Analizando un poco tus conexiones y puertos

Hay muchas formas de analizar los puertos que tienes abiertos localmente o hacia internet en tu GNU/Linux, o las conexiones que se están haciendo.

Siempre es mejor usar sudo para no perderse nada de lo que está ocurriendo. Pero algunos comandos no lo necesitan. Usalos sin sudo y con sudo para ver si hay alguna diferencia.

Un comando principal para saber tus interfaces de red es abrir un Terminal y poner simplemente:

ifconfig

A partir de ahí puedes actuar para saber qué interfaz quieres analizar.

Pero a modo general, para conocer las conexiones abiertas puedes usar cualquiera de estos comandos (instalalos si no los tienes):

sockstat

netstat -aounpt

lsof -i4 o lsof -i6 (para conexiones ipv4 o ipv6)

o incluso con protocolos, como por ejemplo tcp o udp:

lsof -i tcp o lsof -i udp

Para saber los puertos que tienes abiertos no hay nada como un rápido nmap:

nmap localhost

o si lo quieres más profundo:

nmap -p 0-65535 localhost

De esta manera, sabrás si hay alguna conexión extraña en tu ordenador y buscar información sobre ella, o algún puerto de algún programa que te sorprenda.

Una forma mucho más profunda y aconsejable es usar tcpdump (os recomiendo aprender sobre tcpdump a fondo). Puedes usar muchos filtros con él, pero por ahora únicamente te muestro una forma sencilla de ver las conexiones que se dan en una determinada interfaz de red.

Si por ejemplo estás usando una VPN con Openvpn seguramente la interfaz de red será tun0. Por lo que para analizar qué se cuece en esa interfaz puedes poner (como root):

sudo tcpdump -i tun0

Pones tu contraseña y vas viendo en tiempo real las conexiones.

Si tu wifi es wlp12s0 pues sería entonces:

sudo tcpdump -i wlp12s0

Analiza un poco lo que ves, al principio te puede resultar difícil pero aprende un poco y verás que es más sencillo de lo que creías. Es muy poderoso y te recomiendo leer un manual sobre este comando y sus opciones.

Es cierto que hay herramientas gráficas más sencillas para eso (Wireshark y otras) pero yo siempre he usado tcpdump y no me arrepiento.

Recuerda que también puedes pasar la salida a un archivo de texto para analizarlo tranquilamente después:

sudo tcpdump -i tun0 > red.txt

A veces puedes encontrar conexiones extrañas o no muy normales que conviene analizar. O algún servicio que usa tu GNU/Linux que te convendría encontrar y desactivar (sobre todo por ejemplo en Ubuntu).

Siempre es muy útil echar un ojo a lo que ocurre a tus espaldas y analizar el sistema también, como por ejemplo con lynis:

Escaneo rápido: sudo lynis -Q

o escaneo completo: sudo lynis -c

Analiza los resultados y sus consejos.