Foros de daboweb
SEGURIDAD INFORMATICA, Firewall, parches, vacunas, antivirus, anti troyanos, spyware etc => Seguridad Informatica - Firewall - Virus - Troyanos - Spyware - Ad Aware - Malware => Mensaje iniciado por: Inscientia en 12 de Febrero de 2004, 03:11:56 am
-
Hola :D
Después de haber usado el firewall de Mcafee me pasé al ZoneAlarm y ahora me he pasado al Outpost free (como tiene muchas más opciones de configuración supongo que será mejor... :mrgreen: )
Manual en pantalla, me lo he configurado tal como dice en la web de Coburn y Agika. Y ahora me he puesto a mirarlo todo y me han surgido muchas dudas que después de buscar en 200 sitios no se me han ido. Así que os pido una ayudica.
Ahora en conexiones me figuran 6: Generic host process for win32 services, Aplicattion layer gatawey service, System, KL control center, conexión netbios (no la tengo permitida, además la tengo deshabilitada en el xp) y el firebird.
- Cuando acerca de una conexión permitida nos dice que el puerto remoto es n/a ¿eso quiere decir "no activo" o algo así? En System también me pone n/a en la columna de "equipo remoto".
- En System, donde figura el protocolo de las conexiones, en una de ellas pone RAWSOCKET. He buscado por ahí sobre rawsocket pero no he sido capaz de entender ni pruna :? (hablaban de cosas rarísimas)
- Sobre las tres primeras conexiones que tengo, hay una cosa que me sorprende mucho, es el hecho de que necesiten tantos puertos cada una de ellas. Ayer estuve leyendo un post sobre los servicios de windows aquí y hoy no lo encuentro :shock: La cuestión es que todos esos puertos (20 en total) estan "listen" según el Active Ports :(
- Por último, le acabo de dar permiso al update del Mcafee para que se conecte y no me aparece en conexiones (tampoco en permitidas ni en bloqueadas --> lo he mirado por si la había bloqueado sin darme cuenta)
Bueno, pues de momento esto es todo. Si veis que hay algo que daba leerme a fondo (algún artículo, post , manual o lo que sea) yo encantada, porque con tanta preguntita igual responderme a todo (y que yo lo entienda) es complicadillo.
Salu2 y muchas gracias. :)
-
bueno, ahora estoy liado pero cuando quieras probamos ese firewall, a ver que tal esta configurado ok???
a ver si te posteo algo de informacion o buho u otro te dicen algo
saludos :lol:
-
http://www.protegerse.com/outpost/support/index.html
Esta bastante bien.
¿Te has hecho test de escaneo?
Pau lo utiliza, mañana cuando se de una vuelta igual te puede ayudar. A mi los 20 puertos abiertos por los servicios de Win me parecen demasiados. Yo tengo tres ahora mismo pero bien cubiertos por Sygate (o eso dicen los test ).
Saluetes.
-
Hola Dabo
Lo de probarlo me parece perfecto.
Me espero a mañana entonces.
Nos leemos.
Gracias :D
-
Hola halo, que no había visto tu post.
Voy a ello!
-
vale amiga, mira lo que ha posteado halo, hoy estoy :cry: cansadete pero mañana le damos caña, ademas, tengo un par de scanners ocupados con unos "capulletes" de spywarers
nos leemos y mañana le damos caña al outpost, probaremos con 4 escaneres a ver que pasa
saludos :lol:
y te dire algo de esos procesos
-
este post me viene muy bien por que al final hoy he instalado el outpoost y he quitado mi querido norton :lol:
aprovecho para preguntar una cosa y no abro otro post ya que va del outpoost
en un primer scan que me he hecho me muestra el puerto 135 y el 445 como escuchando, son los unicos que me ha pillado el sss
no estoy muy seguro si el firewall los bloquea aunque se muestren escuchando , ah, netbios lo tengo deshabilitado, y en cuanto al 135 tengo parcheado el xp por lo del blaster
¿como se cierra un puerto especifico en el outpoost? es que quiero cerrar esos dos
Manual en pantalla, me lo he configurado tal como dice en la web de Coburn y Agika
inscientia me puedes poner el link de esa web
-
En esta ventana le das a Añadir:
(http://www.protegerse.com/outpost/images/1st/ou101817_048.gif)
y desde aqui:
(http://www.protegerse.com/outpost/images/1st/ou101817_031.gif)
creas primero una bloqueando UDP de cualquier IP y en cualquier direccion, y despues otra igual pero para TCP.
no estoy muy seguro si el firewall los bloquea aunque se muestren escuchando
¿Has visto los cristales de las peliculas en ruedas de los reconocimientos? Pues funciona igual. Estando el cortafuegos no deberian de dar señales de vida. Yo no tuve que crear reglas especificas para ningun puerto. Pase todos los scan menos los de Sygate que me daban como cerrados y no como invisibles.
http://webs.ono.com/usr040/Agika3/5Tutorial/Outpost/Outpost.htm
Saluetes. 8)
-
Hola chicos
A ver, después de requetemeterle la zarpa al outpost con el manual de Agnitum que puso Halo (gracias Halo :wink: ) y después de volverme a hacer los escaneos en www.pcflank.com, me sale esto:
el outpost me dice que tengo 10 puertos abiertos, de los cuales (según el escaner) figuran como
- cerrados= 5
- abiertos= 1
Me he hecho todos los escaners de pcflank.com y me dan los puertos restantes como invisibles.
Bueno, algo he mejorado, aunque creo que no es suficiente verdad?
Salu2
-
(gracias Halo )
De nada, pa eso estamos. :wink:
No deberia darte ninguno abierto. ¿Cuales son los que tienes abiertos?, has probado a crear reglas especificas para ellos?.
Saluetes. :D
-
gracias halo, pero he tenido que quitar el outpoost hace un rato
se me reiniciaba el pc cada dos por tres y al volver a windows salia el mensaje de que se ha recuperado de un error grave, lo he desinstalado y todo ha vuelto a la normalidad y era el firewall el que provocaba el error
no entiendo el por que no se lleva bien con mi pc :?
-
buenas
Inscientia todos los puertos a la hora de hacerte un escaneo online deberían darte como cerrados o invisibles, cualquier otra situación puede ser preocupante, que no alarmista, ya que siendo relativamente fiables, en ocasiones contienen errores, incluso alguna pequeña configuración de un navegador puede alterarlos, así que a parte de los de pcflank, prueba algunos otros para quedarte más tranquila
en la sección cortafuegos tienes unos cuantos escaneos online para probar http://www.alerta-antivirus.es/
de todas formas yo te recomendaría el outpost de pago sobre el free, ya que este posee algunas funciones desactivadas, incluso me da que no piensan seguir desarrollandolo
en cuanto al tema de los puertos activos y en escucha interesante, ya días atrás hice mención a algo parecido, a ver si mañana tengo un poquito más de tiempo y puedo confirmar algunas cositas
de entrada a mi el outpost me crea reglas configuradas para bloquearme los puertos 135 y el 445, incluso observo en sus logs intentos de conexión o escaneos rechazados, pero a pesar de eso le cree un sin fin de reglas añadidas, pero no digo más que tengo que confirmar cosas antes de hablar, que siga el hilo abierto que me parece la mar de interesante.
saludos
saludos
-
Triple cruzada :wink:
Que la aplicacion este escuchando no quiere decir que el cortafuegos no haga su trabajo.
http://www.derkeiler.com/Service/PortScan/
Cojonuo, lo dejo Saturn en un post en Softonic. Cuando os salga lo de la contraseña, en los dos huecos poneis "scan" sin comillas.
Sygate lo pasa sin problemas. Ademas tuve que "aflojarlo" porque se mosqueaba enseguida, bloqueaba esa IP y no habia manera de terminar el escaneo.
Saluetes.
-
bueno, como se ha dado mucha e interesante informacion ( gracias halo por esa informacion, espero tu respuesta Pau :lol: ) por aqui ando
si alguno quiere que le mire como está, dejar un mensaje que ponga "scan" y luego os copio y pego
estare hasta la 1, 30 o asi
saludos :lol:
-
Hola, he hecho todo lo que decis y estos son los resultados:
- según los escáners que hay en alerta-antivirus y alguno más que me he hecho --> todo está ok
- según el escaner de www.pcflank.com tengo abierto el 2869 y cerrados 3002, 3003, 3004, 3278 y 3279
- según el escaner de http://www.derkeiler.com/Service/PortScan/ los tengo todos ok (entre un escaneo y el otro no he cambiado ninguna regla)
Para poner invisibles o bloquear (no sé lo que debo hacer) esos 6 puertos que tengo mal ¿que regla tengo que crear? ¿esta?
--> protocolo tcp+salida >> bloquear
Paulet sobre lo que dices del outpost de pago, en cuanto me aclare con el free, creo que seguiré tu sugerencia.
Otra cosa, los puertos 445 y 135 me los dan invisibles todos los escaners.
Salu2 y gracias :)
-
perdona amiga, se me pasaba que quedamos hoy para el scan, estoy en ello, luego te comento :wink:
-
Dabo, ¿donde hay que dejar el mensaje que ponga scan?
:( es que no sé a que te refieres
-
okis Dabo...cruzada de mensajes... :wink:
-
- según el escaner de www.pcflank.com tengo abierto el 2869 y cerrados 3002, 3003, 3004, 3278 y 3279
- según el escaner de http://www.derkeiler.com/Service/PortScan/ los tengo todos ok (entre un escaneo y el otro no he cambiado ninguna regla)
Para poner invisibles o bloquear (no sé lo que debo hacer) esos 6 puertos que tengo mal ¿que regla tengo que crear? ¿esta?
--> protocolo tcp+salida >> bloquear
Paulet sobre lo que dices del outpost de pago, en cuanto me aclare con el free, creo que seguiré tu sugerencia.
Otra cosa, los puertos 445 y 135 me los dan invisibles todos los escaners.
La prueba de NMAP es a los primeros 16xx (no me acuerdo bien). Eso seria una explicacion.
Esos puertos has de bloquearlos, tanto salida como entrada, tanto UDP como TCP.
Cuanto antes lo hagas pro mejor. Si quieres el abracadabra enviame en un MP una direccion a donde poder enviartelo.
Saluetes.
-
jaja
bueno, de momento el tema va bien, mientras acaba os dire que lo ideal de un firewall sobre todo para los de ADSL o Cable, que no cambian la IP cada vez que desconectais como los de modem, lo ideal ademas de que el firewall bloquee ciertos servicios activos o intentos externos de conexion, es que haga que vuestro ordenador "no exista", me explico, que no se sepa que hay un sistema "vivo" al otro lado de la linea, por eso, lo ideal es que en un escaneo realizado la respuesta sea que "no hay respuesta"
Porque si alguien va a por vosotros, por ejemplo, leyo un post vuestro en un foro que deje la IP escrita , lo que le hara desistir es que no vea ninguna respuesta, de ese modo, el posible intruso/a pensara que o bien esa IP ya ha sido cambiada por vuestro proveedor o que vuestro PC no esta "online"
Porque si consigue ver algun servicio activo (normalmente suelen aparecer el puerto 80 para la navegacion web y el 25 para el envio de correo) sabe que estais alli...y eso puede hacer que sus escaneos sean mas inicisivos
por explicarme, a la hora de intentar atacar, un intruso/a lo que suele hacer la primera vez es un escaneo "normal", todo lo mas un "syn-sthealt" si de primeras no ve nada puede pensar...( a veces influenciado por su EGO) bueno, no esta on line, vamos a por otro, puede pensar "bah , no tiene firewall, si no, lo traspasaria"
pensar que ese intruso/a estara acostumbrado a detectar con ese tipo de scans maquinas activas y se puede confiar, es como una "eliminacion automatica" y si ve que "algo hay"...puede tomarselo mas en serio
sigo con tu scan, por lo que veo, tu firewall esta trabajando bien, rechaza los pings y ahora con los pings desactivados, mi escaner esta bajando su frecuencia de escaneo ya que tu firewall le esta rechazando y bloqueando mi IP...
despues de esta fase, cambio de tecnica pero digo que normalmente con el tiempo que lleva, yo podria pensar que alli "no hay nada"
saludos
-
Estupendo dabo, gracias por la explicación.
Sigo por aquí
Salu2
-
esta aguantando muy bien, de momento nada, ni con fragmentacion de paquetes, ni suplantando IP, ni sin ni con pings, ni UDP en fin, que va la cosa muy bien
ya te cuento :wink:
-
bueno, ya he podido ver algo
tu conexion es con ono no??
veo los puertos 25 y 110 (smtp y pop 3)
sigo :wink:
-
pues sí ...ono :mrgreen:
juer, si yo no uso gestores de correo... MENTIRA!! no los uso PERO aún tenía instalado y vivito el pocomail :? (lo acabo de desinstalar)
-
bueno amiga, la verdad es que ese firewall hace muy bien su trabajo, nada mas que esos dos, solo eso y despues de un monton de pruebas, algo mas igual se podria hacer pero...
para tomar tanto interes tendrias que ser un grandisimo objetivo :wink: para ese posible intruso/a y te aseguro que estas muy bien protegida
enhorabuena amiga, solo me quedaria otra opcion que llevaria mucho mas tiempo , tendria que bajar un monton la frecuencia de los barridos y fragmentarlos ademas, pero ya te digo , en un 90 % de scans ni aparecerias
saludos :lol:
-
oee oee oee oeeeeeee :D
Por fin!!!! Esto ya era cuestión de amor propio: o el outppost o yo :mrgreen:
Creo que ya os conté que era mi tercer intento de pasarme del zone al outpost y siempre acababa volviendo al zone alarm porque llegado a un punto me atascaba y cada vez lo tenía peor... que malo es acomodarse...
Insisto, GRACIAS a todos por vuestra ayuda y por la paciencia.
Salu2
-
gracias a ti por servir como ejemplo amiga, te aseguro que ese firewall con unas buenas reglas de filtrado es de lo mejor que he visto, sobre todo teniendo en cuenta que te deja navegar no como el tipico caso del Zone que si, te "oculta" casi del todo pero que no te deja ni moverte
enhorabuena, ahora mismo con estos servicios desactivados...
eres casi "invisible" porque la invisibilidad absoluta es cosa de dios ? :wink: :lol:
-
:wink:
-
:wink: :D
-
buenas
poco que añadir como novedades sobre el outpost, aún no pude comprobar nada, joe demasiado curro, e interesantes los resultados del scan
halo muy oportuno tu comentario sobre que el puerto esté escuchando no quiere decir que el cortafuegos no esté realizando correctamente su trabajo
saludos :roll:
-
los links que habeis puesto para probar los he pasado todos , tambien me he hecho un scan y solo me pillo el 25 y el 110 ahora, los cierro en el firewall pero me los sigue mostrando el scan :? ¿tengo que desinstalar el outlook? lo uso muy poquito o sea que no me importa quitarlo
otra cosa, me hago un ping a mi pc desde el mismo y dice que no estoy , se pierden los paquetes, o sea como si estari desconectado ¿eso es el firewall que los rechaza no?
-
En principio solo deberian estar abiertos esos puertos si tienes servidores de correo instalados, cuando envias tu un correo o lo recoges, lo que hace tu ordenador es llamar a los puertos 25 y 110 del ordenador remoto, pero los del tuyo no se utilizan(el ejemplo mas claro es que para ver paginas web tu no necesitas tener abierto el puerto 80).
En cuanto a lo del ping, puede que sea el firewall
-
otra cosa, me hago un ping a mi pc desde el mismo y dice que no estoy , se pierden los paquetes, o sea como si estari desconectado ¿eso es el firewall que los rechaza no?
efectivamente, es asi, la mayoria de los firewalls los bloquean por defecto
respecto a los puertos , me extraña que no sean "cerrados" por tu firewall, igual hay falsos positivos por el router ( que tienes ADSL ?) pero tambien piensa que no tengas un open relay y permita mandar mails via telnet al puerto 25 sin autentificacion (lo cual no creo que sea asi)
una cosa es que cierres ese puerto y otra que tu firewall lo haga "invisible" que es su funcion
ya hablaremos de ello :lol:
-
En principio solo deberian estar abiertos esos puertos si tienes servidores de correo instalados,
no, no tengo servidrores instalados
respecto a los puertos , me extraña que no sean "cerrados" por tu firewall, igual hay falsos positivos por el router ( que tienes ADSL ?)
la conexion es cable
una cosa es que cierres ese puerto y otra que tu firewall lo haga "invisible" que es su funcion
en esto es donde creo que me he liado, el firewall si creo que los cierra, de hecho creo que rechazaria cualquier intento de conexion a esos puertos, pero yo al verlo en el scan con el sss crei que si estaba abierto, y yo lo que queria es que lo haga invisible, ahi es donde me lie al pensar que era lo mismo
-
me temo que el SSS esta dando falsos positivos con esos puertos, te lo digo porque acabo de mirarte la conexion con el NMAP y nada de nada, ademas a ti no hace falta que te pida permiso :lol: :lol:
-
me temo que el SSS esta dando falsos positivos con esos puertos, te lo digo porque acabo de mirarte la conexion con el NMAP y nada de nada, ademas a ti no hace falta que te pida permiso
sera eso que da falsos positivos por que es el unico scan que me los pilla, ningun otro me muestra ningun puerto :D