Puertos abiertos: nmap sobre pc accediendo a internet a través de rooter.

Iniciado por opportunity, 29 Octubre 2011, 11:52 AM

0 Miembros y 1 Visitante están viendo este tema.

opportunity

Hola,

Recientemente he cambiado el acceso a internet pasando del cable-modem de nono al rooter de vodapone (la passwd por defecto - vodafone/vodafone ya la cambie).

Desde el pc de un amigo he hecho un nmap a mi maquina para comprobar (ver puertos abiertos) como se ve mi pc desde internet, el resultado es:

nmap -sS -T5 -F -PN xxx.xxx.xxx.xxx

21 tcp filtered ftp  no-response       
23 tcp open telnet  syn-ack       
80 tcp open http  syn-ack       
135 tcp filtered msrpc  no-response       
139 tcp filtered netbios-ssn  no-response       
445 tcp filtered microsoft-ds  no-response       
8081 tcp open blackice-icecap  syn-ack

Supuestamente los puertos 21 y 23 estan cerrados en mi pc (los servicios ftp y telnet estan parados), pero nmap los detecta como abiertos. Desde el otro pc intento hacer telnet pero no pide user/pass, al teclear cualquier caracter sale del telnet y vuelve al prompt de windows. Al intentar ftp no consigue conectar y devuelve Unknown error number.

Los puertos 135, 139 y 445 ya he leido por aqui como se pueden cerrar parando el servicio Remote Registry, o temas de Wins/Netbios, si no consigo cerrarlos ya os preguntare.

De lo que no tengo ni idea es de los puertos 80 y 8081, ¿para que los utiliza? ¿hay peligro de que alguien pueda acceder a mi pc a través de ellos? ¿es necesario que esten abiertos? ¿como se pueden cerrar? ¿pq que muestra los puertos de telnet y ftp si luego no es posible conectarse?

Muxas gracias por adelantado.

Elmonky

los servicios que detecta nmap son los puertos que tiene abierto el router no tu pc. desde el navegador de tu pc debes acceder a la configuracion del router para cerrar los puertos

adastra

Tal como ha dicho el compañero en su anterior respuesta, estos puertos corresponden al router, no a tu ordenador, no obstante el hecho de que aparezcan "filtered" no significa que se encuentran abiertos, solamente que NMAP no ha podido determinar su estado, ya sea por un firewall o cualquier otro mecanismo que impide realizar el escaneo correctamente (te recomiendo utilizar un TCP Connect Scan, opción -sT con detección de versión, opción -sV, ademas no hace falta establecer retrasos de tiempo... eso solamente te sirve para evadir reglas de firewalls y IDS's, quita la opción -T5, en realidad no te hace falta) luego el hecho de que el puerto 23 y 80 estén abiertos es normal, el servicio de telnet normalmente se encuentra abierto en los routers que entrega vodafone y el puerto 80 casi completamente seguro, es el servidor web que sirve para la consola de administración web del router.
Finalmente el puerto 8081 cuyo servicio es blackice-icecap  es un falso positivo entregado por NMAP, que versión de NMAP estas usando? para ver más sobre dicho falso positivo ver aquí:

http://seclists.org/basics/2007/Jan/307

opportunity

Muchas gracias por responder; me he aclarado un poco aunque todavia tengo dudas.

He ejecutado nmap con las opciones que comentas

nmap -sT -sV -PN -F xxx.xxx.xxx.xxx

El resultado cambia un poco, salen mas puertos abiertos.

21 tcp filtered ftp  no-response       
23 tcp open tcpwrapped  syn-ack       
80 tcp open tcpwrapped  syn-ack       
110 tcp open tcpwrapped  syn-ack       
135 tcp filtered msrpc  no-response       
139 tcp filtered netbios-ssn  no-response       
445 tcp filtered microsoft-ds  no-response       
3128 tcp open tcpwrapped  syn-ack       
8080 tcp open tcpwrapped  syn-ack       
8081 tcp open unknown  syn-ack

3128 y 8080 son puertos habituales de proxys. supuestamente no hay configurado ningun proxy. ¿son falsos positivos?

que significa que el puerto esté en  'open tcpwrapped'? sta abierto/cerrado/indeterminado?

Buscando en google he encontrado que blackice-icecap lo usa un sw de firewall para administración remota (ICECap user console), podría ser aunque tmb parece que se usa por otros sw.


juan1970bb

El puerto 8081 en los routers ADSL de Vodafone lo utiliza Vodafone para su uso. De hecho si intentas crear una regla NAT para el mismo no te lo permite.
Lo que no sé es para que lo usarán: ¿únicamente administración remota en caso de incidencia?, ¿estadísticas?, ¿monitorización de tráfico?...
Vamos, que no utilicéis un router de Vodafone para nada que os resulte importante (banco, comercio electrónico, hacking,...).