Uso de Nmap en SCADA

El uso de herramientas de escaneo de puertos como Nmap puede ser extremadamente útil para la evaluación de la seguridad de la red, pero también presenta riesgos, especialmente cuando se trata de dispositivos heredados y sistemas embebidos. Estos dispositivos pueden ser menos robustos frente a ciertas técnicas avanzadas de escaneo, y es crucial entender y mitigar los riesgos asociados para evitar interrupciones y fallos.

Problemas comunes al usar Nmap con dispositivos embebidos heredados

1. Huella digital del sistema operativo (OS Fingerprinting)

• La identificación del sistema operativo a través de Nmap, utilizando las banderas -O o -A, es una de las causas más comunes de fallos en dispositivos embebidos heredados. Estos métodos envían una serie de paquetes diseñados para provocar respuestas que revelen detalles del sistema operativo subyacente. Sin embargo, los dispositivos más antiguos o menos robustos pueden no manejar adecuadamente estas consultas inusuales y podrían colapsar o reiniciarse.

• Recomendación: Evitar el uso de las opciones -O y -A en ambientes con dispositivos heredados para minimizar el riesgo de interrupciones.

2. Escaneos SYN (Half-Open)

• Los escaneos SYN, el método predeterminado al ejecutar Nmap con privilegios de administrador (sudo) o como root, no conforman un comportamiento completo de TCP según las especificaciones del RFC, lo que significa que solo se inicia la conexión TCP sin completarla. Muchos stacks de TCP/IP en dispositivos modernos pueden manejar esto sin problemas, pero los dispositivos más antiguos pueden no responder bien.

• Recomendación: Utilizar siempre el escaneo completo de conexión TCP (-sT) para asegurar un comportamiento adecuado con todos los dispositivos y evitar fallos accidentales.

3. Escaneo a Alta Velocidad

• Los valores predeterminados de velocidad en Nmap pueden ser demasiado rápidos para dispositivos embebidos heredados, lo que podría sobrecargar sus capacidades de procesamiento y causar tiempos de inactividad o fallos.

• Recomendación: Ajustar la velocidad del escaneo usando --scan-delay 0.1 o --max-parallelism 1 para controlar el ritmo y reducir la carga en el dispositivo objetivo, escaneando un puerto a la vez por host.

Problemas comunes al usar Nmap con servicios en todos los sistemas

1. Escaneo de Puertos UDP con Cargas Nulas

• El uso de la opción -sU para escanear puertos UDP sin enviar datos específicos puede causar problemas en algunos servicios que no esperan este tipo de tráfico.

• Recomendación: Evitar utilizar la opción -sU sin una preparación adecuada y conocimiento del entorno de red para prevenir respuestas no deseadas o la detección de la actividad de escaneo como maliciosa.

2. Identificación de Servicios (Service Fingerprinting)

• Aunque generalmente seguro, el fingerprinting de servicios usando -sV puede ocasionalmente causar problemas, especialmente en redes no probadas previamente.

• Recomendación: Usar -sV selectivamente en nuevos subnets o combinarlo con --script=banner para obtener información de servicio sin ser demasiado intrusivo.