BandaAncha.eu

Comunidad de usuarios
de fibra, móvil y ADSL

Fibra

Intentos de conexión no autorizados con IP fija en el log del router

NexoT

Tengo un Zyxel VPN300 saliendo a Internet con una conexión de MásMóvil/Yoigo (tengo dos fibras, una de cada) con IP fija. Revisando el log, observo que hay muchos drops de intentos de conexión desde países externos cada 3/4 minutos. ¿Esto es normal?

image.webp

Entiendo que existan redes de bots escaneando las redes y equipos de los operadores, pero ¿no deberían estos filtrar gran parte de las conexiones que llegan a los CPE de los clientes? Tendrá algo que ver con tener IP fija asignada (la utilizamos para conexión VPN L2TP IPSEC, aunque también usamos un cliente DDNS corriendo en el router).

Pruebas que he realizado, con idéntico resultado:

  • Conectar la segunda fibra, que no tiene IP fija
  • Cambiar router en modo bridge de la operadora por ONT Nokia y/o Ubiquiti (esto creo que no afecta, es por tener menos cacharros en el rack)
  • El firmware está actualizado a la última versión

Me falta probar con una conexión de fibra de Movistar con IP fija, a ver si ocurre lo mismo con otro operador.

¿A alguien le ha pasado algo parecido? Con este modelo de router que identifica geográficamente los intentos de conexion o con otro similar.

vukits

A ver, antes de nada, revisa que nadie ande usando bittorrent o algún programa de P2P en la oficina.

pero no deberían estos filtrar gran parte de las conexiones que llegan a los cpes de los clientes?

ay, alma cándida. qué bonico mundo en el que vives ( y lo digo con todo el cariño del mundo, eh :P … que yo de redes controlo poco).

Hace poco , a un forero , los rusos hasta le piratearon la Raspberry que tenía conectada a internet, a golpe de escaneo y fuerza bruta… (tenía IP dinámica)

Tendrá algo que ver con tener IP FIJA asignada (la utilizamos para conexion VPN L2TP IPSEC, aunque también usamos un cliente DDNS corriendo en el router).

Una vez que el bot te ha fichado, da igual que tengas IP fija dinámica o no…

pero ya que estamos, te ahorras unos eurillos si usas dinámica (eso sí, revisa que tu configuración IPSEC funcione con DDNS e IP dinámica)…

Eso sí, tener IP fija es tener IP fija… quiero decir… no la quites por quitar, porque no te va a solucionar el problema

(toca echar mano de un buen cortafuegos con memoria… y quizás poner algo de port-knocking, no sé)

🗨️ 1
NexoT
1

Hola vukits, nadie está usando p2p porque solo tengo un equipo conectado a la red local, por descartar que fuese desde la LAN hacia la WAN.

Lo de los rusos, después de ver las amenazas de Putin sobre el conflicto de Ucrania, me lo creo xD

El siguiente paso es desactivar la IP FIJA, los majos de MásMóvil me volverán a meter en CG-NAT (ya me ha pasado) y solicitaré que me saquen de nuevo para obtener IP pública.

Lo del port knocking con Mikrotik lo estoy considerando, pero para este proyecto tiro de Zyxel por su solucion SDWAN

Gracias

naveganteperdido
2

"pero no deberían estos filtrar gran parte de las conexiones que llegan a los cpes de los clientes? "

ah?, quieres que la operadora decida lo que te llega y lo que no?

a los puertos standard siempre van a estar llegando conexiones, yo cuando tenia IP dinamica con un ADSL tenia decenas por minuto en el puerto 21 y 22

🗨️ 2
NexoT

Igual no me he expresado bien… me referia a que si MásMóvil tiene menos capas/sistemas/filtros de seguridad que otros operadores y es normal que se cuele ese tipo de tráfico… hace tiempo me pareció leer en este foro que las IP fijas que provisionan son de origen ruso, por lo que ya podrían estar en blacklist y/o fichadas

🗨️ 1
naveganteperdido
4

ningun operador deberia tener ningun capas/sistemas/filtros para las IP's de sus clientes

Carlos45
1

Entiendo que existan redes de bots escaneando las redes y equipos de los operadores, pero no deberían estos filtrar gran parte de las conexiones que llegan a los cpes de los clientes?

Y ya filtran lo más gordo, si no sería una fiesta pero es un trabajo muy arriesgado porque cuanto más filtres más quejas recibes de los usuarios.

Además de que piensa un momento, si filtrasen todo… ¿qué aliciente tendrían en venderte sistemas de seguridad como estos? xD

ayudacliente.vodafone.es/particulares/se…s-secure-net

ayuda.orange.es/particulares/internet-y-…o-se-instala

🗨️ 8
rbetancor
3

Los ISP no filtran absolutamente NADA, sino te estarían vendiendo una conexión capada.

Monitorizar, si monitorizan … pero filtrar … salvo que pagues algún servicio tipo CanguroNET o ConexiónSegura … no filtran absolutamente nada (como tiene que ser por otra parte).

🗨️ 6
Carlos45

Me refiero a ataques de denegación de servicio muy evidentes, el filtrado del puerto TCP/25 para evitar spammers o el TCP/445 por Internet por los problemas de seguridad de SMB.

🗨️ 5
rbetancor
2

No filtran absolutamente NADA de eso, por lo menos los ISP con los que yo he trabajado hasta ahora. Ni VF/Ono, ni MM, ni Movistar ni Orange.

Y es que si se les ocurre filtrarme un solo puerto, me cambio de ISP.

Insisto, monitorizar, si que monitorizan … pero filtrar … nanai de la china.

🗨️ 4
Carlos45
🗨️ 3
vukits
rbetancor
1
NexoT

El secure net de Vodafone es un virus en sí… aunque lo desactives, se reactiva solo en factura cuando le da la gana xD

Bramante

Si tienes IP pública "abierta", ¿por qué no iban a llamar los bots a tu puerta?

Es tal y como debe funcionar. Ahora eres tú quien debe poner los medios para que no pasen de la puerta, pero llamando, van seguir llamando.

Ojo con NAS (especialmente QNAP), servidores/servicios no protegidos adecuadamente.

🗨️ 2
NexoT

El security police que trae por defecto, a falta de afinar la configuracion del firewall, de momento parece que está haciendo su trabajo:

image.webp
🗨️ 1
Bramante

Sí, por lo que aparece en la imagen, no está haciendo prisioneros.

Ir afinándolo es el trabajo de cada día. Si no tienes que hilar muy fino, puedes empezar con la artillería pesada e ir cepillándote rangos enteros por país (sospechosos habituales como Afganistán, China, etc,).

lhacc
1

Lo que me faltaba por ver, clientes pidiendo a los ISPs que impidan conexiones entrantes.

Si no quieres recibir conexiones, pide entrar en CG-NAT.

🗨️ 8
BoccaDePez

Felicidades! Por fin alguien entiende las ventajas de un CG-NAT!

🗨️ 7
lhacc

Yo llevo toda la vida siendo un acérrimo defensor del NAT (sea CG-NAT o de router) por motivos de seguridad y privacidad.

🗨️ 6
vukits

las grandes puertas traseras, las han colado en capas de aplicación, tipo JavaScript, mensajería, correo electrónico.

rbetancor
4

Creo que no merece la pena entrar en la discusión futil de que NAT != Seguridad, ni privacidad … NAT es otra cosa.

🗨️ 1
BoccaDePez

Pienso como tú y no tengo ningún problema en redes abiertas a internet en dejar mi router con mi cortafuegos de doble dirección y mi suscripción gratuita de protección activada, y mi red ya configurada detrás del router del operador en lugar de hacer tonterías y sustituciones. Cuando cambio de operador no tengo que hacer ningún cambio que no sea volver a abrir puertos VPN. El consumo eléctrico adicional es relativamente pequeño porque las WiFis del router del operador quedan apagadas.

🗨️ 1
MasterL
-1

Ya te han contestado de sobra tu pregunta, yo solo haré una observación, jajajajaa

VPN l2tp zyxel sd-WAN

Tremendos riesgos correis algunos por no aprender packet filter y openbsd

Pretur
2

Si levantas un servidor una hora después ya tienes cientos de intentos de acceso por ssh. Es lo que hay.

🗨️ 6
pjpmosteiro

Amén. 3 servidores tengo con Hetzner y un mes después de instalarlos tuve que cerrarlos en banda y meterles cloudflare para mitigar un poquito.

Y aun así me meten caña a la PBX, esto es de la última horaimage.webp

🗨️ 5
Pretur

Yo tengo el SSH en un puerto distinto y además con acceso solo por certificado, y con eso y el fail2ban voy tirando

🗨️ 4
lhacc

No sé por qué os complicáis tanto la vida, si con que tengas una clave fuerte no van a entrar en la vida, ni aunque mantengas ssh en el puerto 22.

Yo ni me molesto en mirar el log de conexiones fallidas porque es que me la sopla…

🗨️ 3
Pretur
🗨️ 2
vukits
🗨️ 1
Pretur
1
apocalypse

Es completamente normal, tengas o no tengas un servidor detrás. Cualquier IP pública sea fija o dinámica va a estar recibiendo decenas de intentos de conexión por minuto a cualquier puerto. El ISP aquí no hace ni debe hacer nada, si lo hiciera sería una conexión capada. Eres tú el que debe implementar las medidas necesarias para parar los ataques. Por defecto los routers de todas las operadoras ya tienen el firewall activado desechando (drop) los paquetes que no estén autorizados a entrar. ¿No recuerdas la época de los modem RTB o los primeros modem ADSL por USB? Eso sí que era una fiesta de ataques y virus en el sistema operativo, porque la IP pública la tenía directamente el SO y como no tuvieras un buen Firewall estabas vendido (desde Windows XP SP2 ya traia "algo" activado por defecto).

Si todo lo que ves en el log tiene la acción drop no debes preocuparte por nada, esos ataques no están llegando a ninguna parte.