Intrusión Portscan

Sobren cortafuegos externos (es decir el de XP vale perfectamente) con tal de seguir las sguientes normas:

* Sentido Comun: no instalar ningun siftware desconocido en nuestra maquina. No ejecutar nada recibido por correo aunque se conozca al destinario. Tener los parches de WU al dia...

Y es así de simple. Soy contrario a los firewall de terceros por los siguientes motivos:

1) Cualquier error en una respuesta, o una mala respuesta... y adios.
2) Demasiadas vulnerabilidades. Una busqueda en google te puede ayudar a ver los agujeros que puedan tener las diferentes versiones de firewall -y encima te daran los exploits para atacar-. (curiosamente no encontrarás ninguno para XP).
3) El Sentido COmun tendrás que seguir teniendolo..

Jose Manuel Tella Llop
MVP - Windows

http://www.multingles.net/jmt.htm
Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho.
This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.


"Gulliver" wrote in message news:O0M$

Desde el 01/12/2003 que instalé Symantec Norton Personal Firewall 2004 He
sido atacado en tres veces por troyanos. El otro día lo consulté y me
dijisteis que era el pan de cada día. ¿Hay alguna cosa elemental que
debiera saber? o tengo que hacer algo para no correr riesgos innecesarios
permitiendo, bien sea de entrada o de salida.
¿Es posible averiguar quién es el que quiere entrar en mi ordenador?
¿Alguna recomendación? Muy agradecido
Lluís

Detalles:
17/01/2004 Detalles: Norma "Bloqueo predeterminado de caballo de Troya
Backdoor/SubSeven" bloqueada (81.9.234.74,27374)
Conexión TCP de entrada
Dirección, servicio local es (BUSOM(62.57.163.35),27374)


16/01/2004 Detalles: Norma "Bloqueo predeterminado de caballo de Troya
NetBus" bloqueada (62.57.148.243,NetBus(12345))
Conexión TCP de entrada
Dirección, servicio local es (BUSOM(62.57.163.35),NetBus(12345))


15/01/2004 Detalles: Norma "Bloqueo predeterminado de caballo de Troya
NetBus" bloqueada (62.57.91.243,NetBus(12345))
Conexión TCP de entrada
Dirección, servicio local es (62.57.161.177,NetBus(12345))



MAS.



Han habido muchos días que la intrusión ha sido detectada y bloqueada hasta
que el día 15/01/2004 según consta en detección de intrusiones y en el visor
del registro queda reflejada dicha intrusión.
¿Es normal que Symantec no pueda evitar dicha intrusión, o hay algo que no
hago bien?
¿Podeis ayudarme, por favor?
Lluís


Detalles: Intrusión detectada y bloqueada. Todas las comunicaciones
con 206.204.10.209 se bloquearán durante 30 minutos.
Haga clic en la dirección para rastrear al atacante
Puede obtener más información sobre este ataque en Symantec Security
Response




Detalles: Intrusión: Portscan
Atacante: 206.204.10.209
Nivel de riesgo: Medio
Se han explorado al menos 11 puertos.

Haga clic en la dirección para rastrear al atacante
Puede obtener más información sobre este ataque en Symantec Security
Response


Portscan
Severity: Low

This attack poses a minor threat. Corrective action may not be possible or
is not required.

Attack Category: Suspicious Activity

Anomalous network conditions or traffic patterns. A suspicious activity
signature, for example, might detect two systems with identical IP
addresses, a condition that indicates an attempted IP spoofing attack.

Description

Port scans are attempts to gain access to a computer by searching for open
ports. Usually done by an automated program that sends a request to each
port at an IP address, listening for responses that could reveal a
vulnerability.

Additional Information

Not all port scans are malicious. Some broadband systems scan the ports on
users' computers to ensure that they are keeping to their service
agreements. However, attackers can also use port scans to find unprotected
computers or computers with misconfigured firewalls.

During a port scan, attackers may focus on specific ports used by vulnerable
applications, or they may simply cycle through all of the target computer's
65,535 ports. Based on how the computer responds, the attacker can tell
whether services such as HTTP and FTP are active. Each service that is
running provides a potential entry point for the hacker.

Even if no service is using the port, attackers can glean information about
networks using port scans. On unprotected computers, unused ports respond
that they are closed, which tells the attacker that a computer exists at
that IP address. When Norton Personal Firewall and Norton Internet Security
are active, protected computers do not respond to scans of unused ports,
giving them a stealth appearance.

Vulnerable Components

None

Vamos a ver JM Tella:
Sentido común! yo creo que es algo más que sentido común, yo intento
aprender de todos y con la mayor diligencia, pero tu sabes que lo que es
bueno para unos no lo es tanto para otros. Me explico:
Sobre Symantec hay versiones para todos los gustos, ya me cambié de Panda a
Symantec porque así me lo recomendaron --no tú, indudablemente-- yo pensaba
y digo pensaba con todas las consecuencias, ya que -según tengo entendido-
el firewall es sólo de salida y en cambio el de Symantec es de entrada y
salida.
No he bajado ningún software. No he ejecutado ningún archivo, ni he abierto
e-mail de nadie que no fueran conocidos. Y tengo los parches de WXP al día.
Y para serte franco la ayuda que necesito es la de la orientación y ayuda
guiada porque yo de verdad tengo que confiar en alguien sino estoy perdido.
Por lo que yo te ruego que tus indicaciones sean lo más profesional
posible -sin mal entenderme en la palabra profesional- y menos comentarios
vacíos que aludan a las responsabilidades. Una pregunta más lo de
¿"demasiadas vulnerabilidades" a que te refieres a mi, a Microsoft, o a qué?
Agradecido por tu amable ayuda
Lluís

"JM Tella Llop [MVP Windows] ·" escribió en el mensaje
news:
Sobren cortafuegos externos (es decir el de XP vale perfectamente) con tal
de seguir las sguientes normas:

* Sentido Comun: no instalar ningun siftware desconocido en nuestra maquina.
No ejecutar nada recibido por correo aunque se conozca al destinario. Tener
los parches de WU al dia...

Y es así de simple. Soy contrario a los firewall de terceros por los
siguientes motivos:

1) Cualquier error en una respuesta, o una mala respuesta... y adios.
2) Demasiadas vulnerabilidades. Una busqueda en google te puede ayudar a ver
los agujeros que puedan tener las diferentes versiones de firewall -y encima
te daran los exploits para atacar-. (curiosamente no encontrarás ninguno
para XP).
3) El Sentido COmun tendrás que seguir teniendolo..

Jose Manuel Tella Llop
MVP - Windows

http://www.multingles.net/jmt.htm
Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no
otorga ningún derecho.
This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.


"Gulliver" wrote in message
news:O0M$

Desde el 01/12/2003 que instalé Symantec Norton Personal Firewall 2004 He
sido atacado en tres veces por troyanos. El otro día lo consulté y me
dijisteis que era el pan de cada día. ¿Hay alguna cosa elemental que
debiera saber? o tengo que hacer algo para no correr riesgos innecesarios
permitiendo, bien sea de entrada o de salida.
¿Es posible averiguar quién es el que quiere entrar en mi ordenador?
¿Alguna recomendación? Muy agradecido
Lluís

Detalles:
17/01/2004 Detalles: Norma "Bloqueo predeterminado de caballo de

Troya

Backdoor/SubSeven" bloqueada (81.9.234.74,27374)
Conexión TCP de entrada
Dirección, servicio local es (BUSOM(62.57.163.35),27374)


16/01/2004 Detalles: Norma "Bloqueo predeterminado de caballo de

Troya

NetBus" bloqueada (62.57.148.243,NetBus(12345))
Conexión TCP de entrada
Dirección, servicio local es (BUSOM(62.57.163.35),NetBus(12345))


15/01/2004 Detalles: Norma "Bloqueo predeterminado de caballo de

Troya

NetBus" bloqueada (62.57.91.243,NetBus(12345))
Conexión TCP de entrada
Dirección, servicio local es (62.57.161.177,NetBus(12345))



MAS.



Han habido muchos días que la intrusión ha sido detectada y bloqueada

hasta

que el día 15/01/2004 según consta en detección de intrusiones y en el

visor

del registro queda reflejada dicha intrusión.
¿Es normal que Symantec no pueda evitar dicha intrusión, o hay algo que no
hago bien?
¿Podeis ayudarme, por favor?
Lluís


Detalles: Intrusión detectada y bloqueada. Todas las comunicaciones
con 206.204.10.209 se bloquearán durante 30 minutos.
Haga clic en la dirección para rastrear al atacante
Puede obtener más información sobre este ataque en Symantec Security
Response




Detalles: Intrusión: Portscan
Atacante: 206.204.10.209
Nivel de riesgo: Medio
Se han explorado al menos 11 puertos.

Haga clic en la dirección para rastrear al atacante
Puede obtener más información sobre este ataque en Symantec Security
Response


Portscan
Severity: Low

This attack poses a minor threat. Corrective action may not be possible or
is not required.

Attack Category: Suspicious Activity

Anomalous network conditions or traffic patterns. A suspicious activity
signature, for example, might detect two systems with identical IP
addresses, a condition that indicates an attempted IP spoofing attack.

Description

Port scans are attempts to gain access to a computer by searching for open
ports. Usually done by an automated program that sends a request to each
port at an IP address, listening for responses that could reveal a
vulnerability.

Additional Information

Not all port scans are malicious. Some broadband systems scan the ports on
users' computers to ensure that they are keeping to their service
agreements. However, attackers can also use port scans to find unprotected
computers or computers with misconfigured firewalls.

During a port scan, attackers may focus on specific ports used by

vulnerable

applications, or they may simply cycle through all of the target

computer's

65,535 ports. Based on how the computer responds, the attacker can tell
whether services such as HTTP and FTP are active. Each service that is
running provides a potential entry point for the hacker.

Even if no service is using the port, attackers can glean information

about

networks using port scans. On unprotected computers, unused ports respond
that they are closed, which tells the attacker that a computer exists at
that IP address. When Norton Personal Firewall and Norton Internet

Security

are active, protected computers do not respond to scans of unused ports,
giving them a stealth appearance.

Vulnerable Components

None

ya que -según tengo entendido-
el firewall es sólo de salida y en cambio el de
Symantec es de entrada y salida.

Lo tienes bien entendido pero para mi la funcion de un cortafuegos es para impedir entrar. La salida ya me encargo yo de ella lo que no quiero son "maravillososos" cortafuegos que si necesito salir por una interface o usar el loopback local, en cuanto autorizo autorizan a todas las interfaces. Esto es peligrosisimo y se de mas de una que estaba haciendo spam a media red teniendo cortafuegos... y solo por una mala respuesta.

ni he abierto
e-mail de nadie que no fueran conocidos.

Los adjuntos NI de los conocidos.

¿"demasiadas vulnerabilidades" a que te refieres a mi, a Microsoft, o a qué?

A los cortafuegos de terceros. Al de MS no hay NI usa sola vulnerabilidad.

Y ahora, quieres algo "profesional" vale: profesional y directo. Para gente que no tenga ni p*ta idea y que ademas no le haga falta tenerla: usar el cortafuegos de XP, estar al dia en WU y tener sentido comun.
Para gente con conocimientos de tcp/ip: cortafuegos externo si quiere controlar salidas. Pero INSISTO, con conocimientos... y ademas con cuidado ya que muchas, muchisimas versiones son vulnerables. Por tanto en este caso, en el de tener conocimientos, si me piden que cual www.sygate.com (y esto no les exime de usar los parches de WU ni tampoco del sentido comun)


Jose Manuel Tella Llop
MVP - Windows

http://www.multingles.net/jmt.htm
Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho.
This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.


"Gulliver" wrote in message news:

Vamos a ver JM Tella:
Sentido común! yo creo que es algo más que sentido común, yo intento
aprender de todos y con la mayor diligencia, pero tu sabes que lo que es
bueno para unos no lo es tanto para otros. Me explico:
Sobre Symantec hay versiones para todos los gustos, ya me cambié de Panda a
Symantec porque así me lo recomendaron --no tú, indudablemente-- yo pensaba
y digo pensaba con todas las consecuencias, ya que -según tengo entendido-
el firewall es sólo de salida y en cambio el de Symantec es de entrada y
salida.
No he bajado ningún software. No he ejecutado ningún archivo, ni he abierto
e-mail de nadie que no fueran conocidos. Y tengo los parches de WXP al día.
Y para serte franco la ayuda que necesito es la de la orientación y ayuda
guiada porque yo de verdad tengo que confiar en alguien sino estoy perdido.
Por lo que yo te ruego que tus indicaciones sean lo más profesional
posible -sin mal entenderme en la palabra profesional- y menos comentarios
vacíos que aludan a las responsabilidades. Una pregunta más lo de
¿"demasiadas vulnerabilidades" a que te refieres a mi, a Microsoft, o a qué?
Agradecido por tu amable ayuda
Lluís

"JM Tella Llop [MVP Windows] ·" escribió en el mensaje
news:
Sobren cortafuegos externos (es decir el de XP vale perfectamente) con tal
de seguir las sguientes normas:

* Sentido Comun: no instalar ningun siftware desconocido en nuestra maquina.
No ejecutar nada recibido por correo aunque se conozca al destinario. Tener
los parches de WU al dia...

Y es así de simple. Soy contrario a los firewall de terceros por los
siguientes motivos:

1) Cualquier error en una respuesta, o una mala respuesta... y adios.
2) Demasiadas vulnerabilidades. Una busqueda en google te puede ayudar a ver
los agujeros que puedan tener las diferentes versiones de firewall -y encima
te daran los exploits para atacar-. (curiosamente no encontrarás ninguno
para XP).
3) El Sentido COmun tendrás que seguir teniendolo..

Jose Manuel Tella Llop
MVP - Windows

http://www.multingles.net/jmt.htm
Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no
otorga ningún derecho.
This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.


"Gulliver" wrote in message
news:O0M$

Desde el 01/12/2003 que instalé Symantec Norton Personal Firewall 2004 He
sido atacado en tres veces por troyanos. El otro día lo consulté y me
dijisteis que era el pan de cada día. ¿Hay alguna cosa elemental que
debiera saber? o tengo que hacer algo para no correr riesgos innecesarios
permitiendo, bien sea de entrada o de salida.
¿Es posible averiguar quién es el que quiere entrar en mi ordenador?
¿Alguna recomendación? Muy agradecido
Lluís

Detalles:
17/01/2004 Detalles: Norma "Bloqueo predeterminado de caballo de

Troya

Backdoor/SubSeven" bloqueada (81.9.234.74,27374)
Conexión TCP de entrada
Dirección, servicio local es (BUSOM(62.57.163.35),27374)


16/01/2004 Detalles: Norma "Bloqueo predeterminado de caballo de

Troya

NetBus" bloqueada (62.57.148.243,NetBus(12345))
Conexión TCP de entrada
Dirección, servicio local es (BUSOM(62.57.163.35),NetBus(12345))


15/01/2004 Detalles: Norma "Bloqueo predeterminado de caballo de

Troya

NetBus" bloqueada (62.57.91.243,NetBus(12345))
Conexión TCP de entrada
Dirección, servicio local es (62.57.161.177,NetBus(12345))



MAS.



Han habido muchos días que la intrusión ha sido detectada y bloqueada

hasta

que el día 15/01/2004 según consta en detección de intrusiones y en el

visor

del registro queda reflejada dicha intrusión.
¿Es normal que Symantec no pueda evitar dicha intrusión, o hay algo que no
hago bien?
¿Podeis ayudarme, por favor?
Lluís


Detalles: Intrusión detectada y bloqueada. Todas las comunicaciones
con 206.204.10.209 se bloquearán durante 30 minutos.
Haga clic en la dirección para rastrear al atacante
Puede obtener más información sobre este ataque en Symantec Security
Response




Detalles: Intrusión: Portscan
Atacante: 206.204.10.209
Nivel de riesgo: Medio
Se han explorado al menos 11 puertos.

Haga clic en la dirección para rastrear al atacante
Puede obtener más información sobre este ataque en Symantec Security
Response


Portscan
Severity: Low

This attack poses a minor threat. Corrective action may not be possible or
is not required.

Attack Category: Suspicious Activity

Anomalous network conditions or traffic patterns. A suspicious activity
signature, for example, might detect two systems with identical IP
addresses, a condition that indicates an attempted IP spoofing attack.

Description

Port scans are attempts to gain access to a computer by searching for open
ports. Usually done by an automated program that sends a request to each
port at an IP address, listening for responses that could reveal a
vulnerability.

Additional Information

Not all port scans are malicious. Some broadband systems scan the ports on
users' computers to ensure that they are keeping to their service
agreements. However, attackers can also use port scans to find unprotected
computers or computers with misconfigured firewalls.

During a port scan, attackers may focus on specific ports used by

vulnerable

applications, or they may simply cycle through all of the target

computer's

65,535 ports. Based on how the computer responds, the attacker can tell
whether services such as HTTP and FTP are active. Each service that is
running provides a potential entry point for the hacker.

Even if no service is using the port, attackers can glean information

about

networks using port scans. On unprotected computers, unused ports respond
that they are closed, which tells the attacker that a computer exists at
that IP address. When Norton Personal Firewall and Norton Internet

Security

are active, protected computers do not respond to scans of unused ports,
giving them a stealth appearance.

Vulnerable Components

None

JM Tella:
Yo te hubiera agradecido mucho que tu información hubiera sido un poco más
concreta. Cuando yo formulé mi pregunta sobre el firewall obtuve de una de
las personas que yo más consideración tengo -que eres tú- "que cualquiera me
valía". ¿No crees que hubiera sido mejor decirme usa el de Windows XP por
qué es más seguro, es decir, lo que ahora me acabas de decir. Porque al
margen de tus comentarios ""no sé cómo te atreves a tener ambos
simultaneamente"" .
Tú tienes que pensar que para los que no tenemos ni p*ta idea -tal como tú
dices- qué es lo conveniente que hagamos: ¿Qué por los escasos conocimientos
que tenemos dejemos de asistir a los foros? ¿Qué no preguntemos a nadie?
¿Si en el caso de hacerlo, excluyamos a los que a los que tienen demasiados
conocimientos -me refiero a los MVP-
Yo, JM Tella, he intentado ser lo que soy, sin aparentar nada y he sido lo
más educado y respetuoso con todo el mundo, por descontado contigo.
Entonces no entiendo tu lenguaje sabiendo que yo al preguntar y por la forma
como lo hago tú ya sabes los escasos conocimientos que poseo. A qué vienen
tus regañinas, yo lo que necesito son tus consejos y orientación.
De todas formas, repito, yo te agradezco el tiempo que has dedicado a mis
preguntas.
UN saludo
Lluís

-Historial-
31/12/2003
Por de pronto cualquiera de ellos. Lo que no se es como te atreves a tener
ambos simultaneamente !!!!
Jose Manuel Tella Llop
MVP - Windows

http://www.multingles.net/jmt.htm
Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no
otorga ningún derecho.
This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.

31/12/2003

Hola José Manuel Tella:
Si, tengo activado el fiorewal de WXP, lo acabo de comprobar y si está
activado.
Por otro lado tengo el Norton Personal Firewall y tengo todos los

apartados

encendidos:
Seguridad. Firewall Personal. Detección de intrusiones. Control de
Privacidad. Bloqueo de anuncios. Pero aún hay más tengo el Panda antivirus
Platinum. Porque me encuentro con lo siguiente que pensaba desinstalar el
Panda Antivirus pero, es el ´´unico de los dos que me elimina los archivos
infectados del virus W32/worm. Sé que no debiera tener los dos
antivirus, --bueno lo sé por vosotros-- pero estoy en esta duda. de que
hacer?

Por otro lado lo de hotmail, lo de Windows Messenger, Messenger 6.1 y msn
Explorer, todos ahora me funcionan, sólo me ha ocurrido esta mañana de no
poder conectar con ellos. Ha sido mi primera experiencia. Sin embargo si
podía acceder a cuentas de yahoo.

La pregunta: ¿Cuál de los dos sistemas de firewall es más recomendable
desactivar?
Agradecido de antemano
Lluís

¿dos cortafuegos?. aparte de no funcionar, lo milagroso es que te
arranque el sistema.

Jose Manuel Tella Llop
MVP - Windows

http://www.multingles.net/jmt.htm
Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no
otorga ningún derecho.
This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.



Hola Marc:
Si, tengo activado el fiorewal de WXP, lo acabo de comprobar y si está
activado.
Por otro lado tengo el Norton Personal Firewall y tengo todos los apartados
encendidos:
Seguridad. Firewall Personal. Detección de intrusiones. Control de
Privacidad. Bloqueo de anuncios. Pero aún hay más tengo el Panda antivirus
Platinum. Porque me encuentro con lo siguiente que pensaba desinstalar el
Panda Antivirus pero, es el ´´unico de los dos que me elimina los archivos
infectados del virus W32/worm. Sé que no debiera tener los dos
antivirus, --bueno lo sé por vosotros-- pero estoy en esta duda. de que
hacer?

Por otro lado lo de hotmail, lo de Windows Messenger, Messenger 6.1 y msn
Explorer, todos ahora me funcionan, sólo me ha ocurrido esta mañana de no
poder conectar con ellos. Ha sido mi primera experiencia. Sin embargo si
podía acceder a cuentas de yahoo.

La pregunta: ¿Cuál de los dos sistemas de firewall es más recomendable
desactivar?
Agradecido de antemano
Lluís




"Gulliver" wrote in message
news:

Rodolfo:
Perdona pero no entiendo bien tu frase: ¿Estás en una empresa detrás de un
firewall?
Lo que si puedo decirte es que tengo activado el firewall de WXP y además
tengo Norton Personal Firewall 2004 de Symantec. ¿Te refieres a eso?
Agradeceré tu opinión
Un saludo
Lluís

"JM Tella Llop [MVP Windows] ·" escribió en el mensaje
news:

ya que -según tengo entendido-
el firewall es sólo de salida y en cambio el de
Symantec es de entrada y salida.

Lo tienes bien entendido pero para mi la funcion de un cortafuegos es
para impedir entrar. La salida ya me encargo yo de ella lo que no quiero
son "maravillososos" cortafuegos que si necesito salir por una interface o
usar el loopback local, en cuanto autorizo autorizan a todas las interfaces.
Esto es peligrosisimo y se de mas de una que estaba haciendo spam a media
red teniendo cortafuegos... y solo por una mala respuesta.

ni he abierto
e-mail de nadie que no fueran conocidos.

Los adjuntos NI de los conocidos.

¿"demasiadas vulnerabilidades" a que te refieres a mi, a Microsoft, o a

qué?

A los cortafuegos de terceros. Al de MS no hay NI usa sola vulnerabilidad.

Y ahora, quieres algo "profesional" vale: profesional y directo. Para
gente que no tenga ni p*ta idea y que ademas no le haga falta tenerla: usar
el cortafuegos de XP, estar al dia en WU y tener sentido comun.
Para gente con conocimientos de tcp/ip: cortafuegos externo si quiere
controlar salidas. Pero INSISTO, con conocimientos... y ademas con cuidado
ya que muchas, muchisimas versiones son vulnerables. Por tanto en este caso,
en el de tener conocimientos, si me piden que cual www.sygate.com (y esto no
les exime de usar los parches de WU ni tampoco del sentido comun)


Jose Manuel Tella Llop
MVP - Windows

http://www.multingles.net/jmt.htm
Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no
otorga ningún derecho.
This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.


"Gulliver" wrote in message
news:

Vamos a ver JM Tella:
Sentido común! yo creo que es algo más que sentido común, yo intento
aprender de todos y con la mayor diligencia, pero tu sabes que lo que es
bueno para unos no lo es tanto para otros. Me explico:
Sobre Symantec hay versiones para todos los gustos, ya me cambié de Panda

a

Symantec porque así me lo recomendaron --no tú, indudablemente-- yo

pensaba

y digo pensaba con todas las consecuencias, ya que -según tengo entendido-
el firewall es sólo de salida y en cambio el de Symantec es de entrada y
salida.
No he bajado ningún software. No he ejecutado ningún archivo, ni he

abierto

e-mail de nadie que no fueran conocidos. Y tengo los parches de WXP al

día.

Y para serte franco la ayuda que necesito es la de la orientación y ayuda
guiada porque yo de verdad tengo que confiar en alguien sino estoy

perdido.

Por lo que yo te ruego que tus indicaciones sean lo más profesional
posible -sin mal entenderme en la palabra profesional- y menos comentarios
vacíos que aludan a las responsabilidades. Una pregunta más lo de
¿"demasiadas vulnerabilidades" a que te refieres a mi, a Microsoft, o a

qué?

Agradecido por tu amable ayuda
Lluís

"JM Tella Llop [MVP Windows] ·" escribió en el mensaje
news:
Sobren cortafuegos externos (es decir el de XP vale perfectamente) con tal
de seguir las sguientes normas:

* Sentido Comun: no instalar ningun siftware desconocido en nuestra

maquina.

No ejecutar nada recibido por correo aunque se conozca al destinario.

Tener

los parches de WU al dia...

Y es así de simple. Soy contrario a los firewall de terceros por los
siguientes motivos:

1) Cualquier error en una respuesta, o una mala respuesta... y adios.
2) Demasiadas vulnerabilidades. Una busqueda en google te puede ayudar a

ver

los agujeros que puedan tener las diferentes versiones de firewall -y

encima

te daran los exploits para atacar-. (curiosamente no encontrarás ninguno
para XP).
3) El Sentido COmun tendrás que seguir teniendolo..

Jose Manuel Tella Llop
MVP - Windows

http://www.multingles.net/jmt.htm
Este mensaje se proporciona "como está" sin garantías de ninguna clase, y

no

otorga ningún derecho.
This posting is provided "AS IS" with no warranties, and confers no

rights.

You assume all risk for your use.


"Gulliver" wrote in

message

news:O0M$

Desde el 01/12/2003 que instalé Symantec Norton Personal Firewall 2004 He
sido atacado en tres veces por troyanos. El otro día lo consulté y me
dijisteis que era el pan de cada día. ¿Hay alguna cosa elemental que
debiera saber? o tengo que hacer algo para no correr riesgos innecesarios
permitiendo, bien sea de entrada o de salida.
¿Es posible averiguar quién es el que quiere entrar en mi ordenador?
¿Alguna recomendación? Muy agradecido
Lluís

Detalles:
17/01/2004 Detalles: Norma "Bloqueo predeterminado de caballo de

Troya

Backdoor/SubSeven" bloqueada (81.9.234.74,27374)
Conexión TCP de entrada
Dirección, servicio local es (BUSOM(62.57.163.35),27374)


16/01/2004 Detalles: Norma "Bloqueo predeterminado de caballo de

Troya

NetBus" bloqueada (62.57.148.243,NetBus(12345))
Conexión TCP de entrada
Dirección, servicio local es (BUSOM(62.57.163.35),NetBus(12345))


15/01/2004 Detalles: Norma "Bloqueo predeterminado de caballo de

Troya

NetBus" bloqueada (62.57.91.243,NetBus(12345))
Conexión TCP de entrada
Dirección, servicio local es (62.57.161.177,NetBus(12345))



MAS.



Han habido muchos días que la intrusión ha sido detectada y bloqueada

hasta

que el día 15/01/2004 según consta en detección de intrusiones y en el

visor

del registro queda reflejada dicha intrusión.
¿Es normal que Symantec no pueda evitar dicha intrusión, o hay algo que

no

hago bien?
¿Podeis ayudarme, por favor?
Lluís


Detalles: Intrusión detectada y bloqueada. Todas las comunicaciones
con 206.204.10.209 se bloquearán durante 30 minutos.
Haga clic en la dirección para rastrear al atacante
Puede obtener más información sobre este ataque en Symantec Security
Response




Detalles: Intrusión: Portscan
Atacante: 206.204.10.209
Nivel de riesgo: Medio
Se han explorado al menos 11 puertos.

Haga clic en la dirección para rastrear al atacante
Puede obtener más información sobre este ataque en Symantec Security
Response


Portscan
Severity: Low

This attack poses a minor threat. Corrective action may not be possible

or

is not required.

Attack Category: Suspicious Activity

Anomalous network conditions or traffic patterns. A suspicious activity
signature, for example, might detect two systems with identical IP
addresses, a condition that indicates an attempted IP spoofing attack.

Description

Port scans are attempts to gain access to a computer by searching for

open

ports. Usually done by an automated program that sends a request to each
port at an IP address, listening for responses that could reveal a
vulnerability.

Additional Information

Not all port scans are malicious. Some broadband systems scan the ports

on

users' computers to ensure that they are keeping to their service
agreements. However, attackers can also use port scans to find

unprotected

computers or computers with misconfigured firewalls.

During a port scan, attackers may focus on specific ports used by

vulnerable

applications, or they may simply cycle through all of the target

computer's

65,535 ports. Based on how the computer responds, the attacker can tell
whether services such as HTTP and FTP are active. Each service that is
running provides a potential entry point for the hacker.

Even if no service is using the port, attackers can glean information

about

networks using port scans. On unprotected computers, unused ports respond
that they are closed, which tells the attacker that a computer exists at
that IP address. When Norton Personal Firewall and Norton Internet

Security

are active, protected computers do not respond to scans of unused ports,
giving them a stealth appearance.

Vulnerable Components

None

No he escrito nada nuevo. Siempre aconsejo LO MISMO.

Y en ningun momento, creo, que mi forma de expresarme ha sido con animo de regañar o de ofender.

Jose Manuel Tella Llop
MVP - Windows

http://www.multingles.net/jmt.htm
Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho.
This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.


"Gulliver" wrote in message news:%

JM Tella:
Yo te hubiera agradecido mucho que tu información hubiera sido un poco más
concreta. Cuando yo formulé mi pregunta sobre el firewall obtuve de una de
las personas que yo más consideración tengo -que eres tú- "que cualquiera me
valía". ¿No crees que hubiera sido mejor decirme usa el de Windows XP por
qué es más seguro, es decir, lo que ahora me acabas de decir. Porque al
margen de tus comentarios ""no sé cómo te atreves a tener ambos
simultaneamente"" .
Tú tienes que pensar que para los que no tenemos ni p*ta idea -tal como tú
dices- qué es lo conveniente que hagamos: ¿Qué por los escasos conocimientos
que tenemos dejemos de asistir a los foros? ¿Qué no preguntemos a nadie?
¿Si en el caso de hacerlo, excluyamos a los que a los que tienen demasiados
conocimientos -me refiero a los MVP-
Yo, JM Tella, he intentado ser lo que soy, sin aparentar nada y he sido lo
más educado y respetuoso con todo el mundo, por descontado contigo.
Entonces no entiendo tu lenguaje sabiendo que yo al preguntar y por la forma
como lo hago tú ya sabes los escasos conocimientos que poseo. A qué vienen
tus regañinas, yo lo que necesito son tus consejos y orientación.
De todas formas, repito, yo te agradezco el tiempo que has dedicado a mis
preguntas.
UN saludo
Lluís

-Historial-
31/12/2003
Por de pronto cualquiera de ellos. Lo que no se es como te atreves a tener
ambos simultaneamente !!!!
Jose Manuel Tella Llop
MVP - Windows

http://www.multingles.net/jmt.htm
Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no
otorga ningún derecho.
This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.

31/12/2003

Hola José Manuel Tella:
Si, tengo activado el fiorewal de WXP, lo acabo de comprobar y si está
activado.
Por otro lado tengo el Norton Personal Firewall y tengo todos los

apartados

encendidos:
Seguridad. Firewall Personal. Detección de intrusiones. Control de
Privacidad. Bloqueo de anuncios. Pero aún hay más tengo el Panda antivirus
Platinum. Porque me encuentro con lo siguiente que pensaba desinstalar el
Panda Antivirus pero, es el ´´unico de los dos que me elimina los archivos
infectados del virus W32/worm. Sé que no debiera tener los dos
antivirus, --bueno lo sé por vosotros-- pero estoy en esta duda. de que
hacer?

Por otro lado lo de hotmail, lo de Windows Messenger, Messenger 6.1 y msn
Explorer, todos ahora me funcionan, sólo me ha ocurrido esta mañana de no
poder conectar con ellos. Ha sido mi primera experiencia. Sin embargo si
podía acceder a cuentas de yahoo.

La pregunta: ¿Cuál de los dos sistemas de firewall es más recomendable
desactivar?
Agradecido de antemano
Lluís

¿dos cortafuegos?. aparte de no funcionar, lo milagroso es que te
arranque el sistema.

Jose Manuel Tella Llop
MVP - Windows

http://www.multingles.net/jmt.htm
Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no
otorga ningún derecho.
This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.



Hola Marc:
Si, tengo activado el fiorewal de WXP, lo acabo de comprobar y si está
activado.
Por otro lado tengo el Norton Personal Firewall y tengo todos los apartados
encendidos:
Seguridad. Firewall Personal. Detección de intrusiones. Control de
Privacidad. Bloqueo de anuncios. Pero aún hay más tengo el Panda antivirus
Platinum. Porque me encuentro con lo siguiente que pensaba desinstalar el
Panda Antivirus pero, es el ´´unico de los dos que me elimina los archivos
infectados del virus W32/worm. Sé que no debiera tener los dos
antivirus, --bueno lo sé por vosotros-- pero estoy en esta duda. de que
hacer?

Por otro lado lo de hotmail, lo de Windows Messenger, Messenger 6.1 y msn
Explorer, todos ahora me funcionan, sólo me ha ocurrido esta mañana de no
poder conectar con ellos. Ha sido mi primera experiencia. Sin embargo si
podía acceder a cuentas de yahoo.

La pregunta: ¿Cuál de los dos sistemas de firewall es más recomendable
desactivar?
Agradecido de antemano
Lluís




"Gulliver" wrote in message
news:

Rodolfo:
Perdona pero no entiendo bien tu frase: ¿Estás en una empresa detrás de un
firewall?
Lo que si puedo decirte es que tengo activado el firewall de WXP y además
tengo Norton Personal Firewall 2004 de Symantec. ¿Te refieres a eso?
Agradeceré tu opinión
Un saludo
Lluís

"JM Tella Llop [MVP Windows] ·" escribió en el mensaje
news:

ya que -según tengo entendido-
el firewall es sólo de salida y en cambio el de
Symantec es de entrada y salida.

Lo tienes bien entendido pero para mi la funcion de un cortafuegos es
para impedir entrar. La salida ya me encargo yo de ella lo que no quiero
son "maravillososos" cortafuegos que si necesito salir por una interface o
usar el loopback local, en cuanto autorizo autorizan a todas las interfaces.
Esto es peligrosisimo y se de mas de una que estaba haciendo spam a media
red teniendo cortafuegos... y solo por una mala respuesta.

>ni he abierto

e-mail de nadie que no fueran conocidos.

Los adjuntos NI de los conocidos.

¿"demasiadas vulnerabilidades" a que te refieres a mi, a Microsoft, o a

qué?

A los cortafuegos de terceros. Al de MS no hay NI usa sola vulnerabilidad.

Y ahora, quieres algo "profesional" vale: profesional y directo. Para
gente que no tenga ni p*ta idea y que ademas no le haga falta tenerla: usar
el cortafuegos de XP, estar al dia en WU y tener sentido comun.
Para gente con conocimientos de tcp/ip: cortafuegos externo si quiere
controlar salidas. Pero INSISTO, con conocimientos... y ademas con cuidado
ya que muchas, muchisimas versiones son vulnerables. Por tanto en este caso,
en el de tener conocimientos, si me piden que cual www.sygate.com (y esto no
les exime de usar los parches de WU ni tampoco del sentido comun)


Jose Manuel Tella Llop
MVP - Windows

http://www.multingles.net/jmt.htm
Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no
otorga ningún derecho.
This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.


"Gulliver" wrote in message
news:

Vamos a ver JM Tella:
Sentido común! yo creo que es algo más que sentido común, yo intento
aprender de todos y con la mayor diligencia, pero tu sabes que lo que es
bueno para unos no lo es tanto para otros. Me explico:
Sobre Symantec hay versiones para todos los gustos, ya me cambié de Panda

a

Symantec porque así me lo recomendaron --no tú, indudablemente-- yo

pensaba

y digo pensaba con todas las consecuencias, ya que -según tengo entendido-
el firewall es sólo de salida y en cambio el de Symantec es de entrada y
salida.
No he bajado ningún software. No he ejecutado ningún archivo, ni he

abierto

e-mail de nadie que no fueran conocidos. Y tengo los parches de WXP al

día.

Y para serte franco la ayuda que necesito es la de la orientación y ayuda
guiada porque yo de verdad tengo que confiar en alguien sino estoy

perdido.

Por lo que yo te ruego que tus indicaciones sean lo más profesional
posible -sin mal entenderme en la palabra profesional- y menos comentarios
vacíos que aludan a las responsabilidades. Una pregunta más lo de
¿"demasiadas vulnerabilidades" a que te refieres a mi, a Microsoft, o a

qué?

Agradecido por tu amable ayuda
Lluís

"JM Tella Llop [MVP Windows] ·" escribió en el mensaje
news:
Sobren cortafuegos externos (es decir el de XP vale perfectamente) con tal
de seguir las sguientes normas:

* Sentido Comun: no instalar ningun siftware desconocido en nuestra

maquina.

No ejecutar nada recibido por correo aunque se conozca al destinario.

Tener

los parches de WU al dia...

Y es así de simple. Soy contrario a los firewall de terceros por los
siguientes motivos:

1) Cualquier error en una respuesta, o una mala respuesta... y adios.
2) Demasiadas vulnerabilidades. Una busqueda en google te puede ayudar a

ver

los agujeros que puedan tener las diferentes versiones de firewall -y

encima

te daran los exploits para atacar-. (curiosamente no encontrarás ninguno
para XP).
3) El Sentido COmun tendrás que seguir teniendolo..

Jose Manuel Tella Llop
MVP - Windows

http://www.multingles.net/jmt.htm
Este mensaje se proporciona "como está" sin garantías de ninguna clase, y

no

otorga ningún derecho.
This posting is provided "AS IS" with no warranties, and confers no

rights.

You assume all risk for your use.


"Gulliver" wrote in

message

news:O0M$

Desde el 01/12/2003 que instalé Symantec Norton Personal Firewall 2004 He
sido atacado en tres veces por troyanos. El otro día lo consulté y me
dijisteis que era el pan de cada día. ¿Hay alguna cosa elemental que
debiera saber? o tengo que hacer algo para no correr riesgos innecesarios
permitiendo, bien sea de entrada o de salida.
¿Es posible averiguar quién es el que quiere entrar en mi ordenador?
¿Alguna recomendación? Muy agradecido
Lluís

Detalles:
17/01/2004 Detalles: Norma "Bloqueo predeterminado de caballo de

Troya

Backdoor/SubSeven" bloqueada (81.9.234.74,27374)
Conexión TCP de entrada
Dirección, servicio local es (BUSOM(62.57.163.35),27374)


16/01/2004 Detalles: Norma "Bloqueo predeterminado de caballo de

Troya

NetBus" bloqueada (62.57.148.243,NetBus(12345))
Conexión TCP de entrada
Dirección, servicio local es (BUSOM(62.57.163.35),NetBus(12345))


15/01/2004 Detalles: Norma "Bloqueo predeterminado de caballo de

Troya

NetBus" bloqueada (62.57.91.243,NetBus(12345))
Conexión TCP de entrada
Dirección, servicio local es (62.57.161.177,NetBus(12345))



MAS.



Han habido muchos días que la intrusión ha sido detectada y bloqueada

hasta

que el día 15/01/2004 según consta en detección de intrusiones y en el

visor

del registro queda reflejada dicha intrusión.
¿Es normal que Symantec no pueda evitar dicha intrusión, o hay algo que

no

hago bien?
¿Podeis ayudarme, por favor?
Lluís


Detalles: Intrusión detectada y bloqueada. Todas las comunicaciones
con 206.204.10.209 se bloquearán durante 30 minutos.
Haga clic en la dirección para rastrear al atacante
Puede obtener más información sobre este ataque en Symantec Security
Response




Detalles: Intrusión: Portscan
Atacante: 206.204.10.209
Nivel de riesgo: Medio
Se han explorado al menos 11 puertos.

Haga clic en la dirección para rastrear al atacante
Puede obtener más información sobre este ataque en Symantec Security
Response


Portscan
Severity: Low

This attack poses a minor threat. Corrective action may not be possible

or

is not required.

Attack Category: Suspicious Activity

Anomalous network conditions or traffic patterns. A suspicious activity
signature, for example, might detect two systems with identical IP
addresses, a condition that indicates an attempted IP spoofing attack.

Description

Port scans are attempts to gain access to a computer by searching for

open

ports. Usually done by an automated program that sends a request to each
port at an IP address, listening for responses that could reveal a
vulnerability.

Additional Information

Not all port scans are malicious. Some broadband systems scan the ports

on

users' computers to ensure that they are keeping to their service
agreements. However, attackers can also use port scans to find

unprotected

computers or computers with misconfigured firewalls.

During a port scan, attackers may focus on specific ports used by

vulnerable

applications, or they may simply cycle through all of the target

computer's

65,535 ports. Based on how the computer responds, the attacker can tell
whether services such as HTTP and FTP are active. Each service that is
running provides a potential entry point for the hacker.

Even if no service is using the port, attackers can glean information

about

networks using port scans. On unprotected computers, unused ports respond
that they are closed, which tells the attacker that a computer exists at
that IP address. When Norton Personal Firewall and Norton Internet

Security

are active, protected computers do not respond to scans of unused ports,
giving them a stealth appearance.

Vulnerable Components

None