Escaner de puertos y la Netbios

Una de las primeras actividades que un potencial (o no tan potencial) atacante realizará contra su objetivo será sin duda un escaneo de puertos, un portscan; esto le permitirá obtener en primer lugar información básica acerca de qué servicios estamos ofreciendo en nuestras máquinas y, adicionalmente, otros detalles de nuestro entorno como qué sistema operativo tenemos instalados en cada host o ciertas características de la arquitectura de nuestra red. Analizando qué puertos están abiertos en un sistema, el atacante puede buscar agujeros en cada uno de los servicios ofrecidos: cada puerto abierto en una máquina es una potencial puerta de entrada a la misma.

¿Qué es un puerto TCP/IP?

En TCP/IP, el protocolo que usan los ordenadores para entenderse en Internet -y actualmente casi en cualquier otra red-, el puerto es una numeración lógica que se asigna a las conexiones, tanto en el origen como en el destino. No tiene ninguna significación fí#sica.

El permitir o denegar acceso a los puertos es importante porque las aplicaciones servidoras (que aceptan conexiones originadas en otro ordenador) deben 'escuchar' en un puerto conocido de antemano para que un cliente (que inicia la conexión) pueda conectarse. Esto quiere decir que cuando el sistema operativo recibe una petición a ese puerto, la pasa a la aplicación que escucha en él, si hay alguna, y a ninguna otra. Los servicios más habituales tienen asignados los llamados puertos bien conocidos, por ejemplo el 80 para web, el 21 para ftp, el 23 para telnet, etc. Así# pues, cuando usted pide una página web, su navegador realiza una conexión al puerto 80 del servidor web, y si este número de puerto no se supiera de antemano o estuviera bloqueado no podría recibir la página.

Existen 65.535 puertos muchos de ellos jamas se llegan a usar, otros son para usos especificos y otros solos son usados por troyanos, a continuación se ofrece una lista con la aplicación asignada a dicho puerto y su uso mas común:

- Lista de puertos

Un puerto puede estar:

* Abierto: Acepta conexiones. Hay una aplicación escuchando en este puerto. Esto no quiere decir que se tenga acceso a la aplicación, sólo que hay posibilidad de conectarse.
* Cerrado: Se rechaza la conexión. Probablemente no hay aplicación escuchando en este puerto, o no se permite el acceso por alguna razón. Este es el comportamiento normal del sistema operativo.
* Bloqueado o Sigiloso: No hay respuesta. Este es el estado ideal para un cliente en Internet, de esta forma ni siquiera se sabe si el ordenador está conectado. Normalmente este comportamiento se debe a un cortafuegos de algún tipo, o a que el ordenador está apagado.

¿Por qué es peligroso tener un puerto abierto?

Al fin y al cabo los puertos son puntos de acceso a aplicaciones corriendo en un ordenador. Aunque en teoría no fuese un problema, estas aplicaciones pueden tener vulnerabilidades que pueden ser aprovechadas por otros usuarios. Desde el punto de vista de seguridad, es recomendable permitir el acceso sólo a los servicios que sean imprescindibles, dado que cualquier servicio expuesto a Internet es un punto de acceso potencial para intrusos.

También es recomendable el funcionamiento sigiloso para no dar facilidades a los hackers. Algunos hackers hacen escaneos aleatorios de IPs y puertos por Internet (a la espera de cazar alguno en el que entrar y tenga las mejores condiciones para ello), intentando identificar las características de los sistemas conectados, y creando bases de datos con estas. Cuando se descubre una vulnerabilidad, están en disposición de atacar rápidamente a las máquinas que se sabe que son del tipo vulnerable. Además si no se responde se frena a los escáneres de puertos, que esperan un tiempo determinado antes de descartar el intento de conexión.

El inconveniente es la falta de seguridad de TCP/IP frente a los "mirones" que tengan acceso físico a la red, ya que las tramas TCP/IP no van codificadas y con un software adecuado podrí#a capturarse parte de la información que estamos enviando. Para este problema comienzan a surgir soluciones como el protocolo punto a punto apantallado (PPTP), que encripta las tramas TCP/IP que enviamos, estableciendo de esta forma un canal seguro incluso a través de Internet.

Escaners de puertos

Es una herramienta utilizada para detectar puertos abiertos, sirve para controlar el estado de los puertos de cualquier PC conectado a la red.

A continuación, se presentan varios escaneadores de puertos que informan del estado de los puertos, permitiéndonos conocer si somos vulnerables a ataques remotos (puertos abiertos), o si alguna aplicación no deseada (como un caballo de Troya) esta utilizando nuestros puertos de forma inadvertida.

Escaners online

- Upseros
- Shields Up
- Sygate

Descargar escaner personal

- Super scan
- Pc Scanner
- Port detective

 

Netbios

NetBios

Origen

Para comenzar, volvamos al pasado. En 1984, IBM diseñó un simple "application programming interface" (API) para conectar en red sus computadoras, llamado Network Basic Input/Output System (NetBIOS). El API NetBIOS proporcionaba un diseño rudimentario para que una aplicación se conectara y compartiese datos con otras computadoras.

Es útil pensar en el API NetBIOS como en extensiones de red para llamadas de la API BIOS estándar. Con BIOS, cada llamada de bajo nivel está confinada al hardware de la máquina local y no necesita ayuda para viajar a su destino. NetBIOS, sin embargo, originalmente tení­a que intercambiar instrucciones con computadoras de redes IBM PC o Token Ring. Exigió por consiguiente un protocolo de transporte de bajo nivel para llevar las peticiones de una computadora a la siguiente.

A finales de 1985, IBM lanzó dicho protocolo, el cual unión con el API NetBIOS para convertirse en NetBIOS Extended User Interface (NetBEUI). NetBEUI fue diseñado para redes de área local (LANs), y permití­a a cada máquina usar un nombre (de hasta 15 caracteres) que no estuviera siendo usado en la red. Entendemos por pequeña LAN, a una red de menos de 255 nodos -¡Esto se consideraba un restricción práctica en 1985!-.

El protocolo NetBEUI se volvió muy popular en las aplicaciones de red, incluyendo a las que corrí­an bajo Windows para Grupos. Más tarde, emergieron también implementaciones de NetBIOS sobre protocolos IPX de Novell, los cuales competí­an con NetBEUI. Sin embargo, los protocolos de red escogidos por la comunidad de Internet eran TCP/IP y UDP/IP, y las implementaciones de las APIs NetBIOS sobre dichos protocolos pronto se convirtió en una necesidad.

Ten en cuenta que TCP/IP usa números para representar direcciones de computadoras, tales como 192.168.220.100, mientras que NetBIOS usa sólo nombres. Este fue el mayor problema a solucionar a la hora de hacer relacionarse a los dos protocolos. En 1987, El Internet Engineering Task Force (IETF) publicó una serie de documentos de estandarización, titulados RFC 1001 y 1002, que perfilaban cómo NetBIOS podrí­a trabajar sobre una red TCP/UDP. Este juego de documentos todaví­a gobiernan a cada una de las implementaciones que existen hoy en dí­a, incluyendo aquellas proporcionadas por Microsoft para sus sitemas operativos, así­ como a la suite Samba.

Desde entonces, la norma que estos documentos gobiernan se ha conocido como NetBIOS sobre TCP/IP, o NBT para abreviar.

¿Que es la NetBios?

Los sistemas Windows traen activado "de serie" un sistema para poder compartir ciertos recursos, orientado a facilitar dicha tarea en una red, como la que pueden formar varios ordenadores domésticos o de una oficina. Netbios es una interfaz entre aplicaciones que fue desarrollada por IBM para acceder a los recursos de redes locales.

Dicho así­ la cosa no parece ir más allá, pero es uno de los agujeros de seguridad de Windows más frecuentemente ignorado, aunque no pueda calificarse técnicamente como tal. ¿Por qué? porque dicho protocolo es aplicado por Windows a todas las conexiones, no sólo a las de red local sino también a las de Internet, sin filtrar dicha circunstancia, lo que se traduce en que nuestro sistema es receptivo a esas conexiones exteriores.

Mantener esa configuración puede significar que alguien se conecte por uno de los puertos destinado a esa interfaz de comunicación y acceda a las carpetas o recursos designados (que pueden ser desde impresoras compartidas, unas carpetas especí­ficas o todo el disco duro).

¿Estoy compartiendo cosas?

Entra en la carpeta de configuración de red y comprueba si esta activo el protocolo "Cliente para redes de Microsoft" y "Compartir impresoras y archivos".

* W98 - Inicio > Configuración > panel de control > Red > Compartir impresoras y archivos. Quitaremos los elementos "Cliente para redes de Microsoft" y "Compartir impresoras y archivos".
* W2000/Xp - Inicio > Configuración > Conexiones de red > Conexión de área local > Menú archivo > Propiedades Desinstalaremos "Compartir impresoras y archivos para redes Microsoft" y "Cliente para redes Microsoft"


Deshabilitar NetBios desde Windows

Simplemente desactiva esos protocolos anteriormente mencionados desde la configuración de la red.

Deshabilitar NetBios desde un cortafuegos

configura una norma impidiendo la entrada y salida por FTP a los puertos:

137, 138 y 139


<- En el grafico lo que aparece señalado es lo que habria que dejar y el retos quitar.

 

Gracias por todo Silverar, veo que siempre estás muy atento Eres un maquina!
Por cierto, intenté meterlo todo en un solo post pero el problema era que no cabí­a por la extension del texto, aunque así­ creo que está mejor con la division del escaneo de puertos y de la netbios.

Recuerdo a todo el mundo, que en la sección "Diseño y Programación web" subí­ un post en el que explico como hacer tu propio escaner de puertos!!!!

Aquí­ os dejo un enlace directo al Post: http://www.webhostingforo.com/showthread.php?t=241

Simple.. pero efectivo Para el que tenga la curiosidad de probarlo