Accesos a sistemas informáticos de terceros en Internet

Accesos a sistemas informáticos de terceros en Internet

Hola. Escribo en el foro porque desde hace 3 meses trabajo para una compañía en la que estamos teniendo problemas con la IP. En esta compañía tenemos 15 ordenadores, 1 servidor con Ubuntu Server alojando una pagina web administrativa de la empresa, y algunos móviles conectados al Wifi.

 

El problema surgió porque desde los ordenadores no nos dejaba acceder a algunas páginas web que tenemos hosteadas con banahosting. A raíz de ese problema, empecé a investigar, y di con que nuestra IP está en varias listas negras. Luego de eso, envié un mensaje al centro Nemesys para preguntar por qué estabamos en listas negras, y me respondieron que han enviado mensajes a un correo antiguo de la empresa desde hace más de 3 años por la misma razón. El problema venía de mucho antes de que yo estuviese, evidentemente. Cambié el correo que Nemesys tenía de la empresa por otro y desde entonces recibo allí los correos de abusos. También desde entonces estoy tratando de dar con la solución, pero nada aún. Lo hecho hasta ahora:

 

1- Pasé antivirus en todos los ordenadores. Todo bien.

 

2- Ensamblé un "servidor proxy" interno para filtrar todas las conexiones de los ordenadores internamente. Es decir, antes todos estaban conectados a un switch, y ese switch al router con el problema de la IP. Ahora, instalé ese proxy, el mismo está conectado al switch, y todos los ordenadores tienen asignados una IP estática en ese Proxy (10.42.0.X), manejado por Ubuntu. Aún así, no quise tocar la conexión del servidor web, que es una maquina conectada directamente al router, así que este sigue con una IP estática directa desde el router; no pasa por el switch.

 

3- Desactivamos el WiFi en el router, en caso de que el problema esté en alguno de los móviles.

 

Yo no manejo el servidor, lo maneja un freelancer que tiene contratado la empresa, por lo que no he querido meterme con eso, aunque desde un principio mi sospecha siempre ha sido ese servidor.

 

Mediante el proxy monitoreo a diario todas las conexiones con Wireshark, pero no he visto ninguna conexión extraña con SSH, y he revisado todos y cada uno de los puertos que me han comentado en los correos de Nemesys. Entiendo que Wireshark no es la herramienta mas recomendada para eso, pero para no complicarme demasiado lo hice con la primera herramienta que tuve a mano. Filtro el puerto 22 junto con otra lista de puertos que tengo desde los correos de Nemesys.

 

El último paso en mi lista es también filtrar las conexiones de ese servidor web, pasándolas por el proxy y ver si hay suerte. Esto lo he tomado como el último porque requiere que yo modifique la configuración IP en ese servidor, para pasarlo por mi proxy, y además debo conectar ese servidor al switch y no al router, por lo que es tedioso hacerlo durante la semana, me toca un fin de semana.

 

Alguna recomendación acerca de qué hacer con este problema?

 

Mensaje 1 de 4
373 Visitas
3 RESPUESTAS 3
Re: Accesos a sistemas informáticos de terceros en Internet

Hola, yo hace años que no manejo Ubuntu Server, pero ahora uso Xubuntu (versión de Ubuntu) en el PC de ahora.

 

Yo creo que es problema del servidor que no está bien configurado  y que posiblemente el Kernel de utilice sea bastante antiguo y pueda haber problemas

 

En Ubuntu (y versiones) existe una utilidad llamada Ukuu que descarga el último Kernel disponible y permite eliminar los kernels anteriores.

 

En este momento se encuentra disponible el Kernel 5.0.4

 

Se actualiza el Kernel cada 15-20 días y para servidores es imprescindible, yo actualizo el Kernel mediante Ukuu y estoy bastante contenido, existe para terminal y GUI

 

Posiblemente si se formatea el servidor Ubuntu, se actualiza el Kernel por Ukuu y se quitan las IP de la lista, el problema podría estar solucionado.

 

Yo haría lo siguiente:

 

1. Copia de seguridad de la página web y bases de datos

 

2. Volver a instalar Ubuntu Server LTS (18.04) con soporte para 10 años, escritorio gráfico opcional (Recomiendo el de Xubuntu)

 

3. Instalar el software correspondiente con servidores (Correo, Web...) que tenga soporte Seguro (SSL, HTTPS)

 

4. Habilitar el cifrado SSL por defecto en los servidores de correo y web (POP, IMAP, SMTP, y HTTPS), se puede conseguir un certificado gratuito en directamente con el comando certbot (Ubuntu) y deshabilitar los puertos inseguros (110, 143)

 

5. Instalar Ukuu mediante Launchpad

https://www.linuxadictos.com/ukuu-instalar-kernel-linux-facil.html

 

6. Instalar clamav como antivirus

 

7. Restaurar la copia de seguridad de la web y bases de datos

 

8. Solicitar la eliminación de las IP de las listas negras, aunque este puede ser el paso 1, si los problemas no se solucionan las IPs serán bloqueadas, por eso habría que hacer los 7 pasos.

 

En todo caso, le recomiendo que indique estos pasos a su Jefe (o el encargado) para que compruebe si esta solución puede ser la adecuada a ese caso

 

En caso de usar Ukuu, es recomendable usar la versión gráfica, cada 20 días se actualiza a una nueva versión y es necesario eliminar (purge) las versiones anteriores pasados 1 semana (para comprobar que todo vaya bien)

--- --- --- --- ---
MIROCTUM deja la COMUNIDAD MOVISTAR el 31 de Agosto del 2019
Contacte conmigo en Twitter/Instagram @miroctum
Mensaje 2 de 4
356 Visitas
Re: Accesos a sistemas informáticos de terceros en Internet

Muchas gracias @miroctum, he tomado en cuenta todo lo que me has comentado, pero finalmente han decidido hablar directamente con el freelancer y el se encargará de todo. Veremos si lo soluciona o si tendré que acudir nuevamente al foro en un futuro. Nuevamente gracias!

Mensaje 3 de 4
296 Visitas
Re: Accesos a sistemas informáticos de terceros en Internet

@urshulgi  ha escrito:

Muchas gracias @miroctum, he tomado en cuenta todo lo que me has comentado, pero finalmente han decidido hablar directamente con el freelancer y el se encargará de todo. Veremos si lo soluciona o si tendré que acudir nuevamente al foro en un futuro. Nuevamente gracias!


La información que pongo es orientativa, el responsable (en este caso el freelancer) tendrá que tomar la mejor decisión, pero es cierto que si no se resuelve el problema del servidor, no se podría eliminar la IP de las listas negras

--- --- --- --- ---
MIROCTUM deja la COMUNIDAD MOVISTAR el 31 de Agosto del 2019
Contacte conmigo en Twitter/Instagram @miroctum
Mensaje 4 de 4
287 Visitas