Pregunta sobre cortafuegos
Me dirijo a usted para ver si me puede sacar de una TERRIBLE duda.
Tengo una pequeña empresa con routers Cisco y estamos haciendo una pequeña auditoria de nuestra red. La red cuenta con una zona DMZ con un servidor Web(apache), correo y DNS publico. El router Cisco nos lo administra una tercera empresa, pero al hacer la pequeña auditoria nos damos cuenta que en el router el trafico ICMP no esta bloqueado y que el puerto 79 (FINGER) esta a la escucha (no descubrimos otro puerto más a la escucha por debajo de TCP 1024). Pero al hacer una exploración de puertos TCP a los host situados por detrás del router nos llevamos la sorpresa de que nos aparecen los puertos 80 (HTTP) 21 (FTP) y 23 (telnet) a la escucha en el servidor Web y otros tantos en los otros sistemas. Mi pregunta es la siguiente, ¿cómo puede ser que se pueda hacer un escaneo de puertos a unos host situados por detrás de un router Cisco, cuando en el router Cisco aparece solo el puerto 79 de TCP a la escucha?. ¿No tendría que ser imposible realizar este tipo de escaneo?. ¿Por qué puedo llegar con toda tranquilidad a los host que están por detrás del router? (Si hago un ping o un tracert a los host también me contestan). Si es posible, ¿como se puede evitar.
Muchísimas Gracias
Tengo una pequeña empresa con routers Cisco y estamos haciendo una pequeña auditoria de nuestra red. La red cuenta con una zona DMZ con un servidor Web(apache), correo y DNS publico. El router Cisco nos lo administra una tercera empresa, pero al hacer la pequeña auditoria nos damos cuenta que en el router el trafico ICMP no esta bloqueado y que el puerto 79 (FINGER) esta a la escucha (no descubrimos otro puerto más a la escucha por debajo de TCP 1024). Pero al hacer una exploración de puertos TCP a los host situados por detrás del router nos llevamos la sorpresa de que nos aparecen los puertos 80 (HTTP) 21 (FTP) y 23 (telnet) a la escucha en el servidor Web y otros tantos en los otros sistemas. Mi pregunta es la siguiente, ¿cómo puede ser que se pueda hacer un escaneo de puertos a unos host situados por detrás de un router Cisco, cuando en el router Cisco aparece solo el puerto 79 de TCP a la escucha?. ¿No tendría que ser imposible realizar este tipo de escaneo?. ¿Por qué puedo llegar con toda tranquilidad a los host que están por detrás del router? (Si hago un ping o un tracert a los host también me contestan). Si es posible, ¿como se puede evitar.
Muchísimas Gracias
1 Respuesta
Respuesta de claudius
1
Primeramente comenzaré diciéndote que un router está diseñado principalmente para enrrutar paquetes entre dos redes, por lo tanto, debe ser posible realizar un escaneo en ambos sentidos. Los puertos que me mencionas sí deben estar abiertos, pero:
Puerto 21: Servidor FTP
Este puerto debe estar abierto si tienes algún servidor FTP, de lo contrario puede ser usado para tener cierto acceso a la red (en dependencia del nivel de acceso y la PC donde esté corriendo). Si no necesitas este servicio, ciérralo.
Puerto 23: Servicio Telnet
Este servicio se utiliza para administración remota. Es usado por la tercera empresa para administrar el router (mala política por parte de ustedes la de permitir que un tercero les administre la puerta de entrada a su sistema. Seguro que usted no le deja la llave de su casa a un vecino cuando usted sale. Sí, es de su confianza, ¿pero?)
Puerto 79: Servicio Finger
Este servicio se utiliza para obtener los nombres de las cuentas de usuario del host donde está corriendo. Muy peligroso.
Puerto 80: Servidor WEB
Este puerto debe estar abierto en los servidores Web. Es el puerto que escucha las peticiones de los usuarios que se conectan a él. Solo debe estar abierto en el servidor Apache. Los demás, CERRARLOS!
En cuanto a si es posible el escaneo, le decía que sí es posible puesto que la función del router no es la de impedir el tráfico, sino todo lo contrario. Claro, gracias a las listas de acceso (ACLs), se pueden filtrar o impedir determinados tipos de tráfico (ICMP, por ejemplo).
Lo otro es que como los servidores que se encuentran ubicados en la DMZ tienen direcciones IP reales, ¿debe ser posible? ¿Verlos? Desde Internet. Pero utilizando las ACLs puedes impedir ciertos tipos de ataques a tus servidores.
Espero sinceramente que esta breve explicación te sirva de algo.
Recuerda darme alguna puntuación :-)
Puerto 21: Servidor FTP
Este puerto debe estar abierto si tienes algún servidor FTP, de lo contrario puede ser usado para tener cierto acceso a la red (en dependencia del nivel de acceso y la PC donde esté corriendo). Si no necesitas este servicio, ciérralo.
Puerto 23: Servicio Telnet
Este servicio se utiliza para administración remota. Es usado por la tercera empresa para administrar el router (mala política por parte de ustedes la de permitir que un tercero les administre la puerta de entrada a su sistema. Seguro que usted no le deja la llave de su casa a un vecino cuando usted sale. Sí, es de su confianza, ¿pero?)
Puerto 79: Servicio Finger
Este servicio se utiliza para obtener los nombres de las cuentas de usuario del host donde está corriendo. Muy peligroso.
Puerto 80: Servidor WEB
Este puerto debe estar abierto en los servidores Web. Es el puerto que escucha las peticiones de los usuarios que se conectan a él. Solo debe estar abierto en el servidor Apache. Los demás, CERRARLOS!
En cuanto a si es posible el escaneo, le decía que sí es posible puesto que la función del router no es la de impedir el tráfico, sino todo lo contrario. Claro, gracias a las listas de acceso (ACLs), se pueden filtrar o impedir determinados tipos de tráfico (ICMP, por ejemplo).
Lo otro es que como los servidores que se encuentran ubicados en la DMZ tienen direcciones IP reales, ¿debe ser posible? ¿Verlos? Desde Internet. Pero utilizando las ACLs puedes impedir ciertos tipos de ataques a tus servidores.
Espero sinceramente que esta breve explicación te sirva de algo.
Recuerda darme alguna puntuación :-)
