Hardening es posible

7 réponses [Dernière contribution]
delaforce
Hors ligne
A rejoint: 05/18/2014

He instalado Trisquel en una maquina virtual y el programa soporte de virtualizacion no hace mas q darme alarmas de conexiones a internet con el trisquel. port 9023, 9001 , 143 etc etc si quereis hago un log

No tengo corriendo ningun torrent obviamente.

Hice searching en todo el foro pero no hay una guia de hardening, se alega q no hay nada ni ssh ni nada pero ...??? Quiero un puesto monopuesto , sin red local, ni wifi

Algun comentario? Gracias.

SuperTramp83

I am a translator!

Hors ligne
A rejoint: 10/31/2014

No puedo ver en este momento las puertas que Trisquel deja abiertas pero si me acuerdo bien son muy pocas y son cups y avahi-daemon (puede ser que me estè equivocando en esto).
Mira aqui - te da informacion sobre los ports (143 es IMAP por ejemplo) -> https://www.grc.com/port_143.htm

Aquì (siempre el sitio de arriba) puedes escanear los primeros 1056 ports de tu computadora o si quieres escanear otras solo insertas la informacion..

Este comando te dice cuales son las puertas abiertas y por cuales aplicaciones
sudo netstat -tulpn

saludos!

dcapeletti
Hors ligne
A rejoint: 04/03/2014

Hola,
hay tres herramientas de red que siempre uso.
Una de ella es un analizador de puertos o de protocolos, se llama Wireshark. Es un conjunto de programas para analizar y monitorizar el contenido que entra y sale de tu sistema. Puedes ver en profundidad que aplicaciones están intentando conectarse.

http://es.wikipedia.org/wiki/Wireshark
https://www.wireshark.org/

Para instalarlo, desde synaptic buscas wireshark o desde un terminal sudo apt-get install wireshak

Otra aplicación es nmap (por terminal) o zenmap (modo gráfico). Esta aplicación permite realizar un rastreo de puertos en un sistema. Es útil para determinar que puertos están abiertos en un sistema objetivo.

La tercera y última es un cortafuego bien configurado. Para instalarlo, busca en synaptic ufw o en termina sudo apt-get install ufw

http://es.wikipedia.org/wiki/Uncomplicated_Firewall

Hay otras herramientas como Netcat, para explotar vulnerabilidades en un sistema. A esta la tengo pendiente de uso.
http://es.wikipedia.org/wiki/Netcat

Comprender el comando netstat también es muy útil. netstat -p muestra todos los sockets abiertos (TCP/UDP/Unix) y los id de procesos que lo abren (-p).

Sds

delaforce
Hors ligne
A rejoint: 05/18/2014

sudo netstat -tulpn

Que servicios son cerrables? Gracias.

PID/Program name
tcp 0 0 127.0.1.1:53 0.0.0.0:* LISTEN 19912/dnsmasq
tcp 0 0 10.0.3.1:53 0.0.0.0:* LISTEN 1777/dnsmasq
tcp 0 0 127.0.0.1:631 0.0.0.0:* LISTEN 19506/cupsd
tcp 0 0 127.0.0.1:9050 0.0.0.0:* LISTEN 1893/tor
tcp6 0 0 fe80::48ea:eeff:fe0b:53 :::* LISTEN 1777/dnsmasq
tcp6 0 0 ::1:631 :::* LISTEN 19506/cupsd
udp 0 0 0.0.0.0:37646 0.0.0.0:* 1364/avahi-daemon:
udp 0 0 0.0.0.0:5353 0.0.0.0:* 1364/avahi-daemon:
udp 0 0 0.0.0.0:56950 0.0.0.0:* 19882/dhclient
udp 0 0 127.0.1.1:53 0.0.0.0:* 19912/dnsmasq
udp 0 0 10.0.3.1:53 0.0.0.0:* 1777/dnsmasq
udp 0 0 0.0.0.0:67 0.0.0.0:* 1777/dnsmasq
udp 0 0 0.0.0.0:68 0.0.0.0:* 19882/dhclient
udp6 0 0 :::23141 :::* 19882/dhclient
udp6 0 0 :::52281 :::* 1364/avahi-daemon:
udp6 0 0 :::5353 :::* 1364/avahi-daemon:
udp6 0 0 fe80::48ea:eeff:fe0b:53 :::* 1777/dnsmasq

dcapeletti
Hors ligne
A rejoint: 04/03/2014

Hola,
para cerrar puertos de CUPS por ejemplo, hay dos maneras de hacerlo:
La primera es deteniendo el servicio en tu sistema. De este modo ni siquieras tu podrás usar el servicio.
La segunda manera es activando un cortafuegos en tu sistema de modo que otros equipos no puedan ver dicho servicio. Para realizar comprobaciones de puertos, utiliza nmap o zenmap.

Para detener el servicio CUPS:
sudo service cups stop

Los puertos asociados al servicio CUPS deberían desaparecer al ejecutar sudo netstat -tulpn

Te recomiendo leer que es cada servicio, cual es su propósito y si conviene detenerlos o activar un cortafuego para ellos. Para leer el manual, ejecuta man seguido del nombre del comando:
man dnsmasq
man dhclient

etc.

Sds

delaforce
Hors ligne
A rejoint: 05/18/2014

gracias dcapeletti

cerré cups , avahi-daemon y tor

Lo suyo seria configurar un firewall en trisquel q bloqueara entradas y salidas y pidiera cuando va a salir permiso. pero con GWFW no se hacerlo.

en wireshark no me funciona virtualizado.

quiero cerrar el servicio ip6 y saber pq esta apuntando dnsmasq a 10.0.3.1:53

++++++++++++++++++++++++++++++
volcado:

ss -ln

Netid State Recv-Q Send-Q Local Address:Port Peer Address:Port
nl UNCONN 0 0 0:4204527 *
nl UNCONN 0 0 0:8398831 *
nl UNCONN 0 0 0:2988 *
nl UNCONN 0 0 0:12593135 *
nl UNCONN 0 0 0:10223 *
nl UNCONN 0 0 0:8598 *
nl UNCONN 0 0 0:8531 *
nl UNCONN 0 0 0:0 *
nl UNCONN 0 0 0:4202835 *
nl UNCONN 0 0 0:1787 *
nl UNCONN 4352 0 4:22107 *
nl UNCONN 768 0 4:0 *
nl UNCONN 0 0 7:0 *
nl UNCONN 0 0 9:0 *
nl UNCONN 0 0 10:0 *
nl UNCONN 0 0 11:0 *
nl UNCONN 0 0 12:0 *
nl UNCONN 0 0 15:665 *
nl UNCONN 0 0 15:-4145 *
nl UNCONN 0 0 15:1321 *
nl UNCONN 0 0 15:-4148 *
nl UNCONN 0 0 15:3242 *
nl UNCONN 0 0 15:642 *
nl UNCONN 0 0 15:1927 *
nl UNCONN 0 0 15:1352 *
nl UNCONN 0 0 15:3237 *
nl UNCONN 0 0 15:-4146 *
nl UNCONN 0 0 15:2773 *
nl UNCONN 0 0 15:0 *
nl UNCONN 0 0 15:2741 *
nl UNCONN 0 0 15:-4133 *
nl UNCONN 0 0 15:2198 *
nl UNCONN 0 0 15:-4149 *
nl UNCONN 0 0 15:-4134 *
nl UNCONN 0 0 15:2749 *
nl UNCONN 0 0 15:3210 *
nl UNCONN 0 0 15:-4147 *
nl UNCONN 0 0 15:8531 *
nl UNCONN 0 0 16:0 *
nl UNCONN 0 0 16:1640 *
nl UNCONN 0 0 18:0 *
p_raw UNCONN 0 0 *:eth2 *
u_str LISTEN 0 128 /tmp/.X11-unix/X0 13149 * 0
u_str LISTEN 0 128 /tmp/ssh-xKbZm7hW9ZMx/agent.2580 17436 * 0
u_str LISTEN 0 128 /tmp/.ICE-unix/2580 14209 * 0
u_str LISTEN 0 128 /run/user/1000/keyring-w6258N/control 17421 * 0
u_str LISTEN 0 5 /tmp/.esd-1000/socket 17624 * 0
u_str LISTEN 0 128 @/tmp/.ICE-unix/2580 14208 * 0
u_str LISTEN 0 30 /var/run/dbus/system_bus_socket 13338 * 0
u_dgr LISTEN 0 0 /run/udev/control 8992 * 0
u_str LISTEN 0 128 @/tmp/.X11-unix/X0 13148 * 0
u_str LISTEN 0 30 /sys/fs/cgroup/cgmanager/sock 304 * 0
u_str LISTEN 0 10 @/tmp/dbus-xxoE6Umn 17067 * 0
u_str LISTEN 0 128 /run/user/1000/keyring-w6258N/ssh 17229 * 0
u_str LISTEN 0 128 /run/user/1000/keyring-w6258N/gpg 17231 * 0
u_str LISTEN 0 128 /run/user/1000/keyring-w6258N/pkcs11 17233 * 0
u_str LISTEN 0 30 @/com/ubuntu/upstart 8926 * 0
u_str LISTEN 0 50 /tmp/akonadi-delafor.H8Klw1/akonadiserver.socket 43323 * 0
u_str LISTEN 0 10 /var/run/acpid.socket 901 * 0
u_str LISTEN 0 128 /tmp/ksocket-delafor/kdeinit4__0 42659 * 0
u_str LISTEN 0 5 /tmp/ksocket-delafor/klauncherM10221.slave-socket 43292 * 0
u_str LISTEN 0 30 @/tmp/dbus-4hTUJm8IS9 14149 * 0
u_str LISTEN 0 5 /var/run/sdp 12982 * 0
u_str LISTEN 0 50 /tmp/akonadi-delafor.H8Klw1/mysql.socket 41962 * 0
u_str LISTEN 0 30 @/tmp/dbus-diCKDdWae1 17214 * 0
u_str LISTEN 0 5 /run/user/1000/pulse/native 17626 * 0
u_dgr UNCONN 0 0 /dev/log 12790 * 0
u_dgr UNCONN 0 0 * 37886 * 12790
u_dgr UNCONN 0 0 * 17278 * 12790
u_dgr UNCONN 0 0 * 14391 * 12790
u_dgr UNCONN 0 0 * 13549 * 12790
u_dgr UNCONN 0 0 * 14469 * 12790
u_dgr UNCONN 0 0 * 10047 * 12790
u_dgr UNCONN 0 0 * 19760 * 12790
u_dgr UNCONN 0 0 * 16326 * 12790
u_dgr UNCONN 0 0 * 555 * 554
u_dgr UNCONN 0 0 * 19841 * 12790
u_dgr UNCONN 0 0 * 40231 * 12790
u_dgr UNCONN 0 0 * 14982 * 12790
u_dgr UNCONN 0 0 * 18505 * 12790
u_dgr UNCONN 0 0 * 39276 * 12790
u_dgr UNCONN 0 0 * 554 * 555
u_dgr UNCONN 0 0 * 12977 * 12790
u_dgr UNCONN 0 0 * 19709 * 0
u_dgr UNCONN 0 0 * 13401 * 12790
u_dgr UNCONN 0 0 * 65629 * 12790
u_dgr UNCONN 0 0 * 851 * 12790
tcp UNCONN 0 0 *:33494 *:*
tcp UNCONN 0 0 127.0.1.1:53 *:*
tcp UNCONN 0 0 10.0.3.1:53 *:*
tcp UNCONN 0 0 *:67 *:*
tcp UNCONN 0 0 *:68 *:*
tcp UNCONN 0 0 :::14169 :::*
tcp UNCONN 0 0 fe80::5c32:46ff:fefe:1ac2:53 :::*
tcp LISTEN 0 5 127.0.1.1:53 *:*
tcp LISTEN 0 5 10.0.3.1:53 *:*
tcp LISTEN 0 5 fe80::5c32:46ff:fefe:1ac2:53 :

dcapeletti
Hors ligne
A rejoint: 04/03/2014

Hola,
no comprendo que es GWFW, no será UFW?
Wireshark no es la única herramienta de monitoreo de puertos. Puede probar con iptraf, iftop, ifstat, lsof. Aquí esta la fuente: https://blog.jam.net.ve/2010/10/17/6-sencillas-herramientas-de-monitoreo-de-red-utiles/ vale decir que le sacaras provecho investigando cada una de ellas.

Sabes a quien corresponde la ip 10.0.3.1? Utiliza nmap o zenmap y podrás saber de quien se trata. Puede ser de un enrutador.
Para desactivar el servicio ipv6, intenta agregar la siguiente línea al archivo /etc/sysctl.conf

net.ipv6.conf.all.disable_ipv6 = 1

Luego reiniciar ejecutar sysctl -a como root y me cuentas.

Sds

SuperTramp83

I am a translator!

Hors ligne
A rejoint: 10/31/2014

gufw es ufw con IGU (interfaz grafica utente)