Los programas Peer to Peer (P2P) como Amule, eMule,Azureus, eDonkey… nos permiten encontrar todo tipo de material que esta descatalogado y compartir nuestros archivos con los demás. Precisamente esta compartición es lo que hace que dichos programas sean algo inseguros.

Por distintas razones, una cantidad creciente de psicópatas de la red no quieren a nuestro amule. Cientos de ellos “filtran” (bloquean o limitan) las transacciones por internet de nuestra mula.
Unos ISP (los Españoles todavía no) atacan directamente a los “servers” ed2k (ver -> Ataques / Razorback(este ya se lo cargaron los IPS) / 4661, y contra ataque de « lugdunum »)

Casi todos los ISP (proveedores de servicios de Internet) intentan saber quien utiliza su conexión internet con programas del P2P porque estos usuarios son los que mas ancho de banda utilizan. El objetivo de los ISP es limitar este consumo y dejar mas posibilidades a los demás usuarios sin tener que ampliar sus capacidades.

Desde hace tiempo los ISP filtran a los que utilizan los puertos estándares de los programas de P2P.

En lo que nos concierne, empezaron con el puerto 4662 (puerto TCP estándar de la mula), luego extendieron su filtración (interceptación y bloqueo de las transacciones).

Las limitaciones impuestas por los ISP son variables. Pueden limitar la banda de los usuarios del P2P (hasta una conexión sin ningún flujo), pueden desconectar abusivamente estos usuarios o impedir totalmente las descargas de archivos.

Existen también unos descerebrados, generalmente mercenarios de las corporaciones que dirigen el negocio de la musica y el cine, que practican el sniffing o la filtración de los datos para identificar lo que suponen ser telecargamentos ilegales.
También hay unos psicópatas de la red que escriben programas parásitos (troyanos y otros espías) que entran por puertos abiertos del PC para instalarse allí.


Así que hay que es preferible evitar unos cuantos puertos TCP y UDP para el uso de nuestra mula.

Hago referencia de nuevo al apartado de la configuración por defecto, ya que estos programas vienen preconfigurados por defecto para conexiones al puerto 4662 TCP y 4672 UDP. Cualquier atacante podrá lanzar un ataque a esos puertos y casi seguro que algún alma en pena encontrara para marearlo un poco.

Es recomendable elegir otros puertos, lo mas elevado posible, para que se agoten de rastrear.

Este tipo de programas suelen dar mucha información de los usuarios que hay conectados y además suelen dejar un rastro muy evidente de nuestras conexiones, por lo que hay una llamada “lista negra” de Ips o direcciones de servidores que en verdad son robots que se dedican a recopilar datos nuestros. Esta lista va en un archivo normalmente llamado ipfilter.dat y que se deja en el directorio del programa que usemos y el solo se encarga de cargarlo y filtrar dichas Ips.

Otra opción consiste en anormalizar las conexiones, pero no todos los programas soportan o traen esta opción.

Existen 65.535 puertos o canales (más el 0) por donde los datos pueden salir o entrar en un PC. Es el papel de todo buen « firewall » es cerrar los puertos inútilmente abiertos y dejar el paso libre al browser, al correo electrónico y a nuestra mula. Ella, para su funcionamiento necesita dos puertos básicos y uno adicional para la red ed2k.
Hay que cambiar los puertos asignados automáticamente al iniciarse la mula. Se debe evitar los puertos mas conocidos de los terroristas anti-P2P y otros que impedirían el buen funcionamiento del sistema operativo y también velar que estos puertos estén abiertos.

Hay que evitar ciertos puertos.

Los puertos mas conocidos por los ISP y otros espías son los primeros « filtrados » :

    – eDonkey / eMule: TCP 4661, 4662 ; UDP 4665, 4672
    – Gnutella: TCP 6346

Con nuestra mula, los ISP empezaron filtrando el puerto 4662 (o el 4661). Se a comprobado que los ISP filtran también todos los 4660 < puertos > 4669.
Es mejor
evitar los puertos x66x (5662 por ejemplo) porque ahora estos son demasiado utilizados y también filtrados por los ISP y demás.

Ciertos puertos están básicamente reservados a las aplicaciones comunes de Internet. Para evitar eventuales conflictos con la mula, no se debe escoger estos puertos:

20-21 usado por FTP

23 usado por Telnet

137-139 usado por Netbios

53 usado por Dns

67 usado por Dhcp

119 usado por News

80-8080 usado por Web servers

110 usado por Pop mail

143 usado por Imap mail

Casos particulares de puertos reservados : puerto 80 y otros puertos “sensibles”

El puerto 80 (puerto del “browser”) utilizado con mucho éxito por numerosos usuarios de la mula es un puerto ya conocido de los ISP que disponen de un programa “P-Cube” que sabe analizar lo que pasa por este puerto y puede detectar una actividad P2P -> FAI : Comment contrôler le traffic P2P (en Francés, FAI = ISP).
El puerto 80 es también el preferido de unos cuantos “troyanos”.
Así que, si utilizas el puerto 80 (u otro puerto sensible), necesitaras un firewall y un ipfilter “blindado” para tu seguridad.

Es preferible evitar los puertos que utilizan los « troyanos » -> trojan list -> Lista de puertos donde pueden colocarse un troyano aunque no sea totalmente imprescindible con un firewall eficaz y un ipfilter bien actualizado.

Puertos libres.

Ejemplos provisionales :

– 11372 –> 11599
– 24007 –> 24241
– 31668 –> 31744
– 45967 –> 46665
– 47625 –> 47697
– 50131 –> 50504
– 62012 –> 63484

hay muchísimos mas.

Hay ciertas formas de actuar que no son aconsejables

en absoluto, como por ejemplo:

  • Mostrar mensajes descriptivos de errores: Esto lo que hace es abreviar un posible error de carga. Esta abreviación es para muchos de estos errores la misma, por lo que nunca sabremos exactamente por que ha fallado.

  • Esconder las extensiones de los programas: La peor opción que he podido ver. Si no vemos las extensiones de los archivos nos la pueden dar con queso. Es el caso de los conocidos “falsos exe”, que son archivos escritos en Visual Basic pero que al tener 2 extensiones (programa.exe.vbs) solo mostrara la primera (programa.exe) y engañarnos de la naturaleza del archivo. La ejecución de este tipo de archivos es fatal.En Ubuntu y sus derivados no tendremos este problema, pero si mandamos a windows el exe falso podrían surgir.

  • No mostrar archivos ocultos o del sistema: Visto todo lo anterior no es muy lógica esta opción, sabiendo que un malware intentara ocultarse para que no veamos su rastro.

  • Ojo con los archivos de tamaño cero (0): Estos archivos son indicadores de algún tipo de malware (keylogers normalmente), ya que esta a la espera de llenarse con datos que probablemente enviará después a su creador. Repito una vez mas que en Linux estas cosas no perjudican pero si tienes un disco externo en ntfs o fat donde van a parar tus descargas es conveniente ser cautos y escanearlo de vez en cuando.

Eso si, no todos los archivos de tamaño cero son malignos. Si algún programa “limpio” que hemos instalado en un sistema regularmente chequeado y sano nos pone un archivo de tamaño cero, probablemente sera para su propio uso, pero no esta de mas desconfiar y tenerlo controlado.

Así que ya sabéis cambiando los puertos y teniendo unos servidores limpios nos ayudaran en una descarga mas segura y veloz y quien sabe si un dia los ISP terminan desapareciendo por agotamiento y terminan disecados de aburrimiento,en cuanto a cortarnos el grifo se refiere.

Un saludo:

Extraído de: LinuxMint-Hispano

Anuncios