BandaAncha.eu

Comunidad de usuarios
de fibra, móvil y ADSL

Fibra

¿Cómo consigue Orange reiniciar el router si tengo un honeypot en la DMZ del router?

BocaDePez
BocaDePez

Hoy se me ha ocurrido monitorizar el tráfico y los ataques a mi IP. Así que he puesto un honeypot virtual en la DMZ del router (VBox). He comprobado que accediendo a mi IP pública caigo en el honeypot. Todo guay.

Resulta que quería comprobar qué pasaría si llamaba al soporte técnico y les pedía que intentasen acceder a la administración de mi router. (Deberían de caer en el honeypot, en principio). Pues mi gozo en un pozo. Me ha cogido una máquina que directamente me ha reiniciado el router. Sin preguntarme nada. Sin haber hablado con nadie. Una máquina me ha reiniciado el router.

Así que, con todo mi cabreo, me he dispuesto a volver a configurar la DMZ con el honeypot. Guay. Todo funcionando. Si llamas a la IP pública vuelves a caer en el honeypot.

Vuelvo a llamar, y el operador, cae en el Honeypot. Pero son capaces de reiniciar mi router. ¿Como?

Mi sorpresa cuando, se me ocurre probar que pasa si hago un ping a cualquier equipo de mi red interna. Y vaya. SORPRESÓN. 4 paquetes enviados. 4 recibidos. 0 fallidos. ¿No se supone que el tráfico desde una DMZ hacia una red privada está prohibido de base? ¿No debería haber saltado una ACL que dijese, tu paquete con destino IP privada, naciendo en DMZ, DROP?

Hasta ahora, siempre que he querido permitir tráfico DMZ-Inside(private lan) era bloqueado y eliminado por ACL's. ¿Acaso no es el comportamiento normal, y el esperado?

mceds
3

En la mayoría de los routers domésticos que conozco --por no decir todos--, lo que hace DMZ es desviar todo tráfico entrante hacia la IP especificada, salvo que otras reglas con mayor prioridad especifiquen otro destino para ese protocolo y puerto. Y DMZ suele tener la prioridad menor, es decir, es la última regla de la cadena: si hay una regla anterior puesta a mano por ti, autoconfigurada con uPNP o especificada en otro apartado (como suele estar el TR-069 de gestión remota), va a ejecutarse antes que la regla de DMZ.

Con respecto a tu segunda cuestión, no entiendo de dónde has sacado esa idea de que el tráfico está prohibido desde la DMZ a otros equipos de la subred. Es la primera vez en mi vida que la escucho.

🗨️ 11
BocaDePez
BocaDePez

- Respecto a la primera respuesta. Yo no he establecido ninguna regla a manija. Supongo que habrá sido el propio Orange.
- Respecto a la segunda respuesta:

Me gustaría destacar esta frase del blog de Panda Security:

los hosts en la DMZ no pueden iniciar sesiones hacia la LAN, a no ser que pertenezcan a sesiones ya establecidas

Fuente: Panda Security

🗨️ 5
mceds

Pero pon el párrafo entero:

Con los niveles de confianza adecuados, si el firewall está configurado para permitir sólo el acceso desde la LAN hacia la DMZ y no viceversa (los hosts en la DMZ no pueden iniciar sesiones hacia la LAN, a no ser que pertenezcan a sesiones ya establecidas), desde la zona pública los usuarios únicamente podrían acceder a los servidores de la DMZ. De este modo, aún en el caso de que se haya comprometido la seguridad de un servidor determinado, se garantiza la seguridad de la LAN en todo momento.

Es decir, no hay una forma de configurar la seguridad de una DMZ, sino tantas como combinaciones de permisos. Y la de los routers domésticos es muy básica: redirigen allí todo el tráfico de entrada no especificado por reglas de mayor prioridad. Y eso es todo lo que hacen, nada más.

- Respecto a la primera respuesta. Yo no he establecido ninguna regla a manija. Supongo que habrá sido el propio Orange.

Por eso he especificado lo del TR-069: suele venir ya "hard coded" en el firmware y, en algunos afortunados casos, es desactivable por el usuario, incluso sin permisos de admin. Y contestándole a lo de abajo: no, no va por SSH sino (según la Wikipedia) por HTTPS. En realidad, puede escuchar por el puerto que le dé la gana al programador del firmware.

🗨️ 4
BocaDePez
BocaDePez

Con los niveles de confianza adecuados, si el firewall está configurado para permitir sólo el acceso desde la LAN hacia la DMZ y no viceversa (los hosts en la DMZ no pueden iniciar sesiones hacia la LAN, a no ser que pertenezcan a sesiones ya establecidas), desde la zona pública los usuarios únicamente podrían acceder a los servidores de la DMZ. De este modo, aún en el caso de que se haya comprometido la seguridad de un servidor determinado, se garantiza la seguridad de la LAN en todo momento.

Compro el argumento. Aunque creo que una premisa básica de DMZ es no permitir conexiones desde esta red a la interna, y que los parámetros de configuración en el firewall del enrutador deberían de crear esta ACL en el momento de activación de la DMZ. Es absurdo que en informática, algo tan sencillo como establecer una regla (ACL) si se da una condición (DMZ enabled) debería de ser automático y se da por entendido que se hace.

IF p443
IF Orange
Hacer caso a lo que me ordenen
ELSE
Desviar petición a otro puerto
Atender petición

Un ejemplo es el post en el que muestro que pasa en Packet Tracer si pones un server en DMZ y haces ping a la red, aun estando en mismo rango IP/máscara

Ni idea de que es esto, ya tengo algo que aprender.

no, no va por SSH sino (según la Wikipedia) por HTTPS

Aun así, mi honeypot tiene expuestos todos los puertos, incluido el 443, asi que si intentasen realizar una conexión HTTPS para reiniciar el router a través de algún tipo de API, deberían de haber caído en el Honeypot.

En realidad, puede escuchar por el puerto que le dé la gana al programador del firmware.

Totalmente de acuerdo. Pero en ese caso, el creador del firmware debería de haber programado algo así como:

Lo cual, no me da ninguna confianza...

Por eso he especificado lo del TR-069: suele venir ya "hard coded"

🗨️ 3
BocaDePez
BocaDePez
🗨️ 2
BocaDePez
BocaDePez
🗨️ 1
BocaDePez
BocaDePez
BocaDePez
BocaDePez

Bueno, he probado a ver si lo que sabía era correcto o no en el Packet Tracer. Este ha sido el resultado:
- PC0, 192.168.0.2/24
- Server0, 192.168.0.100/24
- Router wireless, 192.168.0.1

fe-0.jpgfe-0server.jpg

- He colocado Server0 en la DMZ del router.

router0.jpg

A continuación, he lanzado un paquete ICMP con origen en Server0 (DMZ) y destino PC0.
El resultado, paquete dropeado en el router.

icmp-fallido.jpg

O algo se me escapa, o por defecto, los paquetes que inician sesión TCP/UDP con origen en DMZ y destino una red privada, son dropeados por el router.

Lo cual me lleva a pensar que Orange usa la capa de switch del router para la DMZ, lo cual es una burrada en seguridad, creo entender.

🗨️ 4
mceds

Ahora sí que no comprendo nada. Primero dices que todos los ICMP pasan y ahora que no pasan...

🗨️ 3
BocaDePez
BocaDePez

Ese es el problema. En mi red de casa, en la real, estos paquetes ICMP pasan de la DMZ a la red interna.

Sin embargo, todas las pruebas que hago, y como lo demuestra el post anterior, no permiten que pase.

Entonces, ¿por qué con el router de Orange los paquetes ICMP llegan a la red interna?

🗨️ 2
superllo
🗨️ 1
BocaDePez
BocaDePez
BocaDePez
BocaDePez

No entiendo la mitad de tu mensaje.

Primero dices que el operador consigue reiniciarte el router sin caer en el DMZ. Luego reconfiguras el DMZ y cae en el honeypot. ¿Qué cambios realizaste? No los especificas.

Luego dices que haces ping a un equipo de tu red interna y funciona. ¿Desde qué máquina haces el ping?

Como bien te dice arriba mceds, por mucho DMZ que pongas, el router puede guardarse sus puertos de gestión para sí mismos y no permitirte redirigirlos a tu red interna.

Por otro lado, ¿no serás cliente de ONO o cualquier otro ISP que use una red con MPLS? Porque en ese caso tu router tiene dos IPs, la de WAN, y una interna (que empieza por 10.*) a través de la cual el ISP puede hacer gestiones.

🗨️ 4
BocaDePez
BocaDePez

- Exacto. El operador (máquina) me reinicia el router aun teniendo yo un honeypot en la DMZ. En la segunda llamada, el operador (persona) comprueba que si navega a mi IP cae en el honeypot. Sin embargo, pueden reiniciarme el router.

- El ping lo hago desde la máquina en la DMZ hacia un ordenador de la red interna. Todos los ordenadores comparten el mismo rango IP. Sin embargo, por lo que tenía entendido, una premisa básica del DMZ es que, por definición, las sesiones iniciadas desde DMZ con destino a red interna son dropeadas, aunque estén en el mismo rango IP/Máscara.

- Está bien que los puertos de administración se los guarde para sí el router, desviando el resto a la DMZ. Sin embargo, volvemos a lo mismo. Tengo un honeypot con el puerto 22 expuesto. A menos que la administración del router se haga por otro puerto, debería de caer en el honeypot.

- Soy cliente de Orange. A menos que Orange use la red de otros y no me lo diga.... Yo pagar, pago a Orange.

🗨️ 3
BocaDePez
BocaDePez

La premisa del DMZ es que toda petición a la IP de WAN desde el exterior se redirige a cierta IP de LAN, fin. El honeypot ni siquiera tiene constancia de estar en DMZ. Si quieres aislar el honeypot del resto de la red local tendrás que usar un firewall.

No sé qué te ha hecho pensar que la administración remota de un router se hace por SSH (puerto 22)... normalmente se hace por TR-069 (puerto 7547) o directamente por la interfaz web.

🗨️ 2
BocaDePez
BocaDePez

Como he puesto en otro post, desconocía TR-069. Es algo que no tenía controlado. Si se hiciese por HTTPS entonces deberían haber caido en honeypot.

Como muestro en el post en el que hago pruebas con packet tracer, un ICMP desde DMZ a red interna no pasa, es dropeado, aunque estén en mismo rango de red.

BocaDePez
BocaDePez

La premisa del DMZ es que toda petición a la IP de WAN desde el exterior se redirige a cierta IP de LAN.

Como ves en la imagen, no tiene porque ser una IP concreta, puede ser más de una, o incluso creo que un rango. Pero creo que esto ya lo sabes. Creo que sabes más que yo, por lo del TR-069 XD
De la imagen podría entender que la DMZ forma parte de una red virtual diferente a la red privada interna.

image.png

De wikipedia.... Perdonar la fuente

BocaDePez
BocaDePez

No entiendo que el resultado de esta discusión no tenga más repercusiones.
Si la conclusión a la que se ha llegado en uno de los comentarios de este mismo hilo es cierta, eso significa que todo aquel que tenga la PlayStation en una DMZ está muy expuesto a ser atacado en el resto de la red interna. Vaya tela. Porque eso es algo que las operadoras incentivan hacer sin informar debidamente de que hacer eso deja sin protección al resto de dispositivos...

🗨️ 15
BocaDePez
BocaDePez

No has debido entenderlo bien. La playstation puede acceder al resto de dispositivos, pero para que un atacante pueda acceder al resto de dispositivos, tiene que convencer a la playstation para que lo haga por él, es decir, encontrar un bug bastante serio en la playstation.

🗨️ 14
BocaDePez
BocaDePez

No has debido de entender bien tu.

Al hacer únicamente una redirección de puertos, lo que estás haciendo es abrir todos los puertos del router y redirigir el tráfico a una IP concreta.

En principio, la capa de enlace de datos (switch) está más abajo que la capa de red (router), por lo que si te modifican la cabecera de los paquetes que pertenecen a la capa de red te cambiarán el destino del paquete después de haberlo enrutado y antes de salir del router. Vamos, que te la pifian.

🗨️ 13
BocaDePez
BocaDePez

¿Cómo se cambia la cabecera de un paquete después de haberlo enrutado?

🗨️ 2
BocaDePez
BocaDePez
🗨️ 1
rbetancor

Sabes que lo que has dicho es pura fantasía ¿verdad? ... ¿quien te va a cambiar la información del paquete una vez el router lo ha inyectado en la LAN? ... sino hay bridges por enmedio u otro router/fw ... lo que dices es simplemente IMPOSIBLE.

🗨️ 8
BocaDePez
BocaDePez
🗨️ 7
rbetancor
🗨️ 6
BocaDePez
BocaDePez
🗨️ 3
rbetancor
1
🗨️ 2
BocaDePez
BocaDePez
🗨️ 1
BocaDePez
BocaDePez
🗨️ 1
BocaDePez
BocaDePez

Me corrijo en un aspecto bastante importante.

te cambiarán el destino del paquete después de haberlo enrutado y antes de salir del router

La frase que quería y debería haber puesto es:

"te cambiarán el destino del paquete después de haberlo enrutado y salir del router"

rbetancor
1

Partes de un error de concepto y es el de suponer que DMZ significa lo que en terminología de seguridad tradicional significa, que es un segmento de red independiente a la red normal. Eso no se da en los CPE's domésticos que instalan las operadoras.

La operadora, para "manejar" tu router, no lo hace vía Internet, lo suelen hacer vía una VLAN específica en la WAN o también mediante TR-069, puedes buscar info sobre el protocolo, para que entiendas como es que "entran" en tu router.

Para un router doméstico, DMZ significa una regla de NAT "a lo Paco", en la que redirigen todo el tráfico (hay routers que no desvían TODO, sino que se reservan algunos puertos para ellos que no te dejan redirigiri nunca) hacia un HOST concreto de la LAN, pero no significa que ese HOST esté aislado, ni mucho menos del resto de la LAN.

🗨️ 14
BocaDePez
BocaDePez

Parto de que un Kg es un Kg aquí y en Pekín.

Si no es una DMZ no se debería de llamar DMZ y debería de estar prohibido usar el término a la ligera, porque los routers de operadores ofrecen una sección para usuarios avanzados. Y para estos, una DMZ es lo que dice la terminología oficial y tradicional, no lo que les salga de pepino a cada uno de los fabricantes de turno. Y si es así, deberían de informar claramente de las consecuencias de que uses su "DMZ".

Por otro lado, según me ha comentado el operador de Orange, "literalmente estás exponiendo tu red usando la DMZ del router que me han proporcionado".

Quien menciona el bug Play... Cosas más difíciles se han visto. Aunque estoy seguro que existen más vectores de ataque dada la chapucera implementación de esta PseudoDMZ

🗨️ 13
mceds
2

Los usuarios avanzados ya sabemos, desde hace más de quince años que los CPE fijaron unos "estándares" de interfaces de configuración gráfica, que la DMZ en estos aparatos es lo que ya hemos explicado. Fíjate que después de tropecientos mil mensajes en ADSLAyuda y otros tantos aquí, desde principios de los 2000, eres la primera persona que me encuentro que llama la atención sobre esta confusión de terminologías. Todos los demás ya sabían que el DMZ en los routers "abre todos los puertos a la IP que le configures" (los usuarios estándar) o lo que te hemos explicado (los usuarios avanzados).

De hecho y te lo digo muy serio, lo habitual es desconocer la acepción "oficial" de DMZ, la del aislamiento completo y tal del enlace que ponías de Panda Security.

superllo

A ver, el DMZ para los operadores es una IP a la que se le abren todos los puertos (excepto los que se le hayan abierto explícitamente a otras IPs o que el operador los tenga reservados para el router). Punto. Si la definición real de DMZ es otra cosa entonces sí, los operadores se lo pasan por el forro, pero debes ser consciente de ello.

Así que, si la Play tiene un bug que hace de troyano en la red, pues ajo y agua, pero eso es extremadamente raro de ver y Sony lo arreglaría antes de que fuera utilizado de forma masiva. Otra opción es no ponerla en el DMZ y abrirle los puertos necesarios a mano, que tampoco te serviría en caso de bug en su firmware, pero si no quieres arriesgarte te recomiendo que no te metas en Internet.

BocaDePez
BocaDePez

Es más probable que haya un bug en el router que en la Play.

Si tanto te preocupa la seguridad lo mejor es que te compres tu propio CPE

rbetancor

Es que un Kg es lo mismo aquí, que en Pekín ... bueno, siendo estrictos, no, no es lo mismo, pero vamos a dejar el chiste sobre magnitudes físicas para otro momento.

Lo que un CPE de operador o casi cualquier CPE de cuatro duros (y algunos de no tan cuatro duros) llaman DMZ, NUNCA ha sido una DMZ, pero es que solo hace falta conocer la definición de DMZ real, para darse cuenta, que NO es posible que lo que el CPE nombra como DMZ, sea eso, pero ni en broma de las malas.

Si quieres una DMZ REAL, pues te pillas un CPE que lo haga bien ... y no tiene porqué ser caro ... un Mikrotik de los más baratos te vale ... eso sí ... no vas a tener un interfaz para amebas en la que puedas configurar "una DMZ" ... tendrás que entender los conceptos y configurar el equipo acorde.

🗨️ 9
BocaDePez
BocaDePez

Contesto en este post a varios anteriores:

desde principios de los 2000, eres la primera persona que me encuentro que llama la atención sobre esta confusión de terminologías

Lo siento, pero a principios de los 2000 era un crío, y después de muchísimo tiempo estudiando, es la primera vez que oigo que la "terminología oficial" no es la empleada, sino que aquí cada uno llama a las cosas como quiere. No entiendo, entonces, para que existen las "terminologías oficiales". ¿En qué otros ámbitos de informática pasa esto? Por curiosidad...

De hecho y te lo digo muy serio, lo habitual es desconocer la acepción "oficial" de DMZ, la del aislamiento completo y tal del enlace que ponías de Panda Security.

Me vas a perdonar, pero para el que haya estudiado algo de redes, lo normal será conocer la terminología oficial. En ningún temario me ponía que la terminología oficial no se emplease como oficial. Para los que no hayan estudiado redes y hayan aprendido por su cuenta (cosa absolutamente loable y admirable), puedo entender la confusión que puede producir, pero ya te digo, en ningún libro de informática me he encontrado con que algo que es X no sea X en todos los lados.

Así que, si la Play tiene un bug que hace de troyano en la red, pues ajo y agua, pero eso es extremadamente raro de ver y Sony lo arreglaría antes de que fuera utilizado de forma masiva.

Bug de la Play Station 4 en Octubre de 2018

Vamos... Que basta un minuto para que una botnet como Mirai (tremendamente activa en españa) no te pille... Y si en ese ataque tiene conocimiento sobre el bug, te la han liado. Y tu seguirás jugando a la Play mientras participas en ataques DDoS sin darte cuenta, excepto porque el ping o el lag serán algo más altos de lo habitual y pensarás que alguien está usando netflix por el wifi...

pero si no quieres arriesgarte te recomiendo que no te metas en Internet.

Absurdo. Que quiera estar en Internet no quiere decir que tenga que aguantar que me timen usando terminologías oficiales cuando su implementación no es la que marca el estándar. Si quiero estar en Internet, según la RGPD, mi operador debe de poner todas las trabas pertinentes para que mi red no se vea comprometida. Y eso pasa por usar las terminologías oficiales correctamente, no como a cada uno le salga de los eggs...

Si tanto te preocupa la seguridad lo mejor es que te compres tu propio CPE

Como puedes ver, el post empezaba diciendo que tengo un Honeypot en la falsa DMZ del router. Es decir, me preocupo por la seguridad, y trabas he puesto a más no poder...

Es que un Kg es lo mismo aquí, que en Pekín ... bueno, siendo estrictos, no, no es lo mismo, pero vamos a dejar el chiste sobre magnitudes físicas para otro momento.

Una persona que dice "vamos a dejar el chiste sobre magnitudes físicas para otro momento" merece toda mi admiración XD.

solo hace falta conocer la definición de DMZ real, para darse cuenta, que NO es posible que lo que el CPE nombra como DMZ, sea eso, pero ni en broma de las malas.

Que es lo que me ha pasado a mi, un rato de curiosidad me ha llevado a darme cuenta de esto... Aunque por lo visto la gente ya lo sabía...

Si quieres una DMZ REAL, pues te pillas un CPE que lo haga bien

Esa fue parte de la solución que implementé antes de escribir este post.

De todas formas. Sigo sin entenderlo. Como usuarios (avanzados o no) deberíamos exigir que se usen los términos con propiedad y donde corresponda. No creo que sea algo baladí, ya que volviendo al tema de la RGPD, las empresas están obligadas a implementar todas las medidas de seguridad necesarias y dentro del alcance económico de la empresa para evitar fugas de información y otro tipo de ataques informáticos. Y si para ello, empezamos con que la terminología usada es incorrecta...

🗨️ 8
rbetancor
🗨️ 3
BocaDePez
BocaDePez
🗨️ 2
BocaDePez
BocaDePez
mceds
1
🗨️ 3
BocaDePez
BocaDePez
🗨️ 2
mceds
1