Mis primeros pasos con NMAP

Tenia problemas en mi equipo para hacer funcionar el VNC y poder controlarlo desde otros ordenadores, así que me recomendaron comprobar si el puerto de conexión 5900, utilizado típicamente por el VNC, estaba abierto.

Mirando en San Google Bendito, patrón de los que buscan, encontré como hacerlo con NMAP, pero no solo eso, si no que también encontré como saber si alguien accedía a mi red “sin estar invitado”

Pero vayamos por partes. Lo primero es decir que NMAP es un programa de seguridad ampliamente utilizado, que como todo este tipo de aplicaciones, también es utilizado para la función inversa, el hacking. Y como no podia ser menos, es accesible desde los repositorios, una visita a nuestro amigo Synaptic y lo tendras en tu consola.

Se trata de un software para escanear redes que también funciona sin problemas con un servidor concreto. Su función es rastrear puertos y establecer si están abiertos, cerrados o protegidos por un cortafuegos o un antivirus. Ademas obtiene de manera bastante sigilosa mucha información útil como por ejemplo, el sistema operativo de la máquina explorada.

Y llegamos al primer punto, explorar que puertos están abiertos en mi ordenador y así descubrir si el VNC esta escuchando o no el puerto 5900

• sudo nmap -sT  -sU -p 5900 localhost

Lo que estoy haciendo es escanear los puertos TCP (-sT) y los puertos UDP (-sU). En concreto estoy escaneando el puerto 5900 (-p) y todo de una dirección ip concreta, localhost, porque lo escaneo en mi propio equipo. Y ¡si! el puerto 5900 es escuchado por el VNC

Hasta aquí, todo bien. Puedo escanear mis puertos para comprobar que mi cortafuegos funcione o que una aplicación esté escuchando el puerto correcto para funcionar. Pero también podemos ver si alguien esta conectado sin invitación a la red.

• sudo nmap 192.168.1.1-255

NMAP es usado por Trinity en "Matrix Reloaded"

 Con esto escaneamos los puertos predeterminados de todas las direcciones de red entre la 192.168.1.1 y la 192.168.1.255. Veremos como resultados varios grupos que empiezan por el texto “Nmap scan report for UNA-DIRECCION_IP” Cada uno de estos grupos es una máquina conectada a tu red. Por ejemplo, “Nmap scan report for 192.168.1.100” es mi ordenador.

Supongamos que resultado de lo anterior, nos aparece una dirección IP sospechosa. Puede ser que me he dejado el WIFI del móvil activado o que tengo un vecino husmeando. ¿Como saberlo?

• sudo nmap -sS -O -v IP-SOSPECHOSA

Con esto nos va a hacer un escaneo “sigiloso” (-sS) tratando de obtener toda la información posible (-v) y de averiguar que sistema operativo (-O) corre en la IP sospechosa.

Entre otros campos, nos responderá con un “Device type: ….” Si por ejemplo nos dice “printer” ya sabemos que nuestra impresora inalambrica accede a la red. Si nos dice “General purpose device” es cuando empezamos a preocuparnos y nos fijamos donde dice “Running:” y “OS details” para saber si es alguno de nuestros equipos o un presunto atacante.

El comando da para muchísimo más, pero ¡por algo hay que empezar!