NorfiPC »
Como lo Hago »
Detectar intrusiones de red
Detectar intrusiones de red en tu PC. Consejos para neutralizarlas.
Diagnosticar conexiones entrantes | Verificar dirección IP | Analizar puertos abiertos | Cerrar puertos peligrosos | Deshabilitar reproducción automática | El archivo hosts | El poder del archivo hosts
Diagnosticar las Conexiones Entrantes.
¿Tienes alguna duda y sospecha que cuando estas conectado a Internet algún intruso penetra por la conexión de red a tu PC?, ¿crees que sea posible que aunque tengas un software antivirus instalado puedan espiarte y acceder a tus documentos y archivos personales?, ¿crees que alguien te pueda robar a través de la red tus contraseñas y datos más secretos?, puede que no sea una idea tan descabellada, para cerciorarte puedes hacer las siguientes pruebas:
Cierra todos los programas y conexiones. Abre una ventana de símbolo del sistema, teclea
Si se te hace difícil descarga el batch en el link mas abajo, descomprímelo y ejecútalo.
Lo que te va a aparecer en pantalla es una tabla con 4 columnas y diversas filas que contiene la siguiente información:
Cierra todos los programas y conexiones. Abre una ventana de símbolo del sistema, teclea
INICIO>CMD, en la ventana de MSDOS que se abre ingresa tal como está aquí escrito: NETSTAT -n 10.Si se te hace difícil descarga el batch en el link mas abajo, descomprímelo y ejecútalo.
Batch para ejecutar NETSTAT
Lo que te va a aparecer en pantalla es una tabla con 4 columnas y diversas filas que contiene la siguiente información:
Proto: Nos indica el protocolo utilizado para la comunicación por cada una de las conexiones activas (La que te interesa es TCP).
Dirección Local: Nos indica la dirección origen de la conexión y después de los dos puntos: el puerto.
Dirección Remota: Nos indica la dirección de destino, su IP y el puerto.
Estado: Nos indica el estado de dicha conexión en cada momento.
Los estados posibles son:
LISTENING: El puerto está escuchando en espera de una conexión.
ESTABLISHED: La conexión ha sido establecida.
CLOSE_WAIT: La conexión sigue abierta, pero el otro extremo nos comunica que no va a enviar nada más.
TIME_WAIT: La conexión ha sido cerrada, pero no se elimina de la tabla de conexión por si hay algo pendiente de recibir.
LAST_ACK: La conexión se está cerrando.
CLOSED: La conexión ha sido cerrada definitivamente.
Dirección Local: Nos indica la dirección origen de la conexión y después de los dos puntos: el puerto.
Dirección Remota: Nos indica la dirección de destino, su IP y el puerto.
Estado: Nos indica el estado de dicha conexión en cada momento.
Los estados posibles son:
LISTENING: El puerto está escuchando en espera de una conexión.
ESTABLISHED: La conexión ha sido establecida.
CLOSE_WAIT: La conexión sigue abierta, pero el otro extremo nos comunica que no va a enviar nada más.
TIME_WAIT: La conexión ha sido cerrada, pero no se elimina de la tabla de conexión por si hay algo pendiente de recibir.
LAST_ACK: La conexión se está cerrando.
CLOSED: La conexión ha sido cerrada definitivamente.
• En la columna Dirección local la IP
• El numero 10 después del comando
127.0.0.1 es propia del sistema, si tienes alguna red de área local tiene el formato 192.168.*.*.• El numero 10 después del comando
NETSTAT significa el intervalo en segundos en que se va a actualizar la pantalla, puedes aumentarlo o disminuirlo. Después que te familiarices con la información de la ventana entonces conéctate a la red que utilizas y comienza a realizar lo que haces normalmente siempre monitoreando la pantalla de
NETSTAT.Como verificar e identificar la dirección IP
Cualquiera conexión establecida extraña que veas y no se corresponde con nada de lo que haces, puedes verificar la IP que aparece en la columna de Conexión remota en el siguiente formulario, introduce la dirección o arrastrala del navegador.
Esto puede ser muy útil para detectar la actividad de troyanos, spam y otras intrusiones en nuestra PC, también indispensable para poder diagnosticar cualquier conflicto de redes.
Detectar conexiones con el exterior
Para detectar si alguna aplicación en tu computadora está realizando conexiones con el exterior, puedes usar la opción:NETSTAT –b, te mostrará los datos de la aplicación. Como estos tipos de conexiones suelen ser aleatorias y breves, lo ideal es chequear la conexión cada cierto intervalo de tiempo, para eso usa la siguiente opción: NETSTAT -B 10>>%userprofile%\Desktop\Conexiones_establecidas.txt, este comando hará que NETSTAT chequeará cada 10 segundos las conexiones al exterior y escribirá el resultado en un archivo de texto que creará en el escritorio nombrado Conexiones_establecidas.txt, el que podrás revisar y leer periódicamente.
Tambien te puede interesar leer la siguiente página, en ella podras descargar varias aplicaciones útiles para el trabajo en redes:
Ver, conocer, e identificar con NETSTAT las conexiones activas establecidasBatch para ver las conexiones activas establecidas.
Te muestra todas las conexiones que tienes establecidas, los puertos, los PID (identificadores de procesos) y las direcciones IP de origen de cada conexión. El programa refresca los datos cada 5 segundos aproximadamente.Saber que puertos tienes abiertos en tu PC.
Para saber que puertos tienes abiertos de una forma sencilla, escribe en la ventana del intérprete de comandos lo siguiente como lo ves aquí: NETSTAT -an |find /i "listening", te mostrará el listado de los puertos que tienes abiertos en este momento.
Verifica que puertos tienes abiertos en este momento, (solo Internet Explorer) No cierres la ventana y sigue leyendo para que sepas el uso de cada uno de ellos.
Antes de seguir ten presente que:
Hay puertos que usas para tu comunicación y servicios de internet y no constituyen ningún peligro como por ejemplo:
Verifica que puertos tienes abiertos en este momento, (solo Internet Explorer) No cierres la ventana y sigue leyendo para que sepas el uso de cada uno de ellos.
Antes de seguir ten presente que:
Un puerto abierto no es necesariamente peligroso. Estas en riesgo solo si el programa que usa el puerto tiene códigos dañinos. Un puerto no es abierto por el sistema operativo, es abierto por un programa específico queriendo usarlo. Para cerrar un puerto, usualmente solo es necesario cerrar el programa ó servicio que mantiene dicho puerto abierto. Así que no hay razón para cerrar todos los puertos en tu sistema. En realidad, sin tener puertos abiertos, no funcionaría internet!
Hay puertos que usas para tu comunicación y servicios de internet y no constituyen ningún peligro como por ejemplo:
21 Puerto de FTP. Te permite descargar archivos que se encuentran en servidores FTP
25 SMTP Puerto de email. Uso del correo electrónico
80 Puerto del HTTP. A traves de el se realiza toda la comunicacion necesaria para el funcionamiento de las páginas web.
110 POP3 Puerto de email. Uso del correo electrónico
531 Puerto IRC. Funcionamiento del chat
25 SMTP Puerto de email. Uso del correo electrónico
80 Puerto del HTTP. A traves de el se realiza toda la comunicacion necesaria para el funcionamiento de las páginas web.
110 POP3 Puerto de email. Uso del correo electrónico
531 Puerto IRC. Funcionamiento del chat
Como cerrar puertos considerados peligrosos.
Puerto 135
El puerto 135 lo comparten el DCOM, programador de tareas y MSDTC, si se tiene cualquiera de esos servicios el puerto permanece abierto y aceptando conexiones entrantes
Ciérralo deteniendo los servicios anteriores o modificando la siguiente clave del registro:
En EnableDCOM, cambiar el parametro Y por N
El puerto 135 lo comparten el DCOM, programador de tareas y MSDTC, si se tiene cualquiera de esos servicios el puerto permanece abierto y aceptando conexiones entrantes
Ciérralo deteniendo los servicios anteriores o modificando la siguiente clave del registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\OleEn EnableDCOM, cambiar el parametro Y por N
Puertos 137,138,139 y 445
Si el equipo tiene NetBios habilitado, "escucha" en los puertos UDP 137 y 138, y en los TCP 139 y 445. Si NetBios está deshabilitado, sólo escuchará mediante el puerto 445.
Para deshabilitar NetBios, en propiedades de Protocolo de internet 4(TCP/IPv4) >Opciones avanzadas >WINS selecciona Deshabilitar NetBios a través de TCP/IP.
Para desactivar completamente NetBios a través del registro modificar la siguiente clave:
renombrar TransportBindName a TransportBindNameBAK
Si el equipo tiene NetBios habilitado, "escucha" en los puertos UDP 137 y 138, y en los TCP 139 y 445. Si NetBios está deshabilitado, sólo escuchará mediante el puerto 445.
Para deshabilitar NetBios, en propiedades de Protocolo de internet 4(TCP/IPv4) >Opciones avanzadas >WINS selecciona Deshabilitar NetBios a través de TCP/IP.
Para desactivar completamente NetBios a través del registro modificar la siguiente clave:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parametersrenombrar TransportBindName a TransportBindNameBAK
Puertos 5000 y 1900 (uPnP)
Deshabilitando el Servicio de descubrimientos SSDP, cierras las conexiones al puerto 1900 UDP, y el 5000 TCP
Deshabilitando el Servicio de descubrimientos SSDP, cierras las conexiones al puerto 1900 UDP, y el 5000 TCP
Herramientas para configurar los puertos abiertos de tu PC
Una medida básica de seguridad es conocer que puertos tenemos, cuales están abiertos, quien mandó a abrirlos, que programa o aplicación se comunica a través de ellos, con quien se comunica, cual es la dirección IP con la que establecen conexión.
Para eso te ofrezco una alternativa más avanzada, es una diminuta aplicación llamada Current Ports, no es necesario instalar, solo ejecútala y te mostrara en una lista todos los puertos abiertos por conexiones TCP/IP y UDP. Por cada puerto abierto en la lista te muestra información como: el nombre del proceso, dirección IP remota, la ruta de la aplicación que lo crea, cuando fue creado, etc.
Adicionalmente te permite cerrar las conexiones indeseadas, cerrar los procesos, y guardar toda la información en un archivo. La aplicación también marca con un color rosado los puertos sospechosos abiertos por conexiones sin identificar.
esta es la versión 1.75 traducida al español por mí, si deseas una versión más reciente puedes descargarla gratuitamente en la web del autor: http://www.nirsoft.net
Para eso te ofrezco una alternativa más avanzada, es una diminuta aplicación llamada Current Ports, no es necesario instalar, solo ejecútala y te mostrara en una lista todos los puertos abiertos por conexiones TCP/IP y UDP. Por cada puerto abierto en la lista te muestra información como: el nombre del proceso, dirección IP remota, la ruta de la aplicación que lo crea, cuando fue creado, etc.
Adicionalmente te permite cerrar las conexiones indeseadas, cerrar los procesos, y guardar toda la información en un archivo. La aplicación también marca con un color rosado los puertos sospechosos abiertos por conexiones sin identificar.
Descargar Current Ports
esta es la versión 1.75 traducida al español por mí, si deseas una versión más reciente puedes descargarla gratuitamente en la web del autor: http://www.nirsoft.netBatch para ver los puertos en escucha
Batch que te muestra los puertos que tienes en este momento abiertos y que están a la escucha en espera de alguna conexión. Deshabilitar Reproducción Automática de Medios Extraíbles.
Una recomendación, si a menudo en tu PC se conectan memorias flash, pendrives, tarjetas de memoria o discos duros externos desactiva la reproducción automática de los medios extraíbles, eso te asegurará que no entre de forma automática ningún virus en tu sistema ya que esta es la forma más común de transmisión de ellos. Para eso lee la siguiente página:
Configurar el autorun o reproducción automática en las unidades.
Configurar el autorun o reproducción automática en las unidades.Revisar el Archivo Hosts.
El siguiente paso es revisar el estado de tu archivo hosts.
¿Que es el archivo host?, ¿cuál es su función?
El archivo hosts es un archivo de texto que se encuentra en la siguiente ruta: C:\Windows\System32\drivers\etc\hosts. Su función en los sistemas operativos anteriores era la de listar los nombres de dominio con sus respectivas direcciones IP, ya no tiene esta función debido al crecimiento desmesurado de Internet, en la actualidad es más factible buscar esa relación en un servidor de nombre de dominio DNS , pero todavía Windows antes de buscar información externa en un servidor DNS para resolver la IP de una página solicitada busca primero en el archivo hosts.
De forma predeterminada, después de instalar Windows, la única línea que contiene el archivo host es la dirección: localhost, o sea la dirección del propio equipo cuya IP es 127.0.0.1.
Se aconseja revisar este archivo, porque existen virus que entre las acciones que realizan, una de ellas es escribir en el archivo host, las URL o direcciones de actualización de los principales programas antivirus, por lo que en caso de tratar de actualizar el antivirus instalado o inclusive acceder a foros populares relacionados con este tema en busca de ayuda, seas redireccionado a tu misma dirección IP.
Si al revisar el archivo hosts encuentras alguna línea que no sea localhost elimínala con confianza.
El poder y la importancia del archivo hosts en Windows.
Haz la siguiente prueba, es inofensiva pero te demostrara como una simple línea de código que esté en un archivo que ejecutes puede transformar el destino de tu conexión.
Crea un batch que solo contenga esta línea:
Si no sabes cómo es sencillo: copia la línea en el bloc de notas de Windows y guárdalo con cualquier nombre pero que tenga la extensión .cmd, asegúrate que en la pestaña Tipo aparezca: Todos los archivos (*.*). A continuación ejecuta el batch que guardaste, después abre tu navegador e ingresa la conocida dirección
La explicación como ya supondrás es que la línea de código lo que hizo fue transformar tu archivo hosts y estableció que la dirección IP de google.com es 194.224.58.10 cuando en realidad no es cierto.
Te darás cuenta que con solo una línea de código que pongan por ejemplo en una aplicación freeware que descargues, de forma malintencionada pueden hacer que tu inconscientemente accedas a sitios que ni te imaginas con la mayor confianza del mundo. De esa forma pueden desviar la ruta de los servidores de actualización de tu antivirus, enviarte a sitios de suplantación de identidad (pishing), etc.
Cuando termines la pequeña prueba accede a tu archivo hosts y borra la entrada que añadiste.
Crea un batch que solo contenga esta línea:
echo 194.224.58.10 google.com >> c:\windows\system32\drivers\etc\hostsSi no sabes cómo es sencillo: copia la línea en el bloc de notas de Windows y guárdalo con cualquier nombre pero que tenga la extensión .cmd, asegúrate que en la pestaña Tipo aparezca: Todos los archivos (*.*). A continuación ejecuta el batch que guardaste, después abre tu navegador e ingresa la conocida dirección
google.com, pero para tu gran sorpresa la página que cargaras será la de Movistar en http://www.movistar.es/on/.La explicación como ya supondrás es que la línea de código lo que hizo fue transformar tu archivo hosts y estableció que la dirección IP de google.com es 194.224.58.10 cuando en realidad no es cierto.
Te darás cuenta que con solo una línea de código que pongan por ejemplo en una aplicación freeware que descargues, de forma malintencionada pueden hacer que tu inconscientemente accedas a sitios que ni te imaginas con la mayor confianza del mundo. De esa forma pueden desviar la ruta de los servidores de actualización de tu antivirus, enviarte a sitios de suplantación de identidad (pishing), etc.
Cuando termines la pequeña prueba accede a tu archivo hosts y borra la entrada que añadiste.
Batch para restaurar una copia guardada del archivo hosts.
Batch para eliminar el archivo hosts y crear uno con el formato predeterminado de Windows.
Comando para sustituir el archivo hosts por uno con la única línea de localhost, como se crea en la instalación de Windows y añadirle los atributos de solo lectura, oculto y archivo de sistema.Consejos.
Los mejores consejos para cuestiones de seguridad:
De acuerdo al uso que le des a tu PC puedes deshabilitar:
Ningún sistema es completamente seguro, el único sistema seguro es aquel que está apagado y desconectado de internet.
La precaución puede llegar a ser el truco más efectivo contra las intrusiones no deseadas.
Precauciones que se deben tener en cuenta en la PC:
• Tener activado el firewall de Windows
• Usar software de protección antivirus
• Instalar regularmente los últimos parches de seguridad activando las actualizaciones automáticas.
• Evitar la instalación innecesaria de software gratuito (no confundir con programas de código abierto del proyecto GNU). La mayor parte del spyware se instala a través del software gratuito que puedas descargar, creado precisamente para eso, aunque a veces la infección de spyware se contrae simplemente visitando un sitio web.
• Utilizar Mozilla Firefox, ya que hasta el momento no existe otro navegador que supere los mecanismos de seguridad de Mozilla.
• Verificar que los ficheros adjuntos que descarguemos no tenga doble extensión, por ejemplo: (fichero.mp3.exe). Para eso es imprescindible en Opciones de carpeta >Ver, desmarcar la casilla Ocultar las extensiones de archivos.
• Utilizar una cuenta de usuario estándar. Aunque la cuenta de usuario de administrador ofrece un control completo sobre un equipo, el uso de una cuenta estándar puede ayudar que el equipo sea más seguro. De este modo, si otras personas obtienen acceso al equipo mientras haya iniciado la sesión, no pueden alterar la configuración de seguridad del equipo ni cambiar otras cuentas de usuario.
• Usar software de protección antivirus
• Instalar regularmente los últimos parches de seguridad activando las actualizaciones automáticas.
• Evitar la instalación innecesaria de software gratuito (no confundir con programas de código abierto del proyecto GNU). La mayor parte del spyware se instala a través del software gratuito que puedas descargar, creado precisamente para eso, aunque a veces la infección de spyware se contrae simplemente visitando un sitio web.
• Utilizar Mozilla Firefox, ya que hasta el momento no existe otro navegador que supere los mecanismos de seguridad de Mozilla.
• Verificar que los ficheros adjuntos que descarguemos no tenga doble extensión, por ejemplo: (fichero.mp3.exe). Para eso es imprescindible en Opciones de carpeta >Ver, desmarcar la casilla Ocultar las extensiones de archivos.
• Utilizar una cuenta de usuario estándar. Aunque la cuenta de usuario de administrador ofrece un control completo sobre un equipo, el uso de una cuenta estándar puede ayudar que el equipo sea más seguro. De este modo, si otras personas obtienen acceso al equipo mientras haya iniciado la sesión, no pueden alterar la configuración de seguridad del equipo ni cambiar otras cuentas de usuario.
De acuerdo al uso que le des a tu PC puedes deshabilitar:
• Acceso remoto en: Mi PC >Propiedades del sistema >Configuración avanzada >Acceso remoto.
• Entra a Conexiones de red, ve a las propiedades de la conexión que utilices y en Funciones de red desmarca las casillas (no las desinstales) todas excepto: Protocolo de internet 4(TCP/IPv4).
• Panel de control >Herramientas administrativas >Servicios >Registro remoto Deshabilitarlo.
• Panel de control >Herramientas administrativas >Servicios >Servicio Informe de errores de Windows Deshabilitarlo.
• Entra a Conexiones de red, ve a las propiedades de la conexión que utilices y en Funciones de red desmarca las casillas (no las desinstales) todas excepto: Protocolo de internet 4(TCP/IPv4).
• Panel de control >Herramientas administrativas >Servicios >Registro remoto Deshabilitarlo.
• Panel de control >Herramientas administrativas >Servicios >Servicio Informe de errores de Windows Deshabilitarlo.
Haz que este sitio sea más popular, comparte esta página en:
Si te interesó el contenido de esta página asegúrate de suscribirte a la fuente de noticias o feeds de este sitio, para eso da un clic en el icono a la derecha, o agrega manualmente la dirección del feed o RSS a tu lector de noticias, si no posees ninguno y no sabes cómo obtenerlo o instalarlo lee el siguiente artículo:
Suscribirse y utilizar el servicio de fuentes de noticias RSS
Suscribirse y utilizar el servicio de fuentes de noticias RSS