¿Qué puedo hacer para escanear mi puerto?

Navega tus respuestas
1

Tengo dos dispositivos conectados de forma inalámbrica a mi enrutador Linksys mientras ejecuto Symantec Endpoint Protection en mi computadora. Hace unos días comencé a usar Internet conectando el cable directamente a mi computadora. Por alguna razón, mi enrutador ralentiza mi velocidad de descarga; ya he intentado arreglarlo sin suerte, probablemente esté desactualizado. De todos modos, después de conectarme directamente a través del cable, SEP comenzó a notificarme que una IP determinada me está escaneando el puerto y no forma parte de mi red. Es europeo SEP bloqueó automáticamente la IP durante 600 segundos. Después de eso, noté que he sido escaneado en puertos continuamente por diferentes direcciones IP de todo el mundo. Como entiendo, esto es bastante normal y no es algo que deba preocuparme si estoy detrás de un firewall. Sin embargo, la IP mencionada anteriormente hace que los puertos me escaneen cada minuto de manera repetitiva junto con otras IP diferentes. Después de conectarme de forma inalámbrica a mi enrutador, noté que el SEP ya no registra estas direcciones IP, pero sí lo hace mi enrutador. Ya bloqueé la IP en SEP. Pero sigue escaneando lo que es visible en el registro de mi enrutador. El enrutador no es capaz de bloquear las conexiones IP como SEP.

  1. ¿Me gustaría saber qué más puedo hacer para mejorar mi seguridad?

  2. ¿Qué puertos debo mantener abiertos y qué puertos debo cerrar? Si entiendo correctamente, las IP están buscando puertos abiertos que se pueden vender, sin embargo, ¿no hay ciertos puertos siempre abiertos para que Internet funcione?

  3. No tengo ningún puerto reenviado en mi enrutador. Hay algunos puertos específicos de la aplicación abiertos en el firewall de Windows. ¿Puedo ser hackeado a través de estos puertos?

  4. ¿La exploración de puertos pesados es la razón detrás de las velocidades lentas del enrutador / inalámbrico?

  5. ¿Por qué estoy siendo apuntado por la misma IP repetidamente? ¿Alguien está intentando piratear mi computadora?

pregunta Nakute Marato 23.04.2016 - 22:14
fuente

3 respuestas

1
  
  1. Me gustaría saber qué más puedo hacer para mejorar mi seguridad.
    2.   

En primer lugar, debe asegurarse de utilizar el firmware más reciente para su dispositivo Linksys (si lo usa). No recomendaría conectar tu PC con Windows directamente a internet. Al hacerlo, se permite a un posible atacante "acceder" directamente y recopilar información sobre la máquina de destino y solo queda su SEP y su firewall de Windows para evitar esto (y no confiaría mi vida a esas soluciones). Nuevamente, si sus sistemas están actualizados, disminuye el factor de riesgo.

En mi opinión, la forma más segura es un pequeño dispositivo Linux (por ejemplo, una frambuesa pi) entre tu PC e Internet. Puede usar todas las soluciones que Alexey mencionó en él y puede personalizarlo como desee. De esta manera, tendría muchas defensas posibles contra el escaneo de puertos y ataques a la red.

  
  1. ¿Qué puertos debo mantener abiertos y qué puertos debo cerrar? Si comprendo correctamente, las direcciones IP están buscando puertos abiertos que se puedan vender, sin embargo, ¿no hay ciertos puertos siempre abiertos para que Internet funcione?
    2.   

Explicación breve sobre los análisis de puertos y ataques:

La mayoría de los puertos escanean los puertos menos conocidos ( Puertos bien conocidos ) para encontrar servicios (por ejemplo, FTP servidores, servidores SMTP, etc.) para que puedan explotarlos y obtener acceso a la máquina. No se puede imaginar cuántos servidores no seguros existen que ejecutan versiones obsoletas de dichos servicios. La mayoría de los ataques de exploits ejecutan un escaneo automáticamente, comparan los resultados con una base de datos de exploits y atacan si tienen un exploit adecuado. Para escalar, esos ataques son a menudo con secuencias de comandos. Los "puertos vulnerables" son puertos en los que servicios no seguros o obsoletos están escuchando en su máquina.

- > No hay puertos que deban estar abiertos o cerrados por defecto. Por supuesto, la forma más segura sería no tener un solo puerto abierto / sin servicio en nuestra máquina que escucha las conexiones entrantes desde Internet.

Tiene razón, hay ciertos puertos abiertos en su máquina si se conecta a Internet (consulte Puertos efímeros ) . Ejemplo: te conectas a un servidor http usando firefox. Firefox ahora abre un socket en su máquina en un puerto efímero (por ejemplo, 50000) para enviar y recibir paquetes hacia / desde el servidor http en el puerto del servidor 80 (Puerto conocido). Pero Firefox solo escucha los paquetes de la conexión que se ha iniciado, por lo que en su escenario no tiene que preocuparse por ellos.

  
  1. No tengo ningún puerto reenviado en mi enrutador. Hay algunos puertos específicos de la aplicación abiertos en el firewall de Windows. ¿Puedo ser hackeado a través de estos puertos?
    2.   

Vea la respuesta a 2., si tiene servicios escuchando en dichos puertos, esos servicios / aplicaciones son potencialmente explotables. Nuevamente, mantenerlos actualizados disminuye el riesgo.

  
  1. ¿La exploración de puertos pesados es la razón detrás de las velocidades lentas del enrutador / inalámbrico?
    2.   

Vea la respuesta de Alexey, no debería ser la razón.

  
  1. ¿Por qué estoy siendo apuntado por la misma IP repetidamente? ¿Alguien está intentando piratear mi computadora?
    2.   

Por supuesto, ese podría ser el caso. Un "hacker" usa portscans para recopilar información sobre el sistema en el que quiere infiltrarse. Pero es mucho más probable que algún script automatizado chino sea tan malo como para usar los mismos objetivos una y otra vez. Como se mencionó en la respuesta 2, esos ataques a menudo están programados para escalar algunos vectores de ataque en muchas máquinas para obtener resultados.

Saludos cordiales

    
respondido por el Knorke 24.04.2016 - 11:39
fuente
0

Mi receta fue y es:

  • Portsentry
  • Cortafuegos adecuado
  • Retailating NMAP
  • Auto-mailing a través de scripts de Perl a abuse@xxx de whois de DNS inverso
  • Informes automáticos a listas negras para IP maliciosas
  • Hacer cumplir una lista de IP incorrectas a HTTPS / SMTPS / IMAPS / POP3S

Funcionó y funciona, pero tomó algún tiempo para obtener ayuda

    
respondido por el Alexey Vesnin 23.04.2016 - 22:40
fuente
0

Tarde como siempre ... pero esto es lo que hice ... ACL'd / Bloqueado todo el tráfico no estadounidense / CAN.

nirsoft.net le permite descargar listas de csv y se traduce fácilmente a cualquier firewall. Es efectivo y realmente elimina la mayor parte del tráfico no deseado, ya que en mi caso fue derivado de RIPE / APNIC / AFNIC / LACNIC y en ese orden, los ataques concentrados se obtuvieron principalmente de RIPE y APNIC. A partir de ahí, solo formulo algunas reglas para generar registros creados a medida que se acumulan los intentos de conexión. Tal vez haya tenido que lidiar con 4 de los bloques más pequeños de EE. UU. E incluso en algunos casos se hizo un seguimiento de los ISP cuando es atroz y molesto. A medida que comienza a navegar y ver sitios que simplemente no se están cargando, busque su IP de origen y permítales antes de la ACL no utilizada. Realmente es eficaz.

    
respondido por el meddling 30.10.2018 - 23:25
fuente

Lea otras preguntas en las etiquetas

¿Cómo puede falsificar una conexión TCP con un dispositivo que usa el mismo número de secuencia inicial para cada ejecución de un protocolo de enlace TCP? ¿Existe un método seguro para distribuir claves a los nodos sin disco de arranque en red?