Tema: Netbios open, pero necesitado. Help me. (SOLUCIONADO)

[Lector]

Hola. :victory:

Amig@s, esta ves acudo a ustedes por lo siguiente.

Preocupado por mantener el Servidor de mi cyber libre de virus y demás, actualizo absolutamente todo, todos los días. (y lo corro casi todo, todo los días)

Antivirus NOD32 2.51.12, ZoneAlarm Pro 6.0.667.000 (instalación gracias a tuto: Power by Miyu  8-)), The cleaner, Ad-Aware, SpyBot S&D, HiJackThis, SpyWareBlaster, NoAdware y por último el PestPatrol Corporate Edition 5.

Bue... no sé si esto será una burrada y me falta algo o será paranoia en extremo. Espero que sea lo adecuado. :amazing:

El tema que me preocupa en concreto es el siguiente.

Como esto es un cyber, tengo compartido una carpeta con películas y música, sin derechos de escritura, pero compartida al fin. O sea que tengo Netbios totalmente open (en el ENT 3.2 -uso de programa según a tuto: Power by BuHo  8-)- con un portscan me sale open: epmap;netbios-ssn;microsoft-ds)

Lo que más me preocupa es que con Essential NetTool, puedo ingresar a mí mismo, como por un tubo (y el firewall ni moscas que me avisa de nada), porque no tengo contraseñas en dicha carpeta, para que los usuarios puedan entrar directamente.

Pregunta...: cómo puedo restringir el acceso desde fuera de mi red local a estás carpetas? En el firewall, tengo acotado mi grupo de trabajo con las IP´s de los terminales y nada más.

Tengo que definir alguna regla avanzada en el ZoneAlarm? cómo lo tendría que hacer?

Les cuento que me he leido las FAQ´s (soy Lector, don´t forget  :P), pero no encontré cómo capar el acceso externo, sólo cómo deshabilitar el mismo.

Espero no haberme extendido mucho (como de costumbre  :unhappy:) y que me puedan ayudar en mi fear.

Un saludo y, como siempre, gracias por anticipado.  :wink:

[Saturn]

Hola amigo,

Cuando dices que entras como por un tubo, deduzco que lo haces desde fuera de tu red local, ¿no? ¿Que programa usas para gestionar los recursos compartidos de tu red?

Yo creo que el tema pasa por configurar el Firewall. No conozco la versión PRO 6 del ZoneAlarm, e ignoro si es posible ponerle reglas de filtrado, pero lo suyo sería instalar uno que sí deje, y que te permita mayor control de IP's y puertos.
Incluso que, desde donde defines la carpeta como recurso compartido, que limites el uso a usuarios logueados y validados en la red local.

No se si te he entendido mal... ¿solo quieres que haya acceso a esa carpeta desde la red local, no?

Por otro lado, yo también soy un paranoico de la seguridad, y pienso que cuanta más mejor, aunque muchas veces caigo en el solapamiento y eso solo lleva a problemas. Pero si te funciona el sistema, pues adelante.

No se como lo tienes montado, yo pondría un PC como "frontend", que recibiera las peticiones desde fuera hacia dentro de tu red, y desde aquí podrás controlar mejor el tráfico que te interese, claro está, si los programas que usas te lo permiten.

Espero haber servido de algo.

Cuentanos que tal te va.

[Lector]

Como se dice por acá.., vamos por partes Jack. 

Pues no, hago el testeo desde el propio Servidor. (ahora que lo digo me parece una burrada, o no???  :|) y los recursos de la carpeta compartida... bue... botón derecho del mouse--> Compartir y seguridad-->Compartir esta carpeta en la red--> Aceptar.  :| :|
Me recomendás algun soft? Lo estoy haciendo a lo tonto? Sería mejor si esa carpeta la conecto a una unidad de red?

La versión de firewall si permite reglas avanzadas, el tema es que no es un firewall configurable para puertos, sino para software solamente.

.. y si, me entendiste mejor de lo que me expliqué, solo quiero acceso a esa carpeta desde mi red.

El sistema me anda perfecto. (bue... me aparece un cartelito de ves en cuando, pero creo que no viene al tema, ni esta relacionado,- después lo pongo en otro post, jaja!!! para que curren otros )

Con respecto a como lo monté...: Linea de ADSL a modem USB--> directo el Servidor--> a este lo conecto al swich/hub via placa de red y comparto solo internet--> todas las demás terminales van directo al swich/hub. Los terminales tienen asignadas IP´s fijas y compartido el disco D: con derecho de R/W (no se lo digan a muchos que me van a hacer destrozos  :sealed:)

Bue... no more :victory: Espero que me puedan seguir orientando y te agradezco mucho el interes y tiempo.

Un saludo. :wink:

[Saturn]

Holas de nuevo,

1.- El testeo deberías hacerlo desde fuera de tu red, para así saber exáctamente qué están viendo desde fuera. Piensa que la mejor manera de combatir al enemigo es conocerlo y saber como actúa.

2.- ¿Que sistema operativo usas? Si es XP, desde el servidor puedes crear un Grupo de usuarios y colocar dentro a los PC's de tu red, entonces, desde los permisos de la carpeta compartida, darle únicamente acceso a ese grupo. Revisa también los usuarios y permisos de la pestaña seguridad.
Lo de crear una unidad virtual es bastante cómodo también. Me parece buena idea.

3.- El modem USB. Aquí veo un posible problema. Deberías hacerte un scan On-Line desde GRC para ver que puertos tienes abiertos, pues los modems USB a veces dejan bastante cosa a la vista.
Imagino que lo que pretendes es que tu red local tenga acceso a internet, y que no entre nada desde fuera, ¿no? Quiero decir, ¿no tienes ningún servidor de correo, web, o ftp instalado?
Si es así, realiza el scan. Todo lo que no te bloquee el modem, deberás cerrarlo tú por software, en este caso, con el firewall.
Yo te recomendaría un router que te permitiera configurar reglas de filtrado para los puertos, y para mayor seguridad, un firewall al mismo estilo, quizás Kerio. (ignoro si hay otro que trabaje igual y sea gratuito)
Pero antes de cambiar tu configuración, hazte el scan, si no detecta nada abierto, es que el tema está bastante bien.

4.- Y cuando compartas algo, revisa los permisos, porque por defecto te lo va a compartir "a tope".

espero te sirva de algo el "tocho" que escribí.

Salu2

[Lector]

Gracias de nuevo, Saturn.

1- El testeo lo voy a tener que ir a hacer desde otra parte, nomás. Veré cúndo y dónde?

2- Uso el mismo XP Pro, con todos los parches en todos los equipos (el los terminales no tengo instaldo el .Net Framwork)
Todos lo equipos están dentro del mismo grupo de grabajo, si a eso te refieres.

3- Hace unas semanas hice un monton de testeos de este tipo, con los enlaces que aportó Rocha en un post que ahora no recuerdo donde está. (depues lo busco y lo apuno aca.)  me salia solo del Netbios y creo que otra cosilla que no recuerdo tampoco. Los voy a hacer de nuevo y apunto los resutados.

Solo que tengan acceso a internet (y a la dichoa carpeta) eso solo quiero de mis terminales. Y no, no tengo instalado ninguntipo de servidor instalado.

El firewall que uso es el ZoneAlarm por el sencillo motivo de que yo no estoy todo el día en el negocio. O sea que no soy el único que tendría que pelear con los avisos del firewall, y la otra persona que está no tiene idea de cómo reaccionar ante ellos. Basante me costó hacerla aprender al actual (que me parece el más fácil de usar). (no es que yo sepa mucho, pero.. si algo que no conozco quiere entrar: "Denegar" y listo, :P pero ella de ves en cuando se lo saltea)

4-No fear, en el Server son solo de lectura.

Espero que me quieras seguir tirando ideas despues del tocho que tambien escribí.

Un saludo y un gracis re groso.

P.D.: Los fin de semana las gracias se dan dos veces. :wink:

[Saturn]

Reholas,

Seguimos por partes...

1.- OK Ya nos contarás el resultado. Mientras tanto también puedes hacer uno On-Line.

2.- Cuando dije lo de los grupos, me refería a los usuarios de cada equipo, que pertenecieran a un grupo de usuarios. Esto es, cuando XP arranca, debe de haber un usuario activo, supongo que habrás creado uno para cada máquina y le habrás dado para que se inicie automáticamente. Pues bien, puedes hacer 2 cosas:
    2.a) La más rápida: Desde los permisos para esa carpeta compartida, da acceso solo a esos usuarios que conoces.
    2.b) La más cómoda: Desde el servidor te creas un grupo de usuarios donde incluyes al usuario de cada máquina, y luego los permisos de la carpeta los das a ese grupo, así, si alguna vez incluyes o quitas usuarios del grupo, no has de volver a redefinir la carpeta.

3.- ¿Los escaneos que te hiciste On-Line son los que detectaron el NETBIOS abierto?
Puedes probar a hacerlo desde este link. y da igual que lo hagas desde el servidor porque el escaneo se realiza desde la máquina en internet y hacia tu servidor.
Es bastante bueno, puedes llegar a testear todos los puertos, y alguna que otra cosilla más.
NETBIOS no debería estar abierto a internet. Y esto es trabajo del Firewall (ya que el modem USB creo que no permite filtros). No he trabajado con el ZA PRO, mira a ver si tienes alguna opción para bloquear puertos desde internet y bloqueas el NETBIOS.

Como te dije, el mayor problema que veo es el firewall, Hazte este escaneo On-line que nos sacará de dudas, y podremos ver que deja pasar el ZoneAlarm.

Por otro lado, si no encuentras como hacer el test desde fuera de tu red, seguro que algún/a compañer@ de este foro te puede echar un cable (y no al cuello, claro, jejeje).

Venga amigo, seguimos investigando.

[Lector]

Buen Día!!!

Este es el post de Rocha con todos los enlaces para probar puertos. Click

1- Los hice todos y estos son los resultados grales.:

grc.com
1025 open

Y me mostraba este aviso:
Your Internet connection has no Reverse DNS (esto no lo puedo alterar yo, no. Depende mi ISP, no es así?)

alken.com
Tested ports that are Open but not accepting connections:
25, 110, 1080, 81, 8080, 136,

hackerwatch.org
139 (Net BIOS)  Secure
This port is completely invisible to the outside world. Closed but Unsecure


auditmypc.com
tcp     1025 Open


firewalls.com
Todo cerrado.


upseros.com
139      NetBIOS     Puerto filtrado      INVISIBLE
135      RPC                Puerto filtrado        INVISIBLE

internautas.org (en esta web se puede elegir los puertos a escanear)
Todos cerrados          (inclusive el 1025)

sygate.com
135  Location Service BLOCKED
139  NetBIOS BLOCKED
445  Server Message Block BLOCKED
8     ICMP OPEN


2- Es como dices, entran automatico a un usuario.
2.a) :what: :what: :what:  No sé cómo se hace eso. :beaten:
2.b) :what: :what: :what:  Tampoco sé con qué se como. :beaten:  :X Me podrías orientar, de nuevo, en esto.

3- Ahora que me acuerdo, me parece que todavia no habia iinstalado el Firewall.

Por lo de que alg@n compañer@ me haga una prueba, está bueno. (Siempre que no sea una de alcoholemia. Juerrrr tio, hoy es domingo y la resace en eso no puede bloquear como los puertos. Jua jaja  :victory:)


Gracias de nuevo Saturn y espero tus cables.

Un saludo. :wink:

[Saturn]

Vaya tela, cuantas más pruebas hagas, más resultados diferentes se obtienen. Parece que se pongan de acuerdo...
Hay para todos los colores, amigo.    El problema va a ser... ¿de quien nos fiamos? :P
( Lo del DNS reverse sí, depende de tu ISP. )

Bueno, en cualquier caso, si detectan que algo hay "no invisible", "Houston, tenemos un problema...".  :what:
Creo que si quieres estar más seguro a lo que pueda entrar a tu red, lo mejor va a ser filtrar los puertos, o bien con un Firewall que permita hacerlo, o con un router que haga lo mismo.

En cuanto al punto 2:
Lo primero que debes de hacer es (desde una ventana) ir a Herramientas / opciones de carpeta y, en la pestaña ver, desmarcar la última opción de abajo: "Utilizar uso compartido simple de archivos". Esto te permitirá asignar permisos a las carpetas que compartas. Ya veras la diferencia.
Desde el servidor, en Panel de control / Herramientas administrativas / Usuarios y grupos, puedes crear los que desees a tu antojo, y colocar los usuarios en uno u otro grupo.
    2.a) Para asignar permisos de usuario a una carpeta, cuando estás compartiendo, desde el botón "permisos" y la pestaña "seguridad" lo puedes controlar.
    2.b) Idem que el 2a, pero das permisos al grupo que te hayas creado.

Voy a mirar si hay manera de filtrarlos desde el Zone.
¿Cual es tu modem? igual se deja meter reglas de filtrado.

Salu2

[MClaud]

hackerwatch.org
139 (Net BIOS)  Secure
This port is completely invisible to the outside world. Closed but Unsecure
firewalls.com
Todo cerrado.
upseros.com
139      NetBIOS     Puerto filtrado      INVISIBLE
135      RPC                Puerto filtrado        INVISIBLE
internautas.org (en esta web se puede elegir los puertos a escanear)
Todos cerrados          (inclusive el 1025)
sygate.com
135  Location Service BLOCKED
139  NetBIOS BLOCKED
445  Server Message Block BLOCKED

El de Upseros es confiable pero todos te dan el netbios cerrado ó filtrado, al margen de que en una cabina con banda ancha ó adsl la dire ip es dinámica lo que hace que para encontrar tu dire sea un tanto dificil ya que la ip que podria recibir un usuario desde un correo ó messenger desde una de tus pcs solo sería valida en ese dia, al einiciar las pcs al dia siguiente tus ip serán distintas si a esto le añades un firewall la cosa se complica para acceder desde fuera.
Si es hoy domingo, enviame un mp con tu ip actual y te hago un scaneo

[Saturn]

Wenas de nuevo,

Charlando con el amigo Dest, me ha comentado lo de los niveles de seguridad del Zone Alarm PRO. Asegurate de tenerlos en High, como muestra la imagen de este link.

Esto debería cerrarte los puertos desde fuera.

Prueba a ver que tal.