6/4/10

Mejorar la seguridad de Windows mediante el cierre de puertos abiertos

Un sistema operativo Windows estándar tiene un número de puertos abiertos después de la instalación. Algunos de estos puertos son necesarios para que el sistema funcione correctamente, mientras que otros no. Estos puertos pueden representar un riesgo para la seguridad, ya que todos los puertos abiertos en un sistema podrían ser un punto de entrada para un usuario malicioso.

Un puerto, básicamente, permite la comunicación desde o hacia el dispositivo. Este artículo te dará las herramientas necesarias para identificar y evaluar los puertos abiertos en tu sistema Windows.

Software programas y herramientas que usaremos:

  • CurrPorts: Disponible para 32-bits y las ediciones de 64-bit de Windows. Se trata de un monitor de puerto que muestra todos los puertos abiertos en un sistema informático. Vamos a utilizarla para identificar los puertos y los programas que los empleen.
  • Administrador de tareas de Windows: Se utiliza también para identificar los programas y algunos puertos de enlace a los programas.
  • Motor de búsqueda: La búsqueda de información de los puertos es necesaria para algunos puertos que no pueden ser identificados tan fácilmente.


Sería una tarea imposible de pasar por todos los puertos que están abiertos, para ello vamos a utilizar algunos ejemplos para que todos puedan entender el proceso y seguir desde allí.
Arranca CurrPorts y echa un vistazo.



El programa muestra el nombre del proceso y la identificación, puerto local, el protocolo y el nombre del puerto local, entre otros.

La puertos más faciles de identificar son los que tienen un nombre de proceso que corresponde a un programa que se ejecuta como RSSOwl.exe con el proceso de identificación 3216 en el ejemplo anterior es la inclusión en los puertos locales 50847 y 52016. Estos puertos suelen estar cerrados cuando el programa se cierra.

Los puertos más importantes son los que no puede estar vinculados a un programa inmediatamente, como los puertos del sistema mostrados en la imagen anterior.

Hay algunas maneras de identificar los servicios y programas vinculados a los puertos. Hay otros indicadores que podemos utilizar para descubrir los servicios y aplicaciones, además del nombre del proceso.

Los más importantes son el número de puerto, el nombre del puerto local y el ID del proceso.

Con el ID del proceso se puede echar un vistazo en el Administrador de tareas de Windows para tratar de vincularlo a un proceso que se ejecuta en el sistema. Para hacerlo necesitas iniciar el administrador de tareas (presiona Ctrl + Mayúsculas + Esc). Haga clic en Ver, Seleccionar columnas y permitir que el PID (Identificador de proceso) se muestre. Ese es el identificador de proceso que se muestra también en CurrPorts.



Ahora podemos vincular los ID de proceso en Currports a los procesos en ejecución en el Administrador de tareas de Windows.

Echemos un vistazo a algunos ejemplos:

ICSLAP, el puerto TCP 2869



Aquí tenemos un puerto que no podemos identificar de inmediato. El nombre del puerto local es icslap, el puerto 2869, que utiliza el protocolo TCP, tiene el ID de proceso 4.

Por lo general es una buena idea buscar el nombre del puerto local primero si no puede ser identificado de inmediato. Haz una búsqueda en Google para el puerto icslap 2869 o algo similar.

A menudo hay varias sugerencias o posibilidades. Para Icslap son Conexión compartida a Internet, Firewall de Windows o red local para compartir. Tomó un poco de investigación para saber que en este caso fue utilizado por el Servicio de Red de Intercambio del Windows Media Player.

Una buena opción para averiguar si esto es así, es detener el servicio si se está ejecutando y actualizar la lista de puertos para ver si el puerto no aparece más.

epmap, TCP puerto 135

Las investigaciones muestranque está relacionado con el DCOM server process launcher. La investigación también muestra que no es una buena idea deshabilitar el servicio. Sin embargo, es posible bloquear el puerto en el firewall, en vez de cerrarla.

LLMNR, puerto UDP 5355

Si busca en Currports notara que el puerto local LLMNR utiliza el puerto UDP 5355. PC Library
tiene información sobre el servicio. Se refiere a el enlace del nombre local de multidifusión de Protocolo de resolución que está relacionada con el servicio DNS. Los usuarios de Windows que no necesitan el servicio DNS lo puede desactivar en el Administrador de Servicios. Esto cierra los puertos que estén abiertos en el sistema.

Para finalizar me gustaria agregar que no siempre es fácil identificar los puertos y los servicios o aplicaciones que están vinculados. La investigación usando motores de búsqueda por lo general proporciona suficiente información para saber qué servicio es el responsable y la manera de desactivarlo si no se necesita.
 

Seguidores


Geeks de GZ

GEEKS ZONE By RHO Copyright © 2009 Gadget Blog is Designed by Ipietoon Sponsored by Online Business Journal