¿Qué es un escaneo NMAP para puertos UDP?

Escanear su red en busca de puertos y servicios abiertos es una parte fundamental de la evaluación de la superficie de ataque y la identificación de vulnerabilidades. Un escaneo de puertos NMAP (Network Mapper) encuentra hosts en su red e identifica puertos TCP y UDP abiertos, servicios que se ejecutan en esos puertos y el sistema operativo que se ejecuta en hosts específicos.

¿Qué es el escaneo de puertos?

A medida que una red crece y más dispositivos se conectan a ella, es posible que un administrador desee recopilar una lista de dispositivos y servicios que se ejecutan en la red. NMAP es un comando de Linux que escanea la red y encuentra puertos abiertos y servicios conectados al entorno. El propósito principal de un escaneo de puertos NMAP es auditar la red, pero también es útil para encontrar vulnerabilidades abiertas a posibles exploits.

Después de ejecutar el comando NMAP y escanear un host, la salida muestra puertos abiertos en la máquina objetivo. La siguiente imagen es un ejemplo de salida NMAP que muestra puertos abiertos:

¿Qué es UDP frente a TCP/IP?

Dos protocolos son comunes en una red estándar: UDP y TCP . El protocolo de datagrama de usuario (UDP) es un protocolo sin conexión, lo que significa que una computadora envía un mensaje a un destinatario sin saber si el destinatario está disponible o lo recibe. El software básico de mensajería de texto en línea utiliza UDP, porque no es necesario saber si la otra parte está en línea para recibir el mensaje.

El Transmission Control Protocol (TCP) es un protocolo basado en conexiones en el que se produce un apretón de manos antes de la transmisión de datos. UDP es más liviano que TCP , pero TCP garantiza que la otra parte esté en línea y disponible mediante un proceso llamado protocolo de enlace. El protocolo TCP es común en las aplicaciones web en las que el protocolo ocurre antes de que un usuario descargue contenido de un servidor.

El componente IP (Protocolo de Internet) en TCP/IP es la dirección asignada a cada máquina conectada: servidores, dispositivos móviles, computadoras de escritorio, dispositivos IoT y cualquier otra máquina que necesite enviar y recibir datos. La mayoría de las aplicaciones utilizan TCP/IP para sus transferencias de datos basadas en conexiones, pero UDP también es útil para aplicaciones de chat y notificación livianas.

La herramienta NMAP busca puertos TCP y UDP abiertos en dispositivos conectados. Observe la salida después de ejecutar un comando NMAP y los puertos abiertos enumerados también muestran el protocolo. NMAP también le indica si el estado está abierto o cerrado, y si el servicio se ejecuta en el puerto.

¿Qué es Network Mapper (NMAP)?

La herramienta NMAP es una aplicación de escaneo con una interfaz gráfica de usuario (GUI) o una interfaz de línea de comandos estándar. La herramienta encuentra computadoras en la red y las analiza para detectar puertos abiertos. NMAP escanea más que solo computadoras. Explora cualquier dispositivo conectado a la red, incluidos escritorios, dispositivos móviles, enrutadores y dispositivos IoT.

NMAP es una herramienta de código abierto disponible de forma gratuita en el sitio web para desarrolladores . Se ejecuta en sistemas operativos Linux, Mac y Windows. La utilidad ha sido parte de la mayoría de las herramientas de administrador de red y de piratería ética durante años, y es útil para encontrar dispositivos en una red y determinar si tienen servicios vulnerables ejecutándose en ellos.

Cómo realizar un escaneo UDP de NMAP

Antes de realizar un escaneo de NMAP, abra la GUI de NMAP o abra la utilidad de la línea de comandos. La mayoría de los administradores usan NMAP en la línea de comandos, porque es rápido y fácil de usar con resultados básicos para su revisión. Después de escribir el comando, la herramienta NMAP busca dispositivos en una subred. Cada subred tiene una cantidad definitiva de hosts, por lo que NMAP analiza todas las posibilidades para obtener una respuesta del host. Con una respuesta de host, la herramienta NMAP identifica puertos UDP y TCP abiertos.

También puede escanear puertos específicos en NMAP en lugar de escanear todas las direcciones IP para todos los puertos abiertos. Los puertos reciben un valor numérico entre 1 y 65 535, por lo que debe realizar una búsqueda de servicios que se ejecutan en un puerto específico antes de ejecutar un escaneo. Una vez que elige un puerto, puede ejecutar el siguiente comando:

nmap -p 22 192.168.1.100

El escaneo NMAP anterior busca el puerto abierto 22 (el servicio SSH) que se ejecuta en un dispositivo con la dirección IP 192.168.1.100. Si el servicio se ejecuta en el host de destino, la salida NMAP muestra el estado como abierto. De lo contrario, la salida NMAP muestra el estado como cerrado.

Los escaneos UDP son más lentos que los escaneos TCP, por lo que podría experimentar un retraso extremo en las respuestas o demoras prolongadas antes de que la herramienta muestre la salida. Algunos hosts pueden tardar hasta una hora en escanearse si no optimiza el proceso de NMAP. Puede acelerar los escaneos UDP según el caso de uso. Por ejemplo, utilice el siguiente comando NMAP para eliminar los hosts de respuesta lenta y renunciar a los escaneos cuando un host no responde en 1 minuto:

nmap 192.168.1.100 --host-timeout 1m

Sin especificar TCP o UDP, NMAP probará todos los puertos abiertos. Otra forma de optimizar los escaneos es limitarlos a los puertos UDP y establecer la intensidad de la versión. Establecer la intensidad de la versión en 0 solo mostrará los servicios comunes que se ejecutan en el host objetivo. La intensidad de la versión varía de 0 a 9. Cuanto mayor sea la intensidad, más sondas se enviarán al host objetivo. El valor predeterminado del NMAP es 7. La ejecución del siguiente comando solo encuentra puertos comunes en el host:

nmap 192.168.1.100 -sU -sV –version-intensity 0

¿Por qué realizaría un escaneo UDP con NMAP?

Los administradores tienen varias razones para realizar un escaneo UDP usando NMAP. Podría ser simplemente auditar la red en busca de puertos abiertos innecesarios. Por motivos de ciberseguridad, los servicios innecesarios deben desactivarse y un escaneo de NMAP les indica a los administradores qué máquinas están ejecutando servicios que pueden apagarse.

Otra razón para un escaneo UDP es encontrar vulnerabilidades en la red. Si un atacante puede instalar malware en la red, un host comprometido podría estar ejecutando un servicio malicioso en un puerto UDP. Mediante el escaneo NMAP, un administrador encontraría el puerto abierto y realizaría escaneos y análisis adicionales en el host. 

El NMAP también podría utilizarse para descubrir hosts en la red. TI en la sombra es el término que se le da a los dispositivos no autorizados instalados en la red. Un administrador podría encontrar el dispositivo no autorizado y averiguar quién es el propietario y cómo se instaló en el entorno.

Conclusiones

Para cualquier administrador responsable de la seguridad de la red, la herramienta NMAP es un gran escáner de auditoría y vulnerabilidad. NMAP puede descubrir máquinas, sistemas operativos y servicios que no deberían ejecutarse en el entorno. El descubrimiento de dispositivos no autorizados y puertos abiertos es esencial para asegurar los hosts y proteger los datos corporativos. El escaneo de puertos es solo una faceta del tipo de monitoreo que deberá realizar para mantener seguro su centro de datos. Potencie sus análisis de seguridad con soluciones de infraestructura de datos simples, escalables y de alto rendimiento de Pure Storage.