You are on page 1of 10

SEGURIDAD DE REDES SCO-320 1 ANALISIS DE SEGURIDAD USANDO BACKTRACK INTRODUCCION

ENTORNO ANALISIS DE DEBILIDADES ATAQUE CONTRAMEDIDAS POLITICAS DE SEGURIDAD PROBLEMAS

ESCENARIOS DEBILES EXPLORAR DEBILIDADES RELACIONAR CON LA MATERIA

A que están orientados los puertos
Un puerto de red es una interfaz para comunicarse con un programa a través de una red. En el modelo OSI quien se preocupa de la administración de los puertos y los establece en el encabezado de los segmentos es la capa de transporte o capa 4, administrando así el envío y re-ensamblaje de cada segmento enviado a la red haciendo uso del puerto especificado. Un puerto suele estar numerado para de esta forma poder identificar la aplicación que lo usa. La implementación del protocolo en el destino utilizará ese número para decidir a qué programa entregará los datos recibidos. Esta asignación de puertos permite a una máquina establecer simultáneamente diversas conexiones con máquinas distintas, ya que todos los paquetes que se reciben tienen la misma dirección, pero van dirigidos a puertos diferentes. Los números de puerto se indican mediante una palabra, 2 bytes (16 bits), por lo que existen 65535. Aunque podemos usar cualquiera de ellos para cualquier protocolo, existe una entidad, la IANA, encargada de su asignación, la cual creó tres categorías:  Puertos bien conocidos: Los puertos inferiores al 1024 son puertos reservados para el sistema operativo y usados por "protocolos bien conocidos" como por ejemplo HTTP (servidor Web), POP3/SMTP (servidor de email) y Telnet. Si queremos usar uno de estos puertos tendremos que arrancar el servicio que los use teniendo permisos de administrador. Puertos registrados: Los comprendidos entre 1024 (0400 en hexadecimal) y 49151 (BFFF en hexadecimal) son denominados "registrados" y pueden ser usados por cualquier aplicación. Existe una lista pública en la web del IANA donde se puede ver qué protocolo usa cada uno de ellos. Puertos dinámicos o privados: Los comprendidos entre los números 49152 (C000 en hexadecimal) y 65535 (FFFF en hexadecimal) son denominados dinámicos o privados, normalmente se asignan en forma dinámica a

En Windows. e identificaremos cuál es su PID. se compone por los identificadores de los procesos*. Con ésto. un amigo estaba teniendo problemas con la instalación de Apache. “Dirección local”.SEGURIDAD DE REDES SCO-320 2 ANALISIS DE SEGURIDAD USANDO BACKTRACK las aplicaciones de clientes al iniciarse la conexión. Su uso es poco común son usados en conexiones peer to peer (P2P). obteniendo una pantalla similar a ésta: Observamos que la segunda columna. está compuesta por una lista de sockets (ip:puerto). ejecutada desde la línea de comandos. Usaremos. Nuestra intención es conocer qué aplicación está haciendo uso de dicho puerto. puesto que otra aplicación tenía en uso el puerto 80. identificada como “PID”. O lo que podríamos tomar como sinónimo: qué proceso está ocupando dicho puerto. el comando netstat con la opción -ano. Conocer qué aplicación usa un determinado puerto Hace cuestión de dos semanas. Por otro lado. Le aconsejé seguir algunos pasos.exe que. sólo nos queda abrir el Administrador de tareas (Ctrl + Alt + Supr) y buscar dicho PID en la pestaña de procesos: . Buscaremos el puerto que queremos en la segunda columna. la última columna. nos dará información útil para nuestro fin. por tanto. tenemos la utilidad netstat.

SEGURIDAD DE REDES SCO-320 3 ANALISIS DE SEGURIDAD USANDO BACKTRACK Para poder ver la columna que corresponde. es manejada mediante un identificador Puertos 80 HTTP (PuEl protocolo de transferencia de hipertexto (HTTP. iremos a Ver > Seleccionar columnas y seleccionaremos la casilla “Identificador de proceso (PID)”. que no guarda ninguna información sobre conexiones anteriores. Es un protocolo orientado a transacciones y sigue el esquema petición-respuesta entre un cliente y un servidor. que por defecto no es visible. HTTP fue desarrollado por el consorcio W3C y la IETF.1. siendo el más importante de ellos el RFC 2616. El desarrollo de aplicaciones web necesita frecuentemente mantener estado. es decir. A la información transmitida se la llama recurso y se la identifica mediante un URL. * Decir que una aplicación es vista por el sistema operativo como un proceso que. HTTP define la sintaxis y la semántica que utilizan los elementos software de la arquitectura web (clientes. que especifica la versión 1. Al cliente que efectúa la petición (un navegador o un spider) se lo conoce como "user agent" (agente del usuario). HTTP es un protocolo sin estado. colaboración que culminó en 1999 con la publicación de una serie de RFC. HyperText Transfer Protocol) es el protocolo usado en cada transacción de la Web (WWW). . a nivel interno. Los recursos pueden ser archivos.proxies) para comunicarse. y también permite rastrear usuarios ya que las cookies pueden guardarse en el cliente por tiempo indeterminado. el resultado de la ejecución de un programa. Para esto se usan las cookies. que es información que un servidor puede almacenar en el sistema cliente. servidores. Esto le permite a las aplicaciones web instituir la noción de "sesión". etc. la traducción automática de un documento. una consulta a una base de datos.

Network Basic Input / Output System y hace que la red sea vulnerable a los ataques de los piratas informáticos..osea todas ------------ Puerto 135 (DCOM) (el que utilizó el Blaster) Aviso: hay programas y servicios que hace uso de este puerto. Lo que puedes hacer es crear en el outpost una regla para el proceso svchost..pero si es asi te recomiendo pongas una contraseña desventajas? para que tener un puerto elevadamente peligroso si no lo usas . Dado que es imposible cerrarlo...... No es una caja de enchufe o punto de entrada de cualquier tipo. Es una dirección para una aplicación que se ejecuta en un equipo remoto. ya que por ese puerto con los conocimientos adecuados ..ect ..si no compartes archivos o impresora con otros pc es recomendable cerrar ese puerto. respondiendo a tus preguntas .si se deve cerrar ese puerto si no compartes con otros pc . nunca debe permanecer abierto al exterior.scaner en red . pero solo las entrantes.la impresora .... Activa el firewall (he leido que el outpost es buen cortafuegos..archivos ect ect ..exe (el que verás conectado en el 135) para prohibir todas las conexiones entrantes... si nota algún problema simplemente retornar los pasos. que ai epliee el puerto 139 se usa para compartir archivos . .. . no bloquees las salientes o te dará problemas y si aun así te da problemas no bloquees nada y dejalo estar.scaners. Se asigna a NetBIOS.. ventajas? pues teniendolo una red puedes usar ese puerto para compartir como ya dije impresoras. Se necesita un cortafuegos para bloquearlo de los accesos externos....recursos y dispositivos de tu pc .ect .. El puerto 139 es particularmente detestado por los administradores de red.. Dado que muchos servicios inseguros de Microsoft utilizan este puerto..SEGURIDAD DE REDES SCO-320 4 ANALISIS DE SEGURIDAD USANDO BACKTRACK erto 80) 135 Puerto 135 Servicio RPC ( Remote Procedure Call ). pero deja el 135 abierto por defecto ) y configuralo para no recibir conexión de asistencia remota o de algún otro tipo.. puede que no se desactive por alguno de ellos.se puede llegar a visualizar tus recursos compartidos y entrar en tu sistema si sumamos a esto que mucha gente q usa ese puerto para compartir recursos y de mas no suele poner contraseña para acceder al 139 pues .. este puerto viene en win xp para "ASISTENCIA DE ACCESO REMOTO" ( telefonica utiliza este puerto para espiar la actividad de sus usuarios y para regular la transferencia de ancho de banda ) y esta catalogado como una vulnerabilidad de windows xp... Este puerto imposible de cerrar aparece en la mayoría de los sistemas Windows. 139 El puerto 139 es un dispositivo de programación en red.

El puerto 135 lo comparten el DCOM. El certificado identifica correctamente al website. Cada uno de los nodos involucrados en internet son dignos de confianza. El usuario confía en la autoridad de certificación para dar fe solo para websites legitimos sin nombres engañosos. una conexion HTTPS a un website puede ser validada si y solo si to lo siguiente es verdad: 1. de este modo se logra que la información sensible no pueda ser . conocido por sus siglas HTTPS. Es utilizado principalmente por entidades bancarias. poner el valor antiguo. El sistema HTTPS utiliza un cifrado basado en SSL / TLS para crear un canal cifrado más apropiado para el tráfico de información sensible que el protocolo HTTP. cambiar el parametro Y por N. programador de tareas y MSDTC. o que el usuario confie que la capa de cifrado del protocolo TLS o SSL es inquebrantable. esta confianza esta basada en una autoridad de certificacion para decir en quien deberia confiar. reiniciar y escanear haber si lo tiene deshabilitado. a no ser que se use un cortafuegos para bloquearlo o el puerto no sea accesible desde Internet. 4. 3. La idea de HTTPS es crear un canal seguro sobre una red insegura. y cualquier tipo de servicio que requiera el envío de datos personales o contraseñas. y buscar la entrada: Servicios Programador de HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole Donde pone EnableDCOM. Para solucionar el problema se puede probar con DCOMbobulator 443 Hypertext transfer protocol secure. en propiedades lo para y deshabilita. si lo utiliza o prevee utilizarlo no podra cerrar el puerto 135 Desactivar el servicio Programador de Tareas Inicio Panel de Control Herramientas Administrativas Tareas . si nota posteriormente problemas en alguna instalación o programa. es la versión segura de HTTP. es un protocolo de red basado en el protocolo HTTP. lo que significa que esta firmado por una autoridad confiable. El website proporciona un certificado válido. si se tiene cualquiera de esos servicios el puerto permanece abierto y aceptando conexiones entrantes.SEGURIDAD DE REDES SCO-320 5 ANALISIS DE SEGURIDAD USANDO BACKTRACK Paso Previo El programador de tareas mantiene el puerto abierto. 2. Cambiando el registro Inicio Ejecutar Regedit. Para acabar. tiendas en línea. destinada a la transferencia de datos de hipertexto.

Esto permite al atacante tener acceso al texto plano y al texto cifrado. los dos lugares más comunes de este fallo están en tu estación de trabajo o router Instrucciones 1. del inglés Hypertext Transfer Protocol Secure). El sitio entero puede ser indexado usando una araña web y la URI del recurso cifrado puede ser adivinada conociendo solamente el tamaño de la petición/respuesta. Cómo comprobar si el puerto 443 está abierto El puerto 443 de TCP (TCP. pero refiere el uso de HTTP ordinario sobre una capa de conexión segura cifrada. Limitaciones: El nivel de protección depende de la exactitud de la implementación del navegador web. no es recomendable usar hosting virtual con HTTPS.microsoft. esto quiere decir. pero el protocolo de seguridad opera en una subcapa más baja. sin embargo muchos navegadores antiguos no soportan esta extensión. o protocolo de control de transmisión. 1 Abre un navegador web e intenta cargar varios sitios https.com.SEGURIDAD DE REDES SCO-320 6 ANALISIS DE SEGURIDAD USANDO BACKTRACK usada por un atacante que ya haya conseguido interceptar la transferencia de datos de la conexión. Debido a que SSL opera bajo HTTP y no tiene conocimiento de protocolos de nivel más alto. 3. Si al menos una de estas conexiones se realiza correctamente. como www. El puerto estándar para este protocolo es el 443. 2 3 Haz clic en "Start" (Inicio) y posiciona tu cursor en el cuadro "Search" (Buscar). los servidores SSL solo pueden presentar estrictamente un certificado para una combinación de puerto/IP en particular. tu conexión a cualquier sitio https fallará y el navegador mostrará un mensaje de error como "Secure Connection Failed" (Error de conexión segura) o "Page Cannot be Displayed" (La página no se puede mostrar). existe una solución llamada server name indication (SNI) que envía el host name al servidor antes de que la conexión sea cifrada. Para determinar si el puerto 443 está abierto a una dirección de servidor remoto. del inglésTransmission Control Protocol).microsoft. HTTPS no es un protocolo separado. el software del servidor y los algoritmos de cifrado actualmente utilizados. tales como la página web de tu banco. 2. Secure Socket Layer (SSL) o una conexión con seguridad de la capa de transporte (TLS). y https://www. HTTPS es vulnerable cuando se aplica a contenido estático de publicación disponible. o protocolo de transferencia de hipertexto seguro. Sin embargo. sigue los Pasos 2 al 4. . permitiendo un ataque criptográfico. Escribe "cmd" (sin comillas) y pulsa "Enter".com. cifrando un mensaje HTTP previo a la transmisión y descifrando un mensaje una vez recibido. es el predeterminado que utiliza el HTTPS (HTTPS. Si este puerto está bloqueado en cualquier servidor o dispositivo desde la computadora hacia un destino determinado. el puerto 443 está abierto en tu extremo. que en la mayoría de los casos. HTTP opera en la capa más alta del modelo OSI (capa de aplicación).

domain. o LAN con acceso a Internet puede resultar sin embargo en un riesgo de seguridad enorme. el puerto 443 está abierto . Microsoft. Si por ejemplo está utilizando un router como puerta de enlace a Internet. 138 (bajo UDP) y 139 (con TCP). como su nombre de Dominio. recibirás un mensaje de error "Could not open a connection to host on port 443 : Connect failed" (no se pudo abrir una conexión al host en el puerto 443: error de conexión) 445 ** 445 solo 2000/XP ¿Para qué se usa el Puerto 445 en Windows 2000/XP? Dentro del nuevo conjunto de puertos que se comienzan a utilizar desde Windows 2000 y se mantienen en Windows XP/2003.domain.com. Es muy importante entonces. se añade la posibilidad de utilizar SMB directamente sobre TCP/IP. El protocolo SMB (Server Message Block) es utilizado. Si está utilizando un equipo con múltiples tarjetas de red (una para conexión a Internet y otra para conexión a la red interna). sin esa capa adicional en NetBT. utilizando los conocidos puertos 137. Por ejemplo. En Windows NT corría sobre NetBT (que viene a ser NetBIOS sobre TCP/IP). para compartir archivos en Windows NT/2000/XP. se utiliza el puerto 445. Cualquier tipo de información. Si el puerto está cerrado. Si está utilizando un Firewall entonces debería bloquear desde ahí dichos puertos. grupo de trabajo o estaciones. En Windows 2000/XP/2003. se encuentra el Puerto 445 que se utiliza para trabajar con el protocolo SMB sobre TCP. En su forma más simple. Para tal propósito. 4 Escribe "telnet servername. Propiedades de Conexión .com" con cualquier dirección de servidor Web mediante HTTPS). NetBIOS en su red pueda que sea algo inofensivo. Si recibes una pantalla en blanco con un cursor parpadeante. entonces es recomendable deshabilitar la opción de NetBIOS en cada tarjeta de red o conexión de acceso telefónico que no sea parte de la red local.com 443" (reemplaza "servername. tanto como la información de las cuentas de usuario es obtenible via NetBIOS. NetBIOS en su WAN .SEGURIDAD DE REDES SCO-320 7 ANALISIS DE SEGURIDAD USANDO BACKTRACK 4. entonces sería bueno configurarlo para que no permita tráfico entrante o saliente a través de los puertos TCP 135-139. que NetBIOS no salga de su red. entre otras cosas.

pues no. Si hay una respuesta desde el puerto 445. porque con lo anterior deberia bastar. tratará también con el puerto 139.SEGURIDAD DE REDES SCO-320 8 ANALISIS DE SEGURIDAD USANDO BACKTRACK Inicio Panel de Control Conexiones de Red y de Acceso Telefónico red (click derecho en la conexion) Propiedades Funciones de Red Conexiones de Cliente Redes Microsoft y Compartir Archivos e Impresoras : Desinstalarlo (Si no esta compartiendo nada ni tiene red local) Protocolo Internet (TCP/IP): Propiedades Opciones Avanzadas WINS Marca Deshabilitar NetBios sobre TCP/IP ¿Cómo desactivar el Puerto 445? Ejecutar Regedit. se comunicará con dicho puerto solamente. en propiedades lo para y deshabilita. Si el cliente tiene NetBT habilitado. Si ambos fallan. Este cambio en el registro es necesario. el windows los deja abierto aun si no se hace este pequeño cambio en el registro. Deshabilitar servicio (por seguridad y ahorro de memoria) Inicio Panel_de_Control Herramientas_administrativas NetBIOS sobre TCP/IP . . trabajar mejor bloqueando puertos de acceso. NetBIOS sobre TCP/IP es NetBT. Uso de los puertos por parte del Cliente/Servidor ¿Cuándo Windows XP/2000/3 usa el puerto 445. y buscar la entrada: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters La cadena TransportBindName la renombrais a TransportBindNameX Reiniciar tras el cambio. la sesión de comunicación fallará por completo. y “servidor” a la computadora con los recursos que son compartidos. Como antes se mencionó. y cuándo el 139? Para éste ejemplo. navegar en o compartir archivos y carpetas con computadores Windows XP/2000/3 cuando NetBIOS se desactiva. llamaremos “cliente” a la computadora desde la cual accesaremos a recursos compartidos. Servicios Ayuda de Importante: Computadoras que ejecuten un sistema operativo anterior a Windows 2000 no serán capaces de ubicar. Hay que tomar en cuenta esta consideración en redes mixtas y dado el caso entonces. siempre tratará de conectarse al servidor con los puertos 139 y 445 de forma simultánea. pero si algo falla.

Puertos 5000 y 1900 (uPnP) Dos opciones: Con el programa UnPlug n’Pray http://www. se accede a un página que realiza directamente un escaneo remoto los “puertos bien conocidos” de la máquina analizada. Sygate Escanea desde un sistema remoto los puertos más comunes. y en los TCP 139 y 445. sólo escuchará mediante el puerto 445. y hace un escaneo en las siguientes webs. desactiva el firewall. Hay más servicios que desactivar y más puertos. la sesión fallará por completo sin intentar usar el puerto 139. los utilizados por algunos troyanos y los protocolos. en propiedades lo paramos y deshabilitamos.com/files/UnPnP. Califica los puertos como Abiertos. Muestra el resultado en el propio navegador. si el servidor contesta a través del 445. indicando en que estado se encuentra cada uno de los puertos estudiados. al venir por defecto activados con Windows. Si NetBT está deshabilitado. Si el sistema sale a Internet a través de un proxy.exe O deshabilitando directamente el servicio de windows que hace uso de esos puertos Inicio Panel de Control Herramientas_administrativas Servicios descubrimientos SSDP . mientras que con el firewall activo le apareceran como invisibles. Servicio de ¿Están realmente cerrados? Muy sencillo. Un ejemplo de este caso es cuando el controlador del dominio es un Windows NT Server.grc. le deberán aparecer como cerrados. Si no contesta. la sesión se establece y continúa en ese puerto. siempre tratará de conectarse a su servidor utilizando el puerto 445. Si el equipo servidor tiene NetBT habilitado. Upseros Al pulsar en el icono. “escucha” en los puertos UDP 137 y 138. Cerrados o Bloqueados. y no los de la máquina correcta. chequea los puertos de este. sólo del sistema local.SEGURIDAD DE REDES SCO-320 9 ANALISIS DE SEGURIDAD USANDO BACKTRACK Si el cliente tiene NetBT deshabilitado. pero solo he puesto los necesarios. Otra opción es: .

SEGURIDAD DE REDES SCO-320 10 ANALISIS DE SEGURIDAD USANDO BACKTRACK Dirigirse al Editor del símbolo del sistema (Inicio presione ENTER). Dentro del Editor escriba: netstat -an Ejecutar y escriba CMD. luego Verifique que su computadora ya no “escuche” al puerto que haya cerrado .