Apertura de puertos externos 80 y 443

Hola colosoderodas 

Nos alegra saber que ya se ha dado solución a la avería y te agradecemos que lo hayas compartido con nosotros. Por nuestra parte procedemos a cerrar este hilo.

Para cualquier otra duda o consulta ya sabes donde encontrarnos.

Un saludo.

Juan S.

Al final lo solucioné reconfigurando las interfaces por mi cuenta.

Decidí no seguir la discusión con Theliel porque se estaba haciendo muy larga, pero en resumen: decirle a los usuarios que no usen el puerto 80 y el 443 es absurdo sin conocer cada caso. Literalmente para leer esta conversación estáis usando esos puertos. Simplemente es cuestión de que quien lo quiera usar sepa cómo gestionar la seguridad de sus dispositivos. Llevo 15 años con un servidor web doméstico abierto sin problema.

Saludos

Hola colosoderodas 

No hemos tenido respuesta tuya en unos días, entendemos que no tienes ninguna consulta más por lo que cerramos este hilo. Si no es así, o tienes cualquier duda/incidencia estamos a tu disposición. 

Un saludo.

María José

Buenas colosoderodas 

Yo no he dicho en ningún momento que no se puedan usar dichos puertos, he dicho que el Router por defecto usa esos puertos para sí mismos, y que de echo todos los HGU permiten de un modo u otro usarlos. Y que esto tampoco se hace con la seguridad en mente por parte de Movistar, simplemente es que el propio Router los usa para sí mismo. Algunos de los HGU tienen una sección específica para ello, y otros lo cambian directamente por uno diferente.

Y sí, obviamente al final es avisar, luego cada uno en casa haga lo que estime, por supuesto. De echo es el pan nuestro de cada día por aquí, de no pocos usuarios que usan su propio Router (yo mismo uso mis propios equipos). Y esto no es malo "per se", es malo cuando dichos usuarios, generalmente no avanzados, simplemente siguen un paso a paso que les ha dicho otro o leído en otro lado con supuestas esperanzas mágicas para lograr X, y que terminan con toda la red dada la vuelta. Otro ejemplo de esto es lo fructífero que están siendo los ataques indiscriminados de ramsonware y control a NAS domésticos, porque se pusieron de moda hace unos dos años, siguen estando de moda, y los dejan totalmente expuestos a internet, servicios conocidos, exploits que encuentran y Bingo, fiesta. Como recomendación digo siempre lo mismo, al igual que explico como cambiarlos, ahora, cada cual verá que hace en su casa :).

-------

Usar puertos cualesquiera, que no sean conocidos y a poder ser puertos altos, no aporta solo una cierta seguridad, de echo filtra más del  99% de los ataques indiscriminados, que a fin de cuenta son igualmente más del 99.99% que uno va a sufrir en su red. Esto igualmente se puede comprobar de un modo muy sencillo cualquiera que tenga un router propio o sepa acceder a la Shell interna de los HGU, y crear una simple regla iptables para loggear los paquetes dirigidos a uno u a otro, o incluso sencillamente con un honeypot.

Sí, por supuesto un usuario mal intencionado o una red zombi podría ir dedicándose a escanear todos los puertos de un dispositivo, pero esto tiene muchos muchos muchos problemas:

a) Tiempo. No es viable, 65535 puertos a través de internet puede llevarse un tiempo considerable para un solo dispositivo. Esto puede ser factible en objetivos concretos, pero nada más.

b) Tal repetición hace saltar la protección a día de hoy de cualquier Firewall mínimamente decente en cualquier Router.

Simplemente eso no se hace, lo que se hace por lo general es hacer escaneos muy concretos y selectivos, dependiendo de cuales son los objetivos. Por ejemplo, si tienen un a vulnerabilidad de día cero para Home Assistant, van a buscar tan solo el puerto 8123 de forma masiva, para ellos no es rentable ni efectivo escanear los 65535. Además, esto ni llama la atención ni suele hacer saltar alarmas. Y esto obviamente lo saben.

Aunque pueda parecer una tontería, animo a cualquiera con conocimientos que monten un honeypot o un Router que tengan una buena gestión sobre el, se pueden caer de espaldas. Y esto lo vemos de forma constante hacia puertos habituales y que suelen ser "jugosos", como 3389, 80, 443, 22, 21, 8080, 8123...

Por otro lado, dices que esto puede ser un problema por la mayor complejidad de las direcciones. No lo es realmente. Esto que digo se implementa de casi casi inmediata, no requiere ningún Router especial y solo conocimientos básicos. Simplemente es cambiar el puerto externo del Router, nada más. Sí, ahora dependiendo del servicio hay que especificar el puerto, pero estamos hablando de un uso doméstico y residencial, donde dicha URL o servicio a configurar las va a usar fundamentalmente uno en la casa, o dos, o 3-4 amigos, que no más, y la única diferencia es, en todo caso, poner midominio.es:62123. Una molestia mínima para cualquier usuario.

No digo que esto sea lo ideal ni mucho menos para entornos donde tienen que estar funcionado 24/7 y son públicos. Pero es que cuando se requiere ese grado de exposición no tiene mucho sentido usar los equipos del ISP para empezar

Sobre IPv6, en sí mismo puede ser un problema y muy importante de seguridad. Te pongo un ejemplo sencillo con la red móvil.

Movistar ya terminó de desplegar por ejemplo IPv6 en su red móvil, con doble pila. Y sí, nos asignan una IPv6 pública totalmente enrutable. Y esto para un móvil/tablet lejos de ser una ventaja puede ser un problema muy gordo. Dado que el uso de IPv6 aun es marginal, la inmensa mayoría de dispositivos no están preparados en cuanto a seguridad se refiere para estar expuestos completamente a Internet. Con IPv4 no tenemos ese problema, de echo el uso de CGNAT ha protegido a innumerables dispositivos. Pero con IPv6 si estamos expuestos, y repito, esto es un problema.

El uso de IPv6 en la inmensa mayoría de dispositivos móviles/tablets  causa varios problemas importante:

1º. El Dispositivo tiene expuestos a Internet servicios que nunca debería de tener expuestos. Esto es debido a que la inmensa mayoría no poseen un FW real preparado para esto. Por ponerte un ejemplo sencillo, hace ya algunos años, a modo de prueba de concepto, escribí sobre lo sencillo que me había sido poner en jaque y tener acceso a miles de dispositivos iPhone, simplemente empezando por buscar en toda la red móvil de Movistar un par de puertos concretos de estos. Al estar expuestos a Internet de forma directa, tenía control completo de ellos.

2º. Al estar expuesto directamente a Internet, el dispositivo está recibiendo ruido desde Internet constantemente, lo que hace que el dispositivo se esté despertando mucho más frecuentemente, haciendo que el consumo de batería sea sensiblemente mayor. Quien quiera comprobar esto de forma simple, que configure en su movil el APN alternativo de Movistar que no usa CGNAT, verá el incremento tan enorme de batería.

-------------

Es cierto que dar con una dirección IPv6 se antoja algo más complicado, pero no lo es. Cada web, servicio, aplicación... vamos dejando nuestro rastro. De echo hasta hace dos días prácticamente me era casi automático lograr la IP real de quien fuese por Whatsapp.

También se podría evitar con un FW real, pero a día de hoy esto no es posible en terminales iOS/Android, a menos que lo tengas Jailbreak con un FW real, o Rooteado con un FW real. Ambos se antojan complicado para la inmensa mayoría de usuarios. Y para colmo de males, al menos en Android puedes deshabilitar IPv6 en el APN a voluntad, en iOS es harto más complicado, requieres de un configurador externo, crear el perfil, cargarlo en el teléfono...

Por otro lado, también es totalmente inútil este proceder, a día de hoy es absolutamente necesario IPv4, de ahí a que usemos doble pila. Así que a menos que sacrificases IPv4 y usar tan solo IPv6, usas tb de forma simultánea IPv4, y lo normal es que los servicios estén levantados por la misma razón en ambos protocolos, con lo que no ganas mucho que digamos.

--------

En cualquier caso, y a modo de curiosidad simplemente, te invito a configurar en tu red un honeypot si no tienes posibilidad de acceder internamente al Router, lo dejes funcionando unos días, y eches un ojo... la diferencia es abrumadora.

No, no es una solución ni mucho menos impenetrable, pero de facto filtra casi todo mal. Si a eso le añades por ejemplo un filtrado regional...

Saludos.

En un entorno doméstico ni los usuarios tienen conocimientos ni los equipos necesarios para protegerse de Internet.

No está mal como regla general, pero asumir que los usuarios no tienen los conocimientos necesarios y responderles con un "no se puede abrir los puertos" (no siendo esto cierto) no es una buena filosofía general. Como poder se puede, simplemente hay que hacer consciente al usuario de que si lo van a hacer necesitan unas nociones avanzadas de cómo adquirir y configurar el equipamiento necesario para evitar ataques de DNS spoofing, denegación de servicio, CVEs en su router si no tiene el firmware especializado... en fin, que si lo haga sepa a qué se expone.

---

Además, lo que dices que gracias al puerto 443 puedes mantener esta conversación tampoco es cierto, porque con independencia de lo que uses para ello, el puerto podría ser arbitrariamente cualquier otro y la seguridad de base sería mucho mayor.

---

Entiendo que te refieres a que si esta web estuviera en un puerto como comunidad.movistar.es:62185 no sería objeto de los ataques automáticos que peinan todo IPv4 en busca de puertos comunes con vulnerabilidades. Aunque eso aportaría cierta seguridad extra, volver así de complejas las URLs atenta contra los usuarios, sobre todo cuando hay formas más sencillas de volver la combinatoria mucho más compleja para los escáneres automáticos, empezando por usar IPv6, que no suponen ninguna complicación extra a la hora de escribir las URLs.

Buenas colosoderodas 

Si, como te decía se pueden cambiar o al mapearlos dependiendo del HGU los cambia automáticamente.

En cuanto a la seguridad, sí, es un problema, si partimos de la base de que todo comienza con un equipo doméstico que instalan los ISP. En un entorno doméstico ni los usuarios tienen conocimientos ni los equipos necesarios para protegerse de Internet. Además, lo que dices que gracias al puerto 443 puedes mantener esta conversación tampoco es cierto, porque con independencia de lo que uses para ello, el puerto podría ser arbitrariamente cualquier otro y la seguridad de base sería mucho mayor.

En cualquier caso me alegro lo tengas solucionado.

Hola colosoderodas 

Vemos que estás siendo asesorado por Theliel (a quien damos las gracias por sus aportaciones en el foro). Esperamos que esta información te sirva de ayuda. ¿Te ha quedado alguna al respecto?

Un saludo. Mª Jesús. 

Buenas colosoderodas 

Con total independencia del resto, no es una idea muy buena exponer servicios conocidos como los puertos 80/443 (y esto es aplicable a cualquier otro puerto/servicio habitual) a Internet, a menos que quieras que antes o después un hacker esté controlando tu servidor (en este caso). Para uso "doméstico", usar puertos externos conocidos es pegarse un tiro en el propio pie, es una barbaridad sinceramente, sin tener conocimientos avanzados para proteger como es debido la red de uno... y si usamos el Router del ISP, pues ya nos está diciendo que no estamos tomando las medidas necesarias. Además, teniendo soluciones sencillas y seguras... que tb evitan este problema.

Dicho eso, en realidad tu mismo te has respondido, aunque descartaste la opción al realizar una prueba errónea. La cuestión de base es que el puerto 80/443 ya los usa el Router, como has dicho, para la interfaz Web, para él mismo.

"También he probado a mapear a un puerto interno distinto (por ejemplo 80 externo a 81 interno y 443 externo a 444 interno), por si era un conflicto con la interfaz web de administración"

Es que así no pruebas ningún tipo de conflicto con el Router. El puerto externo es el del Router, el puerto Interno es el de tu equipo. Lo que hay que hacer es lo contrario, mapear por ejemplo el 20000 externo al 443 interno, y por ejemplo el 20001 externo al 80 interno.

El Router ya usa por defecto para él estos puertos, con lo que si se intenta de forma externa acceder a ellos, acaba el tráfico en el Router, no en tu servidor.

Es cierto que depende del HGU que se tenga, se puede cambiar el puerto que va a usar el Router, para poder incluso usar estos puertos de forma externa. Pero repito que esto no es adecuado, es una barbaridad. Para un entorno "doméstico", donde importa poco el puerto, como seguridad mínima es usar como puerto externo un puerto alto, da igual que el interno siga  usando el servidor el 443 o el 80, pero al menos queda oculto para el 99% de los ataques indiscriminados.

Saludos.