| Artículos | 01 MAY 2004

Cómo detectar hackers y troyanos

Tags: Histórico
Gonzalo Alvarez.
Internet está infestada de peligros y molestias: hackers, virus, gusanos, programas espía… Este mes explicamos las mejores técnicas de seguridad para detectar los ataques más frecuentes y dañinos procedentes de Internet.

Espiando el tráfico de red
¿Sabe qué información está circulando por su red en un momento dado? Aunque no tenga una red local, sino un solo ordenador conectado a Internet, ¿sabe qué información se está transmitiendo en todo momento desde su equipo hacia el exterior? Con la cantidad de virus, gusanos, software espía y demás plagas que azotan Internet, la única forma de estar seguro consiste en utilizar un sniffer, también conocido como analizador de protocolos o monitor de red.
Un sniffer es un programa que captura todo el tráfico que circula desde/a un equipo conectado a una red de ordenadores. Los hay de todos los tipos y para todos los sistemas operativos. Dependiendo de cuál sea la tipología de su red, un sniffer le permitirá interceptar todo el tráfico que circula por su red, incluido el de otros equipos, o solamente el tráfico que entra y sale de su ordenador.
En las redes Ethernet, en las que los distintos equipos se conectan a un concentrador o hub, cuando un equipo envía un paquete, éste llega a todos los ordenadores de la misma red. La cabecera del paquete contiene la dirección MAC de la tarjeta de red a la que va dirigido, de manera que sólo el equipo adecuado presta atención al paquete. Sin embargo, una tarjeta puede configurarse en modo promiscuo, en cuyo caso aceptará todos los paquetes, tanto si van dirigidos a ella como si no.
Para entenderlo con claridad, imagínese un largo pasillo, con despachos a cada lado. Abre la puerta del suyo y grita en el pasillo a pleno pulmón: “¡Pepe! ¡Sal a la ventana!”. Resulta evidente que no sólo Pepe, sino también los ocupantes del resto de los despachos del pasillo habrán oído el mensaje, pero lo ignoran puesto que no va dirigido a ellos. A pesar de todo, si quisieran podrían salir también ellos a la ventana.
Existen otras redes, como las redes conmutadas, en las que el sniffer sólo puede ver el tráfico que entra y sale de la máquina en la que está instalado. Aunque existen técnicas basadas en la falsificación ARP para interceptar el tráfico de otras máquinas no serán tratadas en estos trucos por su complejidad.
En definitiva, si quiere ver todo el tráfico que va y viene de su máquina, puede hacerlo con la ayuda de un buen sniffer. Algunos sniffers que puede utilizar gratuitamente en plataformas Windows son NG Sniff (www.nextgenss.com/products/ngssniff.htm), daSniff (demosten.com/dasniff), Ethereal (www.ethereal.com), NetworkActiv Sniffer (www.networkactiv.com), GreedyDog (www.shadowpenguin.org/sc_toolbox/unix/gdd/index.html). Si tiene que decantarse por uno, no lo dude y pruebe Ethereal, también disponible en plataformas UNIX.
Windows 2000 Server y Windows 2003 Server vienen con su propio sniffer de serie, eufemísticamente llamado “Monitor de red”. Por defecto no está instalado, pero puede hacerlo desde el Panel de control, en Agregar o quitar programas.
El usuario doméstico encontrará los sniffers de especial utilidad en una gran variedad de aplicaciones:
- Por encima de todo, ¡aprender! Gracias al sniffer verá cómo funcionan los distintos protocolos de Internet, cómo se establecen las conexiones, qué paquetes se intercambian, etc. Nada como un sniffer para ver en la práctica cómo funciona la teoría.
- Si en su casa tiene instalada una pequeña red podrá ver qué es lo que están haciendo otros usuarios de la LAN. De esta forma sabrá sin que nadie se entere por dónde navegan sus hijos y qué uso hacen de la red.
- Podrá detectar el funcionamiento subrepticio de programas espía: verá a dónde se conectan, qué paquetes envían y reciben, etc. Pillará in fraganti a cualquier programa adware o spyware.
- Detectará la actividad de troyanos, gusanos y otros virus, que intentan conectarse al exterior desde su equipo.

¿Qué puertos tengo abiertos?
El inconveniente que puede presentar un sniffer para el usuario novel es que proporciona cantidades ingentes de información sobre todos los paquetes que están circulando por la red. Si simplemente desea saber de forma sencilla qué puertos tiene abiertos en todo momento dentro de su máquina, no tiene más que utilizar una de las muchas herramientas de exploración de puertos disponibles en Internet gratuitamente.
Como es de sobra conocido, TCP y UDP son dos de los protocolos más utilizados en las comunicaciones a través de Internet. Los diferentes servicios de Internet se caracterizan por basarse en estos protocolos para su funcionamiento, escuchando en un número de puerto determinado. Por ejemplo, el servicio HTTP, utilizado para la navegación de páginas web, escucha en el puerto TCP número 80; POP3, utilizado para leer el correo electrónico, escucha en el puerto TCP 110; etc. Es decir, cada servicio que preste una máquina lo hará en un puerto bien definido. La IANA mantiene un listado de estos puertos en www.iana.org/assignments/port-numbers. Los números de puerto oscilan entre 1 y 65.535, ya que se expresan con números de 16 bits.
Las herramientas de exploración de puertos funcionan enviando paquetes a la máquina destino secuencialmente en todos los puertos, desde 1 hasta 65.535, y esperando su respuesta. Si la máquina responde, entonces se sabe que el puerto está abierto o a la escucha, lo que hace suponer que el servicio asociado a dicho número de puerto se está prestando.
En una máquina Windows convencional, es típico encontrar abiertos puertos como 137, 138 y 139, asociados a NetBios. Si se tiene activado el Universal Plug And Play (UPnP) entonces estará abierto el puerto 5.000. Si se tiene activado el escritorio remoto, entonces también aparecerá abierto el puerto 3.389. Si se utilizan programas de intercambio de archivos, como eMule, KaZaa, WinMx, SoulSeek, etc., entonces también aparecerán abiertos los puertos correspondientes.
Por lo tanto, ejecutando un programa de exploración de puertos contra el propio equipo o contra otros equipos de la red local, se encontrará la lista de puertos a la escucha. Algunas de las mejores herramientas para realizar esta exploración son Superscan (www.foundstone.com/knowledge/proddesc/superscan.html) o NScan (nscan.hypermart.net), ambas gratuitas. Se recomienda que las ejecute contra su máquina o máquinas de su red y guarde para futuras referencias en lugar seguro el informe resultado de su exploración para todo el rango de puertos, desde el 1 hasta el 65.535. Esta exploración puede tardar muchos minutos. Sea paciente. Una vez terminada, identifique cuidadosamente cada uno de los puertos abiertos mencionados en el informe generado y verifique que se trata de puertos que usted desea que estén abiertos.
En el futuro, puede ejecutar periódicamente la exploración y comparar el nuevo informe con el primero. Si encuentra puertos sospechosos que no estaban en el primer informe y que no se corresponden con ningún servicio que usted haya instalado voluntariamente, anote el número de puerto e intente averiguar a qué servicio corresponde. En www.simovits.com/nyheter9902.html se ofr

Contenidos recomendados...

Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios
X

Uso de cookies

Esta web utiliza cookies técnicas, de personalización y análisis, propias y de terceros, para facilitarle la navegación de forma anónima y analizar estadísticas del uso de la web. Consideramos que si continúa navegando, acepta su uso. Obtener más información