odo aquel que haya instalado un firewall en sucomputadora seguramente en algún momento se en-frentó con la batería de preguntas que éste nos hace,

en especial cuando los programas intentan hacer uso de la co-nexión a Internet, ya sea como cliente o servidor. Entre esaspreguntas, aparecen con frecuencia ciertos puertos que nuncasabemos si debemos dejar abiertos o no, ni qué podría sucederen caso de cerrarlos, o si es correcto que dicha aplicación losutilice o no. El fin de esta nota es aclarar cuál es el uso, funcióny posibles vulnerabilidades de cada uno.

¿PUERTOS INFINITOS?Aunque parezca lo contrario, los puertos tienen un límite; ellistado completo de puertos va desde el 0 (técnicamente ilegal,pero posible) y llega sólo (¿sólo?) hasta el 65535, aunque losmás utilizados se encuentran entre el 1 y el 1024. Además,por lo general, a un mismo número de puerto TCP, correspondeun mismo número de puerto UDP, es decir que una aplicaciónque utiliza el puerto TCP 38726 generalmente utilizará tambiénel puerto UDP 38726.

UDPBastante se habla sobre TCP (Transfer Control Proto-col), pero no siempre se oye hablar sobre UDP. Su si-gla proviene de User Datagram Protocol, y es, básica-mente, un protocolo utilizado en la resolución denombres. Al igual que TCP, funciona en una capa másalta que IP; la diferencia con TCP es que éste necesitaque se establezca la conexión antes de comenzar elenvío del paquete, mientras que UDP envía el paquetesin verificar la conexión.El principal inconveniente del protocolo UDP es queno soporta la división de los paquetes para el envío yel reensamblado en el destino como lo hace el proto-colo TCP, por lo que las aplicaciones que lo utilizandeben asegurarse de alguna manera que la informa-ción llegará a destino y en el orden correcto. Por sertan liviano y no extender los tiempos aguardando aque se establezca la conexión, UDP suele ser el proto-colo preferido para las videoconferencias y los juegos,ya que en estas comunicaciones suele preferirse laperformance antes que la calidad del envío.

ATAQUES DOSLa denegación de servicio (Denial of Service, DoS) esuna forma de ataque muy común que logra quitar deproducción un servidor de cualquier aplicación, a tra-vés del puerto que ésta utiliza en sus comunicaciones.No implica riesgo, ya que lo único que logra es mo-lestar y provocar pérdidas económicas debido a la ba-ja del servicio, pero no se registran irrupciones en elsistema por parte del intruso. Para entender cómofunciona, vamos a citar un ejemplo de DoS a un In-ternet Information Server (IIS) corriendo sobre Win-dows 2000. Cuando se inicia una conexión IP, co-mienza un proceso de cuatro pasos:1) Un paquete (llamado SYN) se envía desde un puer-to específico en un sistema A hacia un sistema B, quese encuentra en espera.2) La conexión potencial en el sistema B entra en elestado SYN_RECV.3) El sistema B intenta enviar al sistema A un paque-te SYN_ACK en respuesta a la petición.4) El sistema A vuelve a enviar un paquete ACK co-mo respuesta, y la conexión queda establecida.

Como se pueden imaginar, cada conexión instanciadaconsume recursos, y cada sistema puede mantenercientos de conexiones recurrentes, pero todo dependedel hardware sobre el que se encuentra el sistema pa-ra saber cuántas conexiones puede soportar. Para rea-lizar el DoS, el intruso envía desde el sistema A elprimer paquete SYN con una dirección inexistente;así, cuando el sistema B envía el paquete SYN_ACK,

T

PABLO D. HAUSERSECURITY OPERATIONS CENTER, IMPSATph@tectimes.com

52 POWERUSR

.seg

UN ANALISIS DE LOS PRINCIPALESPUERTOS DE COMUNICACION «

LAS COMUNICACIONES QUE SE REALIZAN ATRAVES DE UNA RED O DE INTERNET EN UNACOMPUTADORA SE MANEJAN POR PUERTOS. EN ESTA NOTA DESCRIBIMOS LA FUNCION DE LOS MAS IMPORTANTES, QUE PROGRAMAS LOS UTILIZAN Y COMO PREVENIR ATAQUES DESDE ESAS FUENTES.

AQUI VEMOS UN ESQUEMA DEL MODELO OSI. EN LA CAPA DETRANSPORTE ES DONDE NEGOCIAN LOS PROTOCOLOS TCP Y UDP.

EL MODELO OSI # 1

CAPAS

APLICACION

Procesos de usuarios finales

Servicios de información distribuida

Transferencia de archivosEjecución de trabajos remotosIntercambio de mensajes

Servicio de intercambio de mensajes independientes de la sintaxis

Negociación de sintaxis de transferencia ytransformaciones de representación de datos

Diálogo y sincronizaciónControl para entidades de aplicación

Servicio de intercambio de mensajes independientes de la red

Transferencia de mensajes punto a puntoManejo de errores, fragmentación

Enrutado de paquetes, direccionamiento

Creación de marcos, datos transparentesControl de errores

Definiciones mecánicas y eléctricas de la interfaz de red

Conexión física a la red de datos

Red de comunicación de datos

«

PRESENTACION «

TRANSPORTE «

LIGADOS MARCOS «

FISICO BITS «

RED PAQUETES «

SESION «

PUERTOS TCP/UDP

PUERTOS 11/11/03 2:35 PM Page 52

53POWERUSR

permiso de ejecución de archivos en versionesanteriores a la 2.2 del Wu-FTPd; si aparecierapuerto restringido, significa que la transferenciaestá intentando realizarse por un puerto muy co-nocido utilizado por otra aplicación (por ejemplo,1433-SQL), lo que evidencia un posible intentode intrusión en la computadora.

� Troyanos: los que utilizan el puerto 21 suelen le-vantar un servidor FTP en la máquina atacada deforma transparente para el usuario. Los más co-nocidos son BackConstruction, BladeRunner, Cat-tivikFTPServer, CCInvader, DarkFTP, DolyTrojan,Fore, FreddyK, InvisibleFTP, Juggernaut42, Larva,MotIvFTP, NetAdministrator, Ramen, RTB666,SennaSpyFTPserver, Traitor21, TheFlu, WebEx yWinCrash.

53 DNS (TCP-UDP)Es el puerto del Domain Name Server o servidor denombres de dominio. Es indispensable para la nave-gación, ya que se encarga de resolver los nombres delas páginas web tipeados en un navegador a su direc-ción IP asociada.� Troyanos: ADMworm y Lion.

80 HTTP (TCP)Se trata del puerto usado por el HyperText TransferProtocol o protocolo de transferencia de hipertexto.Es el protocolo que fundó las bases de las transferen-cias de las páginas web en Internet. Los puertos alter-nativos para http son el 8008 y 8080.� Vulnerabilidad: al ser imprescindible para la nave-

gación, es uno de los puertos preferidos para el in-greso de los intrusos. Es fundamental la configura-ción de reglas en firewalls que sólo permitan cone-xiones en este puerto desde la red LAN hacia laWAN, pero nunca en forma inversa, salvo casosobvios (web servers).

� Troyanos: otro puerto favorito entre los troyanos porsu alta e indispensable utilidad: 711trojan, AckCmd,BackEnd, BO2000Plug-Ins, CGIBackdoor, GodMessa-ge4Creator, IISworm, ReverseWWWTunnel, RTB666,WebDownloader y WebServerCT, entre otros.

443 HTTPS (TCP)HTTP seguro. Muy utilizado en transacciones contarjetas de crédito, ya que la información viaja deforma encriptada.

nunca recibe la respuesta y la conexión queda en cola de espera(por predefinición) durante 75 segundos. Si en ese tiempo se re-ciben en el sistema B suficientes conexiones como para agotarlos recursos, se produce el DoS.

LOS PUERTOS NECESARIOSA continuación, confeccionaremos una lista ordenada en tresgrupos por número con los puertos más utilizados, tanto en lasconexiones a Internet como los que necesitamos dejar habilitadosen caso de tener una LAN con ciertas aplicaciones cliente-servi-dor muy difundidas. También citaremos las vulnerabilidades quepresentan y los troyanos que se valen de ellos.

NAVEGACIONSon los puertos que suelen utilizar el navegador de Internet yotras aplicaciones similares.

21 FTP (TCP-UDP)El File Transfer Protocol o protocolo de trasferencia de archi-vos es uno de los protocolos más antiguos de la red. En ciertoscasos (raramente) también puede utilizarse el puerto 20. La ne-gociación se efectúa en el puerto 21, pero la transferencia serealiza por un puerto aleatorio a partir del 1024. Este puertoera el usado por el viejo y querido AudioGalaxy para realizarel intercambio de archivos.� Vulnerabilidad: la más común y, a la vez, menos peligrosa es

la utilización de servidores FTP por extraños como “caché”;escanean la Web en busca de un servidor FTP sin la seguridadnecesaria y alojan sus archivos allí, para recuperarlos más tar-de. Por eso es recomendable que la configuración del servidorFTP se realice de manera que en una misma carpeta no puedaleerse y escribirse al mismo tiempo (es decir, que exista un di-rectorio de recepción y otro de salida). Pero la parte peligrosaque alberga el FTP es la manera en que establece la conexión:en un ambiente donde hay un firewall debidamente configura-do, suelen permitirse todas las conexiones establecidas desdela LAN hacia la WAN, y se deniegan las de la WAN hacia laLAN. Pero al intentar establecer la conexión FTP, el servidorestablece una conexión desde el servidor hacia el cliente paratransferir el archivo. Para evitar esta conexión, suele utilizarseel modo pasivo (PASS) en las transferencias FTP, que hace queel inicio de la conexión recaiga sobre el cliente. El ftp.exe queviene con Windows no soporta el modo pasivo, así que losusuarios de este sistema deberán utilizar algún cliente FTP se-parado, como el popular Wu-FTPd.Otras vulnerabilidades comunes son: sobrecarga del bufferpor nombre de usuario, password, directorio, nombre de ar-chivo o línea de comando muy extenso, lo que provoca DoS;

EL COMANDONETSTAT CON SUS PARAMETROSEN WINDOWS.COMPARADO CONSUS PARES DEOTROS SISTEMASOPERATIVOS, ES CIERTAMENTELIMITADO.

01FIGURA«

PUERTOS 11/11/03 2:35 PM Page 53

UTILIDADES EN WEBPuertos utilizados por software que trabaja por Internet.

22 SSH (TCP)/PCANYWHERE (UDP)SSH es el SecureShell, un soft seguro de administra-ción remota encriptada. PCAnywhere también es parala administración remota, sólo que además utiliza lospuertos 5631 TCP (pcanywheredata), 5632 TCP-UDP(pcanywherestat) y 65301 TCP.� Vulnerabilidad: contenía errores en librerías en

versiones anteriores a la 1.28 que lo hacían vulne-rable al ingreso remoto (excepto en distribucionesde sistemas operativos de Debian u OpenBSD). Laversión 8.0 de PCAnywhere permitía, durante lapantalla de “presione ENTER”, luego de conec-tarse al puerto 5631, enviar grandes cantidadesde información al servidor, lo que podría provo-carle DoS por llevar el uso de la CPU al 100%.Las PCs que cuenten con PCAnywhere instaladodeben tener un password muy seguro, ya que losintrusos suelen escanear la Web hasta encontrar-las, y si logran descifrar el password, utilizanesas máquinas para atacar sitios más interesantes(NASA, CIA, Pentágono, etc.).

� Troyanos: Adoresshd y Shaft.

23 TELNET (TCP)Conexiones para la administración remota de equipos.� Vulnerabilidad: sobrecarga del buffer por nombre

de usuario, password o tipo de terminal muy ex-tenso. Si se realiza de manera cuidadosa, es posibleingresar en el sistema, pero generalmente se lo uti-liza para causar DoS. También es muy común elabuso de Telnet sobre otros servicios para intentarel ingreso (HTTP, SMTP o FTP).

� Troyanos: ADMworm, FireHacKer, MyVeryOwntro-jan, RTB666, TelnetPro, TinyTelnetServer y TruvaAtl.

LIN

KS � INTERNET SECURITY SYSTEMS www.iss.net

Sitio con mucha información sobre vulnerabilidades.

� SECURITY FOCUS www.securityfocus.com

Otro sitio de seguridad muy interesante.

� HISPASEC SISTEMAS www.hispasec.com

Sitio en español sobre todo tipo de vulnerabilidades.

� WHATIS http://whatis.techtarget.com

Excelente base de datos sobre conocimientos tecnológicos.

AQUI VEMOS EL MISMO COMANDO NETSTAT CON SUS PARAMETROS EN UN SISTEMA BASADO EN FREEBSD (TAN SOLO LA PRIMERA PAGINA).02

FIGURA

54

24 SERVICIOS DE MAIL (TCP)Cualquier servicio privado de mail utiliza este puerto.� Troyanos: BO2KcontrolPort. ¡Es el famoso Back Oriffice!

25 SMTP (TCP)Se trata del puerto usado por el denominado Simple MailTransfer Protocol o protocolo de transferencia simple de co-rreo. Necesitamos que se encuentre abierto para poder efectuarlos envíos de correo electrónico.� Vulnerabilidad: las aplicaciones que se utilizan para el envío

de correo han avanzado lo suficiente en materia de intrusionescomo para ser lo bastante robustas, pero deben poner mayorénfasis en el control del spam y en el uso no autorizado pararealizar Mail Relay (envío de correo sin consentimiento).

� Troyanos: como es de imaginar, éste es el puerto por excelen-cia para la propagación de troyanos; por lo tanto, sólo nom-braremos algunos de los más importantes: Ajan, Antigen, Ba-rok, EmailPasswordSender, EPSII, Happy99, Hpteammail, Ilove-you, MagicHorse, MBT, MBTMailBombingTrojan, Naebi, Termi-nator, WinPC y WinSpy.

110 POP3 (TCP)El puerto utilizado por el famoso Post Office Protocol V3 o, másfácil, protocolo de correo. Anteriormente se utilizaba el puerto 109(POP2), por lo que los intrusos siguen realizando escaneos sobre él,ya que algunos antiguos servidores POP3 presentan huecos de se-guridad en él.� Vulnerabilidad: ciertos servidores POP presentan huecos que

permiten la sobrecarga del buffer y la caída por DoS. Algunosde ellos son los basados en QualCOMM Qpopper. Al ser unpuerto muy atacado, se recomienda que los passwords de lascuentas sean muy seguros para evitar que los intrusos puedanadivinarlos. Otro ataque común consiste en enviar nombres deusuario, passwords o nombres de archivos muy largos que per-miten la ejecución de código malicioso al remitente.

� Troyano: ProMailtrojan.

1214 KAZAA, MORPHEUS, GOKSTER (TCP-UDP)Famosas aplicaciones peer to peer. Nadie nos perdonaría olvidarla mención de este puerto tan usado en la actualidad.

1863 MSN MESSENGER (TCP-UDP)Puerto utilizado por el popular mensajero de Microsoft.

2004 EDONKEY (UDP)Ocupado por esta aplicación peer to peer. Otros puertos utilizadospor defecto por esta aplicación son: 4661 TCP, 4662 TCP, 4663TCP y 4665 UDP.� Troyano: TransScout.

4000 ICQ MESSENGER (UDP)El famoso puerto utilizado por el mensajero aún más famoso: ICQ.

5010 YAHOO! MESSENGER (TCP)Puerto utilizado por el mensajero de Yahoo!

5190 AIM MESSENGER (TCP)El puerto utilizado por el mensajero de AOL. También usa el 2846TCP-UDP, 2847 TCP-UDP, 5191 TCP, 5192 TCP y 5193 TCP.

POWERUSR

PUERTOS 11/11/03 2:35 PM Page 54

56 POWERUSR

COMO VER LOS PUERTOS: NETSTAT

6257 WINMX (UDP)Puerto de la popular aplicación peer to peer. También utiliza elpuerto 6699 TCP (anteriormente usado por Napster).

6346 GNUTELLA, BEARSHARE Y OTROS (TCP-UDP)Aplicaciones P2P. También utilizan los puertos 6347 TCP-UDP y6348 TCP-UDP.

27015 HALF-LIFE (UDP)El servidor para juegos Half-Life (léase Counter-Strike) utilizaeste puerto.

UTILIDADES EN LANSon los puertos usados por herramientas que trabajan en una redinterna de computadoras.

42 HNS-WINS (TCP-UDP)Se trata del Host Name Server-Windows Internet NamingService. Sirve para la replicación de directorios. Es uno de lostantos “puertos Microsoft” que resuelve nombres, pero a dife-rencia de DNS, lo hace sobre NetBIOS (comunicación al com-partir archivos e impresoras). Si la red LAN es Windows, no esrecomendable bloquear este puerto.

135 RPC (TCP)Es el Remote Procedure Call o llamada a procedimiento remo-to. No es necesario tener abierto este puerto en la WAN (salvociertas excepciones), pero resulta útil en la red de área local ymerece una mención de honor debido a los grandes problemasque provocaron los famosos gusanos Blaster y Nachi. Algunosde los servicios que utilizan este puerto son el DHCP Server,DNS Server y WINS Server.

CONEXIONES ACTIVAS (NETSTAT –A) AL MOMENTO DEESCRIBIR ESTAS LINEAS. NOTEN QUE LOS PUERTOSCONOCIDOS APARECEN CON EL NOMBRE DEL SERVICIO. 03

FIGURA

Para poder ver los puertos necesitamos usar un comando incluido en casi todos los sistemas operativos (¡hasta en Windows!); su nombre, nneettssttaatt. Este comando se encarga de mostrarnos ciertas estadísticas referidas al envío y la recepción de paquetes y las conexiones existentes por TCP/IP.Para utilizarlo, los usuarios de Windows deben abrir una consolaDOS y escribir nneettssttaatt ??; entonces el sistema les mostrará los parámetros disponibles para el comando. En un sistema operativobasado en FreeBSD, pueden hacer lo propio escribiendo mmaann nneettssttaatt, sólo que tendrán varias páginas para estudiar.Hagamos un repaso de algunos parámetros que son muy utilizados y comunes:--aa: muestra las conexiones activas (established) más todos

los puertos que están a la espera (listening). Primero lista los TCP,y a continuación, los UDP.

--nn: muestra las conexiones en forma numérica. Traducido: no resuelve los nombres de los hosts.

--pp pprroottooccoolloo: muestra las estadísticas sobre el protocolo solicitado.--rr: muestra las tablas de ruteo cargadas en nuestra máquina.--ss: muestra estadísticas agrupadas por protocolo. Puede utilizarse

con otros para ordenar la información (por ejemplo, netstat –e –s).

¿Qué son los puertos?

Un puerto es una instancia de conexión en la que unprograma “escucha” o queda a la espera hasta que la comunicación se establezca, en ocasiones con lafinalidad de obtener algún servicio de otra computadora.

*

� Vulnerabilidad: como ya hemos visto, y posible-mente sufrido, la saturación del buffer de estepuerto permite la ejecución de código malicioso y,en ciertos casos, el control total de la máquina porparte de un intruso.

� Troyanos: Blaster y Nachi.

137 NETBIOS-NS (UDP)Se trata del puerto usado por el NetBIOS NameService o servicio de nombres NetBIOS. A través deél, los servicios de NetBIOS se encuentran unos aotros. En una red basada en NetBIOS, estos nombresidentifican unívocamente cada máquina y los servi-cios que están corriendo en ella, sin importar la di-rección IP. WINS corre también sobre este puerto.� Troyanos: Chode, MSInit y Qaz.

138 NETBIOS-DS (UDP)NetBIOS Datagram Service. Se usa principalmentepara hacer transmisiones en “broadcast” de la infor-mación.� Vulnerabilidad: el principal peligro de tener este

puerto abierto a Internet es que un intruso, me-diante el envío de mensajes especiales, puede“convencer” a Windows de que su máquina es“local” y entonces traspasaría la brecha impuestapor este sistema en las áreas de seguridad “Inter-net” y “Local”. Todo un problema.

� Troyano: Chode.

139 NETBIOS-SESSION (TCP)Tanto este puerto como el 137 UDP y el 138 UDPconforman un paquete que constantemente circulapor Internet. Lo ideal es bloquear todos estos puertossi nuestra máquina está de cara a una WAN.

PUERTOS 11/11/03 2:35 PM Page 56

� Vulnerabilidad: es uno de los puertos más peli-grosos para dejar abiertos a Internet, ya queCompartir Archivos e Impresoras en Windowscorre sobre él, por lo que es el primero al quelos intrusos apuntan.

� Troyano: Chode, GodMessageworm, MSInit, Netlog,Network, Qaz, Sadmind y SMBRelay.

A continuación mencionaremos algunos programas deuso popular en una LAN, y los puertos que deben es-tar abiertos para su correcta ejecución:

Exchange Server: los puertos utilizados por este fa-moso servidor de correo son 102 TCP-UDP (ISOX.400), 110 (comentado anteriormente), 119 TCP-UDP(NNTP, Network News Transfer Protocol), 143 TCP-UDP (IMAP4), 389 TCP-UDP (LDAP), 563 TCP-UDP(NNTPS), 636 TCP-UDP (SLDAP), 993 TCP-UDP(IMAPS) y 995 TCP-UDP (POP3).� Troyano: Puerto 119: Happy99.

Lotus Notes: usa el puerto 1352 TCP para las comu-nicaciones normales y el 1352 UDP para servicios dereplicación. Este último no es necesario para la comu-nicación normal.

Microsoft NetMeeting: usa el 389 TCP-UDP (LDAP),522 TCP-UDP (ULP, reemplazado por LDAP), 636TCP-UDP (SLDAP), 1503 TCP (T.120), 1720 TCP(H.323/Q.931) y 1731 TCP-UDP (MSICCP).

SQL: los puertos referidos a SQL son muchos y de-penden de la compañía que comercializa la distribu-ción. Algunos de ellos son: 66 TCP-UDP (Oracle SQLNet), 118 TCP-UDP (SQL Services), 150 TCP-UDP(SQL-NET), 156 TCP-UDP (SQL Services), 1114 TCP-UDP (mini-SQL), 1433 TCP-UDP (SQL-Server), 1434TCP-UDP (SQL-Monitor), 1498 TCP-UDP (Sybase SQL

Anywhere y Watcom SQL), 1521 TCP (Oracle SQL), 1522 TCP(Oracle SQLNet 2), 1525 TCP (Oracle SQLNet 1), 1529 TCP (Ora-cle SQLNet 2), 1978 TCP-UDP (UniSQL), 1979 TCP (UniSQL Ja-va), 3306 TCP-UDP (MySQL), 3352 TCP-UDP (SSQL) y 4333 TCP(mSQL).� Vulnerabilidad: puerto 150. Si un intruso logra conectarse y

enviar una cantidad importante de datos sin sentido, el sistemacolapsa.

Terminal Server: utiliza los puertos 636 TCP-UDP (SLDAP), 1494TCP (Citrix ICA), 1503 TCP (T.120), 1720 TCP (H.323/Q.931), 1731TCP-UDP (MSICCP) y 3389 TCP (RDP-Terminal Services).� Vulnerabilidad: el TS de Windows NT 4.0 intentará estable-

cer una conexión inmediatamente después de recibir la soli-citud por un paquete TCP al puerto 3389, aun antes de laautenticación. Cada conexión instanciada requiere 1 MB dememoria. Si se instancian las suficientes conexiones sin re-solver como para acaparar la totalidad de la memoria, elservidor comenzará a volverse lento, y en ciertos casos co-lapsará y habrá que reiniciarlo. A partir del SP4 se solucionaeste inconveniente.

Windows Media: usa el 80 TCP (HTTP), 1755 TCP-UDP (MSstreaming-Windows Media .asf), 7007 TCP-UDP (MSBD-WindowsMedia Encoder).

CONCLUYENDOEsperamos haber echado un poco de luz sobre el tema. Ahora,con un poco de maña y otro tanto de prueba y error, podrán re-dirigir los programas instalados en su máquina (si se lo permiten)hacia otros puertos que no sean los que utilizan por defecto, porejemplo para poder atravesar restricciones impuestas por firewalls(pero conste que yo no dije nada, ¿eh?).Por último, les recomiendo un interesante software para anali-zar redes: Angry IP Scanner (www.angryziber.com/ipscan), muy efecti-vo, sencillo y liviano; y Anasil (www.tucows.com/preview/217342.html),una demo de un completo analizador de interfaces Ethernetcon todo lo que pasa por ellas �

58 POWERUSR

ANASIL ES UN COMPLETO(Y A LA VEZ,COMPLEJO)ANALIZADOR DE INTERFACESETHERNET DE UNA RED DE AREA LOCAL,QUE AQUIVEMOS EN SUVERSION 2.2.

04FIGURA«

PUERTOS 11/11/03 2:35 PM Page 58