5.6+Analizadores+de+puertos

Un "analizador de red" (también llamado rastreador de puertos) es un dispositivo que permite "supervisar" el tráfico de red, es decir, capturar la información que circula por la red.

En una red no conmutada, los datos se envían a todos los equipos de la red. Pero en uso normal, los equipos ignoran los paquetes que se les envían. Así, al usar la interfaz de red en un modo específico (en general llamado modo promiscuo), es posible supervisar todo el tráfico que pasa a través de una tarjeta de red (una tarjeta de red Ethernet, una tarjeta de red inalámbrica, etc.).

Uso del rastreador de puertos

Un rastreador es una herramienta que permite supervisar el tráfico de una red. En general, lo usan los administradores para diagnosticar problemas en sus redes y para obtener información sobre el tráfico que circula en la red. Los Sistemas de detección de intrusiones (IDS) se basan en un rastreador para capturar paquetes y usan bases de datos para detectar paquetes sospechosos.

Desafortunadamente, como ocurre con todas las herramientas administrativas, personas malintencionadas que tengan acceso físico a la red pueden usar el rastreador para recopilar información. Este riesgo es incluso mayor en redes inalámbricas ya que es difícil limitar las ondas de radio a un área; por lo tanto, personas malintencionadas pueden supervisar el tráfico con tan sólo estar en el vecindario.

La inmensa mayoría de los protocolos de Internet tienen información sin codificar, es decir, no cifrada . Por lo tanto, cuando un usuario de red consulta sus mensajes a través del protocolo POP o IMAP , o navega en Internet por sitios que no empiezan con HTTPS , se puede interceptar toda la información que se envíe o reciba. Así es cómo los hackers han desarrollado rastreadores de puertos para recuperar contraseñas que circulan por las redes.

Contramedidas

Existen varias formas de evitar los problemas que puedan surgir debido al uso de rastreadores en su red:


 * Use protocolos cifrados para todas las comunicaciones que tengan contenido confidencial.
 * Segmente la red para limitar la divulgación de información. Se recomienda usar conmutadores en vez de concentradores (hub) ya que los primeros alternan comunicaciones, lo que significa que la información se envía sólo a los equipos a los que va dirigida.
 * Use un detector de rastreadores. Es una herramienta que analiza la red en busca de hardware mediante el modo promiscuo.
 * Se aconseja que, para redes inalámbricas, reduzca la potencia de su hardware para cubrir sólo el área de superficie necesaria. Esto no impedirá que potenciales hackers supervisen la red, pero limitará el área geográfica donde puedan operar.

Los seis estados de un puerto:

Abierto Una aplicación acepta conexiones TCP o paquetes UDP en este puerto. El encontrar esta clase de puertos es generalmente el objetivo primario de realizar un sondeo de puertos. Las personas orientadas a la seguridad saben que cada puerto abierto es un vector de ataque. Los atacantes y las personas que realizan pruebas de intrusión intentan aprovechar puertos abiertos, por lo que los administradores intentan cerrarlos, o protegerlos con cortafuegos, pero sin que los usuarios legítimos pierdan acceso al servicio. Los puertos abiertos también son interesantes en sondeos que no están relacionados con la seguridad porque indican qué servicios están disponibles para ser utilizados en una red.

Cerrado Un puerto cerrado es accesible: recibe y responde a las sondas de Nmap, pero no tiene una aplicación escuchando en él. Pueden ser útiles para determinar si un equipo está activo en cierta dirección IP (mediante descubrimiento de sistemas, o sondeo ping), y es parte del proceso de detección de sistema operativo. Como los puertos cerrados son alcanzables, o sea, no se encuentran filtrados, puede merecer la pena analizarlos pasado un tiempo, en caso de que alguno se abra. Los administradores pueden querer considerar bloquear estos puertos con un cortafuegos. Si se bloquean aparecerían filtrados, como se discute a continuación.

Filtrado Nmap no puede determinar si el puerto se encuentra abierto porque un filtrado de paquetes previene que sus sondas alcancen el puerto. El filtrado puede provenir de un dispositivo de cortafuegos dedicado, de las reglas de un enrutador, o por una aplicación de cortafuegos instalada en el propio equipo. Estos puertos suelen frustrar a los atacantes, porque proporcionan muy poca información. A veces responden con mensajes de error ICMP del tipo 3, código 13 (destino inalcanzable: comunicación prohibida por administradores), pero los filtros que sencillamente descartan las sondas sin responder son mucho más comunes. Esto fuerza a Nmap a reintentar varias veces, considerando que la sonda pueda haberse descartado por congestión en la red en vez de haberse filtrado. Esto ralentiza drásticamente los sondeos.

No filtrado Este estado indica que el puerto es accesible, pero que Nmap no puede determinar si se encuentra abierto o cerrado. Solamente el sondeo ACK, utilizado para determinar las reglas de un cortafuegos, clasifica a los puertos según este estado. El analizar puertos no filtrados con otros tipos de análisis, como el sondeo Window, SYN o FIN, pueden ayudar a determinar si el puerto se encuentra abierto.

Abierto|filtrado Nmap marca a los puertos en este estado cuando no puede determinar si el puerto se encuentra abierto o filtrado. Esto ocurre para tipos de análisis donde no responden los puertos abiertos. La ausencia de respuesta puede también significar que un filtro de paquetes ha descartado la sonda, o que se elimina cualquier respuesta asociada. De esta forma, Nmap no puede saber con certeza si el puerto se encuentra abierto o filtrado. Los sondeos UDP, protocolo IP, FIN, Null y Xmas clasifican a los puertos de esta manera.

Cerrado|filtrado Este estado se utiliza cuando Nmap no puede determinar si un puerto se encuentra cerrado o filtrado, y puede aparecer aparecer sólo durante un sondeo IPID pasivo.