Seguridad de reenvío de puerto y bloqueo de puerto

Navega tus respuestas
1

Estoy muy preocupado por la seguridad de RDP y sobre varias ocasiones de infecciones de ransomware a través de RDP, por lo que ahora estoy examinando las posibilidades de defensa personal contra estas amenazas. Lo que me interesa mucho es asegurar los puertos del enrutador desde el exterior. Como se explicó detalladamente aquí , el puerto bloqueado / filtrado es mejor que el puerto que no tiene enlace de servicios, porque el puerto bloqueado no envía la respuesta al atacante.

Sin embargo, ¿qué sucede si el puerto no está bloqueado, pero no se reenvía a cualquier parte del nivel del enrutador? ¿Es equivalente a bloquear en sentido de seguridad?

En mi opinión, el puerto no enviado simplemente se redirige a ninguna parte , y el atacante simplemente no puede usarlo para comprometer nada. ¿Esto tiene algún sentido?

ACTUALIZACIÓN: Se agregaron enlaces de referencia para @ISMSDEV y otros que no creen que el ransomware y el RDP sigan de cerca.
1. Ransomware y RDP: ¿Eres vulnerable?
2. Ransomware se propaga a través de débiles credenciales de escritorio remoto
3. ransomware utilizando Remote Desktop para propagarse

    
pregunta Suncatcher 27.06.2017 - 16:26
fuente

2 respuestas

1

Permítame hacer algunas suposiciones para intentar simplificar esto:

  1. Está hablando de una red doméstica o SOHO, y no de un entorno empresarial.
  2. Su enrutador realiza la traducción de direcciones de red (NAT), de ahí la necesidad de reenvío de puertos.
  3. Está interesado en el tráfico bloqueado explícitamente frente a la falta de reenvío.

Entonces, comparemos lo que sucede en cada caso. En el caso de que le haya dicho explícitamente a su enrutador que deje caer el tráfico entrante en el puerto 3389:

  1. Un paquete TCP SYN viene con la IP de destino establecida en su enrutador y puerto de destino 3389.
  2. Su enrutador consulta pf / iptables / lo que sea que use vxworks y determina que el paquete se debe eliminar.
  3. El paquete se descarta, el enrutador lo olvida y no se envía ninguna respuesta al atacante.

Para el caso en el que no tienes nada reenviado:

  1. Un paquete TCP SYN viene con la IP de destino establecida en su enrutador y puerto de destino 3389.
  2. Su enrutador consulta pf / iptables / lo que sea y no encuentra una dirección explícita para manejarlo. (¡Sin incluir el reenvío de puertos!)
  3. Su enrutador consulta su tabla de estado de la red, no encuentra ninguna conexión que coincida (ya sea establecida o "relacionada"), por lo que no es necesario reenviar el paquete a través de NAT.
  4. Su enrutador busca un servicio de escucha en el mismo puerto 3389.
  5. Dado que se ha activado 2/3/4, el enrutador no tiene idea de lo que se supone que debe hacer este paquete, por lo que envía un restablecimiento de la conexión (TCP RST) de nuevo al host solicitante.

En cualquier caso, ninguna conexión TCP está realmente establecida. Algunas personas creen que eliminar paquetes es mejor porque "oculta su presencia" en línea. Supongo que eso es potencialmente cierto, pero luego debes soltar en cada puerto y no tener reenvío de puertos. De lo contrario, está claro para un atacante que su IP está viva. Además, la mayoría de los usuarios de SOHO deberían estar más preocupados por los ataques oportunistas en lugar de los dirigidos; en ese caso, los atacantes simplemente escanearán grandes bloques de IP en busca del puerto 3389 abierto. Dejar caer un paquete o restablecerlo hace poca diferencia para este atacante.

    
respondido por el David 26.08.2017 - 23:14
fuente
0

Entonces, si reenvía un puerto que no tiene un servicio legítimo ejecutándose en el backend de su red, entonces no estaría muy preocupado por ello. Sin embargo, no tendría puertos abiertos en mi red a menos que sean necesarios.

En cuanto al RDP, 3389 nunca debe estar expuesto directamente a Internet. Incluso un número de puerto ofuscado para RDP nunca debe tener acceso directo a Internet a través de reenvío de puertos o por cualquier otro medio.

Si le preocupa la seguridad RDP, asegúrese de tener una VPN bien configurada con RSA 4096 o configuración de cifrado ECDSA.

    
respondido por el Joshua Faust 27.06.2017 - 17:18
fuente

Lea otras preguntas en las etiquetas

¿Cómo puede la geometría de una imagen JPG 2000 dentro de un PDF ejecutar código cuando se abre en Adobe Reader? ¿Existe una forma segura de cargar un malware en un servidor centralizado?