FAQ Seguridad

Ne0x

En vista de los post abiertos preguntando acerca antivirus, cortafuegos, spyware, y la cantidad de virus q se propagan cada día teniendo en cuenta las vulnerabilidades de Windows, he decidido crear este pequeño F.A.Q. de seguridad.

Empecemos con conceptos básicos:

Preg: ¿Qué es un antivirus?

Resp: Aquel software desarrollado para proteger un sistema operativo, de posibles virus, troyanos, scripts maliciosos y archivos propagados por correo electrónico y mensajería instantánea.

_

Preg: ¿Qué es un cortafuegos (firewall)?

Resp: Básicamente un cortafuegos se considera como cualquiera de los
métodos de proteger una red, separándola de otra red en la cual
no se confía. El mecanismo real por el cual este objetivo se
cumple varía ampliamente, pero en principio, el cortafuegos puede
ser descrito como un par de mecanismos: uno que existe para
bloquear el tráfico, y otro que existe para permitirlo. Algunos
firewalls ponen mucho esfuerzo en denegar el tráfico, mientras
otros lo ponen en permitirlo.

Existen dos tipos de cortafuegos, catalogados por su forma de operar: firewalls de nivel de red, y firewalls de nivel de aplicación.

_

Preg: ¿Por qué usar firewall?

Resp: Cada vez las herramienta que utilizan los hackers para vulnerar los sistemas son menos complicadas y están al alcance de todo el mundo.
Cualquiera puede descargarse un programa de Internet y con una dirección ip , lanzar un ataque mas o menos destructivo contra un sistema ; y esto no es ficción es realidad.
Los ataques a redes pueden ser tan variados como sistemas hay que puedan ser penetrados. Al evaluar los tipos de ataques que se pueden sufrir hay que conocer primero las limitaciones que el protocolo Internet lleva.
Lo que hoy conocemos por Internet se empezó a formar cuando se conectaron entre si varias entidades gubernamentales y universidades de Estados Unidos, para felicitar el aprendizaje y facilitar información.
Los creadores de esta red nunca llegaron a ni siquiera a imaginar que con el paso de los años se convertiría en una de las mayores revoluciones en las comunicaciones; por ello en el desarrollo de ip (protocolo de Internet), la seguridad nunca fue implementada siguiendo una especificación.
Eso ha convertido el protocolo ip en inseguro solo después de muchos años empezamos a disponer de herramientas que empiezan a permitir trabajar con una ip de una manera mas o menos segura.
Veamos los tipos de ataques mas comunes que se pueden sufrir en Internet:

Rastreadores de paquetes (sniffers)

Un rastreador de paquetes es una aplicación de software que captura todos los datos que pasan a través de una tarjeta de red.
Los rastreadores se utilizan legítimamente en las redes para facilitar la solución de problemas en la red y facilitar el tráfico en la misma.
Pero dado que muchas aplicaciones de Internet, envían datos en texto sin formato (telnet , ftp ,smtp…).
Los rastreadores de paquetes pueden convertirse en una herramienta muy peligrosa para información crítica ; como pueden ser contraseñas o nombres de usuario. Esa información es almacenada por el sniffer , que a su vez transmite la información al atacante.(uno de estos programas rastreadores puede recorrer un país como España en horas ).

Falsificación (spoofing) de ip:

Este ataque se produce cuando un hacker de dentro o fuera de una red finge ser un sistema de confianza , empleando una dirección ip que esta dentro del rango de direcciones ip de confianza de una red o una dirección ip externa autorizada en la que se confíe y a la que se le permita acceder a determinados recursos de la red.
Este tipo de ataques suele ser el punto de partida para realizar ataques mas destructivos impidiendo posteriormente al ataque identificar posiblemente al hacker.

Denegación de servicio (dos):

Este tipo de ataque es sin duda alguna uno de los mas difundidos y además uno de los mas difíciles de eliminar en su totalidad.
Incluso entre la comunidad de hackers , los ataques de dos son considerados como triviales por su facilidad con la que se producen.
Aun así, dado lo sencilla que es su implementación y el daño desproporcionado que pueden producir , merece la pena tenerlos muy en cuenta.
Este tipo de ataques son distintos de la mayoría , ya que no van encaminados a conseguir información mas o menos critica de una red o a conseguir introducirse dentro de ella ; su finalidad únicamente es la de inutilizar un servicio de la red , lo que se suele llevar a cabo simplemente agotando los recursos de la red o de un sistema operativo o aplicación.(me imagino que mas de uno que lea esto habrá estado chateando y de repente empezar a bloqueársele todo hasta que se cae por completo teniendo que volver a entrar).
En aplicaciones servidoras especificas del tipo de de servidores Web o ftp , estos ataques se centran en capturar y mantener abiertas todas las conexiones disponibles que admite dicho servidor , con lo que se bloquea el acceso a dicho servidor para los usuarios normales. La mayor de los ataques dos, explotan una debilidad de la arquitectura del sistema, más que atacar algún agujero de seguridad o error del software.
Sin embargo estos ataques son muy efectivos, pues inundan la red de paquetes inútiles que llegan a saturar al servidor.
Cuando este tipo de ataques se lanza no desde un punto, sino que colaboran varios sistemas al mismo tiempo , se denomina ataque de denegación de servicio distribuido ; en este caso la potencia del ataque se ve multiplicado por el numero de hackers que intervienen en el mismo.
Prueba de ello es el ataque que no hace mucho sufrieron buscadores y portales de Internet muy conocidos y que los dejaron inutilizados durante bastante tiempo.
Estos ataques se realizaron coordinadamente desde numerosos puntos de la geografía mundial, demostrando que los hackers pueden trabajar perfectamente coordinados, haciendo muy difícil cualquier intento de impedir el ataque.
Cracking:
Este método de fuerza bruta consiste en la obtención de contraseñas que permitan el acceso a maquinas, aplicaciones o datos mediante prueba y error; aunque con la potencia de los ordenadores actuales es posible localizar una contraseña relativamente simple en horas o días, lo habitual es que nos enfrentemos a ataques sistemáticos en los que los agresores usen varios equipos a la vez con programas especiales que comprueban millones y millones de posibles claves hasta dar con la correcta.
Ahora bien, no debemos pensar que crackear una clave es siempre algo tan complejo, puesto que en ocasiones los propios algoritmos de encriptación de las claves presentan agujeros de seguridad. No obstante el mayor riego se encuentra en los propios usuarios que tienden a utilizar claves muy sencillas de menos de 7 caracteres alfanuméricos (o incluso no usarlas) o que las comunican a otras personas sin ningún tipo de precaución (seguro que hay incluso quien la tiene en una pequeña nota adherida al monitor, a la vista de todo el mundo)

Por supuesto que existen mas tipos de ataques; pero estos son los mas comunes y fáciles de ejecutar.
Como ya se dijo cualquier persona con conocimientos medios puede llegar a provocar verdaderos problemas de seguridad en algunos sistemas.
Por ello no se debe de dejar en ningún momento de dedicar cierto tiempo y recursos a intentar proteger vuestro sistema con las aplicaciones que se tengan al alcance no solo los sistemas informáticos de las empresas, si no que también los ordenadores de uso domestico conectados a Internet son susceptibles de ser atacados; aunque un ataque directo de un hacker autentico a un usuario domestico es altamente improbable

_

Preg: ¿Qué es el Spyware o software espía?

Resp: Los programas espía o spyware son aplicaciones que recopilan información sobre una persona u organización sin su conocimiento, sin respetar su privacidad. La función más común que tienen estos programas es la de recopilar información sobre el usuario y distribuirlo a empresas publicitarias u otras organizaciones interesadas, pero también se han empleado en círculos legales para recopilar información contra sospechosos de delitos.

Los archivos spyware vienen propagados mediante cookies que almacenan información personal, programas q se ejecutan al arrancar el S.O. en segundo plano, sin advertirnos, y en consecuencia nos consumen memoria y CPU, entradas de registro etc…

_

Preg: ¿Cómo se si mi PC tiene spyware, y como lo elimino?

Resp: Existen programas anti-spyware q se encargan de buscar y eliminar cualquier rastro de spyware q se encuentre en el disco duro, bien sea .exe, .reg, una cookie etc....

_

Una vez explicados estos conceptos básicos, pasemos a proteger nuestro PC, para ello necesitaremos:

  • Antivirus
  • Cortafuegos
  • Anti-spyware

Todos sabemos que existen cientos de antivirus, cortafuegos, anti-spyware… Para salir de dudas, sobre “¿Qué antivirus instalo? O ¿Qué cortafuegos me recomiendas? Os aconsejo q leáis este post:

http://www.emule.us/foro/showthread.php?s=606bfe3131a46a73e753fe47935fe94a&t=2557

_

La guía q viene a continuación, explico paso por paso la instalación y configuración de: Norton 2004, Agnitum Outpost firewall, y Ad-aware 6.0.

Elegí estos, por su eficiencia, y su fácil manejo, tanto para gente avanzada, como para la no tan avanzada.

_

Empecemos con el Norton 2004.

Podemos descargar una versión shareware (prueba) de 30 días desde este link:

http://cdrom.digitalriver.com/pub/symantec/2004/NAV10ESD.exe

Ejecutamos el Setup, y lo instalamos, al finalizar la instalación, probablemente nos pida reiniciar, lo hacemos.

Una vez instalado, nos interesa estar protegidos, sin sacrificar gran parte de nuestra RAM y CPU, por lo tanto lo configuraremos en la pestaña opciones:

1.- Sistema > Autoprotect: Importante activar Smartscan para no consumir grandes recursos

2.- Sistema > Autoprotect > Avanzadas: Desmarca las 2 primeras casillas, no nos interesa que scanee nada en A:\

3.- Sistema > Análisis manuales: Activar Smartscan o Todos, lo que más os convenga, y archivos comprimidos.

4.- Internet > Correo: Desmarcad correo saliente, no merece la pena.

5.- Internet > Liveupdate: Marcad “recibir notificación de nuevas actualizaciones” para controlar lo q “manipula” el Norton

6.- Otros > Varios: Desactivad el plugin de office.

Nota: Al recibir archivos por el Msn, el Norton por defecto los scanea, en consecuencia, demorando un poco la visualización del mismo, si queréis desactivar esa función tan solo tenéis q desmarcar la casilla “Msn Messenger” en el apartado “Internet > Mensajeria instantánea”

_

Bien, ahora ya tenemos el Antivirus configurado, el solo se actualizará el motor del mismo, y las definiciones de virus, si necesita reiniciar, lo haremos.

Ahora pasemos al Cortafuegos:

Aquí os dejo el link de descarga de una versión shareware (prueba) de 30 días de el Agnitum Outpost Firewall Pro 2.1.297.309

http://agnitum.net/22e18df1136a5dad0236026c94bb41bb/download/OutpostProInstall.exe

Una vez instalado, nos hará un “scan” en busca de programas (mIRC, Internet explorer, msn, etc…) para autoconfigurarlos, y no tener q ir uno por uno autorizando la entrada y/o salida.

Una vez instalado, reiniciaremos, y al arrancar el S.O. se auto ejecutará en la barra de tareas.

Vamos a configurarlo por partes.

Outpost trabaja con un archivo en el cual, almacena todos los logs, de las entradas/salidas/ataques etc… ahora lo configuraremos, para q periódicamente realice una limpieza. Veamos:

Inicio -> Programas -> Agnitum -> Outpost firewall pro 2.1 -> Visor de registros:

En archivo -> Opciones de limpieza, lo configuraremos así:

Ahora, ya configurado el asunto de los logs, pasemos al cortafuegos en si:

Nota1: En la configuración "reglas firewall, en el apartado ICMP, si lo tenemos todo desmarcado (tal y como aparece en la foto) no podrás realizar un Ping, si deseas hacerlo selecciona:
-Echo Reply: IN
-Echo Request: Out

Nota2: Con la versión que está realizado el manual no hacia falta la dirección para crear las reglas.

En el caso de que la versión que usas te la pida, las direcciones son:

Reglas Globales y Sistema.
-Allow DNS Resolving (TCP)---------------------------->Salida
-Allow DNS Resolving (UDP)---------------------------->Salida
-Allow Inbound Identification--------------------------->Entrada
-Allow Loopback------------------------------------------>Entrada
-Allow PPTP control conection--------------------------->Salida
-Block Remote procedure Call (TCP)------------------>Entrada
-Block Server Message Block protocol (TCP)---------->Entrada

El servicio svhost.exe lo configuraremos así:

Y el Outlook así:

Ahora ya tenemos el Outpost correctamente configurado para su uso normal, bajo Windows, pero como no somos pocos, los usuarios de el emule, aquí os dejo otra guía de cómo configurar los accesos al emule. (Ojo, q está configurado con mis puertos, cada uno, q lo modifique según el puerto q use):




Por último, los plugins recomiendo configurarlo así:

Ya que archivos adjuntos, no lo necesitamos, para eso tenemos el Norton.
Contenido Activo y bloqueo de publicidad lo único que os puede hacer, es mostrar algún que otro error, en webs con aplicaciones java, o al mostrar alguna página.

_

Bien… ya tenemos Antivirus, bien configurado y actualizado, tenemos un potente firewall, correctamente configurado, y ahora solo nos queda una protección contra spyware.

_

Aquí os dejo el correspondiente link de Ad-aware Personal 6.0. Es completamente freeware (gratuito)

http://download.betanews.com/download/965718306/aaw6181.exe

El modo de utilización es muy sencillo,

Lo abrimos, y le clicamos a “Check for updates now” para q actualice las definiciones más recientes de spyware.

Una vez actualizado, clickamos en “Start” -> Perfom smart system-scan -> Next y dejamos que realice su búsqueda.

Cuando finalice, clickamos en Next y aparecerá una lista de todo el spyware encontrado, algo similar a esto:

Volvemos a clickar en Next, y eliminaremos todos los archivos seleccionados. Si nos diera error al borrar alguno, es por que ese archivo está siendo ejecutado en segundo plano, y en consecuencia no puede borrarse. Reiniciaremos, y volveremos a ejecutar el Ad-Aware.

_

Ahora, nuestro PC es prácticamente invulnerable a cualquier ataque, ahora solo queda usar el mejor antivirus… nosotros mismos ;) Vigilando que páginas visitamos, que archivos bajamos de la red etc…

Finalizando un gran consejo, tened lo más actualizado posible vuestro Windows, aunque tengamos el firewall más potente, Windows es la base, y si aparece algún agujero de seguridad, volvemos a estar “solos”.

Por último aquí dejo un link donde escanean nuestros puertos para chequear si los tenemos abiertos o cerrados. Muy práctico:

http://www.upseros.net/portscan/portscan.php

Y el popular antivirus on-line de panda:

http://www.pandasoftware.es/activescan/es/activescan_principal.htm

Añadido 21/09/2004

Si por cualquier tipo de urgencia, necesitais eliminar spyware de vuestro PC, y no podeis recurrir a algún programa como puede ser Ad-Aware, o Spybot, aquí os dejo un link, q os hace la misma función, pero on-line, algo muy útil sin duda:

http://www.pestscan.com/scanortrial.asp

Salu2 :)

CHEMO

precisamente me estaba pensando lo de poner un antivirus.

thx ;)

HaDeX

Esta muy bien :P

Billa

Esta genial, bastante explicativo y bien redactado. Gracias Ne0x.

PD: Lo he subido a las FAQ.

Saludos!

S

pf, y dejad esos juguetitos.

http://www.openbsd.org/faq/pf/index.html

Sn4ke

Muy bien informado,deberiais colocarlo como moderador xD

7 días después
KzD

Ne0x el puto amo xD!

B

norton 2004? hahaha

guiye

muy util :D

iMr

ponganlo arriba del todo como FAQ principal q es muy util

B

Muy buen FAQ a ver si este firewall no es un rollo porque todos los demas cada vez que voya hacer algo, este programa pide tal conex noseque :|| y por eso paso y el norton no se.. peor weno mñana me pongo y pongo mi pc apunto

DiAbLo0o

wenisimo :o
ne0x 4 modereit0r

th0rcun

pues a mi me parece mas esencial este FAQ q el del fastpath xq eso ya se caduco lo del fastpath asi que nose a q esperan a subirlo muy bien x ne0x ahora solo falta q ne0x cada x tiempo actualize el FAQ xq los virus se actualizan como todo

subir ya el FAQ hombre!

EmBiaSSuS

estoy contigo thorcun

M

q weno :]

B

El norton es el mejor antivirus? Yo busco uno que no me pete mucho el pc y pille muchos virus >_<

th0rcun

el norton es uno de los mejores antivirus pero el problema esque consume muchos recursos

hay otras alternativas como nod32 que te lo puedes descargar del emule pero norton es lo mejo para buenos equipos que les de = los recursos q consuman

B

#19 No te creas eh, no consume casi nada.. Además tengo 1gb de ram y me va fluidisimo, solo hay que leerse el manual de H para "Mantener la tasa de frames constantes" Hice solo la parte de windows XP y, la verdad no me ocupa casi nada de ram lo que es windows, antivirus, firewall, etc :D

P.D: Gran FAQ! Subidlo!

28 días después
Sandevil

Sobre los sniffers
(uno de estos programas rastreadores puede recorrer un país como España en horas ).
Creo que esta afirmacion es un tanto exagerada... El volumen de trafico dejaria K.O. en un segundo a la maquina que intentara manejar esos paquetes..

MaikelNai

Sniffer -> programa que vuelca a un fichero todo (o aquello que nos interese) lo que pasa por un interfaz de red. Obviamente, a tu interfaz de red no le llegan paquetes del resto de España.

Menos pelis de juankers.

Ne0x

#21 Un poco exagerada si que es, gracias por la aportación tengo q corregirlo. Lo q pasa esq si lo exageras un poco, la gente tiene un poco más de respeto, y es así cuando deciden ponerse un firewall. Gracias

#22 Dije q puede hacerlo, no que lo haga cada 5 minutos. Es lo único q se te ocurre decir sobre este FAQ? te aplaudo.

Saludo amigo.

Sandevil

#23 Na hombre un fallo es un fallo, y no afecta al conjunto.. y si la mayoria de la gente lee el faq y aplica la mitad de las cosas (Antivirus y firewall) pos ni tan mal..

#24 El pobre es asin.. aun asi, yo quitaria del faq los puntos sobre sniffers y spoofing, ya que contienen varios errores,y en la mayoria de los casos solo son ataques aplicables a una red lan, ademas de no comentar medidas de proteccion explicitas para ellos(un firewall no vale), aparte de ser estas medidas mas propias de ser puestas en marcha por un administrador de red, que por el propio usuario... (Uso de switchs, entradas estaticas en la tabla arp de los pcs,... )

CaRReFu

a ver neox ya k sabes "tanto" yo tengo un problema con mi pc tengo el norton 2003 y el agnintum pro bueno pos ayer nose pk seme ponia la repcencion de la adsl al maximo pues coji y cerre desde el firewal todas las conexiones k mamanban linea y bueno pues ayer paso bien el dia y no daba problemas pero hoy al arrankar el pc por ejc el norton me cargaba y al rato puff se perdia pase el adware y despues de pillar uno pocos de archivos espias el pc iba "medio bien" segui trabanjo y puff mi conex se cerro y aunke este conectado a inet entro en cualkier page y no tira...tonses deduzco k es algo gordo otro date interesante es k uso terra y la aplicacion para conectarse a inet es "wros" y me dice k la memoria nose puede read!!.
e estado revisando el registro y kite todo lo k no era normal desinstale el norton y volvi a instalar pero nada sigue = me di un rule por systen32 por si habia algo sospechoso pero nada todo normal conclusio:leve locura mental xDD

weno bromas aparte neox de k crees k es¿? (no pienses en nuestros pekeños pikes xDD)

thx a todos d3w

B

#25 intenta monitorizar con el TCPView tu conexion cuando te sucede eso.

http://www.sysinternals.com/files/tcpview.zip

decir que esa utilidad es muy practica para mirar que conexiones mediante puertos TCP tien establecida nuestra maquina con otras.. cuando tengo algun problema con la conexion lo primero que miro es eso, y no es la primera vez que he cazado algun virus con el.

Sobre los sniffers, decir que SOLO son utiles en el caso de que trabajes en una misma red con la maquina a la que quieres "sniffar" datos, y para ello, ha de ser en una red con hub's y no con switch's.
Para quien no lo sepa y lo entienda:

  • En una red con un hub, la informacion se envia de puesto en puesto, es decir, por ej. tu envias una peticion para entrar en un servidor de CS, y va de PC en PC "preguntando" si eres la maquina X, mientras que en una red con un switch, esto no ocurre, la informacion va directa a esa maquina y no pasa por todos los puestos.
CaRReFu

oki quetzal pero es k creo k tengo algo ya metido en el pc k no deja al norton activarse el caso es k eso ya me paso pero en akella ocasion lo solucione mirando mi progresos abiertos y eliminando una aplicacion joder pero esta vez en "teoria" esta limpio :S:S

Ne0x

#25 Lo único q se me ocurre esq hayas denegado el acesso a internet a aplicacion q lo necesitan como puede ser tu navegador, o svhost.exe, o el propio norton... :. Mira aplicación por aplicación si le permites el acceso a internet, y a una mala, reinstala el cortafuegos.

Pd1: piques? ninguno ;>
pd2: usa puntos y comas por favor, se me ha hecho un mundo entender tu problema

Suerte y salu2

Editado: SI crees q tienes algo, pásale el scan de panda q aparece más arriba.

CaRReFu

jajajaja enga tio la escula ya se acabo xDDDD weno ahora enserio pero tio k crees k puede ser lo k bloke el norton¿?
mira pase el red cleaner y la aplicacion del norton para k carge esta "," xD y el caso es carga el icono y despues se va eso antes me lo hacia (hace time ya) crees k puede ser algun troyano¿? k me recomendais para intentar kitarlo¿?

pd:venga neox k vas en buen camino para ser moderador ;) gL

da2:xDDD enga k yo tb te kiero xDDD

Ne0x

1º Pásale el scan de panda, a ver si tienes algún bicho por ahí..

http://www.pandasoftware.es/activescan/es/activescan_principal.htm

Si no te detecta nada, pasaríamos a configurarlo o en su defecto reinstalarlo. Suerte

Salu2 ^^

Usuarios habituales