Herramienta whatportis

Una de las tareas obligadas dentro de la seguridad sea cual sea la circunstancia en la que nos encontremos, auditoría, administración, pentesting, consultoría, etc. es el análisis de tráfico. Si ya resultaba evidente en los entornos actuales, esto cobra más importancia con la incorporación de cada vez más y más dispositivos en nuestras infraestructuras de comunicaciones. La llegada del llamado “Internet de las Cosas” y más concretamente en los entornos industriales con la proliferación de protocolos basados en Ethernet, está propiciando que nuestros switches, routers, puntos de acceso, firewalls, soporten más clientes y por ende más información a mover.

Es por esto que supervisar y analizar volúmenes, patrones y tipos de tráfico, resulta indispensable cara al cumplimiento de las políticas de seguridad de nuestra organización y reducir los riesgos de sufrir un incidente. Hay que reconocer que la tarea puede ser bastante tediosa, con lo que dependiendo de los entornos, deberemos contar con herramientas, que nos faciliten la tarea. Por citar algunas,

Fortinet FortiAnalyzer

HP IMC Network Traffic Analyzer

Ntop

Cacti

Pero hoy no voy a hablar de ninguna de ellas, sino de otra más sencilla pero de  bastante utilidad.

Dentro del tráfico capturado los tres parámetros más representativos son las direcciones IP y los puertos. Sobre las primeras resulta bastante sencillo identificarlas sobre todo en lo que se refiere a públicas y privadas. Me refiero a IPv4. Sin embargo en materia de puertos, si bien es fácil acordarse de los más empleados, existen otros muchos que seguramente no tengamos tan presentes.

Para ayudarnos en esta tarea contamos con una herramienta con la que podremos consultar de una manera rápida la información de un puerto y servicio asociado. Hablamos de whatportis. Se trata de un comando con el que podremos buscar tanto el número como el nombre por defecto.

Para su instalación:

root@kali02:~# pip install whatportis

Downloading/unpacking whatportis

Downloading whatportis-0.4.tar.gz (258kB): 258kB downloaded

Running setup.py (path:/tmp/pip-build-At_8q_/whatportis/setup.py) egg_info for package whatportis

Downloading/unpacking click==6.2 (from whatportis)

Downloading click-6.2-py2.py3-none-any.whl (70kB): 70kB downloaded

Requirement already satisfied (use –upgrade to upgrade): prettytable==0.7.2 in /usr/lib/python2.7/dist-packages (from whatportis)

Installing collected packages: whatportis, click

Running setup.py install for whatportis

Installing whatportis script to /usr/local/bin

Successfully installed whatportis click

Cleaning up…

root@kali02:~#

Por ejemplo, si deseásemos averiguar qué hay detrás del puerto 1194:

Captura 01

O bien, si deseásemos obtener el servicio asociado a una aplicación como por ejemplo mysql:

Captura 02

También podríamos buscar un patrón sin conocer el nombre exacto del servicio emplearíamos la opción –like. A continuación pondremos un ejemplo, con el término  opc  para averiguar la información sobre el protocolo utilizado en entornos SCADA:

Captura 03

La herramienta emplea la lista de puertos publicada por IANA la cual consulta regularmente.

Así pues dejamos la entra de hoy con una herramienta, que sin duda nos podrá ayudar en esa rápida y primera instancia en la identificación de puertos y servicios.

Un saludo y nos vemos en la próxima.

Deja un comentario