Conexión saliente persistente desde un host extraño a mi pc...
DesconectadoHola,
Tengo una conexión a Internet que me provee mi ISP a través de un Wireleess AP, utilizo Debian Lenny amd64 y tengo funcionando Firestarter como cortafuegos, configurado con Normativa Permisiva por omisión, tráfico en la lista negra.
Generalmente todo parece funcionar correctamente, en firestarter solo veo conexiones con origen desde mi IP hacia diferentes destinos y a través de varios servicios como http, bitorrent, etc. Pero en ocasiones me he percatado de que hay conexiones con origen desde una IP externa hacia mi host, y en todas las ocasiones han sido a través de servicios desconocidos en puertos bien altos como por ej. 55330.
Firestar muestra que hay actividad y que hay envíos o tráfico hacia el exterior. En el momento en el que he detectado una conexión de ese tipo, he cerrado todos los programas que pudieran estar haciendo uso de esa conexión, osea he cerrado navegadores, clientes de mensajeria, etc., pero siempre ese tipo de conexiones persisten, no las he podido romper, incluso bloqueando el cortafuegos, o hasta luego de ejecutar ifconfig ethX down. Lo único que me da resultado es reiniciar el sistema, para mayor seguridad también reinicio el AP. Luego denego las conexiones en Firestarter desde los host sospechos.
Es por eso que me surgen los siguientes interrogantes:
1- Es común que encontrarse con ese tipo de conexiones;
2- Hay algún método para desconectarlas o romperlas sin necesidad de reiniciar;
3- Conllevan riesgos para mi sistema, es decir una conexión como esas en un puerto desconocido es suficiente para que alguien malintencionado ocasione daños... en mi sistema;
Bueno espero sus comentarios.
Saludos...
- Inicie sesión o regístrese para enviar comentarios
- 861 lecturas
Tienes una dirección IP pública?
Tienes instalado SSH en tu equipo?
Está configurado el enrutamiento en tu módem/enrutador para reenviar conexiones SSH a dicho equipo?
Si las preguntas son afirmativas es probable que ya se haya corrido la voz que tienes un servidor SSH y están intentando conectarse a tu equipo. Revisa el archivo /var/log/auth.log , y revisa conexiones fallidas. En este caso lo recomendable es que te documentes sobre DenyHosts y lo instales en tu máquina. Posteriormente cambia el enrutamiento en tu módem/enrutador para que no escuche peticiones en el puerto 22 sino en algún otro fácil de identificar para ti. No será necesario que cambies el puerto 22 en tu equipo.
Si no estás usando SSH entonces quizás estás usando algún cliente P2P. Es lo que se me ocurre por ahora .........
EDITO:
Para que te sea un poco más fácil la monitorización puedes instalar Etherape, el cual debes ejecutarlo como root para poder ver gráficamente la actividad que está teniendo tu tarjeta de red. iftop es un monitor para la terminal.
Saludos,
Sidd.
Para que te sea un poco más fácil la monitorización puedes instalar Etherape, el cual debes ejecutarlo como root para poder ver gráficamente la actividad que está teniendo tu tarjeta de red. iftop es un monitor para la terminal.
Es segun mi humilde observacion es mucho mejor el uso de tcpdump e iptraf, para este tipo de casos, a ambos debes usarlos como root.
Saludos
Es segun mi humilde observacion es mucho mejor el uso de tcpdump e iptraf, para este tipo de casos, a ambos debes usarlos como root.
Saludos
En realidad la ejecución de aplicaciones con permisos de root propone un problema serio de seguridad, mejor usar sudo en esos casos. Sobre el tema puntual... que servicios tienes corriendo en tu pc?, con que permisos corren estos?
Tienes una dirección IP pública?
Tienes instalado SSH en tu equipo?
Está configurado el enrutamiento en tu módem/enrutador para reenviar conexiones SSH a dicho equipo?
Si las preguntas son afirmativas es probable que ya se haya corrido la voz que tienes un servidor SSH y están intentando conectarse a tu equipo. Revisa el archivo /var/log/auth.log , y revisa conexiones fallidas. En este caso lo recomendable es que te documentes sobre DenyHosts y lo instales en tu máquina. Posteriormente cambia el enrutamiento en tu módem/enrutador para que no escuche peticiones en el puerto 22 sino en algún otro fácil de identificar para ti. No será necesario que cambies el puerto 22 en tu equipo.
Si no estás usando SSH entonces quizás estás usando algún cliente P2P. Es lo que se me ocurre por ahora .........
EDITO:
Para que te sea un poco más fácil la monitorización puedes instalar Etherape, el cual debes ejecutarlo como root para poder ver gráficamente la actividad que está teniendo tu tarjeta de red. iftop es un monitor para la terminal.
Saludos,
Sidd.
Hola gracias por el comentario,
No utilizo ssh, y por las dudas tengo configurado firestarter para que denegue el servicio ssh en el puerto 22 para todos.
Por el momento he instalado y estoy probando Etherape, que lo encuentro bastante interesante... Así mismo estoy probando PortSentry.
Mas allá que me interesaría saber si alguien esta intentando, o ha logrado, la intrusión en mi sistema y que es lo que ha hecho, ahora me interesaría mas saber la forma de matar conexiones sospechosas...
Seguiré investigando..., pero sus comentarios son bienvenidos...
Es segun mi humilde observacion es mucho mejor el uso de tcpdump e iptraf [...]
En realidad yo no estaba pensando en capturar paquetes sino más bien que "visualmente" nuestro amigo tuviera una apreciación general de las conexiones y por ello pensé en Etherape. Cuando quiero revisar algo más a fondo uso wireshark, ntop, y tcpdump .... Me ha gustado mucho (y agradezco) tu recomendación de iptraf el cual no conocía.
Saludos!
Sidd.
Si tienes corriendo un cliente p2p eso es algo muy normal.
El bloquear la conexión no hace que una conexión ya establecida desaparezca, la conexión permanecerá half-open por un tiempo (según lo defina la variable /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_established y es batante tiempo, 5 dias por defecto)
Si tienes temor de intrusión pones el INPUT a DROP y listo
Si tienes corriendo un cliente p2p eso es algo muy normal.
El bloquear la conexión no hace que una conexión ya establecida desaparezca, la conexión permanecerá half-open por un tiempo (según lo defina la variable /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_established y es batante tiempo, 5 dias por defecto)
Si tienes temor de intrusión pones el INPUT a DROP y listo
Excelente información, ahora se porque esas conexiones persisten hasta que reinicio el sistema. Y... sí frecuentemente utilizo servicios p2p. Ahora (y desde hace unos días) estoy descargando PC-BSD 8.0 utilizando Ktorrent, y de momento no he observado ese tipo de conexiones,
Bueno, agradezco los comentarios de todos, me han servido bastante, sobre todo porque me motivan para seguir investigando y aprendiendo.
Generalmente todo parece funcionar correctamente, en firestarter solo veo conexiones con origen desde mi IP hacia diferentes destinos y a través de varios servicios como http, bitorrent, etc. Pero en ocasiones me he percatado de que hay conexiones con origen desde una IP externa hacia mi host, y en todas las ocasiones han sido a través de servicios desconocidos en puertos bien altos como por ej. 55330.
Es necesario acotar a qué te refieres con ese "con origen desde". Normalmente, si no tienes ningún servicio escuchando en ese puerto tan alto (algo que se puede comprobar fácilmente con un netstat), en realidad esa conexión la habría iniciado tu propio equipo, como cliente, y el tráfico que detecta firestarter es tráfico entrante. Exactamente igual que lo que pasa cuando un navegador se conecta a Esdebian, usando un puerto alto:
tu_equipo:55330 -------------> www.esdebian.org:80
[...] Si no estás usando SSH entonces quizás estás usando algún cliente P2P. Es lo que se me ocurre por ahora [...]
No andaba yo tan errado entonces
Sidd.