Nmap

Inicio rápido con Nmap

CybersecurityNmap
Principiante