Foro

Yo probé el VDSL

28-10-2020

Resuelto

Ataques SSH, puerto 22, a través del router

Estos días atrás he estado sufriendo una oleada de ataques via SSH, puerto 22, a un servidor NAS en mi red interna. Cuando empezó, tenía redirigidos unos puertos externos a los puertos 21, 22. T...

Técnico-Movistar
06-02-2021
Hola chemag

Nos alegramos que la información facilitada por Theliel (a quien reiteramos nuestro agradecimiento por su colaboración) te haya servido de ayuda. Por nuestra parte cerramos el hilo. Si te volviera a surgir, esta u otra incidencia o duda, confirmalo en un nuevo hilo y te atenderemos encantados.

Un saludo.

Fernando.

chemag

Yo probé el VDSL

04-02-2021

Theliel, Técnico-Movistar

Perdona @Theliel, pero no ha habia llegado (o no la habia visto) la notificación de tu respuesta, y hasta que me ha llegado la del técnico, no he sido consciente.

Veo que debe tener un conocimiento profundo de los routers de Movistar.

El problema, como he expuesto, desde mi punto de vista, es que parece que estan llegando intentos de conexión al puerto 22, cuando esta redireccion está deshabilitada en la configuración de puertos en el router, y queria que los técnicos comprobasen que asi es.

Supongo que lo habrán hecho y comprobado que la redirección está deshabilitada.

Algo han debido hacer porque como le dije, mi log refleja que cambió la IP externa [yo no fui 🙂 ]. Pedi a los técnicos, via mensaje privado, que me contasen que habían hecho, pero no me han contestado. También, como le dije, los intentos de conexión habian cesado de motu propio (no se la razón) como unas ocho horas antes de esa actuación.

Yo ya tengo comprobado de otras veces (no es la primera vez que me pasa, ni la segunda), que si cambia la IP, cesan los intentos.

Como he indicado, también antes, en el hilo, actualmente no tengo necesidad de mantener la redirección en las tablas del router, si ao mantengo es simplemente para ver si hay intentos de penetración (que como dice Vd. es parte de ruido de internet) exitosos, que parece que los hay de vez en cuando, e indicar un posible fallo de seguridad.

Parece que este interés en la seguridad no parece compartido por nadie salvo por Vd, al menos nadie me ha pedido información adicional, ni me ha informado de pruebas que se hayan realizado o medidas que se estén tomando.

Yo he pensado en instalar un sniffer en el servidor, por ampliar la informacion facilitada, pero no he sido capaz de encontrar una versión para el mismo.

Se que todo el tema de seguridad es muy reservado y restringido, pero no tengo otra vía de informar de la situación.

Le agradezco su oferta de comprobar mi router. La próxima vez que me aparezcan los ataques, me pondré en contacto, via mensaje privado, para que pueda realizar las pruebas que considere oportunas, no obstante, por aquello de la ingeniería social, me gustaria que los administradores de foro avalasen su colaboración. Disculpe la desconfianza, pero parece que va inevitablemente asociada al ambito de la seguridad.

Antes de que se me olvide, la configuración del puerto y su desabilitación (no borrado), se realizó via acceso red interna en el menú que ofrece el router ( no soy capaz de distinguir entre reducida o completa, o mi router no la ofrece).

Un saludo y muchas gracias.

chemag

Yo probé el VDSL

04-02-2021

Theliel

Hola de nuevo Theliel ,

Permiteme compartir un brainstorm sobre el problema.

Como bien dices, la red está llena de ruido, de gente realizando scaners de puertos.

Por esta razón, el problema, no puede ser que simplemente, un comando telnet o ssh, pase a través del router, porque en ese caso habría cientos de miles de intentos de conexión constantemente, así que lo que sea tiene que ser bastante mas elaborado y complejo.

Durante la ventana de ataque le pedí ha un amigo que hiciese un intento de conxión, via telnet y SSH, para comprobar si atravesaba el router, y no tuvo contestación, y a mi no me apareció en el log. No profundicé mas.

Un saludo.

Técnico-Movistar
Responsable Técnico
06-02-2021
Hola chemag

Nos alegramos que la información facilitada por Theliel (a quien reiteramos nuestro agradecimiento por su colaboración) te haya servido de ayuda. Por nuestra parte cerramos el hilo. Si te volviera a surgir, esta u otra incidencia o duda, confirmalo en un nuevo hilo y te atenderemos encantados.

Un saludo.

Fernando.
chemag
Yo probé el VDSL
05-02-2021
De nuevo, Theliel , muchas gracias.

Aprender y ampliar el conocimiento, para mi es toda una experiencia satisfactoria.

Si crees que puede ser interesante para tener mas datos la próxima vez, si me puedes contar, por el hilo o por privado, como visualizar las tablas IPtables, me gustaria.

Por mi parte, no creo que podamos, sacar mas, pero creo que parto de una vision mas amplia para una próxima vez, si es que esta se da.

He ampliado la supervisión de ataques a otro servidor, para ver si por un casual, también sufre ataques, pero como tiene cerrado el puerto no informa.

Si vuelven los ataques, me pondré en contacto contigo, si no tienes inconveniente, para en caliente, intentar ir acotando el problema.

Ha sido un placer recibir tu apoyo.

Un saludo.

PD: Técnico-Movistar, puedes dar el hilo por satisfactoriamente contestado / respondido.
Theliel
Yo probé el VDSL
05-02-2021
Buenas chemag

No, los datos que se imprimen en la sección citada de virtual servers o incluso por comandos en la shell reducida, tienen un ámbito muy reducido, y no reflejan realmente el estado real interno. De echo existen multitud de reglas "internas" en los HGU en iptables que nunca verás en la interfaz Web. En cualquier caso es raro que algo así suceda, debido a que el mapeo de puertos es algo extremadamente habitual por todos, y nos habríamos dado cuenta hace tiempo de que no funciona como es debido. Yo mismo tengo un HGU Askey, anteriormente un Mitrastar, y nunca vi un comportamiento erróneo en ello. Pero por supuesto la posibilidad existe, la forma más efectiva de verlo es simplemente en un caso similar, acceder internamente y echar un ojo a todas las reglas iptables en la tabla NAT.

Respecto a los ajustes dentro del apartado del Firewall de filter, son reglas siempre desde el punto de vista de lo que llamamos tráfico "entrante". Desde el punto de vista de un equipo hay 3 tipos de tráfico: Entrante, Saliente y Reenviado. Esto causa generalmente mucha confusión, porque se suele confundir el tráfico "entrante" como cualquier tráfico que va hacia tus equipos. El verdadero tráfico "Entrante" para un Router es el tráfico que va destinado al propio Router. Puede venir desde Internet o desde tu propia red local. El tráfico Saliente es el que sale de él generado por él. El tráfico "Reenviado" es el tráfico que el Router está tomando de una red y colocándolo en otro. Entender esto es de vital importancia. El Router por defecto bloquea TODO tráfico entrante que venga desde Internet, salvo el tráfico que haya sido solicitando antes desde el interior de la red y el Router mantenga en la tabla NAT, puesto que entonces el tráfico desde Internet es realmente tráfico Reenviado, es decir, que el origen es Internet y el destino es un equipo de la red local, cambio de red -> Reenviado, que es lo mismo que pasa cuando añadimos manualmente un puerto en VirtualServer

Por ende, las reglas en filter del Firewall son reglas relativas sólo (en estos equipos) al tráfico entrante, es decir, tráfico externo dirigido directamente al Router, para poder usar algún servicio de este, como acceso SSH (al router), acceso Web (al Router)... Las reglas por defecto que el Router tiene en dichos puertos es para permitir por defecto que los equipos de gestión de Movistar (de ahí que especifiquen IPs concretas) puedan tener acceso a dichos servicios de forma remota. Si dichas reglas se eliminan nadie puede acceder de forma externa a dichos servicios, o si se editan y suprime el origen de la conexión cualquiera podría conectarse a ellos. No hay una IP de destino porque la IP pública del Router es dinámica y puede variar, y no puedes meter en esas reglas como IP un equipo de la red local porque dicho tráfico no se está reenviado a la red local, hace referencia al propio Router.
chemag
Yo probé el VDSL
04-02-2021
Gracias, Theliel , por tu interés.
>Un fallo en la firmware podría (en caso de que existiese repito) dejar el puerto abierto pese >estar deshabilitada la regla. Este escenario es potencialmente posible, y es sencillo de ver, >basta con acceder por detrás al Router y ver si las reglas siguen presente o no en iptables. >Obviamente si pese estar deshabilitadas las reglas siguen añadidas, es un fallo en la >firmware, no hay más.

No se como consultar la iptables que cita, pero puesto a curiosear, en el interface del router, en:
Configuracion avanzada -> Advanced setup -> NAT -> NAT -- Virtual Servers Setup

presenta algo que parece un resumen de las reglas de redirección, en el que las reglas desactivadas no aparecen. Aparecen todas las demas. Supongo que esto puede ser algún tipo de presentación de las IPtables que Vd. cita. Como nota, y respaldando su punto de vista, ninguna de las reglas supervivientes hace referencia al servidor atacado.

>Otra cosa totalmente diferente es que efectivamente el mapeo esté deshabilitado y las >reglas eliminadas. Si la regla está eliminada cualquier equipo está de facto protegido por >NAT. Existen técnicas para intentar (o lograr) saltarse la protección de un Firewall, por >supuesto, pero recuerda que estás detrás de un dispositivo NAT, aun cuando se saltasen el >Firewall del Router, no podrían alcanzar al equipo interno, no sabrían como llegar a él, para >eso se requiere una redirección por fuerza, con lo que si asumimos que la redirección está >deshabilitada, no hay camino para llegar al equipo.

Cierto, pero el hecho es que estan llegando.

Despertada ya la curiosidad, por su exposición, he seguido curioseando y en
Configuracion avanzada -> Advanced setup -> Security -> Ip Filtering,
hay una tabla, con una leyenda:
---------
By default, all incoming/outgoing IP traffic is droped/passed, but some IP traffic can be BLOCKED/ACCEPTED by setting up filters.
---------

En la que aparecen referencia al puerto 22, pero también sin destino.
No se que es, pero si tengo que apostar, lo haría por que está relacionada con el mantenimiento remoto por parte de Movistar.
-----------------------------------------------------

De los últimos dos escenarios que cita, el primero de ellos, lo veo improbable, porque desde ese servidor, nunca se accede, via web, al exterior. Sus servicios son, en un 99,9 % internos a la red local.

Respecto al último escenario, iniciar la llamada desde el interior, habría que considerar dos
aspectos.
El primero es que es un servidor de ficheros, y solo usa software del fabricante frecuentemente actualizado. No hay nada ajeno. Muy atrás en el tiempo quedó la necesidad de acceso remoto, que fué via VPN. Ahora rara vez accedo a él salvo, que mensajes de mantenimiento me lleven a echar una ojeada de supervisión.

El segundo punto, es que aceptando que se facilitase una sesión desde dentro, en principio no encuentro razón para que los ataques viniesen de un rango tan amplio de distintas IPs concentradas en el tiempo, y no desapareceria el problema por el hecho de cambiar la IP externa, o al menos no habría tanta separación temporal entre rachas de ataques, ¿Creo?.
¿Cesarían los ataques en caso de reinicializar el servidor?, Lo probaré la próxima vez.

En fin, esto es un brainstorming por mi parte. Ya le digo que solo soy un curioso (tenaz :-))sobre el tema de la seguridad.

Lo único que creo tener claro, en este momento, es que para penetrar se tiene que necesitar algo mas que un simple SSH al puerto, porque sino aparecerían reflejados muchos mas intentos y mas dispersos en el tiempo.

De nuevo, muchas gracias.
Técnico-Movistar
Responsable Técnico
04-02-2021
Hola chemag

Agradecemos a Theliel su colaboración. ¿Te ha quedado alguna duda al respecto?

Un saludo.

Fernando.
Theliel
Yo probé el VDSL
04-02-2021
Buenas chemag

Un fallo en la firmware podría (en caso de que existiese repito) dejar el puerto abierto pese estar deshabilitada la regla. Este escenario es potencialmente posible, y es sencillo de ver, basta con acceder por detrás al Router y ver si las reglas siguen presente o no en iptables. Obviamente si pese estar deshabilitadas las reglas siguen añadidas, es un fallo en la firmware, no hay más.

Otra cosa totalmente diferente es que efectivamente el mapeo esté deshabilitado y las reglas eliminadas. Si la regla está eliminada cualquier equipo está de facto protegido por NAT. Existen técnicas para intentar (o lograr) saltarse la protección de un Firewall, por supuesto, pero recuerda que estás detrás de un dispositivo NAT, aun cuando se saltasen el Firewall del Router, no podrían alcanzar al equipo interno, no sabrían como llegar a él, para eso se requiere una redirección por fuerza, con lo que si asumimos que la redirección está deshabilitada, no hay camino para llegar al equipo.

-------------

Esto no cierra todas las puertas, hay otros dos escenarios no contemplados.

El primero, se trata de un ataque/técnica llamada "NAT Slipstream", en el que básicamente el equipo que hospeda cualquier servicio (en este caso un servidor SSH) accede a una web concreta maliciosa, y a través de JS y otras técnicas logra abrir un agujero en NAT, es decir, crea una redirección temporal a dicho equipo, permitiendo por ello el acceso remoto a dicho servidor, en este caso por SSH. Es una técnica bastante actual y relativamente compleja, pero se lleva usando de forma efectiva un tiempo.

El segundo, se trata de una "llamada" a casa. Es decir, NAT protege cualquier conexión entrante no solicitada, pero no evita cualquier conexión desde dentro. Cualquier equipo comprometido dentro de la red podría estar "llamando" fuera, forzando la conexión remota.

---------------------------------------------

Foro

Ataques SSH, puerto 22, a través del router

Contenido relacionado

ataques smart arp

ABRIR PUERTOS

Habilitar puertos cto