Definición
Un escáner de red es una herramienta de software que se utiliza con fines de diagnóstico e investigación para encontrar y categorizar qué dispositivos se están ejecutando en una red. Normalmente, el usuario ingresa un rango de direcciones IP en la herramienta que se va a escanear y el escáner recorre la lista secuencialmente determinando si hay un dispositivo activo presente en cada dirección IP determinada. Una de esas herramientas que suelen utilizar los profesionales de la seguridad cibernética es Nmap, Network Mapper.
Opciones de configuración
Las opciones de configuración se pueden establecer en Nmap o en la mayoría de las herramientas de escaneo según las necesidades del usuario. Configurar los valores del temporizador permitirá al profesional decidir si la velocidad es más importante (no continúe intentando contactar con un dispositivo en una dirección IP determinada antes de pasar al siguiente) o la precisión (deje más tiempo para escuchar desde un dispositivo lento u ocupado antes de pasar a la siguiente dirección IP de la lista). Con Nmap, esas opciones van desde T0 (la más lenta y menos intrusiva) hasta T5 (la más rápida pero intrusiva hasta el punto de abrumar al dispositivo de destino). También está disponible la profundidad con la que se debe realizar el análisis. Además de determinar si un dispositivo está presente, las herramientas de escaneo generalmente pueden intentar determinar más detalles sobre el dispositivo que podrían ser de interés para el usuario. En Nmap, podemos configurar opciones para intentar detectar qué sistema operativo se está ejecutando y determinar qué servicios se están ejecutando en el dispositivo de destino (por ejemplo, si es un servidor web, un servidor de correo, un servidor FTP, etc.).
Aplicaciones
Los escáneres pueden tener un par de aplicaciones diferentes según las necesidades. Los administradores de red los utilizan para verificar la documentación sobre qué direcciones IP están en uso dentro del rango disponible o si hay dispositivos inesperados o no autorizados en la red. También pueden usarlos cuando una red es más compleja para mapear la topología de la red. El escaneo puede ser de gran ayuda para mapear y documentar recursos compartidos, como carpetas o impresoras compartidas. Sin embargo, un probador de penetración o un hacker utilizará un escáner en las primeras fases de un ejercicio de piratería o penetración para encontrar qué tipos de dispositivos están presentes en la red objetivo. El uso del escáner con fines de evaluación de seguridad también puede influir en la configuración de la herramienta. El administrador de la red puede utilizar configuraciones más agresivas ya que es su red la que se está escaneando. Sin embargo, se espera que el ciberprofesional simule a un hacker al acecho y normalmente tiene que operar el escáner de manera menos intrusiva. Configurar el escáner para configuraciones más completas puede brindarle resultados más reveladores y también generará una mayor probabilidad de ser detectado y generar alarmas desde herramientas de seguridad internas, como un sistema de detección de intrusiones (IDS) o un sistema de prevención de intrusiones (IPS)..
Un ejemplo
Veamos un ejemplo. Una pequeña empresa paga a una empresa de seguridad para que realice una evaluación de la seguridad de su red. El ingeniero de la empresa de seguridad recibe el rango de direcciones IP de la empresa y selecciona Nmap como escáner para comparar la lista de números IP. Ella configura Nmap para intentar también determinar cualquier dispositivo en la red que se esté ejecutando como servidor web, ya que los servidores web son el objetivo favorito de los piratas informáticos.
El comando se vería así:
¿Qué es el efecto red en economía?
Nmap -T2 -p80,443 192.168.1.1-254
Para desglosar esto aún más, primero está el comando en sí, luego -T2 indica un modo más silencioso pero más lento y -p especifica qué puertos se desean. En este caso vemos 80 y 443, ya que son los números de puerto que representan los servicios web http y https. Luego, 192.168.1.1-254 indica que nmap escaneará los rangos de direcciones IP 192.168.1.1 a 192.168.1.254, que aquí representan el rango de direcciones IP en la red de esta empresa. En sus resultados, nuestra probadora de lápiz nota lo siguiente:
Informe de escaneo de Nmap para 192.168.1.19
El host está activo (latencia de 0,0020 s).
| PUERTO | ESTADO | SERVICIO |
|---|---|---|
| 80/tcp | abierto | http |
En los resultados, encuentra los servidores web conocidos de la empresa como el cliente habría esperado, pero también encuentra uno que no conocía: un dispositivo en un armario de mantenimiento con la dirección IP 192.168.1.19 que ejecuta el sistema de credenciales de seguridad de su oficina. La empresa del cliente no conocía el servidor web en el sistema de seguridad porque había sido configurado por una empresa externa que se encargaba de todas las necesidades de seguridad de sus instalaciones. Luego, la ingeniera de seguridad le señala a la empresa del cliente que investigó rápidamente el sistema de seguridad y descubrió que estaba usando las credenciales de nombre de usuario y contraseña predeterminadas, lo que lo convertía en un blanco fácil para un pirata informático. La empresa cliente trabaja con el equipo de sus instalaciones para cambiar las credenciales y mejorar la postura de seguridad de la oficina. Encontrar elementos desconocidos en una red como esta puede ser casi imposible por medios manuales.
Cómo implementar el acceso de invitados a una red inalámbrica
Resumen de la lección
Nmap es una herramienta de software de escaneo de red esencial para que el administrador de red o el probador de penetración mapee y categorice los dispositivos en una red. El técnico puede, según el objetivo, configurar la herramienta para que funcione de forma lenta y constante para no llamar la atención de las herramientas de red ( detección/prevención de intrusiones ) o de forma más agresiva si la detección no es una consideración. Cuando Nmap devuelva sus resultados, el profesional tendrá una lista de direcciones IP de los dispositivos en la red y los servicios de red que están ejecutando en qué puertos. Este resultado es invaluable para el administrador de red a la hora de documentar y proteger la red, e igualmente esencial para el profesional de seguridad cibernética que busca asesorar a su cliente sobre cómo abordar las vulnerabilidades en el entorno.
Explora más sobre este tema
Selecciona un tema y sigue aprendiendo...
