[TIP - SP2] Nuevos parametros de control de seguridad: NETSTAT

TIP - SP2: nuevos parametros de control de seguridad: NETSTAT

El comando NETSTAT (debe ejecutarse en una consola de comandos: cmd.exe) es un viejo compañero del tcp/ip desde sus inicios y un estandar en todos los sistemas operativos.

Hasta el momento, tanto en windows, como en unix / linux, la unica informacion que nos proporcionaba era las conexiones tcp/ip que teniamos en nuestra maquina de varias formas. Por ejemplo, ejecutado sin parametros:

[K:\]netstat

Active Connections

Proto Local Address Foreign Address State
TCP PCxx1:1304 SVCW2K·:3389 ESTABLISHED
TCP PCxx1:1424 privatenews.microsoft.com:nntp ESTABLISHED

Es decir, al ser tecleado sin ningun parámetro nos informa de los puertos que en nuestra maquina tienen en un momento determinado una conexion "ESTABLECIDA" con una maquina remota y por que puerto.

Ejecutado, por ejemplo con alguno de los parámetros hasta ahora estandard, podemos comprobar toda la informacion que da un:

netstat -na

sabemos que lo potencialmente peligroso son los puertos, no solo los que tienen conexion establecida como el ejemplo anterior, sino los que están "a la escucha" (LISTENING) como se puede ver en la salida anterior. Estos puertos son potencialmente peligrosos porque pueden provenir, o estar abiertos en escucha, por un proceso malicioso: por un troyano. podemos filtar la informacion anterior para ver los que están en escucha, dando el comandos:

netstat -na | find "LISTENING"

o bien, si queremos ver además el PID (numero de identificacion de proceso del programa que lo ha lanzado, podemos ejecutar:

netstat -nao | find "LISTENING"

pero... esta informacion sigue estan coja: el numero de proceso dado al final de la salida anterior, es necesario identificarla con el nombre del programa que está en ejecucion en maquina. Esto es relativamente sencillo en XP Profesional ejecutando ahora un:

tasklist

(o bien, en XP Home, bajandose de www.sysinternals.com la utilidad "pslist") y buscando uno por uno, cada numero de proceso (PID), con el programa asociado.

Es decir, la información está, se puede hacer completa,... pero es engorroso y maximo a un usuario final que tiene que recordar la secuencia de comandos.

NUEVOS PARAMETROS EN SP2


En el SP2 se incorporan en "netstat" dos nuebos paramettos "b" y "v" que nos van a servir para identificar los proceos o incluso los modulos incorporados en el proceso en sí. Esto ultimo es importantisimo y lo comentaremos mas adelante con mas detalle.

Un ejemplo para ver las conexiones establecidas y el programa que las ha lanzado, puede ser:


[K:\]netstat -b

Active Connections

Proto Local Address Foreign Address State PID
TCP PCxx1:1304 SVCW2K·:3389 ESTABLISHED 1640
[mstsc.exe]

TCP PCxx1:1429 msnews.microsoft.com:nntp ESTABLISHED 5984
[msimn.exe]

fijarse, que debajo de cada conexion, aparecen los nombre de los programas que se ven envueltos en la conexion.

Veamos los modulos:

[K:\]netstat -bv

Active Connections

Proto Local Address Foreign Address State PID
TCP PCxx1:1304 SVCW2K·:3389 ESTABLISHED 1640
K:\WINDOWS\System32\mswsock.dll
K:\WINDOWS\system32\WS2_32.dll
K:\WINDOWS\system32\mstscax.dll
K:\WINDOWS\system32\USER32.dll
K:\WINDOWS\system32\mstscax.dll
[mstsc.exe]

TCP PCXX1:1429 msnews.microsoft.com:nntp ESTABLISHED 5984
K:\WINDOWS\System32\mswsock.dll
K:\WINDOWS\system32\WS2_32.dll
K:\WINDOWS\system32\INETCOMM.dll
K:\Program Files\Outlook Express\MSOE.DLL
K:\WINDOWS\system32\USER32.dll
K:\Program Files\Outlook Express\MSOE.DLL
[msimn.exe]

Esta informacion puede ser muchisimo mas importante de cara un tecnico desistemas o a un usuario avanzado. No solo da el programa, sino todos los modulos que se ven afectados por la llamada.

¿para que puede servir? muy facil: ciertos troyanos o programas fundamentalmente spywares, o sobre todo "rootkits" pueden enlazarse mediante un gancho ("hook") a un proceso del sistema. Ese codigo maligno, normalmente no lo veremos en la lista de procesos pero lo veremos, con nombre, o con un indicador de "desconocido" en la lista de modulos anteriores. Bajo mi punto de vista, una de las herramientas mas potentes en este momento acaba de ser puesta en nuestra manos !

Igulamente, recordemos que podemos aplicarlo a conexiones "no establecidas", pero en escucha, sin mas que mezcalr estos nuevos parametros con los ya existente. Por ejemplo, para ver programas y tambien modulos de los procesos en escucha, sin mas que hacer:

netsat -nab





Jose Manuel Tella Llop
MVP - Windows
jmtella@XXXcompuserve.com (quitar XXX)
http://www.multingles.net/jmt.htm

Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.