Untitled Document
UNED CSI UNED

-Seguridad y sistemas -> Sección Anti-Virus -> Carpetas compartidas

Las carpetas compartidas y NetBIOS 

  1. El peligro de Netbios.

  2. Comprobando los recursos compartidos.

  3. Deshabilitando compartir recursos.

  4. Compartiendo recursos

Resumen

1 El peligro de Netbios.

Los sistemas Windows traen activado "de serie" un sistema para poder compartir ciertos recursos, orientado a facilitar dicha tarea en una red, como la que pueden formar varios ordenadores domésticos o de una oficina. Netbios es una interfaz entre aplicaciones que fue desarrollada por IBM para acceder a los recursos de redes locales.

Dicho así la cosa no parece ir más allá, pero es uno de los agujeros de seguridad de Windows más frecuentemente ignorado, aunque no pueda calificarse técnicamente como tal. ¿Por qué? porque dicho protocolo es aplicado por Windows a todas las conexiones, no sólo a las de red local sino también a las de Internet, sin filtrar dicha circunstancia, lo que se traduce en que nuestro sistema es receptivo a esas conexiones exteriores.

Mantener esa configuración puede significar que alguien se conecte por uno de los puertos destinado a esa interfaz de comunicación y acceda a las carpetas o recursos designados (que pueden ser desde impresoras compartidas, unas carpetas específicas o todo el disco duro). 

Esto es comúnmente utilizado para entrar de una manera sencilla en ordenadores ajenos, y está al alcance de cualquier aprendiz de Hacker. Alguién con algo más de conocimientos puede acceder a todo el sistema impunemente aprovechando las características de inseguridad de los sistemas Windows, averiguando passwords etc.

Nos preguntábamos hasta qué punto era esto cierto, pues esta circunstancia nunca ha sido considerada como "Agujero" por Microsoft y ha venido repitiéndose en cada sistema operativo que sacaba al mercado, con lo cual se supone que la gente ya debe saberlo y no tendrá activado en sus equipos el compartir recursos si no lo necesita. Para empezar, ningún ordenador que no forme parte de una red necesita compartir nada, salvo contadas excepciones, y los ordenadores en red deben proteger el acceso a dichos recursos mediante passwords.

Pues bien, lo cierto es que los cortafuegos continúan registrando y bloqueando muchos intentos de conexión Netbios, y aprovechamos para decir que es básico disponer de un firewall, eso como norma de seguridad nº 2. (La nº 1 es mantener un antivirus residente y actualizado.)

Bueno, ya estamos concienciados de la necesidad de mantenernos al tanto de aquello que pueda significar una vía de entrada a nuestro PC. Veamos ahora cual es el estado del mismo respecto a Netbios.

2 Comprobando los recursos compartidos.

Básicamente, en los sistemas Windows tenemos tres maneras de requerir la información sobre los recursos que están puestos a disposición común: 

  1. Por Aplicación Gráfica de Windows.

  2. Consultando el Entorno de Red 

  3. Consultando la información mediante un comando MS-DOS en una ventana del mismo. 

Los recursos compartidos no ocultos, en un alarde imaginativo de los diseñadores de Windows, muestran una mano generosa que ofrece el recurso en cuestión:

Veamos como comprobar todas las carpetas establecidas para ser compartidas, sean ocultas o visibles: 

Windows 9X - Me 

· Inicio - Programas - Accesorios - Herramientas del sistema - Monitor de red - Carpetas compartidas. 

Son visibles las que carecen del símbolo $ al final

· En el escritorio, abrimos entorno de red. Abrimos el equipo con el nombre de nuestro equipo. Éste se averigua ejecutando winipcfg. 

Todas las carpetas a la vista son compartidas.

· Inicio - Programas - MS-DOS Ejecutamos net view \\NOMBRE_EQUIPO 

Son visibles las que carecen del símbolo $ al final

Windows 2000/XP 

· Inicio - Configuración - Panel de control - Herramientas administrativas - Administración de equipos - Árbol - Administración del equipo (local) - Herramientas del sistema - Carpetas compartidas - Recursos compartidos 

Son visibles las que carecen del símbolo $ al final.

Inicio - Programas - Accesorios - Símbolo del sistema Ejecutamos net share

Son visibles las que carecen del símbolo $ al final.

Windows NT

·Inicio - Configuración - Panel dec control - Servidor - Recursos compartidos 

Son visibles las que carecen del símbolo $ al final.

· Entorno de Red - Equipo propio - (Ver ipconfig /all)

Todas las carpetas a la vista son compartidas.

· Inicio - Programas - Interfaz de comandos - Ejecutar net share 

Son visibles las que carecen del símbolo $ al final.

3 Deshabilitando compartir recursos.

En el caso de que no tengamos necesidad de compartir, deberemos quitar las opciones que posibilitan hacerlo. Además, es conveniente tenerlo por costumbre, y debemos recordar hacerlo después de formatear o actualizar nuestro sistema operativo.

Windows 9X - Me 

· Inicio - Configuración - panel de control - Red - Compartir impresoras y archivos 

Quitaremos los elementos "Cliente para redes de Microsoft" y "Compartir impresoras y archivos"

Windows 2000

· Inicio - Configuración - Conexiones de red y acceso telefónico - Conexión de área local - Menú archivo - Propiedades 

Desinstalar "Compartir impresoras y archivos para redes Microsoft" y "Cliente para redes Microsoft." 

Eso es lo evidente, pero lo mejor es irse al registro:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters
y renombrar la clave TransportBindName a TransportBindNameX

Con esto se desactivan la interfaz Netbios(puertos 137,138,139) y la smb(445).Esto es así porque para acceder a una sesion Netbios en W2000 puedes acceder por el puerto 139 o por el puerto 445." Esto es aplicable, asimismo, a Win XP.

Windows XP 

· Inicio - Panel de control - Conexiones de red - Conexión de área local - Menú archivo -Propiedades 

Desinstalar "Compartir impresoras y archivos para redes Microsoft" y "Cliente para redes Microsoft." o 

Registro:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters
y renombrar la clave TransportBindName a TransportBindNameX


Windows NT: 

· Inicio - Configuración - Panel de Control - Red - Servicios 

Quitar los servicios "Servidor" "Interfaz" "Netbios" y "Estación de trabajo"

4 Compartiendo recursos

En el caso de necesitar compartir los recursos, deberemos seguir unas medidas de precaución para la protección del sistema, evidentemente lo principal es gestionar adecuadamente la política de acceso de los usuarios y sus acciones mediante passwords.

Eso significa que las contraseñas han de ser impuestas con criterios rigurosos de efectividad, procurando que no sean cortas o evidentes y deben ser cambiadas cada cierto tiempo. Ver "Contraseñas Seguras".

Se supone que tenemos activada de antemano la configuración del sistema para compartir, de otra forma habría que activarla recurriendo a las opciones mencionadas en el paso anterior, pero a la inversa. 

Ahora vamos a establecer el control de acceso a los recursos:

Windows 9X - Me 

Desde el explorador de windows, cliquearemos sobre el recurso compartido con el botón derecho, y en la pestaña "Compartir" tendremos el tipo de permisos, que pueden ser:

· Sólo lectura. - Obviamente recomendable, ya que no permite la modificación o borrado del recurso.

· Completo/Total. - Para usuarios con necesidad de ejecutar acciones que modifiquen los archivos.

· Dependiendo de la contraseña. - El recurso se dotará de dos contraseñas, una de acceso al mismo con permiso de solo lectura y otra de permiso total. Dependiendo la contraseña que conozca el usuario tendrá uno u otro privilegio sobre el archivo.

Windows XP 

Sentar una base.

En XP la administración de los recursos compartidos tiene otro concepto, basado en una operativa multiusuario. Es por ello que es de suma importancia mantener desde el principio una claridad de ideas y un orden en este aspecto. 

Los administradores pueden establecer unas opciones de seguridad de contraseñas para los cuentas de cada usuario local, que no vienen configuradas de inicio. De esta forma se minimizan los ataques a los passwords, otra práctica habitual del mundo Hack.

· Panel de control - Herramientas administrativas - Directiva de seguridad local 

En esta ventana obtendremos un árbol muy interesante y que merece ser revisado detenidamente, pues ofrece la posibilidad de configurar las opciones de seguridad ajustando el nivel de protección a nuestras preferencias. 

Por ejemplo, en las "Directivas de cuenta" - "Directivas de contraseña" podemos forzar a que las contraseñas cumplan los requisitos de complejidad, la longitud mínima así como la vigencia máxima y mínima de las mismas.

En las "Directivas locales" - "Asignación de derechos de usuario" estableceremos determinados permisos a los usuarios o los reduciremos a la potestad del Administrador.

En "Opciones de seguridad" tenemos directivas relativas a seguridad de red, acceso a redes, inicio de sesión, dispositivos, cuentas... aquí podemos habilitar y deshabilitar o definir una larga serie de opciones, algunas muy interesantes... incluso podemos cambiar el nombre de la cuenta del Administrador y renombrar como tal una cuenta sin privilegios, al objeto de despistar al posible intruso que busque asaltar esa cuenta tan golosa...

Designando recursos compartidos.

Lo primero es desactivar el "Modo simple" del uso compartido de archivos, en las Opciones de Carpeta del Panel de Control:

De esta forma no limitamos las opciones de la pestaña "Compartir" de las carpetas o recursos elegidos , para que en lugar de que dicha pestaña se muestre de esta forma...

... lo haga de esta:

Una vez en este punto, asignaremos los permisos designando los usuarios que queramos que puedan acceder a esta carpeta. Estos lo harán autentificándose con su propio password. Por defecto, todos los usuarios tienen el mismo acceso a los recursos pero podemos agregar y quitar usuarios, o permitir o denegar las acciones sobre los archivos, crear grupos etc. Es conveniente clasificar en los mismos grupos a los usuarios con igual nivel de acceso o acción sobre los recursos, así como agrupar en las mismas carpetas los recursos destinados a los mismos usuarios o grupos, facilitando así su administración. 

Para eso crearemos nuevos usuarios, desde esta ventana de "Permisos" - Agregar - Seleccionar usuarios o grupos. Desde aquí accedemos a las los botones- "Tipos de objetos"... "Ubicaciones"... o "Avanzadas"... donde podremos seleccionar las características de los usuarios o grupos a crear.

Windows 2000

En Windows 2000 los permisos se otorgan accediendo a la pestaña "Compartir" con el botón derecho del ratón sobre el recurso en cuestión. Después:

· Compartido como - Nombre que tendrá el recurso en la red - Permisos - Agregar Nombre de usuario - Tipo de permiso (Lectura, cambio etc.) Agregar y aceptar.

· Para crear un nuevo usuario:

Inicio - Programas - Herramientas Administrativas - Administración de equipos - Árbol - Administración de equipo (local) - Herramientas del sistema - Usuarios locales y grupos - Menú acción - Usuario nuevo.

Ver consejos sobre seguridad en red. 

Windows NT

Otorgamos permisos en NT accediendo a la pestaña "Compartir" con el botón derecho del ratón sobre el recurso. Después:

· Compartido como - Nombre que tendrá el recurso en la red - Permisos - Agregar Mostrar usuarios - Tipo de permiso (Lectura, cambio etc.) Agregar y aceptar.

· Para crear un nuevo usuario:

Inicio - Programas - Herramientas Administrativas (común) - Administrador de usuarios - Menú usuario - Usuario nuevo.

Untitled Document


© UNED - Centro de Servicios Informáticos
Servicio WebUNED - 1995-2009