¿El proveedor puede acceder a mi red local?

5

Recientemente hablé con mi ISP sobre muchas cosas, básicamente relacionadas con la seguridad de mi (pequeña) empresa, este tipo es un gurú de las redes para mí, pero hizo algo extraño que me preocupa. Básicamente, tengo una máquina de desarrollo web ubicada en mi LAN, que no tiene redireccionamiento de puertos (no es accesible desde Internet), pero él podría acceder a un servidor web desde fuera de la interfaz WAN del enrutador de alguna manera y no me diría cómo lo hizo. eso. Simplemente dice que es normal que él, siendo mi proveedor, pueda escanear puertos y acceder a los servicios de mi computadora (wtf?!?). También dijo que debería haber alguna regla que debería agregar a mi tabla de enrutamiento que debería evitarla, pero "no recuerda" su contenido. Obviamente, a los hombres les gusta entrometerse en los asuntos de otros, y aunque somos una especie de amigos, REALMENTE no me gusta.

Tengo un viejo router-in-a-box de Linux, basado en iptables 1.2-algo, y aquí están sus scripts (recorté cualquier reenvío de puertos y rechacé las reglas por brevedad). Estos eran los estándar.

Chain INPUT (policy ACCEPT)
num  target     prot opt source               destination         
1    DROP       tcp  --  anywhere             anywhere           tcp 
Chain FORWARD (policy DROP)
num  target     prot opt source               destination         
1    TCPMSS     tcp  --  anywhere             anywhere           tcp flags:SYN,RST/SYN     TCPMSS clamp to PMTU          
//here follows a bunch of port forwarding rules and DENY rules I set,
//and line 60 looks kind of out of place, given line 61
60   ACCEPT     all  --  anywhere             anywhere           
61   ACCEPT     all  --  anywhere             anywhere           state RELATED,ESTABLISHED 
Chain OUTPUT (policy ACCEPT)
num  target     prot opt source               destination         

Así que la pregunta es triple:

  • ¿Cómo un ISP pudo haber accedido al puerto 80 en mi máquina sin que yo lo reenvíe en el enrutador?
  • ¿Cómo puedo evitar que él o cualquier otra persona en esa red lo haga?
  • explique por qué hay una línea 60 y después de eso hay una línea 61, porque, según entiendo, si algo está permitido en la línea 60, los paquetes ya podrían pasar sin siquiera llegar a la línea 61

EDIT:

Esta es mi configuración, creo que es bastante estándar:

ISP network -> their WiFi bridge -> Our router -> Our Network (with my DEV machine)

El ISP solo debe ser capaz de escanear nuestro enrutador. Todo lo que me dieron fue un enchufe a su puente WiFi que está en nuestro techo y una IP, el enrutador se compró por separado.

    
pregunta Kitet 16.02.2014 - 18:54
fuente

2 respuestas

1

Creo que tienes la respuesta a tu pregunta en las reglas del firewall. Desde su diagrama de red, es razonable esperar que su ISP tenga acceso al puente Wi-Fi que proporcionan, por lo que si se puede acceder a un host desde allí, es probable que pueda acceder a él.

En tus reglas, como mencionas, la regla 60 parece fuera de lugar. La regla 61 parece una regla estándar necesaria para permitir el tráfico relacionado con las conexiones salientes desde la red interna, pero la regla 60 parece a partir de la información que ha proporcionado para que todo el tráfico se reenvíe a través de su enrutador.

también tiene razón al decir que, por lo general, el firewall coincide con una regla y luego deja de coincidir en esa cadena, por lo que la primera regla de aceptación se vería afectada y la segunda 61 no se vería afectada.

Para probar esto, lo que haría si estuviera conectado a una máquina a la interfaz "externa" de su enrutador, dele una dirección IP en la subred que se use allí (suponiendo que no haya DHCP en su lugar) y luego intente conectarse a una máquina en su red interna. Si puede, entonces, parece probable que esa regla "60" sea el problema.

Sin embargo, tenga mucho cuidado al eliminar la regla, ya que eliminar las reglas de aceptación en los firewalls de producción puede tener consecuencias inesperadas (es decir, permitir el tráfico que realmente desea y cuando lo elimina, el tráfico deja de fluir).

    
respondido por el Rоry McCune 02.03.2014 - 20:44
fuente
0

Primero, debe habilitar la salida detallada de iptables. Las reglas que parecen ser las mismas pueden ser diferentes, ya que tienen una opción no mostrada. Por ejemplo, uno de ellos solo puede aplicarse a la interfaz de bucle invertido.

Debe aclarar exactamente qué sucedió, qué está conectado dónde y a qué supuestamente accedió a través de qué conexión. Un diagrama de red completo con direcciones IP podría ayudar a aclararlo.

  1. Tal vez su enrutador esté enrutando su espacio de IP privado. Si bien no se puede acceder a él a través de Internet en general, su ISP podría agregar una ruta para decir "192.168.1.0/24" que va a través de su enrutador.
  2. ¿Estaba en tu oficina? Tal vez solo se conectó desde su oficina pero dijo que estaba afuera.
  3. Es posible que haya iniciado sesión en tu enrutador y haya cambiado las cosas.
  4. Es posible que su enrutador tenga UPnP o algo habilitado que le permita agregar reglas de forma dinámica (es poco probable que sea solo iptables).
  5. Si tuviera acceso a su red, podría haber enviado un paquete desde la IP de su servidor web y la fuente del puerto 80. Una implementación de NAT deficiente (probablemente no iptables) podría hacer una asignación al puerto 80 que permita la IP in. (ICE y otros sistemas de perforación son en realidad una recopilación de técnicas para tratar de explotar dispositivos NAT mal implementados)
respondido por el MichaelGG 02.03.2014 - 00:48
fuente

Lea otras preguntas en las etiquetas