Tabla de contenidos
¿Crees que sabes lo que está conectado a tu red doméstica? Te sorprenderías. Aprenda a verificar el uso nmap
en Linux, lo que le permitirá explorar todos los dispositivos conectados a su red.
Puede pensar que su red doméstica es bastante simple y no hay nada que aprender al analizarla en profundidad. Puede que tengas razón, pero lo más probable es que aprendas algo que no sabías. Con la proliferación de dispositivos de Internet de las cosas , dispositivos móviles como teléfonos y tabletas, y la revolución del hogar inteligente, además de los dispositivos de red «normales» como enrutadores de banda ancha, computadoras portátiles y de escritorio, podría ser una revelación.
Si es necesario, instale nmap
Usaremos el nmap
comando. Dependiendo de los otros paquetes de software que haya instalado en su computadora, es nmap
posible que ya estén instalados.
Si no es así, así es como se instala en Ubuntu.
sudo apt-get install nmap
Así es como se instala en Fedora.
sudo dnf instalar nmap
Así es como se instala en Manjaro.
sudo pacman -Syu nmap
Puede instalarlo en otras versiones de Linux utilizando el administrador de paquetes para sus distribuciones de Linux.
Encuentra tu dirección IP
La primera tarea es descubrir cuál es la dirección IP de su computadora Linux. Hay una dirección IP mínima y máxima que su red puede usar. Este es el alcance o rango de direcciones IP de su red. Tendremos que proporcionar direcciones IP o un rango de direcciones IP a nmap
, por lo que necesitamos saber cuáles son esos valores.
Prácticamente, Linux proporciona un comando llamado ip
y tiene una opción llamada addr
(dirección). Escriba ip
un espacio addr
y presione Entrar.
dirección ip
En la sección inferior de la salida, encontrará su dirección IP. Está precedido por la etiqueta «inet».
La dirección IP de esta computadora es «192.168.4.25». El “/ 24” significa que hay tres conjuntos consecutivos de ocho unos en la máscara de subred. (Y 3 x 8 = 24.)
En binario, la máscara de subred es:
11111111.11111111.11111111.00000000
y en decimal, es 255.255.255.0.
La máscara de subred y la dirección IP se utilizan para indicar qué parte de la dirección IP identifica la red y qué parte identifica el dispositivo. Esta máscara de subred informa al hardware que los primeros tres números de la dirección IP identificarán la red y la última parte de la dirección IP identifica los dispositivos individuales. Y debido a que el número más grande que puede tener en un número binario de 8 bits es 255, el rango de direcciones IP para esta red será 192.168.4.0 hasta 192.168.4.255.
Todo eso está encapsulado en el “/ 24”. Felizmente, nmap
funciona con esa notación, por lo que tenemos lo que necesitamos para comenzar a usar nmap
.
Empiece con nmap
nmap
es una herramienta de mapeo de redes . Funciona enviando varios mensajes de red a las direcciones IP en el rango que le vamos a proporcionar. Puede deducir mucho sobre el dispositivo que está probando al juzgar e interpretar el tipo de respuestas que obtiene.
Comencemos un escaneo simple con nmap
. Vamos a utilizar la -sn
opción (no escanear puerto). Esto le dice nmap
que no pruebe los puertos en los dispositivos por ahora. Hará un escaneo rápido y ligero.
Aun así, puede tardar un poco nmap
en ejecutarse. Por supuesto, cuantos más dispositivos tenga en la red, más tiempo llevará. Primero hace todo su trabajo de sondeo y reconocimiento y luego presenta sus hallazgos una vez que se completa la primera fase. No se sorprenda si no sucede nada visible durante un minuto más o menos.
La dirección IP que usaremos es la que obtuvimos usando el ip
comando anteriormente, pero el número final se establece en cero. Esa es la primera dirección IP posible en esta red. El “/ 24” indica nmap
que escanee todo el rango de esta red. El parámetro «192.168.4.0/24» se traduce como «comenzar en la dirección IP 192.168.4.0 y funcionar a través de todas las direcciones IP hasta 192.168.4.255 inclusive».
Tenga en cuenta que estamos usando sudo
.
sudo nmap -sn 192.168.4.0/24
Después de una breve espera, la salida se escribe en la ventana del terminal.
Puede ejecutar este análisis sin usar sudo
, pero el uso sudo
garantiza que pueda extraer la mayor cantidad de información posible. Sin sudo
este escaneo no devolvería la información del fabricante, por ejemplo.
La ventaja de usar la -sn
opción, además de ser un escaneo rápido y liviano, es que le brinda una lista ordenada de las direcciones IP activas. Es decir, tenemos una lista de los dispositivos conectados a la red, junto con su dirección IP. Y en lo posible, nmap
ha identificado al fabricante. Eso no está mal para el primer intento.
Aquí está la parte inferior de la lista.
Hemos establecido una lista de los dispositivos de red conectados, por lo que sabemos cuántos de ellos hay. Hay 15 dispositivos encendidos y conectados a la red. Conocemos al fabricante de algunos de ellos. O, como veremos, tenemos lo que nmap
ha informado como fabricante, en la medida de sus posibilidades.
Cuando revise sus resultados, probablemente verá dispositivos que reconoce. Bien puede haber algunos que no. Estos son los que necesitamos investigar más a fondo.
Tengo claro cuáles son algunos de estos dispositivos. La Fundación Raspberry Pi se explica por sí misma. El dispositivo de Amazon Technologies será mi Echo Dot. El único dispositivo Samsung que tengo es una impresora láser, por lo que se reduce. Hay un par de dispositivos que figuran como fabricados por Dell. Esos son fáciles, eso es una PC y una computadora portátil. El dispositivo Avaya es un teléfono de voz sobre IP que me proporciona una extensión en el sistema telefónico de la oficina central. Les permite molestarme en casa con mayor facilidad, así que conozco bien ese dispositivo.
Pero todavía me quedan preguntas.
Hay varios dispositivos con nombres que no significan nada para mí. Tecnología Liteon y sistemas informáticos Elitegroup, por ejemplo.
Tengo (camino) más de una Raspberry PI. La cantidad de personas que están conectadas a la red siempre variará porque se intercambian continuamente dentro y fuera de servicio a medida que se vuelven a crear imágenes y se les rediseña. Pero definitivamente, debería haber más de uno apareciendo.
Hay un par de dispositivos marcados como Desconocidos. Obviamente, necesitarán investigar.
Realizar un escaneo más profundo
Si quitamos la -sn
opción nmap
también intentaremos sondear los puertos de los dispositivos. Los puertos son puntos finales numerados para conexiones de red en dispositivos. Considere un bloque de apartamentos. Todos los apartamentos tienen la misma dirección (el equivalente a la dirección IP), pero cada apartamento tiene su propio número (el equivalente al puerto).
Cada programa o servicio dentro de un dispositivo tiene un número de puerto. El tráfico de red se envía a una dirección IP y un puerto, no solo a una dirección IP. Algunos números de puerto están preasignados o reservados. Siempre se utilizan para transportar tráfico de red de un tipo específico. El puerto 22, por ejemplo, está reservado para conexiones SSH y el puerto 80 está reservado para tráfico web HTTP.
Lo vamos a utilizar nmap
para escanear los puertos de cada dispositivo e indica cuáles están abiertos.
nmap 192.168.4.0/24
Esta vez tenemos un resumen más detallado de cada dispositivo. Se nos dice que hay 13 dispositivos activos en la red. Espera un minuto; teníamos 15 dispositivos hace un momento.
La cantidad de dispositivos puede variar a medida que ejecuta estos análisis. Es probable que se deba a que los dispositivos móviles llegan y salen de las instalaciones, o que el equipo se enciende y apaga. Además, tenga en cuenta que cuando enciende un dispositivo que se ha apagado, es posible que no tenga la misma dirección IP que tenía la última vez que estuvo en uso. podría, pero puede que no.
Hubo mucho resultado. Hagámoslo de nuevo y capturémoslo en un archivo.
nmap 192.168.4.0/24> nmap-list.txt
Y ahora podemos listar el archivo con less
y buscar en él si lo deseamos.
menos nmap-list.txt
A medida que se desplaza por el nmap
informe, busca cualquier cosa que no pueda explicar o que parezca inusual. Cuando revise su lista, tome nota de las direcciones IP de cualquier dispositivo que desee investigar más a fondo.
Según la lista que generamos anteriormente, 192.168.4.10 es una Raspberry Pi. Ejecutará una distribución de Linux u otra. Entonces, ¿qué está usando el puerto 445? Se describe como «microsoft-ds». Microsoft, ¿en un Pi con Linux? Ciertamente estaremos investigando eso.
192.168.4.11 se etiquetó como «Desconocido» en el análisis anterior. Tiene muchos puertos abiertos; necesitamos saber qué es eso.
192.168.4.18 también se identificó como Raspberry Pi. Pero ese Pi y el dispositivo 192.168.4.21 tienen el puerto 8888 abierto, que se describe como utilizado por «sun-answerbook». Sun AnswerBook es un sistema de recuperación de documentación (elemental) retirado desde hace muchos años. No hace falta decir que no lo tengo instalado en ninguna parte. Eso necesita ser revisado.
El dispositivo 192.168.4.22 se identificó anteriormente como una impresora Samsung, que se verifica aquí mediante la etiqueta que dice «impresora». Lo que me llamó la atención fue que el puerto HTTP 80 estaba presente y abierto. Este puerto está reservado para el tráfico del sitio web. ¿Mi impresora incorpora un sitio web?
Según los informes, el dispositivo 192.168.4.31 es fabricado por una empresa llamada Elitegroup Computer Systems. Nunca he oído hablar de ellos y el dispositivo tiene muchos puertos abiertos, así que lo estaremos investigando.
Cuantos más puertos tenga abiertos un dispositivo, más posibilidades tendrá un ciberdelincuente de acceder a él, si está expuesto directamente a Internet. Es como una casa. Cuantas más puertas y ventanas tenga, más puntos potenciales de entrada tendrá un ladrón.
Hemos alineado a los sospechosos; Hagamos que hablen
El dispositivo 192.168.4.10 es una Raspberry Pi que tiene el puerto 445 abierto, que se describe como «microsoft-ds». Una búsqueda rápida en Internet revela que el puerto 445 generalmente está asociado con Samba. Samba es una implementación de software libre del protocolo Server Message Block (SMB) de Microsoft. SMB es un medio para compartir carpetas y archivos a través de una red.
Esto tiene sentido; Utilizo ese Pi en particular como una especie de mini dispositivo de almacenamiento conectado a la red (NAS). Utiliza Samba para que pueda conectarme a él desde cualquier computadora en mi red. Ok, eso fue fácil. Uno menos, quedan varios más.
Dispositivo desconocido con muchos puertos abiertos
El dispositivo con dirección IP 192.168.4.11 tenía un fabricante desconocido y muchos puertos abiertos.
Podemos utilizarlo de forma nmap
más agresiva para intentar sacar más información del dispositivo. La -A
opción (exploración agresiva) obliga nmap
a utilizar la detección del sistema operativo, la detección de versiones, la exploración de scripts y la detección de traceroute.
La -T
opción (plantilla de tiempo) nos permite especificar un valor de 0 a 5. Esto establece uno de los modos de tiempo. Los modos de sincronización tienen grandes nombres: paranoico (0), furtivo (1), educado (2), normal (3), agresivo (4) y loco (5). Cuanto menor sea el número, menor impacto nmap
tendrá en el ancho de banda y en otros usuarios de la red.
Tenga en cuenta que no proporcionamos nmap
un rango de IP. Nos centramos nmap
en una única dirección IP, que es la dirección IP del dispositivo en cuestión.
sudo nmap -A -T4 192.168.4.11
En la máquina utilizada para investigar este artículo, tomó nueve minutos nmap
ejecutar ese comando. No se sorprenda si tiene que esperar un poco antes de ver algún resultado.
Desafortunadamente, en este caso, el resultado no nos da las respuestas fáciles que esperábamos.
Una cosa adicional que hemos aprendido es que está ejecutando una versión de Linux. En mi red eso no es una gran sorpresa, pero esta versión de Linux es extraña. Parece bastante antiguo. Linux se usa en casi todos los dispositivos de Internet de las cosas, por lo que podría ser una pista.
Más abajo en la salida nmap
nos dio la dirección de control de acceso a medios (dirección MAC) del dispositivo. Esta es una referencia única que se asigna a las interfaces de red.
Los primeros tres bytes de la dirección MAC se conocen como el Identificador único organizacional (OUI). Esto se puede utilizar para identificar al proveedor o fabricante de la interfaz de red. Si eres un geek que ha reunido una base de datos de 35.909 de ellos, claro.
Mi utilidad dice que pertenece a Google. Con la pregunta anterior sobre la versión peculiar de Linux y la sospecha de que podría ser un dispositivo de Internet de las cosas, esto apunta con el dedo de manera justa y directa a mi mini altavoz inteligente Google Home.
Puede hacer el mismo tipo de búsqueda de OUI en línea, utilizando la página de búsqueda de fabricantes de Wireshark .
Es alentador que coincida con mis resultados.
Una forma de estar seguro de la identificación de un dispositivo es realizar un escaneo, apagar el dispositivo y escanear nuevamente. La dirección IP que ahora falta en el segundo conjunto de resultados será el dispositivo que acaba de apagar.
Sun AnswerBook?
El siguiente misterio fue la descripción de «sun-answerbook» para la Raspberry Pi con la dirección IP 192.168.4.18. La misma descripción de «sun-answerbook» se mostraba para el dispositivo en 192.168.4.21. El dispositivo 192.168.4.21 es una computadora de escritorio Linux.
nmap
hace su mejor conjetura sobre el uso de un puerto de una lista de asociaciones de software conocidas. Por supuesto, si alguna de estas asociaciones de puertos ya no es aplicable (quizás el software ya no esté en uso y se haya agotado su vida útil), puede obtener descripciones de puertos engañosas en los resultados de su escaneo. Ese fue probablemente el caso aquí, el sistema Sun AnswerBook se remonta a principios de la década de 1990 y no es más que un recuerdo lejano, para aquellos que incluso han oído hablar de él.
Entonces, si no se trata de un software antiguo de Sun Microsystems , ¿qué podrían tener en común estos dos dispositivos, la Raspberry Pi y la computadora de escritorio?
Las búsquedas en Internet no arrojaron nada útil. Hubo muchos éxitos. Parece que cualquier cosa con una interfaz web que no quiera usar el puerto 80 parece optar por el puerto 8888 como alternativa. Entonces, el siguiente paso lógico fue intentar conectarse a ese puerto usando un navegador.
Usé 192.168.4.18:8888 como dirección en mi navegador. Este es el formato para especificar una dirección IP y un puerto en un navegador. Utilice dos puntos :
para separar la dirección IP del número de puerto.
De hecho, se abrió un sitio web.
Es el portal de administración para cualquier dispositivo que ejecute Resilio Sync .
Siempre uso la línea de comandos, así que me había olvidado por completo de esta función. Así que la lista de entradas de Sun AnswerBook era una pista falsa, y se había identificado el servicio detrás del puerto 8888.
Un servidor web oculto
El siguiente problema que registré para echar un vistazo fue el puerto HTTP 80 en mi impresora. Nuevamente, tomé la dirección IP de los nmap
resultados y la utilicé como dirección en mi navegador. No necesitaba proporcionar el puerto; el navegador usaría por defecto el puerto 80.
He aquí; mi impresora tiene un servidor web incorporado.
Ahora puedo ver el número de páginas que han pasado, el nivel de tóner y otra información útil o interesante.
Otro dispositivo desconocido
El dispositivo en 192.168.4.24 no reveló nada en ninguno de los nmap
escaneos que hemos probado hasta ahora.
He añadido en la -Pn
opción (sin ping). Esto hace nmap
que se asuma que el dispositivo de destino está activo y se continúe con las otras exploraciones. Esto puede ser útil para dispositivos que no reaccionan como se esperaba y se confunden nmap
pensando que están fuera de línea.
sudo nmap -A -T4 -Pn 192.168.4.24
Esto recuperó un volcado de información, pero no había nada que identificara el dispositivo.
Se informó que estaba ejecutando un kernel de Linux desde Mandriva Linux. Mandriva Linux fue una distribución que se suspendió en 2011 . Sigue vivo con una nueva comunidad que lo apoya, como OpenMandriva .
¿Otro dispositivo de Internet de las cosas, posiblemente? probablemente no, solo tengo dos, y ambos han sido contabilizados.
Un recorrido de habitación por habitación y un recuento de dispositivos físicos no me dieron nada. Busquemos la dirección MAC.
Entonces, resulta que era mi teléfono móvil.
Recuerde que puede realizar estas búsquedas en línea, utilizando la página de búsqueda de fabricantes de Wireshark .
Sistemas informáticos Elitegroup
Las dos últimas preguntas que tuve fueron sobre los dos dispositivos con nombres de fabricante que no reconocí, a saber, Liteon y Elitegroup Computer Systems.
Cambiemos de rumbo. Otro comando que es útil para determinar la identidad de los dispositivos en su red es arp
. arp
se utiliza para trabajar con la tabla Protocolo de resolución de direcciones en su computadora Linux. Se utiliza para traducir de una dirección IP (o nombre de red) a una dirección MAC .
Si arp
no está instalado en su computadora, puede instalarlo así.
En Ubuntu, use apt-get
:
sudo apt-get install net-tools
Sobre el uso de Fedora dnf
:
sudo dnf instalar herramientas de red
Sobre el uso de Manjaro pacman
:
sudo pacman -Syu net-tools
Para obtener una lista de los dispositivos y sus nombres de red, si se les ha asignado uno, simplemente escriba arp
y presione Entrar.
Este es el resultado de mi máquina de investigación:
Los nombres de la primera columna son los nombres de las máquinas (también llamados nombres de host o nombres de red) que se han asignado a los dispositivos. Algunos de ellos los configuré ( Nostromo , Cloudbase y Marineville , por ejemplo) y otros los configuró el fabricante (como Vigor.router).
La salida nos da dos formas de hacer una referencia cruzada con la salida de nmap
. Debido a que se enumeran las direcciones MAC de los dispositivos, podemos consultar la salida de nmap
para identificar mejor los dispositivos.
Además, debido a que puede usar un nombre de máquina con ping
y porque ping
muestra la dirección IP subyacente, puede hacer una referencia cruzada de los nombres de las máquinas a las direcciones IP usando ping
en cada nombre por turno.
Por ejemplo, hagamos ping a Nostromo.local y averigüemos cuál es su dirección IP. Tenga en cuenta que los nombres de las máquinas no distinguen entre mayúsculas y minúsculas.
ping nostromo.local
Debe usar Ctrl + C para detener ping
.
La salida nos muestra que su dirección IP es 192.168.4.15. Y ese es el dispositivo que apareció en el primer nmap
escaneo con Liteon como fabricante.
La compañía Liteon fabrica componentes de computadora que son utilizados por muchos fabricantes de computadoras. En este caso, es una tarjeta Liteon Wi-Fi dentro de una computadora portátil Asus. Entonces, como señalamos anteriormente, el nombre del fabricante que devuelve nmap
es solo su mejor suposición. ¿Cómo nmap
saber que la tarjeta Liteon Wi-Fi estaba instalada en una computadora portátil Asus?
Y finalmente. La dirección MAC del dispositivo fabricado por Elitegroup Computer Systems coincide con la que arp
aparece en la lista del dispositivo que he denominado LibreELEC.local.
Este es un Intel NUC , que ejecuta el reproductor multimedia LibreELEC . Entonces, este NUC tiene una placa base de la compañía Elitegroup Computer Systems.
Y ahí estamos, todos los misterios resueltos.
Todo contabilizado
Hemos verificado que no existen dispositivos inexplicables en esta red. También puede utilizar las técnicas descritas aquí para investigar su red. Puede hacer esto por interés, para satisfacer a su friki interior, o para asegurarse de que todo lo que está conectado a su red tiene derecho a estar allí.
Recuerde que los dispositivos conectados vienen en todas las formas y tamaños. Pasé algún tiempo dando vueltas en círculos y tratando de localizar un dispositivo extraño antes de darme cuenta de que, de hecho, era el reloj inteligente en mi muñeca.