Ver Mensaje Individual
  #2 (permalink)  
Antiguo 08/08/2011, 04:06
moeb
 
Fecha de Ingreso: febrero-2011
Mensajes: 581
Antigüedad: 13 años, 9 meses
Puntos: 81
Respuesta: Snort Vs Nmap o hacer mis puertos no escaneables

Si "publicas" un servicio, no puedes evitar que se pueda detectar... Salvo qeu lo "publiques" sólo para un conjunto determinado de IPs y configures tu cortafuegos para que sólo esas IPs puedan llegar a ese servicio (puerto)... Pero ese rango de IPs podrá realizar un escaneo de ese servicio.

Lo que hace nmap, en síntesis, es comprobar que puertos tienes abiertos en una máquina... Es decir, que puertos RESPONDEN mediante algún protocolo... Tambien puede, según la sopciones que uses, decirte si un puerto parece estar "filtrado" (es decir, que podría haber algo detrás pero un cortafuegos deniega el acceso desde tu IP, por ejemplo).

El rollo es que si tienes que dar un sercicio (web, por ejemplo) a cualquier IP desde Internet (road warriors por ejemplo), tendrás que abrir algún puerto... Ese puerto, obviamente será escaneable... SOLO si hay algo escuchando detrás.

Es decir, tener un puerto abierto significa simplemente que hay ALGO escuchando en ese puerto.

Si rediriges el puerto 80 de un router a una máquina interna y no tienes un servidor web escuchando en esa máquina (como comentas en tu pregunta), ese puerto aparecerá como "cerrado" (no hay posibilidad de acceso a él, dado que no hay nada que lo haya "abierto")....

De ahí que para acceder a servicios de la LAN, yo siempre utilice una VPN... De esa forma sólo me tengo que preocupar de un puerto y de estar al tanto de los bugs de un programa (que además tiende a ser bastante seguro debido a su naturaleza).

En cuanto a snort, efectivamente es un NIDS... Un sensor. Te sirve para analizar el tipo de intentos de acceso que están ocurriendo a tu máquina, intentos de "xploit", ataques de flooding, etc...

En cualquier caso, no puedes evitar el acceso a un servicio que tienes que prestar. Si tienes que exponer el puerto 80 de una máquina a Internet, lo más que puedes hacer es asegurarte de que tu servidor web (apache, IIS, etc) está al dia de parches y que lo has configurado eliminando la configuración por defecto y/o cualquier página/cgi de prueba que pudiese venir con la instalación... Luego tendrás que preocuparte de que las páginas web qeu coloques hagan un uso adecuado de las herramientas a su alcance para evitar ataques (parsear convenientemente las entradas de usuario, por ejemplo, para no permitir construcciones tipo SQL Injection, si tienes una BBDD detrás)...

Supongo que esto contesta a tu pregunta inicial... Pero no dudo que traerá aparejado nuevas preguntas que tendrás que hacerte forzosamente :)