NMAP – segunda parte

Coluna do Alexandre Borges
COLUNA
NMAP –
segunda parte
Avance em seus conhecimentos sobre a poderosa ferramenta NMAP.
N
a coluna anterior, o leitor pôde relembrar alguns conceitos e usos do NMAP. Nesta edição,
vamos dar mais alguns passos no vasto universo
desta excepcional ferramenta.
Quando trabalhamos com escaneamento de portas,
devemos lembrar que a possibilidade das que podem
ser encontradas abertas são classificadas em:
➧ Portas bem conhecidas: compreende das portas 1
à 1023, já foram vinculadas pela IANA a algum serviço
como telnet (23), smtp (25), dns (53) etc., e possuem serviços que são executados sobre um usuário privilegiado
(por exemplo, o usuário root).
➧ Portas registradas: nesta classificação estão inclusas
as portas de 1024 à 49151 e são vinculadas (em geral) à
serviços conhecidos que são executados com permissões
de usuários não privilegiados.
➧ Portas reservadas/dinâmicas: portas compreendidas de 49152 à 65535. Estas portas são livres para uso de
softwares de terceiros.
Ainda seguindo com os conceitos, quando um profissional está verificando quais portas estão abertas na rede
ou máquina alvo, é essencial entender o status relatado
pelo Nmap e estas portas e que pode ser:
➧ Open: o serviço está aceitando conexões TCP ou
ainda pacotes UDP. Cuidado, pois às vezes a porta pode
estar de fato aberta, contudo, não está aberta para todos
os IPs pois o administrador da rede pode ter configurado
o TCP Wrapper e, como o leitor sabe, isto pode limitar
quais IPs podem se conectar aos serviços.
➧ Closed: o serviço não está aceitando conexões.
Nem sempre isto é ruim pois, mesmo com este status,
ao menos sabemos que ali existe uma máquina que está
online e dentro de algumas circunstâncias é possível
inferir qual é o sistema operacional em uso.
➧ Filtered: este status é indeterminado pois provavelmente um roteador ou firewall está filtrando os
14
pacotes do Nmap e impedindo-os de chegar à porta
do serviço. Com isto, não é possível saber se a porta
está aberta ou fechada. Este status é um resultado
ruim para o cracker pois como muitos firewalls, além
de impedir que os pacotes cheguem ao destino, ainda
impedem que uma mensagem representando estes
status (protocolo ICMP, type 3) retorne como resposta deste bloqueio. Assim, o Nmap fica na dúvida se o
pacote foi “dropado” ou não, e acaba retransmitindo-o
diversas vezes causando enorme lentidão no escaneamento de portas.
➧ Unfiltered: este é um estado estranho pois o Nmap
não consegue determinar se a porta está fechada ou
aberta mesmo não havendo nenhum tipo de bloqueio
(firewall) no acesso à porta.
➧ Open | Filtered: novamente um estado que representa indecisão pois o Nmap não é capaz de precisar
se a porta encontra-se no estado Open ou Filtered devido a ausência de resposta ao escaneamento da porta.
➧ Closed | Filtered: a mesma indecisão de estado do
anterior.
Agora que sabemos como interpretar o status de um
escaneamento de portas, podemos, enfim, prrosseguir
para alguns passos operacionais. Como não poderia deixar de ser, talvez o tipo de escaneamento mais comum
seja o Stealth (invisível), ou seja, aquele onde, para cada
porta de endereço IP especificado é realizado um roteiro de unificações (no three handshake):
1) Nmap envia um pacote com o flag SYN setado;
2) Recebe da máquina alvo um pacote com ambos
os flags SYN e ACK setados;
3) Por fim, ao invés de o Nmap devolver um pacote com a flag ACK setada, ele devolve um pacote
com a flag RST (reset) em 1, terminando a conexão.O
motivo é que não há o interesse de estabelecer uma
conexão e sim apenas verificar se a porta está aberta
www.linuxmagazine.com.br
ou não. Quando o Nmap recebe um pacote SYN +
ACK isso já é um indicativo de que a porta provavelmente está aberta.
Como a conexão nunca é estabelecida, fica mais
difícil deixar rastros nos logs do sistema operacional
alvo, já que, no último instante, a conexão é terminada e, com isso, não há nada para registrar nos logs. Se
a porta estivesse fechada, já saberíamos disso logo na
segunda etapa, pois o Nmap receberia um pacote com
a flag RST definida.
Em termos de comandos, temos:
# nmap -sS 192.168.1.112
Starting Nmap 6.01 ( http://nmap.org ) at
2012-08-11 03:47 BRT
Nmap scan report for 192.168.1.112
Host is up (0.00035s latency).
Not shown: 987 closed ports
PORT
STATE
SERVICE
135/tcp open
msrpc
139/tcp open
netbios-ssn
445/tcp open
microsoft-ds
554/tcp open
rtsp
1025/tcp filtered NFS-or-IIS
1026/tcp open
LSA-or-nterm
Linux Magazine #90 | Maio de 2012
1027/tcp open
IIS
1028/tcp open
unknown
1044/tcp open
dcutility
1046/tcp open
wfremotertm
2869/tcp open
icslap
5357/tcp open
wsdapi
10243/tcp open
unknown
MAC Address: 24:77:03:48:66:70 (Intel Corporate)
Nmap done: 1 IP address (1 host up) scanned
in 1.38 seconds
É interessante notar que, neste exemplo hipotético,
apenas uma porta aparece filtrada. Este status é proviniente de um pacote da ausência de resposta ou ainda
de um pacote de erro (ICMP) do tipo 3.
Sei que estamos no começo da explanação sobre a
ferramenta e faltam ainda muitos detalhes, entretanto, a ideia aqui é fazer um progresso gradual sobre o
assunto. Até o mês que vem. ■
Alexandre Borges ([email protected]) é instrutor independente e ministra
regularmente treinamentos de tecnologia Oracle (áreas de Solaris, LDAP, Cluster, Containers/OracleVM, MySQL, e Hardware), Symantec (Netbackup, Veritas
Cluster,Backup Exec, Storage Foundation e SEP) e EC-Council (CEH e CHFI), além
de estar sempre envolvido com assuntos relacionados ao kernel Linux.
15