Los sistemas Linux están construidos para ser servidores, por lo que los atacantes intentarían usar un sistema comprometido de esa manera, incluso si ese sistema estuviera configurado para ser un escritorio.
Mediante el uso de herramientas como NMAP , puede averiguar qué puertos están abiertos en su sistema Linux, detener servicios no deseados y no utilizados, y posiblemente cerrar esos puertos junto con iptables.
Instalar NMAP
Primero, necesita instalar NMAP. Es una herramienta de seguridad conocida y respetada, por lo que está disponible en casi todos los repositorios oficiales de la distribución. Para instalarlo en Ubuntu, ejecute lo siguiente.
sudo apt install nmap
Realizar un escaneo
A pesar de ser una herramienta de línea de comandos tan simple, NMAP tiene toneladas de opciones para realizar una multitud de exploraciones diferentes bajo diferentes circunstancias. No vas a necesitarlos todos para esto, pero podría valer la pena experimentar con ellos en tu propia red con fines de aprendizaje.
Todo lo que tiene que hacer aquí es realizar un simple análisis de su propio ordenador. NMAP buscará a través de los puertos más comunes de su computadora y verá cuáles están abiertos y en uso.
Para poder escanear tu ordenador vas a necesitar su dirección IP. Si no lo sabe, ejecute ifconfig en un terminal para encontrarlo.
Una vez que tenga la IP de su computadora, puede usarla para escanear con NMAP.
sudo nmap -sS -O 192.168.1.100
Sustituya la IP de su ordenador en el comando. NMAP tardará unos segundos mientras escanea su ordenador, le mostrará qué servicios se están ejecutando en qué puertos y si esos puertos están abiertos o no. (Todos estarán abiertos.) También intentará decirle qué servicio está usando ese puerto. Es una información muy importante. Tome nota de ello si NMAP puede descubrir el servicio.
Si desea obtener más información sobre su equipo de NMAP, intente usar el indicador -A para escanearlo de forma agresiva.
sudo nmap -A 192.168.1.100
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>.
Verás una tonelada más de información, la mayoría de la cual realmente no necesitarás, a menos que veas algo potencialmente sospechoso.
Por último, si quiere ser súper paranoico, puede escanear cada puerto de su ordenador. Tomará un largo tiempo. Hay miles de ellos.
mapa de sudo -sS -O -p- 192.168.1.100
Puertos
Echa un vistazo a los puertos abiertos que NMAP descubrió. ¿Sabes lo que son todos ellos? ¿Los utiliza todos con regularidad? Si respondió «No» a alguna de las dos preguntas, vale la pena investigarlo.
Primero, Ubuntu y otras distribuciones basadas en Debian manejan los servicios de una manera extraña. Inician todos los programas que se ejecutan como un servicio automáticamente tan pronto como se instalan. Aunque eso pueda parecer conveniente, realmente no tiene sentido. Nunca va a querer ejecutar un servicio no configurado en un servidor, por lo que tendrá que desactivar el servicio inmediatamente para configurarlo para su uso regular de todos modos.
También crea un problema con los servicios «fantasma» que se ejecutan sin el conocimiento del propietario. Los administradores de paquetes introducen toneladas de dependencias cuando instalan un programa. La mayoría de las veces no se leen todas, especialmente si se tiene prisa. Esto significa que puede tener servicios ejecutándose en segundo plano en su ordenador sin su conocimiento o consentimiento. Esa puede ser la causa de cualquier puerto abierto desconocido que haya descubierto.
Estos son algunos de los puertos más comunes que se utilizan en los sistemas Linux:
21 – FTP
22 – SSH
25 – SMTP (envío de correo electrónico)
53 – DNS (servicio de nombre de dominio)
80 – HTTP (servidor web)
110 – POP3 (bandeja de entrada de correo electrónico)
123 – NTP (Protocolo de tiempo de red)
143 – IMAP (bandeja de entrada de correo electrónico)
443 – HTTPS (servidor web seguro)
465 – SMTPS (enviar correo electrónico seguro)
631 – CUPS (servidor de impresión)
993 – IMAPS (bandeja de entrada de correo electrónico segura)
995 – POP3 (bandeja de entrada de correo electrónico segura)
Hay más, por supuesto, y si encuentras uno totalmente fuera de lo común, búscalo en Internet. Si encuentra alguno de estos funcionando cuando no está ejecutando intencionalmente ese servicio, apáguelo.
Cierre de servicios
Así que ha descubierto un par de servicios no deseados que se ejecutan en su ordenador. Eso no es gran cosa. Puede usar Systemd para apagarlas y deshabilitarlas para que no se ejecuten al iniciar la próxima vez que arranque el equipo.
sudo systemctl stop apache2
El comando anterior detiene el servidor web apache2. Luego, si desea deshabilitarlo al iniciar, ejecute el siguiente comando.
sudo systemctl disable apache2
Hágalo para cada servicio que impida que se ejecute. Si le resulta difícil averiguar el nombre exacto del servicio, puede enumerar lo que hay en el directorio de servicios.
sudo ls -lah /etc/init.d
Bloquear puertos con Iptables
Si quieres ir un paso más allá y bloquear los puertos que no estás usando, puedes establecer reglas en el cortafuegos iptables para permitir sólo los puertos que usas y bloquear el resto del tráfico.
Eso es todo un proceso separado, que, si no te es familiar, llevará algún tiempo. Para obtener más información sobre cómo proteger su escritorio Linux con iptables, consulte nuestro artículo sobre el tema .
Si algo parece estar mal
Podrías haberte tropezado con algo realmente sospechoso. Sucede. A veces no es nada de lo que preocuparse, otras veces puede serlo. Para asegurarse de que no es algo que dañe su equipo o hacer algo al respecto si lo es, deberá analizar su equipo en busca de virus y rootkits.
Antes de dudar de esta posibilidad, los equipos Linux pueden infectarse con malware. Para aprender a escanear su máquina, visite nuestra guía de malware Linux malware guide .
Avanzando
No importa cuáles hayan sido los resultados de sus análisis, debe revisar su computadora regularmente con NMAP para ver si hay algo sospechoso o simplemente no deseado que se esté ejecutando. Recuerde que los servicios no deseados son también una superficie de ataque potencial para posibles intrusos. Una máquina esbelta es una máquina más segura.