PDA

Ver la versión completa : Problemas de configuracion de firewall



Tami
01/10/2003, 13:04
Hola! Finalmente estoy de nuevo con el Firewall del Norton.
Intente instalar el Kerio, pero no me dejaba funcionar correctamente el Norton antivirus, de modo q al formatear mi pc, me decidi nuevamente por el Norton.
Pero ahora bien. He realizado el escaneo de puertos , (shielp ups) y tenia varios puertos cerrados y alguno abierto, con la configuracion predeterminada del firewall. Ahora bien
cerre en normas generales casi todo, sin ningun conocimiento, de modo q ahora tengo un cartelito q no de deja tranquila.
El firewall me dice :
"Subsistema Windows esta intentando acceder a otro sistema utilizando el uso compartido de archivos e impresoras Bios", UPD saliente. Direccion remota 10.255.255.255. netbios-dgm"

Lo bloqueo pero no deja de aparecer. Al bloquear casi todo, bloquee la norma:
Net bios de salida predeterminado.y quedo así: Bloquear: Equipo cualquiera, comunicaciones específico. Protocolo TCP y UDP

:?: Debo permitirlo?
Gracias desde ya!

NEUROHZ
01/10/2003, 13:19
Si no estás en una red no tienes que permitir netbios. Ciérralo porque es un coladero fácil. Lo puedes hacer desde el cortafuegos y también desde el propio win (desactivar compartir archivos e impresoras...).
Si has formateado no olvides parchear convenientemente ese win...

SalU2

Tami
01/10/2003, 14:53
Creo q ahora si debo comenzar a preocuparme....
He recibido ataques de bajo riesgo , pero esto si es llamativo!
Intrusión: Invalid TCP Source Port
Intruso: 203.156.32.84
Nivel de riesgo: Bajo
Dirección IP de origen: 203.156.32.84
Dirección IP de destino: Mi ip
Puerto TCP de origen: 0. Es un número de puerto no válido.
Puerto TCP de destino: smtp(25)

Pues al rato recibi otro alerta diciendome Instruccion Detectada, era yo la q estaba atacando a esta ip.

Intrusión: Invalid TCP Destination Port
Intruso: Yooooooooo, es mi ip
Nivel de riesgo: Bajo
Dirección IP de origen: MI IP!!!!
Dirección IP de destino: 203.156.32.84
Puerto TCP de origen: smtp(25)
Puerto TCP de destino: 0. Es un número de puerto no válido.

Una vez mas necesito de su ayuda!

NEUROHZ
01/10/2003, 15:37
Esa IP es asiática (tailandesa concretamente), por lo que no tiene nada que ver con tu ISP. En principio si el cortafuegos bloquea no debes preocuparte, avisos hay muchos y precisamente lo tenemos ahí para estar un poco más tranquilos. De hecho, el propio cortafuegos te está diciendo que son de bajo riesgo.
Debes preocuparte cuando mires en tus conexiones establecidas y veas algunas sospechosas que no sepas a qué se deben. Mientras, no te agobies antes de tiempo.

En este caso concreto, smtp es el protocolo de transferencia de correo simple, que va vía TCP puerto 25. ¿No te saltarán esas alertas cuando estás usando tu gestor de correo? ...igual le has cerrado el paso con el cortafuegos.

SalU2

Tami
01/10/2003, 15:50
Gracias Neurohz. Y respecto a el uso de gestor de correo, pues no, no lo estaba usando. Y respecto a esta ip, todos los dias recibo un aviso de bajo riesgo desde esta ip thailandesa.

Saludos!!!

NEUROHZ
01/10/2003, 16:00
También podría ser que tuvieras algún bichejo en tu PC intentando mandar correos sin tú enterarte o comunicarse con el exterior... actualiza tu antivirus y escanéate a fondo. Pásate también por el post-it de escaneos on line y no te limites a usar 1 ó 2 (los más conocidos no son necesariamente los mejores). Ya me contarás si te detectan algo. Suerte.

SalU2

Tami
02/10/2003, 15:59
Gracias, ya lo escanee con el panda, norton, y otro mas q pones en tu post, y no ha encontrado nada. Lo curioso es q antes de realizar el escaneo, no me funcionaba correctamente mi norton antivirus . Habia formateado la maquina, y desde entonces, luego de pasar el antivirus, y darme el aviso q no habia encontrado nada, me bloqueaba la pc y debia reiniciarla, ya q no me funcionaba nada de nada. Luego de realizar los escaneos y terminar de actualizar mi Windows ( con la opcion de windows update , del explorador), me funciona perfectito.

Ahora e instalado el emule, en cuanto lo he puesto a funcionar me enloquece con carteles de alertas del puerto 1025, q antes habia bloqueado. Ahora han dejado de aparecer, pero sorpresa! escaneando mis puertos descubro q tengo el 1025 abierto! Aunq bloqueo este puerto de este modo:

Puerto remote 1025 : Bloqueado, direccion de entrada y de salida, protocolo TCP/YDP. [/color]

Debia crear una norma para bloquear puerto local?

Para q sirve este puerto?

NEUROHZ
02/10/2003, 17:00
Debia crear una norma para bloquear puerto local?
SI. Es el local el que debes cerrar si te lo han marcado como abierto en el escaneo.

Ese puerto puede ser empleado por troyanos por ejemplo (por defecto en varios conocidos), aunque también por aplicaciones normales como puede ser el ICQ...

No se, no me huele bien lo que cuentas... en principio, ten cerrado todo por defecto y da permiso sólo a lo que necesites.

SalU2

Tami
02/10/2003, 23:08
Gracias!!!
Habia creado una norma q bloqueaba este puerto remoto, claro , mi ignorancia en el tema de puertos locales, remoto, protocolos es casi cero. Solo he permitido q funcione el emule, aunq estare observando cuidadosamente. Es peligroso usar este tipo de programas? Por cierto , quiero emplear la opcion inicio---> ejecutar ----> netstat -an, pero la imagen pasa tan veloz q no puedo verificar los puertos empleados. Q otra utilidad seria necesaria para monitorear mi pc?

Gracias otra vez!!!

oscillator
03/10/2003, 09:07
Por cierto , quiero emplear la opcion inicio---> ejecutar ----> netstat -an, pero la imagen pasa tan veloz q no puedo verificar los puertos empleados. Q otra utilidad seria necesaria para monitorear mi pc?

Si abres una ventana ms-dos (símbolo del sistema) podrás ver perfectamente el comando netstat, ipconfig...

Salu2.

NEUROHZ
03/10/2003, 10:25
Vaya, anoche se me pasó este hilo antes de irme a las sábanas...

Como te comentan, vete a "símbolo de sistema" (Inicio > Programas > Accesorios...) y hazlo desde ahí, así podrás verlo sin miedo a pestañear ;)
Hay muchas aplicaciones que permiten ver el estado de tus conexiones de una manera más vistosa que el netstat. Algunos cortafuegos suelen traer un apartado para esto ...no recuerdo en el caso concreto del Norton, pero si no fuera el caso, a poco que busques por softonic o similar las encontrarás sin problemas.

En esta misma página del subforo hay dos hilos donde he dejado las reglas para emule y kerio. Los puertos/protocolos que requiere son los mismos independientemente del cortafuegos que se use. Míratelo y trata de adaptarlo al Norton.
http://www.forospc.com/forophp/viewtopic.php?t=24422&sid=135397ee1c6bfab1327f3659f76b13f6

SalU2

Tami
03/10/2003, 15:56
He logrado utilizar netstat, pero ahora lo mas dificil, como interpreto estos resultados?
En direccion local: no solo aparece mi ip, tb otras.
Direccion remota: ?
Estado: Lisntening q es?Time wait?

Si, si, seguro q les parecera mucho lo q deben responder, si les parece me guian a una pagina donde pueda informarme. Gracias desde ya!

NEUROHZ
05/10/2003, 16:48
En Inet hay muchos sitios donde podrás obtener info de netstat. Te sugiero que utilices google u otro buscador y si te interesa el tema, empieces leyendo los que mejor se adapten a tu nivel de conocimientos. De todas formas, te dejo algunos de muestra (tenía uno muy bueno pero no lo acabo de encontrar, si aparece te lo haré saber):
http://snowhite.cis.uoguelph.ca/course_info/27420/netstat.html
http://www.hildrum.com/spanish/netstatspanish.htm
http://www.geocities.com/merijn_bellekom/new/netstatan.html

Muy en resumen, con netstat ("estado de la red") podrás ver el estado de conexiones activas de tu equipo, con información de tus puertos locales implicados y la dirección remota de conexión. Las que te muestre como established ya imaginas que son las establecidas (ves "ambas partes"). Donde te muestre listening fíjate en "local" para ver qué puerto es; serán puertos libres a la espera de conexiones.

SalU2

PD: aun así, hay cortafuegos u otras aplicaciones que te dan esta misma información de una manera visualmente más cómoda...