Quitar usuarios y filtros iniciales, filtrar puertos abiertos y abrir puertos

ndice: FILTROS Y SEGURIDAD EN EL ROUTER 3com 812

PONER FILTROS A LOS PUERTOS 23 Y 80 TCP Y 69 UDP FILTRO DE NETBIOS. FILTRADO DEL PROTOCOLO ICMP (PING) CLIENTES TFPT DEL ROUTER

ABRIENDO PUERTOS EN EL ROUTER

(Para conectar por Web con el Router no debe de existir ningn firewall activo) FILTROS Y SEGURIDAD EN EL ROUTER 3com 812 Pretendemos conseguir los siguiente: 1.- Conseguir el acceso a la configuracin del router mediante telnet o web (caso de que no lo tengamos). 2.- Eliminar los usuarios y filtros que trae el router por defecto. 3.- Aadir nuestro propio usuario y configurar los filtros segn nuestra conveniencia. Bien, nuestro ISP nos proporciona un router 3com funcionando, normalmente para dar acceso a varios ordenadores a Internet (configuracin multipuesto). Y adems nos proporciona una utilidad sencilla y eficaz para abrir puertos y para pasar el router de multipuesto a monopuesto y viceversa. Un programilla que se llama Routercf.exe (al menos en el caso de los de telefnica). Hasta aqu todo perfecto. Pero llega el momento de que queremos usar el router de una manera ms flexible, y nos enteramos de que el chisme este trae unas cosas que se llaman filtros y que nos impiden configurarlo a nuestro gusto. Lo ms probable es que una vez que sabemos que existen, queramos eliminarlos. Los filtros que se encuentran dentro del router actan de varias maneras. Normalmente nos impiden entrar a la configuracin por telnet y por web (en el caso de ser un 3com de telefnica). Y si nos fijamos detenidamente, autorizan a determinadas IPs sospechosas (que son las suyas) para que tengan acceso remoto al router y por tanto puedan modificar nuestra configuracin a su antojo (ellos o cualquier desaprensivo que tenga a su disposicin una de estas IPs) Ahora es el momento de decir que una de las funciones del programilla maravilloso ese, el Routercf.exe es volver a introducir esos filtros cada vez que se ejecuta, al menos en mi caso, cada vez que lo usaba para abrir puertos, volva a introducir los filtros en el router y me dejaba sin conexin por web o telnet otra vez. Para ilustrar esto, voy a poner la configuracin del filtro que pona concretamente ya.com en sus routers 3com 812.

3Com-DSL>show filter filtro RULES FOR FILTER /./filtro PROTOCOLS: ALL #filter IP: 1 ACCEPT src-addr=62.151.xxxx.xxxx/32; 2 ACCEPT src-addr=62.151.xxxx.xxxx/32; 3 ACCEPT src-addr=80.59.xxxx.xxx/32; 4 REJECT tcp-dst-port=23; 5 REJECT tcp-dst-port=80;
Que lo que viene a hacer es: 1,2, y 3: aceptar las IPs ah incluidas para cualquier cosa por cualquier protocolo. 4 y 5: Rechazar las peticiones a los puertos de destino 23 y 80 TCP. Es decir, que ellos pueden entrar a configurar nuestro router y los dems (en teora) no. Aunque en el caso de ya.com, slo estaba puesto el filtro para lo que vena desde Internet y no para nuestra red local.

Por lo menos son filtros que garantizan en principio una cierta seguridad en nuestro router, puesto que el acceso al mismo est muy restringido. Pero, como el router nos lo han regalado?, alguien puede tener deseos de configurarlo de manera an ms segura. Para ello, y siempre segn el criterio de responsabilidad de cada uno, se puede seguir un procedimiento como ste: BORRAR LOS FILTROS Y USUARIOS INICIALES Primer paso. Conectamos el ordenador al router mediante un cable serie que une el puerto COM1 del ordenador con el puerto CONSOLE del router, el que tiene 9 agujerillos. Si no tenemos este cable, habr que esperar al da siguiente a que abran las tiendas.

Hay que usar un programa que viene en el propio Windows, el Hyperterminal. Se encuentra en Inicio -> Ejecutar -> Accesorios -> Comunicaciones -> Hyperterminal. Al iniciarse el programa nos pide un nombre para la conexin, le ponemos cualquiera, le decimos que conecte por el com1 y le cambiamos la velocidad de conexin a 9600.

Ahora aparecer la pantalla en blanco del hyperterminal. Si hemos hecho todo correctamente, tendremos un cursor parpadeando. Le damos a la tecla enter, hasta que nos salga lo siguiente: login incorrect password? Este es el momento para introducir la password, ya que por hyperterminal no se necesita usuario. La contrasea normalmente es adminttd en el caso de telefnica, yacomadm en el caso de ya.com o ninguna en algunas ocasiones (con un simple enter funciona). El caso es que de una manera o de otra, introducimos la contrasea, pulsamos enter y deberamos entrar al router, obteniendo el smbolo de la lnea de comandos: 3com-DSL>

Es posible que aparentemente no hayamos conectado. Al enter hay que darle muchas veces. Si esto no funciona, cambiamos el cable de puerto y reiniciamos el hyperterminal dicindole que conecte por el COM2. O enchufamos en el COM1 y le decimos que conecte por el COM2, etc.... Lo primero que haremos ser aadir nuestro propio usuario: 3com-DSL>add user usuario_que_queramos password nuestra_password Datos que conviene apuntar con rotulador fosforescente en la parte superior del router, por ejemplo. Ahora vamos a consultar los usuarios que tenemos en el router: 3com-DSL>list users USERS Login Name Service Status nuestro_usuario TELNET INACTIVE el_intruso TELNET INACTIVE Tenemos el nuestro y el intruso. Borramos el intruso 3com-DSL>delete user el_intruso Ya estamos solos en el router. Ahora vamos a ver cmo estamos de filtros: 3com-DSL>list filters

FILTERS Filter Name filtro filtro2

Status NORMAL NORMAL

Protocols IP IP

Ese es el listado de filtros presentes en el router. Pueden llamarse as o de otras maneras. A la hora de escribirlos para borrarlos deberemos respetar exactamente el nombre tal y como salga, exactamente la misma secuencia de maysculas y minsculas. As pues: 3com-DSL>delete filter filtro 3com-DSL>delete filter filtro2 Una vez hecho esto tenemos que guardar la configuracin: 3Com-DSL>save all Saving..... SAVE ALL SAVE ALL Complete Ahora hemos dejado abierto el acceso al router desde Internet por los puertos 23 (telnet) y 80 (http) en TCP, de manera que tendremos que volver a cerrarlo, al menos de momento. PONER FILTROS A LOS PUERTOS 23 Y 80 TCP Y 69 UDP Vamos a acceder a configurar el router por web. Por lo tanto, abrimos el navegador y ponemos en l la IP de nuestra puerta de enlace (que es la direccin IP de red local de nuestro router). Nos pedir usuario y contrasea..., nada ms fcil puesto que acabamos de crearlos, no?. Vamos a la seccin Configuration -> Filter Configuration -> Setup filters.

En la siguiente pantalla seleccionaremos la opcin From Remote Site y en el desplegable el canal en el que queramos poner los filtros. Normalmente se llamar Internet, que es el que suele venir por defecto. Pulsamos Next.

Aparecern los filtros que tengamos definidos. Por supuesto, si es la primera vez, no tendremos ninguno. Pulsamos el botn Create Filter y pasamos a la pantalla siguiente.

Ahora le ponemos un nombre para identificarlo. En este ejemplo vamos a filtrar el puerto 80 TCP. Seleccionamos la opcin Advanced IP, dejamos marcada la casilla Enable Filter y pulsamos en Next.

Ahora vamos a definir las condiciones para el filtro que queremos crear. Su finalidad es impedir el acceso al router o a nuestro sistema por el puerto 80, para que nadie pueda abrir desde Internet la pgina de configuracin. La condicin la dejamos en Discard Packet if... y marcamos TCP Destination Port is equal to (aqu ponemos 80).

De esta manera le decimos al router que todas las peticiones que se hagan al puerto 80 TCP sean descartadas si provienen desde el exterior, es decir, desde el remote site Internet. Sin embargo, nos permite el acceso desde nuestra red local para continuar con la configuracin. Pulsamos de nuevo el botn Next. Ahora pasamos a una nueva pantalla:

Aqu nos muestra las reglas que tenemos definidas en el Filtro Filtro al 80. Podramos seguir aadiendo condiciones en este mismo filtro para otros puertos, pero yo personalmente prefiero hacer un filtro por puerto o puertos asociados. Si por ejemplo quiero activar un servidor web en mi PC, slo tengo que borrar este filtro y puedo dejar los dems. Para terminar Save Filter activar el filtro. Como dice en la nota (traducido al cristiano) Warning: Si este filtro bloquea el trfico a o desde su navegador, usted perder la conexin del navegador cuando salve el filtro. Que quiere decir que si hemos hecho el filtro mal, (por ejemplo si le hemos dicho que bloquee el puerto 80 para nuestra red local) cuando lo salvemos no podremos acceder mediante el navegador a la pgina de configuracin. Si esto ocurre, con desenchufar el router y volverlo a enchufar, recuperar la configuracin anterior al ltimo Save Configuration que hayamos hecho. Es aconsejable poner filtros al puerto 80 TCP (si no vamos a montar de momento un servidor web), al puerto 23 TCP (telnet) y al puerto 69 UDP (servicio tftp del router, luego lo explicaremos ms detalladamente), siempre para lo que venga del remote site, de esta manera impediremos el acceso a la configuracin del router desde el exterior. Si todo ha ido bien, pulsamos el botn Save Configuration. FILTRO DE NETBIOS. Esto es para impedir el acceso a nuestra red local desde Internet. El router 3com tiene una opcin muy cmoda para colocar un filtro de este tipo. Vamos a Configuration -> Remote site profiles -> Modify (sobre el vc de Internet) -> Next -> y llegamos a la pantalla Remote Site IP. Aqu, en la seccin Security, activamos la casilla Enable the "Protect Files and Printers" filter to prevent outsiders from accessing your internal printers and files (recommended) .

Ahora le damos al botn Modify y cargar la pgina ya con la casilla activada. Save Configuration para guardarlo. Esta accin introduce el siguiente filtro (un filtro muy til, sobre todo si tenemos algn equipo en default workstation):

FILTRADO DEL PROTOCOLO ICMP (PING) Para aquellos quieran pasar desapercibidos an ms, se puede hacer un filtro para que el router no responda a los pings. Simplemente sera crear otro filtro de la siguiente manera: Llegamos a la pantalla de definicin del filtro como se explic anteriormente y ponemos Discard Packet if Protocol Type is Equal to ICMP.

Next y Save Filter. Ya no nos pueden hacer ping, pero nosotros tampoco lo podremos hacer. Bueno, no todo tiene que ser perfecto. Save Configuration para guardar. CLIENTES TFPT DEL ROUTER Esta opcin es menos conocida. Resulta que tenemos una ip autorizada para acceder al router por un servicio que es el tftp y esto permite a esa ip acceder a los ficheros del router y obtener, entre otros, uno que se llama users. En este fichero se encuentra nada menos que el usuario y contrasea para acceder por web y telnet. Para cambiar esto, ya hay que entrar por telnet al router. Por tanto abrimos una ventana de sesin de msdos, ponemos TELNET Direccin_ip_del_router (por ejemplo 192.168.1.1). Introducimos nuestro usuario y contrasea y ponemos el comando: 3Com-DSL>list tftp clients TFTP CLIENT ADDRESSES (****aqu saldr una de las IPS de las que antes salan en los filtros, o peor: 0.0.0.0. que significa que son todas). As que introducimos el comando 3Com-DSL>del tftp client [ip que nos haya salido antes] Para comprobar lo que ha pasado: 3Com-DSL>list tftp clients TFTP CLIENT ADDRESSES Ya est vaco. Ahora aadimos una ip de nuestra red local para que nosotros s que podamos obtener esos ficheros en caso de necesidad: 3Com-DSL>add tftp client 192.168.1.2 3Com-DSL>save all Saving..... SAVE ALL SAVE ALL Complete Como anteriormente hemos aadido un filtro al puerto 69 UDP, este acceso estar tambin cortado desde el exterior. Slo podremos utilizar este servicio desde la ip 192.168.1.2 de nuestra red local. En fin, decir que todo lo que pongo aqu sobre el 3com lo he aprendido en varios sitios y de varias personas, por ejemplo: latas, zorry, K|sT|aN, Tatolino y por supuesto, Rosh, en fin, todo buena gente. Pero dicen que de bien nacido es ser agradecido, as que... Documento elaborado por Ar03 para, como no, http://www.adslayuda.com/

ABRIENDO PUERTOS EN EL ROUTER abrimos el navegador y ponemos en l la IP de nuestra puerta de enlace (que es la direccin IP de red local de nuestro router). Nos pedir usuario y contrasea... Ahora pinchamos en la opcin Configuration del men general de la izquierda. Entramos en otra pantalla, y en esta escogemos la opcin Remote Site Configuration (VPI/VCI, Protocols, NAT ...) haciendo click en el botn Remote Site Profiles, que es la zona coloreada de la pantalla:

NOTA: Nos iremos guiando por el nombre de las pantallas que est situado en la parte superior derecha. Y ahora atentos porque tenemos que hacer una pequea excursin por varias pantallas: Despus de haber pinchado el botn Remote Site Profiles de la pantalla Configuration nos encontramos con una pantalla que se llama Remote Sites (WAN) con una estructura como esta:

y en la que podemos encontrarnos alguna opcin ms en el cuadro central... da lo mismo y pulsamos en la opcin Internet. Hacemos click sobre el botn Modify y pasamos a la siguiente pantalla. Ahora estamos en Remote Site Modify y la apariencia es esta:

Y pulsamos Next>>. Entramos en la pantalla que se llama Remote Site IP. Ahora debemos fijarnos que la casilla del NAT est activada, y si la tenemos activada la pantalla es como la siguiente: (suponemos que queremos abrir el puerto TCP 6699)

En la zona sombreada de rojo pulsamos en el botn TCP. La pantalla con la que nos encontramos ahora (y que no muestro su imagen por su sencillez) se llama Static TCP Port, y slo tenemos que pulsar en Add. NOTA: En la lista del medio estarn visibles lo puertos que hemos ido abriendo segn nuestras necesidades.

Hemos llegado a la pantalla importante que se llama Static TCP Port Add y la rellenamos de la siguiente forma:

Fijaros que en Private IP Address estamos indicando la IP del ordenador. En la casilla de Public TCP Port estamos abriendo el puerto 6699 del router para que "deje pasar". Y en la casilla Private TCP Port estamos diciendo al router que los datos que le entran por su puerto 6699 los enve tambin al puerto 6699 del ordenador. Resumiendo, hemos abierto un puerto en el router y lo hemos redirigido a otro puerto del PC, que en esta caso son los mismos. Pulsamos Add. Este es el punto crucial de todo esto.

Dnde nos encontramos ahora mismo?. Habamos pulsado Add. Fjate en el mensaje que te dice el router: Warning: Changes take effect next time the Remote Site is enabled Los cambios que hemos hecho no tendrn efecto hasta la prxima vez que Remote Site est disponible... problemas?, no te pierdas ahora que es muy sencillo. Despierta!. Dale a la tecla de Volver <<Prev varias veces hasta que te sites de nuevo en la pantalla que se llamaba Remote Site Modify, esta era:

La vez anterior que pasamos por esta pantalla slo pulsamos Next>> y te dije que volveramos a verla... Pues ahora fjate en la casilla superior que se llama Enable Remote Site... lo ves?, ya empieza todo a encajar, ahora sigue estos pasos tan tontos pero necesarios: 1. 2. 3. 4. Desactiva la casilla. Pulsa en el botn Modify de la parte inferior. Activa la casilla otra vez. De nuevo pulsa en el botn Modify.

Hecho!. Absurdo?: necesario. Ya slo nos resta guardar los cambios: Pulsamos en Save Configuration de la zona de men del lado izquierdo. Y volvemos a pinchar en el botn Save Configuration de la pantalla principal... despus de unos instantes ya estn guardados los cambios y pulsamos en OK.