Tema: Ni en netstat, ni en servicios, pero me dice que está abierto el puerto
Ver Mensaje Individual
  #5 (permalink)  
Antiguo 27/12/2010, 04:18
loureed4
 
Fecha de Ingreso: marzo-2004
Ubicación: Sevilla, España
Mensajes: 131
Antigüedad: 20 años, 2 meses
Puntos: 1
Respuesta: Ni en netstat, ni en servicios, pero me dice que está abierto el puerto
Muchas gracias de nuevo por tu tiempo.

Pues he mirado en el log del router, y aparecen cosas muuuy interesantes:

1.Hay una conexión que ha tenido éxito al puerto 23 de un portatil que tengo en la LAN, este portátil está sin proteger ya que no está detrás del servidor de seguridad ISA Server. Me parece extraño de todas formas que el servicio Telnet esté habilitado en ese portátil, pero quizás es lo que tú comentas, aún no estando habilitado, pueden hacer uso de él?

2.Hay varias conexiones hacia el puerto 25, pero hacia el servidor Exchange esperado, osea que en este sentido nada por lo que alarmarse, ya que en dicho servidor recibo emails correctamente , y está detrás del servidor de seguridad ISA Server, que no es que sea infalible, pero creo que es muy bueno.

Por cierto, comentar que he hecho un scan online de puertos y aún en este servidor Exchange aparece como cerrado , y creo que es fruto de las políticas del ISA (pero no estoy seguro).

Si hago el mismo scan online en otros VMWare que tengo en la LAN o en la red perimetral, me aparecen cerrado el puerto 25

Pero.........y aquí viene lo curioso pero creo que ya he encontrado el porque:
Si hago un scan online en cualquiera de las 5 máquinas virtuales desde la web (Shields UP), siempre me aparece el puerto 25 abierto, con lo cual, para mi la explicación es fácil: Esta web sólo mira los puertos abiertos en el router, sea cual sea el pc desde el que hagas el scaneo de puertos.

Muchas gracias por lo del log del router, porque como te digo, gracias a él acabo de ver la conexión a telnet (TCP 23) a un portátil que no pasa, que no está detrás del ISA Server, y además no está en el dominio.

3.Sabía algo o estoy leyendo algo sobre los troyanos inversos, que tienen el server en sus equipos y el cliente en el de la víctima, de esa manera el cliente (como siempre) se conecta al servidor (al atacante) y no tiene que hacer filtros NAT-Transversal en el router de la víctima.

Pero imagino que si los atacantes han evolucionado hacia los troyanos inversos, las empresas de seguridad sabrán o estarán muy al día de esto, ya que yo mismo, siendo un "newbie" (creo que es la palabra) sé que existen. Quiero decir con todo esto que ya no será tan fácil hacer un troyano inverso, si se tiene un buen producto de seguridad instalado en la LAN claro, o en el equipo, lo cual a nivel usuario no está extendido.

Gracias Hooker !