@Técnico-Movistar 

No. Como os decía en un  mensaje anterior, el último ataque se produjo a las

06:55. Desde entonces no he tenido caonstancia de ningún otro ataque.

Si me podeis decir, via mensaje privado cual ha sido vuestra actuación sobre el router, os lo agradeceria. Me gustaría tenerla en cuanta en caso de reseteo.

Gracias.

Buenas @chemag 

En realidad es tremendamente sencillo solucionar/estudiar tu caso.

-Primero y principal sería, que Router (marca y modelo) tienes instalado.

-Lo segundo, cuando tenías en su día redirección al puerto 22 del servidor interno, era una redirección 22->22 o XXXX > 22?

-Has reseteado el Router?

El ruído de fondo en Internet es enorme, cualquier puerto expuesto al exterior, en cuanto pasen unos días va a estar siendo bombardeado por todo tipo de botnes para busca puertos abiertos, viulnerabilidades y otros. Obviamente renovando la IP esto cesa, un tiempo. Registro por seguridad todas las conexiones a puertos sensibles aun cuando no los uso, y llevo creando desde hace años un listado propio de IPs y rangos IPs de redes bot, que simplemente añado a un script en mi Router para bloquear todo lo que vengan de ellas. Pero el ruído es siempre enorme, y más repito si es un puerto "sensible". Para que te hagas una idea:

Theliel@Avalon:/tmp/home/root# iptables -nvL INPUT
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
3309 143K DROP all -- * * 0.0.0.0/0 0.0.0.0/0 match-set blacklist src

Algo más de 3300 paquetes bloqueados en algo más de un día que reinicié el Router, y es en INPUT, es decir, intentos de dichas IPs de acceder a algo. Si diesen con algún puerto en concreto, pasaría a la cadena FORWARD, y una vez detectado en vez de 3300 se podrían contar por cientos o miles de veces más.

@Theliel 

Te envío un mensaje privado.

Si te es útil te envío mi lista de IPs atacantes, pero por lo que cuentas ya las tendrás incluidas.

De todos modos, se la envié a Memesis por si les es de utilidad.

Buenas @chemag 

Si el supuesto problema es simplemente si una redirección de puertos persiste después de eliminarse, se puede comprobar también de  forma simple, basta con abrir cualquier servicio puntual en cualquier equipo, hacer un mapeo, borrarlo, y hacer un scan de puertos, y ver si sigue abierto o cerrado.

¿Que Marca/Modelo es? Tengo acceso y control de varios equipo de Movistar, si es cualquiera de ellos puedo comprobarlo en cuestión de segundos a través de Shell y ver si realmente las reglas son creadas/eliminadas correctamenta. Por otro lado, desde donde has creado los mapeos, desde la interfaz reducida, la completa o Alejandra.

Hola @chemag.

Vemos que @Theliel (gracias por la aportación) te ha asesorado  en relación a tu consulta. ¿Has podido llevar a cabo las indicaciones señaladas?.

Un saludo.

Carmen

---

Si necesitas soporte técnico en averías de Móvil, Fijo, Movistar+ o Internet Fijo (cobre o fibra), puedes acceder a nuestro apartado de Soporte Técnico o rellenar este formulario. También puedes contactar con nosotros llamando al 1002.

 Si necesitas contratar Fibra Óptica, comprobar tu cobertura Adsl y Fibra, o ver información sobre la instalación de la fibra visita nuestra página ADSL y Fibra en movistar.es 

@Theliel, @Técnico-Movistar 

Perdona @Theliel, pero no ha habia llegado (o no la habia visto) la notificación de tu respuesta, y hasta que me ha llegado la del técnico, no he sido consciente.

Veo que debe tener un conocimiento profundo de los routers de Movistar.

El problema, como he expuesto, desde mi punto de vista, es que parece que estan llegando intentos de conexión al puerto 22, cuando esta redireccion está deshabilitada en la configuración de puertos en el router, y queria que los técnicos comprobasen que asi es.

Supongo que lo habrán hecho y comprobado que la redirección está deshabilitada.

Algo han debido hacer porque como le dije, mi log refleja que cambió la IP externa [yo no fui 🙂 ].  Pedi a los técnicos, via mensaje privado, que me contasen que habían hecho, pero no me han contestado. También, como le dije, los intentos de conexión habian cesado de motu propio (no se la razón) como unas ocho horas antes de esa actuación.

Yo ya tengo comprobado de otras veces (no es la primera vez que me pasa, ni la segunda), que si cambia la IP, cesan los intentos.

Como he indicado, también antes, en el hilo, actualmente no tengo necesidad de mantener la redirección en las tablas del router, si ao mantengo es simplemente para ver si hay intentos de penetración (que como dice Vd. es parte de ruido de internet) exitosos, que parece que los hay de vez en cuando, e indicar un posible fallo de seguridad.

Parece que este interés en la seguridad no parece compartido por nadie salvo por Vd, al menos nadie me ha pedido información adicional, ni me ha informado de pruebas que se hayan realizado o medidas que se estén tomando.

Yo he pensado en instalar un sniffer en el servidor, por ampliar la informacion facilitada, pero no he sido capaz de encontrar una versión para el mismo.

Se que todo el tema de seguridad es muy reservado y restringido, pero no tengo otra vía de informar de la situación.

Le agradezco su oferta de comprobar mi router. La próxima vez que me aparezcan los ataques, me pondré en contacto, via mensaje privado, para que pueda realizar las pruebas que considere oportunas, no obstante, por aquello de la ingeniería social, me gustaria que los administradores de foro avalasen su colaboración. Disculpe la desconfianza, pero parece que va inevitablemente asociada al ambito de la seguridad.

Antes de que se me olvide, la configuración del puerto y su desabilitación (no borrado), se realizó via acceso red interna en el menú que ofrece el router ( no soy capaz de distinguir entre reducida o completa, o mi router no la ofrece).

Un saludo y muchas gracias.

@Theliel 

Hola de nuevo @Theliel ,

Permiteme compartir un brainstorm sobre el problema.

Como bien dices, la red está llena de ruido, de gente realizando scaners de puertos.

Por esta razón, el problema, no puede ser que simplemente,  un comando telnet o ssh, pase a través del router, porque en ese caso habría cientos de miles de intentos de conexión constantemente, así que lo que sea tiene que ser bastante mas elaborado y complejo.

Durante la ventana de ataque le pedí ha un amigo que hiciese un intento de conxión, via telnet y SSH, para comprobar si atravesaba el router, y no tuvo contestación, y a mi no me apareció en el log. No profundicé mas.

Un saludo.

Buenas @chemag 

Un fallo en la firmware podría (en caso de que existiese repito) dejar el puerto abierto pese estar deshabilitada la regla. Este escenario es potencialmente posible, y es sencillo de ver, basta con acceder por detrás al Router y ver si las reglas siguen presente o no en iptables. Obviamente si pese estar deshabilitadas las reglas siguen añadidas, es  un fallo en la firmware, no hay más.

Otra cosa totalmente diferente es que efectivamente el mapeo esté deshabilitado y las reglas eliminadas. Si la regla está eliminada cualquier equipo está de facto protegido por NAT. Existen técnicas para intentar (o lograr) saltarse la protección de un Firewall, por supuesto, pero recuerda que estás detrás de un dispositivo NAT, aun cuando se saltasen el Firewall del Router, no podrían alcanzar al equipo interno, no sabrían como llegar a él, para eso se requiere una redirección por fuerza, con lo que si asumimos que la redirección está deshabilitada, no hay camino para llegar al equipo.

-------------

Esto no cierra todas las puertas, hay otros dos escenarios no contemplados.

El primero, se trata de un ataque/técnica llamada "NAT Slipstream", en el que básicamente el equipo que hospeda cualquier servicio (en este caso un servidor SSH) accede a una web concreta maliciosa, y a través de JS y otras técnicas logra abrir un agujero en NAT, es decir, crea una redirección temporal a dicho equipo, permitiendo por ello el acceso remoto a dicho servidor, en este caso por SSH. Es una técnica bastante actual y relativamente compleja, pero se lleva usando de forma efectiva un tiempo.

El segundo, se trata de una "llamada" a casa. Es decir, NAT protege cualquier conexión entrante no solicitada, pero no evita cualquier conexión desde dentro.  Cualquier equipo comprometido dentro de la red podría estar "llamando" fuera, forzando la conexión remota.

---------------------------------------------

Hola @chemag

Agradecemos a @Theliel su colaboración. ¿Te ha quedado alguna duda al respecto?

Un saludo. 

Fernando.

---

Si necesitas soporte técnico en averías de Móvil, Fijo, Movistar+ o Internet Fijo (cobre o fibra), puedes acceder a nuestro apartado de Soporte Técnico o rellenar este formulario. También puedes contactar con nosotros llamando al 1002.

 Si necesitas contratar Fibra Óptica, comprobar tu cobertura Adsl y Fibra, o ver información sobre la instalación de la fibra visita nuestra página ADSL y Fibra en movistar.es 

Gracias, @Theliel , por tu interés.

>Un fallo en la firmware podría (en caso de que existiese repito) dejar el puerto abierto pese >estar deshabilitada la regla. Este escenario es potencialmente posible, y es sencillo de ver, >basta con acceder por detrás al Router y ver si las reglas siguen presente o no en iptables. >Obviamente si pese estar deshabilitadas las reglas siguen añadidas, es un fallo en la >firmware, no hay más.

No se como consultar la iptables que cita, pero puesto a curiosear, en el interface del router, en:

Configuracion avanzada -> Advanced setup -> NAT -> NAT -- Virtual Servers Setup

presenta algo que parece un resumen de las reglas de redirección, en el que las reglas desactivadas no aparecen. Aparecen todas las demas. Supongo que esto puede ser algún tipo de presentación de las IPtables que Vd. cita. Como nota, y respaldando su punto de vista, ninguna de las reglas supervivientes hace referencia al servidor atacado.

>Otra cosa totalmente diferente es que efectivamente el mapeo esté deshabilitado y las >reglas eliminadas. Si la regla está eliminada cualquier equipo está de facto protegido por >NAT. Existen técnicas para intentar (o lograr) saltarse la protección de un Firewall, por >supuesto, pero recuerda que estás detrás de un dispositivo NAT, aun cuando se saltasen el >Firewall del Router, no podrían alcanzar al equipo interno, no sabrían como llegar a él, para >eso se requiere una redirección por fuerza, con lo que si asumimos que la redirección está >deshabilitada, no hay camino para llegar al equipo.

Cierto, pero el hecho es que estan llegando.

Despertada ya la curiosidad, por su exposición, he seguido curioseando y en

Configuracion avanzada -> Advanced setup -> Security -> Ip Filtering,

hay una tabla, con una leyenda:

---------

By default, all incoming/outgoing IP traffic is droped/passed, but some IP traffic can be BLOCKED/ACCEPTED by setting up filters.

---------

En la que aparecen referencia al puerto 22, pero también sin destino.

No se que es, pero si tengo que apostar, lo haría por que está relacionada con el mantenimiento remoto por parte de Movistar.

-----------------------------------------------------

De los últimos dos escenarios que cita, el primero de ellos, lo veo improbable, porque desde ese servidor, nunca se accede, via web, al exterior. Sus servicios son, en un 99,9 % internos a la red local.

Respecto al último escenario, iniciar la llamada desde el interior, habría que considerar dos

aspectos.

El primero es que es un servidor de ficheros, y solo usa software del fabricante frecuentemente actualizado. No hay nada ajeno. Muy atrás en el tiempo quedó la necesidad de acceso remoto, que fué via VPN. Ahora rara vez accedo a él salvo, que mensajes de mantenimiento me lleven a echar una ojeada de supervisión.

El segundo punto, es que aceptando que se facilitase una sesión desde dentro, en principio no encuentro razón para que los ataques viniesen de un rango tan amplio de distintas IPs concentradas en el tiempo, y no desapareceria el problema por el hecho de cambiar la IP externa, o al menos no habría tanta separación temporal entre rachas de ataques, ¿Creo?.

¿Cesarían los ataques en caso de reinicializar el servidor?, Lo probaré la próxima vez.

En fin, esto es un brainstorming por mi parte. Ya le digo que solo soy un curioso (tenaz :-))sobre el tema de la seguridad.

Lo único que creo tener claro, en este momento, es que para penetrar se tiene que necesitar algo mas que un simple SSH al puerto, porque sino aparecerían reflejados muchos mas intentos y mas dispersos en el tiempo.

De nuevo, muchas gracias.

Buenas @chemag 

No, los datos que se imprimen en la sección citada de virtual servers o incluso por comandos en la shell reducida, tienen un ámbito muy reducido, y no reflejan realmente el estado real interno. De echo existen multitud de reglas "internas" en los HGU en iptables que nunca verás en la interfaz Web. En cualquier caso es raro que algo así suceda, debido a que el mapeo de puertos es algo extremadamente habitual por todos, y nos habríamos dado cuenta hace tiempo de que no funciona como es debido. Yo mismo tengo un HGU Askey, anteriormente un Mitrastar, y nunca vi un comportamiento erróneo en ello. Pero por supuesto la posibilidad existe, la forma más efectiva de verlo es simplemente en un caso similar, acceder internamente y echar un ojo a todas las reglas iptables en la tabla NAT.

Respecto a los ajustes dentro del apartado del Firewall de filter, son reglas siempre desde el punto de vista de lo que llamamos tráfico "entrante". Desde el punto de vista de un equipo hay 3 tipos de tráfico: Entrante, Saliente y Reenviado. Esto causa generalmente mucha confusión, porque se suele confundir el tráfico "entrante" como cualquier tráfico que va hacia tus equipos. El verdadero tráfico "Entrante" para un Router es el tráfico que va destinado al propio Router. Puede venir desde Internet o desde tu propia red local. El tráfico Saliente es el que sale de él generado por él. El tráfico "Reenviado" es el tráfico que el Router está tomando de una red y colocándolo en otro. Entender esto es de vital importancia. El Router por defecto bloquea TODO tráfico entrante que venga desde Internet, salvo el tráfico que haya sido solicitando antes desde el interior de la red y el Router mantenga en la tabla NAT, puesto que entonces el tráfico desde Internet es realmente tráfico Reenviado, es decir, que el origen es Internet y el destino es un equipo de la red local, cambio de red -> Reenviado, que es lo mismo que pasa cuando añadimos manualmente un puerto en VirtualServer

Por ende, las reglas en filter del Firewall son reglas relativas sólo (en estos equipos) al tráfico entrante, es decir, tráfico externo dirigido directamente al Router, para poder usar algún servicio de este, como acceso SSH (al router), acceso Web (al Router)... Las reglas por defecto que el Router tiene en dichos puertos es para permitir por defecto que los equipos de gestión de Movistar (de ahí que especifiquen IPs concretas) puedan tener acceso a dichos servicios de forma remota. Si dichas reglas se eliminan nadie puede acceder de forma externa a dichos servicios, o si se editan y suprime el origen de la conexión cualquiera podría conectarse a ellos. No hay una IP de destino porque la IP pública del Router es dinámica y puede variar, y no puedes meter en esas reglas como IP un equipo de la red local porque dicho tráfico no se está reenviado a la red local, hace referencia al propio Router.

De nuevo, @Theliel , muchas gracias.

Aprender y ampliar el conocimiento, para mi es toda una experiencia satisfactoria.

Si crees que puede ser interesante para tener mas datos la próxima vez, si me puedes contar, por el hilo o por privado, como visualizar las tablas IPtables, me gustaria.

Por mi parte, no creo que podamos, sacar mas, pero creo que parto de una vision mas amplia para una próxima vez, si es que esta se da.

He ampliado la supervisión de ataques a otro servidor, para ver si por un casual, también sufre ataques, pero como tiene cerrado el puerto no informa.

Si vuelven los ataques, me pondré en contacto contigo, si no tienes inconveniente, para en caliente, intentar ir acotando el problema.

Ha sido un placer recibir tu apoyo.

Un saludo.

PD: @Técnico-Movistar, puedes dar el hilo por satisfactoriamente contestado / respondido.