
Cerrar Puertos 135 – 137 – 138 – 139 – 445 – 5000 – 1900
Seguridad 23.10.2006

En esta guía, no se trata el tema de crear reglas y configurar los cortafuegos, la mayoría ya bloquean estos puertos, aquí solo se explica como cerrar los puertos que normalmente no usamos pero están activados por defecto y son vulnerables, lo que añade una doble seguridad a la ya proporcionada por el cortafuegos, ya que el cortafuego no los cierra, solo le pone una barrera volviendolos invisibles, pero si la barrera cae (vulnerabilidad en el cortafuegos) y hay algo abierto………

Si se tiene red local, es mejor que los bloquee con el firewall ya que si los cierra es posible que tenga problemas en su red local, pero por probar no pasa nada, son retornables.
Puerto 135 (DCOM) (el que utilizó el Blaster)

Aviso: hay programas y servicios que hace uso de este puerto, puede que no se desactive por alguno de ellos, si nota algún problema simplemente retornar los pasos.

Paso Previo

El programador de tareas mantiene el puerto abierto, si lo utiliza o prevee utilizarlo no podra cerrar el puerto 135

Desactivar el servicio Programador de Tareas

Inicio Panel de Control Herramientas Administrativas Servicios Programador de Tareas , en propiedades lo para y deshabilita.

Cambiando el registro

Inicio Ejecutar Regedit, y buscar la entrada:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole

Donde pone EnableDCOM, cambiar el parametro Y por N, si nota posteriormente problemas en alguna instalación o programa, poner el valor antiguo.

Para acabar, reiniciar y escanear haber si lo tiene deshabilitado.

El puerto 135 lo comparten el DCOM, programador de tareas y MSDTC, si se tiene cualquiera de esos servicios el puerto permanece abierto y aceptando conexiones entrantes; a no ser que se use un cortafuegos para bloquearlo o el puerto no sea accesible desde Internet.

Para solucionar el problema se puede probar con DCOMbobulator
Puertos 137,138,139 y 445 (NetBios y SMB)

** 445 solo 2000/XP

¿Para qué se usa el Puerto 445 en Windows 2000/XP?

Dentro del nuevo conjunto de puertos que se comienzan a utilizar desde Windows 2000 y se mantienen en Windows XP/2003, se encuentra el Puerto 445 que se utiliza para trabajar con el protocolo SMB sobre TCP.

El protocolo SMB (Server Message Block) es utilizado; entre otras cosas; para compartir archivos en Windows NT/2000/XP. En Windows NT corría sobre NetBT (que viene a ser NetBIOS sobre TCP/IP), utilizando los conocidos puertos 137, 138 (bajo UDP) y 139 (con TCP). En Windows 2000/XP/2003, se añade la posibilidad de utilizar SMB directamente sobre TCP/IP, sin esa capa adicional en NetBT. Para tal propósito, se utiliza el puerto 445.

En su forma más simple, NetBIOS en su red pueda que sea algo inofensivo. NetBIOS en su WAN , o LAN con acceso a Internet puede resultar sin embargo en un riesgo de seguridad enorme. Cualquier tipo de información, como su nombre de Dominio, grupo de trabajo o estaciones, tanto como la información de las cuentas de usuario es obtenible via NetBIOS. Es muy importante entonces, que NetBIOS no salga de su red.

Si por ejemplo está utilizando un router como puerta de enlace a Internet, entonces sería bueno configurarlo para que no permita tráfico entrante o saliente a través de los puertos TCP 135-139.

Si está utilizando un Firewall entonces debería bloquear desde ahí dichos puertos.

Si está utilizando un equipo con múltiples tarjetas de red (una para conexión a Internet y otra para conexión a la red interna), entonces es recomendable deshabilitar la opción de NetBIOS en cada tarjeta de red o conexión de acceso telefónico que no sea parte de la red local.

Propiedades de Conexión

Inicio Panel de Control Conexiones de Red y de Acceso Telefónico Conexiones de red (click derecho en la conexion) Propiedades Funciones de Red

Cliente Redes Microsoft y Compartir Archivos e Impresoras : Desinstalarlo (Si no esta compartiendo nada ni tiene red local)
Protocolo Internet (TCP/IP): Propiedades Opciones Avanzadas WINS Marca Deshabilitar NetBios sobre TCP/IP

¿Cómo desactivar el Puerto 445?

Ejecutar Regedit, y buscar la entrada:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters

La cadena TransportBindName la renombrais a TransportBindNameX

Reiniciar tras el cambio. Este cambio en el registro es necesario, porque con lo anterior deberia bastar, pues no, el windows los deja abierto aun si no se hace este pequeño cambio en el registro.

Deshabilitar servicio (por seguridad y ahorro de memoria)

Inicio Panel_de_Control Herramientas_administrativas Servicios Ayuda de NetBIOS sobre TCP/IP , en propiedades lo para y deshabilita.

Importante: Computadoras que ejecuten un sistema operativo anterior a Windows 2000 no serán capaces de ubicar, navegar en o compartir archivos y carpetas con computadores Windows XP/2000/3 cuando NetBIOS se desactiva. Hay que tomar en cuenta esta consideración en redes mixtas y dado el caso entonces, trabajar mejor bloqueando puertos de acceso.

Uso de los puertos por parte del Cliente/Servidor

¿Cuándo Windows XP/2000/3 usa el puerto 445, y cuándo el 139?

Para éste ejemplo, llamaremos “cliente” a la computadora desde la cual accesaremos a recursos compartidos, y “servidor” a la computadora con los recursos que son compartidos. Como antes se mencionó, NetBIOS sobre TCP/IP es NetBT.

Si el cliente tiene NetBT habilitado, siempre tratará de conectarse al servidor con los puertos 139 y 445 de forma simultánea. Si hay una respuesta desde el puerto 445, se comunicará con dicho puerto solamente; pero si algo falla, tratará también con el puerto 139. Si ambos fallan, la sesión de comunicación fallará por completo.

Si el cliente tiene NetBT deshabilitado, siempre tratará de conectarse a su servidor utilizando el puerto 445, si el servidor contesta a través del 445, la sesión se establece y continúa en ese puerto. Si no contesta, la sesión fallará por completo sin intentar usar el puerto 139. Un ejemplo de este caso es cuando el controlador del dominio es un Windows NT Server.

Si el equipo servidor tiene NetBT habilitado, “escucha” en los puertos UDP 137 y 138, y en los TCP 139 y 445. Si NetBT está deshabilitado, sólo escuchará mediante el puerto 445.
Puertos 5000 y 1900 (uPnP)

Dos opciones:

Con el programa UnPlug n’Pray

http://www.grc.com/files/UnPnP.exe

O deshabilitando directamente el servicio de windows que hace uso de esos puertos

Inicio Panel de Control Herramientas_administrativas Servicios Servicio de descubrimientos SSDP , en propiedades lo paramos y deshabilitamos.
¿Están realmente cerrados?

Muy sencillo, desactiva el firewall, y hace un escaneo en las siguientes webs, le deberán aparecer como cerrados, mientras que con el firewall activo le apareceran como invisibles.

Upseros

Al pulsar en el icono, se accede a un página que realiza directamente un escaneo remoto los "puertos bien conocidos" de la máquina analizada.
Muestra el resultado en el propio navegador, indicando en que estado se encuentra cada uno de los puertos estudiados.

Asociación de internautas

El icono enlaza con una página desde la que se da acceso al escaneo remoto los "puertos bien conocidos" del sistema objeto del estudio.
El resultado se presenta en el navegador, donde se muestra el estado de los puertos de la máquina que efectuo el escaneo

Los dos anteriores son en español ; los siguientes en ingles

Sygate

Escanea desde un sistema remoto los puertos más comunes, los utilizados por algunos troyanos y los protocolos, sólo del sistema local.
Califica los puertos como Abiertos, Cerrados o Bloqueados.
Si el sistema sale a Internet a través de un proxy, chequea los puertos de este, y no los de la máquina correcta.

Internet Security Alliance

Desde este sitio web, se pueden realizar las dos versiones de escaneo:
Escaneo local:
Descarga un fichero de 25.5kb que al ser ejecutado, ofrece la posibilidad de escanear todos los puertos.
Devuelve una lista de los puertos en los que haya encontrado alguna incidencia.
Escaneo remoto:
Chequea los puertos más usuales y devuelve el resultado del análisis en el propio navegador.
Esta acción puede llevar varios minutos.

Hay más servicios que desactivar y más puertos, pero solo he puesto los necesarios, al venir por defecto activados con Windows.

Otra opción es:

Dirigirse al Editor del símbolo del sistema (Inicio Ejecutar y escriba CMD, luego presione ENTER). Dentro del Editor escriba:

netstat -an

Verifique que su computadora ya no “escuche” al puerto que haya cerrado

—————————ooo——————————