445, listening, y he desactivado "File Sharing"

Buenos días,

Me gustaría haceros una pregunta referente a netstat, el cual uso a menudo pero hay algo que se me está escapando :

NetStat -an -p tcp me ofrece resultados apropiados. Así, si para el servicio IIS no me aparece el puerto tcp 80 listening, igual si quito RDP con el puerto 3389.

Sin embargo, y áquí es donde no lo entiendo, cuando quito la casilla de "Compartir Archivos e impresoras" de TCP/IP en las varias tarjetas de red del equipo, me sigue apareciendo 0.0.0.0:445 listening , sindo 445 el puerto para CIFS. Osea, que sigue esperando peticiones hacia que? No lo logro entender.

No llego a entener cómo, si quito el servidor de archivos, osea CIFS, sigue esperando por el puerto 445 peticiones.

He probado a para el servicio "Server" (tengo 2003 en inglés) y sigue igual, apareciendo en netstat el puerto 445 CIFS.

También he probado en otro equipo, por si era problema del equipo, pero en el segundo equipo pasa exactamente lo mismo.

Muchas gracias de antemano !!

Creo que el problema es de fondo:

Estás usando windows como si sirviera de equipo servidor. Para algo serio, usa siempre Linux.

Gracias Protalia, pero me refiero que la gente y leo sitios en los que se aconseja deshabilitar "Compartir archivos e impresoras" porque así, el equipo será más seguro, al tener CIFS o SMB deshabilitado, pero como dije, sigo viendo el puerto "listening", osea, esperando peticiones servidor, servidor de archivos en este caso. No lo acabo de comprender porque hay tantos sitios e incluso gente que me da ese consejo de seguridad informática.

Gracias por tu tiempo !

De vuelta de vacaciones... Que triste :/

En fin...El 445 es el puerto de Netbis sobre TCP/IP, si no me equivoco. Windows lo necesita abierto por motivos administrativos (es incluso posible que tengas compartidos los dispositivos ocultos IPC$, o incluso C$ si C es tu disco de sistema).

En cualquier caso, nadie debería poder conectar con el 445 aunque esté a la escucha si no tienes ningún recurso compartido de ningún tipo (o si en un server no tienes el servicio netlogon escuchando)... Prueba a ver...

Si en una consola de comandos escribes "net share" debería salirte cualquier recurso compartido, ya sea creado por tí o creado por el sistema para sus propios motivos...

Aprovecho para comentar que el C$ es algo que deberíais cerrar. XP lo comparte por defecto, pero en realidad no es necesario prácticamente para nada... Y es un agujero de seguridad tener todo el disco C compartido aunque sea para usuarios administradores... O al menos esa es mi opinión.

Que cortas las vacaciones siempre !! hehe.

Gracias por responder Moeb,

El caso es que leo que hay que deshabilitar en el registro algo para que no aparezca listening, pero no es lo que yo quiero, sino que me llamaba la curiosidad , el hecho de que estuviera "listening" el puerto, es decir, dando algún servicio que yo creía haber quitado desmarcando lo de "Compartir archivos e impresoras"

LLevas toda la razón en cuanto a que una vez desmarcada esa casilla, nadie puede entrar en mi pc a través de \\ip_servidor_smb , osea, que el servicio de compartición efectivamente está desactivado, pero como insisto, no sé que estaba escuchando, pero lo aclaras perfectamente diciendo que es por otros motivos.

Respecto a lo de c$, sabía que está siempre por ahí, de hecho, a veces entro en determinados pc´s con \\ip_pc\c$ para entrar, como dices, al disco duro.

No sabía uqe era peligroso....en que sentido es peligroso? . Se que tener un disco c: compartido es peligroso, y lo he visto por ahí pero compartido con botón derecho compartir, hjeje, no con este método en el que el recurso c: está "escondido" por llevar el símbolo detrás.

Entonces, si tengo 100 pc´s en mi LAN, no es el caso pero fue el caso, entonces, como decía, por un script podría deshabilitar esa posibilidad, osea, eliminar c$ ?

Gracias por tu tiempo !!

Sip. Yo lo tengo así...

Tengo scripts de arranque en casi todas las instalaciones para que los usuarios mapeen unidades automáticamente, o pongan la hora de un servidor sincronizado, por ejemplo... A mayores siempre desactivo C$ y D$ (mínimo).

Es igual de peligroso que compartirlo tú... Cualquier virus o troyano que se haga con credenciales de administrador (o explote un bug) puede acceder a todo el disco (incluyendo la carpeta windows y subcarpetas)... Esto NO es aconsejable en ningún caso.

Igual que si un "usuario simpático" se hace con credenciales de administrador de un PC... Puede meterse en remoto en él con una simplicidad absoluta tan sólo capturando C$ para hacer sus "gracias"...

Si nada en tu red lo necesita, desactívalo :)

Gracias Moeb !


-Me haré con un script que deshabilite por GPO en Active Directory c$ y d$ , lo buscaré.

-Me interesa mucho otro tema que has tocado, el de un troyano que se haga con las credenciales del Administrador o con un "gracioso" en la LAN que consiga esas mismas credenciales:

Tengo desactivado que se guarde en la SAM el hash LM de las contraseña, con una directiva que hay, con lo cual tendrán que romper una contraseña guardada en NTLM o NTLMv2 sino me equivoco.

Mis contraseñas de Administrador de dominio son bastante fuertes (o eso creo, jeje), me refiero que tienen mayúsculas, números, caracteres no alfanuméricos, más de 8 caracteres (a decir verdad, más de 15 algunas), ninguna palabra de diccionario por supuesto , asi que me parece, o más bien pregunto: En estas circunstancias sería bastante difícil hacerse con la contraseña del Admin, más que por la longitud etc, porque no están guardadas en hash LM en la SAM, y así también pasa con los usuarios del dominio a los que les exijo cambiarla cada mes, y los requisitos de complejidad que incluye 2003.

Pregunto esto porque no sé si así cortaría muchas posibilidades al troyano que se instale en un equipo cualquiera de la red por un usuario que ha abierto una foto o un powerpoint. Además, ese usuario, está bastante limitado por politicas de GPO: no le permito que vaya a "ejecutar" ni a ms-dos ni que cambie TCP/IP, etc.

Gracias, como siempre, por tu tiempo !

¿Que usuario/s son administradores locales en los PCs? No en el dominio...

Un administrador local en un PC tiene, en principio, todos los privilegios necesarios en ese PC. Ojo con eso.

¿Como conseguir una clave sin "snifarla"? engañando a un usuario, usando un keylogger, etc...

Hay métodos diferentes al sniffing para conseguir información. Métodos que funcionan mejor, de hecho, porque atacan el eslabón mas débil de la cadena: El usuario, su desconocimiento y/o falta de cuidado.

Gracias !

Creo que me explicado mal:

Imagina un pc en el dominio, con un usuario de contabilidad, creado en Active Directory. Este usuario va a entrar con sus credenciales, de usuario normal del pc y usuario normal del dominio, por tanto , sin privilegios para instalar software, sin privilegios para ir a "Ejecutar" o a ms-dos (porque se lo pongo así desde una GPO) , y con una clave fuerte porque así también se lo digo desde una GPO que hay para ello.

Con esto quiero decir que si ejecuta una imagen.jpg.exe (un troyano), éste troyano tiene, por lo que entiendo, pocas posibilidades de mirar en equipos de red, de borrar ficheros, de cmbiar el registro, ya que como digo, es un usuario normal tanto del pc como del dominio.

Si consigue la clave con un keylogger, tendrá la clave de un usuario estandar del dominio.

Totalmente de acuerdo en lo del eslabón más débil, es por ello que pongo esas políticas de no poder dar al botón ejecutar o irse al símbolo del sistema ni al panel del control ni cambiar tcp/ip etc, y en consecuencua, sino estoy equivocado, el que maneje el troyano desde Rusia, tendrá estas limitaciones también, a no ser que haga escalada de privilegios, pero esto es improbable de éxito porque como indicaba, las password se guardan en la SAM sin el hsah LM, sino con NTLM o NTLv2 (éste último preferentemente).

Lo que me he quedado con la duda es de si es esnifable con Wireshark la password en fpormato NTLMv2.

Otra cosilla: Cuando dices: "El admin local de un pc tiene todos los privilegios sobre este", es lógico, pero de todas maneras no podrá hacer nada en otros pc´s del dominio , sino entiendo mal. Perdón si esto es muy básico, estoy empezando con esto y me parece que veo sólo la punta del iceberg.

Gracias de nuevo !

Tiene las mismas posibilidades que tenga el usuario en cuestión... Sus ficheros en recursos compartidos, su acceso a otros posibles recursos de otros PCs (si tienes, por ejemplo, dejar que los usuarios de dominio o del grupo contabilidad entren en determinadas carpetas)... Podrá cambiar el registro de ESE usuario (de forma que el virus o lo que sea se ejecute al arrancar como ese usuario), etc... Todo eso es configurable, por supuesto (A las claves del registro tambien les puedes dar permisos por usuario/grupo de lectura,ejecución,etc)...

En principio, todo lo que va por la red es snifable... Otra cosa es que sea más o menos fácil de "descifrar"... Dependerá de la clave que hayas usado y lo buenas que sean tus tablas de passwords, tablas rainbow o como las llames :)

Un admin local tiene todos los privilegios si inicia sesión LOCAL en un equipo (es decir, no ingresa en el dominio sino en el PC). Si tienes la clave de administrador local de un PC del dominio, puedes montar su C$ (todo el disco para ti) o usar un psexec para ejecutar remotamente los comandos que quieras...

Los usuarios administradores locales de los PCs son algo que se debe mantener... controlado :)

Gracias por contestar,

-Está claro que el usuario, al estar en ciertas ACL, según tenga permisos de lectura, modificar, escritura, control total, etc, así tendrá el troyano, eso lo entiendo. Gracias por la aclaración de todas maneras.

Lo que no sabía es que un usuario normal de un equipo podía modificar el registro, miraré a ver si hay una directiva por GPO que lo impida, creo que sería lo ideal, no sabía que en el registro había ACL.

-Con Caín capturé contraseñas NTLMv2 por smb, (osea, un usuario entrando a otro pc con \\ip_servidor_smb ) y por fuerza bruta decía Caín que tardaría años, y por criptografía , osea, por tablas, no tengo una tabla adecuada que incluya caracteres no alfanuméricos, Mayúsculas y minúsculas, números, de más de 8 caracteres, etc, ya que con el software WritGen te puedes crear tu tablas de hashes LM,NTLM,MD5,SHA-1, etc . De todas maneras no sé si con NTLM englobaba NTLMv2 , pero Caín, como digo , no era capaz en cuanto al tiempo de romper la contraseña por fuerza brutas (le llevaba años como comento).

-psexec : Eso que comentas si me ha preocupado, ufff, pero no lo entiendo. Me refiero, yo soy Admin de un equipo que pertenece al dominio, pero soy Admin local, no del dominio. Entonces, según comentas con "psexec" puedo ejecutar remotamente lo que sea? ¿ Y las credenciales ? Es decir, en mi equipo soy el Admin, pero en el dominio no soy nadie, mejor dicho, pertenecería al grupo "Todos" sino me equiovo y yo siempre quito al grupo "Todos" de las ACL, de ahí que no entienda lo que dices de que sea tan poderosa esa herramienta con un usuario muy limitado del dominio (aunque sea Admin del equipo).

Gracias Moeb, diré como Sócrates (creo que lo dijo Sócrates) :Sólo sé que no sé nada ! . Estoy hecho un neófito total cuando "hablo" contigo.

Gracias por tu tiempo !

Tio... de "neofito" no tienes nada de nada :)

Todo lo que comentas es correcto.

Desde luego, necesitas clave de administrador local EN EL EQUIPO al que quieres acceder remotamente, no desde el que accedes.

Me he encontrado en multiples ocasiones empresas que, tras crear el domino, mantienen el usuario de administrador local en los PCs que usaron para instalarlos... Y todos con el mismo par usuario/passwd.

En ese caso, capturar C$ de cualquiera de ellos es... fácil. Lo mismo que usar una herramienta tipo psexec.

Vamos, que lo entendistes perfectamente... Me debí explicar yo mal.

Gracias Moeb,

Perfectamente entendido !

Gracias por lo de "no neófito", digamos que siento que me queda tela, quiero abacar seguridad informática, tener un MCSA o MCTIP y Linux, pero lo que realmente me interesan es las entrañas, TCP/IP, etc, quizás no soy muy práctico.


Ahora te he entendido perfectamente como acceder a un pc remoto con psexec, en los ambientes que has visto es facilísimo claro, lo que no entiendo (tú tampoco supongo) como se puede dejar Admin en todos los pc´s de una lan CON LA MISMA CONTRASEÑA..........¿quizás porque se implementaron con Sysprep o instalaciones desatendidas o RIS ?. No es excusa, pero no entiendo porque tenían la misma contraseña.

De todas maneras, sino recuerdo mal, un XP por defecto dejaba la contraseña de Admin local en blanco y te creaba un usuario con el que tú podías trabajar, y al que , por defecto, tampoco le crea contraseña para entrar en el pc . hablando de un pc hogar stand-alone.

Por eso comentaba la escalada de privilegios: Entran con un troyano en tu pc, contraseña del usuario logado sin password, y admin del equipo sin password y mucho menos sin cambiar el nombre por defecto de Administrador por otro (yo hago siempre esto en mis instalaciones, cambiar nombre del Administrador del dominio y deshabilitar invitado, aunque creo que invitado por defecto en dominios de 2003 ya está deshabilitado, pero siempre lo miro por si acaso)

Gracias por la aclaración !!

P.D: Al final, las contraseñas es lo más importante, sin credenciales no se puede hacer nada. De ahí que no se guarden en hash LM , que se cifren con Kerberos, etc. Pero bueno, la seguridad hay que aplicarla en muchos, en todas las capas creo.