{"id":1329,"date":"2024-05-16T10:00:00","date_gmt":"2024-05-16T13:00:00","guid":{"rendered":"https:\/\/www.nerdadas.com\/blog\/?p=1329"},"modified":"2024-05-14T23:42:32","modified_gmt":"2024-05-15T02:42:32","slug":"bloquear-un-escaneo-de-puertos","status":"publish","type":"post","link":"https:\/\/www.nerdadas.com\/blog\/bloquear-un-escaneo-de-puertos\/","title":{"rendered":"Bloquear un Escaneo de Puertos"},"content":{"rendered":"\n

Basta solo con dejar un RDP (Escritorio remoto) publicado en internet para que a los minutos recibamos miles de ataques automatizados. Hoy en d\u00eda los escaners autom\u00e1ticos est\u00e1n a la orden del d\u00eda. Un puerto abierto es una posibilidad de ser vulnerado y un riesgo alto para la integridad y confidencialidad de la informaci\u00f3n de tu empresa y, porqu\u00e9 no, personal.<\/p>\n\n\n\n

Un tema que toqu\u00e9 hace poco cursando la certificaci\u00f3n MTCTCE<\/a> es la detecci\u00f3n de escaneo de puertos, un feature que trae RouterOS<\/a>. Como en la oficina tengo un Cisco ASA<\/strong> y un Cisco FTD<\/strong> tambi\u00e9n prob\u00e9 estas capacidades en estos dispositivos(por ahora solo en un laboratorio).<\/p>\n\n\n\n

C\u00f3mo funcionan los escaneos de puertos?<\/h2>\n\n\n\n

Los escaners de puertos son programas que \u00abrevisan\u00bb secuencialmente los diferentes puertos del protocolo IP hasta encontrar servicios escuchando en estos. Una vez localizados se listan y se muestran al usuario. <\/p>\n\n\n\n

Muchos de estos escaneres de puertos tambi\u00e9n muestran los servicios corriendo, versiones de estos, sistemas operativos funcionando y hasta vulnerabilidades publicadas para los mismos.<\/p>\n\n\n\n

Las aplicaciones que escanean puertos actualmente son mucho m\u00e1s completas que solo toc toc, qui\u00e9n es?. Hoy es posible analizar puertos abierto con t\u00e9cnicas m\u00e1s avanzadas, sin embargo la forma m\u00e1s comun siguiendo siendo el \u00abport scanning\u00bb.<\/p>\n\n\n\n

Empezamos el laboratorio?<\/h2>\n\n\n\n
\"\"<\/a><\/figure>\n\n\n\n

Este ser\u00e1 nuestro LAB. Si ya leiste https:\/\/www.nerdadas.com\/blog\/conexion-basica-de-un-router-mikrotik-a-internetnatpatdhcpdmz\/<\/a> me voy a ahorrar explicarte generalidades de los comandos de Mikrotik. Igualmente, cada comando tiene su men\u00fa con el mismo nombre y mismas opciones. Pasamos a las configuraciones del router R1.<\/p>\n\n\n\n

#R1\n#Configuro Nombre\nsystem identity set name=R1\n#Interfaz de administraci\u00f3n\nip dhcp-client\/add interface=ether1 comment=\"Interfaz de Administraci\u00f3n\"\n#WAN\nip address add interface=ether2 address=200.200.200.201\/24 comment=\"WAN\"\n#Default Route\nip route add dst-address=0.0.0.0\/0 gateway=200.200.200.202\n#LAN\nip address add interface=ether3 address=192.168.10.1\/24 comment=\"LAN\"\n#Configuramos DHCP\nip dhcp-server\/setup \nSelect interface to run DHCP server on \n\ndhcp server interface: ether3\nSelect network for DHCP addresses \n\ndhcp address space: 192.168.10.0\/24\nSelect gateway for given network \n\ngateway for dhcp network: 192.168.10.1\nSelect pool of ip addresses given out by DHCP server \n\naddresses to give out: 192.168.10.2-192.168.10.254\nSelect DNS servers \n\ndns servers: 192.168.10.1 \nSelect lease time \n\nlease time: 1800<\/em>\n#Configuro el DNS\nip dns\/set servers=8.8.8.8,8.8.4.4 allow-remote-requests=yes \n#Nat para internet\nip firewall\/nat\/add chain=srcnat out-interface=ether2 action=masquerade\n<\/code><\/pre>\n\n\n\n
Con esta configuraci\u00f3n ya lo sacamos andando. Le pusimos nombre, configuramos las interfaces y dej\u00e9 un acceso NAT para poder acceder al winbox<\/a> en gns3.<\/p>\n\n\n\n
La WAN<\/strong> es la interfaz ether2 y la LAN<\/strong> ether3. Ah\u00ed correr\u00e9 un DHCP<\/strong> (192.168.10.0\/24) donde dar\u00e9 ip a los equipos de la red. La WAN<\/strong> tendr\u00e1 una ip dentro del mismo rango del Hacker! <\/strong>para hacerle las cosas m\u00e1s f\u00e1ciles y que nuestro lab sea productivo y r\u00e1pido.<\/p>\n\n\n\n
Como estamos preparando un firewall vamos a configurarlo como tal y tambi\u00e9n vamos a dejar unos puertos abiertos para darle comida a nuestro Hacker. <\/strong><\/p>\n\n\n\n
\n#Segurizamos deshabilitando servicios innecesarios\nip service\/disable telnet   \nip service\/disable api \nip service\/disable www \nip service\/disable api-ssl \nip service\/disable ssh     \nip service\/disable ftp \n\n#Redirecciono puertos a un equipo de nuestra lan(192.168.10.254)\nip firewall\/nat\/add chain=dstnat in-interface=ether2 protocol=tcp port=80 action=dst-nat to-addresses=192.168.10.254 to-ports=80\nip firewall\/nat\/add chain=dstnat in-interface=ether2 protocol=tcp port=23 action=dst-nat to-addresses=192.168.10.254 to-ports=23\nip firewall\/nat\/add chain=dstnat in-interface=ether2 protocol=tcp port=22 action=dst-nat to-addresses=192.168.10.254 to-ports=22\n\n\n#Metemos reglas de Firewall para el exterior\n#Descarto paquetes inv\u00e1lidos\nip firewall\/filter\/add chain=input connection-state=invalid protocol=tcp action=drop\n#Reglas para los puertos con PAT\nip firewall\/filter\/add in-interface=ether2 protocol=tcp chain=input port=22 action=accept\nip firewall\/filter\/add in-interface=ether2 protocol=tcp chain=input port=23 action=accept\nip firewall\/filter\/add in-interface=ether2 protocol=tcp chain=input port=80 action=accept\n#Dejamos que nos hagan ping\nip firewall\/filter\/add in-interface=ether2 protocol=icmp chain=input action=accept\n#DNS\nip firewall\/filter\/add chain=input in-interface=ether2 protocol=udp port=53 action=accept \n\n#Al final de todo bloqueamos lo que no nos interesa\nip firewall\/filter\/add chain=input in-interface=ether2 action=drop \n<\/code><\/pre>\n\n\n\n
\"\"<\/a><\/figure>\n\n\n\n
Listo, ahora configuramos la PC de nuestro Hacker<\/strong>. \u00c9l usar\u00e1 un debian 12 con tan solo NMAP<\/a> instalado(Este Hacker es peligroso con poco).<\/p>\n\n\n\n
Para los que no conocen Nmap es un escaner de puertos muy poderoso.<\/p>\n\n\n\n
#Contenido del archivo con la config de redes. Nuestro adaptador es el ens4\n~$ cat \/etc\/network\/interfaces\nauto ens4\niface ens4 inet static\n\taddress 200.200.200.202\n\tnetmask 255.255.255.0\n\tgateway 200.200.200.201<\/code><\/pre>\n\n\n\n
Vamos a verificar conectividad<\/p>\n\n\n\n
\"\"<\/a><\/figure>\n\n\n\n
Listo, ahora tenemos que escanear los puertos de nuestro equipo antes de defenderlo para ver como funciona de esa manera. El comando para un escaneo r\u00e1pido de puertos es:<\/p>\n\n\n\n
~$ nmap -sF <IP><\/code><\/pre>\n\n\n\n
No se olviden de ejecutarlo como root o Administrador local.<\/p>\n\n\n\n
\"\"<\/a><\/figure>\n\n\n\n
Perfecto. Podemos ve clarament que nuestro router\/firewall tiene los puertos 22, 23 y 80 abiertos. Cerrados en realidad!.<\/strong> O sea.. est\u00e1n abiertos pero del otro lado no hay servicios escuchando ya que no configur\u00e9 un servidor detr\u00e1s. A nuestro prop\u00f3sito el escaner funcion\u00f3, nos muestra que esos puertos est\u00e1n esperando que alguien les habl\u00e9.<\/p>\n\n\n\n
Y ahora qu\u00e9?<\/h2>\n\n\n\n
Acabamos de comprobar que est\u00e1n abiertos y el escaner los detect\u00f3. Ahora, vamos a defendernos de este hacker. Vamos a detectar qui\u00e9n escanea nuestros puertos y agregarlo a una lista. <\/p>\n\n\n\n
Luego, vamos a bloquear(DROP) todo lo que tenemos en esa lista de Hackers y escaneadores de puertos compulsivos.<\/p>\n\n\n\n
La regla de detecci\u00f3n se ve algo as\u00ed… (Y luego explicamos)<\/p>\n\n\n\n
\"\"<\/a><\/figure>\n\n\n\n
\"\"<\/a><\/figure>\n\n\n\n
En una nueva regla de firewall(Que moveremos al principio de nuestro Firewall) configuramos que todo lo que sea \u00abINPUT\u00bb (Si ten\u00e9s dudas pod\u00e9s ir a: https:\/\/www.nerdadas.com\/blog\/firewall-basico-mikrotik\/<\/a>) y cumpla con el apartado PSD (Port Scanner Detection) <\/strong>se agregue a la Address List Hacker!<\/p>\n\n\n\n
Que nos dice el apartado PSD?.<\/h2>\n\n\n\n
El PSD de Mikrotik funciona de la siguiente manera:<\/p>\n\n\n\n