FILTROS Y SEGURIDAD EN EL ROUTER 3com 812

Pretendemos conseguir los siguiente:

1.- Conseguir el acceso a la configuración del router mediante telnet o web (caso de que no lo tengamos).

2.- Eliminar los usuarios y filtros que trae el router por defecto.

3.- Añadir nuestro propio usuario y configurar los filtros según nuestra conveniencia.

Bien, nuestro ISP nos proporciona un router 3com funcionando, normalmente para dar acceso a varios ordenadores a Internet (configuración multipuesto). Y además nos proporciona una utilidad sencilla y eficaz para abrir puertos y para pasar el router de multipuesto a monopuesto y viceversa. Un programilla que se llama Routercf.exe (al menos en el caso de los de telefónica).

Hasta aquí todo perfecto. Pero llega el momento de que queremos usar el router de una manera más flexible, y nos enteramos de que el chisme este trae unas cosas que se llaman filtros y que nos impiden configurarlo a nuestro gusto. Lo más probable es que una vez que sabemos que existen, queramos eliminarlos.

Los filtros que se encuentran dentro del router actúan de varias maneras.  Normalmente nos impiden entrar a la configuración por telnet y por web (en el caso de ser un 3com de telefónica). Y si nos fijamos detenidamente, autorizan a determinadas ips sospechosas (que son las suyas) para que tengan acceso remoto al router y por tanto puedan modificar nuestra configuración a su antojo (ellos o cualquier desaprensivo que tenga a su disposición una de estas IPs)

Ahora es el momento de decir que una de las funciones del programa Routercf.exe es volver a introducir esos filtros cada vez que se ejecuta, al menos en mi caso, cada vez que lo usaba para abrir puertos, volvía a introducir los filtros en el router y me dejaba sin conexión por web o telnet otra vez.

Para ilustrar esto, voy a poner la configuración del filtro que ponía concretamente ya.com en sus routers 3com 812.

3Com-DSL>show filter filtro

RULES FOR FILTER /./filtro PROTOCOLS: ALL

#filter

IP:

1 ACCEPT src-addr=62.151.xxxx.xxxx/32;

2 ACCEPT src-addr=62.151.xxxx.xxxx/32;

3 ACCEPT src-addr=80.59.xxxx.xxx/32;

4 REJECT tcp-dst-port=23;

5 REJECT tcp-dst-port=80;

Que lo que viene a hacer es:

1,2, y 3: aceptar las IPs ahí incluidas para cualquier cosa por cualquier protocolo.

4 y 5: Rechazar las peticiones a los puertos de destino 23 y 80 TCP.

Es decir, que ellos pueden entrar a configurar nuestro router y los demás (en teoría) no. Aunque en el caso de ya.com, sólo estaba puesto el filtro para lo que venía desde Internet y no para nuestra red local.

Por lo menos son filtros que garantizan en principio una cierta seguridad en nuestro router, puesto que el acceso al mismo está muy restringido. Pero, como el router nos lo han ¿regalado?, alguien puede tener deseos de configurarlo de manera aún más segura. Para ello, y siempre según el criterio de responsabilidad de cada uno, se puede seguir un procedimiento como éste:

 

BORRAR LOS FILTROS Y USUARIOS INICIALES

Primer paso. Conectamos el ordenador al router mediante un cable serie que une el puerto COM1 del ordenador con el puerto CONSOLE del router, el que tiene 9 agujerillos. Si no tenemos este cable, habrá que esperar al día siguiente a que abran las tiendas.

 

Hay que usar un programa que viene en el propio Windows, el Hyperterminal. Se encuentra en Inicio -> Ejecutar -> Accesorios -> Comunicaciones -> Hyperterminal.

Al iniciarse el programa nos pide un nombre para la conexión, le ponemos cualquiera, le decimos que conecte por el com1 y le cambiamos la velocidad de conexión a 9600.

 

Ahora aparecerá la pantalla en blanco del hyperterminal. Si hemos hecho todo correctamente, tendremos un cursor parpadeando. Le damos a la tecla enter, hasta que nos salga lo siguiente:

login incorrect

password?

 

Este es el momento para introducir la password, ya que por hyperterminal no se necesita usuario. La contraseña normalmente es adminttd en el caso de telefónica, yacomadm en el caso de ya.com o ninguna en algunas ocasiones (con un simple enter funciona).

 

El caso es que de una manera o de otra, introducimos la contraseña, pulsamos enter y deberíamos entrar al router, obteniendo el símbolo de la línea de comandos:

 

3com-DSL>

Es posible que aparentemente no hayamos conectado. A la tecla enter hay que darle muchas veces. Si esto no funciona, cambiamos el cable de puerto y reiniciamos el hyperterminal diciéndole que conecte por el COM2. O enchufamos en el COM1 y le decimos que conecte por el COM2, etc....

Lo primero que haremos será añadir nuestro propio usuario:

3com-DSL>add user usuario_que_queramos password nuestra_password

Datos que conviene apuntar con rotulador fosforescente en la parte superior del router, por ejemplo. Ahora vamos a consultar los usuarios que tenemos en el router:

3com-DSL>list users

USERS
Login
Name                  Service  Status
nuestro_usuario TELNET INACTIVE

el_otro        TELNET INACTIVE

Tenemos el nuestro y el intruso. Borramos el_otro

3com-DSL>delete user el_otro

Ya estamos solos en el router. Ahora vamos a ver cómo estamos de filtros:

3com-DSL>list filters

FILTERS

Filter Name         Status        Protocols

filtro              NORMAL        IP

filtro2            NORMAL        IP

Ese es el listado de filtros presentes en el router. Pueden llamarse así o de otras maneras. A la hora de escribirlos para borrarlos deberemos respetar exactamente el nombre tal y como salga, exactamente la misma secuencia de mayúsculas y minúsculas. Así pues:

3com-DSL>delete filter filtro

3com-DSL>delete filter filtro2

Una vez hecho esto tenemos que guardar la configuración:

3Com-DSL>save all
Saving..... SAVE ALL
SAVE ALL Complete

 

Ahora hemos dejado abierto el acceso al router desde Internet por los puertos 23 (telnet) y 80 (http) en TCP, de manera que tendremos que volver a cerrarlo, al menos de momento.

 

PONER FILTROS A LOS PUERTOS 23 Y 80 TCP Y 69 UDP

Vamos a acceder a configurar el router por web. Por lo tanto, abrimos el navegador y ponemos en él la IP de nuestra puerta de enlace (que es la dirección ip de red local de nuestro router). Nos pedirá usuario y contraseña..., nada más fácil puesto que acabamos de crearlos, ¿no?.

Vamos a la sección Configuration -> Filter Configuration -> Setup filters.

 

En la siguiente pantalla seleccionaremos la opción From Remote Site y en el desplegable el canal en el que queramos poner los filtros. Normalmente se llamará internet, que es el que suele venir por defecto. Pulsamos Next.

 

Aparecerán los filtros que tengamos definidos. Por supuesto, si es la primera vez, no tendremos ninguno. Pulsamos el botón Create Filter y pasamos a la pantalla siguiente.

Ahora le ponemos un nombre para identificarlo. En este ejemplo vamos a filtrar el puerto 80 TCP. Seleccionamos la opción Advanced IP, dejamos marcada la casilla Enable Filter y pulsamos en Next.

 

Ahora vamos a definir las condiciones para el filtro que queremos crear. Su finalidad es impedir el acceso al router o a nuestro sistema por el puerto 80, para que nadie pueda abrir desde internet la página de configuración. La condición la dejamos en Discard Packet if... y marcamos TCP Destination Port is equal to (aquí ponemos 80).

 

De esta manera le decimos al router que todas las peticiones que se hagan al puerto 80 TCP sean descartadas si provienen desde el exterior, es decir, desde el remote site internet. Sin embargo, nos permite el acceso desde nuestra red local para continuar con la configuración.

Pulsamos de nuevo el botón Next. Ahora pasamos a una nueva pantalla:

 

Aquí nos muestra las reglas que tenemos definidas en el Filtro Filtro al 80. Podríamos seguir añadiendo condiciones en este mismo filtro para otros puertos, pero yo personalmente prefiero hacer un filtro por puerto o puertos asociados. Si por ejemplo quiero activar un servidor web en mi pc, sólo tengo que borrar este filtro y puedo dejar los demás.

Para terminar Save Filter activará el filtro. Como dice en la nota (traducido al cristiano) Warning: Si este filtro bloquea el tráfico a o desde su navegador, usted perderá la conexión del navegador cuando salve el filtro. Que quiere decir que si hemos hecho el filtro mal, (por ejemplo si le hemos dicho que bloquee el puerto 80 para nuestra red local) cuando lo salvemos no podremos acceder mediante el navegador a la página de configuración. Si esto ocurre, con desenchufar el router y volverlo a enchufar, recuperará la configuración anterior al último Save Configuration que hayamos hecho.

Es aconsejable poner filtros al puerto 80 TCP (si no vamos a montar de momento un servidor web), al puerto 23 TCP (telnet) y al puerto 69 UDP (servicio tftp del router, luego lo explicaremos más detalladamente), siempre para lo que venga del remote site, de esta manera impediremos el acceso a la configuración del router desde el exterior.

Si todo ha ido bien,  pulsamos el botón Save Configuration.

 

FILTRO DE NETBIOS.

Esto es para impedir el acceso a nuestra red local desde internet. El router 3com tiene una opción muy cómoda para colocar un filtro de este tipo. Vamos a Configuration -> Remote site profiles -> Modify (sobre el vc de internet) -> Next -> y llegamos a la pantalla Remote Site IP.

Aquí, en la sección Security, activamos la casilla Enable the "Protect Files and Printers" filter to prevent outsiders from accessing your internal printers and files (recommended).

 

Ahora le damos al botón Modify y cargará la página ya con la casilla activada. Save Configuration para guardarlo.

Esta acción introduce el siguiente filtro (un filtro muy útil, sobre todo si tenemos algún equipo en default workstation):

 

FILTRADO DEL PROTOCOLO ICMP (PING)

Para aquellos quieran pasar desapercibidos aún más, se puede hacer un filtro para que el router no responda a los pings. Simplemente sería crear otro filtro de la siguiente manera:

Llegamos a la pantalla de definición del filtro como se explicó anteriormente y ponemos Discard Packet if Protocol Type is Equal to ICMP.

 

Next y Save Filter. Ya no nos pueden hacer ping, pero nosotros tampoco lo podremos hacer. Bueno, no todo puede ser perfecto.

Save Configuration para guardar.

CLIENTES TFPT DEL ROUTER

Esta opción es menos conocida. Resulta que tenemos una ip autorizada para acceder al router por un servicio que es el tftp y esto permite a esa ip acceder a los ficheros del router y obtener, entre otros, uno que se llama users. En este fichero se encuentra nada menos que el usuario y contraseña para acceder por web y telnet.

Para cambiar esto, ya hay que entrar por telnet al router. Por tanto abrimos una ventana de sesión de ms-dos, ponemos TELNET Dirección_ip_del_router (por ejemplo 192.168.1.1). Introducimos nuestro usuario y contraseña y ponemos el comando:

3Com-DSL>list tftp clients
TFTP CLIENT ADDRESSES

(****aquí saldrá una de las ips de las que antes salían en los filtros, o peor: 0.0.0.0. que significa que son todas). Así que introducimos el comando

3Com-DSL>del tftp client [ip que nos haya salido antes]

Para comprobar lo que ha pasado:

3Com-DSL>list tftp clients
TFTP CLIENT ADDRESSES

Ya está vacío. Ahora añadimos una ip de nuestra red local para que nosotros sí que podamos obtener esos ficheros en caso de necesidad:

3Com-DSL>add tftp client 192.168.1.2

3Com-DSL>save all
Saving..... SAVE ALL
SAVE ALL Complete

 

Como anteriormente hemos añadido un filtro al puerto 69 UDP, este acceso estará también cortado desde el exterior. Sólo podremos utilizar este servicio desde la ip 192.168.1.2 de nuestra red local.

 

En fin, decir que todo lo que pongo aquí sobre el 3com lo he aprendido en varios sitios y de varias personas, por ejemplo: latas, zorry, K|sT|aN, Tatolino y por supuesto, Rosh,  en fin, todo buena gente. Pero dicen que de bien nacido es ser agradecido, así que...

 

Documento elaborado por Ar03 para, como no, http://www.adslayuda.com.

Depósito Legal GI.215-2005

Te puede interesar

Social

Encuesta

  • ¿Para qué utilizas más el Internet de tu móvil?

    Resultados Encuestas

    Votos: 4731

Entrevistas