Actividad 1 Taller de Seguridad (por corregir)
Páginas: 6 (1416 palabras)
Publicado: 16 de abril de 2013
Aclaración: La página no me dejo subir el archivo, a pesar de que se cumpla con los formatos, así que puse sólo los textos.
Pregunta 1
Analizar, en términos del tráfico generado, las siguientes opciones de rastreo de puertos de NMAP: scanning TCP Null (-sN), FIN (-sF) y Xmas (-sX). Use un sniffer (como Wireshark, o bien TCPDump) para realizar el análisis de tráfico pedido. Presentediagramas de interacción entre emisores y receptores para explicar el funcionamiento y resultados de las opciones antes mencionadas.
Primero lo que hacemos es abrir el Wireshark en la terminal de la siguiente forma:
#wireshark
Aplicando el comando o NMAP (-sN), de la siguiente manera:
#nmap –sN 10.20.27.225
Una vez aplicado el comando podemos notar que se muestra que hay conexión con laip 10.20.27.225, sin ver ningún rastreo de puertos.
Sin embargo en el de vuelta, recibe los rastreos RST y ACK que era el 10.20.26.90
Aplicando el comando o NMAP (-sF), de la siguiente manera:
Nmap –sF 10.20.27.225
Una vez aplicado el comando podemos notar que se muestra que hay conexión con la ip 10.20.27.225 con rastreos de tipo FIN.
Devuelta recibe rastreos de tipo RST y ACK.
Aplicamos el comando NMAP (-sX), de la siguiente manera:
#nmap –sX 10.20.27.225
Una vez aplicado el comando podemos notar que se muestra que hay conexión con la ip 10.20.27.225 con rastreos de tipo FIN, PSH y URG.
De vuelta recibe rastreos de tipo RST y ACK.Pregunta 2
NMAP es una herramienta del tipo “scanner de puertos”, la cual es utilizada para determinar el estado de un puerto lógico.
a) ¿Cuáles son los estados posibles de un puerto según NMAP?, explique brevemente la diferencia entre ellos.
Hay seis estados en un puerto según Nmap
Abierto: Una aplicación acepta conexiones TCP o paquetes UDP en este puerto.El encontrar esta clase de puertos es generalmente el objetivo primario de realizar un sondeo de puertos.
Cerrado: Un puerto cerrado es accesible: recibe y responde a las sondas de Nmap, pero no tiene una aplicación escuchando en él. Pueden ser útiles para determinar si un equipo está activo en cierta dirección IP (mediante descubrimiento de sistemas, o sondeo ping), y es parte del proceso dedetección de sistema operativo.
Filtrado: Nmap no puede determinar si el puerto se encuentra abierto porque un filtrado de paquetes previene que sus sondas alcancen el puerto. El filtrado puede provenir de un dispositivo de cortafuegos dedicado, de las reglas de un enrutador, o por una aplicación de cortafuegos instalada en el propio equipo.
No filtrado: Éste estado indica que el puerto esaccesible, pero que Nmap no puede determinar si se encuentra abierto o cerrado. Solamente el sondeo ACK, utilizado para determinar las reglas de un cortafuego, clasifica a los puertos según este estado.
abierto|filtrado: Nmap marca a los puertos en este estado cuando no puede determinar si el puerto se encuentra abierto o filtrado. Esto ocurre para tipos de análisis donde no responden los puertosabiertos.
cerrado|filtrado: Éste estado se utiliza cuando Nmap no puede determinar si un puerto se encuentra cerrado o filtrado, y puede aparecer sólo durante un sondeo IPID pasivo.
b) ¿Cómo puedo determinar si hay un firewall en la red escaneada?
El firewall se determina digitando el comando:
Nmap –n –vv –PO –p256, 257, 258, 1080,1745 10.20.27.225
Pregunta 3¿Cómo puedo ver con tcpdump los archivos de log creados por SNORT? ¿Cómo puedo ver con Wireshark los archivos de log creados con tcpdump y viceversa?
Los archivos creados por snort se pueden ver digitando el siguiente comando:
Tcpdump –r snort.log.1669089179
Los archivos de log creados con tcpdump
se pueden ver de la siguiente manera, aplicando el comando tcpdump –w log...
Pregunta 1
Analizar, en términos del tráfico generado, las siguientes opciones de rastreo de puertos de NMAP: scanning TCP Null (-sN), FIN (-sF) y Xmas (-sX). Use un sniffer (como Wireshark, o bien TCPDump) para realizar el análisis de tráfico pedido. Presentediagramas de interacción entre emisores y receptores para explicar el funcionamiento y resultados de las opciones antes mencionadas.
Primero lo que hacemos es abrir el Wireshark en la terminal de la siguiente forma:
#wireshark
Aplicando el comando o NMAP (-sN), de la siguiente manera:
#nmap –sN 10.20.27.225
Una vez aplicado el comando podemos notar que se muestra que hay conexión con laip 10.20.27.225, sin ver ningún rastreo de puertos.
Sin embargo en el de vuelta, recibe los rastreos RST y ACK que era el 10.20.26.90
Aplicando el comando o NMAP (-sF), de la siguiente manera:
Nmap –sF 10.20.27.225
Una vez aplicado el comando podemos notar que se muestra que hay conexión con la ip 10.20.27.225 con rastreos de tipo FIN.
Devuelta recibe rastreos de tipo RST y ACK.
Aplicamos el comando NMAP (-sX), de la siguiente manera:
#nmap –sX 10.20.27.225
Una vez aplicado el comando podemos notar que se muestra que hay conexión con la ip 10.20.27.225 con rastreos de tipo FIN, PSH y URG.
De vuelta recibe rastreos de tipo RST y ACK.Pregunta 2
NMAP es una herramienta del tipo “scanner de puertos”, la cual es utilizada para determinar el estado de un puerto lógico.
a) ¿Cuáles son los estados posibles de un puerto según NMAP?, explique brevemente la diferencia entre ellos.
Hay seis estados en un puerto según Nmap
Abierto: Una aplicación acepta conexiones TCP o paquetes UDP en este puerto.El encontrar esta clase de puertos es generalmente el objetivo primario de realizar un sondeo de puertos.
Cerrado: Un puerto cerrado es accesible: recibe y responde a las sondas de Nmap, pero no tiene una aplicación escuchando en él. Pueden ser útiles para determinar si un equipo está activo en cierta dirección IP (mediante descubrimiento de sistemas, o sondeo ping), y es parte del proceso dedetección de sistema operativo.
Filtrado: Nmap no puede determinar si el puerto se encuentra abierto porque un filtrado de paquetes previene que sus sondas alcancen el puerto. El filtrado puede provenir de un dispositivo de cortafuegos dedicado, de las reglas de un enrutador, o por una aplicación de cortafuegos instalada en el propio equipo.
No filtrado: Éste estado indica que el puerto esaccesible, pero que Nmap no puede determinar si se encuentra abierto o cerrado. Solamente el sondeo ACK, utilizado para determinar las reglas de un cortafuego, clasifica a los puertos según este estado.
abierto|filtrado: Nmap marca a los puertos en este estado cuando no puede determinar si el puerto se encuentra abierto o filtrado. Esto ocurre para tipos de análisis donde no responden los puertosabiertos.
cerrado|filtrado: Éste estado se utiliza cuando Nmap no puede determinar si un puerto se encuentra cerrado o filtrado, y puede aparecer sólo durante un sondeo IPID pasivo.
b) ¿Cómo puedo determinar si hay un firewall en la red escaneada?
El firewall se determina digitando el comando:
Nmap –n –vv –PO –p256, 257, 258, 1080,1745 10.20.27.225
Pregunta 3¿Cómo puedo ver con tcpdump los archivos de log creados por SNORT? ¿Cómo puedo ver con Wireshark los archivos de log creados con tcpdump y viceversa?
Los archivos creados por snort se pueden ver digitando el siguiente comando:
Tcpdump –r snort.log.1669089179
Los archivos de log creados con tcpdump
se pueden ver de la siguiente manera, aplicando el comando tcpdump –w log...
Leer documento completo
Regístrate para leer el documento completo.