¿Es posible conocer el estado del firewall usando nmap? ¿Cómo?
Cómo probar las reglas de firewall
Uno de los objetivos más importantes de estas exploraciones será verificar y probar que los filtros y las reglas de su firewall se desempeñan según lo previsto. Para hacer esto, debe ejecutar un escaneo para buscar puertos que aparezcan abiertos al mundo exterior; A continuación, compruebe si están filtrados o no. Un simple análisis de auditoría del cortafuegos de Nmap sería algo similar a:
nmap –v –sA –n www.yourorg.com –oA firewallaudit
La exploración Nmap TCP ACK (-sA) establecerá si los paquetes pueden pasar a través de su firewall sin filtrar. Para acelerar el escaneo, la opción –n se puede usar para evitar la resolución de DNS inversa en las direcciones IP activas que encuentra. También usaría la opción de salida –oA para crear un archivo con capacidad de búsqueda, así como un archivo XML para usar en el mantenimiento de registros e informes. Puede usar estos archivos de salida para revisar el flujo de tráfico a través de cualquier puerto sin filtro y luego modificar los conjuntos de reglas de firewall donde sea necesario.
Un error que muchos administradores cometen al permitir el tráfico a través de su firewall es confiar en el tráfico simplemente por su número de puerto de origen, como las respuestas DNS desde el puerto 53 o FTP desde el puerto 20. Para probar las reglas del firewall, sin embargo, puede usar la mayoría de Las exploraciones TCP de Nmap, incluida la exploración SYN, con la opción de número de puerto de origen de suplantación (--source-port o abreviada solo a –g). Al proporcionar el número de puerto, el asignador de red enviará paquetes desde ese puerto siempre que sea posible. El siguiente ejemplo ejecutará una exploración FIN, que usará un número de puerto de origen falsificado de 25 (SMTP) y guardará la salida en el archivo firewallreport.txt. Ahora puede ver si un puerto en particular está permitiendo todo el tráfico a través de:
nmap –sF –g 25 –oN firewallreport.txt www.yourorg.com
Otra comprobación que vale la pena es probar la capacidad de un cortafuegos para hacer frente al tráfico fragmentado. Los piratas informáticos malintencionados a menudo dividen el encabezado TCP en varios paquetes para dificultar que los filtros de paquetes y los sistemas de detección de intrusos detecten un ataque. Si bien los paquetes fragmentados no superan los filtros de paquetes y los firewalls que ponen en cola todos los fragmentos de IP, muchos dispositivos tienen las funciones de cola deshabilitadas de forma predeterminada para evitar una caída en el rendimiento. Simplemente agregando la opción -f se establecerá una exploración que usa paquetes IP fragmentados.
Al auditar su firewall, la opción –r escaneará los puertos en orden numérico, facilitando el seguimiento del flujo de tráfico al examinar los archivos de salida de Nmap. Sin embargo, cuando está probando la efectividad de los firewalls y los IDSes, usaría un orden de puertos aleatorios, que es la opción predeterminada. También puede aleatorizar el orden en que se escanean los hosts configurando la opción --randomize-hosts (–rH). La aleatorización, combinada con las opciones de sincronización lenta, que veremos en un momento, hará que cualquier dispositivo de monitoreo de red Trabaja duro para detectar el escaneo. Aquí hay un ejemplo que podría probar sus defensas de red:
nmap –sS --scan-delay 500 –f –rH firewallreport.txt www.yourorg.com
Una vez que haya identificado puertos no filtrados u otros problemas, debe revisar y actualizar las reglas de su firewall para garantizar que se controle el acceso a todos los servicios y que los filtros y las reglas se realicen según lo previsto. Si realiza cambios en su firewall, vuelva a ejecutar el análisis de auditoría para asegurarse de que sus cambios hayan logrado el efecto deseado. También es una buena idea ejecutar este tipo de análisis de auditoría con regularidad para garantizar que la configuración de su firewall no se haya modificado inesperadamente.
Nmap incluye una variedad de opciones de tiempo que le permiten modificar casi todos los aspectos de escaneo. La opción "retraso de escaneo" (arriba) hace que Nmap espere el tiempo especificado entre cada prueba que envía a un host determinado.
La configuración predeterminada mantiene un escaneo en marcha sin importar el tiempo que tarde en completarse, pero esto puede ser anulado con la opción de Tiempo de Espera del Host --host_timeout. La opción establece la cantidad de tiempo que un escaneo esperará antes de abortar un escaneo, abandonar el host y pasar a otra dirección IP. Esta configuración puede ser útil al escanear dispositivos de red a través de una conexión lenta.
Referencia: Cómo administrar las pruebas de firewall usando Nmap
Lea otras preguntas en las etiquetas nmap