¿Qué es UDP frente a TCP/IP?
Dos protocolos son comunes en una red estándar: UDP y TCP . El Protocolo de Datagrama de Usuario (UDP) es un protocolo sin conexión, lo que significa que un ordenador envía un mensaje a un destinatario sin saber si el destinatario está disponible o si lo recibe. El software básico de mensajería de texto en línea utiliza UDP, porque no es necesario saber si la otra parte está en línea para recibir el mensaje.
El Transmission Control Protocol (TCP) es un protocolo basado en la conexión en el que se produce un apretón de manos antes de la transmisión de los datos. El UDP es más ligero que el TCP, pero el TCP garantiza que la otra parte esté en línea y disponible usando un proceso llamado protocolo de enlace. El protocolo de enlace TCP es común en las aplicaciones web en las que el protocolo de enlace se produce antes de que un usuario descargue contenido de un servidor.
El componente IP (Protocolo de lnternet) en TCP/IP es la dirección asignada a cada máquina conectada – servidores, dispositivos móviles, ordenadores de escritorio, dispositivos IoT y cualquier otra máquina que necesite enviar y recibir datos. La mayoría de las aplicaciones utilizan TCP/IP para sus transferencias de datos basadas en conexiones, pero UDP también es útil para aplicaciones de chat y notificación ligeras.
La herramienta NMAP busca puertos TCP y UDP abiertos en dispositivos conectados. Observe la salida después de ejecutar un comando NMAP y los puertos abiertos enumerados también mostrarán el protocolo. El NMAP también le indica si el estado está abierto o cerrado y si el servicio se está ejecutando en el puerto.
¿Qué es Network Mapper (NMAP)?
La herramienta NMAP es una aplicación de escaneo con una interfaz gráfica de usuario (GUI) o una interfaz de línea de comandos estándar. La herramienta encuentra ordenadores en la red y los escanea en busca de puertos abiertos. El NMAP escanea mucho más que solo ordenadores. Escanea cualquier dispositivo conectado a la red, incluidos los escritorios, los dispositivos móviles, los enrutadores y los dispositivos de IoT.
El NMAP es una herramienta de código abierto disponible gratuitamente en el sitio web del desarrollador . Se ejecuta en sistemas operativos Linux, Mac y Windows. La utilidad ha formado parte de la mayoría de las herramientas de administrador de red y de piratería ética durante años y es útil para encontrar dispositivos en una red y determinar si tienen servicios vulnerables ejecutándose en ellos.
Cómo realizar un análisis UDP de NMAP
Antes de realizar un escaneo de NMAP, abra la GUI de NMAP o abra su utilidad de línea de comandos. La mayoría de los administradores utilizan el NMAP en la línea de comandos, porque es rápido y fácil de usar con los resultados básicos para su revisión. Después de escribir el comando, la herramienta NMAP busca dispositivos en una subred. Cada subred tiene un número definitivo de hosts, por lo que el NMAP analiza todas las posibilidades de una respuesta de host. Con una respuesta de host, la herramienta NMAP identifica los puertos UDP y TCP abiertos.
También puede escanear puertos específicos en NMAP en lugar de escanear todas las direcciones IP para todos los puertos abiertos. Los puertos tienen un valor numérico de entre 1 y 65.535, por lo que debe realizar una búsqueda de los servicios que se ejecutan en un puerto específico antes de ejecutar un análisis. Una vez elegido un puerto, puede ejecutar el siguiente comando:
nmap -p 22 192.168.1.100
El análisis NMAP anterior busca el puerto abierto 22 (el servicio SSH) que se ejecuta en un dispositivo con la dirección IP 192.168.1.100. Si el servicio se ejecuta en el host de destino, la salida NMAP muestra el estado como abierto. Si no es así, la salida NMAP muestra el estado como cerrado.
Los escaneos UDP son más lentos que los escaneos TCP, por lo que puede experimentar retrasos extremos en las respuestas o largos retrasos antes de que la herramienta muestre el resultado. Algunos hosts pueden tardar hasta una hora en escanear si no optimiza el proceso de NMAP. Puede acelerar los escaneos UDP en función del caso de uso. Por ejemplo, use el siguiente comando NMAP para eliminar los hosts de respuesta lenta y renuncie a los escaneos cuando un host no responda en 1 minuto:
nmap 192.168.1.100 --host-timeout 1m
Sin especificar TCP o UDP, NMAP probará todos los puertos abiertos. Otra manera de optimizar los escaneos es limitarlos a los puertos UDP y establecer la intensidad de la versión. Si se establece la intensidad de la versión en 0, solo se mostrarán los servicios comunes que se ejecutan en el host de destino. La intensidad de la versión va de 0 a 9. Cuanto mayor sea la intensidad, más sondas se enviarán al host objetivo. El valor predeterminado de NMAP es 7. La ejecución del siguiente comando solo encuentra puertos comunes en el host:
nmap 192.168.1.100 -sU -sV –version-intensity 0
¿Por qué realizaría un escaneo UDP con NMAP?
Los administradores tienen varias razones para realizar un análisis UDP usando NMAP. Puede ser simplemente auditar la red en busca de puertos abiertos innecesarios. Por razones de ciberseguridad, los servicios innecesarios deben desactivarse y un análisis de NMAP indica a los administradores qué máquinas están ejecutando servicios que pueden apagarse.
Otra razón por la que un análisis de UDP es para encontrar vulnerabilidades en la red. Si un atacante puede instalar malware en la red, un host comprometido podría estar ejecutando un servicio malicioso en un puerto UDP. Usando el análisis NMAP, un administrador encontraría el puerto abierto y realizaría análisis y análisis adicionales en el host.
El NMAP también puede usarse para descubrir hosts en la red. TI en la sombra es el término que se le da a los dispositivos no autorizados instalados en la red. Un administrador puede encontrar el dispositivo no autorizado y descubrir quién es el propietario y cómo se instaló en el entorno.
Conclusión
Para cualquier administrador responsable de la seguridad de la red, la herramienta NMAP es un gran escáner de auditoría y vulnerabilidad. El NMAP puede descubrir máquinas, sistemas operativos y servicios que no deberían ejecutarse en el entorno. El descubrimiento de dispositivos no autorizados y puertos abiertos es esencial para proteger los hosts y los datos corporativos. El escaneo de puertos es solo una faceta del tipo de supervisión que tendrá que hacer para mantener su centro de datos seguro. Impulse sus análisis de seguridad con soluciones de infraestructura de datos de alto rendimiento, escalables y sencillas de Pure Storage .