Cerrar puertos ...

David Ballester ballester.david en gmail.com
Mie Dic 3 15:33:11 GMT 2008 

El dc 03 de 12 del 2008 a les 08:49 -0600, en/na Ulises M. Alvarez va
escriure:
> On Tue, December 2, 2008 11:59 pm, Reynier Perez Mira wrote:
> > Buenas noches:
> > Me he descargado un scanner de vulnerabilidades para ejecutarlo sobre una
> > PC con Windows y mirar los posibles lugares por donde se pueda entrar a un
> > servidor Ubuntu que tengo instalado. Cuando terminó de ejecutar el escaneo
> > de puertos abierto me arrojo los siguientes resultados:
> >
> > * 21 FTP (*)
> > * 22 SSH
> > * 80 WWW (Apache)
> > * 3128 RingZero (*)
> > * 5432 PostgreSQL
> > * 8080
> >
> > Ahora me surgen las siguientes dudas:
> > 1. ¿Por qué están abiertos esos puertos si ese es un servidor dedicado
> > exclusivamente a BD? (debe tener abierto además el 3306 de MySQL pero por
> > alguna razón no lo identificó)
> 

Puede ser que tengas configurado Mysql para que escuche por 127.0.0.1?
Si es así és lógico que desde fuera no veas el puerto abierto, ya que no
existe escuchando en la ethernet


> Dos posibilidades: la herramienta te mintió, o en algún momento instalaste
> esos servicios. Considerando que no te detectó el puerto 3306 de MySQL, me
> inclino a pensar en la primera opción.
> 

yo creo que no le mintió, creo que los servicios se instalaron,
seguramente por defecto ( LAMP )



> Puedes verificar que servicios tienes instalados ejecutando:
> 
> netstat -nat | grep -i listen
> 
> > 2. ¿Cómo puedo cerrar los puertos 21, 3128 y 8080 que no los uso en ningún
> > lado?
> 
> Busca tutoriales para ufw o iptables.
> 
> > 3. ¿Existe algún scanner de vulnerabilidades para ser ejecutado en la
> > consola de Ubuntu o mediante una interfaz web o algo parecido?
> 
> Desde la consola: puedes instalar nmap y ejecutar una revisión local de
> todos los puertos:
> 
> nmap -v -p0-65535 localhost

Con eso solo conseguirás saber que sockets estan a la escucha en el
loopback device. Los procesos que escuchan solo en el loopback NUNCA
serán vistos desde otra red que no sea la del host 127.0.0.1. Si tienes
un proceso configurado para estar a la escucha en un socket de una
ethernet determinada NUNCA podrá ser visto y por ende ni atacado ni
conectado ni nada de nada desde otra ethernet o red ip si no hay
enrutadores por enmedio.

Para ver los sockets abiertos en nuestro host es mil veces mejor netstat
que nmap 

https://lists.ubuntu.com/archives/ubuntu-es/2007-July/025317.html



D.

Más información sobre la lista de distribución ubuntu-es