Acabo de cambiar de compañía y me acabo de llevar la desagradable sorpresa de que no puedo redirigir el puerto 22 en mi router HGU.
He leído mensajes que dicen "el puerto 22 está reservado para tareas de gestión en el router". ¿De verdad no se puede deshabilitar eso?
Cuando uno accede a máquinas remotas (algo que hago a diario) es un puerto básico que se usa.
Hola NoobInTheNet
Agradecemos a Theliel su colaboración, no se si te ha quedado alguna duda al respecto de lo que nos indicas.
Un saludo.
Fernando.
Buenas NoobInTheNet
Entiendo perfectamente que en tu caso concreto es necesario abrir específicamente el 22 externo para el honeypot, y como he dicho en otras ocasiones depende al final del HGU que se tenga, en algunos puede ser posible, en otros no.
En cualquier caso, y esto es una recomendación que he lanzado en muchas ocasiones a otros usuarios más "avanzados", es en esencia usar tu propio Router. Esto son Router residenciales pensados para el 99% de los usuarios, obviamente no son adecuados para usuarios con necesidades específicas. No somos pocos los que usamos nuestro propio equipo, yo mismo uso mis propios dispositivos.
Es más, si además entramos en cuestiones de seguridad, no le veo el menor sentido usar el Router del ISP en la red de uno, a menos que sea literalmente con fines didácticos y de pruebas. Te recomiendo usar tu propio Router. O incluso mejor aun, si te gusta el mundillo realmente de la seguridad, siempre puedes "colarte" en el HGU para realizar manualmente la redirección pertinente, a fin de cuenta los HGU (cualquier Router en general) no deja de ser un sistema informático más. En el pasado iba explicando como ir accediendo a los diferentes HGU, pero me cansé sinceramente de ir jugando al ratón y al gato y dejé de publicar nada, Pero en cualquier caso con un poco de ingenio no resulta demasiado complicado domesticar como dios manda el Router de un ISP al que tenemos acceso.
Saludos.
Buenas Theliel,
Yo estoy teniendo un problema similar al que tuvo zandolf con lo relacionado con el puerto 22, y es que como comento en mi hilo tengo un Honeypot corriendo en mi red ya que soy estudiante de máster de ciberseguridad y es estrictamente necesario tener una redirección del puerto 22 (externo) al puerto 22 (interno) de mi Honeypot. Hace bastantes meses en torno a marzo esta redirección funcionaba correctamente en mi HGU pero ayer cuando volví a re-abrir dicho puerto, no se ve desde fuera. Sin embargo si pongo otro puerto (p.e. el puerto 24) se ve correctamente el Honeypot desde fuera.
Respecto a la solución que da zandolf :
"En el mantenimiento del router -> Remote MGMT, en la parte de ssh, está especificado el puerto 22 para acceder remotamente a la configuración del router. Si ahí se pone otro puerto, ya se puede redireccionar el puerto 22 sin problema a través de NAT."
No veo dicha configuración en mi HGU (RTF8115VW) y por lo tanto no se como liberar ese puerto 22 SSH de configuración remota del router (no la necesito, tengo una VPN montada) para uso local.
¿Hay alguna solución para dejar libre el puerto 22 para NAT? ¿Quizás un reseteo de fábrica del router?
Muchas gracias de antemano a todos,
Un saludo, NoobInTheNet.
Buenas zandolf
En lo relativo a que se pueda modificar, depende del HGU como ya dije, esa sección creo recordar que solo la tiene el mitrastar, el resto no.
En lo relativo a que dices de que discrepas de que sería o no sería seguro exponerlo... En primer lugar, el Router lo usa por defecto, pero tiene reglas en el Firewall que impiden el acceso a él a menos que el origen sea específicamente los equipos de gestión de Movistar, con lo que sigue siendo seguro porque para el resto de la humanidad el acceso está totalmente cerrado. De verdad crees que alguien va a exponer el puerto 22 hacia el exterior sin medidas importantes de seguridad? Nadie lo haría :). Y en segundo lugar, aun cuando Movistar cayese en el tremendo error de dejar el acceso a SSH de forma indiscriminada y expuesto a todos, tampoco invalidaría lo que he dicho, sería una irresponsabilidad enorme!! Que como digo no es el caso porque tan solo está disponible para equipos concretos de Movistar.
Con respecto al puerto 443/80, realmente te digo exactamente lo mismo que te decía sobre el 22. Hablamos de Router domésticos que son para redes domésticas. No son dispositivos altamente seguros ni están preparado para ello, nadie los usaría si te tomas mínimamente en serio la seguridad.
Así que si asumimos un usuario doméstico solo caben dos escenarios:
El primero, es un servidor Web para uso particular/privado, como mucho para familiares quizás: Un NAS, algún dispositivo IoT... y para ello puedes usar sin ningún tipo de problema otro puerto, el que te de la gana, jamás recomendaría usar los puertos por defecto, sería igualmente una locura. Solo tienes que pasarte por los foros de Synology, QNAP, Netgear... sobre los NAS domésticos, y verás el sin fin de usuarios con todo el NAS cifrado por ransomware, principalmente por exponerlos sin las mínimas medidas de seguridad 🙂
El segundo caso es un usuario doméstico que quiere abrir un servidor Web o un dispositivo domótico a toda Internet y por ende no cabría pensar en usar otro puerto que no fuese el 443/80. En este caso particular, simplemente le diría a ese usuario: Suerte chico, antes de que te des cuenta tienes equipos en tu red "zombificados" por hackers.
Eso no significa que no se puedan usar dichos puertos por defecto en multitud de escenarios. Claro que sí, pero escenarios donde no son ni mucho meno usos domésticos, y donde menos aun se usan dispositivos proporcionados por el ISP que gestionan y manejan completamente ellos y donde la seguridad no es su punto fuerte, y donde el usuario además no tiene conocimientos avanzados y no puede o no sabe como realmente asegurar los servicios. Lo siento, pero no veo un proveedor de hosting/servidores usando un Router doméstico 🙂
Saludos.
PD: Obviamente, cada cual es libre de hacer lo que le de la gana, solo es un consejo, repito que solo tiene que pasarse uno por cantidad de foros de fabricantes para que cuenten sus experiencias con dispositivos pirateados por exponerlos en Internet. Y no digo que no se puedan exponer, digo que de hacerlo, hacerlo con un mínimo de luces.
Hola:
Pues resulta que finalmente sí se puede conseguir.
Lo del puerto 22 tiene un pase porque efectivamente se puede hacer un ssh por otro puerto de forma fácil, pero es que me encontré con el mismo problema para el puerto https 443 lo cual ya no es aceptable. No es razonable hacer conexión https a un servidor interno a través de otro puerto.
En el mantenimiento del router -> Remote MGMT, en la parte de ssh, está especificado el puerto 22 para acceder remotamente a la configuración del router. Si ahí se pone otro puerto, ya se puede redireccionar el puerto 22 sin problema a través de NAT.
Por cierto, Theliel, discrepo con lo que dices de no abrir el puerto por defecto 22 como medida de seguridad para evitar ataques exteriores. Esto sería cierto si el puerto 22 estuviese cerrado, pero en realidad está abierto para acceder a la configuración del router mediante ssh.
Hola zandolf.
No hemos recibido más comunicaciones por tu parte, por lo que creemos que no necesitas más ayuda. Por nuestra parte procedemos al cierre de este hilo. Para cualquier duda o consulta, ya sabes dónde encontrarnos.
Un saludo.
Angela.
Hola zandolf
Gracias por remitirnos tu consulta y bienvenido a la Comunidad Movistar.
Agrademos a Marcos2016 y a Theliel su colaboración. Esperamos que la información facilitada te haya resultado de utilidad.
Un saludo.
Fernando.
Buenas zandolf
El Router lo usa para el servidor SSH interno, y dado que la interfaz Web no permite su administración, "no se puede". Realmente en casi todos los HGU se puede trampear y sortear esto con diferentes técnicas, pero en cualquier caso tampoco es algo importante, de hecho desde mi punto de vista es hasta positivo para los usuarios menos avanzados, puesto que previene el exponer un servicio clave de cualquier dispositivo hacia Internet. La mayor defensa que ahora mismo tenemos frente a cualquier tipo de ataques externo es el no exponer un servicio hacia fuera, y cuando es totalmente necesario, hacerlo por sus puertos por defecto es una barbaridad, a menos que tengas equipos bien configurados y decentes para impedir esto... lo cual, en caso de ser necesario chocaría directamente de lleno con el usar el Router del ISP para tales cuestiones. Es decir, que si la seguridad y versatilidad es una necesidad, nadie va a tener el Router que por defecto instala el ISP, que es un Router que gestionan, administra... y del que no se tiene un control total.
Así que usa simplemente un puerto externo alto arbitrario y listo, es infinitamente más seguro, y no impide el uso de servidores SSH ni mucho menos.
