Nmap
Programa que orientado para hacer un mapeo o scaneo y barrido de las redes con el fin de
determinar información importante sobre determinados hosts, redes o grupos de hosts. Este
programa creado por Fyodor (fyodor @insecure.org) se ha ganado mucho adeptos debido a su
versatilidad y facilidad de manejo, además de poder utilizar protocolos como el udp y el tcp.
El escaneo que se está realizando es para establecer una conexión normal TCP. Para lograr la
negociación es necesario tener dos maquinas (Una de origen y otra de destino), lo que finalmente nos
da como resultado en el equipo de destino, los puertos que utilizan TCP, están abierto o cerrado. En
la imagen se hizo un escaneo con esta opción, en donde podemos ver los resultados de los puertos
TCP nos muestra que están abierto o también nos podría mostrar los puertos que están cerrado.
E puerto cerrado R
SYN
Taller de Seguridad en Redes
RST
E Puerto Filtrado R
SYN
Taller de Seguridad en Redes
MSG ICMP
-sF, -sX,-sN Stealth FIN, Xmas, o Scan Nulo (solo trabaja contra UNIX) este tipo de scan se le
llama nulo porque intenta molestar lo menos posible al "inetd" o demonio de servicios para evitar caer
en el log del sistema, además existen muchos host con firewall que poseen filtrado para paquetes del
tipo SYN por lo que quedaríamos automáticamente grabados en el Log del sistema , para esos casos
es necesario utilizar el sF, sX, sN o el Xmas en vez de el sS.
Puerto cerrado
Ports Scanning connect: -sN Port Scanning connect: -sF Port Scanning connect: -sX
Taller de Seguridad en Redes
R E R E R
E
SYN SYN
SYN
La siguiente actividad requiere que Ud. prepare Wireshark o SNORT para capturar tráfico
HTTP y HTTPS.
Conclusión.
Falsos Positivos
Falsos Negativos.
¿Cuál sería la relación entre falsos positivos y falsos negativos para que un IDS
sea considerado útil y confiable?
Para que un IDS sea útil para la relación entre los falsos positivos y falsos
negativos un ejemplo es en el caso de tener un firewall que esté al medio de
nuestra red, en donde el falso positivo se colocaría en nuestra red local, por ser
una red insegura, y nos entregaría más información de posibles falsos positivos,
mientras que los falsos negativos se dejarían afuera de nuestra red en donde