nmap/docs/man-xlate/nmap-es.1

'\" t
.\"     Title: nmap
.\"    Author: [see the "Autor" section]
.\" Generator: DocBook XSL Stylesheets v1.78.1 <http://docbook.sf.net/>
.\"      Date: 17/01/2017
.\"    Manual: [FIXME: manual]
.\"    Source: [FIXME: source]
.\"  Language: Spanish
.\"
.TH "NMAP" "1" "17/01/2017" "[FIXME: source]" "[FIXME: manual]"
.\" -----------------------------------------------------------------
.\" * Define some portability stuff
.\" -----------------------------------------------------------------
.\" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
.\" http://bugs.debian.org/507673
.\" http://lists.gnu.org/archive/html/groff/2009-02/msg00013.html
.\" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
.ie \n(.g .ds Aq \(aq
.el       .ds Aq '
.\" -----------------------------------------------------------------
.\" * set default formatting
.\" -----------------------------------------------------------------
.\" disable hyphenation
.nh
.\" disable justification (adjust text to left margin only)
.ad l
.\" -----------------------------------------------------------------
.\" * MAIN CONTENT STARTS HERE *
.\" -----------------------------------------------------------------
.SH "NOMBRE"
nmap \- Herramienta de exploraci\('on de redes y de sondeo de seguridad / puertos
.SH "SINOPSIS"
.HP \w'\fBnmap\fR\ 'u
\fBnmap\fR [\fITipo\ de\ sondeo\fR...] [\fIOpciones\fR] {\fIespecificaci\('on\ de\ objetivo\fR}
.SH "DESCRIPCI\('ON"
.PP
Nmap (\(lqmapeador de redes\(rq) es una herramienta de c\('odigo abierto para exploraci\('on de red y auditor\('ia de seguridad\&. Se dise\(~n\('o para analizar r\('apidamente grandes redes, aunque funciona muy bien contra equipos individuales\&. Nmap utiliza paquetes IP "crudos" (\(Foraw\(Fc, N\&. del T\&.) en formas originales para determinar qu\('e equipos se encuentran disponibles en una red, qu\('e servicios (nombre y versi\('on de la aplicaci\('on) ofrecen, qu\('e sistemas operativos (y sus versiones) ejecutan, qu\('e tipo de filtros de paquetes o cortafuegos se est\('an utilizando as\('i como docenas de otras caracter\('isticas\&. Aunque generalmente se utiliza Nmap en auditor\('ias de seguridad, muchos administradores de redes y sistemas lo encuentran \('util para realizar tareas rutinarias, como puede ser el inventariado de la red, la planificaci\('on de actualizaci\('on de servicios y la monitorizaci\('on del tiempo que los equipos o servicios se mantiene activos\&.
.PP
La salida de Nmap es un listado de objetivos analizados, con informaci\('on adicional para cada uno dependiente de las opciones utilizadas\&. La informaci\('on primordial es la
\(lqtabla de puertos interesantes\(rq\&. Dicha tabla lista el n\('umero de puerto y protocolo, el nombre m\('as com\('un del servicio, y su estado\&. El estado puede ser
open
(abierto),
filtered
(filtrado),
closed
(cerrado), o
unfiltered
(no filtrado)\&. Abierto significa que la aplicaci\('on en la m\('aquina destino se encuentra esperando conexiones o paquetes en ese puerto\&.
Filtrado
indica que un cortafuegos, filtro, u otro obst\('aculo en la red est\('a bloqueando el acceso a ese puerto, por lo que Nmap no puede saber si se encuentra
abierto
o
cerrado\&. Los puertos
cerrados
no tienen ninguna aplicaci\('on escuchando en los mismos, aunque podr\('ian abrirse en cualquier momento\&. Los clasificados como
no filtrados
son aquellos que responden a los sondeos de Nmap, pero para los que que Nmap no puede determinar si se encuentran abiertos o cerrados\&. Nmap informa de las combinaciones de estado
open|filtered
y
closed|filtered
cuando no puede determinar en cual de los dos estados est\('a un puerto\&. La tabla de puertos tambi\('en puede incluir detalles de la versi\('on de la aplicaci\('on cuando se ha solicitado detecci\('on de versiones\&. Nmap ofrece informaci\('on de los protocolos IP soportados, en vez de puertos abiertos, cuando se solicita un an\('alisis de protocolo IP con la opci\('on (\fB\-sO\fR)\&.
.PP
Adem\('as de la tabla de puertos interesantes, Nmap puede dar informaci\('on adicional sobre los objetivos, incluyendo el nombre de DNS seg\('un la resoluci\('on inversa de la IP, un listado de sistemas operativos posibles, los tipos de dispositivo, y direcciones MAC\&.
.PP
Puede ver un an\('alisis t\('ipico con Nmap en
Ejemplo\ \&1, \(lqEjemplo t\('ipico de an\('alisis con Nmap\(rq\&. Los \('unicos par\('ametros de Nmap que se utilizan en este ejemplo son la opci\('on
\fB\-A\fR, que habilita la detecci\('on de sistema operativo y versi\('on, y la opci\('on
\fB\-T4\fR
que acelerar el proceso, y despu\('es el nombre de los dos objetivos\&.
.PP
\fBEjemplo 1. Ejemplo t\('ipico de an\('alisis con Nmap\fR
.sp
.if n \{\
.RS 4
.\}
.nf
# nmap \-A \-T4 scanme\&.nmap\&.org saladejuegos

Starting nmap ( http://www\&.insecure\&.org/nmap/ )
Interesting ports on scanme\&.nmap\&.org (205\&.217\&.153\&.62):
(The 1663 ports scanned but not shown below are in state: filtered)
PORT    STATE  SERVICE VERSION
22/tcp  open   ssh     OpenSSH 3\&.9p1 (protocol 1\&.99)
53/tcp  open   domain
70/tcp  closed gopher
80/tcp  open   http    Apache httpd 2\&.0\&.52 ((Fedora))
113/tcp closed auth
Device type: general purpose
Running: Linux 2\&.4\&.X|2\&.5\&.X|2\&.6\&.X
OS details: Linux 2\&.4\&.7 \- 2\&.6\&.11, Linux 2\&.6\&.0 \- 2\&.6\&.11
Uptime 33\&.908 days (since Thu Jul 21 03:38:03 2005)

Interesting ports on saladejuegos\&.nmap\&.org (192\&.168\&.0\&.40):
(The 1659 ports scanned but not shown below are in state: closed)
PORT     STATE SERVICE       VERSION
135/tcp  open  msrpc         Microsoft Windows RPC
139/tcp  open  netbios\-ssn
389/tcp  open  ldap?
445/tcp  open  microsoft\-ds  Microsoft Windows XP microsoft\-ds
1002/tcp open  windows\-icfw?
1025/tcp open  msrpc         Microsoft Windows RPC
1720/tcp open  H\&.323/Q\&.931   CompTek AquaGateKeeper
5800/tcp open  vnc\-http      RealVNC 4\&.0 (Resolution 400x250; VNC TCP port: 5900)
5900/tcp open  vnc           VNC (protocol 3\&.8)
MAC Address: 00:A0:CC:63:85:4B (Lite\-on Communications)
Device type: general purpose
Running: Microsoft Windows NT/2K/XP
OS details: Microsoft Windows XP Pro RC1+ through final release
Service Info: OSs: Windows, Windows XP

Nmap finished: 2 IP addresses (2 hosts up) scanned in 88\&.392 seconds
.fi
.if n \{\
.RE
.\}
.PP
Puede obtener la versi\('on m\('as reciente de Nmap en
\m[blue]\fB\%http://www.insecure.org/nmap/\fR\m[]\&. La versi\('on m\('as reciente de la p\('agina de manual est\('a disponible en
\m[blue]\fB\%http://www.insecure.org/nmap/man/\fR\m[]\&.
.SH "NOTAS DE LA TRADUCCI\('ON"
.PP
Esta edici\('on de la Gu\('ia de referencia de Nmap ha sido traducida de la versi\('on 3137 de la
\m[blue]\fBversi\('on original en ingl\('es\fR\m[]\&\s-2\u[1]\d\s+2
por Arturo Busleiman
<buanzo_AT_buanzo\&.com\&.ar>, Pablo Fern\('andez
<pablo_AT_littleQ\&.net>
y Javier Fern\('andez\-Sanguino
<jfs_AT_computer\&.org>\&. Aunque nuestra intenci\('on es hacer Nmap m\('as accesible a los lectores espa\(~noles en todo el mundo no podemos garantizar que esta traducci\('on est\('a tan actualizada o completa como la versi\('on oficial en ingl\('es\&. Este trabajo puede ser modificado y redistribuido bajo los t\('erminos de la
\m[blue]\fBLicencia Creative Commons Atribuci\('on\fR\m[]\&\s-2\u[2]\d\s+2\&.
.PP
Esta traducci\('on ha sido adaptada al espa\(~nol como se habla en Espa\(~na (localizaci\('on \(Foes_ES\(Fc) por Javier Fern\('andez\-Sanguino\&. Cualquier comentario o errata sobre esta traducci\('on debe enviarse a Javier Fern\('andez\-Sanguino a la direcci\('on arriba indicada\&. El coordinador de la traducci\('on quiere agradecer el esfuerzo de revisi\('on realizado por Jes\('us Escoredo\&.
.SS "Glosario de traducci\('on"
.PP
A continuaci\('on se listan las traducciones utilizadas a los t\('erminos originales en ingl\('es en este documento, es decir, el glosario utilizado en este documento:
.PP
\fIDecoy\fR
.RS 4
Traducido con el t\('ermino \(Fose\(~nuelo\(Fc\&.
.RE
.PP
\fIFingerprinting\fR
.RS 4
\(FoIdentificaci\('on por huellas\(Fc (se entiende digitales), se utilizado conjuntamente con la detecci\('on de sistema operativo por lo que a veces se utiliza \('este o se reduce a \(Foidentificaci\('on\(Fc\&.
.RE
.PP
\fIHost\fR
.RS 4
Traducido habitualmente como \(Foequipo\(Fc o \(Fosistema\(Fc\&.
.RE
.PP
\fIPort scan\fR
.RS 4
Barrido de puertos\&.
.RE
.PP
\fI(to) Probe\fR
.RS 4
Traducido con el t\('ermino \(Fosondear\(Fc (o \(Fosonda\(Fc)\&.
.RE
.PP
\fI(to) Scan\fR
.RS 4
Traducido como \(Fosondear\(Fc (o \(Fosondeo\(Fc) o \(Foan\('alizar\(Fc (o \(Foan\('alisis\(Fc), no se utiliza \(Foescanear\(Fc (o \(Foescaneo\(Fc) ya que \('este t\('ermino es, literalmente
\(lqpasar por el esc\('aner\(rq\&.
.RE
.PP
\fI(To) Spoof\fR
.RS 4
Traducido por \(Fofalsificar\(Fc\&.
.RE
.PP
Existen otros t\('erminos que puedan aparecer en el documento traducidos pero cuya traducci\('on es ambigua\&. En este caso las traducciones se introducen en el texto acompa\(~nadas de notas de traducci\('on (mostradas como \(FoN\&. del T\&.\(Fc) indicando el t\('ermino original la primera vez que \('este aparezca en el texto\&.
.PP
N\('otese que \('este glosario difiere en algunos t\('erminos del utilizado para otras traducciones, como la traducci\('on realizada por Marbo Babosa del art\('iculo
\m[blue]\fBDeteccion Remota de SO via Reconocimiento de Pila TCP/IP\fR\m[]\&\s-2\u[3]\d\s+2
(documento traducido al espa\(~nol como se habla en M\('exico)\&.
.SH "RESUMEN DE OPCIONES"
.PP
Cuando se ejecuta Nmap sin par\('ametros se muestra este resumen de opciones\&. Puede encontrar siempre la \('ultima versi\('on en
\m[blue]\fB\%http://www.insecure.org/nmap/data/nmap.usage.txt\fR\m[]\&. Aunque ayuda a recordar las opciones m\('as habituales no es un sustituto de la documentaci\('on en detalle que acompa\(~na al resto de este manual\&. Algunas de las opciones menos conocidas no se incluyen aqu\('i\&.
.PP
.if n \{\
.RS 4
.\}
.nf
Uso: nmap [Tipo(s) de An\('alisis] [Opciones] {especificaci\('on de objetivos} 
ESPECIFICACI\('ON DE OBJETIVO:
  Se pueden indicar nombres de sistema, direcciones IP, redes, etc\&.  
  Ej: scanme\&.nmap\&.org, microsoft\&.com/24, 192\&.168\&.0\&.1; 10\&.0\&.0\-255\&.1\-254
  \-iL <archivo_entrada>: Lee una lista de sistemas/redes del archivo\&.
  \-iR <n\('umero de sistemas>: Selecciona objetivos al azar
  \-\-exclude <sist1[,sist2][,sist3],\&.\&.\&.>: Excluye ciertos sistemas o redes 
  \-\-excludefile <fichero_exclusi\('on>: Excluye los sistemas indicados en el fichero
DESCUBRIMIENTO DE HOSTS: 
  \-sL: Sondeo de lista \- Simplemente lista los objetivos a analizar
  \-sP: Sondeo Ping     \- S\('olo determina si el objetivo est\('a vivo
  \-P0: Asume que todos los objetivos est\('an vivos 
  \-PS/PA/PU [listadepuertos]: An\('alisis TCP SYN, ACK o UDP de los puertos indicados
  \-PE/PP/PM: Solicita un an\('alisis ICMP del tipo echo, marca de fecha y m\('ascara de red
  \-n/\-R: No hacer resoluci\('on DNS / Siempre resolver [por omisi\('on: a veces]
  \-\-dns\-servers <serv1[,serv2],\&.\&.\&.>: Especificar servidores DNS espec\('ificos
  \-\-system\-dns: Utilizar la resoluci\('on del sistema operativo
T\('ECNICAS DE AN\('ALISIS: 
  \-sS/sT/sA/sW/sM: An\('alisis TCP SYN/Connect()/ACK/Window/Maimon 
  \-sN/sF/sX: An\('alisis TCP Null, FIN, y Xmas 
  \-\-scanflags <indicador>: Personalizar los indicadores TCP a utilizar
  \-sI <sistema zombi[:puerto_sonda]>: An\('alisis pasivo (\(FoIdle\(Fc, N\&. del T\&.)
  \-sO: An\('alisis de protocolo IP 
  \-b <servidor ftp rebote>: An\('alisis por rebote FTP 
ESPECIFICACI\('ON DE PUERTOS Y ORDEN DE AN\('ALISIS: 
  \-p <rango de puertos>: S\('olo sondear los puertos indicados 
    Ej: \-p22; \-p1\-65535; \-p U:53,111,137,T:21\-25,80,139,8080 
  \-F: R\('apido \- Analizar s\('olo los puertos listados en el archivo nmap\-services 
  \-r: Analizar los puertos secuencialmente, no al azar\&. 
DETECCI\('ON DE SERVICIO/VERSI\('ON: 
  \-sV: Sondear puertos abiertos, para obtener informaci\('on de servicio/versi\('on
  \-\-version\-intensity <nivel>: Fijar de 0 (ligero) a 9 (probar todas las sondas)
  \-\-version\-light: Limitar a las sondas m\('as probables (intensidad 2)
  \-\-version\-all: Utilizar todas las sondas (intensidad 9)
  \-\-version\-trace: Presentar actividad detallada del an\('alisis (para depurar)
 DETECCI\('ON DE SISTEMA OPERATIVO 
  \-O: Activar la detecci\('on de sistema operativo (SO)
  \-\-osscan\-limit: Limitar la detecci\('on de SO a objetivos prometedores 
  \-\-osscan\-guess: Adivinar el SO de la forma m\('as agresiva
TEMPORIZADO Y RENDIMIENTO:
  \-T[0\-5]: Seleccionar plantilla de temporizado (los n\('umeros altos son m\('as r\('apidos)
  \-\-min\-hostgroup/max\-hostgroup <tama\(~no>: Paralelizar los sondeos
  \-\-min\-parallelism/max\-parallelism <msegs>: Paralelizaci\('on de sondeos
  \-\-min\-rtt\-timeout/max\-rtt\-timeout/initial\-rtt\-timeout <msegs>: Indica 
    el tiempo de ida y vuelta de la sonda
  \-\-max\-retries <reintentos>: Limita el n\('umero m\('aximo de retransmisiones de las
    sondas de an\('alisis de puertos
  \-\-host\-timeout <msegs>: Abandonar un objetivo pasado este tiempo
  \-\-scan\-delay/\-\-max\-scan\-delay <msegs>: Ajusta el retraso entre sondas
EVASI\('ON Y FALSIFICACI\('ON PARA CORTAFUEGOS/IDS:
  \-f; \-\-mtu <valor>: fragmentar paquetes (opc\&. con el MTU indicado) 
  \-D <se\(~nuelo1,se\(~nuelo2[,ME],\&.\&.\&.>: Disimular el an\('alisis con se\(~nuelos 
     N\&. del T\&.: \(FoME\(Fc es \(FoYO\(Fc mismo\&.
  \-S <Direcci\('on_IP>: Falsificar la direcci\('on IP origen 
  \-e <interfaz>: Utilizar la interfaz indicada 
  \-g/\-\-source\-port <numpuerto>: Utilizar el n\('umero de puerto dado 
  \-\-data\-length <num>: Agregar datos al azar a los paquetes enviados 
  \-\-ttl <val>: Fijar el valor del campo time\-to\-live (TTL) de IP
  \-\-spoof\-mac <direcci\('on mac/prefijo/nombre de fabricante>: Falsificar la direcci\('on MAC
  \-\-badsum: Enviar paquetes con una suma de comprobaci\('on TCP/UDP falsa
SALIDA: 
  \-oN/\-oX/\-oS/\-oG <file>: Guardar el sondeo en formato normal, XML, 
     s|<rIpt kIddi3 (n3n3b4n4n4), y Grepeable (para usar con grep(1), N\&. del T\&.), 
     respectivamente, al archivo indicado\&. 
  \-oA <nombre_base>: Guardar en los tres formatos principales al mismo tiempo
  \-v: Aumentar el nivel de mensajes detallados (\-vv para aumentar el efecto)
  \-d[nivel]: Fijar o incrementar el nivel de depuraci\('on (Tiene sentido hasta 9)
  \-\-packet\-trace: Mostrar todos los paquetes enviados y recibidos 
  \-\-iflist: Mostrar interfaces y rutas (para depurar) 
  \-\-append\-output: Agregar, en vez de sobreescribir, a los archivos indicados con \-o\&. 
  \-\-resume <archivo>: Retomar un an\('alisis abortado/detenido
  \-\-stylesheet <ruta/URL>: Convertir la salida XML a HTML seg\('un la hoja de estilo
      XSL indicada
  \-\-webxml: Referenciar a la hoja de estilo de Insecure\&.Org para tener un XML m\('as portable
  \-\-no_stylesheet: No asociar la salida XML con ninguna hoja de estilos XSL
MISCEL\('ANEO:
   \-6: Habilitar an\('alisis IPv6 
   \-A: Habilita la detecci\('on de SO y de versi\('on 
   \-\-datadir <nombreDir>: Indicar la ubicaci\('on de los archivos de datos Nmap 
     personalizados\&.
   \-\-send\-eth/\-\-send\-ip: Enviar paquetes utilizando tramas Ethernet o paquetes IP 
     "crudos"
   \-\-privileged: Asumir que el usuario tiene todos los privilegios 
   \-V: Muestra el n\('umero de versi\('on 
   \-h: Muestra esta p\('agina resumen de la ayuda\&. 
EJEMPLOS: 
   nmap \-v \-A scanme\&.nmap\&.org 
   nmap \-v \-sP 192\&.168\&.0\&.0/16 10\&.0\&.0\&.0/8 
   nmap \-v \-iR 10000 \-P0 \-p 80
.fi
.if n \{\
.RE
.\}
.sp
.SH "ESPECIFICACI\('ON DE OBJETIVOS"
.PP
Todo lo que se escriba en la l\('inea de par\('ametros de Nmap que no sea una opci\('on se considera una especificaci\('on de sistema objetivo\&. El caso m\('as sencillo es la indicaci\('on de s\('olo una IP, o nombre de sistema, para que sea analizado\&.
.PP
Puede darse la situaci\('on en que uno desee analizar una red completa de equipos adyacentes\&. Nmap soporta el direccionamiento estilo CIDR para estos casos\&. Puede a\(~nadir /\fInumBits\fR
a una direcci\('on IP o nombre de sistema para que Nmap sondee toda IP cuyos primeros
\fInumBits\fR
sean los mismos que los de la direcci\('on IP o nombre de sistema indicado\&. Por ejemplo, 192\&.168\&.10\&.0/24 analizar\('ia los 256 sistemas que existen entre la direcci\('on 192\&.168\&.10\&.0 (que en binario se representa como
11000000 10101000 00001010 00000000) y la direcci\('on 192\&.168\&.10\&.255 (binario:
11000000 10101000 00001010 11111111), ambas inclusives\&. De hecho, si usa 192\&.168\&.10\&.40/24 obtendr\('ia exactamente el mismo resultado\&. En el caso del sistema scanme\&.nmap\&.org que posee una direcci\('on IP 205\&.217\&.153\&.62, la especificaci\('on scanme\&.nmap\&.org/16 analizar\('ia las 65\&.536 direcciones IP entre 205\&.217\&.0\&.0 y 205\&.217\&.255\&.255\&. La m\('ascara mas peque\(~na permitida es /1, que analizar\('ia media Internet\&. La m\('as grande, /32, analizar\('ia \('unicamente la IP o nombre de sistema indicados porque todos los bits estar\('ian fijos\&.
.PP
La notaci\('on CDIR es breve pero no siempre es suficiemente flexible\&. Por ejemplo, puede querer sondear la red 192\&.168\&.0\&.0/16 pero omitir cualquier IP que termine por \&.0 o por \&.255 ya que son habitualmente direcciones de difusi\('on\&. Es posible hacer esto con Nmap mediante el direccionamiento por octetos\&. En lugar de especificar una direcci\('on IP normal puede especificar una lista separada por comas de n\('umeros o rangos para cada octeto\&. Por ejemplo, si utiliza 192\&.168\&.0\-255\&.1\-254 se omitir\('an todas las direcciones del rango que terminen en \&.0 o \&.255\&. Los rangos no tienen por qu\('e estar limitados a los \('ultimos octetos\&. Por ejemplo, si especifica 0\-255\&.0\-255\&.13\&.37 se realizar\('a un sondeo en todo Internet de las direcciones IP que terminan en 13\&.37\&. Este tipo de muestreo amplio puede ser \('util para encuestas en Internet y con fines de investigaci\('on\&.
.PP
S\('olo puede especificar direcciones IPv6 si utiliza su nombre IPv6 totalmente cualificado o su nombre de sistema\&. No se soporta el uso de CIDR o rangos de octetos para IPv6 porque raramente son \('utiles\&.
.PP
Con Nmap puede especificar m\('ultiples sistemas en la l\('inea de \('ordenes y no tienen por qu\('e ser del mismo tipo\&. Por ejemplo, la orden
\fBnmap scanme\&.nmap\&.org 192\&.168\&.0\&.0/16 10\&.0\&.0,1,3\-7\&.0\-255\fR
hace lo que uno esperar\('ia\&.
.PP
Aunque habitualmente se especifican los objetivos en la l\('inea de \('ordenes puede utilizar las siguientes opciones para controlar la selecci\('on de objetivos:
.PP
\fB\-iL <archivo_entrada>\fR (Entrada de una lista)
.RS 4
Toma la especificaci\('on de objetivos del archivo
\fIarchivo_entrada\fR\&. Habitualmente es un tanto molesto especificar una lista de sistemas muy grande en la l\('inea de \('ordenes, pero es algo que tambi\('en uno quiere hacer\&. Por ejemplo, si tu servidor DHCP puede exportar un listado de las 10\&.000 direcciones entregadas IP que querr\('ia analizar\&. O tal vez quiera analizar todas las direcciones IP
\fIexcepto\fR
esas mismas direcciones, para as\('i localizar sistemas que est\('en utilizando direcciones IP est\('aticas sin autorizaci\('on\&. Para sondear un n\('umero elevado de objetivos s\('olo tiene que generar la lista en un archivo, y entreg\('arselo a Nmap con la opci\('on
\fB\-iL\fR\&. Las entradas de ese archivo pueden estar en cualquiera de los formatos aceptados por Nmap en la l\('inea de \('ordenes (direcciones IP, nombres de sistema, CIDR, IPv6 o rangos de octeto)\&. Cada elemento debe estar separado por uno o m\('as espacios, tabuladores, o por l\('ineas\&. Si quiere leer el archivo de la entrada est\('andar puede especificar un gui\('on (\-) como nombre de archivo\&.
.RE
.PP
\fB\-iR <cant\&. sistemas>\fR (Elegir objetivos al azar)
.RS 4
Cuando se quieren realizar encuestas que cubran toda Internet uno puede querer elegir objetivos al azar\&. La opci\('on
\fIcant\&. sistemas\fR
indica a Nmap cu\('antas direcciones IP debe generar aleatoriamente\&. Se filtran de forma autom\('atica las direcciones no deseables, incluyendo las direcciones privadas, de multicast o direccionamiento no asignado\&. Si se utiliza el valor
0, Nmap realizar\('a un an\('alisis que no acabar\('a nunca\&. Hay que tener en cuenta que a algunos administradores de red puede no gustarle que les analicen sus redes, y pueden llegar a quejarse \(r!Utilice esta opci\('on bajo su propia responsabilidad! Si est\('a realmente aburrido un d\('ia de tarde lluviosa, puede intentar la orden
\fBnmap \-sS \-PS80 \-iR 0 \-p 80\fR
para encontrar servidores web al azar para navegar\&.
.RE
.PP
\fB\-\-exclude <equipo1[,equipo2][,equipo3],\&.\&.\&.>\fR (Excluir equipo o redes)
.RS 4
Indica con una lista separada por comas los objetivos que deben excluirse del an\('alisis\&. Se excluir\('an aunque se encuentren dentro de un rango especificado en la l\('inea de \('ordenes\&. La lista que se indica utiliza la sintaxis normal de Nmap, por lo que puede incluir nombres de equipo, rangos de red CIDR, rangos de octeto, etc\&. Esto puede ser \('util cuando la red a analizar tiene objetivos que no se deben tocar, como puedan ser servidores de misi\('on cr\('itica, que pueden reaccionar adversamente a un an\('alisis de puertos, o si la red incluye subredes administradas por otras personas\&.
.RE
.PP
\fB\-\-excludefile <archivo>\fR (Excluir desde una Lista)
.RS 4
Al igual que
\fB\-\-exclude\fR, esta funci\('on permite excluir objetivos, pero en lugar de utilizar la l\('inea de \('ordenes toma el listado de un
\fIarchivo\fR, que utiliza la misma sintaxis que la opci\('on
\fB\-iL\fR\&.
.RE
.SH "DESCUBRIENDO SISTEMAS"
.PP
Uno de los primeros pasos en cualquier misi\('on de reconocimiento de red es el de reducir un (muchas veces enorme) conjunto de rangos de direcciones IP en una lista de equipos activos o interesantes\&. Analizar cada puerto de cada una de las direcciones IP es lento, y usualmente innecesario\&. Por supuesto, lo que hace a un sistema interesante depende ampliamente del prop\('osito del an\('alisis\&. Los administradores de red pueden interesarse s\('olo en equipos que est\('en ejecutando un cierto servicio, mientras que los auditores de seguridad pueden interesarse en todos y cada uno de los dispositivos que tengan una direcci\('on IP\&. Un administrador puede sentirse c\('omodo con obtener un listado de equipos en su red interna mediante un ping ICMP, mientras que un consultor en seguridad realizando un ataque externo puede llegar a utilizar un conjunto de docenas de sondas en su intento de saltarse las restricciones de los cortafuegos\&.
.PP
Siendo tan diversas las necesidades de descubrimiento de sistemas, Nmap ofrece una gran variedad de opciones para personalizar las t\('ecnicas utilizadas\&. Al descubrimiento de sistemas (\(FoHost Discovery\(Fc) se lo suele llamar sondeo ping, pero va m\('as all\('a de la simple solicitud ICMP echo\-request de los paquetes asociados al querido y nunca bien ponderado
ping\&. Los usuarios pueden evitar el paso de ping utilizando un sondeo de lista (\fB\-sL\fR) o deshabilitando el ping (\fB\-P0\fR), o enviando combinaciones arbitrarias de sondas TCP SYN/ACK, UDP e ICMP a m\('ultiples puertos de la red remota\&. El prop\('osito de estas sondas es el de solicitar respuestas que demuestren que una direcci\('on IP se encuentra activa (est\('a siendo utilizada por un equipo o dispositivo de red)\&. En varias redes solo un peque\(~no porcentaje de direcciones IP se encuentran activos en cierto momento\&. Esto es particularmente com\('un en las redes basadas en direccionamiento privado RFC1918, como la 10\&.0\&.0\&.0/8\&. Dicha red tiene m\('as de 16 millones de direcciones IP, pero la he visto siendo utilizada por empresas con menos de mil m\('aquinas\&. El descubrimiento de sistemas puede encontrar dichas maquinas en un rango tan grande como el indicado\&.
.PP
Si no se proveen opciones de descurbrimiento de sistemas, Nmap env\('ia un paquete TCP ACK al puerto 80 y un ICMP Echo Request a cada m\('aquina objetivo\&. Una excepci\('on a este comportamiento es cuando se utiliza un an\('alisis ARP, para los objetivos que se encuentren en la red Ethernet local\&. Para usuarios de shell UNIX que no posean privilegios, un paquete SYN es enviado en vez del ACK, utilizando la llamada al sistema
\fBconnect()\fR\&. Estos valores por omisi\('on son el equivalente a las opciones
\fB\-PA \-PE\fR\&. Este descubrimiento de sistemas es generalmente suficiente cuando se analizan redes locales, pero para auditor\('ias de seguridad se recomienda utilizar un conjunto m\('as completo de sondas de descubrimiento\&.
.PP
Las opciones
\fB\-P*\fR
(que permiten seleccionar los tipos de ping) pueden combinarse\&. Puede aumentar sus probabilidades de penetrar cortafuegos estrictos enviando muchos tipos de sondas utilizando diferentes puertos o banderas TCP y c\('odigos ICMP\&. Recuerde que el ARP discovery (\fB\-PR\fR) se realiza por omisi\('on contra objetivos de la red Ethernet local incluso si se especifica otra de las opciones
\fB\-P*\fR, porque es generalmente m\('as r\('apido y efectivo\&.
.PP
Las siguientes opciones controlan el descubrimiento de sistemas\&.
.PP
\fB\-sL\fR (Sondeo de lista)
.RS 4
El sondeo de lista es un tipo de descubrimiento de sistemas que tan solo lista cada equipo de la/s red/es especificada/s, sin enviar paquetes de ning\('un tipo a los objetivos\&. Por omisi\('on, Nmap va a realizar una resoluci\('on inversa DNS en los equipos, para obtener sus nombres\&. Es sorprendente cuanta informaci\('on \('util se puede obtener del nombre de un sistema\&. Por ejemplo
fw\&.chi\&.playboy\&.com
es el cortafuegos de la oficina en Chicago de Playboy Enterprises\&. Adicionalmente, al final, Nmap reporta el n\('umero total de direcciones IP\&. El sondeo de lista es una buena forma de asegurarse de que tenemos las direcciones IP correctas de nuestros objetivos\&. Si se encontraran nombres de dominio que no reconoces, vale la pena investigar un poco m\('as, para evitar realizar un an\('alisis de la red de la empresa equivocada\&.
.sp
Ya que la idea es simplemente emitir un listado de los sistemas objetivo, las opciones de mayor nivel de funcionalidad como an\('alisis de puertos, detecci\('on de sistema operativo, o an\('alisis ping no pueden combinarse con este sondeo\&. Si desea deshabilitar el an\('alisis ping a\('un realizando dicha funcionalidad de mayor nivel, compruebe la documentaci\('on de la opci\('on
\fB\-P0\fR\&.
.RE
.PP
\fB\-sP\fR (Sondeo ping)
.RS 4
Esta opci\('on le indica a Nmap que
\fI\('unicamente\fR
realice descubrimiento de sistemas mediante un sondeo ping, y que luego emita un listado de los equipos que respondieron al mismo\&. No se realizan m\('as sondeos (como un an\('alisis de puertos o detecci\('on de sistema operativo)\&. A diferencia del sondeo de lista, el an\('alisis ping es intrusivo, ya que env\('ia paquetes a los objetivos, pero es usualmente utilizado con el mismo prop\('osito\&. Permite un reconocimiento liviano de la red objetivo sin llamar mucho la atenci\('on\&. El saber cu\('antos equipos se encuentran activos es de mayor valor para los atacantes que el listado de cada una de las IP y nombres proporcionado por el sondeo de lista\&.
.sp
De la misma forma, los administradores de sistemas suelen encontrar valiosa esta opci\('on\&. Puede ser f\('acilmente utilizada para contabilizar las m\('aquinas disponibles en una red, o monitorizar servidores\&. A esto se lo suele llamar barrido ping, y es m\('as fiable que hacer ping a la direcci\('on de broadcast, ya que algunos equipos no responden a ese tipo de consultas\&.
.sp
La opci\('on
\fB\-sP\fR
env\('ia una solicitud de eco ICMP y un paquete TCP al puerto 80 por omisi\('on\&. Cuando un usuario sin privilegios ejecuta Nmap se env\('ia un paquete SYN (utilizando la llamada
\fBconnect()\fR) al puerto 80 del objetivo\&. Cuando un usuario privilegiado intenta analizar objetivos en la red Ethernet local se utilizan solicitudes ARP (\fB\-PR\fR) a no ser que se especifique la opci\('on
\fB\-\-send\-ip\fR\&.
.sp
La opci\('on
\fB\-sP\fR
puede combinarse con cualquiera de las opciones de sondas de descubrimiento (las opciones
\fB\-P*\fR, excepto
\fB\-P0\fR) para disponer de mayor flexibilidad\&. Si se utilizan cualquiera de las opciones de sondas de descubrimiento y n\('umero de puerto, se ignoran las sondas por omisi\('on (ACK y solicitud de eco ICMP)\&. Se recomienda utilizar estas t\('ecnicas si hay un cortafuegos con un filtrado estricto entre el sistema que ejecuta Nmap y la red objetivo\&. Si no se hace as\('i pueden llegar a pasarse por alto ciertos equipos, ya que el cortafuegos anular\('ia las sondas o las respuestas a las mismas\&.
.RE
.PP
\fB\-P0\fR (No realizar ping)
.RS 4
Con esta opci\('on, Nmap no realiza la etapa de descubrimiento\&. Bajo circunstancias normales, Nmap utiliza dicha etapa para determinar qu\('e m\('aquinas se encuentran activas para hacer un an\('alisis m\('as agresivo\&. Por omisi\('on, Nmap s\('olo realiza ese tipo de sondeos, como an\('alisis de puertos, detecci\('on de versi\('on o de sistema operativo contra los equipos que se est\('an \(Fovivos\(Fc\&. Si se deshabilita el descubrimiento de sistemas con la opci\('on
\fB\-P0\fR
entonces Nmap utilizar\('a las funciones de an\('alisis solicitadas contra
\fItodas\fR
las direcciones IP especificadas\&. Por lo tanto, si se especifica una red del tama\(~no de una clase B cuyo espacio de direccionamiento es de 16 bits, en la l\('inea de \('ordenes, se analizar\('a cada una de las 65\&.536 direcciones IP\&. El segundo car\('acter en la opci\('on
\fB\-P0\fR
es un cero, y no la letra O\&. Al igual que con el sondeo de lista, se evita el descubrimiento apropiado de sistemas, pero, en vez de detenerse y emitir un listado de objetivos, Nmap contin\('ua y realiza las funciones solicitadas como si cada IP objetivo se encontrara activa\&.
.RE
.PP
\fB\-PS [lista de puertos]\fR (Ping TCP SYN)
.RS 4
Esta opci\('on env\('ia un paquete TCP vac\('io con la bandera SYN puesta\&. El puerto destino por omisi\('on es el 80 (se puede configurar en tiempo de compilaci\('on cambiando el valor de DEFAULT_TCP_PROBE_PORT en
nmap\&.h), pero se puede a\(~nadir un puerto alternativo como par\('ametro\&. Tambi\('en se puede especificar una lista de puertos separados por comas (p\&.ej\&.
\fB\-PS22,23,25,80,113,1050,35000\fR)\&. Si hace esto se enviar\('an sondas en paralelo a cada uno de los puertos\&.
.sp
La bandera SYN indica al sistema remoto que quiere establecer una conexi\('on\&. Normalmente, si el puerto destino est\('a cerrado se recibir\('a un paquete RST (de \(Foreset\(Fc)\&. Si el puerto est\('a abierto entonces el objetivo responder\('a con el segundo paso del saludo en tres pasos TCP respondiendo con un paquete TCP SYN/ACK\&. El sistema donde se ejecuta Nmap romper\('a la conexi\('on que se est\('a estableciendo enviando un paquete RST en lugar de enviar el paquete ACK que completar\('ia el saludo TCP\&. Nmap no env\('ia este paquete, sino que lo env\('ia el n\('ucleo del sistema donde se ejecuta Nmap respondiendo al paquete SYN/ACK que no esperaba\&.
.sp
A Nmap no le importa si el puerto est\('a abierto o cerrado\&. Si, tal y como se acaba de describir, llega una respuesta RST \('o SYN/ACK entonces Nmap sabr\('a que el sistema est\('a disponible y responde\&.
.sp
En sistemas UNIX, generalmente s\('olo el usuario privilegiado
root
puede enviar paquetes TCP crudos\&. Los usuarios no privilegiados tienen una forma de evitar esta restricci\('on utilizando la llamada al sistema \(Foconnect()\(Fc contra el puerto destino\&. Esto hace que se env\('ie el paquete SYN al sistema, para establecer la conexi\('on\&. Si la llamada \(Foconnect()\(Fc devuelve un resultado de \('exito r\('apidamente o un fallo ECONNREFUSED entonces se puede deducir que la pila TCP que tiene bajo \('esta ha recibido un SYN/ACK o un RST y que puede marcar el sistema como disponible\&. El sistema se puede marcar como no disponible si el intento de conexi\('on se mantiene parado hasta que vence un temporizador\&. Esta es tambi\('en la forma en la que se gestiona esto en conexiones IPv6 ya que Nmap a\('un no puede crear paquetes IPv6 crudos\&.
.RE
.PP
\fB\-PA [lista de puertos]\fR (Ping TCP ACK)
.RS 4
El ping TCP ACK es muy parecido al ping SYN que se acaba de tratar\&. La diferencia es que en este caso se env\('ia un paquete con la bandera ACK en lugar de la SYN\&. Este paquete indica que se han recibido datos en una conexi\('on TCP establecida, pero se env\('ian sabiendo que la conexi\('on no existe\&. En este caso los sistemas deber\('ian responder con un paquete RST, lo que sirve para determinar que est\('an vivos\&.
.sp
La opci\('on
\fB\-PA\fR
utiliza el mismo puerto por omisi\('on que la sonda SYN (el puerto 80) y tambi\('en puede tomar una lista de puertos destino en el mismo formato\&. Si un usuario sin privilegios intenta hacer esto, o se especifica un objetivo IPv6, se utiliza el procedimiento descrito anteriormente\&. Aunque en este caso el procedimiento no es perfecto porque la llamada \(Foconnect()\(Fc enviar\('a un paquete SYN en lugar de un ACK\&.
.sp
Se ofrecen tanto mecanismos de sondeo con ping SYN y ACK para maximizar las posibilidades de atravesar cortafuegos\&. Muchos administradores configuran los enrutadores y algunos cortafuegos sencillos para que se bloqueen los paquetes SYN salvo para aquellos destinados a los servicios p\('ublicos, como pudieran ser el servidor web o el servidor de correo de la organizaci\('on\&. Esto evita que se realicen otras conexiones entrantes al mismo tiempo que permite a los usuarios realizar conexiones salientes a Internet\&. Este acercamiento de filtrado sin estados toma pocos recursos de los cortafuegos/enrutadores y est\('a ampliamente soportado por filtros hardware y software\&. El programa de cortafuegos Netfilter/iptables de Linux ofrece la opci\('on
\fB\-\-syn\fR
para implementar este acercamiento sin estados\&. Cuando se han implementado reglas de filtrado como \('estas es posible que se bloqueen las sondas ping SYN (\fB\-PS\fR) cuando \('estas se env\('ien a un puerto cerrado\&. Sin embargo, en estos casos, las sondas ACK podr\('ian saltarse las reglas y llegar a su destino\&.
.sp
Otros tipos de cortafuegos comunes utilizan reglas con estados que descartan paquetes no esperados\&. Esta funcionalidad se encontraba antes fundamentalmente en los cortafuegos de gama alta pero se ha hecho cada vez m\('as com\('un\&. El sistema Netfilter/iptables de Linux soporta esta posibilidad a trav\('es de la opci\('on
\fB\-\-state\fR, que hace categor\('ias de paquetes en base a su estado de conexi\('on\&. En estos sistemas es m\('as probable que funcione una sonda SYN, dado que los paquetes ACK no esperados se reconocen como falsos y se descartan\&. Una soluci\('on a este dilema es enviar sondas SYN y ACK especificando tanto la opci\('on
\fB\-PS\fR
como
\fB\-PA\fR\&.
.RE
.PP
\fB\-PU [lista de puertos]\fR (Ping UDP)
.RS 4
El ping UDP es otra opci\('on para descubrir sistemas\&. Esta opci\('on env\('ia un paquete UDP vac\('io (salvo que se especifique
\fB\-\-data\-length\fR) a los puertos indicados\&. La lista de puertos se debe dar en el mismo formato que se ha indicado anteriormente para las opciones
\fB\-PS\fR
y
\fB\-PA\fR
\&. Si no se especifica ning\('un puerto se utiliza el puerto 31338 por omisi\('on\&. Se puede configurar este puerto por omisi\('on en el momento de compilar cambiando DEFAULT_UDP_PROBE_PORT en
nmap\&.h\&. Se utiliza un puerto alto y poco com\('un por omisi\('on porque no es deseable enviar este sondeo a otro tipo de puertos\&.
.sp
La sonda UDP deber\('ia generar un paquete ICMP de puerto no alcanzable si da contra un puerto cerrado en el equipo objetivo\&. Si llega \('este entonces Nmap puede identificar ese sistema como vivo y alcanzable\&. Otros errores ICMP, como el de sistema o red inalcanzables o TTL excedido indican un sistema que est\('a muerto o que no es alcanzable\&. Si no llega ninguna respuesta tambi\('en se entiende que el sistema no est\('a disponible\&. Si se alcanza un puerto abierto la mayor\('ia de los servicios simplemente descartar\('an el paquete vac\('io y no devolver\('an ninguna respuesta\&. \('Esta es la raz\('on por la que se utiliza el puerto por omisi\('on 31338 ya que es poco probable que est\('e utiliz\('andose\&. Algunos servicios, como chargen, responder\('an con un paquete UDP vac\('io lo que ayuda a Nmap a determinar que el sistema est\('a disponible\&.
.sp
La principal ventaja de este tipo de sondeos es que atraviesan cortafuegos y filtros que s\('olo analizan TCP\&. Yo, por ejemplo, una vez fui propietario de un encaminador de banda ancha inal\('ambrico BEFW11S4\&. El interfaz externo de este dispositivo filtraba por omisi\('on todos los puertos TCP, pero las sondas UDP pod\('ian generar mensajes de puerto no alcanzable y permit\('ian detectar al dispositivo\&.
.RE
.PP
\fB\-PE\fR; \fB\-PP\fR; \fB\-PM\fR (Tipos de ping ICMP)
.RS 4
Nmap puede enviar los paquetes est\('andar que env\('ia el programa
ping
adem\('as de los tipos de descubrimiento de equipos con TCP y UDP\&. Nmap env\('ia paquetes ICMP tipo 7 (\(Foecho request\(Fc) a las direcciones IP objetivos y espera recibir un tipo 0 (\(FoEcho Reply\(Fc) de los sistemas que est\('en disponibles\&. Lamentablemente para los exploradores de redes, muchos sistemas y cortafuegos ahora bloquean esos paquetes en lugar de responder como requiere el est\('andar
\m[blue]\fBRFC 1122\fR\m[]\&\s-2\u[4]\d\s+2\&. Por \('esta raz\('on los sondeos que s\('olo utilizan el protocolo ICMP no son muy fiables para analizar sistemas desconocidos en Internet\&. Aunque pueda ser una forma eficiente y pr\('actica de hacerlo para administradores que tengan que monitorizar una red interna\&. Utilice la opci\('on
\fB\-PE\fR
para activar este comportamiento de solicitud de eco\&.
.sp
Nmap no hace s\('olo \('esto, aunque la solicitud eco es la consulta est\('andar de ping ICMP\&. El est\('andar ICMP (\m[blue]\fBRFC 792\fR\m[]\&\s-2\u[5]\d\s+2) tambi\('en espec\('ifica solicitudes de huellas de tiempo, de informaci\('on y de m\('ascara de red, que corresponden con los c\('odigos 13, 15 y 17 respectivamente\&. Aunque el objetivo de estas solicitudes es obtener la m\('ascara de red o fecha actual de un sistema tambi\('en pueden utilizarse para descubrir sistemas\&. Un sistema que responde es por que est\('a vivo y disponible\&. Nmap no implementa los paquetes de solicitud de informaci\('on en s\('i, ya que no est\('an muy soportados\&. El est\('andar RFC 1122 insiste en que
\(lqun equipo NO DEBE implementar estos mensajes\(rq\&. Las consultas de huella de tiempo y m\('ascara de red se pueden enviar con las opciones
\fB\-PP\fR
y
\fB\-PM\fR, respectivamente\&. Si se recibe una respuesta de huella de tiempo (c\('odigo ICMP 14) o de m\('ascara de red (c\('odigo 18) entonces es que el sistema est\('a disponible\&. Estas dos consultas pueden ser \('utiles cuando los administradores bloquean los paquetes de consulta eco expl\('icitamente pero se olvidan de que se pueden utilizar otras consultas ICMP con el mismo fin\&.
.RE
.PP
\fB\-PR\fR (Ping ARP)
.RS 4
Una de las formas de uso m\('as comunes de Nmap es el sondeo de una red de \('area local Ethernet\&. En la mayor\('ia de las redes locales hay muchas direcciones IP sin usar en un momento determinado\&. Esto es as\('i especialmente en las que utilizan rangos de direcciones privadas definidas en el RFC1918\&. Cuando Nmap intenta enviar un paquete IP crudo, como pudiera ser una solicitud de eco ICMP, el sistema operativo debe determinar primero la direcci\('on (ARP) correspondiente a la IP objetivo para poder dirigirse a ella en la trama Ethernet\&. Esto es habitualmente un proceso lento y problem\('atico, dado que los sistemas operativos no se escribieron pensando en que tendr\('ian que hacer millones de consultas ARP contra sistemas no disponibles en un corto periodo de tiempo\&.
.sp
El sondeo ARP hace que sea Nmap y su algoritmo optimizado el que se encargue de las solicitudes ARP\&. Si recibe una respuesta, no se tiene ni que preocupar de los paquetes basados en IP dado que ya sabe que el sistema est\('a vivo\&. Esto hace que el sondeo ARP sea mucho m\('as r\('apido y fiable que los sondeos basados en IP\&. Por ello se utiliza por omisi\('on cuando se analizan sistemas Ethernet si Nmap detecta que est\('an en la red local\&. Nmap utiliza ARP para objetivos en la misma red local a\('un cuando se utilicen distintos tipos de ping (como
\fB\-PE\fR
o
\fB\-PS\fR)\&. Si no quiere hacer un sondeo ARP tiene que especificar la opci\('on
\fB\-\-send\-ip\fR\&.
.RE
.PP
\fB\-n\fR (No realizar resoluci\('on de nombres)
.RS 4
Le indica a Nmap que
\fInunca\fR
debe realizar resoluci\('on DNS inversa de las direcciones IP activas que encuentre\&. Ya que DNS es generalmente lento, esto acelera un poco las cosas\&.
.RE
.PP
\fB\-R\fR (Realizar resoluci\('on de nombres con todos los objetivos)
.RS 4
Le indica a Nmap que deber\('a realizar
\fIsiempre\fR
la resoluci\('on DNS inversa de las direcciones IP objetivo\&. Normalmente se realiza esto s\('olo si se descubre que el objetivo se encuentra vivo\&.
.RE
.PP
\fB\-\-system\-dns\fR (Utilizar resoluci\('on DNS del sistema)
.RS 4
Por omisi\('on, Nmap resuelve direcciones IP por si mismo enviando las consultas directamente a los servidores de nombres configurados en el sistema, y luego espera las respuestas\&. Varias solicitudes (generalmente docenas) son realizadas en paralelo para mejorar el rendimiento\&. Especifica esta opci\('on si desea que s\('i utilice la resoluci\('on del sistema (una IP por vez utilizando la llamada getnameinfo())\&. Este m\('etodo es m\('as lento y raramente \('util, a no ser que hubiera un error en el c\('odigo DNS de Nmap (por favor, notif\('iquelo si ese fuera el caso)\&. \('Este es el m\('etodo por omisi\('on para los sondeos IPv6\&.
.RE
.PP
\fB\-\-dns\-servers <servidor1[,servidor2],\&.\&.\&.> \fR (Servidores a utilizar para las consultas DNS)
.RS 4
Nmap generalmente determina los servidores DNS de su archivo resolv\&.conf (UNIX) o del registro (Win32)\&. Puede utilizar esta opci\('on para especificar sus propios servidores\&. Esta opci\('on no se utiliza si utiliza la opci\('on
\fB\-\-system\-dns\fR
o est\('a realizando un sondeo IPv6\&. La resoluci\('on a trav\('es de m\('as de un servidor de DNS es generalmente m\('as r\('apida que la consulta a uno solo\&.
.RE
.SH "INTRODUCCI\('ON AL AN\('ALISIS DE PUERTOS"
.PP
Nmap comenz\('o como un analizador de puertos eficiente, aunque ha aumentado su funcionalidad a trav\('es de los a\(~nos, aquella sigue siendo su funci\('on primaria\&. La sencilla orden
\fBnmap \fR\fB\fIobjetivo\fR\fR
analiza m\('as de 1660 puertos TCP del equipo
\fIobjetivo\fR\&. Aunque muchos analizadores de puertos han agrupado tradicionalmente los puertos en dos estados: abierto o cerrado, Nmap es mucho m\('as descriptivo\&. Se dividen a los puertos en seis estados distintos:
abierto,
cerrado,
filtrado,
no filtrado,
abierto|filtrado, o
cerrado|filtrado\&.
.PP
Estos estados no son propiedades intr\('insecas del puerto en s\('i, pero describen como los ve Nmap\&. Por ejemplo, un an\('alisis con Nmap desde la misma red en la que se encuentra el objetivo puede mostrar el puerto 135/tcp como
abierto, mientras que un an\('alisis realizado al mismo tiempo y con las mismas opciones, pero desde Internet, puede presentarlo como
filtrado\&.
.PP
\fBLos seis estados de un puerto, seg\('un Nmap\fR
.PP
abierto
.RS 4
Una aplicaci\('on acepta conexiones TCP o paquetes UDP en este puerto\&. El encontrar esta clase de puertos es generalmente el objetivo primario de realizar un sondeo de puertos\&. Las personas orientadas a la seguridad saben que cada puerto abierto es un vector de ataque\&. Los atacantes y las personas que realizan pruebas de intrusi\('on intentan aprovechar puertos abiertos, por lo que los administradores intentan cerrarlos, o protegerlos con cortafuegos, pero sin que los usuarios leg\('itimos pierdan acceso al servicio\&. Los puertos abiertos tambi\('en son interesantes en sondeos que no est\('an relacionados con la seguridad porque indican qu\('e servicios est\('an disponibles para ser utilizados en una red\&.
.RE
.PP
cerrado
.RS 4
Un puerto cerrado es accesible: recibe y responde a las sondas de Nmap, pero no tiene una aplicaci\('on escuchando en \('el\&. Pueden ser \('utiles para determinar si un equipo est\('a activo en cierta direcci\('on IP (mediante descubrimiento de sistemas, o sondeo ping), y es parte del proceso de detecci\('on de sistema operativo\&. Como los puertos cerrados son alcanzables, o sea, no se encuentran filtrados, puede merecer la pena analizarlos pasado un tiempo, en caso de que alguno se abra\&. Los administradores pueden querer considerar bloquear estos puertos con un cortafuegos\&. Si se bloquean aparecer\('ian filtrados, como se discute a continuaci\('on\&.
.RE
.PP
filtrado
.RS 4
Nmap no puede determinar si el puerto se encuentra abierto porque un filtrado de paquetes previene que sus sondas alcancen el puerto\&. El filtrado puede provenir de un dispositivo de cortafuegos dedicado, de las reglas de un enrutador, o por una aplicaci\('on de cortafuegos instalada en el propio equipo\&. Estos puertos suelen frustrar a los atacantes, porque proporcionan muy poca informaci\('on\&. A veces responden con mensajes de error ICMP del tipo 3, c\('odigo 13 (destino inalcanzable: comunicaci\('on prohibida por administradores), pero los filtros que sencillamente descartan las sondas sin responder son mucho m\('as comunes\&. Esto fuerza a Nmap a reintentar varias veces, considerando que la sonda pueda haberse descartado por congesti\('on en la red en vez de haberse filtrado\&. Esto ralentiza dr\('asticamente los sondeos\&.
.RE
.PP
no filtrado
.RS 4
Este estado indica que el puerto es accesible, pero que Nmap no puede determinar si se encuentra abierto o cerrado\&. Solamente el sondeo ACK, utilizado para determinar las reglas de un cortafuegos, clasifica a los puertos seg\('un este estado\&. El analizar puertos no filtrados con otros tipos de an\('alisis, como el sondeo Window, SYN o FIN, pueden ayudar a determinar si el puerto se encuentra abierto\&.
.RE
.PP
abierto|filtrado
.RS 4
Nmap marca a los puertos en este estado cuando no puede determinar si el puerto se encuentra abierto o filtrado\&. Esto ocurre para tipos de an\('alisis donde no responden los puertos abiertos\&. La ausencia de respuesta puede tambi\('en significar que un filtro de paquetes ha descartado la sonda, o que se elimina cualquier respuesta asociada\&. De esta forma, Nmap no puede saber con certeza si el puerto se encuentra abierto o filtrado\&. Los sondeos UDP, protocolo IP, FIN, Null y Xmas clasifican a los puertos de esta manera\&.
.RE
.PP
cerrado|filtrado
.RS 4
Este estado se utiliza cuando Nmap no puede determinar si un puerto se encuentra cerrado o filtrado, y puede aparecer aparecer s\('olo durante un sondeo IPID pasivo\&.
.RE
.SH "T\('ECNICAS DE SONDEO DE PUERTOS"
.PP
Cuando intento realizar un arreglo de mi coche, siendo novato, puedo pasarme horas intentando utilizar mis herramientas rudimentarias (martillo, cinta aislante, llave inglesa, etc\&.)\&. Cuando fallo miserablemente y llevo mi coche antiguo en gr\('ua al taller a un mec\('anico de verdad siempre pasa lo mismo: busca en su gran caj\('on de herramientas hasta que saca una herramienta que hace que la tarea se haga sin esfuerzo\&. El arte de sondear puertos es parecido\&. Los expertos conocen docenas de t\('ecnicas de sondeo y eligen la m\('as apropiada (o una combinaci\('on de \('estas) para la tarea que est\('an realizando\&. Los usuarios sin experiencia y los "script kiddies", sin embargo, intentan resolver cada problema con el sondeo SYN por omisi\('on\&. Dado que Nmap es libre, la \('unica barrera que existe para ser un experto en el sondeo de puertos es el conocimiento\&. Esto es mucho mejor que el mundo del autom\('ovil, donde puedes llegar a saber que necesitas un compresor de tuerca, pero tendr\('as que pagar mil dolares por \('el\&.
.PP
La mayor\('ia de los distintos tipos de sondeo disponibles s\('olo los puede llevar a cabo un usuario privilegiado\&. Esto es debido a que env\('ian y reciben paquetes en crudo, lo que hace necesario tener acceso como administrador (root) en la mayor\('ia de los sistemas UNIX\&. En los entornos Windows es recomendable utilizar una cuenta de administrador, aunque Nmap algunas veces funciona para usuarios no privilegiados en aquellas plataformas donde ya se haya instalado WinPcap\&. La necesidad de privilegios como usuario administrador era una limitaci\('on importante cuando se empez\('o a distribuir Nmap en 1997, ya que muchos usuarios s\('olo ten\('ian acceso a cuentas compartidas en sistemas como usuarios normales\&. Ahora, las cosas son muy distintas\&. Los ordenadores son m\('as baratos, hay m\('as personas que tienen acceso permanente a Internet, y los sistemas UNIX (incluyendo Linux y MAC OS X) son m\('as comunes\&. Tambi\('en se dispone de una versi\('on para Windows de Nmap, lo que permite que se ejecute en m\('as escritorios\&. Por todas estas razones, cada vez es menos necesario ejecutar Nmap utilizando cuentas de sistema compartidas\&. Esto es bueno, porque las opciones que requieren de m\('as privilegios hacen que Nmap sea m\('as potente y flexible\&.
.PP
Aunque Nmap intenta generar resultados precisos, hay que tener en cuenta que estos resultados se basan en los paquetes que devuelve el sistema objetivo (o los cortafuegos que est\('an delante de \('estos)\&. Estos sistemas pueden no ser fiables y env\('iar respuestas cuyo objetivo sea confundir a Nmap\&. Son a\('un m\('as comunes los sistemas que no cumplen con los est\('andares RFC, que no responden como deber\('ian a las sondas de Nmap\&. Son especialmente susceptibles a este problema los sondeos FIN, Null y Xmas\&. Hay algunos problemas espec\('ificos a algunos tipos de sondeos que se discuten en las entradas dedicadas a sondeos concretos\&.
.PP
Esta secci\('on documenta las aproximadamente doce t\('ecnicas de sondeos de puertos que soporta Nmap\&. S\('olo puede utilizarse un m\('etodo en un momento concreto, salvo por el sondeo UDP (\fB\-sU\fR) que puede combinarse con cualquiera de los sondeos TCP\&. Para que sea f\('acil de recordar, las opciones de los sondeos de puertos son del estilo
\fB\-s\fR\fB\fIC\fR\fR, donde
\fIC\fR
es una letra caracter\('istica del nombre del sondeo, habitualmente la primera\&. La \('unica excepci\('on a esta regla es la opci\('on obsoleta de sondeo FTP rebotado (\fB\-b\fR)\&. Nmap hace un sondeo SYN por omisi\('on, aunque lo cambia a un sondeo Connect() si el usuario no tiene los suficientes privilegios para enviar paquetes en crudo (requiere acceso de administrador en UNIX) o si se especificaron objetivos IPv6\&. De los sondeos que se listan en esta secci\('on los usuarios sin privilegios s\('olo pueden ejecutar los sondeos Connect() o de rebote FTP\&.
.PP
\fB\-sS\fR (sondeo TCP SYN)
.RS 4
El sondeo SYN es el utilizado por omisi\('on y el m\('as popular por buenas razones\&. Puede realizarse r\('apidamente, sondeando miles de puertos por segundo en una red r\('apida en la que no existan cortafuegos\&. El sondeo SYN es relativamente sigiloso y poco molesto, ya que no llega a completar las conexiones TCP\&. Tambi\('en funciona contra cualquier pila TCP en lugar de depender de la idiosincrasia espec\('ifica de una plataforma concreta, al contrario de lo que pasa con los sondeos de Nmap Fin/Null/Xmas, Maimon o pasivo\&. Tambi\('en muestra una clara y fiable diferenciaci\('on entre los estados
abierto,
cerrado, y
filtrado\&.
.sp
A esta t\('ecnica se la conoce habitualmente como sondeo medio abierto, porque no se llega a abrir una conexi\('on TCP completa\&. Se env\('ia un paquete SYN, como si se fuera a abrir una conexi\('on real y despu\('es se espera una respuesta\&. Si se recibe un paquete SYN/ACK esto indica que el puerto est\('a en escucha (abierto), mientras que si se recibe un RST (reset) indica que no hay nada escuchando en el puerto\&. Si no se recibe ninguna respuesta despu\('es de realizar algunas retransmisiones entonces el puerto se marca como filtrado\&. Tambi\('en se marca el puerto como filtrado si se recibe un error de tipo ICMP no alcanzable (tipo 3, c\('odigos 1,2, 3, 9, 10, \('o 13)\&.
.RE
.PP
\fB\-sT\fR (sondeo TCP connect())
.RS 4
El sondeo TCP Connect() es el sondeo TCP por omisi\('on cuando no se puede utilizar el sondeo SYN\&. Esto sucede, por ejemplo, cuando el usuario no tiene privilegios para enviar paquetes en crudo o cuando se est\('an sondeando redes IPv6\&. Nmap le pide al sistema operativo subyacente que establezcan una conexi\('on con el sistema objetivo en el puerto indicado utilizando la llamada del sistema
connect(), a diferencia de otros tipos de sondeo, que escriben los paquetes a bajo nivel\&. \('Esta es la misma llamada del sistema de alto nivel que la mayor\('ia de las aplicaciones de red, como los navegadores web o los clientes P2P, utilizan para establecer una conexi\('on\&. Esta llamada es parte del interfaz de programaci\('on conocido como la API de conectores de Berkeley\&. Tambi\('en, en lugar de leer las respuestas directamente de la l\('inea, Nmap utiliza esta API para obtener la informaci\('on de estado de cada intento de conexi\('on\&.
.sp
Generalmente es mejor utilizar un sondeo SYN, si \('este est\('a disponible\&. Nmap tiene menos control sobre la llamada de alto nivel
Connect()
que cuando utiliza paquetes en crudo, lo que hace que sea menos eficiente\&. La llamada al sistema completa las conexiones para abrir los puertos objetivo, en lugar de realizar el reseteo de la conexi\('on medio abierta como hace el sondeo SYN\&. Esto significa que se tarda m\('as tiempo y son necesarios m\('as paquetes para obtener la informaci\('on, pero tambi\('en significa que los sistemas objetivos van a registrar probablemente la conexi\('on\&. Un IDS decente detectar\('a cualquiera de los dos, pero la mayor\('ia de los equipos no tienen este tipo de sistemas de alarma\&. Sin embargo, muchos servicios de los sistemas UNIX habituales a\(~nadir\('an una nota en el syslog, y algunas veces con un mensaje de error extra\(~no, dado que Nmap realiza la conexi\('on y luego la cierra sin enviar ning\('un dato\&. Los servicios realmente pat\('eticos morir\('an cuando \('esto pasa, aunque esto no es habitual\&. Un administrador que vea muchos intentos de conexi\('on en sus registros que provengan de un \('unico sistema deber\('ia saber que ha sido sondeado con este m\('etodo\&.
.RE
.PP
\fB\-sU\fR (sondeos UDP)
.RS 4
Aunque la mayor\('ia de los servicios m\('as habituales en Internet utilizan el protocolo TCP, los servicios
\m[blue]\fBUDP\fR\m[]\&\s-2\u[6]\d\s+2
tambi\('en son muy comunes\&. Tres de los m\('as comunes son los servicios DNS, SNMP, y DHCP (puertos registrados 53, 161/162, y 67/68 respectivamente)\&. Dado que el sondeo UDP es generalmente m\('as lento y m\('as dif\('icil que TCP, algunos auditores de seguridad ignoran estos puertos\&. Esto es un error, porque es muy frecuente encontrarse servicios UDP vulnerables y los atacantes no ignoran estos protocolos\&. Afortunadamente, Nmap puede utilizarse para hacer un inventario de puertos UDP\&.
.sp
El sondeo UDP se activa con la opci\('on
\fB\-sU\fR\&. Puede combinarse con un tipo de sondeo TCP como el sondeo SYN (\fB\-sS\fR) para comprobar ambos protocolos al mismo tiempo\&.
.sp
Los sondeos UDP funcionan mediante el env\('io (sin datos) de una cabecera UDP para cada puerto objetivo\&. Si se obtiene un error ICMP que indica que el puerto no es alcanzable (tipo 3, c\('odigo 3) entonces se marca el puerto como
cerrado\&. Si se recibe cualquier error ICMP no alcanzable (tipo 3, c\('odigos 1, 2, 9, 10, o 13) se marca el puerto como
filtrado\&. En algunas ocasiones se recibir\('a una respuesta al paquete UDP, lo que prueba que el puerto est\('a
abierto\&. Si no se ha recibido ninguna respuesta despu\('es de algunas retransmisiones entonces se clasifica el puerto como
abierto|filtrado\&. Esto significa que el puerto podr\('ia estar abierto o que hay un filtro de paquetes bloqueando la comunicaci\('on\&. Puede utilizarse el sondeo de versi\('on (\fB\-sV\fR) para diferenciar de verdad los puertos abiertos de los filtrados\&.
.sp
Uno de las grandes problemas con el sondeo UDP es hacerlo r\('apidamente\&. Pocas veces llega una respuesta de un puerto abierto o filtrado, lo que obliga a expirar a Nmap y luego a retransmitir los paquetes en caso de que la sonda o la respuesta se perdieron\&. Los puertos cerrados son a\('un m\('as comunes y son un problema mayor\&. Generalmente env\('ian un error ICMP de puerto no alcanzable\&. Pero, a diferencia de los paquetes RST que env\('ian los puertos TCP cerrados cuando responden a un sondeo SYN o Connect, muchos sistemas imponen una tasa m\('axima de mensajes ICMP de puerto inalcanzable por omisi\('on\&. Linux y Solaris son muy estrictos con esto\&. Por ejemplo, el n\('ucleo de Linux versi\('on 2\&.4\&.20 limita la tasa de env\('io de mensajes de destino no alcanzable a uno por segundo (en
net/ipv4/icmp\&.c)\&.
.sp
Nmap detecta las limitaciones de tasa y se ralentiza para no inundar la red con paquetes in\('utiles que el equipo destino acabar\('a descartando\&. Desafortunadamente, un l\('imite como el que hace el n\('ucleo de Linux de un paquete por segundo hace que un sondeo de 65536 puertos tarde m\('as de 18 horas\&. Puede acelerar sus sondeos UDP incluyendo m\('as de un sistema para sondearlos en paralelo, haciendo un sondeo r\('apido inicial de los puertos m\('as comunes, sondeando detr\('as de un cortafuegos, o utilizando la opci\('on
\fB\-\-host\-timeout\fR
para omitir los sistemas que respondan con lentitud\&.
.RE
.PP
\fB\-sN\fR; \fB\-sF\fR; \fB\-sX\fR (sondeos TCP Null, FIN, y Xmas)
.RS 4
Estos tres tipos de sondeos (aunque puede hacer muchos m\('as a trav\('es de la opci\('on
\fB\-\-scanflags\fR
que se describe en la pr\('oxima secci\('on) aprovechan una indefinici\('on en la
\m[blue]\fBRFC de TCP\fR\m[]\&\s-2\u[7]\d\s+2
que diferencia los puertos
abiertos
y
cerrados\&. La p\('agina 65 dice que
\(lqsi el estado del puerto [destino] es CERRADO \&.\&.\&.\&. un segmento entrante que contiene un RST hace que se env\('ie un RST en la respuesta\&.\(rq
Despu\('es la p\('agina siguiente discute los paquetes que se env\('ian a puertos abiertos sin fijar los bits SYN, RST, o ACK, diciendo:
\(lqes improbable que llegue aqu\('i, pero si lo hace, debe descartar el segmento y volver\&.\(rq
.sp
Cuando se sondean sistemas que cumplen con el texto de esta RFC, cualquier paquete que no contenga los bits SYN, RST, o ACK resultar\('a en el env\('io de un RST si el puerto est\('a cerrado\&. Mientras que no se enviar\('a una respuesta si el puerto est\('a cerrado\&. Siempre y cuando se incluyan esos tres bits es v\('alida la combinaci\('on de cualquiera de los otros tres (FIN, PSH, y URG)\&. Nmap aprovecha esto con tres tipos de sondeo:
.PP
Sondeo Null(\fB\-sN\fR)
.RS 4
No fija ning\('un bit (la cabecera de banderas TCP es 0)
.RE
.PP
sondeo FIN (\fB\-sF\fR)
.RS 4
Solo fija el bit TCP FIN\&.
.RE
.PP
sondeo Xmas (\fB\-sX\fR)
.RS 4
Fija los bits de FIN, PSH, y URG flags, iluminando el paquete como si fuera un \('arbol de Navidad\&.
.RE
.sp
Estos tres tipos de sondeos son exactamente los mismos en comportamiento salvo por las banderas TCP que se fijen en los paquetes sonda\&. Si se recibe un paquete RST entonces se considera que el puerto est\('a
cerrado\&. Si no se recibe ninguna respuesta el puerto se marca como
abierto|filtrado\&. El puerto se marca
filtrado
si se recibe un error ICMP no alcanzable (tipo 3, c\('odigo 1, 2, 3, 9, 10, o 13)\&.
.sp
La ventaja fundamental de este tipo de sondeos es que pueden atravesar algunos cortafuegos que no hagan inspecci\('on de estados o encaminadores que hagan filtrado de paquetes\&. Otra ventaja es que este tipo de sondeos son algo m\('as sigilosos que, incluso, un sondeo SYN\&. Sin embargo, no cuente con que pase siempre esto ya que la mayor\('ia de los productos IDS pueden configurarse para detectarlos\&. El problema es que no todos los sistemas siguen el est\('andar RFC 793 al pie de la letra\&. Algunos sistemas env\('ian respuestas RST a las sondas independientemente de si el puerto est\('a o no cerrado\&. Esto hace que la mayor\('ia de los puertos se marquen como
cerrados\&. Algunos sistemas operativos muy utilizados que hacen \('esto son Microsoft Windows, muchos dispositivos Cisco, BSDI, e IBM OS/400\&. Este sondeo no funciona contra sistemas basados en UNIX\&. Otro problema de estos sondeos es que no se puede distinguir los puertos
abiertos
de algunos puertos
filtrados, lo que resulta en la respuesta
abierto|filtrado\&.
.RE
.PP
\fB\-sA\fR (sondeo TCP ACK)
.RS 4
Este sondeo es distinto de otros que se han discutido hasta ahora en que no puede determinar puertos
abiertos
(o incluso
abiertos|filtrados)\&. Se utiliza para mapear reglas de cortafuegos, y para determinar si son cortafuegos con inspecci\('on de estados y qu\('e puertos est\('an filtrados\&.
.sp
La sonda de un sondeo ACK s\('olo tiene fijada la bandera ACK (a menos que utilice
\fB\-\-scanflags\fR)\&. Cuando se sondean sistemas no filtrados los puertos
abiertos
y
cerrados
devolver\('an un paquete RST\&. Nmap marca el puerto como
no filtrado, lo que significa que son alcanzables por el paquete ACK, pero no se puede determinar si est\('an
abiertos
o
cerrados\&. Los puertos que no responden o que env\('ian mensajes de error ICMP en respuesta (tipo 3, c\('odigo 1, 2, 3, 9, 10, o 13), se marcan como
filtrados\&.
.RE
.PP
\fB\-sW\fR (sondeo de ventana TCP)
.RS 4
El sondeo de ventana (\(Fowindow\(Fc, N\&. del T\&.) es exactamente igual al sondeo ACK que se aprovecha de un detalle de implementaci\('on de algunos sistemas que permite diferenciar puertos abiertos de los cerrados, en lugar de imprimir
no filtrado
cuando se devuelve un RST\&. Hace esto examinando el campo de ventana TCP del paquete RST devuelto\&. Algunos sistemas fijan un tama\(~no de ventana positivo para puertos abiertos (incluso para paquetes RST) mientras que se utiliza una ventana de tama\(~no cero para los cerrados\&. As\('i, en lugar de listar el puerto como
no filtrado
cuando se recibe un RST, el sondeo de ventana permite listar el puerto como
abierto
o
cerrado
en funci\('on de si el valor de la ventana TCP en ese paquete RST es positivo o cero, respectivamente\&.
.sp
Este sondeo depende de un detalle de implementaci\('on de una minor\('ia de sistemas q que existen en Internet, as\('i que no es siempre fiable\&. Los sistemas que no hacen \('esto habitualmente har\('an que se muestren los puertos como
cerrados\&. Por supuesto, es posible que el sistema no tenga ning\('un puerto abierto\&. Si la mayor\('ia de los puertos est\('an
cerrados
pero alguno de los n\('umeros de puertos comunes (como pueda ser el 22, 25 \('o 53) est\('an
filtrados, entonces el sistema es posible que sea susceptible a \('esto\&. Algunas veces hay sistemas que mostrar\('an el comportamiento justo contrario\&. Si su sondeo muestra 1000 puertos abiertos y 3 puertos cerrados o filtrados entonces es posible que sean estos \('ultimos los que est\('an abiertos en realidad\&.
.RE
.PP
\fB\-sM\fR (sondeo TCP Maimon)
.RS 4
El sondeo Maimon debe su nombre a la persona que lo descubri\('o: Uriel Maimon\&. Describi\('o la t\('ecnica en la revista Phrack n\('umero 49 (noviembre de 1996)\&. Nmap, que incluye esta t\('ecnica, se public\('o dos n\('umeros m\('as tarde\&. Esta t\('ecnica es exactamente la misma a los sondeos Null, FIN, y Xmas, pero en los que se env\('ia una sonda FIN/ACK\&. Seg\('un el RFC 793 (TCP), se deber\('ia generar un paquete RST cuando se responde a dicha sonda independientemente de si el puerto est\('a cerrado o abierto\&. Uriel se dio cuenta, sin embargo, de que muchos sistemas derivados de BSD simplemente descartan el paquete si el puerto est\('a abierto\&.
.RE
.PP
\fB\-\-scanflags\fR (Sondeo TCP a medida)
.RS 4
Los usuarios realmente avanzados de Nmap no tienen por qu\('e limitarse a los tipos de sondeos preparados que se ofrecen\&. La opci\('on
\fB\-\-scanflags\fR
le permite dise\(~nar su propio sondeo mediante la especificaci\('on de banderas TCP arbitrarias\&. Deje volar a su imaginaci\('on al tiempo que evita las reglas de los sistemas de detecci\('on de intrusos cuyos fabricantes s\('olo echaron un vistazo a la p\('agina de manual de Nmap y a\(~nadieron reglas espec\('ificas para detectarlo\&.
.sp
La opci\('on
\fB\-\-scanflags\fR
puede ser un valor num\('erico como el 9 (PSH y FIN), aunque es m\('as sencillo utilizar nombres simb\('olicos\&. S\('olo tienes que juntar una combinaci\('on de
URG,
ACK,
PSH,
RST,
SYN, y
FIN\&. Por ejemplo, la configuraci\('on
\fB\-\-scanflags URGACKPSHRSTSYNFIN\fR
fija todas las banderas, aunque no es muy \('util para sondear\&. No importa el orden en que se especifiquen los nombres\&.
.sp
Adem\('as de poder especificar las banderas que desee se puede especificar el tipo de sondeo TCP (como
\fB\-sA\fR
o
\fB\-sF\fR)\&. \('Esto le dice a Nmap c\('omo debe interpretar las respuestas\&. Por ejemplo, un sondeo SYN considera que si no se recibe respuesta el puerto est\('a
filtrado
mientras que si no se recibe una respuesta en un sondeo FIN se trata como
abierto|filtrado\&. Nmap se comportar\('a igual que para el sondeo tipo base, con la diferencia de que utilizar\('a las banderas TCP que usted especifique\&. Se utiliza el sondeo SYN si no se especifica ning\('un tipo base\&.
.RE
.PP
\fB\-sI <sistema zombi [:puerto_sonda]>\fR (Sondeo ocioso)
.RS 4
Este es un m\('etodo de sondeo avanzado que le permite hacer un sondeo de puertos TCP a ciegas de verdad (lo que significa que no se env\('ia ning\('un paquete al sistema objetivo desde su direcci\('on IP real)\&. En lugar de \('esto se utiliza un ataque con un canal alternativo que se aprovecha de la generaci\('on de la secuencia de los identificadores de fragmentaci\('on IP del sistema zombi para obtener informaci\('on de los puertos abiertos en el objetivo\&. Los sistemas IDS mostrar\('an que el sondeo lo est\('a realizando el sistema zombi que especifique (que debe estar vivo y cumplir algunos requisitos)\&. Este tipo de sondeo tan fascinante es demasiado complejo como para describirlo por completo en esta gu\('ia de referencia por lo que escrib\('i y publiqu\('e un documento informal que contiene todos los detalles, el documento est\('a disponible en
\m[blue]\fB\%https://nmap.org/book/idlescan.html\fR\m[]\&.
.sp
Adem\('as de ser extraordinariamente sigiloso (debido a su funcionamiento a ciegas), este tipo de sondeo permite determinar las relaciones basadas en IP entre distintos sistemas\&. El listado de puertos muestra los puertos abiertos
\fIdesde la perspectiva del sistema zombi\&.\fR
As\('i que puede analizar el mismo objetivo con zombis distintos que cree que podr\('ian ser de confianza para \('este (a trav\('es de las reglas de filtrados de los paquetes o reglas de filtrados de encaminadores)\&.
.sp
Puede a\(~nadir un n\('umero de puerto separado por dos puntos del sistema zombi si desea analizar un puerto espec\('ifico del zombi para consultar los cambios IPID\&. Si no lo hace Nmap utilizar\('a el puerto que utiliza para pings TCP por omisi\('on (el puerto 80)\&.
.RE
.PP
\fB\-sO\fR (sondeo de protocolo IP)
.RS 4
El sondeo de protocolo IP le permite determinar qu\('e protocolos (TCP, ICMP, IGMP, etc\&.) soportan los sistemas objetivo\&. Esto no es, t\('ecnicamente, un sondeo de puertos, dado que cambia los n\('umeros de protocolo IP en lugar de los n\('umeros de puerto TCP \('o UDP\&. Pero tambi\('en se puede utilizar la opci\('on
\fB\-p\fR
para seleccionar los n\('umeros de protocolo a analizar, los resultados se muestran en el formato de tabla utilizado para los puertos e incluso utiliza el mismo motor de sondeo que los m\('etodos de sondeo de puertos reales\&. Es tan parecido a un sondeo de puertos que debe tratarse aqu\('i\&.
.sp
El sondeo de protocolos, adem\('as de ser \('util en s\('i mismo, demuestra el poder del software de fuentes abiertas (\(Foopensource\(Fc, N\&. del T\&.)\&. Aunque la idea fundamental era bastante sencilla, no hab\('ia pensado a\(~nadirla ni tampoco hab\('ia habido personas que solicitaran esta funcionalidad\&. Entonces, en el verano de 2000, se le ocurri\('o la idea a Gerhard Rieger y la implement\('o escribiendo un parche excelente, envi\('andolo posteriormente a la lista de correo de nmap\-hackers\&. Incorpor\('e ese parche en el \('arbol de c\('odigo de Nmap y publiqu\('e una nueva versi\('on ese mismo d\('ia\&. \(r!Pocas piezas de programas comerciales tienen usuarios tan entusiastas que dise\(~nan y contribuyen sus propias mejoras!
.sp
El sondeo de protocolos utiliza mecanismos parecidos al sondeo UDP\&. Env\('ia cabeceras de paquetes IP iterando por el campo de 8 bits que indica el protocolo IP, en lugar de iterar por el campo de n\('umero de puerto de un paquete UDP\&. Las cabeceras generalmente est\('an vac\('ias y no contienen datos\&. De hecho, ni siquiera tienen una cabecera apropiada para el protocolo que se indica\&. Las tres excepciones son TCP, UDP e ICMP\&. Se incluye una cabecera de protocolo v\('alida para \('estos porque algunos sistemas no los enviar\('an sin ellas y porque Nmap ya tiene funciones para crearlas\&. El sondeo de protocolos espera la recepci\('on de mensajes de ICMP
\fIprotocolo\fR
no alcanzable en lugar de mensajes ICMP puerto no alcanzable\&. Nmap marca el protocolo como
abierto
si recibe una respuesta en cualquier protocolo del sistema objetivo\&. Se marca como
cerrado
si se recibe un error ICMP de protocolo no alcanzable (tipo 3, c\('odigo 2)\&. Si se reciben otros errores ICMP no alcanzable (tipo 3, c\('odigos 1, 3, 9, 10, o 13) se marca el protocolo como
filtrado
(aunque al mismo tiempo indican que el protocolo ICMP est\('a
abierto)\&. El protocolo se marca como
abierto|filtrado
si no se recibe ninguna respuesta despu\('es de las retransmisiones\&.
.RE
.PP
\fB\-b <sistema de rebote ftp>\fR (sondeo de rebote FTP)
.RS 4
Una funcionalidad interesante en el protocolo FTP (\m[blue]\fBRFC 959\fR\m[]\&\s-2\u[8]\d\s+2) es la posibilidad de utilizar conexiones FTP de pasarela\&. Esta opci\('on puede abusarse a muchos niveles as\('i que muchos servidores han dejado de soportarla\&. Una de las formas de abusar de \('esta es utilizar el servidor de FTP para hacer un sondeo de puertos a otro sistema\&. Simplemente hace falta decirle al servidor de FTP que env\('ie un fichero a cada puerto interesante del servidor objetivo cada vez\&. El mensaje de error devuelto indicar\('a si el puerto est\('a abierto o no\&. Esta es una buena manera de atravesar cortafuegos porque, habitualmente, los servidores de FTP de una organizaci\('on est\('an ubicados en un lugar en el que tienen m\('as acceso a otros sistemas internos que el acceso que tiene un equipo en Internet\&. Nmap puede hacer sondeos con rebotes de FTP con la opci\('on
\fB\-b\fR\&. Esta opci\('on toma un argumento como:
\fIusuario\fR:\fIcontrase\(~na\fR@\fIservidor\fR:\fIpuerto\fR\&.
\fIServidor\fR
es el nombre de la direcci\('on IP del servidor FTP vulnerable\&. Al igual que con una URL normal, se puede omitir
\fIusuario\fR:\fIcontrase\(~na\fR, en caso de que se deseen utilizar credenciales de acceso an\('onimo (usuario:
anonymous
contrase\(~na:wwwuser@) Tambi\('en se puede omitir el n\('umero de puerto (y los dos puntos que lo preceden)\&. Si se omiten se utilizar\('a el puerto FTP est\('andar (21) en
\fIservidor\fR\&.
.sp
Esta vulnerabilidad era muy habitual en 1997, el a\(~no que se public\('o Nmap, pero ya ha sido arreglada en muchos sitios\&. A\('un siguen existiendo servidores vulnerables as\('i que merece la pena probar este sondeo si lo dem\('as falla\&. Si su objetivo es atravesar un cortafuegos, analice la red objetivo en busca del puerto 21 (o incluso cualquier servicio FTP, si sondea todos los puertos y activa la detecci\('on de versiones)\&. Despu\('es intente un sondeo de rebote utilizando cada uno\&. Nmap le indicar\('a si el sistema es o no vulnerable\&. Si est\('a intentado ocultar sus huellas no tiene que (y de hecho no deber\('ia) limitarse a servidores en la red objetivo\&. En cualquier caso, antes de empezar a sondear Internet al azar para buscar servidores de FTP vulnerables, tenga en cuenta que pocos administradores de sistemas apreciar\('an el que abuse de sus servidores de esta forma\&.
.RE
.SH "ESPECIFICACI\('ON DE PUERTOS Y ORDEN DE SONDEO"
.PP
Nmap ofrece distintas opciones para especificar los puertos que se van a sondear y si el orden de los sondeos es aleatorio o secuencial\&. Estas opciones se a\(~naden a los m\('etodos de sondeos que se han discutido previamente\&. Nmap, por omisi\('on, sondea todos los puertos hasta el 1024 adem\('as de algunos puertos con n\('umeros altos listados en el fichero
nmap\-services
para los protocolos que se sondeen\&.
.PP
\fB\-p <rango de puertos>\fR (S\('olo sondea unos puertos espec\('ificos)
.RS 4
Esta opci\('on especifica los puertos que desea sondear y toma precedencia sobre los valores por omisi\('on\&. Puede especificar tanto n\('umeros de puerto de forma individual, as\('i como rangos de puertos separados por un gui\('on (p\&. ej\&. 1\-1023)\&. Puede omitir el valor inicial y/o el valor final del rango\&. Nmap utilizar\('a 1 \('o 65535 respectivamente\&. De esta forma, puede especificar
\fB\-p\-\fR
para sondear todos los puertos desde el 1 al 65535\&. Se permite sondear el puerto cero siempre que lo especifique expl\('icitamente\&. Esta opci\('on especifica el n\('umero de protocolo que quiere sondear (de 0 a 255) en el caso de que est\('e sondeando protocolos IP (\fB\-sO\fR)\&.
.sp
Puede especificar un protocolo espec\('ifico cuando sondee puertos TCP y UDP si precede el n\('umero de puerto con
T:
o
U:\&. El calificador dura hasta que especifique otro calificador\&. Por ejemplo, la opci\('on
\fB\-p U:53,111,137,T:21\-25,80,139,8080\fR
sondear\('ia los puertos UDP 53,111, y 137, as\('i como los puertos TCP listados\&. Tenga en cuenta que para sondear tanto UDP como TCP deber\('a especificar la opci\('on
\fB\-sU\fR
y al menos un tipo de sondeo TCP (como
\fB\-sS\fR,
\fB\-sF\fR, o
\fB\-sT\fR)\&. Si no se da un calificador de protocolo se a\(~nadir\('an los n\('umeros de puerto a las listas de todos los protocolos\&.
.RE
.PP
\fB\-F\fR (Sondeo r\('apido (puertos limitados))
.RS 4
Indica que s\('olo quiere sondear los puertos listados en el fichero
nmap\-services
que se incluye con nmap (o el fichero de protocolos si indica
\fB\-sO\fR)\&. Esto es m\('as r\('apido que sondear todos los 65535 puertos de un sistema\&. La diferencia de velocidad con el sondeo TCP por omisi\('on (unos 1650 puertos) no es muy alta dado que esta lista contiene muchos puertos TCP (m\('as de 1200)\&. La diferencia puede ser muy grande si especifica su propio fichero
nmap\-services
m\('as peque\(~no si utiliza la opci\('on
\fB\-\-datadir\fR\&.
.RE
.PP
\fB\-r\fR (No aleatorizar los puertos)
.RS 4
Nmap ordena de forma aleatoria los puertos a sondear por omisi\('on (aunque algunos puertos com\('unmente accesibles se ponen al principio por razones de eficiencia)\&. Esta aleatorizaci\('on generalmente es deseable, pero si lo desea puede especificar la opci\('on
\fB\-r\fR
para analizar de forma secuencial los puertos\&.
.RE
.SH "DETECCI\('ON DE SERVICIOS Y DE VERSIONES"
.PP
Si le indica a Nmap que mire un sistema remoto le podr\('a decir que tiene abiertos los puertos 25/tcp, 80/tcp y 53/udp\&. Informar\('a que esos puertos se corresponden habitualmente con un servidor de correo (SMTP), servidor de web (HTTP) o servidor de nombres (DNS), respectivamente, si utilizas su base de datos
nmap\-services
con m\('as de 2\&.200 puertos conocidos\&. Generalmente este informe es correo dado que la gran mayor\('ia de demonios que escuchan en el puerto 25 TCP son, en realidad, servidores de correo\&. \(r!Pero no debe confiar su seguridad en este hecho! La gente ejecuta a veces servicios distintos en puertos inesperados
.PP
A\('un en el caso de que Nmap tenga raz\('on y el servidor de ejemplo indicado arriba est\('a ejecutando servidores de SMTP, HTTP y DNS \('esto no dice mucho\&. Cuando haga un an\('alisis de vulnerabilidades (o tan s\('olo un inventario de red) en su propia empresa o en su cliente lo que habitualmente tambi\('en quiere saber es qu\('e versi\('on se est\('a utilizando del servidor de correcto y de DNS\&. Puede ayudar mucho a la hora de determinar qu\('e ataques pueden afectar a un servidor el saber el n\('umero de versi\('on exacto de \('este\&. La detecci\('on de versiones le ayuda a obtener esta informaci\('on\&.
.PP
La detecci\('on de versiones pregunta para obtener m\('as informaci\('on de lo que realmente se est\('a ejecutando una vez se han detectado los puertos TCP y/o UDP con alguno de los m\('etodos de sondeo\&. La base de datos
nmap\-service\-probes
contiene sondas para consultar distintos servicios y reconocer y tratar distintas respuestas en base a una serie de expresiones\&. Nmap intenta determinar el protocolo del servicio (p\&. ej\&. ftp, ssh, telnet \('o http), el nombre de la aplicaci\('on (p\&. ej\&. Bind de ISC, http de Apache, telnetd de Solaris), un n\('umero de versi\('on, un tipo de dispositivo (p\&. ej\&. impresora o router), la familia de sistema operativo (p\&. ej\&. Windows o Linux) y algunas veces algunos detalles miscel\('aneos como, por ejemplo, si un servidor X acepta cualquier conexi\('on externa, la versi\('on de protocolo SSH o el nombre de usuario Kazaa)\&. Por supuesto, la mayor\('ia de los servicios no ofrecen toda esta informaci\('on\&. Si se ha compilado Nmap con soporte OpenSSL se conectar\('a tambi\('en a servidores SSL para determinar qu\('e servicio escucha detr\('as de la capa de cifrado\&. Se utiliza la herramienta de pruebas RPC de Nmap (\fB\-sR\fR) de forma autom\('atica para determinar el programa RPC y el n\('umero de versi\('on si se descubren servicios RPC\&. Algunos puertos UDP se quedan en estado
open|filtered
(N\&. del T\&., \*(Aqabierto|filtrado\*(Aq) si un barrido de puertos UDP no puede determinar si el puerto est\('a abierto o filtrado\&. La detecci\('on de versiones intentar\('a obtener una respuesta de estos puertos (igual que hace con puertos abiertos) y cambiar\('a el estado a abierto si lo consigue\&. Los puertos TCP en estado
open|filtered
se tratan de forma similar\&. Tenga en cuenta que la opci\('on
\fB\-A\fR
de Nmap actualiza la detecci\('on de versiones entre otras cosas\&. Puede encontrar un documento describiendo el funcionamiento, modo de uso, y particularizaci\('on de la detecci\('on de versiones en
\m[blue]\fB\%http://www.insecure.org/nmap/vscan/\fR\m[]\&.
.PP
Cuando Nmap obtiene una respuesta de un servicio pero no encuentra una definici\('on coincidente en la base de datos se imprimir\('a una firma especial y un URL para que la env\('ie si sabe lo que est\('a ejecut\('andose detr\('as de ese puerto\&. Por favor, t\('omese unos minutos para enviar esta informaci\('on para ayudar a todo el mundo\&. Gracias a estos env\('ios Nmap tiene ahora alrededor de 3\&.000 patrones para m\('as de 350 protocolos distintos como smtp, ftp, http, etc\&.
.PP
La detecci\('on de versiones se activa y controla con la siguientes opciones:
.PP
\fB\-sV\fR (Detecci\('on de versiones)
.RS 4
Activa la detecci\('on de versiones como se ha descrito previamente\&. Puede utilizar la opci\('on
\fB\-A\fR
en su lugar para activar tanto la detecci\('on de versiones como la detecci\('on de sistema operativo\&.
.RE
.PP
\fB\-\-allports\fR (No excluir ning\('un puerto de la detecci\('on de versiones)
.RS 4
La detecci\('on de versiones de Nmap omite el puerto TCP 9100 por omisi\('on porque algunas impresoras imprimen cualquier cosa que reciben en este puerto, lo que da lugar a la impresi\('on de m\('ultiples p\('aginas con solicitudes HTTP get, intentos de conexi\('on de SSL, etc\&. Este comportamiento puede cambiarse modificando o eliminando la directiva
Exclude
en
nmap\-service\-probes, o especificando
\fB\-\-allports\fR
para sondear todos los puertos independientemente de lo definido en la directiva
Exclude\&.
.RE
.PP
\fB\-\-version\-intensity <intensidad>\fR (Fijar la intensidad de la detecci\('on de versiones)
.RS 4
Nmap env\('ia una serie de sondas cuando se activa la detecci\('on de versiones (\fB\-sV\fR) con un nivel de rareza preasignado y variable de 1 a 9\&. Las sondas con un n\('umero bajo son efectivas contra un amplio n\('umero de servicios comunes, mientras que las de n\('umeros m\('as altos se utilizan rara vez\&. El nivel de intensidad indica que sondas deber\('ian utilizarse\&. Cuanto m\('as alto sea el n\('umero, mayor las probabilidades de identificar el servicio\&. Sin embargo, los sondeos de alta intensidad tardan m\('as tiempo\&. El valor de intensidad puede variar de 0 a 9\&. El valor por omisi\('on es 7\&. Se probar\('a una sonda independientemente del nivel de intensidad cuando \('esta se registra para el puerto objetivo a trav\('es de la directiva
nmap\-service\-probesports\&. De esta forma se asegura que las sondas de DNS se probar\('an contra cualquier puerto abierto 53, las sondas SSL contra el puerto 443, etc\&.
.RE
.PP
\fB\-\-version\-light\fR (Activar modo ligero)
.RS 4
\('Este es un alias conveniente para
\fB\-\-version\-intensity 2\fR\&. Este modo ligero hace que la detecci\('on de versiones sea m\('as r\('apida pero tambi\('en hace que sea menos probable identificar algunos servicios\&.
.RE
.PP
\fB\-\-version\-all\fR (Utilizar todas las sondas)
.RS 4
\('Este es un alias para
\fB\-\-version\-intensity 9\fR, hace que se utilicen todas las sondas contra cada puerto\&.
.RE
.PP
\fB\-\-version\-trace\fR (Trazar actividad de sondeo de versiones)
.RS 4
Esta opci\('on hace que Nmap imprima informaci\('on de depuraci\('on detallada explicando lo que est\('a haciendo el sondeo de versiones\&. Es un conjunto de lo que obtendr\('ia si utilizara la opci\('on
\fB\-\-packet\-trace\fR\&.
.RE
.PP
\fB\-sR\fR (Sondeo RPC)
.RS 4
Este m\('etodo funciona conjuntamente con los distintos m\('etodos de sondeo de puertos de Nmap\&. Toma todos los puertos TCP/UDP que se han encontrado y los inunda con \('ordenes de programa NULL SunRPC con el objetivo de determinar si son puertos RPC y, si es as\('i, los programas y n\('umero de versi\('on que est\('an detr\('as\&. As\('i, puede obtener de una forma efectiva la misma informaci\('on que
\fBrpcinfo \-p\fR
aunque el mapeador de puertos (\(Foportmapper\(Fc, N\&. del T\&.) est\('a detr\('as de un cortafuegos (o protegido por TCP wrappers)\&. Los se\(~nuelos no funcionan con el sondeo RPC actualmente\&. Esta opci\('on se activa autom\('aticamente como parte de la detecci\('on de versiones (\fB\-sV\fR) si la ha seleccionado\&. Rara vez se utiliza la opci\('on
\fB\-sR\fR
dado que la detecci\('on de versiones lo incluye y es m\('as completa\&.
.RE
.SH "DETECCI\('ON DE SISTEMA OPERATIVO"
.PP
Uno de los aspectos m\('as conocidos de Nmap es la detecci\('on del sistema operativo (SO) en base a la comprobaci\('on de huellas TCP/IP\&. Nmap env\('ia una serie de paquetes TCP y UDP al sistema remoto y analiza pr\('acticamente todos los bits de las respuestas\&. Nmap compara los resultados de una docena de pruebas como puedan ser el an\('alisis de ISN de TCP, el soporte de opciones TCP y su orden, el an\('alisis de IPID y las comprobaciones de tama\(~no inicial de ventana, con su base de datos
nmap\-os\-fingerprints\&. Esta base de datos consta de m\('as de 1500 huellas de sistema operativo y cuando existe una coincidencia se presentan los detalles del sistema operativo\&. Cada huella contiene una descripci\('on en texto libre del sistema operativo, una clasificaci\('on que indica el nombre del proveedor (por ejemplo, Sun), el sistema operativo subyacente (por ejemplo, Solaris), la versi\('on del SO (por ejemplo, 10) y el tipo de dispositivo (prop\('osito general, encaminador, conmutador, consola de videojuegos, etc\&.)\&.
.PP
Nmap le indicar\('a una URL donde puede enviar las huellas si conoce (con seguridad) el sistema operativo que utiliza el equipo si no puede adivinar el sistema operativo de \('este y las condiciones son \('optimas (encontr\('o al menos un puerto abierto y otro cerrado)\&. Si env\('ia esta informaci\('on contribuir\('a al conjunto de sistemas operativos que Nmap conoce y la herramienta ser\('a as\('i m\('as exacta para todo el mundo\&.
.PP
La detecci\('on de sistema operativo activa, en cualquier caso, una serie de pruebas que hacen uso de la informaci\('on que \('esta recoge\&. Una de estas pruebas es la medici\('on de tiempo de actividad, que utiliza la opci\('on de marca de tiempo TCP (RFC 1323) para adivinar cu\('anto hace que un equipo fue reiniciado\&. Esta prueba s\('olo funciona en sistemas que ofrecen esta informaci\('on\&. Otra prueba que se realiza es la clasificaci\('on de predicci\('on de n\('umero de secuencia TCP\&. Esta prueba mide de forma aproximada cu\('anto de dif\('icil es crear una conexi\('on TCP falsa contra el sistema remoto\&. Se utiliza cuando se quiere hacer uso de relaciones de confianza basadas en la direcci\('on IP origen (como es el caso de rlogin, filtros de cortafuegos, etc\&.) para ocultar la fuente de un ataque\&. Ya no se hace habitualmente este tipo de malversaci\('on pero a\('un existen muchos equipos que son vulnerables a \('esta\&. Generalmente es mejor utilizar la clasificaci\('on en ingl\('es como:
\(lqworthy challenge\(rq
(\(Fodesaf\('io dif\('icil\(Fc, N\&. del T\&.) o
\(lqtrivial joke\(rq
(\(Fobroma f\('acil\(Fc, N\&. del T\&.)\&. Esta informaci\('on s\('olo se ofrece en la salida normal en el modo detallado (\fB\-v\fR)\&. Tambi\('en se informa de la generaci\('on de n\('umeros de secuencia IPID cuando se activa el modo detallado conjuntamente con la opci\('on
\fB\-O\fR\&. La mayor\('ia de los equipos estar\('an en la clase
\(lqincremental\(rq, lo que significa que incrementan el campo ID en la cabecera IP para cada paquete que env\('ian\&. Esto hace que sean vulnerables a algunos ataques avanzados de obtenci\('on de informaci\('on y de falseo de direcci\('on\&.
.PP
Puede encontrar un trabajo traducido a una docena de idiomas que detalla el modo de funcionamiento, utilizaci\('on y ajuste de la detecci\('on de versiones en
\m[blue]\fB\%http://www.insecure.org/nmap/osdetect/\fR\m[]\&.
.PP
La detecci\('on de sistema operativo se activa y controla con las siguientes opciones:
.PP
\fB\-O\fR (Activa la detecci\('on de sistema operativo)
.RS 4
Tal y como se indica previamente, activa la detecci\('on de sistema operativo\&. Tambi\('en se puede utilizar la opci\('on
\fB\-A\fR
para activar la detecci\('on de sistema operativo y de versiones\&.
.RE
.PP
\fB\-\-osscan\-limit\fR (Limitar la detecci\('on de sistema operativo a los objetivos prometedores)
.RS 4
La detecci\('on de sistema operativo funcionar\('a mejor si se dispone de un puerto TCP abierto y otro cerrado\&. Defina esta opci\('on si no quiere que Nmap intente siquiera la detecci\('on de sistema operativo contra sistemas que no cumplan este criterio\&. Esta opci\('on puede ahorrar mucho tiempo, sobre todo si est\('a realizando sondeos
\fB\-P0\fR
sobre muchos sistemas\&. S\('olo es de aplicaci\('on cuando se ha solicitado la detecci\('on de sistema operativo con la opci\('on
\fB\-O\fR
o
\fB\-A\fR\&.
.RE
.PP
\fB\-\-osscan\-guess\fR; \fB\-\-fuzzy\fR (Aproximar los resultados de la detecci\('on de sistema operativo)
.RS 4
Cuando Nmap no puede detectar un sistema operativo que encaje perfectamente a veces ofrecer\('a posibilidades que se aproximen lo suficiente\&. Las opciones tienen que aproximarse mucho al detectado para que Nmap haga esto por omisi\('on\&. Cualquiera de estas dos opciones (equivalentes) har\('an que Nmap intente aproximar los resultados de una forma m\('as agresiva\&.
.RE
.SH "CONTROL DE TIEMPO Y RENDIMIENTO"
.PP
Una de las prioridades durante el desarrollo de Nmap ha sido siempre el rendimiento\&. Un sondeo por omisi\('on (\fBnmap \fR\fB\fInombre_de_sistema\fR\fR) de cualquier sistema en una red local tarda un quinto de segundo\&. Esto es menos que el tiempo que uno tarda en parpadear, pero se va sumando al tiempo que se tarda cuando se realiza un sondeo sobre decenas o centenares o miles de equipos\&. Adem\('as, ciertas opciones de sondeo como puedan ser el sondeo UDP y la detecci\('on de versiones pueden incrementar los tiempos de sondeos de forma sustancial\&. Tambi\('en puede afectar a este tiempo algunas configuraciones de sistemas cortafuegos, especialmente cuando implementan limitaciones a la tasa de respuestas\&. Aunque Nmap trabaja en paralelo y tiene muchos algoritmos avanzados para acelerar estos sondeos, el usuario tiene el control en \('ultima instancia de c\('omo funciona \('este\&. Los usuarios con experiencia pueden definir las \('ordenes a Nmap cuidadosamente para obtener s\('olo la informaci\('on que necesitan mientras que, al mismo tiempo, cumplen las limitaciones de tiempo que tengan\&.
.PP
Algunas t\('ecnicas que pueden ayudar a mejorar los tiempos de sondeo son el limitar el n\('umero de pruebas que no sean cr\('iticas y actualizar a la \('ultima versi\('on de Nmap (se hacen mejoras de rendimiento con cierta frecuencia)\&. La optimizaci\('on de los par\('ametros de control de tiempo pueden introducir tambi\('en diferencias significativas\&. Las opciones aplicables se detallan a continuaci\('on\&.
.PP
Algunas opciones aceptan un par\('ametro
tiempo\&. Este valor se especifica, por omisi\('on, en milisegundos, aunque puede seguirlo de \(oqs\(cq, \(oqm\(cq, o \(oqh\(cq para indicar segundos, minutos, u horas\&. Por tanto, el valor
900000,
900s, y
15m
hacen ex\('actamente lo mismo al aplicarse a la opci\('on
\fB\-\-host\-timeout\fR\&.
.PP
\fB\-\-min\-hostgroup <numsists>\fR; \fB\-\-max\-hostgroup <numsists>\fR (Ajustar el tama\(~no del grupo para los sondeos paralelos)
.RS 4
Nmap tiene la capacidad de hacer un sondeo de puertos o versiones sobre m\('ultiples sistemas en paralelo\&. Hace eso dividiendo el espacio de direcciones IP en grupos y analizando un grupo cada vez\&. Habitualmente es m\('as eficiente utilizar grupos grandes\&. La contrapartida es que los resultados por sistema no se pueden dar hasta que se ha terminado de analizar todo el grupo\&. En este caso, si Nmap empezara con un tama\(~no de grupo de 50, el usuario no obtendr\('ia ning\('un resultado hasta que termine con los primeros 50 (excepto las actualizaciones que env\('ia el modo detallado)
.sp
Nmap tiene una implementaci\('on de compromiso por omisi\('on para resolver este conflicto\&. Empieza los sondeos con un tama\(~no de grupo inferior a cinco para que los primeros resultados se obtengan con rapidez y despu\('es se incrementa el tama\(~no de grupo hasta, como mucho, 1024\&. El n\('umero exacto por omisi\('on depende de las opciones dadas en la ejecuci\('on\&. Nmap utiliza grupos m\('as grandes para los sondeos UDP y para aquellos sondeos TCP con pocos puertos por razones de eficiencia\&.
.sp
Nmap nunca excede el tama\(~no indicado cuando \('este se especifica con
\fB\-\-max\-hostgroup\fR\&. Si se indica un valor m\('inimo en
\fB\-\-min\-hostgroup\fR
Nmap intentar\('a mantener el tama\(~no de los grupos por encima de ese nivel\&. Nmap puede tener que utilizar grupos m\('as peque\(~nos si no hay suficientes sistemas objetivo en una interfaz dada para cumplir el m\('inimo especificado\&. Se pueden especificar ambos valores para mantener el tama\(~no de grupo dentro de un rango espec\('ifico, aunque \('esto es poco habitual\&.
.sp
El uso principal de esta opci\('on es el de especificar el tama\(~no de grupo m\('inimo para que los sondeos se ejecuten m\('as r\('apidamente\&. 256 es un valor habitual para sondear la red en trozos del tama\(~no de una clase C\&. Si se trata de un sondeo con muchos puertos no sirve de mucho incrementar ese n\('umero\&. Si los sondeos son de pocos puertos puede ayudar utilizar un tama\(~no de grupo de 2048 o m\('as elementos\&.
.RE
.PP
\fB\-\-min\-parallelism <numsondas>\fR; \fB\-\-max\-parallelism <numsondas>\fR (Ajustar el n\('umero de sondas enviadas en paralelo)
.RS 4
Esta opci\('on controla el n\('umero de sondas activas para un grupo de sistemas\&. \('Estas se utilizan para los sondeos de puertos y el descubrimiento de equipos\&. Por omisi\('on, Nmap calcula un valor ideal del n\('umero de sondas a enviar en paralelo basado en el rendimiento de la red\&. Si se pierden paquetes Nmap reduce este valor para ir m\('as lento y permitir menos sondas activas\&. El valor ideal de las sondas se incrementar\('a a medida que la red muestre que puede utilizarse de nuevo\&. Estas opciones ponen un valor m\('inimo o m\('aximo a esa variable\&. Por omisi\('on, el valor ideal puede ser inferior a 1 si la red no es fiable e incrementarse a varios cientos si \('esta funciona correctamente\&.
.sp
Lo m\('as habitual es fijar el valor
\fB\-\-min\-parallelism\fR
a un n\('umero mayor que uno para que los sondeos contra sistemas o redes poco eficientes sean r\('apidos\&. Esta es una opci\('on que tiene sus riesgos, ya que si se define un valor demasiado elevado se puede reducir la precisi\('on del sondeo\&. Si se fija tambi\('en se impide a Nmap controlar el paralelismo de forma din\('amica bas\('andose en las condiciones de la red\&. Un valor razonable puede ser diez, aunque s\('olo debe ajustarse como \('ultimo recurso\&.
.sp
A veces se fija la opci\('on
\fB\-\-max\-parallelism\fR
a uno para evitar que Nmap env\('ie m\('as de una sonda a la vez a los sistemas\&. Esto puede ser \('util conjuntamente con
\fB\-\-scan\-delay\fR
(del que se habla m\('as adelante), aunque habitualmente es suficiente con utilizar este \('ultimo por s\('i s\('olo\&.
.RE
.PP
\fB\-\-min\-rtt\-timeout <tiempo>\fR, \fB\-\-max\-rtt\-timeout <tiempo>\fR, \fB\-\-initial\-rtt\-timeout <tiempo>\fR (Ajustar expiraci\('on de sondas)
.RS 4
Nmap mantiene un valor de expiraci\('on en ejecuci\('on para saber cu\('anto tiempo debe esperar para recibir la respuesta a una sonda o para retransmitir la sonda\&. Este valor est\('a calculado en base a los tiempos de respuesta de las sondas previamente enviadas\&. El valor de expiraci\('on puede llegar a ser de varios segundos si se demuestra que la latencia de la red es significativa y variable\&. Tambi\('en empieza en un valor conservador (alto) y puede mantenerse en ese valor durante un tiempo cuando Nmap sondee equipos que no respondan\&.
.sp
Se pueden recortar los tiempos de an\('alisis de forma apreciable si se especifican valores para
\fB\-\-max\-rtt\-timeout\fR
y
\fB\-\-initial\-rtt\-timeout\fR
por debajo de los de por omisi\('on\&. Esto es especialmente verdadero en sondeos en los que no se env\('ian paquetes ICMP (\fB\-P0\fR) y en aquellos realizados en redes con mucho filtrado\&. Sin embargo, no se deber\('ia establecer a valores muy agresivos\&. El sondeo puede acabar tardando m\('as de lo esperado si se especifica un valor bajo que hace que las sondas expiren y se retransmitan mientras est\('a llegando la respuesta\&.
.sp
En el caso de que todos los sistemas est\('en en una red local al equipo que sondea, un valor razonablemente agresivo para
\fB\-\-max\-rtt\-timeout\fR
es 100 milisegundos\&. Si se est\('a rutando, primero env\('ie un ping a un equipo en la red con la herramienta ICMP ping, o con una herramienta para construir paquetes a medida como hping2 dado que es m\('as probable que atraviese cualquier cortafuegos\&. Consulte el tiempo m\('aximo de la ronda (tiempo entre solicitud y respuesta) despu\('es de haber enviado unos diez paquetes\&. Una vez obtenido ese valor puede utilizarlo el doble de \('este para
\fB\-\-initial\-rtt\-timeout\fR
y triplicarlo o cuadruplicarlo para
\fB\-\-max\-rtt\-timeout\fR\&. Yo no configuro habitualmente el valor m\('aximo rtt por debajo de 100ms, independientemente del valor que den los ping\&. Ni tampoco lo pongo por encima de 1000ms\&.
.sp
La opci\('on
\fB\-\-min\-rtt\-timeout\fR
se utiliza rara vez, aunque puede ser \('util cuando la red es tan poco fiable que incluso los valores por omisi\('on son demasiado agresivos\&. Dado que Nmap s\('olo reduce el tiempo al m\('inimo cuando la red parece fiable este valor es poco habitual y deber\('ia reportarse como una errata en la lista de correo nmap\-dev\&.
.RE
.PP
\fB\-\-max\-retries <reintentos>\fR (Especifica el n\('umero m\('aximo de sondas de puertos que se retransmiten)
.RS 4
Un puerto podr\('ia estar filtrado si Nmap no recibe ninguna respuesta a una sonda de an\('alisis de puertos\&. O puede que la sonda o la respuesta a \('esta se perdiera en la red\&. Tambi\('en puede darse el caso de que el sistema objetivo tenga una limitaci\('on de tasa de tr\('afico que haga que la respuesta quede bloqueada temporalmente\&. As\('i, Nmap lo intenta de nuevo retransmitiendo la sonda inicial\&. Puede que lo haga m\('as de una vez, si Nmap detecta que hay problemas en el funcionamiento de la red, antes de abandonar los sondeos de un puerto\&. Cuando el rendimiento es cr\('itico, se pueden acelerar los sondeos limitando el n\('umero de retransmisiones permitidas\&. Puede especificar
\fB\-\-max\-retries 0\fR
para que no se haga ninguna retransmisi\('on, aunque no se recomienda\&.
.sp
El valor por omisi\('on (cuando no hay una plantilla
\fB\-T\fR) es permitir las retransmisiones\&. Nmap generalmente s\('olo har\('a una retransmisi\('on si la red parece fiable y el sistema objetivo no tiene una limitaci\('on de tasa de tr\('afico\&. Es por esto por lo que la mayor\('ia de los sondeos no se ver\('an afectados si reduce el valor de
\fB\-\-max\-retries\fR
a un valor peque\(~no, como pudiera ser tres\&. Estos valores pueden hacer que los sondeos a equipos lentos (limitados en tasa) sean m\('as r\('apidos\&. Puede que pierda informaci\('on cuando Nmap d\('e por finalizado el an\('alisis de un puerto antes de tiempo, aunque eso puede ser mejor que hacer que la expire el
\fB\-\-host\-timeout\fR
y se pierda toda la informaci\('on del objetivo\&.
.RE
.PP
\fB\-\-host\-timeout <tiempo>\fR (Abandona equipos objetivo lentos)
.RS 4
Hay algunos equipos en los que simplemente se tarda
\fIdemasiado\fR
en sondearlos\&. Esto puede deberse a hardware de red de bajo rendimiento o poco fiable o bien a software, limitaciones de tasas de paquetes o un cortafuegos demasiado restrictivo\&. Puede llegar a darse que Nmap dedica la mayor parte del tiempo de an\('alisis en sondear un porcentaje reducido de sistemas\&. A veces es mejor reducir las bajas y saltarse esos sistemas inicialmente\&. Esto puede hacerse con la opci\('on
\fB\-\-host\-timeout\fR, indicando el tiempo m\('aximo que est\('a dispuesto a esperar\&. Yo especifico habitualmente
30m
para asegurarse de que Nmap no gasta m\('as de media hora en un solo sistema\&. Tenga en cuenta que Nmap puede estar sondeando otros equipos al mismo tiempo durante esa media hora, por lo que no se pierde todo ese tiempo\&. Cualquier sistema que expire se salta\&. No se imprimir\('a la tabla de puertos, la detecci\('on de sistema operativo o la detecci\('on de versiones para ese sistema\&.
.RE
.PP
\fB\-\-scan\-delay <tiempo>\fR; \fB\-\-max\-scan\-delay <tiempo>\fR (Ajusta la demora entre sondas)
.RS 4
Esta opci\('on hace que Nmap espere al menos el tiempo indicado entre cada sonda enviada a un sistema determinado\&. Esto es muy \('util cuando se quiere limitar la tasa de tr\('afico\&. Los sistemas Solaris (entre otros) responder\('an a paquetes de sondeos UDP con s\('olo un mensaje ICMP por segundo\&. Enviar m\('as que eso con Nmap ser\('ia perder el tiempo\&. Un valor de
1s
para
\fB\-\-scan\-delay\fR
har\('a que Nmap se mantenga a esa velocidad reducida\&. Nmap intenta detectar limitaciones de tasa y ajustar la demora del sondeo como considere necesario, pero a veces viene bien especificarlo de forma expl\('icita si ya sabe qu\('e valor es mejor\&.
.sp
El sondeo se ralentiza de forma dr\('astica cuando Nmap incrementa el valor del tiempo de espera para poder tratar las limitaciones de tasa\&. Puede utilizar la opci\('on
\fB\-\-max_scan\-delay\fR
para indicar el tiempo m\('aximo de espera que permitir\('a Nmap\&. Si especifica un valor muy peque\(~no tendr\('a retransmisiones in\('utiles de paquetes y posiblemente no detecte puertos para los que el objetivo implemente tasas de tr\('afico estrictas\&.
.sp
Tambi\('en se puede usar
\fB\-\-scan\-delay\fR
para evitar sistemas de detecci\('on y prevenci\('on de intrusos (IDS/IPS) basados en umbrales\&.
.RE
.PP
\fB\-T <Paranoid|Sneaky|Polite|Normal|Aggressive|Insane>\fR (Fija una plantilla de tiempos)
.RS 4
Algunas personas encuentran confusos los controles de grano fino explicados previamente, aunque \('estos sean muy potentes y efectivos\&. Adem\('as, se puede a veces tardar m\('as tiempo en encontrar los valores m\('as apropiados que en hacer el an\('alisis que se quiere optimizar\&. Nmap ofrece un acercamiento m\('as sencillo, basado en seis plantillas de tiempos\&. Puede especificar cualquiera de \('estas con la opci\('on
\fB\-T\fR
seguido de un n\('umero o su nombre\&. Los nombre de las plantillas son: paranoico (0), sigiloso (1), amable (2), normal (3), agresivo (4) y loco (5) (respectivamente "paranoid", "sneaky", "polite", "normal", "aggressive" e "insane", N\&. de\&. T\&.)\&. Las primeras dos se utilizan para evadir IDS\&. El modo amable reduce el sondeo para que \('este utilice menos ancho de banda y menos recursos de los sistemas analizados\&. El modo normal es el valor por omisi\('on, as\('i que la opci\('on
\fB\-T3\fR
no hace nada realmente\&. El modo agresivo hace que los sondeos sean m\('as r\('apidos al asumir que est\('a en una red razonablemente m\('as r\('apida y fiable\&. En modo loco asume que est\('a en una red extraordinariamente r\('apida o que est\('a dispuesto a sacrificar fiabilidad por velocidad\&.
.sp
Estas plantillas permiten que el usuario especifique cuan agresivo quiere ser, al mismo tiempo que deja que sea Nmap el que escoja los valores exactos de tiempos\&. Las plantillas hacen tambi\('en algunos ajustes menores de velocidad para los cuales no existe a\('un una opci\('on de control de grano fino\&. Por ejemplo,
\fB\-T4\fR
proh\('ibe que la expiraci\('on en sondeos din\('amicos exceda los 10ms para puertos TCP y
\fB\-T5\fR
limita ese valor a 5 milisegundos\&. Las plantillas pueden utilizarse combinadas con controles de grano fino, siempre que se especifique primero la plantilla\&. Si no lo hace as\('i los valores especificados por la plantilla modificar\('an los valores que defina como opci\('on\&. Le recomiendo utilizar
\fB\-T4\fR
cuando sondee redes razonablemente modernas y fiables\&. Mantenga esa opci\('on al principio de la l\('inea de \('ordenes a\('un cuando especifique otras opciones de control de grano fino para poder beneficiarse de las optimizaciones menores que activa\&.
.sp
Le recomiendo que empiece siempre con
\fB\-T4\fR
si est\('a utilizando una conexi\('on de banda ancha o conexi\('on Ethernet decente\&. Algunas personas adoran la opci\('on
\fB\-T5\fR
aunque es demasiado agresiva para mi gusto\&. Otras personas especifican la opci\('on
\fB\-T2\fR
porque piensan que es menos probable que bloqueen sistemas o porque se consideran a s\('i mismos amables en general\&. Muchas veces no se dan cuenta de lo lenta que
\fB\-T Polite\fR
es realmente\&. Su sondeo puede llegar a tardar diez veces m\('as que un sondeo por omisi\('on\&. Dado que las ca\('idas de sistemas y problemas de ancho de banda son raros con las opciones de tiempos por omisi\('on (\fB\-T3\fR), lo recomiendo habitualmente para las personas cuidadosas\&. Para reducir estos problemas es m\('as efectivo omitir la detecci\('on de versiones que jugar con los valores de tiempos\&.
.sp
Mientras que puede ser \('util evitar alarmas de IDS con
\fB\-T0\fR
y
\fB\-T1\fR, \('este tardar\('a mucho m\('as tiempo para sondear miles de sistemas o puertos\&. Para este tipo de sondeos puede que prefiera fijar los valores exactos de tiempos que necesita antes que utilizar los valores predefinidos para
\fB\-T0\fR
y
\fB\-T1\fR\&.
.sp
Los efectos principales del uso de
\fBT0\fR
es la serializaci\('on de los sondeos de forma que s\('olo se sondea un puerto cada vez, y se espera cinco minutos antes de enviar cada sonda\&. Las opciones
\fBT1\fR
y
\fBT2\fR
son similares pero s\('olo esperan 15 y 0\&.4 segundos entre sondas, respectivamente\&. El comportamiento por omisi\('on de Nmap es
\fBT3\fR, que incluye sondeos en paralelo\&.
\fBT4\fR
es equivalente a especificar
\fB\-\-max\-rtt\-timeout 1250 \-\-initial\-rtt\-timeout 500 \-\-max\-retries 6\fR
y fija el valor m\('aximo para las demoras de sondeos TCP a 10 milisegundos\&.
\fBT5\fR
hace lo mismo que
\fB\-\-max\-rtt\-timeout 300 \-\-min\-rtt\-timeout 50 \-\-initial\-rtt\-timeout 250 \-\-max\-retries 2 \-\-host\-timeout 15m\fR
as\('i como definir el valor m\('aximo para las demoras de sondeos TCP a 5ms\&.
.RE
.SH "EVASI\('ON DE CORTAFUEGOS/IDS Y FALSIFICACI\('ON"
.PP
Muchos pioneros de Internet hab\('ian previsto una red global abierta con un espacio de direcciones IP universal que permitiese conexiones virtuales entre dos nodos cualquiera\&. Esto permitir\('ia a los equipos actuar como verdaderos iguales, sirviendo y recuperando informaci\('on el uno del otro\&. La gente podr\('ia acceder a todos los sistemas de su casa desde el trabajo, cambiando las propiedades del control del clima o desbloqueando puertas\&. Esta visi\('on de una conectividad universal fue sofocada por la escasez del espacio de direcciones y los problemas de seguridad\&. Al comienzo de la d\('ecada de los a\(~nos 90, las organizaciones empezaron a replegar cortafuegos con el prop\('osito de reducir la conectividad\&. Se acordonaron redes enormes para protegerlas de la Internet no filtrada con pasarelas (\(Foproxies\(Fc, N\&. del T\&.) de aplicaci\('on, sistemas de traducci\('on de direcciones de red y filtros de paquetes\&. Del flujo sin restricciones de la informaci\('on se pas\('o a una regulaci\('on estricta de los canales de comunicaci\('on aprobados y del contenido que pasa por ellos\&.
.PP
Los filtros de red como los cortafuegos pueden hacer muy dif\('icil el an\('alisis de una red\&. Esto no va a ser m\('as f\('acil en el futuro, ya que uno de los objetivos de estos dispositivos es generalmente limitar el reconocimiento casual de la red\&. En cualquier caso, Nmap ofrece varias funcionalidades para ayudar a entender estas redes complejas, y que tambi\('en sirven para verificar que los filtros funcionan como se espera de ellos\&. Incluso tiene mecanismos para saltarse las defensas que no hayan sido implementadas del todo correctamente\&. Uno de los mejores m\('etodos de entender la posici\('on de la seguridad de su red es intentar comprometerla\&. Empiece a pensar como un atacante, e intenta utilizar las t\('ecnicas de esta secci\('on contra sus propias redes\&. Lance un sondeo de rebote FTP, un sondeo pasivo, un ataque de fragmentaci\('on, o intente realizar un t\('unel desde una de sus propias pasarelas\&.
.PP
Las compa\(~n\('ias, adem\('as de restringir la actividad de red, est\('an monitorizando cada vez m\('as el tr\('afico con sistemas de detecci\('on de intrusos (IDS, \(FoIntrusion Detection Systems\(Fc, N\&. del T\&.)\&. Todos los IDS principales vienen preinstalados con reglas dise\(~nadas para detectar sondeos de Nmap porque, a veces, se realizan sondeos previos a un ataque\&. Muchos de estos productos han mutado recientemente para convertirse en sistemas de
\fIprevenci\('on\fR
de intrusiones (IPS) que bloquean activamente el tr\('afico reconocido como maligno\&. Desafortunadamente para los administradores de redes y para los fabricantes de IDS es muy dif\('icil detectar las malas intenciones analizando los datos de los paquetes\&. Los atacantes con paciencia, habilidad y con la ayuda de ciertas opciones de Nmap pueden, generalmente, esquivar el an\('alisis de los IDS sin ser detectados\&. Mientras tanto, los administradores deben lidiar con un alto n\('umero de falsos positivos debido a que algunas actividades inocentes se diagnostican err\('oneamente y generan alarmas o se bloquean\&.
.PP
Algunas personas sugieren que Nmap no deber\('ia ofrecer funcionalidades de evasi\('on de cortafuegos o para esquivar los IDS, argumentando que es igual de probable que las funcionalidades las utilicen los atacantes como que las utilicen los administradores para mejorar la seguridad\&. El problema con esta forma de pensar es que los atacantes van a utilizar estos m\('etodos de todas formas: encontrar\('ian otra herramienta para hacerlo o parchear\('ian a Nmap para a\(~nad\('irsela\&. Al mismo tiempo, los administradores tendr\('ian muchos m\('as problemas para hacer su trabajo\&. Es mucho mejor defensa utilizar servidores FTP modernos y parcheados que intentar prevenir la distribuci\('on de herramientas que permitan la implementaci\('on de ataques de rebote FTP\&.
.PP
No hay ninguna herramienta m\('agica (u opci\('on de Nmap) que permita detectar y evitar cortafuegos y sistemas IDS\&. Esto requiere habilidad y experiencia\&. Un tutorial va m\('as all\('a del alcance de esta gu\('ia de referencia, que s\('olo lista las opciones relevantes y describe lo que hacen\&.
.PP
\fB\-f\fR (fragmentar los paquetes); \fB\-\-mtu\fR (utilizar el MTU especificado)
.RS 4
La opci\('on
\fB\-f\fR
hace que el sondeo solicitado (incluyendo los sondeos ping) utilicen paquetes IP fragmentados peque\(~nos\&. La idea es dividir la cabecera del paquete TCP entre varios paquetes para hacer m\('as dif\('icil que los filtros de paquetes, sistemas de detecci\('on de intrusos y otras molestias detecten lo que se est\('a haciendo\&. \(r!Tenga cuidado con esta opci\('on! Algunos programas tienen problemas para manejar estos paquetes tan peque\(~nos\&. El viejo sniffer llamado Sniffit da un fallo de segmentaci\('on inmediatamente despu\('es de recibir el primero de estos peque\(~nos fragmentos\&. Especifica esta opci\('on una sola vez y Nmap dividir\('a los paquetes en ocho bytes o menos despu\('es de la cabecera de IP\&. De esta forma, una cabecera TCP de veinte bytes se dividir\('ia en 3 paquetes\&. Dos con ocho bytes de cabecera TCP y uno con los \('ultimos ocho\&. Obviamente, cada fragmento tiene su propia cabecera IP\&. Especifica la opci\('on
\fB\-f\fR
otra vez para utilizar fragmentos de diecis\('eis bytes (reduciendo la cantidad de fragmentos)\&. O puedes especificar tu propio tama\(~no con la opci\('on
\fB\-\-mtu\fR\&. No utilice la opci\('on
\fB\-f\fR
si utiliza
\fB\-\-mtu\fR\&. El tama\(~no debe ser m\('ultiplo de ocho\&. Aunque la utilizaci\('on de paquetes fragmentados no le ayudar\('a a saltar los filtros de paquetes y cortafuegos que encolen todos los fragmentos IP (como cuando se utiliza la opci\('on CONFIG_IP_ALWAYS_DEFRAG del n\('ucleo de Linux), algunas redes no pueden tolerar la p\('erdida de rendimiento que esto produce y deshabilitan esa opci\('on\&. Otros no pueden habilitar esta opci\('on porque los fragmentos pueden tomar distintas rutas para entrar en su red\&. Algunos sistemas defragmentan los paquetes salientes en el n\('ucleo\&. Un ejemplo de \('esto es Linux con el m\('odulo de seguimiento de conexiones de iptables\&. Realice un sondeo con un programa de captura de tr\('afico, como Ethereal, para asegurar que los paquetes que se env\('ian est\('an fragment\('andose\&. Intente utilizar la opci\('on
\fB\-\-send\-eth\fR, si su sistema operativo le est\('a causando problemas, para saltarse la capa IP y enviar tramas directamente a la capa Ethernet en crudo\&.
.RE
.PP
\fB\-D <se\(~nuelo1 [,se\(~nuelo2][,ME],\&.\&.\&.>\fR (Esconde un sondeo con se\(~nuelos)
.RS 4
Realiza un sondeo con se\(~nuelos\&. Esto hace creer que el/los equipo/s que utilice como se\(~nuelos est\('an tambi\('en haciendo un sondeo de la red\&. De esta manera sus IDS pueden llegar a informar de que se est\('an realizando de 5 a 10 sondeos de puertos desde distintas direcciones IP, pero no sabr\('an qu\('e direcci\('on IP est\('a realizando el an\('alisis y cu\('ales son se\(~nuelos inocentes\&. Aunque esta t\('ecnica puede vencerse mediante el seguimiento del camino de los encaminadores, descarte de respuesta (\(Foresponse\-dropping\(Fc, N\&. del T\&.), y otros mecanismos activos, generalmente es una t\('ecnica efectiva para esconder su direcci\('on IP\&.
.sp
Se debe separar cada equipo de distracci\('on mediante comas, y puede utilizar
ME
(\(FoYO\(Fc, N\&. del T\&.) como uno de los se\(~nuelos para representar la posici\('on de su verdadera direcci\('on IP\&. Si pone
ME
en la sexta posici\('on o superior es probable que algunos detectores de sondeos de puertos habituales (como el excelente scanlogd de Solar Designer) ni siquiera muestren su direcci\('on IP\&. Si no utiliza
ME, Nmap le pondr\('a en una posici\('on aleatoria\&.
.sp
Tenga en cuenta que los equipos que utilice como distracci\('on deber\('ian estar conectados o puede que accidentalmente causes un ataque de inundaci\('on SYN a sus objetivos\&. Adem\('as, ser\('ia bastante sencillo determinar qu\('e equipo est\('a realmente haciendo el sondeo si s\('olo uno est\('a disponible en la red\&. Puede que quiera utilizar direcciones IP en lugar de nombres (de manera que no aparezca en los registros del servidor de nombres de los sistemas utilizados como se\(~nuelo)\&.
.sp
Se utilizan los se\(~nuelos tanto para el sondeo de ping inicial (si se utiliza ICMP, SYN, ACK, o cualquier otro) como durante la fase de sondeo\&. Tambi\('en se utilizan los se\(~nuelos durante la detecci\('on de sistema operativo (\fB\-O\fR)\&. Los se\(~nuelos no funcionar\('an con la detecci\('on de versi\('on o el sondeo TCP connect()\&.
.sp
Vale la pena tener en cuenta que utilizar demasiados se\(~nuelos puede ralentizar el sondeo y potencialmente hacerlo menos exacto\&. Adem\('as, algunos proveedores de acceso a Internet filtrar\('an los paquetes falsificados, aunque hay muchos que no lo hacen\&.
.RE
.PP
\fB\-S <Direcci\('on_IP>\fR (Falsifica la direcci\('on de origen)
.RS 4
Nmap puede que no sea capaz de determinar tu direcci\('on IP en algunas ocasiones (Nmap se lo dir\('a si pasa)\&. En esta situaci\('on, puede utilizar la opci\('on
\fB\-S\fR
con la direcci\('on IP de la interfaz a trav\('es de la cual quieres enviar los paquetes\&.
.sp
Otro uso alternativo de esta opci\('on es la de falsificar la direcci\('on para que los objetivos del an\('alisis piensen que
\fIalg\('un otro\fR
los est\('a sondeando\&. \(r!Imagine una compa\(~n\('ia a los que les sondea repetidamente la competencia! Generalmente es necesaria la opci\('on
\fB\-e\fR
si lo quiere utilizar as\('i, y tambi\('en ser\('ia recomendable la opci\('on
\fB\-P0\fR\&.
.RE
.PP
\fB\-e <interfaz>\fR (Utilizar la interfaz especificada)
.RS 4
Indica a Nmap a trav\('es de qu\('e interfaz debe enviar y recibir los paquetes\&. Nmap deber\('ia detectar esto autom\('aticamente, pero se lo dir\('a si no\&.
.RE
.PP
\fB\-\-source\-port <n\('umero_de_puerto>;\fR \fB\-g <n\('umero_de_puerto>\fR (Falsificar el puerto de origen)
.RS 4
Un error de configuraci\('on sorprendentemente com\('un es confiar en el tr\('afico bas\('andose \('unicamente en el n\('umero de puerto origen\&. Es f\('acil entender por qu\('e pasa esto\&. Un administrador que est\('a configurando su nuevo y flamante cortafuegos, recibe de repente quejas de todos sus usuarios desagradecidos que le dicen que sus aplicaciones han dejado de funcionar\&. En particular, puede romperse el DNS porque las respuestas UDP de DNS de servidores externos ya no pueden entrar en la red\&. Otro ejemplo habitual es el caso del FTP\&. En una transferencia activa de FTP, el servidor remoto intenta establecer una conexi\('on de vuelta con el cliente para transferir el archivo solicitado\&.
.sp
Existen soluciones seguras para estos problemas, como las pasarelas en el nivel de aplicaci\('on o los m\('odulos de cortafuegos que realizan un an\('alisis del protocolo\&. Desgraciadamente, tambi\('en hay soluciones m\('as f\('aciles y menos seguras\&. Al darse cuenta que las respuestas de DNS vienen del puerto 53 y que las conexiones activas de FTP vienen del puerto 20, muchos administradores caen en la trampa de configurar su sistema de filtrado para permitir el tr\('afico entrante desde estos puertos\&. Generalmente asumen que ning\('un atacante se dar\('a cuenta de estos agujeros en el cortafuegos ni los aprovechar\('a\&. En otros casos, los administradores consideran esto una soluci\('on a corto plazo hasta que puedan implementar una soluci\('on m\('as segura\&. Y despu\('es se olvidan de hacer la mejora de la seguridad\&.
.sp
Los administradores de red con mucho trabajo no son los \('unicos que caen en esta trampa\&. Muchos productos se lanzan al mercado con estas reglas inseguras\&. Hasta Microsoft lo ha hecho\&. Los filtros de IPsec que se preinstalan con Windows 2000 y Windows XP contienen una regla impl\('icita que permite todo el tr\('afico TCP o UDP desde el puerto 88 (Kerberos)\&. Otro caso conocido es el de las versiones de Zone Alarm Firewall Personal que, hasta la versi\('on 2\&.1\&.25, permit\('ian cualquier paquete entrante UDP desde el puerto 53 (DNS) o 67 (DHCP)\&.
.sp
Nmap ofrece las opciones
\fB\-g\fR
y
\fB\-\-source\-port\fR
(son equivalentes) para aprovecharse de estas debilidades\&. Simplemente indique el n\('umero de puerto y Nmap enviar\('a los paquetes desde ese puerto cuando sea posible\&. Nmap debe utilizar distintos n\('umeros de puerto para ciertos tipos de prueba en la detecci\('on de sistema operativo para que funcionen correctamente, y las solicitudes de DNS ignoran la opci\('on
\fB\-\-source\-port\fR
porque Nmap depende de las librer\('ias del sistema para hacerlas\&. Esta opci\('on se soporta completamente en muchos sondeos TCP, incluyendo el sondeo SYN, al igual que los sondeos UDP\&.
.RE
.PP
\fB\-\-data\-length <n\('umero>\fR (A\(~nadir datos aleatorios a los paquetes enviados)
.RS 4
Normalmente Nmap env\('ia paquetes m\('inimos que contienen s\('olo la cabecera\&. As\('i, los paquetes TCP que env\('ia son generalmente de 40 bytes y las solicitudes echo de ICMP son de tan s\('olo 28\&. Esta opci\('on le dice a Nmap que a\(~nada el n\('umero indicado de bytes aleatorios a la mayor\('ia de los paquetes que env\('ia\&. Esta opci\('on no afecta a los paquetes enviados para la detecci\('on de sistema operativo (\fB\-O\fR), pero s\('i a la mayor\('ia de los paquetes de ping y de sondeo de puertos\&. Esta opci\('on hace que el sondeo sea un poco m\('as lento, pero tambi\('en que el sondeo sea un poco m\('as dif\('icil de detectar\&.
.RE
.PP
\fB\-\-ttl <valor>\fR (Indica el valor del campo tiempo\-de\-vida de la cabecera IP)
.RS 4
Establece el campo tiempo\-de\-vida (\(Fotime\-to\-live\(Fc, N\&. del T\&.) en la cabecera de los paquetes IPv4 al valor especificado\&.
.RE
.PP
\fB\-\-randomize\-hosts\fR (Mezclar aleatoriamente la lista de equipos a sondear)
.RS 4
Indica a Nmap que debe mezclar aleatoriamente cada grupo de hasta 8096 equipos antes de hacer un sondeo\&. Esto puede hacer que el sondeo sea menos obvio para algunos sistemas de monitorizaci\('on de la red, especialmente cuando se combina con las opciones que ralentizan el sondeo\&. Si quiere mezclar aleatoriamente listas m\('as grandes, incremente el valor de la constante PING_GROUP_SZ en
nmap\&.h
y recompile el programa\&. Una soluci\('on alternativa es generar la lista de sistemas a sondear con un sondeo de lista (\fB\-sL \-n \-oN \fR\fB\fIfichero\fR\fR), ordenarlo aleatoriamente con un script de Perl, y luego darle a Nmap la lista entera con la opci\('on
\fB\-iL\fR\&.
.RE
.PP
\fB\-\-spoof\-mac <direcci\('on MAC, prefijo o nombre del fabricante>\fR (Falsifica la direcci\('on MAC)
.RS 4
Solicita a Nmap que utilice la MAC dada para todas las tramas de Ethernet enviadas\&. Esta opci\('on activa impl\('icitamente la opci\('on
\fB\-\-send\-eth\fR
para asegurar que Nmap env\('ia los paquetes del nivel Ethernet\&. La MAC dada puede tener varios formatos\&. Nmap elegir\('a una MAC completamente aleatoria para la sesi\('on si se utiliza el valor
\(lq0\(rq\&. Nmap utilizar\('a la MAC indicada si el par\('ametro es un n\('umero par de d\('igitos hexadecimales (separando opcionalmente cada dos d\('igitos con dos puntos)\&. Nmap rellenar\('a los 6 bytes restantes con valores aleatorios si se dan menos de 12 d\('igitos hexadecimales\&. Si el argumento no es ni 0 ni un conjunto de d\('igitos hexadecimales, Nmap mirar\('a en
nmap\-mac\-prefixes
para encontrar un fabricante cuyo nombre coincida con el par\('ametro utilizado (en esta b\('usqueda no diferenciar\('a entre may\('usculas y min\('usculas)\&. Si se encuentra alg\('un fabricante, Nmap utilizar\('a el OUI del fabricante (prefijo de 3 bytes) y rellenar\('a los otros 3 bytes aleatoriamente\&. Ejemplos de argumentos
\fB\-\-spoof\-mac\fR
son:
Apple,
0,
01:02:03:04:05:06,
deadbeefcafe,
0020F2, y
Cisco\&.
.RE
.PP
\fB\-\-badsum\fR (Env\('ia paquetes con sumas de comprobaci\('on TCP/UDP err\('oneas)
.RS 4
Esta opci\('on le indica a Nmap que debe generar sumas de comprobaci\('on inv\('alidas para los paquetes que se env\('ien a los equipos objetivos\&. Cualquier respuesta que se reciba vendr\('a de un cortafuegos o un IDS que no comprob\('o la suma, dado que la mayor\('ia de las pilas IP descartan estos paquetes\&. Para obtener m\('as informaci\('on de esta t\('ecnica puede consultar
\m[blue]\fB\%https://nmap.org/p60-12.txt\fR\m[]
.RE
.SH "SALIDA"
.PP
La utilidad de una herramienta de seguridad est\('a limitada por la salida que genera\&. De poco sirven pruebas y algoritmos complejos si luego no se presentan de una forma organizada y comprensible\&. Dada la cantidad de formas en las que puede utilizarse Nmap, tanto por personas como por otros programas, no es posible complacer a todos con un \('unico formato\&. Por ello Nmap ofrece varios formatos, incluyendo el modo interactivo para que los humanos lo lean directamente y un formato XML para que sea interpretado por otros programas\&.
.PP
Adem\('as de ofrecer distintos formatos de salida, Nmap ofrece opciones adicionales para controlar cuanta informaci\('on de m\('as se muestra en la salida, as\('i como opciones para controlar los mensajes de depuraci\('on que se muestran\&. Los tipos de salida pueden enviarse a la salida est\('andar o a alg\('un archivo especificando su nombre\&. Nmap puede a\(~nadir informaci\('on al archivo o sobreescribirlo\&. Los formatos de salida pueden utilizarse tambi\('en para retomar un sondeo que se haya interrumpido\&.
.PP
Nmap puede generar la salida en cinco formatos distintos\&. El formato por omisi\('on es el llamado
salida interactiva, y se env\('ia a la salida est\('andar (\(Fostdout\(Fc)\&. Tambi\('en est\('a la
salida normal, que es similar a la salida
interactiva
salvo que muestra menos informaci\('on de ejecuci\('on y menos advertencias, ya que se espera que se analice una vez que el sondeo haya terminado en lugar de ser analizada interactivamente\&.
.PP
La salida XML es uno de los formatos de salida m\('as importantes, ya que puede convertirse a HTML, los programas (como la interfaz de usuario de Nmap) pueden interpretarla f\('acilmente o puede importarse a una base de datos\&.
.PP
Los dos tipos de salida restantes son la sencilla
salida para grep
(o \(Fogrepeable\(Fc) que incluye la mayor\('ia de la informaci\('on de un sistema analizado en una sola l\('inea, y la
s4L1d4 sCRiPt KiDDi3
para usuarios que se consideran a s\('i mismos |<\-r4d\&.
.PP
Aunque se utiliza la salida interactiva por omisi\('on y no tiene ninguna opci\('on de la l\('inea de \('ordenes, los dem\('as formatos utilizan la misma sintaxis\&. Toman un solo argumento, que es el archivo donde se guardar\('an los resultados\&. Pueden especificarse m\('ultiples formatos al mismo tiempo, pero s\('olo puede especificar el mismo formato una vez\&. Por ejemplo, puede querer guardar la salida normal para su propia visualizaci\('on mientras se guarda la informaci\('on del mismo sondeo en formato XML para realizar un an\('alisis posterior con un programa\&. Para hacer \('esto debe utilizar las opciones
\fB\-oX misondeo\&.xml \-oN misondeo\&.nmap\fR\&. Se recomienda utilizar nombres m\('as descriptivos, si bien este cap\('itulo utiliza nombres sencillos como
misondeo\&.xml
por razones de brevedad\&. Los nombres elegidos son una cuesti\('on de preferencia personal\&. Yo utilizo nombres largos que incluyen la fecha del an\('alisis y una palabra o dos describiendo el sondeo, dentro de un directorio con el nombre de la empresa que estoy analizando\&.
.PP
Nmap seguir\('a imprimiendo la salida interactiva en \(Fostdout\(Fc como lo hace habitualmente aunque se guarden en archivos la salida con estas opciones\&. Por ejemplo, la orden
\fBnmap \-oX misondeo\&.xml destino\fR
imprime XML en
misondeo\&.xml
y llena la salida est\('andar con los mismos resultados interactivos que habr\('ia impreso si no se hubiese especificado la opci\('on
\fB\-oX\fR\&. Puedes cambiar este comportamiento dando un gui\('on como argumento a una de las opciones de salida\&. Esto hace que Nmap desactive la salida interactiva y que imprima en su lugar los resultados en el formato especificado en la salida est\('andar\&. Con lo que la orden
\fBnmap \-oX \- destino\fR
enviar\('a \('unicamente la salida XML a la salida est\('andar (\(Fostdout\(Fc)\&. Los errores graves seguir\('an present\('andose, posiblemente, en la salida normal de error, \(Fostderr\(Fc\&.
.PP
A diferencia de algunos argumentos de Nmap, es obligatorio separar con un espacio la opci\('on de salida (como
\fB\-oX\fR) y el nombre del archivo o el gui\('on\&. Si los omite y pone el argumento como
\fB\-oG\-\fR
o
\fB\-oXsondeo\&.xml\fR, una funcionalidad de compatibilidad con versiones anteriores har\('a que se cree una
\fIsalida normal\fR
en los ficheros llamados
G\-
y
Xscan\&.xml
respectivamente\&.
.PP
Nmap tambi\('en ofrece opciones para controlar la informaci\('on extra que se ofrece sobre el sondeo y a\(~nadirlo a los archivos de salida en lugar de sobreescribirlos\&. Todas estas opciones se describen a continuaci\('on\&.
.PP
\fBFormatos de salida de Nmap\fR
.PP
\fB\-oN <filespec>\fR (Salida normal)
.RS 4
Solicita que la
salida normal
sea redirigida al archivo especificado\&. Como se ha dicho anteriormente, esto difiere un poco de la
salida interactiva\&.
.RE
.PP
\fB\-oX <filespec>\fR (salida XML)
.RS 4
Solicita que la
salida en XML
se redirigida al archivo especificado\&. Nmap incluye un DTD que pueden utilizar los int\('erpretes de XML para validar la salida XML\&. Aunque est\('a dirigida a que la utilicen programas, tambi\('en puede ayudar a que una persona interprete la salida de Nmap\&. El DTD define los elementos legales del formato, y generalmente enumera los atributos y valores que pueden tener\&. La \('ultima versi\('on est\('a siempre disponible en
\m[blue]\fB\%http://www.insecure.org/nmap/data/nmap.dtd\fR\m[]\&.
.sp
XML ofrece un formato estable que es f\('acilmente interpretado por cualquier programa\&. Hay int\('erpretes libres de XML para los lenguajes de ordenador m\('as importantes, incluyendo C/C++, Perl, Python, y Java\&. La gente ha escrito librer\('ias para la mayor\('ia de estos lenguajes que manejan espec\('ificamente la salida de Nmap\&. Por ejemplo
\m[blue]\fBNmap::Scanner\fR\m[]\&\s-2\u[9]\d\s+2
y
\m[blue]\fBNmap::Parser\fR\m[]\&\s-2\u[10]\d\s+2
en el CPAN de Perl\&. XML es el formato preferente en la mayor\('ia de los casos en que una aplicaci\('on no trivial quiere utilizar Nmap\&.
.sp
La salida de XML hace referencia a la hoja de estilo XSL que puede utilizarse para formatear los resultados en HTML\&. La forma m\('as f\('acil de utilizarla es simplemente cargar la salida XML en un navegador web como Firefox o IE\&. Por omisi\('on, \('esto solo funcionar\('a en el equipo en el que ejecut\('o Nmap (o uno configurado igual que dicho equipo) ya que la ruta de
nmap\&.xsl
se incluye directamente dentro del archivo\&. Puede utilizar la opci\('on
\fB\-\-webxml\fR
o
\fB\-\-stylesheet\fR
para crear un XML portable que pueda mostrarse como HTML en cualquier ordenador conectado a la web\&.
.RE
.PP
\fB\-oS <filespec>\fR (SaLiDa ScRipT KIdd|3)
.RS 4
La salida \(Foscript kiddie\(Fc es como la salida interactiva, excepto que se post\-procesa para que la vean mejor los \(Fol33t HaXXorZ\(Fc a los que antes no les gustaba Nmap por su uso consistente de may\('usculas y min\('usculas\&. Aquellos que no tengan sentido del humor deber\('ian tomar nota de que esta opci\('on es una broma sobre los \(Foscript kiddies\(Fc antes de criticarme por
\(lqayudarlos\(rq\&.
.RE
.PP
\fB\-oG <filespec>\fR (Salida \(Fogrepeable\(Fc)
.RS 4
Este formato de salida se trata el \('ultimo porque est\('a obsoleto\&. La salida en formato XML es mucho m\('as poderosa, y es igual de conveniente para los usuarios experimentados\&. XML es un est\('andar para el que se dispone de docenas de int\('erpretes, mientras que la salida para grep es un \(Fohack\(Fc propio\&. XML puede extenderse para soportar nuevas funcionalidades de Nmap tan pronto como se liberen, mientras que en general tengo que omitir estas funcionalidades de la salida para grep por no tener un lugar donde ponerlas\&.
.sp
Sin embargo, la salida para grep es todav\('ia bastante popular\&. Es simplemente un formato que lista cada sistema en una l\('inea y que puede ser f\('acilmente tratado con herramientas est\('andar de UNIX como grep, awk, cut, sed, diff y Perl\&. Incluso yo la utilizo para pruebas r\('apidas que hago desde la l\('inea de \('ordenes\&. S\('olo hace falta un grep para identificar todos los sistemas con el puerto de ssh abierto o que ejecuten Solaris, enviando la salida a trav\('es de un conector a awk o cut para mostrar los campos deseados\&.
.sp
La salida para grep consiste en comentarios (l\('ineas que empiezan por una almohadilla, \(Fo#\(Fc) y l\('ineas de objetivo\&. Una l\('inea de objetivo incluye una combinaci\('on de seis campos marcados, separados por tabulaciones y seguidos de dos puntos\&. Los campos (en ingl\('es) son
Host
(Sistema),
Ports
(Puertos),
Protocols
(Protocolos),
Ignored State
(Estado omitido),
OS
(Sistema operativo),
Seq Index
(\('indice de secuencia),
IPID, y
Status
(Estado)\&.
.sp
El campo m\('as importante de todos habitualmente es
Ports, que es el que da los detalles de cada puerto interesante encontrado\&. Consiste en una lista separada por comas de entradas de puerto\&. Cada entrada de puerto representa uno de los puertos de inter\('es y se muestra con siete subcampos separados por una barra (\(Fo/\(Fc)\&. Los subcampos son:
Port number
(N\('umero de puerto),
State
(Estado),
Protocol
(Protocolo),
Owner
(Propietario),
Service
(Servicio),
SunRPC info
(Informaci\('on SunRPC), y
Version info
(Informaci\('on de versi\('on)\&.
.sp
Esta p\('agina de manual, al igual que en el caso de la salida XML, no puede incluir la documentaci\('on completa de este formato\&. Puede encontrar m\('as informaci\('on detallada de la salida de Nmap para grep en
\m[blue]\fB\%http://www.unspecific.com/nmap-oG-output\fR\m[]\&.
.RE
.PP
\fB\-oA <nombre_base>\fR (Salida en todos los formatos)
.RS 4
Por comodidad, puede especificar la opci\('on
\fB\-oA \fR\fB\fInombre_base\fR\fR
para guardar los resultados de los sondeos en
\fInombre_base\fR\&.nmap,
\fInombre_base\fR\&.xml, y
\fInombre_base\fR\&.gnmap, respectivamente\&. Al igual que la mayor\('ia de los programas puede poner un prefijo con la ruta del directorio como pudiera ser
~/registros_nmap/empresa_foo/
en UNIX o
c:\ehacking\esco
en Windows\&.
.RE
.PP
\fBOpciones de depuraci\('on y de detalle\fR
.PP
\fB\-v\fR (Incrementa el nivel de detalle)
.RS 4
Hace que Nmap imprima m\('as informaci\('on sobre el sondeo que est\('a realizando incrementando el nivel de detalle\&. Los puertos abiertos se muestran en cuanto se encuentran y se muestra una estimaci\('on del tiempo que Nmap espera que dure la tarea de sondeo si piensa que va a durar m\('as de un par de minutos\&. Puede utilizarlo dos veces para obtener a\('un m\('as detalle\&. No tiene ning\('un efecto el utilizarlo m\('as de dos veces\&.
.sp
La mayor\('ia de los cambios s\('olo afectan a la salida interactiva, y algunos tambi\('en afectan a la salida \(Foscript kiddie\(Fc\&. Dado que los dem\('as formatos van a ser tratados por programas, Nmap da informaci\('on detallada en estos formatos por omisi\('on sin fatigar a un usuario humano\&. Sin embargo, hay algunos cambios en los otros modos que hacen que el tama\(~no de la salida resultante se reduzca sustancialmente al omitir informaci\('on detallada\&. Por ejemplo, s\('olo se imprime una l\('inea de comentario con todos los puertos sondeados en el formato de salida para grep si se activa el modo de detalle, porque puede ser demasiada informaci\('on\&.
.RE
.PP
\fB\-d [level]\fR (Incrementar o fijar el nivel de depuraci\('on)
.RS 4
Cuando no obtiene suficientes datos ni siquiera con el modo de detalle, \(r!puede utilizar el modo de depuraci\('on para inundarse de detalles! Al igual que con la opci\('on de detalle (\fB\-v\fR), puede activar la depuraci\('on con una opci\('on en la l\('inea de \('ordenes (\fB\-d\fR)\&. Puede incrementar el nivel de depuraci\('on si la especifica m\('ultiples veces\&. Tambi\('en puede fijar directamente el nivel de depuraci\('on si da un argumento a la opci\('on
\fB\-d\fR\&. Por ejemplo, si utiliza
\fB\-d9\fR
se fijar\('ia el nivel de depuraci\('on en el nueve\&. Ese es el nivel m\('as alto de depuraci\('on y provocar\('a que se impriman miles de l\('ineas a no ser que haga sondeos muy sencillos con pocos puertos y objetivos\&.
.sp
La salida de depuraci\('on es \('util cuando sospecha que hay un fallo en Nmap o simplemente si est\('a confundido y quiere saber qu\('e hace Nmap y por qu\('e\&. Las l\('ineas de depuraci\('on no son auto\-explicativas, dado que esta funci\('on est\('a dirigida a los desarrolladores\&. Puede obtener algo como esto:
Timeout vals: srtt: \-1 rttvar: \-1 to: 1000000 delta 14987 ==> srtt: 14987 rttvar: 14987 to: 100000\&. Su \('unico recurso si no entiende una l\('inea es ignorarla, buscarla en el c\('odigo fuente, o solicitar ayuda en la lista de desarrolladores (nmap\-dev)\&. Algunas l\('ineas s\('i son auto\-explicativas, pero los mensajes se vuelven m\('as y m\('as extra\(~nos a medida que se incrementa el nivel de depuraci\('on\&.
.RE
.PP
\fB\-\-packet\-trace\fR (Trazar paquetes y datos enviados y recibidos)
.RS 4
Esta opci\('on hace que Nmap imprima un resumen de cada paquete que env\('ia o recibe\&. Esto se utiliza muchas veces para poder depurar el programa, pero tambi\('en es \('util para los usuarios nuevos que quieren entender exactamente que es lo que hace Nmap bajo el cap\('o\&. Puede especificar un n\('umero reducido de puertos para evitar que se impriman miles de l\('ineas, como por ejemplo
\fB\-p20\-30\fR\&. Si s\('olo est\('a interesado en el funcionamiento del subsistema de detecci\('on de versiones debe utilizar la opci\('on
\fB\-\-version\-trace\fR\&.
.RE
.PP
\fB\-\-iflist\fR (Listar interfaces y rutas)
.RS 4
Imprime la lista de interfaces y las rutas del sistema tal y como las detecta Nmap\&. Esta opci\('on es \('util para depurar problemas de enrutamiento o caracterizaciones equivocadas del tipo de interfaz (como por ejemplo, cuando Nmap trata una conexi\('on PPP como una interfaz Ethernet)\&.
.RE
.PP
\fBOpciones miscel\('aneas de salida\fR
.PP
\fB\-\-append\-output\fR (A\(~nadir en lugar de borrar los archivos de salida)
.RS 4
El fichero especificado como salida de un formato como pueda ser
\fB\-oX\fR
or
\fB\-oN\fR
se sobreescribe por omisi\('on\&. Si prefiere mantener el contenido existente y a\(~nadir los nuevos resultados tendr\('a que especificar la opci\('on
\fB\-\-append\-output\fR\&. La informaci\('on obtenida se a\(~nadir\('a a los ficheros especificados en esa ejecuci\('on de Nmap en lugar de sobreescribirlos\&. Esto no funciona bien para los ficheros de salida XML (\fB\-oX\fR) ya que el fichero resultante no se podr\('a leer correctamente, por regla general, hasta que lo arregle manualmente\&.
.RE
.PP
\fB\-\-resume <nombre_archivo>\fR (Continuar un sondeo detenido)
.RS 4
Algunas ejecuciones de Nmap tardan mucho tiempo, del orden de d\('ias\&. Esos sondeos no siempre se ejecutan hasta el final\&. Es posible que haya restricciones que impidan los sondeos de Nmap durante la jornada laboral, se puede caer la red o el sistema donde se est\('a ejecutando Nmap puede sufrir un reinicio esperado o uno no planificado, o incluso es posible que Nmap aborte\&. El administrador que est\('a ejecutando Nmap podr\('ia cancelarlo tambi\('en por cualquier otra raz\('on, simplemente pulsando
ctrl\-C\&. En estos casos puede no desearse empezar el sondeo completo desde el principio\&. Afortunadamente, si se ha guardado una salida normal (\fB\-oN\fR) o para tratarla con grep (\fB\-oG\fR), el usuarios puede pedir a Nmap que contin\('ue el sondeo con el objetivo en el que estaba trabajando cuando se detuvo la ejecuci\('on\&. Simplemente se tiene que especificar la opci\('on
\fB\-\-resume\fR
y dar un archivo de salida normal o \(Fogrepeable\(Fc como argumento\&. No se puede dar ning\('un otro argumento, ya que Nmap trata el archivo para utilizar las mismas opciones que se especificaron entonces\&. S\('olo se debe llamar a Nmap con
\fBnmap \-\-resume \fR\fB\fIarchivo_de_registro\fR\fR\&. Nmap a\(~nadir\('a cualquier resultado nuevo a los ficheros de datos especificados en la ejecuci\('on previa\&. No se soporta la capacidad de reanudar un sondeo con el formato de salida XML porque combinar dos salidas en un s\('olo fichero XML v\('alido ser\('ia dif\('icil\&.
.RE
.PP
\fB\-\-stylesheet <ruta o URL>\fR (Fija la hoja de estilo XSL para transformar la salida XML)
.RS 4
Nmap se distribuye conjuntamente con una hoja de estilo XSL llamada
nmap\&.xsl
para poder ver o traducir la salida XML a HTML\&. La Salida XML incluye una directiva
xml\-stylesheet
que apunta al punto donde est\('a instalado
nmap\&.xml
(o al directorio de trabajo actual en Windows)\&. Para mostrar los resultados basta cargar la salida XML en un navegador de web moderno y \('este recoger\('a y utilizar\('a el archivo
nmap\&.xsl
del sistema de ficheros\&. Si quiere especificar una hoja de estilo diferente, tiene que especificarla como argumento a la opci\('on
\fB\-\-stylesheet\fR\&. Puede dar una ruta completa o un URL\&. Una forma habitual de llamar a esta opci\('on es la siguiente:
\fB\-\-stylesheet http://www\&.insecure\&.org/nmap/data/nmap\&.xsl\fR\&. Esto le dice al navegador que descargue la \('ultima versi\('on de la hoja de estilo de Insecure\&.Org\&. La opci\('on
\fB\-\-webxml\fR
hace lo mismo pero con menos teclas y es m\('as f\('acil de recordar\&. Esto facilita la visualizaci\('on de resultados en un sistema que no tiene Nmap instalado (y que por tanto carece de un archivo
nmap\&.xsl)\&. As\('i, la URL es lo m\('as \('util, pero se utiliza el sistema de ficheros local para el archivo nmap\&.xsl por omisi\('on por razones de privacidad\&.
.RE
.PP
\fB\-\-webxml\fR (Carga la hoja de estilo de Insecure\&.Org)
.RS 4
Esta opci\('on es simplemente un alias para
\fB\-\-stylesheet http://www\&.insecure\&.org/nmap/data/nmap\&.xsl\fR\&.
.RE
.PP
\fB\-\-no_stylesheet\fR (Omite la declaraci\('on de hoja de estilo XSL del XML)
.RS 4
Puede utilizar esta opci\('on para evitar que Nmap asocie una hoja de estilo XSL a su salida XML\&. En este caso, se omite la directiva
xml\-stylesheet
de la salida\&.
.RE
.SH "OPCIONES MISCEL\('ANEAS"
.PP
Esta secci\('on describe algunas opciones importantes (y no tan importantes) que no encajan realmente en ning\('un otro sitio\&.
.PP
\fB\-6\fR (Activa el sondeo IPv6)
.RS 4
Nmap tiene soporte IPv6 para la mayor\('ia de sus funcionalidades m\('as populares desde 2002\&. En particular, tiene soporte de: sondeo ping (TCP\-only), sondeo connect() y detecci\('on de versiones\&. La sintaxis de las \('ordenes es igual que las habituales salvo que debe especificar la opci\('on
\fB\-6\fR
Por supuesto, debe utilizarse la sintaxis IPv6 si se indica una direcci\('on en lugar de un nombre de sistema\&. Una direcci\('on IPv6 ser\('ia parecida a
3ffe:7501:4819:2000:210:f3ff:fe03:14d0, por lo que se recomienda utilizar nombres de equipo\&. La salida es igual que en los otros casos\&. Lo \('unico que distingue que esta opci\('on est\('a habilitada es que se muestran las direcciones IPv6 en la l\('inea que indica los
\(lqpuertos de inter\('es\(rq\&.
.sp
Aunque IPv6 no se est\('a utilizando en todo el mundo, s\('i que se utiliza mucho en algunos pa\('ises (generalmente asi\('aticos) y muchos sistemas operativos modernos lo soportan\&. Tanto el origen como el objetivo de su sondeo deben estar configurados para utilizar IPv6 si desea utilizar Nmap con IPv6\&. Si su ISP (como sucede con la mayor\('ia) no le da direcciones IPv6, puede encontrar gestores de t\('uneles gratuitos en muchos sitios y funciona bien con Nmap\&. Una lista de gestores est\('a
\m[blue]\fBen Wikipedia\fR\m[]\&\s-2\u[11]\d\s+2\&. Los t\('uneles IPv6 a IPv4 (\(Fo6to4\(Fc) son tambi\('en otro m\('etodo muy popular y gratuito\&.
.RE
.PP
\fB\-A\fR (Opciones de sondeos agresivos)
.RS 4
Esta opci\('on activa algunas opciones avanzadas y agresivas\&. A\('un no he decidido qu\('e significa exactamente\&. Actualmente esto activa la detecci\('on de sistema operativo (\fB\-O\fR) y el an\('alisis de versiones (\fB\-sV\fR)\&. Aunque se a\(~nadir\('an m\('as opciones en el futuro\&. La idea es que esta opci\('on active un conjunto de opciones para evitar que los usuarios de Nmap tengan que recordar un n\('umero de opciones muy elevado\&. Esta opci\('on s\('olo activa funcionalidades, no afecta a las opciones de temporizaci\('on (como
\fB\-T4\fR) o de depuraci\('on (\fB\-v\fR) que quiz\('as desee activar tambi\('en\&.
.RE
.PP
\fB\-\-datadir <nombre_directorio>\fR (Indica la ubicaci\('on de un archivo de datos de Nmap)
.RS 4
Nmap obtiene algunos datos especiales al ejecutarse de los archivos llamados
nmap\-service\-probes,
nmap\-services,
nmap\-protocols,
nmap\-rpc,
nmap\-mac\-prefixes, y
nmap\-os\-fingerprints\&. Nmap buscar\('a primero estos ficheros en el directorio que se especifique con la opci\('on
\fB\-\-datadir\fR
(si se indica alguno)\&. Los archivos que no se encuentren all\('i se buscar\('an en el directorio especificado por la variable de entorno NMAPDIR\&. A continuaci\('on se buscar\('a en
~/\&.nmap
tanto para el identificador (UID) real como el efectivo (s\('olo en sistemas POSIX) o la ubicaci\('on del ejecutable de Nmap (s\('olo sistemas Win32), y tambi\('en en una ubicaci\('on compilada en la aplicaci\('on como pudiera ser
/usr/local/share/nmap
o
/usr/share/nmap\&. Nmap, por \('ultimo, buscar\('a en el directorio actual\&.
.RE
.PP
\fB\-\-send\-eth\fR (Enviar tramas Ethernet en crudo)
.RS 4
Le indica a Nmap que debe enviar paquetes en la capa Ethernet en crudo (enlace de datos) en lugar de en la capa IP (red)\&. Por omisi\('on, Nmap elegir\('a cu\('al utilizar en funci\('on de lo que sea mejor para la plataforma donde est\('e ejecut\('andose\&. Los sockets crudos (capa IP) son generalmente m\('as eficientes para sistemas UNIX, mientras que las tramas Ethernet son necesarias en sistemas Windows ya que Microsoft deshabilit\('o el soporte de sockets crudos\&. Nmap seguir\('a utilizando paquetes IP crudos en UNIX, aunque se especifique esta opci\('on, cuando no se pueda hacer de otra forma (como es el caso de conexiones no Ethernet)\&.
.RE
.PP
\fB\-\-send\-ip\fR (Enviar al nivel crudo IP)
.RS 4
Indica a Nmap que debe enviar utilizando sockets IP crudos en lugar de enviar tramas Ethernet de bajo nivel\&. Esta opci\('on es complementaria a la opci\('on
\fB\-\-send\-eth\fR
descrita previamente\&.
.RE
.PP
\fB\-\-privileged\fR (Asumir que el usuario tiene todos los privilegios)
.RS 4
Esta opci\('on le dice a Nmap que simplemente asuma que el usuario con el que se ejecuta tiene suficientes privilegios para trabajar con sockets crudos, capturar paquetes y hacer otras operaciones similares que generalmente s\('olo puede hacerla en sistemas UNIX el usuario root\&. Por omisi\('on, Nmap aborta si se han solicitado esas operaciones pero el resultado de geteuid() no es cero\&. La opci\('on
\fB\-\-privileged\fR
es \('util con las capacidades del n\('ucleo Linux y sistemas similares que pueden configurarse para permitir realizar sondeos con paquetes crudos a los usuarios no privilegiados\&. Aseg\('urese de indicar esta opci\('on antes de cualquier otra opci\('on que pueda requerir de privilegios espec\('ificos (sondeo SYN, detecci\('on de SO, etc\&.)\&. Una forma alternativa a
\fB\-\-privileged\fR
es fijar la variable de entorno NMAP_PRIVILEGED\&.
.RE
.PP
\fB\-V\fR; \fB\-\-version\fR (Mostrar el n\('umero de versi\('on)
.RS 4
Imprime el n\('umero de versi\('on de Nmap y aborta\&.
.RE
.PP
\fB\-h\fR; \fB\-\-help\fR (Mostrar la p\('agina resumen de ayuda)
.RS 4
Imprime una peque\(~na pantalla de ayuda con las opciones de \('ordenes m\('as habituales\&. Pasa lo mismo si ejecuta Nmap sin argumentos\&.
.RE
.SH "EJECUCI\('ON INTERACTIVA"
.PP
Todas las pulsaciones de teclado se capturan durante la ejecuci\('on de Nmap\&. Esto le permite interactuar con el programa sin abortarlo ni reiniciarlo\&. Algunas teclas especiales cambiar\('an las opciones mientras que otras teclas imprimir\('an un mensaje de estado inform\('andole del estado del sondeo\&. La convenci\('on es que las
\fIletras en min\('usculas incrementan\fR
la cantidad de informaci\('on que se imprime, mientras que las
\fIletras en may\('usculas reducen\fR
la informaci\('on impresa\&. Tamb\('en puede pulsar \(oq\fI?\fR\(cq para obtener ayuda\&.
.PP
\fBv\fR / \fBV\fR
.RS 4
Incrementa / Reduce el detalle (m\('as / menos verboso)
.RE
.PP
\fBd\fR / \fBD\fR
.RS 4
Incrementa / Reduce el nivel de depuraci\('on
.RE
.PP
\fBp\fR / \fBP\fR
.RS 4
Activa / Desactiva la traza de paquetes
.RE
.PP
\fB?\fR
.RS 4
Imprime la pantalla de ayuda de la ejecuci\('on interactiva
.RE
.PP
Cualquier otra tecla
.RS 4
Imprime un mensaje de estado similar a \('esta:
.sp
Stats: 0:00:08 elapsed; 111 hosts completed (5 up), 5 undergoing Service Scan
.sp
Service scan Timing: About 28\&.00% done; ETC: 16:18 (0:00:15 remaining)
.RE
.SH "EJEMPLOS"
.PP
A continuaci\('on se muestran algunos ejemplos de utilizaci\('on, desde lo m\('as simple y rutinario hasta algo m\('as complejo y esot\('erico\&. Se utilizan algunas direcciones IP y dominios para concretar un poco las cosas\&. En su lugar deber\('ias poner las direcciones o nombres de
\fItu propia red\&.\fR\&. Mientras que yo no considero que sondear los puertos de otras redes es o deber\('ia ser ilegal, algunos administradores de redes no aprecian un sondeo no solicitado de sus redes y pueden quejarse\&. Lo mejor es pedir permiso primero\&.
.PP
A modo de prueba, tienes permiso de sondear el servidor
scanme\&.nmap\&.org\&. Este permiso s\('olo incluye sondear mediante Nmap y no para probar "exploits" o ataques de denegaci\('on de servicio\&. Por favor, para conservar el ancho de banda no inicie m\('as de una docena de sondeos contra este servidor el mismo d\('ia\&. Si se abusa de este servicio de sondeo se desconectar\('a y Nmap reportar\('a
Failed to resolve given hostname/IP: scanme\&.nmap\&.org
("No se pudo resolver la direcci\('on IP o nombre datos: scanme\&.nmap\&.org")\&. Este permiso tambi\('en se aplica a los servidores
analizame2\&.nmap\&.org,
analizame3\&.nmap\&.org, y as\('i sucesivamente, aunque esos servidores actualmente no existen\&.
.PP
\fBnmap \-v scanme\&.nmap\&.org\fR
.PP
Esta opci\('on sondea todos los puertos TCP reservados en el servidor
scanme\&.nmap\&.org\&. La opci\('on
\fB\-v\fR
activa el modo detallado (tambi\('en llamado verboso)\&.
.PP
\fBnmap \-sS \-O scanme\&.nmap\&.org/24\fR
.PP
Lanza un sondeo de tipo SYN sigiloso contra cada una de las 255 m\('aquinas en la
\(lqclase C\(rq
de la red donde est\('a el sistema "analizame"\&. Tambi\('en intenta determinar cual es el sistema operativo que se ejecuta en cada m\('aquina que est\('e encendida\&. Esto requiere permisos de root por la opci\('on de sondeo SYN y por la de detecci\('on de sistema operativo\&.
.PP
\fBnmap \-sV \-p 22,53,110,143,4564 198\&.116\&.0\-255\&.1\-127\fR
.PP
Lanza una enumeraci\('on de equipos y un sondeo TCP a cada uno de la primera mitad de las 255 posibles subredes de 8 bit en la red de clase B 198\&.116\&. Esto probar\('a si los sistemas est\('an ejecutando sshd, DNS, pop3d, imapd o tienen un servidor en el puerto 4564\&. Para cualquier puerto que se encuentre abierto, se realizar\('a una detecci\('on de versi\('on para determinar qu\('e aplicaci\('on se est\('a ejecutando\&.
.PP
\fBnmap \-v \-iR 100000 \-P0 \-p 80\fR
.PP
Solicita a Nmap que elija 100\&.000 sistemas aleatoriamente y los sondee buscando servidores web (puerto 80)\&. La enumeraci\('on de sistemas se deshabilita con
\fB\-P0\fR
ya que es un desperdicio enviar un par de pruebas para determinar si el sistema debe ser analizado cuando de todas maneras s\('olo se va a analizar un puerto\&.
.PP
\fBnmap \-P0 \-p80 \-oX logs/pb\-port80scan\&.xml \-oG logs/pb\-port80scan\&.gnmap 216\&.163\&.128\&.20/20\fR
.PP
Esto sondea 4096 IPs para buscar cualquier servidor web (sin enviar sondas ICMP) y guarda la salida en formato para grep y en XML\&.
.SH "FALLOS"
.PP
Al igual que su autor, Nmap no es perfecto\&. Pero tu puedes ayudar a hacerlo mejor enviando informes de fallo o incluso escribiendo parches\&. Si Nmap no se comporta como t\('u esperas, primero actualiza a la \('ultima versi\('on disponible en
\m[blue]\fB\%http://www.insecure.org/nmap/\fR\m[]\&. Si el problema persiste, investiga para determinar si la causa ya ha sido descubierta y solucionada\&. Busca en Google el mensaje de error o navega en los archivos de Nmap\-dev en
\m[blue]\fB\%http://seclists.org/\fR\m[]\&. Tambi\('en deber\('ias leer este manual completo\&. Si esto no te ayuda, env\('ia un informe de error en ingl\('es a
<dev@nmap\&.org>\&. Por favor, incluya todo lo que haya visto del problema, as\('i como qu\('e versi\('on de Nmap est\('a utilizando y sobre qu\('e versi\('on del sistema operativo est\('a trabajando\&. Hay muchas m\('as probabilidades de que un informe de fallo o una pregunta sobre el uso de Nmap se contesten si se env\('ian a dev@nmap\&.org que si se env\('ian directamente a Fyodor\&.
.PP
Es mejor enviar parches para arreglar el c\('odigo que un informe de error\&. Puedes encontrar las instrucciones b\('asicas para crear parches con sus cambios en
\m[blue]\fB\%http://www.insecure.org/nmap/data/HACKING\fR\m[]\&. Puede enviar los parches a nmap\-dev (recomendado) o directamente a Fyodor\&.
.SH "AUTOR"
.PP
Fyodor
<fyodor@nmap\&.org>
(\m[blue]\fB\%http://www.insecure.org\fR\m[])
.PP
Cientos de personas han realizado valiosas contribuciones a Nmap a lo largo de los a\(~nos\&. Sus nombres se detallan en el archivo
CHANGELOG
que se distribuye conjuntamente con Nmap y que est\('a tambi\('en disponible en
\m[blue]\fB\%http://www.insecure.org/nmap/changelog.html\fR\m[]\&.
.SH "NOTAS LEGALES"
.SS "Unofficial Translation Disclaimer / Descargo de traducci\('on no oficial"
.PP
This is an unnofficial translation of the
\m[blue]\fBNmap license details\fR\m[]\&\s-2\u[12]\d\s+2
into Spanish\&. It was not written by Insecure\&.Com LLC, and does not legally state the distribution terms for Nmap \-\- only the original English text does that\&. However, we hope that this translation helps Spanish speakers understand the Nmap license better\&.
.PP
Esta es una traducci\('on no oficial de los
\m[blue]\fBdetalles de la licencia de Nmap details\fR\m[]\&\s-2\u[12]\d\s+2
al espa\(~nol\&. Esta traducci\('on no ha sido escrita por Insecure\&.Com LLC por lo que no refleja legalmente los t\('erminos de distribuci\('on de Nmap, eso s\('olo puede hacerlo el texto original en ingl\('es\&. Esperamos, sin embargo, que esta traducci\('on pueda ayudar a aquellas personas que hablan espa\(~nol a entender mejor la licencia de Nmap\&.
.SS "Licencia y copyright de Nmap"
.PP
The Nmap Security Scanner is (C) 1996\-2005 Insecure\&.Com LLC\&. Nmap is also a registered trademark of Insecure\&.Com LLC\&. This program is free software; you may redistribute and/or modify it under the terms of the GNU General Public License as published by the Free Software Foundation; Version 2\&. This guarantees your right to use, modify, and redistribute this software under certain conditions\&. If you wish to embed Nmap technology into proprietary software, we may be willing to sell alternative licenses (contact
<sales@insecure\&.com>)\&. Many security scanner vendors already license Nmap technology such as host discovery, port scanning, OS detection, and service/version detection\&.
.PP
\fITraducci\('on no autorizada:\fR
La herramienta de sondeos de seguridad Nmap es (C) 1996\-2005 Insecure\&.Com LLC\&. Nmap tambi\('en es una marca registrada por Insecure\&.Com LLC\&. Este programa es software libre\&. Puede redistribuirlo y/o modificarlo bajo los t\('erminos de la Licencia P\('ublica General de GNU seg\('un es publicada por la Free Software Foundation, versi\('on 2\&. Esto garantiza su derecho a utilizarla, modificarla y redistribuirla bajo ciertas condiciones\&. Si desea introducir la tecnolog\('ia de Nmap en programas propietarios podemos vender licencias alternativas (p\('ongase en contacto con
<sales@insecure\&.com>)\&. Hay muchos fabricantes de herramientas de an\('alisis de seguridad que licencian la tecnolog\('ia de Nmap como es el descubrimiento de equipos, sondeos de puertos, detecci\('on de sistema operativo y detecci\('on de servicios y versiones\&.
.PP
Tenga en cuenta que la GPL impone restricciones importantes en los
\(lqtrabajos derivados\(rq, pero no ofrece una definici\('on precisa de ese t\('ermino\&. Para evitar malentendidos, a continuaci\('on se definen, para los prop\('ositos de esta licencia, las condiciones bajo las que una aplicaci\('on constituye un
\(lqtrabajo derivado\(rq:
.sp
.RS 4
.ie n \{\
\h'-04'\(bu\h'+03'\c
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
Integra c\('odigo fuente de Nmap
.RE
.sp
.RS 4
.ie n \{\
\h'-04'\(bu\h'+03'\c
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
Lee o incluye los ficheros de Nmap que est\('an bajo derechos de copia, eso incluye
nmap\-os\-fingerprints
o
nmap\-service\-probes\&.
.RE
.sp
.RS 4
.ie n \{\
\h'-04'\(bu\h'+03'\c
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
Ejecuta Nmap y analiza los resultados (en contraposici\('on del int\('erprete de \('ordenes t\('ipico o la ejecuci\('on desde un men\('u, que simplemente muestra la salida de Nmap en crudo y no son, por tanto, trabajos derivados)
.RE
.sp
.RS 4
.ie n \{\
\h'-04'\(bu\h'+03'\c
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
Integra o incluye o agrega Nmap en un instalador ejecutable propietario, como los que produce InstallShield\&.
.RE
.sp
.RS 4
.ie n \{\
\h'-04'\(bu\h'+03'\c
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
Enlaza a una librer\('ia o ejecuta un programa que hace cualquiera de las cosas descritas anteriormente\&.
.RE
.PP
Se debe considerar que el t\('ermino
\(lqNmap\(rq
incluye las porciones o trabajos derivados de Nmap\&. Esta lista no es exclusiva, su \('unico objetivo es clarificar la interpretaci\('on de trabajos derivados con algunos ejemplos comunes\&. Estas restricciones no se aplican cuando redistribuye Nmap\&. Por ejemplo, nada le impide escribir y vender una interfaz propietaria a Nmap\&. S\('olo debe distribuirla de forma separada e indicar a sus usuarios que vayan a
\m[blue]\fB\%http://www.insecure.org/nmap/\fR\m[]
para obtener Nmap\&.
.PP
No consideramos que las restricciones sean a\(~nadidos a la GPL, sino simplemente una forma de clarificar c\('omo interpretamos el t\('ermino
\(lqtrabajos derivados\(rq
y su aplicaci\('on al producto Nmap licenciado GPL\&. Esto es parecido a la interpretaci\('on que Linus Torvalds ha dado a
\(lqtrabajos derivados\(rq
y su aplicaci\('on a los m\('odulos del n\('ucleo de Linux\&. Nuestra interpretaci\('on s\('olo aplica a Nmap, no hablamos en nombre de otros productos GPL\&.
.PP
Estaremos encantados de ayudarle si tiene alguna pregunta de c\('omo aplican las restricciones de licenciamiento GPL al uso de Nmap en trabajos que no son GPL\&. Tal y como se menciona m\('as arriba, ofrecemos licencias alternativas para integrar Nmap en aplicaciones propietarias as\('i como en dispositivos hardware\&. Ya se han vendido este tipo de contratos a fabricantes de dispositivos de seguridad y habitualmente incluye una licencia perpetua, al tiempo que se da soporte prioritario y actualizaciones\&. Estos contratos financian el desarrollo continuo de la tecnolog\('ia Nmap\&. Por favor, contacte con
<sales@insecure\&.com>
si desea m\('as informaci\('on\&.
.PP
Insecure\&.Com LLC da permiso para enlazar el c\('odigo de este programa con cualquier librer\('ia de OpenSSL que se distribuya bajo una licencia id\('entica a la indicada en el fichero Copying\&.OpenSSL adjunto, as\('i como a la distribuci\('on de la combinaci\('on enlazada que incluye a ambos\&. \('Esta es una excepci\('on especial a los t\('erminos de la GPL\&. Debe obedecer los dem\('as t\('erminos de la GPL de GNU en cualquier otro aspecto en relaci\('on al c\('odigo que utilice que no sea OpenSSL\&. Si modifica este fichero puede extender esta excepci\('on a su versi\('on del fichero, aunque no est\('a obligado a hacerlo\&.
.PP
Si recibe estos ficheros con un acuerdo de licencia por escrito o contrato que indique t\('erminos distintos de los que se describen arriba entonces dicha licencia alternativa toma precedencia sobre estos comentarios\&.
.SS "Licencia Creative Commons para esta gu\('ia Nmap"
.PP
Esta gu\('ia de referencia de Nmap Reference Guide es (C) 2005 Insecure\&.Com LLC\&. Se distribuye bajo la versi\('on 2\&.5 de la
\m[blue]\fBLicencia Creative Commons de Reconocimiento\fR\m[]\&\s-2\u[2]\d\s+2\&. Esta licencia le permite redistribuir y modificar el trabajo como desee siempre que reconozca la fuente original\&. Puede, si lo desea, tratar este documento con la misma licencia con la que distribuya Nmap (como se ha discutido previamente)\&.
.SS "Disponibilidad del c\('odigo fuente y contribuciones de la comunidad"
.PP
Se da el c\('odigo fuente de este programa porque creemos que los usuarios tienen el derecho a saber c\('omo funciona un programa con exactitud antes de ejecutarlo\&. Tambi\('en le permite auditar el programa en b\('usqueda de agujeros de seguridad (no se ha encontrado ninguno a\('un)\&.
.PP
El c\('odigo fuente le permite migrar Nmap a otras plataformas, arreglar erratas y a\(~nadir nuevas funciones\&. Le pedimos encarecidamente que env\('ie sus cambios a
<fyodor@nmap\&.org>
para que puedan incorporarse en la distribuci\('on principal\&. Al enviar estos cambios a Fyodor o cualquiera de las listas de correo de desarrollo en Insecure\&.Org se asume que est\('a ofreciendo a Fyodor y a Insecure\&.Com LLC derechos ilimitados y no exclusivos para reutilizar, modificar y relicenciar el c\('odigo\&. Nmap siempre estar\('a disponible como software libre, pero esto es importante porque la incapacidad de relicenciar el c\('odigo ha dado muchos problemas a otros proyectos de software libre (como es el caso de KDE y NASM)\&. Tambi\('en relicenciamos el c\('odigo de forma ocasional a terceros, como se ha descrito previamente\&. Puede especificar condiciones especiales de licencia para sus contribuciones, s\('olo tiene que indicarlas cuando las env\('ie\&.
.SS "Sin garant\('ia"
.PP
Este programa se distribuye con la esperanza de que sea \('util, pero SIN NINGUNA GARANT\('IA, incluso sin la garant\('ia MERCANTIL impl\('icita o sin garantizar la CONVENIENCIA PARA UN PROP\('OSITO PARTICULAR\&. V\('ease la Licencia P\('ublica General de GNU para m\('as detalles en
\m[blue]\fB\%http://www.gnu.org/copyleft/gpl.html\fR\m[], o en el fichero COPYING que se incluye con Nmap\&.
.PP
Tambi\('en deber\('ia tener en cuenta que se sabe que Nmap ha provocado en algunas ocasiones que alguna aplicaci\('on mal escrita se bloquee, como tambi\('en ha pasado con pilas TCP/IP e incluso sistemas operativos\&. Esto es muy raro, pero es importante tenerlo en mente\&.
\fINunca deber\('ia utilizar Nmap contra sistemas de misi\('on cr\('itica\fR
a no ser que est\('e preparado para sufrir una ca\('ida\&. Reconocemos que Nmap puede bloquear sus sistemas o redes y hacemos un descargo de responsabilidad frente a cualquier da\(~no o problemas que Nmap pueda causar\&.
.SS "Uso inapropiado"
.PP
Debido al ligero riesgo de que se produzcan ca\('idas porque un
\fIblack hat\fR
(persona que ataca sistemas sin autorizaci\('on, N\&. del T\&.) utilice Nmap para realizar un an\('alisis antes de atacar alg\('un sistema hay administradores que se molestan y se quejan cuando se sondean sus sistemas\&. As\('i, por regla general es recomendable pedir permiso para hacer cualquier tipo de sondeo, a\('un uno ligero, de una red\&.
.PP
Nunca deber\('ia instalar Nmap con privilegios especiales (p\&. ej\&. suid root) por razones de seguridad\&.
.SS "Programas de terceros"
.PP
Este producto incluye programas desarrollados por la
\m[blue]\fBFundaci\('on Apache Software Foundation\fR\m[]\&\s-2\u[13]\d\s+2\&. Tambi\('en se distribuye una versi\('on modificada de la
\m[blue]\fBlibrer\('ia portable de captura de paquetes Libpcap\fR\m[]\&\s-2\u[14]\d\s+2
conjuntamente con nmap\&. La versi\('on para Windows de Nmap utiliza la librer\('ia
\m[blue]\fBWinPcap library\fR\m[]\&\s-2\u[15]\d\s+2
que es una versi\('on derivada de la libcap\&. La
\m[blue]\fBlibrer\('ia PCRE\fR\m[]\&\s-2\u[16]\d\s+2, software libre escrito por Philip Hazel, da el soporte de expresiones regulares\&. Algunas de las funciones de acceso a bajo nivel de la red utiliza la librer\('ia de red
\m[blue]\fBLibdnet\fR\m[]\&\s-2\u[17]\d\s+2, escrita por Dug Song\&. Se distribuye una versi\('on modificada con Nmap\&. Nmap puede, opcionalmente, enlazar con las
\m[blue]\fBherramientas criptogr\('aficas OpenSSL\fR\m[]\&\s-2\u[18]\d\s+2
para poder hacer un an\('alisis de versiones SSL\&. Todos los programas de terceros descritos en este p\('arrafo se distribuyen libremente bajo licencias tipo BSD\&.
.SS "Clasificaci\('on de control de exportaci\('on de los EEUU"
.PP
Control de exportaci\('on de los EEUU: Insecure\&.Com LLC cree que Nmap se encuentra dentro del cap\('itulo US ECCN (n\('umero de clasificaci\('on de control de exportaci\('on) 5D992\&. Esta categor\('ia se denomina
\(lqProgramas de seguridad de la informaci\('on no controlados en 5D002\(rq\&. La \('unica restricci\('on a esta clasificaci\('on es AT (anti\-terrorismo), que se aplica a casi todos los bienes y deniega la exportaci\('on a un n\('umero reducido de naciones rebeldes como Ir\('an o Corea del Norte\&. As\('i, la exportaci\('on de Nmap no requiere de una licencia especial, permiso o cualquier otra autorizaci\('on del gobierno\&.
.SH "NOTAS"
.IP " 1." 4
versi\('on original en ingl\('es
.RS 4
\%http://www.insecure.org/nmap/man/
.RE
.IP " 2." 4
Licencia Creative Commons Atribuci\('on
.RS 4
\%http://creativecommons.org/licenses/by/2.5/
.RE
.IP " 3." 4
Deteccion Remota de SO via Reconocimiento de Pila TCP/IP
.RS 4
\%http://www.insecure.org/nmap/nmap-fingerprinting-article-mx.html
.RE
.IP " 4." 4
RFC 1122
.RS 4
\%http://www.rfc-editor.org/rfc/rfc1122.txt
.RE
.IP " 5." 4
RFC 792
.RS 4
\%http://www.rfc-editor.org/rfc/rfc792.txt
.RE
.IP " 6." 4
UDP
.RS 4
\%http://www.rfc-editor.org/rfc/rfc768.txt
.RE
.IP " 7." 4
RFC de TCP
.RS 4
\%http://www.rfc-editor.org/rfc/rfc793.txt
.RE
.IP " 8." 4
RFC 959
.RS 4
\%http://www.rfc-editor.org/rfc/rfc959.txt
.RE
.IP " 9." 4
Nmap::Scanner
.RS 4
\%http://sourceforge.net/projects/nmap-scanner/
.RE
.IP "10." 4
Nmap::Parser
.RS 4
\%http://www.nmapparser.com
.RE
.IP "11." 4
en Wikipedia
.RS 4
\%http://es.wikipedia.org/wiki/Anexo:Proveedores_de_t\('uneles_IPv6
.RE
.IP "12." 4
Nmap license details
.RS 4
\%http://www.insecure.org/nmap/man/man-legal.html
.RE
.IP "13." 4
Fundaci\('on Apache Software Foundation
.RS 4
\%http://www.apache.org
.RE
.IP "14." 4
librer\('ia portable de captura de paquetes Libpcap
.RS 4
\%http://www.tcpdump.org
.RE
.IP "15." 4
WinPcap library
.RS 4
\%http://www.winpcap.org
.RE
.IP "16." 4
librer\('ia PCRE
.RS 4
\%http://www.pcre.org
.RE
.IP "17." 4
Libdnet
.RS 4
\%http://libdnet.sourceforge.net
.RE
.IP "18." 4
herramientas criptogr\('aficas OpenSSL
.RS 4
\%http://www.openssl.org
.RE