0

Algunas notas sobre SEGURIDAD en los modems routers ADSL

Recogemos de Antonio M. una serie de notas acerca de la seguridad que creemos de relevante importancia para todos vosotros


Si te interesa Sigue leyendo …

Dado que constantemente se esta preguntando sobre la seguridad de las
distintas configuraciones de los modem ADSL voy a poner a modo de resumen
algunas notas:


En realidad es algo general, no solo para ADSL, sino para cualquier
conexion, pero bueno:

En general la seguridad suele ser inversamente proporcional a la
conectividad; un ordenador conectado 24h, 7 dias, es mas inseguro que uno
que se conecte media hora al dia; uno con claves mas seguro que uno sin
ellas; uno conectado a internet mas inseguro que uno sin conectar a nada;
uno sin disquetera mas seguro que uno con ella, etc…


Se suele decir que el unico ordenador seguro es el que esta desenchufado, y
aun asi puedes convencer a alguien para que lo enchufe.



Como es obvio lo que interesa es un compromiso entre conectividad o
comodidad (todo abierto y disponible) y la seguridad. O lo que es lo mismo
que este abierto y disponible SOLO lo que queremos, y lo que es fundamental,
que sepamos que es lo que esta abierto y disponible.


Es vital para la seguridad de un sistema informatico no solo la seguridad
“pasiva” en software o hardware, sino tambien que el “administrador”, o en
el caso de la mayoria de la gente ellos mismos, sepa lo que esta pasando con
exactitud.

Un sistema cerrado a cal y canto puede parecer muy seguro, pero es un muro
tan grueso que ni siquiera sabemos que pasa al otro lado (a lo mejor han
montado andamios o lo estan dinamitando tranquilamente y ni nos enteramos)


Por otra parte, un router es un componente a veces tan complejo como un
ordenador (muchos llevan procesadores risc) y tambien es vulnerable a
ataques, tambien necesita proteccion.



Partiendo como configuracion estandar de la que seria una conexion tipica
con un modem de 56K a traves de un proveedor de internet como referencia,
voy a comparar lo que suponen ciertas configuraciones de los routers.



Con un modem de 56K estamos conectados normalmente solo unas horas al dia, y
cada vez desde una direccion de IP diferente, pero muy poca gente toma
ninguna medida de seguridad.


Estamos protegidos por dos factores importantes:



-El tiempo de conexion (a menos horas, menos posibilidades de recibir un
ataque)


-El anonimato (si alguien nos la tiene jurada, va a tener dificultades para
encontrar desde que ip conectas en cada momento)



Estos dos factores son nuestro unico “firewall”. Cuanto es de seguro?
Depende de que aplicaciones esten instaladas y cuales queremos que tengan
acceso.


Normalmente esta activado Netbios (compartir impresoras y archivos, puertos
137-139 y 143) y por ahi se puede entrar al ordenador por que no es muy
seguro que digamos. Este es el fallo de seguridad serio mas comun con
diferencia.


Si instalamos un servidor de web o cualquier otro programa servidor, estara
accesible desde internet. Si el ordenador se infecta con un troyano remoto,
este tiene libertad de accion total.


Pero a priori el sistema no es muy vulnerable salvo quiza frente a ataques
DoS.


El peligro esta cuando algo de esto falla y nos dejamos por olvido o
descuido abierto algun programa o instalamos algun troyano sin saberlo.


Entonces el riesgo es altisimo y el sistema es completamente inseguro.



Sin embargo el 90% de los usuarios de internet sobreviven con esta
configuracion.



De los dos factores que proporcionan seguridad, el anonimato se pierde en
cuanto entramos en un sitio de IRC, un chat, una pagina web “underground”
etc.


Si tenemos una discusion en un chat (y muchas veces sin tenerla) ya hay un
“motivo” para lanzar un ataque a nuestra ip, asi que el anonimato no sirve
de nada si uno quiere navegar libremente.


Con respecto al tiempo de conexion y la ip diferente no sirven de mucho en
cuanto estamos conectados mucho rato, por que da tiempo de sobra a que nos
toque o bien un ataque indiscriminado (es muy frecuente que a determinados
proveedores les lancen ataques a todas las direcciones o que topemos con
alquien que este haciendo un escaneo indiscriminado, direcciones hay muchas,
pero tambien gamberros)



Asi que el 90% de los usuarios de internet estan totalmente desprotegidos,
pero es como andar a pie por un campo de minas para tanques: a los que
pasaron delante tuyo las pisaron y no les paso absolutamente nada, pero…



El usuario de modem de 56K deberia tener un firewall siempre que se conecte.



Modem ADSL Interno:



Con un modem interno y conexion con Terra (RFC1483) la conexion es
permanente mientras el equipo este encendido, asi que dependiendo del uso
asi es el riesgo.


Con respecto a la seguridad: la misma que en un modem de 56K, o sea,
ninguna, pero con el agravante de que el tiempo de conexion suele ser mas
largo, y sobre todo que siempre conectamos con la misma direccion de IP, asi
que si alguien la toma con nosotros hoy, mañana y pasado tambien sabe donde
encontrarnos.

Si un “hacker” se dedica a buscar (cosa muy tipica) en un rango (por ejemplo
el de ADSL de telefonica) en todas las ips a ver si el puerto 139 (netbios)
esta abierto, seguro que en 10 minutos se hace una lista de victimas
considerable (doy fe). Quien dice netbios dice los puertos de troyanos,
servidores ftp, web, etc. Con esta configuracion, si netbios esta abierto,
no hay nada que impida el acceso.


Obviamente lo mejor es QUITAR netbios (compartir impresoras y archivos) para
asegurarse, pero otra manera igual o mas efectiva es instalar un firewall
como zonealarm.


Quitar netbios no es facil, el windows es muy repugnante para eso, pero si
es facil con un firewall controlar los accesos de acuerdo a reglas sencillas
o complejas, como segun de donde venga la conexion, o a que puerto sea.


Con el firewall conseguimos dos cosas: proteger todos los puertos o
programas que “no conocemos” dando acceso a los que si conocemos de una
manera simple, y sobre todo enterarnos de cualquier posible intento de
ataque o si tenemos un troyano o virus, de sus intentos de salir al exterior
(para enviar mails a los amigos, por ejemplo)



Cuanto de segura es esta configuracion? Extremadamente segura, al menos
comparada con las anteriores. Quiza no suficiente para un banco pero por
cuestiones muy de detalle, pero de sobra para el usuario domestico.


Es zonealarm el mejor firewall del mundo? No, por supuesto que no, pero es
mil veces mejor que un firewall que el usuario no sabe manejar o no
comprende como funciona. De nada sirve tener BlackICE, pensando que es la
leche, si nos olvidamos de activar la proteccion de netbios (es que ni
avisa).


Es FUNDAMENTAL que sea cual sea la configuracion de seguridad que tengamos,
comprendamos hasta donde llega y en que estado se encuentra.



Zonealarm avisa sobre cualquier intento de intrusion por cualquier puerto
TCP y UDP, asi como de la salida de cualquier programa que no conozcamos.


Por supuesto si nos dice: “el programa backoriffice esta intentando actuar
como servidor, Permitir?” y contestamos SI, pues bueno,… quiza deberia
gestionarnos el ordenador otra persona que sepa lo que hace…


Tambien bloquea automaticamente muchos ataques de Denegacion de servicio
(DoS) y a niveles ICMP. Es vulnerable a muy pocas cosas


Lo bueno es que avisa de casi todo, al que le parezca un poco pesado, puede
sencillamente ignorarlo o desinstalarlo, claro…


En cualquier caso para los grados de seguridad de que hablamos ni me voy a
molestar en mencionar otros firewall, por que son cuestiones de rizar el
rizo. Da igual uno que otro, la cuestion es tener uno, y este es gratis.



Router Monopuesto:


Tanto el 5660 como el 812 en monopuesto no son alcanzables desde internet,
enrutan directamente al ordenador y ellos no atienden a nada de fuera. Asi
que es una configuracion similar a efectos de seguridad a la de un modem
interno.


En teoria incluso podriamos dejarlos sin clave de acceso, confiando que no
se pueden alcanzar, (digo en teoria, no es en absoluto recomendable) con una
salvedad:


Si el ordenador resulta comprometido, desde este SI es posible acceder al
router.


Asi que de nuevo, la solucion es un firewall en el ordenador.



Router en Multipuesto:


El router cuando se configura en multipuesto toma la direccion publica (que
es la unica accesible directamente desde fuera) para el. A los ordenadores
les permite acceder mediante una traduccion de direcciones (NAT).

Desde
fuera es como si todo lo hiciese el router. Muchos llaman a esto una
caracteristica de “firewall”.
Esto depende de que entendamos por firewall, pero si lo equiparamos a
sinonimo de total seguridad estamos muy equivocados.


Un firewall puede ser mas vulnerable que un windows, por ejemplo: un windows
actuando como firewall, que puede ser…


En realidad NAT da acceso, pero no lo restrige, asi que no es muy fiable en
cuanto a la seguridad, ademas de que mucha gente ni siquiera comprende su
funcionamiento y esto lo hace aun mas peligroso, especialmente cuando da una
sensacion falsa de seguridad que hace que no tomemos otras medidas (como
instalar un firewall de verdad)



Tal como instala telefonica los routers la configuracion puede considerarse
de “seguridad media” entre las anteriores. Es mas seguro que no tener nada,
porque netbios esta cerrado, si se instala un troyano como servidor no le
llegan las conexiones, etc, pero no es tan seguro como tener un firewall por
software directo, por que no nos enteramos de cualquier intento de ataque,
de adivinar la clave, o por que en general se confia en su seguridad, y por
que ya son DOS sistemas los que hay que preocuparse de proteger, el router y
el ordenador.


Es evidente que de nada sirve tener un ordenador a prueba de bomba si, por
ejemplo, cada 5 minutos perdemos la conexion por que el router se resetea.



Los filtros de telefonica impiden el acceso al router desde fuera (y a veces
desde dentro, por eso se suelen quitar) pero si se quitan se da opcion a
cualquiera a que intente adivinar la clave. De todas maneras con o sin esos
filtros, el router es vulnerable a ataques DoS.



Hay un fallo de seguridad que tiene que ver con los filtros de telefonica
que aunque es complicado de explotar, lo que es una ventaja, afecta a TODOS
los routers de telefonica que tengan una clave facil de adivinar (adminttd)
asi que es peligroso, esto permite saltarse los filtros y hacerse con la
administracion del router a cualquiera con un poco de idea y un linux, se
soluciona cambiando la clave.



El 812 versiones 1.1.0 y 1.1.7 (corregido en la 1.1.9) es vulnerable en
particular a un ataque DoS que hace que se corte la conexion (ya se hablo
aqui)



Todo esto se soluciona deshabilitando la administracion remota del router.
La pega es que todo esto ocurre si que haya ningun registro ni nos
enteremos, si alguien esta intentando cosas, no sabemos nada.



NAPT: cuando se usa NAT, pero no hay puertos ni TCP ni UDP asignados como
NAPT (es decir, redireccionados del router a un ordenador para que hagan de
servidor) parece que ninguna conexion de fuera puede llegar al ordenador.


Puede que sea asi, pero:


Es mejor que se queden en el router?


Si nos entra una conexion por el puerto 4300 UDP, que es mejor? Que la
atienda el ordenador o el router? Sabemos que hay en el puerto udp 4300 del
router? Que levante la mano el que sepa con absoluta seguridad los puertos
que tiene abiertos su router… Bien, el que levanto la mano quiza pueda
asumir la seguridad de su router, pero el resto???
Los puertos UDP no son “fiables”, no confirman la conexion, de hecho no hay
“conexion” udp, solo un puerto de entrada de datos. Lo que quiere decir que
los scanners nunca pueden decir con seguridad: “cerrado”
Las conexiones a nivel ICMP tienen el mismo problema.
Y estos routers tienen mas cosas de las que parece: FTP, SNMP, DHCP, RIP,
etc… Yo sinceramente no se que puertos tiene abiertos mi router.



Si hay una entrada NAPT, esa conexion no la atiende el router, sino un
ordenador, bien, eso es mejor o peor? Depende de que haya en ese ordenador.


Si esa entrada es para un servidor de web, obviamente eso puede comprometer
la seguridad del ordenador (los programas servidores son potenciales
problemas de seguridad) pero imagino que quien tiene un servidor es por que
quiere asumir el riesgo de tener un servidor. Aunque tengamos 6 firewall en
cascada, todos Cisco, no sirve de nada si el servidor de web tiene un bug o
no esta bien configurado y da acceso de escritura al disco duro.
Los firewalls estan instruidos para dejar pasar la conexion a ese puerto,
asi que no van a detenerla (seria absurdo).



Asi que si no hacemos asignaciones NAPT, esos puertos se quedan en el
router, y si las hacemos pasan al ordenador, siempre conviene tener un
firewall en el ordenador.



Default Workstation: En el 812 esta opcion hace un NAPT de todos los puertos
UDP y TCP que no tengan otra asignacion a un ordenador de la red local. Esto
hace el router mas seguro, pero claro, esto incluye netbios y otros, asi que
seria casi como tener el router en monopuesto. Digo casi por que esto no
incluye las conexiones a nivel ICMP y otras (por ejemplo, el 80 y el 23) que
se quedan en el router. Esta opcion por tanto no garantiza la seguridad del
router (aunque la aumenta) y le pasa la responsabilidad de gestionar esos
puertos al ordenador.


Si enviamos el 80 y el 23 al ordenador, el router solo quedaria expuesto a
los ataques a bajo nivel (ICMP; flood fill, en general ataques DoS).
Troyanos y Netbios y demas serian responsabilidad del ordenador.
Esto simplifica mucho la configuracion de los programas servidores, pero
tiene una ventaja obvia en cuanto a seguridad:
Salvo de los ataques a bajo nivel, nos enteramos de todos los intentos de
acceso, siempre que tengamos un firewall por software.
Esto permite bloquear el acceso a determinadas direcciones, este tipo de
informacion es muy util.



iNAT: El 3com 812 v1.1.7 y 1.1.9 tienen la opcion Intelligent NAT que hace
que si nosotros establecemos una conexion saliente del tipo que sea, con un
servidor, por ejemplo cuando irc o netmeeting intentan conectar,
automaticamente las conexiones que provengan de ese servidor se consideran
“respuesta” y son enviadas mediante NAPT al ordenador que inicio la
conexion. Esto es mas inseguro aun que NAT (pero muy muy util) por que
podemos pensar que tenemos el 139 (netbios) cerrado, pero si conectamos a un
sitio “underground” y automaticamente lanzan un intento de conexion a 139,
hemos dado pie a que el router permita el acceso a este sitio.
Ayer comprobamos mediante un escaneo que todo estaba cerrado y seguro, y hoy
resulta que nos entran por netbios… Esto es muy peligroso especialmente
por la falsa sensacion de seguridad.
NAT esta hecho para permitir conexiones, no para restringirlas. Futuras
implementaciones de NAT hara lo que les parezca para facilitar la conexion
que de eso se trata y no podemos confiar en ello para la seguridad.



Solucion: Tener en el todos los ordenadores un firewall por software.



Los ataques DoS son importantes?, normalmente no, solo te dejan sin conexion
mientras dure, pero eso puede ser parte de un ataque mucho mas serio
conocido como ip spoofing mediante el cual alguien falsea tu conexion para
hacer alguna pifia o para espiarla. Es una manera de quitarte de enmedio
para suplantar tu conexion, si no pueden desconectarte, no pueden
suplantarte.

Como conclusion, siempre conviene tener un firewall en cada ordenador, Y NAT
NO ES UNA CONFIGURACION SEGURA.