Re: Help: Windows NT, servizi e porte aperte

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Aprile 2002 ml@sikurezza.org
Soggetto: Re: Help:  Windows NT, servizi e porte aperte
Mittente: recidjvo
Data: 30 Apr 2002 12:19:05 -0000

Per quanto riguarda le porte, sono quelle aperte dai servizio NETBIOS attivi sulla tua macchina.
Possono essere potenzialmente dannosi, in quanto se presenti condivisioni senza password (o con password troppo corte/facili), e` possibile accedere alle risorse condivise senza averne l'autorizzazione.

La soluzione sarebbe quella di chiudere i servizi netbios, ma nel tuo caso penso che cio` non sia possibile, mentre su Windows2000 fortunatamente lo e` (addirittura specificando una singola interfaccia di rete).

Per scoprire a quali processi sono associate le porte, c'e` 1 piccolo programma che gira sotto NT4/2K che produce un output simile al netstat, con in aggiunta pero` anche il processo owner della chiamata sdi sistema che ha aperto la porta.
Lo puoi trovare su http://www.foundstone.com/, si chiama Fport.

Per invece controllare lo stato delle tue risorse condivise, un ottimo programma di controllo e` il comando net.exe, che da informazioni netbios varie (prova ad esempio un net view \\nomemacchina), oppure puoi usare nbtstat che ti da anche i tipi delle risorse.

I servizi, visto che sono porte assegnate, li puoi trovare in un file services di qualsiasi macchina unix, oppure nella distribuzione di nmap (http://www.insecure.org/nmap); sotto Windows 2000 li trovi anche in \WINNT\system32\drivers\etc\services.

La lettura di netstat e` molto semplice, trovi il protocollo, poi la porta sulla quale e` in listening il processo (0.0.0.0 sta per tutte le interfacce), come remoto quello della controparte del peer e poi lo stato, ovvero LISTENING (la porta e` aperta e aspetta connessioni), o ESTABLISHED (la connessione e` in corso).
Nel tuo caso specifico, le connessioni sono interne di servizio, e assolutamente normali.

Purtroppo Windows tende a usare molto questo tipo di comunicazione, ad esempio troverai che processi del tutto insospettabili (come il taskmon) possono aprire porte..
Il modo migliore per stare sicuri e installare un firewall (sotto WinNT non mi pare ci sia integrato, sotto W2K invece si) e poi testare il tutto dall'esterno.
Un ulteriore tool per controllare lo stato della macchina e` retina degli eeye (http://www.eeye.com/).

Spero di esserti stato utile.

bye
t.R.
--
tHE rECIdjVO <recidjvo@pkcrew.org>
Member of the Packet Knights
http://www.pkcrew.org/
Public Key at http://www.pkcrew.org/keys/recidjvo.asc

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List

In risposta a:
- RE: Segnalazione: Bootable CD of security tools, marco misitano
- Help: Windows NT, servizi e porte aperte, M

Data:
- precedente: hardening windows 2000, antonello
- successivo: Re: Help: Windows NT, servizi e porte aperte, Tom
- indice

Argomento:
- precedente: Help: Windows NT, servizi e porte aperte, M
- successivo: Re: Help: Windows NT, servizi e porte aperte, Tom
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005