Ir a Empresas
Search
Open navigation

Puerto 80 (HTTP) abierto en mi IP pública

kaler0
Más integrado que la RDSI
Más integrado que la RDSI
‎10-09-2018 14:07

Puerto 80 (HTTP) abierto en mi IP pública
‎10-09-2018 14:07

Buenos días,

 

os escribo porque tengo contratada la Fibra ADSL con Movistar y, haciendo un escaneo de puertos a mi IP pública (obviamente, desde fuera de mi red local), veo que tengo abierto el puerto 80 (HTTP). Sin embargo, entrando por SSH a mi router y ejecutando el comando "firewallrule show", veo la siguiente tabla de reglas:

 

> firewallrule show
Incoming Rules:
Packet count   Name   Interface   Action   Reject type              Filter criteria 
0              Default_TR069   ppp0.1      Permit                            Protocol: TCP or UDP
                                                                    Src IP: 80.58.63.128
                                                                    Src Mask: 255.255.255.128
                                                                    Dst Port: 7547 : 7547
0              ICMP   ppp0.1      Permit                            Protocol: ICMP
                                                                    IcmpType: echo-request
0              SSH_22_Range1   ppp0.1      Permit                            Protocol: TCP
                                                                    Src IP: 80.58.63.128
                                                                    Src Mask: 255.255.255.128
                                                                    Dst Port: 22
0              SSH_22_Range2   ppp0.1      Permit                            Protocol: TCP
                                                                    Src IP: 172.20.25.1
                                                                    Src Mask: 255.255.255.0
                                                                    Dst Port: 22
0              SSH_22_Range3   ppp0.1      Permit                            Protocol: TCP
                                                                    Src IP: 172.20.45.1
                                                                    Src Mask: 255.255.255.0
                                                                    Dst Port: 22
0              SSH_22_Range4   ppp0.1      Permit                            Protocol: TCP
                                                                    Src IP: 193.152.37.192
                                                                    Src Mask: 255.255.255.240
                                                                    Dst Port: 22
0              HTTPS_443_Range1   ppp0.1      Permit                            Protocol: TCP
                                                                    Src IP: 80.58.63.128
                                                                    Src Mask: 255.255.255.128
                                                                    Dst Port: 443
0              HTTPS_443_Range2   ppp0.1      Permit                            Protocol: TCP
                                                                    Src IP: 172.20.25.1
                                                                    Src Mask: 255.255.255.0
                                                                    Src Port: 443
0              HTTPS_443_Range3   ppp0.1      Permit                            Protocol: TCP
                                                                    Src IP: 172.20.45.1
                                                                    Src Mask: 255.255.255.0
                                                                    Dst Port: 443
0              HTTPS_443_Range4   ppp0.1      Permit                            Protocol: TCP
                                                                    Src IP: 193.152.37.192
                                                                    Src Mask: 255.255.255.240
                                                                    Dst Port: 443
0              Telnet_23   br0           Drop                            Protocol: TCP or UDP
                                                                    Dst IP: 192.168.1.1
                                                                    Dst Mask: 255.255.255.255
                                                                    Dst Port: 23
0              FTP_21   br0           Drop                            Protocol: TCP or UDP
                                                                    Dst IP: 192.168.1.1
                                                                    Dst Mask: 255.255.255.255
                                                                    Dst Port: 21
0              Default_7547   br0           Drop                            Protocol: TCP or UDP
                                                                    Dst Port: 7547
0              Default_44401   br0           Drop                            Protocol: TCP or UDP
                                                                    Dst Port: 44401
0              Default_1990   br0           Drop                            Protocol: TCP or UDP
                                                                    Dst Port: 1990
0              FTP_21_IPv6   br0           Drop                            Protocol: TCP or UDP
                                                                    Dst v6 IP: FE80:0000:0000:0000:E241:36FF:FEB4:F2DC
                                                                    Dst v6 Prefix Length: 128
                                                                    Dst Port: 21
0              Telnet_23_IPv6   br0           Drop                            Protocol: TCP or UDP
                                                                    Dst v6 IP: FE80:0000:0000:0000:E241:36FF:FEB4:F2DC
                                                                    Dst v6 Prefix Length: 128
                                                                    Dst Port: 23

Outgoing Rules:
Packet count   Name   Interface   Action   Reject type              Filter criteria 
 > CLI exiting now.

Dado que desde hace un tiempo tengo fundadas sospechas de que alguien está espiando los datos de mi red local, me gustaría preguntaros por qué mi IP pública tiene abierto el puerto 80.

 

Gracias.

Mensaje 1 de 5
3.054 Visitas
0 votos
4 RESPUESTAS 4
lbeltran
Yo probé el VDSL
Yo probé el VDSL
‎24-09-2018 16:24

‎24-09-2018 16:24

Un puerto abierto no es necesariamente peligroso! 
Estas en riesgo solo si el programa que usa el puerto tiene códigos dañinos. Así que no hay una razón para cerrar todos los puertos en tu sistema. En realidad, sin tener puertos abiertos, simplemente no funcionaría internet!---->NO CIERRES EL PUERTO 80, SI LO CIERRAS NO PODRÁS NAVEGAR POR INTERNET.


Elige mi respuesta como solución si te ha servido. 😄
No trabajo para telefónica movistar, solo soy estudioso de las telecomunicaciones
Mensaje 2 de 5
2.977 Visitas
0 votos
Dracot
Yo probé el VDSL
Yo probé el VDSL
‎24-09-2018 16:58

‎24-09-2018 16:58

Amigo @lbeltran, de lo que expone el compañero se entiende que se refiere a las conexiones entrantes hacia su LAN, en las que obviamente y salvo que tenga un servidor web habilitado, no tiene motivo alguno para querer tener abierto el puerto 80, ni pierde Internet como dices si lo cierra.

 

Es más, eso que dices de "sin tener puertos abiertos, no funcionaría Internet" no es así, ya que sólo tienen necesidad de estar abiertos los puertos a la escucha (los que funcionan en una aplicación "servidor"), para navegación se asignan, abren (normalmente con "binding" para no poder ser usados por otro proceso) y cierran dinámicamente puertos aleatorios del sistema. Igualmente estoy en total desacuerdo en que "Estas en riesgo solo si el programa que usa el puerto tiene códigos dañinos", ya que más allá de eso, se pueden aprovechar vulnerabilidades, puedes publicar a Internet información privada, etc, por dar visibilidad pública a puertos que no debes. 

 

Pero quitando temas técnicos de carácter general, en lenguaje "de calle" normalmente cuando alguien habla de puertos abiertos se refiere a una de dos: o un servicio a la escucha en el router o puerto redireccionado a un equipo de la LAN. En el caso que nos ocupa, y suponiendo que no exista ninguna regla NAT que redireccione el puerto 80 a un PC de la LAN, no debería estar abierto, ya que el único sentido sería la gestión vía web del router desde Internet, y esto no debe estar activo (Movistar gestiona desde red por TR069 y el usuario como mucho debería gestionar por HTTPS en puerto 443, jamás por HTTP en puerto 80. Y ya por 443 en WAN es delicado...yo no lo haría).

 

Yo verificaría que no hay ninguna regla NAT para este puerto hacia una máquina de la LAN. Caso negativo, verificaría que no haya ninguna máquina configurada como DMZ (esto también redireccionaría el puerto aunque no haya server activo en ese hosts). Si también es negativo, haría pruebas desde el exterior por HTTP a ver si el puerto realmente está aceptando conexiones o puede ser aprovechado para alguna vulnerabilidad.

 

Hago hincapié en el tema de redireccionamiento porque en las reglas de firewall que nos muestra @kaler0, se ven reglas de "Incoming" y "Outgoing", pero no de "forwarding", lo que me hace pensar que son reglas aplicadas sólo al trafico cuyo origen/destino dea el propio router, pero no aplicadas a tráfico de tránsito LAN<->WAN.

 

Saludos

 

 

Mensaje 3 de 5
2.973 Visitas
0 votos
Técnico-Movistar
Técnico Banda Ancha
Técnico Banda Ancha
‎27-09-2018 17:06

‎27-09-2018 17:06

Hola kaler0 bienvenid@ a la Comunidad Movistar:

 

Tal como indica Dracot, gracias por tu aportación, no tiene motivo alguno para querer tener abierto el puerto salvo que tenga un servidor web habilitado y no pierde Internet si lo cierra. Debes verificar que no hay ninguna regla NAT para este puerto hacia una máquina de la LAN, Caso negativo, verificar que no haya ninguna máquina configurada como DMZ, Si también es negativo, haz pruebas desde el exterior por HTTP a ver si el puerto realmente está aceptando conexiones o puede ser aprovechado para alguna vulnerabilidad.

 

Saludos. M. Carmen.


Si necesitas soporte técnico en averías de Móvil, Fijo, Movistar+ o Internet Fijo (cobre o fibra), puedes acceder a nuestro apartado de Soporte Técnico o rellenar este formulario. También puedes contactar con nosotros llamando al 1002.

 Si necesitas contratar Fibra Ópticacomprobar tu cobertura Adsl y Fibrao ver información sobre la instalación de la fibra visita nuestra página ADSL y Fibra en movistar.es 

Solución aceptada.png
Mensaje 4 de 5
2.946 Visitas
0 votos
Técnico-Movistar
Técnico Banda Ancha
Técnico Banda Ancha
‎04-10-2018 17:54

‎04-10-2018 17:54

¡Hola kaler0!

 

Desde mi respuesta a tu incidencia no he recibido contestación, por lo que entiendo que se ha solucionado tu incidencia.Procedo a cerrar el hilo.

 

Te agradezco que te hayas puesto en contacto con la comunidad de movistar y estaré encantado de poder ayudarte para futuras incidencias.

 

Un saludo.

 

Samuel


Si necesitas soporte técnico en averías de Móvil, Fijo, Movistar+ o Internet Fijo (cobre o fibra), puedes acceder a nuestro apartado de Soporte Técnico o rellenar este formulario. También puedes contactar con nosotros llamando al 1002.

 Si necesitas contratar Fibra Ópticacomprobar tu cobertura Adsl y Fibrao ver información sobre la instalación de la fibra visita nuestra página ADSL y Fibra en movistar.es 

Solución aceptada.png
Mensaje 5 de 5
2.929 Visitas
0 votos