El Informático

¿Quieres reaccionar a este mensaje? Regístrate en el foro con unos pocos clics o inicia sesión para continuar.

Informática, Actualidad Digital, Consejos sobre seguridad, Conoce el modus operandi de los hackers para saber como protegerte.

Bienvenido al Foro el Informático. Puedes intercambiar enlaces con Nosotros.

    ¿Cómo prevenir un escaneo de puertos?

    System
    System
    Admin
    Admin


    Cantidad de envíos : 37
    Fecha de inscripción : 09/04/2009

    ¿Cómo prevenir un escaneo de puertos? Empty ¿Cómo prevenir un escaneo de puertos?

    Mensaje por System Jue Sep 03, 2009 6:38 pm

    Como ya hablamos en los anteriores post, cada una de las comunicaciones que nuestro ordenador realiza sobre el protocolo tcp deben de estar divididas y diferenciadas entre sí, para lo cual, a cada conexión que nuestro ordenador realiza hay que asignarle un número identificador unico, el número se denomina puerto de comunicación.

    Donde hay un puerto de comunicación hay una conexión abierta y en uso, y al mismo tiempo preparada para recibir y enviar datos.

    Existen herramientas de escaneo de puertos abiertos, de hecho el escaneo de puertos es una técnica ampliamente por los hackers y administradores, habitualmente se utiliza para auditar máquinas y redes con el fin de saber que puertos están abiertos o cerrados, los servicios que son ofrecidos, o chequear la existencia de un firewall y su correcto funcionamiento. Esas tareas fácilmente pueden ser llevadas a cabo en un administrador de sistemas, aunque también se pueden utilizar con oscuras intenciones.
    Eso es lo que pretendemos evitar, que nuestro equipo sea menos vulnerable a estas técnicas.

    Estos son algunos tipos de escaneos:

    TCP Connect:
    Esta es una técnica rápida y simple, pero tiene el inconveniente de que hace saltar las alarmas y se detecta fácilmente.
    Su base está en intentar establecer una conexión con el puerto de lejos remoto o mediante la llamada conect(), sea llamada se establece el puerto está abierto.

    TCP SYN:
    Este es un tipo de escaneos que no establecer una conexión completa, al enviar un bit SYN se recibe respuesta de contesta con RST para desactivar la conexión, y no se recibe respuesta es que el host está desconectado, o que se está filtrando la conexión en ese puerto.

    Stealth Scan:
    Este tipo de escaneo intenta enviar FIN esperar la respuesta de la víctima, si ignora los paquetes enviados, entonces el puerto está abierto.

    Reverse Ident (TCP):
    Que ataque consiste en un escaneos normal de tcp pero Servando si el puerto 113 está abierto con el objeto de conocer la identidad del dueño de los servicios que corren en los puertos de la máquina.

    Ping Scan:
    El nombre lo dice todo y se suele usar para saber si el ordenador está activo.

    Bounce Attack (FTP):
    Con este ataque aprovecharía most la conexión FTP, utilizándola como proxy, para escanear a través de un servidor ftp.
    El funcionamiento es muy simple; al utilizar el comando port y creando una dirección y un puerto y solicitando una transmisión de datos, si genera un error 425, significaría que el puerto cuestión está cerrado.
    Por ello, que la primera medida de seguridad que debemos tomar para evitar el escaneos de puertos es habilitar la opción TCP Proxy.

    UDP Scan:
    Esta escaneo mostrará los puertos abiertos que utilizan el protocolo UDP.

    ACK Scan:
    Este ataque se utiliza para saber el tipo de configuración que tiene el cortafuegos y saber si el tráfico se ha filtrado o no.

    Idle Scan:
    Mediante este ataque de podría tener constancia de los puertos abiertos en el ordenador y el atacante podría ocultar su IP mediante ordenadores zombies.

    RCP Scan:
    Consiste en enviar el comando NULL a los puertos TCP y UDP para comprobar si son puertos RPC y conocer qué programas y la versión del mismo que se está ejecutando.

    Esto nos da una clara idea de las variadas técnicas que se pueden utilizar para conocer los puertos de nuestro ordenador, cuales están abiertos y que programas se están ejecutando, con esta información, un Hacker experto podría poner en jaque nuestra Seguridad.

    Ahora vamos a nombrar algunos métodos y sistemas para, en algunos casos, detectar las intrusiones anteriores.

    Un cortafuegos o firewall es la medida más básica y eficaz, aunque no definitiva, de evitar la mayoría de las intrusiones.

    Nuestro ordenador puede monitorizar toda las conexiones del sistema, son los llamados logs, es útil saber que esto existe, ya que con ello quedaría constancia de quienes han intentado acceder a nuestro ordenador.

    Aparte de estos dos sistemas de protección que acabo de nombrar, los Hackers están más controlados, ya que existen los llamados IDS (sistemas de detección de intrusión).Estos sistemas son parte de la internet y detectan, por ejemplo, un escaneo un masivo de puertos, entre varias máquinas.
    Existen Aplicaciones IDS “Caseras” como Cyber Cop, Cisco NetRanger, TripWire, Snort, y L.I.D.S.

    ¿En que medida debemos estar tranquilos a la hora de realizar conexiones en internet?

    Existen puertos preasignados por defecto en nuestros ordenadores, y se sabe el protocolo de comunicación que corre por esos puertos, por ejemplo, se sabe puerto 21 trasmite datos a través del protocolo FTP rato o protocolo transferencia de archivos, como ya sabemos los datos que ciruclan a través de este protocolo, es decir, el lenguaje que utiliza para comunicarse y realizar las conexiones, un puerto 21 abierto sería un camino muy fácil para introducirnos en el sistema.

    Todos los programas, aplicaciones, el explorador de internet, incluyendo el programa de mensajería instantánea funcionan través de puertos, de todos ellos podemos conocer los protocolos y los puertos que utilizan para comunicarse, por eso , lo único que podemos hacer, primer lugar filtrar las comunicaciones, y en segundo lugar hacer desaparecer nuestros puertos y ocultarlos ante un posible scaneo.

    Estás dos técnicas de protección se pueden llevar a cabo mediante buen firewall y una adecuada programación del mismo. Básicamente todos se podría reducir a conocer con seguridad los programas o aplicaciones a los cuales les vamos a permitir establecer conexiones a través de nuestro firewall.

    En el post anterior vimos que un archivo podía ser sustituido parcial o totalmente mediante un rootkit, por eso al instalar cualquier programa de seguridad es recomendable de nuestro sistema esté en Limpio, ya que podríamos estar permitiendo el acceso a internet a un programa de malignas intenciones, y no estaremos nunca exentos de que al descargar e instalar una nueva aplicación dudosa, ésta puede resultar ser lo que no esperábamos.

    Se ha dado el caso programas que pretendían ser herramientas de eliminación de Malware, resultaban ser aplicaciones, elevadas intenciones, como por ejemplo el caso de Spyware protect 2009.

      Fecha y hora actual: Jue Mar 28, 2024 1:31 pm