NetBios y Telnet

[loureed4]

Buenos días,

Acabo de registrarme en esta página, la cual conocía pero nunca había navegado mucho por ella.

El motivo de mi consulta es que me estoy inciando en temas de seguridad y me gustaría preguntaros un par de dudas que me surgen:

1- Leyendo sobre NetBios, leo frecuentemente que es un agujero de seguridad importante, que deshabilite de mi tarjeta de red "Compatir Archivos e impresoras" sino tengo nada que compartir, y que deshabilite "Cliente de red Microsoft" sino voy a ser cliente de ninguna red o no voy a conectarme a recursos compartidos de otros equipos de mi lan.

Haciendo un escaneo de puerto desde las dos webs más conocidas, veo que tengo los puertos de NetBios cerrados (137,138,139,445) (no estoy seguro si 445 es también NetBios).

Mi pregunta es saber porque constituye un agujero de seguridad ya que el supuesto atacante va a encontrarse con esos puertos cerrados en el router, aunque en mi tarjeta de red tenga lo de "Compartir archivos" y "Cliente de redes Microsoft" activados. Es decir, como puede ese atacante meterse en mi sistema? Y otra pregunta, aún colándose en mi sistema, si tengo una fuerte política de contraseñas , que es mi caso, no podrá hacer nada o al menos lo tendrás más difícil ya que son contraseñas muy robustas (Mayusculas, minúsculas, números, símbolos, no palabras de diccionarios, mas de 14 caracteres).

2-Esta segunda duda es sobre el servicio Telnet, el cual tengo dehabilitado en "Servicios" y en el router, y, aún así, aparece como abierto según escaneos online desde dos diferentes páginas webs dedicadas a eso, al escaneo de puertos. No entiendo esta circunstancia, es decir, porque aparece abierto dicho puerto cuando en mi ordenador está deshabilitado el servicio y en el router también. El router es un Comtrend HG536+. Digo el modelo del router porque según un profesor, este modelo da problemas, por ejemplo, al intentar acceder a él desde la WAN por http, lo cual hasta ahora me ha resultado imposible, habiendo hecho múltiples pruebas.

Muchas gracias por adelantado !

Un saludo y enhorabuena !

[j8k6f4v9j]

Buenos días,

Acabo de registrarme en esta página, la cual conocía pero nunca había navegado mucho por ella.

Bienvenido.

El motivo de mi consulta es que me estoy inciando en temas de seguridad y me gustaría preguntaros un par de dudas que me surgen

A ver qué podemos hacer

1- Leyendo sobre NetBios, leo frecuentemente que es un agujero de seguridad importante, que deshabilite de mi tarjeta de red "Compatir Archivos e impresoras" sino tengo nada que compartir, y que deshabilite "Cliente de red Microsoft" sino voy a ser cliente de ninguna red o no voy a conectarme a recursos compartidos de otros equipos de mi lan.

Haciendo un escaneo de puerto desde las dos webs más conocidas, veo que tengo los puertos de NetBios cerrados (137,138,139,445) (no estoy seguro si 445 es también NetBios).

Mi pregunta es saber porque constituye un agujero de seguridad ya que el supuesto atacante va a encontrarse con esos puertos cerrados en el router, aunque en mi tarjeta de red tenga lo de "Compartir archivos" y "Cliente de redes Microsoft" activados. Es decir, como puede ese atacante meterse en mi sistema? Y otra pregunta, aún colándose en mi sistema, si tengo una fuerte política de contraseñas , que es mi caso, no podrá hacer nada o al menos lo tendrás más difícil ya que son contraseñas muy robustas (Mayusculas, minúsculas, números, símbolos, no palabras de diccionarios, mas de 14 caracteres).

Si tuvieras que compartir recursos en tu red, esa protección que comentas (política de contraseñas adecuada) sería muy conveniente. Además, se pueden implementar otras muchas medidas de protección. Es el eterno dilema de la seguridad, con el que nos encontramos continuamente: ¿seguridad, o comodidad? La seguridad no siempre es cómoda.

La otra protección de tu red, es decir, el hecho de que no se haga NAT desde afuera hacia los servicios de netbios de tu/s máquina/s, ya no sólo es conveniente, sino absolutamente imprescindible si no es completamente necesario ese servicio de cara a clientes de Internet. Aún así, sin estar mapeados los puertos de netbios (o cualquier otro servicio inseguro) desde fuera, los servicios locales siguen constituyendo un vector de ataque ante una intrusión más elaborada.

La máxima es, "si no lo utilizas, quítalo". Todo servicio es explotable, y netbios no tiene precisamente fama de ser seguro. Mantener servicios inseguros e innecesarios sólo puede llevar, en lo que a seguridad se refiere, a proporcionar un vector de ataque a alguien que consiga algún tipo de acceso a nuestra red local (a través de cualquier otro servicio, de la red inalámbrica, de un virus, un troyano, etcétera).

2-Esta segunda duda es sobre el servicio Telnet, el cual tengo dehabilitado en "Servicios" y en el router, y, aún así, aparece como abierto según escaneos online desde dos diferentes páginas webs dedicadas a eso, al escaneo de puertos. No entiendo esta circunstancia, es decir, porque aparece abierto dicho puerto cuando en mi ordenador está deshabilitado el servicio y en el router también.

Efectivamente es un fallo del router. Aparece abierto porque responde a determinados paquetes de preparación de la conexión, pero no significa que esté realmente proporcionando un servicio de telnet. Si intentas conectarte a él mediante telnet estando éste deshabilitado, verás que no es posible. Lo ideal sería que en el puerto se hiciese un DROP de todos los paquetes que le llegasen por ese puerto, desde luego.

El router es un Comtrend HG536+. Digo el modelo del router porque según un profesor, este modelo da problemas, por ejemplo, al intentar acceder a él desde la WAN por http, lo cual hasta ahora me ha resultado imposible, habiendo hecho múltiples pruebas.

Conozco estos routers y dejan mucho que desear. Tienen además otras limitaciones importantes.

Hay una forma de ofrecer hacia fuera la interfaz web de administración del router. Puedes instalar un proxy inverso en alguna máquina de la LAN. Luego, rediriges a tu proxy el tráfico entrante por el puerto 80, y tu proxy lo redirige a la dirección IP del router. De ese modo, estarás ofreciendo hacia fuera la interfaz web de administración que ves desde dentro. Obviamente, es un servicio muy arriesgado que conviene monitorizar exhaustivamente, ya que estamos hablando de seguridad

Muchas gracias por adelantado !

Un saludo y enhorabuena !

Gracias a ti.


Salu2

[loureed4]

Buenas noches,

Muchas gracias por la respuesta y por tu tiempo.
La verdad es que tu post contiene mucha información que tengo que "digerir" porque como dije, estoy empezando en esto de la seguridad en redes.

Me surgen varias dudas respecto a tu post, como el "drop" del puerto 23, que creo que te refieres a temas de firewalls, pero no estoy seguro de que es eso del drop.

Con respecto a NetBios, viene por defecto como todos sabemos, y en una red corporativa incluso todos los pc´s xp que haya tendrá habilitado como mínimo "Cliente para redes Microsoft" para entrar en el dominio, sino me equivoco.

Imagino hay formas muy buenas de implantar una buena seguridad perimetral, es decir, con firewalls fisicos y/o software (Fortinet e ISA Server respectivamente, por ejemplo). De hecho yo en mi dominio tengo un ISA Server 2004, que algo de seguridad da, aunque sé que tengo que implementar muchas más medidas, como la política de contraseñas fuertes a nivel de GPO´s, etc. En fin, son muchas dudas las que tengo y debido a que hoy ha sido un día muy duro para mi y por la hora que es (23:45), prefiero releer tu post y cuando haya asimilado la infromación, responder o abrir otro post.

Reitero las gracias por tu tiempo !!

Un cordial saludo!