puertos
IntrusionesPuertos Detección Defensa
Puertos
Que son Puertos (rfc1700) Puertos (Win2000) Puertos (troyanos)
¿Que son los puertos?
En el momento que nuestro ordenador se conecta a internet, éste pasa a ser un elemento más dentro de la Red, es decir, forma parte de toda la Red y como tal se tiene que comunicar con el resto. Para poder comunicarse, lo primero que necesita es tener una dirección electrónica y poder identificarse con los demás. Si haces una petición, por ejemplo de una página web, el servidor tiene que saber a quien se la envía. Esa dirección electrónica es la dirección IP, qué es un número de 4 grupos de cifras de la forma xxx.xxx.xxx.xxx . Pero eso no es suficiente, ya que en internet se pueden utilizar muchos y diversos servicios y es necesario poder diferenciarlos. La forma de "diferenciarlos" es mediante los puertos.
Imaginaros un edificio de oficinas, éste tiene una puerta de entrada al edificio (que en nuestro caso sería la IP) y muchas oficinas que dan servicios (que en nuestro caso serian los puertos). Eso nos lleva a que la dirección completa de una oficina viene dada por la dirección postal y el número de la oficina. En el caso de Internet viene dado por la dirección IP y por el número de puerto. Así por ejemplo, un servidor web escucha las peticiones que le hacen por el puerto 80, un servidor FTP lo hace por el puerto 21, etc...
Es decir, los puertos son los puntos de enganche para cada conexión de red que realizamos. El protocolo TCP (el utilizado en internet) identifica los extremos de una conexión por las direcciones IP de los dos nodos (ordenadores) implicados (servidor y cliente) y el número de los puertos de cada nodo.
Como hemos indicado al principio, cuando conectamos a Internet nuestro proveedor nos da, para esa conexión, una dirección IP para poder comunicarnos con el resto de Internet. Cuando solicitas un servicio de internet, por ejemplo una pagina web, haces tu solicitud de la pagina mediante un puerto de tu ordenador a un puerto del servidor web.
Existen mas de 65000 de puertos diferentes, usados para las conexiones de Red. Los siguientes enlaces son una relación de puertos y los servicios a los que corresponden, así como un listado de puertos más utilizados por los troyanos.
Listado de Puertos. Microsoft WIndows 2000
Listado de Puertos. RFC1700 (ingles)
Listado de Puertos. Troyanos
Una medida básica de seguridad es conocer que puertos tenemos, cuales están abiertos, porque están abiertos y, de estos, últimos los que no utilicemos o que sean fuente de un problema de seguridad.
Piensa por ejemplo en tu casa. Tiene una puerta de entrada que no la dejas siempre abierta. También tienes ventanas, a las que les pones cortinas para preservar tu intimidad. Incluso las puedes cerrar a cal y canto para que por allí no se cuele nadie. Pues lo mismo se aplica a tu PC cuando estás conectado a Internet.
Un atacante que intente, o consiga, tener control sobre nuestro ordenador necesita tener a su disposición una puerta abierta en nuestro ordenador para poder comunicarse, es decir, un puerto de comunicaciones.
En el artículo sobre Detección veremos diversas formas de descubrir que puertos tenemos abiertos y en el de Defensa veremos como podemos defendernos.
http://www.seguridadenlared.org/es/puertos.phphttp://www.seguridadenlared.org/es/puertos.php
Detección
Puertos Detección Defensa
Detección de puertos
Usando el Sist. Operativo Escanner Escanner Online
Usando el Sistema Operativo
Tanto Windows como Linux nos ofrece una herramienta que nos va a mostrar que conexiones de red tenemos en cada momento. Esa herramienta es el programa netstat, y para ejecutarla, en ambos casos, necesitamos abrir una Consola. En Windows abrimos MS-DOS y escribimos: netstat -an
Para entender mejor que conexiones tenemos abiertas, lo mejor es que antes de ejecutar esta orden cerremos TODOS los programas a excepción de MSDOS e ir desde el principio comprobando que conexiones tenemos y cuales se van abriendo.
Una vez ejecutada la orden, nos aparecerá una pantalla de este tipo en MSDOS.
La misma orden ejecutada sobre Linux nos muestra algo parecido a lo siguiente:
Si queremos que se actualice automáticamente la información, podemos escribir netstat -an 5 (poner el número en segundos del intervalo que queramos que actualice la información)
La información que nos muestra esta pantalla básicamente es una tabla con 4 Columnas (para MSDOS) o 6 Columnas (para Linux) y diversas filas que contienen la información:
Proto: Nos indica el protocolo utilizado para la comunicación por cada una de las conexiones activas (TCP/UDP)
Dirección Local (Local Address): Nos indica la dirección origen de la conexión y el puerto.
Dirección Remota: (Foreign Address): Nos indica la dirección de destino y el puerto.
Estado (State): Nos indica el estado de dicha conexión en cada momento. Los principales estados son:
Listening (Listen): El puerto está escuchando en espera de una conexión
Established: La conexión ha sido establecida
Close_Wait: La conexión sigue abierta, pero el otro extremo nos comunica que no va a enviar nada más.
Time_Wait: La conexión ha sido cerrada, pero no se elimina de la tabla de conexión por si hay algo pendiente de recibir.
Last_ACK: La conexión se está cerrando.
Closed: La conexión ha sido cerrada definitivamente.
La columna de Dirección Local nos muestra la IP de la conexión de nuestro ordenador: Además de la IP asociada a nuestra conexión a Internet, los ordenadores utilizan una dirección IP interna, denominada loopback, que es utilizada para pruebas y para la comunicación entre diversos procesos en la misma máquina. Usualmente tiene la dirección IP 127.0.0.1 (y que también se le suele asignar el nombre localhost).
Ahora solo nos queda ir comprobando todas las conexiones que tenemos, que están haciendo y por supuesto ¿porque?.Para ello podemos servirnos de los listados de puertos que tenemos disponibles en la sección de puertos. Esto es muy útil para detectar la actividad de troyanos en nuestro ordenador.
Intrusiones
Puertos Detección Defensa
Defensa - Bloqueo de puertos
Bloqueo de Puertos Cortafuegos (Firewall)
Defensa.
Una vez que hemos determinado los puertos que tenemos abiertos, tenemos que poner el remedio alos problemas que hemos visto. Para ello disponemos de dos formas de hacerlo:
Bloqueo de Puertos
Instalar un Firewall (cortafuegos)
La diferencia entre ambas formas de actuar es que mientras el primero lo que hace es cerrar el paso a los puertos (que tengas abiertos) que quieras tener cerrados, el otro, el firewall, lo que hace es tenerlos todos cerrados y abrir solo aquellos que permitas. Es mucho más seguro éste último sistema, el firewall o cortafuegos, que el de bloqueo, ya que solo permite el tráfico a/desde internet que tu aceptes.
Bloqueo de Puertos
Para bloquear puertos de nuestro ordenador vamos a utilizar otro programa que se llama pblocki.exe y que podemos bajar de aquí. La diferencia entre éste programa y un firewall es que a éste programa le decimos que puertos bloquear y a un firewall lo que le decimos es que puertos permitimos.
Es un fichero autoextraible, por lo que pulsa sobre el y vamos a instalarlo
1ª La primera pantalla, como siempre, las condiciones de la licencia para el uso del mismo. Es un programa freeware (GRATIS :-). Pulsamos sobre le botón I Accept
2ª La siguiente pantalla nos pide el directorio de instalación del programa. Podemos cambiarlo o dejarlo como está. Pulsamos Continue
3º Nos vuelve a recordar ¿? donde se va a instalar el programa. Pulsamos Si
4º Una breve linea de progreso y ya está instalado. Ahora nos pregunta si queremos registrar este programa (es gratuito).
5º El programa se ha instalado dentro de una carpeta que se llama AnalogX (se habrá añadido a ella, si ya hemos instalado algun otro programa de AnalogX), PortBlocker.
MUY IMPORTANTE. Este programa debe ponerse en funcionamiento SIEMPRE DESPUES que hayas conectado a Internet., nunca antes, sino no será capaz de funcionar correctamente.
6º Pulsando sobre la opción de PortBlocker, se instala un nuevo icono al lado del reloj con una forma que recuerda al de Superman ;)
7º Pulsando sobre ese icono, nos aparece un menu, con las distintas opciones del programa
La opción about es la clásica de todos los programas, nos dice quien lo ha hecho, versión, etc...
La opción Net Info nos informa de las caracteristicas de nuestra red
La opción View Log nos muestra todos los eventos producidos por el programa
La opción Mapping es la que nos interesa. Al pulsar sobre ella nos muestra una pantalla con la lista de los puertos que tenemos en esos momentos monitorizados por el programa
La primera vez que lo usamos, el programa viene configurado con los puertos más utilizados. Para añadir un puerto debemos pulsar sobre el botón Add (pero que sea un puerto que hayas detectado con el scanner)
Es fácil añadir un puerto.
Introducimos en Enter port number to block el número de puerto que queremos bloquear.
En Select protocol type pondremos el protocolo que usa ese puerto (Para ello haremos uso de las listas de puertos)
Tanto la opción de Alerts on access attempt y log all acces attmepts las dejamos como vienen configuradas para que nos avise y guarde los intentos de acceso a los puertos.
Una vez hemos puesto los datos, pulsamos OK, Done y ya ésta. Dentro de la pantalla anterior tenemos las opciones Edit y Delete para editar o borrar un puerto que hayamos seleccionado. Este programa solo acepta el bloqueo de 64 puertos a la vez, pero seran mas que suficientes para nosotros.
Solo 1 puerto no trabaja bien con éste programa, y es el puerto 139. Este lo tenemos que cerrar como se explica en el apartado de Cierre del Puerto 139
Una cosa importante es que realmente el programa acepta siempre las conexiones a los puertos que quiere bloquear, para inmediatamente despues CERRARLOS (sin permitir la entrada).
0 comentarios