sábado, 25 de abril de 2009

Analizar Puertos y Conexiones en Linux

Revisar el funcionamiento de un servidor requiere de ver varias cosas, el hardware, el sistema operativo, etc, pero hay otros aspectos que también son muy importantes , más si lo que hacemos es auditar un servidor con el fin de reportar aspectos sobre la seguridad del mismo, un punto que siempre se debe ver son los puertos , el estatus , los protocolos utilizados, quien se conecta o quien se conecto?, para ello tenemos herramientas muy útiles que nos facilitan el trabajo.

Una de las mejores herramientas de uso es el famoso nmap, existe una extendida documentación en la red sobre este comando, aquí voy a colocar algunas opciones de uso que son muy útiles si estamos analizando los puertos de un servidor.
Lo primero, es saber cuales son los host que existen en una lan , en caso de que desconozcamos cuantas maquinas tenemos en nuestra red, para ello ejecutamos:


nmap -sP Direccion_de_Red/24


Si necesitamos saber cuales son los puertos que están abiertos tanto en nuestra maquina como en un host especifico solo basta ejecutar:

nmap Direccion


El detalle esta en que el comando anterior solo nos mostrará los puertos abiertos que usen protocolo TCP, es por ello que es bueno ejecutar también un scaneo para ver cuales puertos están abiertos pero que usen el protocolo UDP, para ello ejecutamos:

nmap -sU Direccion


También existe una interfaz gráfica para usar nmap, hecha por los mismos creadores de nmap, la cual es zenmap, esta disponible desde el sitio insecure.org o podemos descargarla usando apt o aptitude.
Otro detalle importante al analizar los puertos de un servidor , es verificar cuales tienen conexiones establecidas, así podemos ver si todo esta funcionando bien o si existe algún equipo que se conecta indebidamente, para ello entonces ejecutamos la siguiente sentencia:

netstat -an | grep ESTABLISHED


Existe otro mecanismo para ver quienes están conectados a la maquina y es simplemente ejecutar "w", esto nos generará un resultado como el siguiente:

Aunque parezca sencillo, esto nos permitirá saber la dirección ip del que esta conectado, la hora desde que se conecto y el usuario que esta usando.
Por último , también podemos ver las ultimas conexiones realizadas al host ejecutando:

last


Este mostrará un histórico de las ultimas conexiones establecidas con sus respectivas direcciones ip o sino en su defecto con el nombre del host de la maquina desde donde se realizó la conexión.


0 comentarios:

Publicar un comentario en la entrada