none
Telnet abierto, según escaneo de puertos? RRS feed

  • Pregunta

  • Buenas tardes,

       Me gustaría comentaros una duda:

       Según las web www.upseros.org/portscan.php y http://www.internautas.org/w-scanonline.php , tengo el puerto 23 de Telnet, totalmente abierto.
       Tras este escaneo y susto, me voy deprisa al router, y veo que no lo tengo abierto, no lo tengo nateado hacia ningún pc y además, en el pc que tengo detrás del router, en Servicios, tengo Telnet deshabilitado. He mirado bien la configuración del router y no está activado telnet, y he mirado en los Servicios en mi ordenador, y como digo, lo tengo deshabilitado.

      No entiendo que está pasando.

      Muchas gracias por adelantado.

    De todas maneras me gustaría deciros que la contraseña de Administrador (dicha cuenta está cambiada de nombre y no se llama Administrador por cierto) es muy fuerte (15 caracteres, Mayusculas, números, símbolos y ninguna palabra de diccionario).

    Con esto quiero decir que aunque un supuesto atacante lograra acceder por telnet a mi sistema, lo tendría difícil porque la cuenta administrador no existe ? (existe pero le he cambiado el nombre en políticas locales de seguridad) y la contraseña es fuerte.

    Sé que debo cerrar ese puerto, pero no sé porque en este escaneo de puertos me aparece abierto.

     


    Luis Olías Técnico/Admon Sistemas Sevilla (España)
    lunes, 26 de julio de 2010 17:41

Respuestas

  • Hola:

    Primero que nada perdona la tardanza.

    Respecto al primer comentario que hiciste me parece algo interesante (Aunque muchas veces normal).

     

    En muchas ocasiones los ISP no bloquean los puertos basicos de comunicacion como lo son 80, 8080, 21, 22, 23, 135, entre otros. Gracias a esto existe el spam, el filtrado de correos electronicos fraudalentos, los olfateos de tu red mediante escaners de puertos etc etc.

     

    Segun Microsoft cuando hablamos de "Seguridad profunda" hablamos de aplicar una solucion para todos los niveles. Esto ayuda a:

     

    - Detectar mas rapido a los intrusos

    - Limitar la capacidad de los intrusos para que puedan lograr sus acciones

     

    Una solucion para todos los niveles incluye:

    - Datos: Aqui se busca mejorar el control de la lista de control de acceso (ACL)

    Todo esto mediante la authenticacion y cifrado de la informacion. Todo con el objetivo de evitar que la informacion no sea vista por ojos no autorizados.

     

    - Aplicaciones: Reforzar el uso de los programas Antivirus:

    Su correcta instalacion y actualizacion periodicamente

     

    - Host's: Reforzar al sistema operativo:

    La instalacion de las revisiones de seguridad, mejorar la authenticacion y la instalacion de un Sistema de deteccion de intrusos de host

     

    - Red Interna: Creacion de politicas IPsec y IDS de red

     

    - Seguridad Perimetral: Servidores de Seguridad y de cuarentena VPN

     

    - Seguridad Fisica: Guardias de seguridad, bloqueos, dispositivos de seguimiento

     

    Aunque estos puntos mencionados son muy "Globalizados" para una red (Sin importar el numero de PC's en red). Es importante hacer mencion de como tratar de tener las dos fases principales de seguridad en nuestra red Windows.

     

    Las dos fases incluyen:

    - Obtener Seguridad:

    Procedimiento por medio del cual Microsoft ayuda a las organizaciones a alcanzar un nivel de seguridad apropiado.

    Ejemplo de una de muchas herramientas de ayuda:

    MBSA (En cualquier version): Permite analizar la o las computadoras en busca de agujeros de seguridad y otras configuraciones relacionadas con la seguridad del equipo.

    - Estar seguro:

    Procedimiento por medio del cual se aconseja a una organizacion (Mediante los lineamientos basicos de seguridad) como actuar con eficazia ante la o las posibles infecciones por parte de malware y/o ataques de piratas informaticos.

     

    Respecto a los troyanos; el cliente del troyano es el programa usado por el atacante y el server es el "virus" que infecta a la computadora.

     

    Los tipos de conexion de los troyanos son:

     

    Directa: El PC atacante sale a internet a encontrarse con la PC victima

    Inversa: EL PC Victima sale a internet a encontrarse con la PC atacante

     

    El procedimiento vario debido a que los cortafuegos, Sistemas de deteccion de Intrusos y las aplicaciones antivirus detectaban todo el trafico "Malicioso" que intentaba penetrar la red (Mediante la conexion directa).

     

    Los piratas informaticos crearon la conexion inversa por que hace tiempo el trafico de red saliente hacia internet era considerado como "seguro" debido a que obviamente era de nuestra red hacia internet. Sin embargo, una vez que los de seguridad informatica superion eso pusieron manos en el asunto y surgio el termino promiscuo.

     

    Que practicamente relaciona el termino con la manera en que las herramientas de seguridad analizan TODO el trafico, saliente y entrante desde y hacia internet. Gracias a esto los atacantes se obligan a encriptar sus troyanos para evitar sean detectados por los antivirus. !Apuesto que lo has captado!.

     

    El tema de NAT practicamente es obligatorio para los hackers abrir sus puertos para redireccionar un servicio hacia un equipo en concreto.

     

    Esto se debe gracias al asunto de las direcciones IP's variables de internet. El hacker tiene que configurar su troyano, para que este vaya primero a un Dominio DNS (No-ip, Mydns) y este dominio lo rediriga hacia la PC de la cuenta creada (Que es la PC del atacante).

     

    Respecto a la politica de los Hashes felicidades no tengo nada que decir. Ese servicio es muy vulnerable. Y presisamente dentro de las recomendaciones de Microsoft viene establecer politicas GPO's para ese tipo de servicio, con esto evitas ataques de tipo DLL injection.

     

    Los atacantes remotos tratan de usar Remote Shell command para elevar sus privilegios. El netcat es una herramienta creada para la auditoria, pero como es de sospecharse usada por los atacantes.

     

    PDT: Si la respuesta te sirvio marcala como resulta para ayudar a los usuarios que visualizan el post y sepan que han encontrado la respuesta a su problema o dudas.

    PDT: En el google ponle profesional 5 estrellas Microsoft y entra a la academia virtual de Microsoft, toma los cursos de seguridad informatica, y la carrera en seguridad informtica (Son un poco largas y son gratis, pero valen la pena). Yo tengo la certificacion en seguridad con panda labs, pero ahora estoy tomandola con Micrsoft y creeme que ayudan bastante!

     

    Saludos!

    Alfonso Adan Martinez Rios

    Lic en Sistemas Computacionales Administrativos

    Experto en Seguridad Informatica

    Profesional TI Windows Server 2003 ID TechNet 191422

    Certifcado Etica Hacker

    Certificado Windows XP SP2

    Certificado ISA Server 2004

    Certificado Office 2010

     

     

     

     

     

     

    • Marcado como respuesta Luis Olias lunes, 13 de diciembre de 2010 23:35
    lunes, 13 de diciembre de 2010 17:15

Todas las respuestas

  • Hola:

    La verdad es que ese tipo de paginas web para checar los puertos de un router no es simpre confiable. Lo recomendado es hacer un pentesting contra tu red, asi no solo sabras que puertos estan abiertos y cuales cerrados si no que tambien sabras sobre las posibles vulnerabilidades existentes.

     

    Actualmente estoy tomando la certificacion en seguridad en la academia virtual de Microsoft y presisamente alli encontre que un atacante remoto puede usar herramientas como getadmin.exe y SAMDUMP.

     

    SAMDUMP es una herramienta que permite que los hackers exporten el archivo SAM para despues hacer fuerza bruta contra los hashes para sacar las contraseñas de los usuarios de la red.

     

    Getadmin.exe permite que los hackers apliquen privilegios administrativos a una cuenta que no goza de tales privilegios. Claro esta que esta herramienta se brinca la seguridad de agregar una cuenta no administrativa al grupo de administradores de forma automatizada. A este procedimiento se le conoce como "Escala de privilegios".

     

    Sin bien es cierto el puerto telnet abierto suena bastante raro si no lo tienes con una politica NAT hacia un host de tu red en particular. Pero imagina que un atacante haya activado el servicio en alguna de las maquinas de tu red para asegurar el acceso al sistema.

     

    Como es de tu conocimiento los troyanos de conexion inversa permiten saltearse la mayoria de las barreras de seguridad si logran infectar a un equipo en particular. En todo caso el atacante podria instalar un backdoor habilitando el servicio telnet en el equipo comprometido.

     

    En dicho escenario podria haber infinidad de posibilidades para el atacante remoto. Procuraria por todos los medios de usar reverse shell por ejemplo con netcat para asegurar la intrusion.

     

    En fin.. En tu caso yo lo que haria seria checar maquina por maquina si el servicio esta habilitado y obviamente desabilitarlo si no se ocupa. Tambien haria un chequeo de las cuentas en cada una de las maquinas para visualizar que solo las cuentas creadas por el administrador sean las existentes.

     

    Aunque hay metodos para esconder cuentas de usuario un inicio en modo seguro o a prueba de fallos mostraria las cuentas cuyas credenciales son administrativas.

     

    Como hacker de sombrero blanco se me vienen infinidad de formas de poder llevar acabo una intrusion contra una red mediante la activacion de servicios (Aunque desde mi punto de vista es algo tonto).

     

    Saludos!

     

    Alfonso Adan Martinez Rios
    Lic en Sistemas Computacionales Administrativos
    Experto en Seguridad Informatica
    Profesional TI Windows Server 2003 ID TechNet 191422
    Certificado Etica Hacker
    Certificado ISA Server 2004
    Certificado Windows XP Service Pack 2
    Certificado Excel 2010

     

     

    martes, 7 de diciembre de 2010 5:58
  • Buenas Alfonso,

        Muchas gracias por toda la información dada, y por supuesto, por tu tiempo.

        Es muy densa para mi dicha información porque estoy empezando en esto de la seguridad informática y muchas cosas de las que dicen son casi nuevas para mi, pero como digo, he anotado todo porque la respuesta es interesantísima, aparte de mi bien redactada (que no abunda mucho eso por aquí a veces ).

      Me surgen varias preguntas:

      1.Creo que lo dije en la pregunta pero en el router el puerto 23 está dehabilitado, y en el equipo donde estoy haciendo la "auditoría", también lo está el servicio Telnet, esto es lo que me despista más.

     He llamado a mi ISP (Jazztel) y me dicen que es necesario para ellos hacer pruebas y demás, pero no consigo nada porque la persona que me atiende tiene conocimientos muy muy básicos y apnes me da información relevante de porque veo ese puerto abierto sino lo está ni siquiera en el router.

    2.Los troyanos de conexión inversa hace poco oí hablar de ellos. Hasta donde sé, el cliente se instala en el equipo infectado y el server en el equipo del atacante, con lo que no depende sino me equivoco del NAT-Transversal del servidor NAT (router ADSL en mi caso). ¿Es esto correcto?¿Y entonces, antes los troyanos que no eran de conexión inversa, si instalaban el server en el pc de la víctima, tenían que hacer NAT-Transversal?. Me pierdo un poco en estos temas aunque estoy en ello, estudiándolo pero soy un "newbie" (creo que se dice así).

    3.Lo del Pentesting interesantísimo, ahora me pondré a ello

    4.Lo de SamDump, exporta los archivos SAM, pero yo tengo un dominio en la que he aplicado una política de GPO que viene a decir que cuando cambie la contraseña no guarde los hashes LM, lo cual, según una documentación, es algo más seguro ya que LM es muy inseguro y fácil de romper (OphCrack software).

    Yo estoy creando una tabla Rainbow en la que se basan OphCrack y otros software que averigua contraseñas con símbolos. Digo esto porque las tablas rainbow gratuitas se limitan a romper hashes de contraseñas alfanuméricas pero sin símbolos (de este dato no estoy muy seguro).

    El caso es que me etá llevando días crear esa tabla porque tiene todos los caracteres ASCII de manera que si una contraseña tiene símbolos, puede averiguarla.

    5. Lo del Reverse Shell con netcat me suena a chino, jeje, como te digo, no sé demasiado sobre seguridad informática aunque por lo menos procuro tener una defensa proactiva.

    Muchas muchas gracias Alfonso, me has dado una información muy valiosa y sobre todo, densa y que tendré que estudiar.

    Gracias !

     

     


    Luis Olías Técnico/Admon Sistemas Sevilla (España)
    jueves, 9 de diciembre de 2010 7:21
  • Hola:

    Primero que nada perdona la tardanza.

    Respecto al primer comentario que hiciste me parece algo interesante (Aunque muchas veces normal).

     

    En muchas ocasiones los ISP no bloquean los puertos basicos de comunicacion como lo son 80, 8080, 21, 22, 23, 135, entre otros. Gracias a esto existe el spam, el filtrado de correos electronicos fraudalentos, los olfateos de tu red mediante escaners de puertos etc etc.

     

    Segun Microsoft cuando hablamos de "Seguridad profunda" hablamos de aplicar una solucion para todos los niveles. Esto ayuda a:

     

    - Detectar mas rapido a los intrusos

    - Limitar la capacidad de los intrusos para que puedan lograr sus acciones

     

    Una solucion para todos los niveles incluye:

    - Datos: Aqui se busca mejorar el control de la lista de control de acceso (ACL)

    Todo esto mediante la authenticacion y cifrado de la informacion. Todo con el objetivo de evitar que la informacion no sea vista por ojos no autorizados.

     

    - Aplicaciones: Reforzar el uso de los programas Antivirus:

    Su correcta instalacion y actualizacion periodicamente

     

    - Host's: Reforzar al sistema operativo:

    La instalacion de las revisiones de seguridad, mejorar la authenticacion y la instalacion de un Sistema de deteccion de intrusos de host

     

    - Red Interna: Creacion de politicas IPsec y IDS de red

     

    - Seguridad Perimetral: Servidores de Seguridad y de cuarentena VPN

     

    - Seguridad Fisica: Guardias de seguridad, bloqueos, dispositivos de seguimiento

     

    Aunque estos puntos mencionados son muy "Globalizados" para una red (Sin importar el numero de PC's en red). Es importante hacer mencion de como tratar de tener las dos fases principales de seguridad en nuestra red Windows.

     

    Las dos fases incluyen:

    - Obtener Seguridad:

    Procedimiento por medio del cual Microsoft ayuda a las organizaciones a alcanzar un nivel de seguridad apropiado.

    Ejemplo de una de muchas herramientas de ayuda:

    MBSA (En cualquier version): Permite analizar la o las computadoras en busca de agujeros de seguridad y otras configuraciones relacionadas con la seguridad del equipo.

    - Estar seguro:

    Procedimiento por medio del cual se aconseja a una organizacion (Mediante los lineamientos basicos de seguridad) como actuar con eficazia ante la o las posibles infecciones por parte de malware y/o ataques de piratas informaticos.

     

    Respecto a los troyanos; el cliente del troyano es el programa usado por el atacante y el server es el "virus" que infecta a la computadora.

     

    Los tipos de conexion de los troyanos son:

     

    Directa: El PC atacante sale a internet a encontrarse con la PC victima

    Inversa: EL PC Victima sale a internet a encontrarse con la PC atacante

     

    El procedimiento vario debido a que los cortafuegos, Sistemas de deteccion de Intrusos y las aplicaciones antivirus detectaban todo el trafico "Malicioso" que intentaba penetrar la red (Mediante la conexion directa).

     

    Los piratas informaticos crearon la conexion inversa por que hace tiempo el trafico de red saliente hacia internet era considerado como "seguro" debido a que obviamente era de nuestra red hacia internet. Sin embargo, una vez que los de seguridad informatica superion eso pusieron manos en el asunto y surgio el termino promiscuo.

     

    Que practicamente relaciona el termino con la manera en que las herramientas de seguridad analizan TODO el trafico, saliente y entrante desde y hacia internet. Gracias a esto los atacantes se obligan a encriptar sus troyanos para evitar sean detectados por los antivirus. !Apuesto que lo has captado!.

     

    El tema de NAT practicamente es obligatorio para los hackers abrir sus puertos para redireccionar un servicio hacia un equipo en concreto.

     

    Esto se debe gracias al asunto de las direcciones IP's variables de internet. El hacker tiene que configurar su troyano, para que este vaya primero a un Dominio DNS (No-ip, Mydns) y este dominio lo rediriga hacia la PC de la cuenta creada (Que es la PC del atacante).

     

    Respecto a la politica de los Hashes felicidades no tengo nada que decir. Ese servicio es muy vulnerable. Y presisamente dentro de las recomendaciones de Microsoft viene establecer politicas GPO's para ese tipo de servicio, con esto evitas ataques de tipo DLL injection.

     

    Los atacantes remotos tratan de usar Remote Shell command para elevar sus privilegios. El netcat es una herramienta creada para la auditoria, pero como es de sospecharse usada por los atacantes.

     

    PDT: Si la respuesta te sirvio marcala como resulta para ayudar a los usuarios que visualizan el post y sepan que han encontrado la respuesta a su problema o dudas.

    PDT: En el google ponle profesional 5 estrellas Microsoft y entra a la academia virtual de Microsoft, toma los cursos de seguridad informatica, y la carrera en seguridad informtica (Son un poco largas y son gratis, pero valen la pena). Yo tengo la certificacion en seguridad con panda labs, pero ahora estoy tomandola con Micrsoft y creeme que ayudan bastante!

     

    Saludos!

    Alfonso Adan Martinez Rios

    Lic en Sistemas Computacionales Administrativos

    Experto en Seguridad Informatica

    Profesional TI Windows Server 2003 ID TechNet 191422

    Certifcado Etica Hacker

    Certificado Windows XP SP2

    Certificado ISA Server 2004

    Certificado Office 2010

     

     

     

     

     

     

    • Marcado como respuesta Luis Olias lunes, 13 de diciembre de 2010 23:35
    lunes, 13 de diciembre de 2010 17:15
  • Muchas gracias por responder Alfonso !

    Increible la extensa información que me ofreces, mejor dicho, que ofreces a todos los que leemos con iinterés estos temas.

    Estoy gratamente sorprendido por el nivel de conocimientos que desprendes, tanto que tengo que releer tus respuestas dadas debido a mi falta de formación, ya que estoy formándome en Seguridad, pero también en Active Directory, Exchange, Linux, etc

    Repito y perdón por las mayúsculas: INCREIBLES TUS RESPUESTAS, LA PENA ES QUE NO ESTOY A LA ALTURA....y tendré que releer 3 o 4 veces las respuestas e investigar sobre todo lo que dices.

    Y muchas gracias por los consejos de las certificaciones gratuitas, que desconocía totalmente !!

    Mil millones de gracias......Hay poca gente que conteste como tú Alfonso, y se agradece enormemente que ofrezcas tu tiempo y conocimientos !!!

     


    Luis Olías Técnico/Admon Sistemas Sevilla (España)
    lunes, 13 de diciembre de 2010 23:35
  • Fuera de toda esa información majestuosa y técnica yo le voy mas a que tu Router es configurable por Telnet. Yo he tenido varios routers antigüos que podian configurarse por telnet, aunque eran un peligro para la seguridad. Es posible que ese sea tu caso y por eso veas ese puerto abierto.

    Saludos...

    sábado, 15 de enero de 2011 3:51
  • Gracias Yakimeshi por contestar,

       Eso me han dicho los de mi proveedor de internet (Jazztel), que lo necesitan para no se qué, pero lo que he hecho es hacer un falso nat en el router, es decir, he redireccionado el puerto 23 a una IP que no existe, esto me recomendó alguien, pero creo que si está abierto en el router, aún haciendo esta redirección, podrán entrar al router por telnet, no estoy seguro.

     

    Gracias de nuevo por tu tiempo Yakimeshi !

     


    Luis Olías Técnico/Admon Sistemas Sevilla (España)
    lunes, 17 de enero de 2011 23:09