BandaAncha.eu

  • 🔍 en 📰 artículos ⏎
  • 🔍 en 💬 foros ⏎
  • 🔍 en 👇 este 💬 foro ⏎
  • 🔍 en 👇 este 💬 tema ⏎
Regístrate Regístrate Identifícate Identifícate
ADSL/VDSL

Me atacan a traves del FW !!

1
vizander

Buenas.

Tengo un Router Linksys Adsl Gateway WAG54G-XW con el FW activo y los puertos cerrados, excepto los q uso.

Resulta que Norton salta y avisa de un ataque!

-----------8X----------------------------
Norma "Bloqueo predeterminado de caballo de Troya DeepThroat" bloqueada (212.8.122.9,3150)
Paquete UDP de entrada

Dirección, servicio remoto es (212.8.122.9,27015)
-----------8X----------------------------

No entiendo como el servicio remoto esta en 27015 y el bloqueo es de 3150 ¿?.

El puerto 27015 es el de eMule....

No se si es un ataque real o no, el caso es que he mirado en el router y parece que lo tengo bien todo:

En la página de security:
"Firewall Protection: Enabled" y "Block Anonymous Internet Requests: Enabled"

En application and gammings activos los puertos: 21, 25, 110, 161, 3344.

En Port Range Fordwaring todo desactivado

En Port Trigering /(se abren solo si se invoca desde dentro) va por rango de puertos, pero tengo rangos de un solo puerto y mapeo al mismo puerto local para: 4662 Tcp, 27015 Udp, 4672 Udp, 4661 Tcp, 4665 Udp, 3085 Tcp.

Por si ayuda dire que tengo DMZ Hosting disabled, la administración remota desactivada y uPnp desactivado.

¿Alguna idea?

Este tema está cerrado a nuevas respuestas. Abre un nuevo tema para retomar la conversación.
Luke

Yo creo que ha sido que el emule ha utilizado un puerto para conectar a otro usuario que, a la vista del norton, es un puerto utilizado por ese troyano (deepthroat). Me suena a que es el mismo caso de algunos usuarios que tienen el emule funcionando en el puerto 25 (que es el puerto por defecto del SMTP, servidor para enviar correos), pues cuando otro usuario que tiene el ZoneAlarm intenta a conectar a ese usuario, el fw, al ver que la petición va dirigida al puerto 25, salta diciendo "Alerta, emule.exe está intentando enviar un correo, se ha bloqueado." Y el pobre emule se queda sin poder conectar a ese usuario que tiene su emule en el puerto 25. :P espero que esté suficientemente claro.. pero creo que esto es un caso del mismo tipo.

Lo que no tengo demasiado claro es lo que pone en la alerta, ya que pone 2 veces la misma IP con puertos diferentes. Pero bueno, yo también tengo el norton, y a veces no es del todo preciso al dar la información detallada sobre una alerta (se lia con inbound y outbound, etc..)

saludos,

🗨️ 2
vizander

Muchas gracias por los comentarios.

No tengo claro que sea eso, puesto que la conexión se supone que viene desde fuera. ¿No? Y lo que comentas se produce al usar ese puerto desde dentro.

🗨️ 1
Luke

Creo que en el caso del UDP no hay conexiones, simplemente paquetes, por lo que pueden ser paquetes entrantes o salientes. Después de haber enviado paquetes UDP a una IP, si ésta última te responde con otro paquete UDP utilizando los mismos puertos (local y remoto) entonces éste paquete llegará a tu ordenador también, porque el router había creado una entrada en su tabla NAT (donde almacena todas las conexiones mantenidas por cada IP interna) y el paquete será llevado hasta tu ordenador. Entonces será un paquete entrante. Como estas entradas son UDP y no pueden cerrarse por sí mismas, suelen tener un timeout de 60 o 90 segundos.

joer vaya lío.

Luke

Por cierto, he buscado un poco sobre lo que es el Port Triggering, y he encontrado esto:

http://www.dslreports.com/forum/remark,1020195;root=equip,16;mode=flat

Si he entendido bien, creo que no estás utilizando el Port Triggering de la manera correcta, creo que deberías utilizar el port forwarding para todo, sería lo más lógico. El port triggering me recuerda un poco.. al Intelligent PAT del 3com 812 (que tengo yo) y que la verdad no es demasiado seguro.

saludos,

editado: te recuerdo que hay que tener bastante claro el concepto de conexión entrante y saliente, y lo que realmente hace NAT. Por ejemplo, no necesitas para nada tener abiertos los puertos 4661 tcp y 4665 udp, estos son puertos de los servidores del emule, cuando conectas a esos puertos son conexiones _salientes_, que el router permite sin problemas.

🗨️ 9
vizander

Respecto al trigering, si he entendido bien en el manual del router, esta pensado para el uso de DHCP en la red interna, donde no puedes mapear un puerto a una IP que no se conoce de antemano.

Cuando configuras un puerto en este modo, inicialmente queda cerrado hasta que desde dentro de intenta utilizar, y en ese caso se hace el mapeo a la IP interna que demandó la conexión.

Esto me ha generado siempre una duda... Si tengo dos PC detras de un router, y el router mapea un puerto hacia una IP, ¿los dos PC no pueden usar el mismo puerto (p.e. 80)?

Respecto a las conexiones salientes, tienes razón. La verdad es que seguí las instrucciones al dedillo, sin pararme a pensar. Se supone que el router no impide las conexiones salientes, sea por el puerto que sean.... lo probaré. Muchas gracias!

🗨️ 8
Luke

Según el link que he posteado, el triggering serviría por ejemplo, para el servidor IDENT cuando conectas a un servidor de IRC. Si tienes configurado un trigger a una IP internta determinada y con el puerto del ident (113), desde fuera, en principio, el puerto 113 no será accesible. Pero si en cambio haces una conexión a un servidor de IRC, y éste te devuelve un intento de conexión a tu puerto 113, el router al ver que acabas de conectar con esa IP se activa el trigger, y entonces el puerto 113 sí que será accesible desde fuera, aunque sólo por el servidor de IRC y hasta 2 minutos después de que cese la actividad.

Por ejemplo, no se muy bien si es lo que preguntas, pero cuando te conectas a una web, te estás conectando a su puerto 80, el puerto local, desde el que sale la petición, es completamente aleatorio, windows suele ir en orden puerto por puerto a partir del 1024.

🗨️ 7
vizander

Vamos por partes, q esto se va complicando:

1) Mi pregunta sobre los puertos se refería a que no podría tener, p.e. dos servidores WEB o FTP en sendas máquinas, detras del mismo router. Entiendo que es una limitación de NAT, ya que desde fuera sólo se ve la IP del router, tiene sentido, pero tenía la esperanza de que estuviera resuelto de alguna forma :).

2) El segundo parrafo soluciona una vieja duda, aunque los sospechaba no tenía documentación al respecto. Como ves no tengo experiencia en routers, simpre he tenido modems.

3) Respecto al trigering, justo el post al que me remitiste (muchas gracias), usa un ejemplo que no me vale de mucho, pq no uso IRC, ni se lo que es un servidor IDENT. ¿Lo que tu interpretas es que cuando haces una conexión desde dentro por uno de estos puertos, le dices al router que el otro sistema puede conectarse usando cualquier otro puerto?

Eso podría explicar la situación del principio, pero entonces dejo de entender otras cosas :-). Voy a mirar más sobre el tema....

🗨️ 2
Luke
🗨️ 1
vizander

Jode. tanto ejemplo, y tenemos la respuesta en el mismo sitio, de forma mucho más clara en las FAQ www.dslreports.com/faq/5799:

Example: You define port 25 as trigger and 113 as port. If any of your LAN machines creates a outgoing connection (=trigger) to port 25 (e.g. to send mail), all incoming connections to port 113 will temporarily go that that machine. After a timeout, new 113 connections will again be dropped as in case (1).

Lo que pasa es que no se cómo me funcionaba, pq yo no configuré pensando en este funcionamiento :-P

Q asco de manuales!

🗨️ 3
vizander
🗨️ 2
Luke
🗨️ 1
1