Puerto SSH (22)_Invisible

Te vuelvo a hacer esta pregunta pues estoy algo preocupado por el tema.
Al escanear mis puertos en un Xp me sale que el puerto 22-SSH está invisible. ¿Esto es bueno o malo?
¿Cómo se puede cerrar este puerto? ¿Es recomendable cerrarlo?
Tengo activado el firewall de Windows y el del antivirus McAfee.

1 respuesta

Respuesta
1
Por lo que comentas imagino que no tienen ningún programa de ssh escuchando (perdona si lo comentabas en la pregunta anterior, no recuerdo exactamente lo que ponía).
Algunos productos firewall capturan algunos puertos, aunque no tengas nada escuchando, y se ve como invisible. Sobre los firewall ¿tienes dos funcionando? Si es así, será mejor que desactives uno, dos podría darte problemas. Lo digo porque no me queda claro si el software de McAfee que comentas tiene también un firewall integrado.
¿Con qué software haces el escaneo? Eso podría ayudar a interpretar la respuesta.
De todos modos, si quieres comprobar que no tengas nada escuchando por ese puerto, puedes hacer un netstat y ver qué tienes en listening, e incluso intentar conectar por ssh (o telnet) al ordenador a ver qué sucede. De todos modos, si te conectas pero no ves nada no te preocupes, ya que será que el FW ha capturado la conexión.
Hola:
Comento lo que me señalas en tu respuesta:
- ¿Qué quieres decir que no "tienen ningún programa de ssh escuchando" no entiendo este primer párrafo? No estoy dando ningún servicio desde mi computadora hacia Internet, si es a eso a lo que te refieres.
- Sí, tengo 2 firewall activados. Tengo activado el firewall de Windows, y el firewall del McAfee. En la ayuda de McAfee he encontrado lo siguiente relacionado con el nivel de seguridad que yo le tengo activado: "... para bloquear todas las conexiones de red entrantes, salvo los puertos abiertos, y ocultar la presencia del equipo en Internet." ¿Puede tener esto algo que ver con tener invisible este puerto? Indicas que sólo tendría que tener un firewall activo. ¿Qué problemas me puede causar tener los 2 activos? ¿Cuál de ellos me recomiendas para tener activado uno solo?
- Escaneo los puertos desde la página web de upseros, esta: http://www.upseros.com/portscan.php aquí es donde me sale que dicho puerto esta invisible. También los he escaneado desde la página web de la asociación de internautas, esta: http://www.internautas.org/w-scanonline.php aquí me dice que está cerrado. No sé si con esto puedo ayudarte para interpretar tu respuesta, tal como indicas.
- Perdona la ignorancia por esta pregunta, pero ¿cómo hago un netstat, y sobre todo cómo lo puedo interpretar?, pues no tengo grandes conocimientos en el tema.
- ¿Cómo me puedo conectar por ssh o Telnet al ordenador?
- ¿Qué es el FW?
Disculpa todas mis preguntas, pero como ves mi ignorancia es grande en el asunto. Espero que, al menos, te sirva para entender lo que te pregunto. Y para que ambos nos entendamos mejor.
Gracias.
Uf, creo que con mi respuesta te he liado más que aclararte las cosas. Perdona, estoy en el curro y he respondido "corriendo" 8-).
Intentaré ser más algo más claro, a ver si lo consigo ;)
1.- Si tienes un puerto abierto, eso quiere decir que tienes un programa "escuchando" por ese puerto. Es decir, esperando que otro programa se conecte a él por el puerto. Digamos que un puerto es una especie de identificador, con el que el ordenador sabe a qué programa pasarle la conexión (todas las conexiones que vengan por el puerto 22 las va a gestionar el programa de ssh). Si no tienes ningún programa de ssh arrancado, no deberías tener ese puerto abierto (a no ser que lo tengas y no lo sepas ^^).
2.- Es mejor que, si tienes un firewall activado, desactives el de Windows. Te puede dar problemas de rendimiento, de compatibilidad, etc. Lo que comentas que pone en la ayuda puede ser la forma en como controla las conexiones.
3.- Que te lo ponga como "invisible" en una y "cerrado" en otra, depende de la forma en como gestione la página web la respuesta de tu máquina. Por lo visto, el firewall controla la conexión. Esto no quiere decir que tengas ningún puerto abierto, solo que tu firewall la captura de forma que un cracker no sabrá si está abierto o cerrado (en realidad si está abierto lo podría acabar sabiendo, pero como no lo está no problem). Esto no quiere decir que tengas ningún puerto abierto. Y que aparezca como invisible no es ningún fallo de seguridad :)
4.- Esos programas son de sistema operativo, y deberías ejecutarlos desde la consola de comandos. En Windows, Inicio->Ejecutar->cmd. En la pantalla negra escribes "netstat" y verás las conexiones de tu ordenador. Lo que ponga en la última "LISTENING" es que está escuchando. Para ver más información pon "netstat -a". Sin las comillas. El telnet es otro programa de línea de comandos. Escribes "telnet ip-destino puerto-destino" y se intentará conectar a ese ordenador (por la dirección ip) por ese puerto. Por ejemplo, si tienes la ip 1.1.1.1 y escribes en otro ordenador de tu red "telnet 1.1.1.1 22" se intentará conectar a tu PC por el puerto 22. Si tuvieras algún programa escuchando en ese puerto, te conectaría (otra cosa es que puedas trabajar, pero algo te saldría).
5.- El FW es el firewall abreviado. Perdona las prisas es escribir...
Tranquilo por las preguntas, para eso estamos. Solo espero no liarte más, que yo explicando me lío solo :D
Hola,
Perdona por la insistencia, al hacer "netstat" me sale en la última listening mi dirección local y en la dirección remota aparece la dirección de la web del antivirus y en el apartado estado aparece el texto TIME_WAIT". ¿Esto significa que no tengo abierto el puerto 22?
Por otro lado, al hacer el escaneo de puertos me sale que tengo abierto el puerto 23 de Telnet. Del que tú hablabas ¿Tengo qué tenerlo abierto por defecto o tengo que cerrarlo? No doy ningún servicio hacia la web, como ya te dije. ¿Cómo podría cerrarlo si es que lo tengo que cerrar? ¿Puedo hacer algo parecido al netstat con este puerto para saber si alguien está conectado a través de él a mi computador?
Además, y ya que está relacionado con el tema del escaneo de puertos, también me sale que tengo abiertos el puerto 21 de FTP y el puerto 80 de HTTP. ¿Los tengo que tener abiertos o tengo que cerrarlos? ¿Cómo cerrarlos? ¿Puedo hacer algo parecido al netstat con estos puertos para saber si alguien está conectado a través de ellos a mi computador? Mi sistema operativo es original, por lo que se actualiza automáticamente por la web cuando sale alguna actualización. ¿Esto puede estar relacionado con tener estos puertos abiertos?
Muchas gracias por tus respuestas e interés.
El TIME_WAIT significa que se ha realizado una conexión pero se ha cerrado. En ese caso, tu antivirus se ha conectado a su web quizás para actualizarse y luego ha cerrado la conexión.
Si en algún momento ESTABLISHED, es que hay alguna conexión establecida. Si ves que en el 21 está en este estado, quiere decir que tienes alguien conectado...
Si tienes el puerto 21 de FTP abierto y el 80 de HTTP, prueba a poner el el navegador web:
http://localhost/
ftp://localhost/
A ver qué pasa. Si te conecta... algo tienes.
Sobre el telnet, yo lo cerraría. Bien en servicios (Inicio-Ejecutar->services. Msc) buscar un servicio que se llame telnet y cerrarlo, o bien desde el firewall cerrando ese puerto a cal y canto (y lo mismo con el resto). Como cerrar con tu firewall no sé, ya que no lo conozco :(
Si tu sistema operativo se conecta a la web para actualizarse, no quiere decir que tengas puertos abiertos. Al conectarte no abres puertos de escucha. Si tienes puertos abiertos y no sabes de qué, el primer paso es cerrarlos en el firewall, pero haz la prueba del navegador de antes. Quizás lo que te está detectado no son los puertos de tu PC, sino los del router... Algunos routers permiten (mal hecho) que te conectes a ellos desde internet por http o ftp o telnet para configurarlos. La configuración debería ser que solo permitieran conexiones de la red local, y no de internet.
Prueba en tu PC con netstat o la prueba del navegador. Si no, será del router seguramente.
Hola:
1. Al hacer el netstat no veo el puerto 21. ¿Si estuviese abierto tendría que estar en esta lista y con el número 21 o aparecería con el número 0021? ¿Conoces alguna página de la web donde explique esto en castellano? Me salen otros puertos con ESTABLISHED al estar conectado a la web. Cuando dejo de estar conectado todas las conexiones pasan al estado TIME_WAIT.
2. Al hacer ftp://localhost/ y http://localhost/ en el navegador IE me sale una página en blanco que dice "Internet Explorer no puede mostrar la página web". En el Firefox dice en otra pantalla en blanco con fondo gris que "No se puede conectar".
3. Al usar el "services.msc" no encuentro nada que se llame "Telnet". ¿Se puede llamar de otra forma o ello significa que no lo tengo aquí?
4. He buscado por el FW del antivirus pero yo tampoco encuentro cómo cerrar esos puertos.
5. Si es del router. ¿Tengo qué dejar esos puertos abiertos para que funcione bien mi conexión o los puedo cerrar? ¿A través de ellos se podría acceder a mi computadora?
6. ¿Cómo tendría que cerrar esos puertos en el router?
Tengo conexión ADSL con router/modem ADSL marca Comtrend 5361 RoHS
Muchas gracias por todo.
Perdona por no responder antes, he estado 1 semana de vacaciones :-)
1.- Debería salir con el número 21. Lo siento pero no recuerdo ahora una página donde lo expliquen. Quizás, si tengo tiempo esta semana, lo ponga en mi blog (aunque también lo tengo algo abandonado...). Es normal que al conectarte a la Web salgan conexiones como ESTABLISHED, ya que te conectas a servidores web.
2.- Eso quiere decir que no tienes ningún programa escuchando :-)
3.- ¿Usas Windows XP con el service pack 2? Si no lo ves es que no lo tienes instalado.
4.- Intentaré ayudarte con esto, miraré info en la Web
5.- Algunos routers permiten cerrar ciertos puertos, pero por lo general la mejor opción es protegerlos con una contraseña fuerte. A través del router no podrían entrar directamente a tu PC, sino cambiar la configuración de tu router (si no está protegida con password) y, a través de eso, sí podrían llegar a acceder. De todos modos, por lo que cuentas todo parece cosa del Firewall, no que tengas virus ni cosas raras.
6.- He encontrado esto: http://www.configurarequipos.com/doc592.html
Por lo que parece, y como comentaba antes, todo parece que tiene origen en la forma que tiene el FW/Router (el router también interviene en esto) en gestionar las conexiones a tu PC, y como diferentes escáners de puertos de diferentes Webs interpretan la información que reciben. No parece que tengas nada instalado (con las pruebas que has hecho ya debería haber saltado algo raro). De todos, ¿a qué has aprendido un huevo de cosas? :-)
Si tienes más dudas no dudes en hacérmelas saber.
Hola:
No te preocupes por la demora. Espero que hayas tenido estupendas vacaciones.
1- Me puedes dar la dirección de tu blog.
3- Sí, tengo Windows XP con el service pack 2. Por lo tanto, según me dices, ¿si no lo veo es porque no lo tengo instalado?
5- Para proteger el router dices que hay que poner una contraseña fuerte. ¿Esto cómo se hace, combinando letras mayúsculas/minúsculas y números o de otra forma?
6- Miraré en la configuración del router para ver los puertos que hay abiertos y cerraré los que encuentre para mayor seguridad. Si cierro los que encuentre abiertos ¿me dará esto algún problema a mi conexión?
¡Muchas gracias por todo!
Aahh, Tienes razón, gracias a ti estoy aprendiendo "un huevo de cosas".
Un saludo.
1. Mi blog es www.zero-day.info, pero está más abandonado... ;-)
3. Si no ves el servicio Telnet es que no está instalado. Se podría instalar, pero por lo general no es necesario.
5. Las contraseñas fuertes se ponen como dices, combinando letras minúsculas, mayúsculas, números y caracteres raros. Mira este enlace: http://www.watchingthenet.com/how-to-create-strong-passwordsand-remember-them.html
6. Los puertos solo se abren por una aplicación, un router directamente no los abre. Lo que sí puede hacer es cerrarlos para siempre si tiene un firewall integrado en el router. Por defecto, el router tendrá todos los puertos "permitidos", que no abiertos. Incluso si están permitidos, para que se puedan conectar a tu PC, según el router, tendrás que configurar explícitamente ese puerto y hacer una "redirección" o regla NAT del router a tu PC. Aún así, si tiene alguna configuración de seguridad, podrás cerrarlos para que, aunque en tu PC esté abierto, deniegue la conexión desde Internet.
Hola,
Perdona no haber seguido preguntando antes, pero he estado bastante ocupado estos días.
Me he metido en el router y me sale que en el servicio LAN: tengo activado el cuadro ENABLE en los puertos de los que te estoy hablando (el 22 de SSH, el 23 de Telnet, el 21 de FTP y el 80 http).
¿Crees qué tengo que desactivarlos de ENABLE o esto sólo quiere decir que los tengo permitidos pero no pueden entrar en mi computadora a través de ellos?
¿Si los desactivo me afectará esto en mi conexión?
¿Qué opinas? No encuentro que tenga firewall mi router.
Gracias por todo.
Tranquilo, yo paso por aquí de vez en cuando a ver que hay de nuevo :)
Si el servicio lo pone en el servicio LAN, se refiere a la parte interna. Sólo desde tu lado (te red interna, tu PC) puedes acceder a dichos servicios.
Seguramente veas que también se pueda configurar para el lado WAN. En ese caso también se podría acceder al router desde internet. Ojo, hablamos del router, no a tu ordenador.
Si lo desactivas, no podrás entrar en el router para configurarlo... De todos modos, con dejar el 80 habilitado suele ser suficiente.
Hola:
Sí, también veo el lado WAN y están activados en ENABLE los puertos de los que estamos hablando, menos el SSH que aparece sin marcar.
Dices que "Si lo desactivas, no podrás entrar en el router para configurarlo..." Perdona pero no entiendo que puedo desactivar para no poder entrar al router. ¿Me lo puedes explicar?
Saludos.
En el lado WAN es recomendado que lo desactives, si es que estamos de las opciones de administración. Dejarlos habilitados sólo en el lado LAN; e incluso con el puerto 80, servicio HTTP, ya sería suficiente para administrar el router.
Cuando digo que "Si lo desactivas, no podrás entrar en el router para configurarlo..." me refiero a que esos son los servicios con los que podrás conectarte en el router para configurarlo. Si deshabilitas todos, no podrás conectarte, por lo que por lo menos deberá haber un servicio (preferiblemente HTTP) en el lado LAN habilitado para poder conectarse al router.
Hola:
Perdona mi torpeza en el tema. Sigo con algunas preguntas más.
1.¿Tal cómo tengo activado ahora mi lado WAN y LAN se podrían meter en el router? 2.¿Qué efectos podría provocar esto, tanto en mi router como en mi conexión?
3.¿Podría alguien acceder a través del router a mi ordenador tal como lo tengo ahora configurado?
4.¿El lado WAN se corresponde con una conexión Wifi? Yo tengo desactivada la Wifi.
5.¿El lado LAN a qué conexión corresponde?
De nuevo,
¡Muchas gracias por tu atención!
Perdona la tardanza en responder, demasiado trabajo acumulado...
Voy a intentar responder a tus preguntas una a una:
1.- Si tienes contraseña deberían averiguarla para meterse en tu router, pero a priori tiene pinta que sí podrían llegar a meterse (aunque les cueste).
2.- Efectos: desconfiguración, apertura de puertos (en el router, no en tu PC, pero puede ser un primer paso), te pueden dejar sin internet (deberías volver a configurar el router), pueden usar tu router como pasarela para conectarse a otros sitios, pueden modificar tus datos de conexión, de forma que apuntes a servidores DNS fraudulentos y, por ejemplo, llevarte a páginas web falsas controladas por ellos, etc.
3.- No parece. Haría falta que te hubieran instalado algo en tu pc también.
4.- El lado WAN es internet. Wifi es WLAN, muy parecido.
5.- LAN corresponde al puerto al que se conecta tu PC. Es el lado "interno", mientras que WAN es "externo".

Añade tu respuesta

Haz clic para o

Más respuestas relacionadas