Foros del Web » Administración de Sistemas » Seguridad y redes »

De que es esta alerta del Zone Alarms??

Estas en el tema de De que es esta alerta del Zone Alarms?? en el foro de Seguridad y redes en Foros del Web. Que significa esto cuando el Zone alarms me da esta alerta? Código: The firewall has blocked Internet access to your computer (NetBIOS Name) from 211.198.38.213 ...
  #1 (permalink)  
Antiguo 30/05/2002, 03:38
Avatar de MARKWEB  
Fecha de Ingreso: septiembre-2001
Ubicación: En mi casa
Mensajes: 1.562
Antigüedad: 23 años, 2 meses
Puntos: 0
De que es esta alerta del Zone Alarms??

Que significa esto cuando el Zone alarms me da esta alerta?


Código:
 The firewall has blocked Internet access to your computer (NetBIOS Name) from 211.198.38.213 (NetBIOS Name).

Time: 30-05-02 04:31:40 a.m.
de antemano gracias
  #2 (permalink)  
Antiguo 30/05/2002, 05:22
Avatar de Alfon
Colaborador
 
Fecha de Ingreso: octubre-2000
Mensajes: 1.976
Antigüedad: 24 años, 1 mes
Puntos: 14
Re: De que es esta alerta del Zone Alarms??

Eso es simplmente una alerta. con la çúnica información de la UP "atacante". Tendrás que abrir el fichero "zalog.txt" donde te expecificará de que tipo de "ataque" se trata.

Un saludo,
  #3 (permalink)  
Antiguo 31/05/2002, 01:29
Avatar de MARKWEB  
Fecha de Ingreso: septiembre-2001
Ubicación: En mi casa
Mensajes: 1.562
Antigüedad: 23 años, 2 meses
Puntos: 0
Re: De que es esta alerta del Zone Alarms??

Gracias Alfon... Puntuación máxima
  #4 (permalink)  
Antiguo 31/05/2002, 01:56
Avatar de Alfon
Colaborador
 
Fecha de Ingreso: octubre-2000
Mensajes: 1.976
Antigüedad: 24 años, 1 mes
Puntos: 14
Re: De que es esta alerta del Zone Alarms??

Si no entiendes esos logs postealos aquí y lo explicamos para que todos los entiendan, pero creo que no son dificiles de "descifrar".

Un saludo,
  #5 (permalink)  
Antiguo 31/05/2002, 02:17
Avatar de MARKWEB  
Fecha de Ingreso: septiembre-2001
Ubicación: En mi casa
Mensajes: 1.562
Antigüedad: 23 años, 2 meses
Puntos: 0
Re: De que es esta alerta del Zone Alarms??

Ok pondre los log

FWROUTE,2002/05/30,21:03:47 -5:00 GMT,200.72.1.37:80,164.77.175.45:1052,TCP (flags:AP)

PE,2002/05/30,21:03:47 -5:00 GMT,Messenger,0.0.0.0:0,N/A
PE,2002/05/30,21:03:49 -5:00 GMT,ZoneAlarm,200.72.1.11:53,N/A
PE,2002/05/30,21:04:17 -5:00 GMT,Microsoft QMgr,200.72.1.11:53,N/A
PE,2002/05/30,21:22:30 -5:00 GMT,Winsock FTP Client,200.72.1.11:53,N/A
PE,2002/05/30,21:40:44 -5:00 GMT,Norton AntiVirus Agent,0.0.0.0:0,N/A



Y estos por mientras

FWOUT,2002/05/30,02:47:56 -5:00 GMT,164.77.141.91:0,200.83.193.11:0,UDP
FWIN,2002/05/30,02:49:27 -5:00 GMT,200.83.193.11:1977,164.77.141.91:10694,UDP
FWIN,2002/05/30,02:50:44 -5:00 GMT,200.83.193.11:1978,164.77.141.91:10694,UDP
  #6 (permalink)  
Antiguo 31/05/2002, 02:20
Avatar de MARKWEB  
Fecha de Ingreso: septiembre-2001
Ubicación: En mi casa
Mensajes: 1.562
Antigüedad: 23 años, 2 meses
Puntos: 0
Re: De que es esta alerta del Zone Alarms??

Ahh estos son las veces que mas eh tenido problema jejej



FWIN,2002/05/28,22:44:54 -5:00 GMT,164.77.168.118:2856,164.77.130.83:12345,TCP (flags:S)
FWIN,2002/05/28,22:52:07 -5:00 GMT,24.60.178.100:1050,164.77.130.83:6346,TCP (flags:S)
FWIN,2002/05/28,22:52:28 -5:00 GMT,24.60.178.100:1193,164.77.130.83:6346,TCP (flags:S)
FWIN,2002/05/28,23:16:33 -5:00 GMT,200.72.94.149:2415,164.77.130.83:1214,TCP (flags:S)
FWIN,2002/05/28,23:21:12 -5:00 GMT,200.72.94.149:2429,164.77.130.83:1214,TCP (flags:S)
FWIN,2002/05/28,23:35:08 -5:00 GMT,164.77.162.50:1135,164.77.130.83:1214,TCP (flags:S)
FWIN,2002/05/28,23:44:29 -5:00 GMT,12.107.143.129:4449,164.77.130.83:6346,TCP (flags:S)
FWIN,2002/05/28,23:44:37 -5:00 GMT,12.107.143.129:4458,164.77.130.83:6346,TCP (flags:S)
FWIN,2002/05/28,23:49:29 -5:00 GMT,164.77.162.50:1377,164.77.130.83:1214,TCP (flags:S)
  #7 (permalink)  
Antiguo 31/05/2002, 04:12
Avatar de Alfon
Colaborador
 
Fecha de Ingreso: octubre-2000
Mensajes: 1.976
Antigüedad: 24 años, 1 mes
Puntos: 14
Re: De que es esta alerta del Zone Alarms??

Bueno, PRIMERO vamos a explicar un poco los identificadores de alerta de ZA. Luego interpretaremos una de las alertas del log para que así MARKWEB puedas interpretar su sólo el resto.

FWROUTE,2002/05/30,21:03:47 -5:00 GMT,200.72.1.37:80,164.77.175.45:1052,TCP (flags:AP)

FWROUTE te indica un bloqueo por parte de ZA de un paquete que en principio no era para tu máquina pero pasó por ella. Utilizaron tú maquina como pasarela. Tienes la fecha, hora, IP, puerto, protocolo y bandera o flags.

PE,2002/05/30,21:03:47 -5:00 GMT,Messenger,0.0.0.0:0,N/A

PE te indica que los programas cuyos nombres bienen después, en esta caso el Messenger, intentaron acceder a internet.

FWOUT,2002/05/30,02:47:56 -5:00 GMT,164.77.141.91:0,200.83.193.11:0,UDP

FWOUT te indica que ZA bloqueo una peticion que proviene de tu máquina. En este caso (tienes las IPs local y remota) es un intento de conexión bloqueda, peor podría ser perfectamente un programa.

FWIN,2002/05/30,02:49:27 -5:00 GMT,200.83.193.11:1977,164.77.141.91:10694,UDP

Si se bloqueó una conexión OUT es por algo. De ahí biene FWIN que te indica el bloqueo de una entrada a tu máquina desde internet (tienes la IP). Fijate que tanto en FWIN como en FWOUT se repite una Ip y lógicamente el protocolo. Se trata de un intento de "diálogo" en el que participa tu máquina y que por supuesto ZA bloqueó. Averigua sobre la Ip remota.

FWIN,2002/05/28,22:44:54 -5:00 GMT,164.77.168.118:2856,164.77.130.83:12345,TCP (flags:S)

Ya sabes qie es FWIN. Estudiate entonces este logs y los otros. Fijate en el puerto 12345 sule ser usado por un troyano muy conocido. Sin embargo vemos también el Flag:S de TCP, osease un TCP SYN, que es un intento de conexión TCP. Podría ser una escaneo TCP normalito usando un puerto no tan normal para averiguar si tienes un troyano ?, o es el mismo troyano el que establece la conexión ?. Eso lo averiguas tu.

Un saludo,
  #8 (permalink)  
Antiguo 31/05/2002, 22:47
 
Fecha de Ingreso: octubre-2001
Mensajes: 212
Antigüedad: 23 años, 1 mes
Puntos: 0
Re: De que es esta alerta del Zone Alarms??

Gracias maestro, tenía algunas dudas aclaradas ya!!!

Se despide, un amigo.

*<embed width="100height=165" height="99" quality="high" bgcolor="#ffffff" src="http://galeon.com/cain81/llamada2.swf"></embed>
  #9 (permalink)  
Antiguo 31/05/2002, 23:33
 
Fecha de Ingreso: noviembre-2001
Ubicación: Rengo, Chile
Mensajes: 175
Antigüedad: 23 años
Puntos: 0
Re: De que es esta alerta del Zone Alarms??

Alfon, Gurú... Recién me acaba de aparecer un mensaje de que me estaban escaneando en busca de puertos abiertos por troyanos.

Estuve leyendo en otra parte que algunos escaneos son algo así como aleatorios, es decir, no siempre van dirijidos a tu máquina en particular ¿Que tanto hay de cierto en eso?

Por otro lado, cuando ZA me pide autorizar a un programa para que trabaje en Internet (como messenger) al darle el &quot;yes&quot; ¿queda todo bajo mi responsabilidad o sigue escaneando la posibilidad de que usen esta aplicación para infectarme?

Te lo pregunto pues acabo de formatear el PC y recién hoy en la tarde le instalé el ZA y al poco rato ya me arrojaba alarma de escaneo y... no se si darle autorización a KaZaa.

Me sorprendió lo desprotegido que puede estar uno sin este tipo de herramientas.

Chau compadre y excelentes tus comentarios.

  #10 (permalink)  
Antiguo 01/06/2002, 02:33
Avatar de MARKWEB  
Fecha de Ingreso: septiembre-2001
Ubicación: En mi casa
Mensajes: 1.562
Antigüedad: 23 años, 2 meses
Puntos: 0
Re: De que es esta alerta del Zone Alarms??

Gracias Alfon por tu reporte y por enseñarnos

Me gustaria aprender mas sobre esto y como escannear yo mis propios puerto para saber algo mas ya que solo me dedicaba a crear paginas webs y nunca pense en los ataques o cosas por el estilo, me gustaria poder responderle a la persona que me este atacando pero no creo que me enseñen ya que me diran lammer o ñ_ñ jjaja

ya igual nunca pense que en una noche recibiria tantos ataques y antes cuando esta sin corta fuego ni me daba ni cuenta

gracias me gustaria que me enseñeras o enseñar en general para aprender mas
  #11 (permalink)  
Antiguo 01/06/2002, 22:23
 
Fecha de Ingreso: mayo-2001
Ubicación: SMP-LIMA
Mensajes: 120
Antigüedad: 23 años, 6 meses
Puntos: 0
Re: De que es esta alerta del Zone Alarms??

si, gracias y si pudiera decirnos algo mas de puertos, uno escucha de puertos y se imagina un conector abierto en algun lugar de la pc...je,je. la verdad que me gustaria saber si tengo los puertos abiertos....o como pongo el cerrojo en dichos puertos.
  #12 (permalink)  
Antiguo 03/06/2002, 02:16
Avatar de Alfon
Colaborador
 
Fecha de Ingreso: octubre-2000
Mensajes: 1.976
Antigüedad: 24 años, 1 mes
Puntos: 14
Re: De que es esta alerta del Zone Alarms??

Bueno, voy a tratar de contestar a todas las preguntas de una sola vez.

Que es un puerto ?

En el protocolo de INET TCP/IP cualquier comunicación va subdividida en diferentes capas o niveles (modelo OSI). Se trata de que en un vinculo de red puedan ejecutarse en paralelo varios servicios de internet. EStos servuicios podría ser por ejemplo el envio o recepción de correo y que a la vez podamos navegar tranquilamente por forosdelweb. Para que podamos usar estos protocolos (protocolo de correos y http) paralelamente, la comunicación se organiza en puertos. Seria algo asi como una autopista de varios carriles. Existen puertos estandart para servicios fundamentales, como comentaba casaborg, para servidor web:80 A parte de este existen otros miles de puertos libres para el uso que se quiera.

Dicho esto, podríamos definir entonces un puerto como un &quot;lugar de conección lógico&quot;, y utlizado por el protocolo TCP/IP, de tal manera que los programas clientes se comunican a los diferentes servicios que ofrecen los servidores. Servicios como el WWW, FTP, TELNET, etc, tienen numeros de puertos ya preestablecidos.

CAda puerto tiene 5 posibles estados: Cerrado, Rechazado, Abierto, Connectado y Escucha.

Las comunicaciones a traves de los puertos se establecen conforme a unas reglas preestablecidas que de denominan Protocolos (TCP, UDP, ICMP...)

Numero de puertos. Pues hay miles, exactamente están numerados del 0 al 65535. Están divididos en tres categorias: Los conocidos de uso estandarizado (0-1023), Puertos registrados usuados por programas y procesos de usuarios (1024-49151) y los Dinámicos o privados (49152-65535).

seguimos....
  #13 (permalink)  
Antiguo 03/06/2002, 03:07
Avatar de Alfon
Colaborador
 
Fecha de Ingreso: octubre-2000
Mensajes: 1.976
Antigüedad: 24 años, 1 mes
Puntos: 14
Re: De que es esta alerta del Zone Alarms??

Entonces que puertos tengo abiertos ahora ?

Hay que tener en cuenta que si no ofrecemos ningún servicio no tendremos puertos abiertos.

Tenemos una utilidad que podemos usar desde una consola DOS: Netstat, cuya funcion es la de informar de las conexiones con el exterior y del estado de los puertos de un ordenador. Tambien puede propocionar estadisticas de los datos de las conexiones.

Cuando usamos este comando podemos ver que nos informa de dos estados de puertos:

LISTENING (escuchando): quiere decir que el puerto esta a la espera de comunicaciones.

ESTABLISHED (establecida): significa que tu ordenador y el remoto estan intercambiando datos.

Hay más estados, pero estos son los que nos interesan.

Para probar podemos hacer lo siguiente:

Lo más básico:

netstat -na

Para mostrar las estadísticas de Ethernet y las de todos los protocolos:

netstat -e -s

Para mostrar solamente las estadísticas de TCP y UDP:

netstat -s -p tcp udp

Una utilidad de gran potencia y flexibilidad para escanerar puertos y autoescanearse uno mismo es: nmap tanto para Linux como windows.

Explicar aquí las posibilidades de nmap sería una barbaridad, así que os doy unas páutas e investigais:

Su uso básico:
nmap [Tipo de Scan] [Opciones] objetivo(s) o red_objetivo

Probamos nmap en nuestra propia máquina:
nmap -P0 localhost

Probamos en una máquina remota:
namap -v -sS &quot;ip remota&quot;
(nos indicará incluso los puertos filtrados mediante un firewall).. ya estoy hablando más de la cuenta...

etc, etc. hay miles de posibilidades.

Escaneos aleatorios ?

Pues es incluso lo más seguro ya que algunos IDS o firewall si se ecanea secuencialmente activan las alertas a una posible intrusión. Aleatoriamente puede pasar algo más desapercivido. Es normal.

Permisos a aplicaciones en ZA

Si le das permiso a una aplicación eso significa que esta aplicación puede conectarse a internet. Puede ser temporal o permanente.

seguimmos......
  #14 (permalink)  
Antiguo 03/06/2002, 03:12
Avatar de Alfon
Colaborador
 
Fecha de Ingreso: octubre-2000
Mensajes: 1.976
Antigüedad: 24 años, 1 mes
Puntos: 14
Re: De que es esta alerta del Zone Alarms??

Eso si, si das permiso a Outlook debes saber que si alguien aprovecha una vulnerabilidad de este cliente te joderán seguro. Entonces o cambias de cliente o lo configuras bien.

Poner cerrojos a los puertos ?

Si no tienes un servidor http (puerto 80) o ftp (puerto 21), si tienes bien configurado telnet en tu router (puerto 23), etc, entonces no tienes nada que cerrar. De todas maneras usa un firewall que te ponfa los puertos en modo invisible y no cerrados, de esta manera si alguien de escanea el puerto 21 y está ne invisible, parecerá que no existe el host.

Desde el firewall se pueden cambiar o anular los tipos de reepuesta ICMP para anular pings, tracerts, etc, pero esto es otra historia.

Un saludo,
  #15 (permalink)  
Antiguo 05/06/2002, 03:12
Avatar de MARKWEB  
Fecha de Ingreso: septiembre-2001
Ubicación: En mi casa
Mensajes: 1.562
Antigüedad: 23 años, 2 meses
Puntos: 0
Re: De que es esta alerta del Zone Alarms??

Alfon donde puedo conseguir un buen manual de esto para aprender
  #16 (permalink)  
Antiguo 05/06/2002, 03:32
Avatar de Alfon
Colaborador
 
Fecha de Ingreso: octubre-2000
Mensajes: 1.976
Antigüedad: 24 años, 1 mes
Puntos: 14
Re: De que es esta alerta del Zone Alarms??

Te lo digo por experiencia. Un buen manual no lo vas a encontrar. En internet hay mucha información pero demasiado dispersa, alguna no exacta o no correcta y ocurre que suele estar muy repetida. Algunos artículos o manuales está repetidos hasta la saciedad en decenas de sitios.

Búscate un manual o guia aunque sea muy escueta y practica lo que aprendas, desarrolla tu mismo esa guia o manual, y así aprenderás. Digan lo que digan no hay nada como un buen libro, comprar de vez en cuando alguna revista temática y mirar algunos foros o news.

Practica, como te he comentado, y cuando tengas alguna duda comentala aquí y entre todos solucionamos el tema.

Ya te digo sobre todo partete como hago yo los cuernos con las aplicaciomes, redes, etc hasta que te funcionen, escribe las conclusiones que hayas sacado, ese manual es el mejor que existe.

Un saludo,
  #17 (permalink)  
Antiguo 05/06/2002, 06:47
Avatar de Alfon
Colaborador
 
Fecha de Ingreso: octubre-2000
Mensajes: 1.976
Antigüedad: 24 años, 1 mes
Puntos: 14
Re: De que es esta alerta del Zone Alarms??

Para interpretar mejor los logs del ZA, tenemos a VisualZone Report Utility 5.6.

VisualZone es un add-on muy interesante para ZoneAlarm, que muestra una detallada lista con información sobre los intentos de acceso a tu máquina, para su posterior análisis.

Esta pequeña utilidad puede rastrear toda la información que el intruso haya podido dejar en su camino hasta tu sistema. Puedes automatizar este proceso de forma que se haga un rastreo cada vez que se detecte un ataque.

También puedes preparar un e-mail modelo con todos los datos disponibles sobre cada intento de acceso, para enviarlo al proveedor de Internet del intruso.

Mejoras de la nueva versión: Se ha mejorado el aspecto de la interfaz de usuario y se han añadido nuevas funciones: borrado de la lista de ataques en el archivo log, nuevas opciones de configuración en el rastreo de direcciones IP de intrusos, posibilidad de desactivar el sonido de alarma temporalmente (por ejemplo, mientras juegas o ves un DVD).

Es gratis.

Buscalo en:
http://www.visualizesoftware.com/visualzone/visualzone.htm

Un saludo,
  #18 (permalink)  
Antiguo 06/06/2002, 01:02
Avatar de MARKWEB  
Fecha de Ingreso: septiembre-2001
Ubicación: En mi casa
Mensajes: 1.562
Antigüedad: 23 años, 2 meses
Puntos: 0
Re: De que es esta alerta del Zone Alarms??

Gracias de nuevo Alfon
  #19 (permalink)  
Antiguo 06/06/2002, 17:32
Avatar de ramiro  
Fecha de Ingreso: agosto-2001
Ubicación: PE
Mensajes: 562
Antigüedad: 23 años, 3 meses
Puntos: 0
Re: De que es esta alerta del Zone Alarms??

Mensaje:
The Firewall has blocked Internet Acces to your computer (HTTP)from 200.48.182.211 (TCP port 1845)[TCP flags: S]

QUE SIN

FWIN,2002/06/06,17:22:07 -5:00 GMT,208.37.136.103:37081,200.48.59.99:25,TCP (flags:S)
FWIN,2002/06/06,17:24:48 -5:00 GMT,200.48.182.211:1845,200.48.59.100:80,TCP (flags:S)

Que Podria ser..
Acabo de instalar el ZA y tengo mas de 30 de estos menajes ne menos de una hora.

a propo es el servidor web, mail ftp, de mi empresa tiene algo que ver los servicios?
Bye
espero su Ayuda!!!

Saludos

<center>
Quieres Informacion sobre Cusco - Perú - Machupicchu?[/I]<br><a href="http://www.infocusco.com">infocusco.com</a>
  #20 (permalink)  
Antiguo 06/06/2002, 18:33
 
Fecha de Ingreso: noviembre-2001
Mensajes: 76
Antigüedad: 23 años
Puntos: 0
Re: De que es esta alerta del Zone Alarms??

Ramiro: necesitas un analizador de los dtos del cortafuegos.

yo uso &quot;ZoneLog Analyser&quot;

<a href='ir.asp?http://www25.brinkster.com/salvador62/secure.html' target='_blank'>http://www25.brinkster.com/salvador62/se...</a>
  #21 (permalink)  
Antiguo 07/06/2002, 21:07
Avatar de ramiro  
Fecha de Ingreso: agosto-2001
Ubicación: PE
Mensajes: 562
Antigüedad: 23 años, 3 meses
Puntos: 0
Re: De que es esta alerta del Zone Alarms??

Holas, a ver si me dicen que tanto puede afectar...

resulta que mas de 4 computadoras que querian acceder a mi Pc, era las PCs del trabajo de un amigo, pregunte que paso y me dijero que estaba instalado el remote administrator, que tanto pueden influir en la seguridad de la PC eso.

Gracias.

el log que me manda es la que postee un mensaje arriba..
byes
a ver si alguien me ayuda.


<center>
Quieres Informacion sobre Cusco - Perú - Machupicchu?[/I]<br><a href="http://www.infocusco.com">infocusco.com</a>
  #22 (permalink)  
Antiguo 26/06/2002, 22:29
Avatar de MARKWEB  
Fecha de Ingreso: septiembre-2001
Ubicación: En mi casa
Mensajes: 1.562
Antigüedad: 23 años, 2 meses
Puntos: 0
Re: De que es esta alerta del Zone Alarms??

Bueno si tienes el firewal en tu pc y si estas trabando en intranet o red inter puede ser que tu pc no dej accesar a los demas por lo que tienes que darle permiso al ZA para dejar entrar las pc's de tus compañeros,
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta




La zona horaria es GMT -6. Ahora son las 00:23.