Gestión de ALGs en router para seguridad del NAS
#1
Ayer me cambiaron el router de Vodafone, pusieron un Sagemcom, solo abrí el puerto necesario para el OpenVPN, pero en la gestión de ALGs del router (Application Layer Gateway) está todo abierto, desde ese momento el QuFirewall está trabajando a tope. No tengo ni idea de qué servicios ALG puedo cerrar para mejorar la seguridad del NAS. Si alguien pudiese aconsejarme lo agradecería.
TVS-672XT "La Bestia"
TS-453Be "El otro"
TVS-472XT (muerto en combate)
  Responder
#2
Realmente yo cerraría todo menos lo de la VPN. Mira a ver si el que abre puertos es el UPnP del nuevo router.
TS-253A 2x4TB RAID1 8GB RAM
“La inteligencia es la habilidad de evitar hacer trabajo y conseguir que el trabajo se haga.” (Linus Torvalds)
  Responder
#3
   
(14-07-2022, 01:12 PM)adrolmar escribió: Realmente yo cerraría todo menos lo de la VPN. Mira a ver si el que abre puertos es el UPnP del nuevo router.
No, los ALGs ya estaban activos antes de activar UPnP.  
La UPnP sólo la active para que abriese algunos puertos, y una vez abiertos la desactive tanto en el router con en el NAS. 
El puerto para el OpenVPN lo abrí yo manualmente.
Lo de los ALGs en el router es una gestión independiente de la apertura de puertos, la gestión consiste en dar paso o no a un servicio, pero no indica nada de puertos.
Adjunto una captura de pantalla para que se entienda mejor.
TVS-672XT "La Bestia"
TS-453Be "El otro"
TVS-472XT (muerto en combate)
  Responder
#4
Yo de ti desactivaría todo de la sección "Redirección de puertos", a excepción claro está de OpenVPN (que debería ser la única entrada a tu LAN desde el exterior). Además, los que tienes activos son todo puertos de gestión y/o servicios web, los primeros en ser explotados desde el exterior.

En segundo lugar, yo desactivaría todos los ALGs, no sólo por razones de seguridad (que también, sobre todo si no utilizas dichos protocolos/servicios), sino porque tienen muy mala fama de provocar más problemas que soluciones.
TS-253A 2x4TB RAID1 8GB RAM
“La inteligencia es la habilidad de evitar hacer trabajo y conseguir que el trabajo se haga.” (Linus Torvalds)
  Responder
#5
He cerrado todos los puertos excepto el necesario para OpenVPN, pero el QuFirewall sigue mandando avisos continuos, a veces cada pocos minutos, lo más extraño es que sólo avisa de uno de los NAS (tengo dos) cuando ambos están conectados al mismo router y con la misma configuración de QuFirewall, he comprobado que ambos tienen bien configurados los avisos. En resumen, en ambos NAS (los de mi firma) todo está configurado igual, excepto que uno tiene QTS 4.5.4.2012 y el otro QTS 5.0.0.2055
Seguro que tiene que ser un pequeño detalle que se me está pasando, pero no consigo encontrarlo.
TVS-672XT "La Bestia"
TS-453Be "El otro"
TVS-472XT (muerto en combate)
  Responder
#6
Si sólo tienes permitido el puerto de la vpn es muy raro que sigas con los accesos. De todas maneras, si la contraseña del OpenVPN es lo suficientemente robusta no deberías tener problemas. Como mucho puedes cambiar el puerto de la vpn a uno diferente al por defecto.
Sólo se me ocurre que pueda ser que tengas publicados servicios de myqnapcloud o el propio dispositivo, y de ahí consigan tu ip  Huh
TS-253A 2x4TB RAID1 8GB RAM
“La inteligencia es la habilidad de evitar hacer trabajo y conseguir que el trabajo se haga.” (Linus Torvalds)
  Responder
#7
Misterio resuelto, hice unas capturas de eventos en QuFirewall y los archivos resultantes los abrí con WireShark, pude ver que todos los intentos de acceso provenían desde una misma IP local, pero con un rango que yo no reconocía, resulta que el router que me pusieron tiene una "red de invitados" con un rango de IP diferente al principal. Como no tengo ni idea de temas técnicos de redes, no he podido descubrir si esto es algo normal, pero el caso es que he desactivado la red de invitados y QuFirewall ha pasado de denegar casi 2000 eventos en 24 horas a sólo 4
TVS-672XT "La Bestia"
TS-453Be "El otro"
TVS-472XT (muerto en combate)
  Responder
#8
(05-09-2022, 09:04 AM)anverso escribió: Misterio resuelto, hice unas capturas de eventos en QuFirewall y los archivos resultantes los abrí con WireShark, pude ver que todos los intentos de acceso provenían desde una misma IP local, pero con un rango que yo no reconocía,  resulta que el router que me pusieron tiene una "red de invitados" con un rango de IP diferente al principal. Como no tengo ni idea de temas técnicos de redes, no he podido descubrir si esto es algo normal, pero el caso es que he desactivado la red de invitados y QuFirewall ha pasado de denegar casi 2000 eventos en 24 horas a sólo 4

Fantástico descubrimiento, ya sabes una cosa más. Yo ni caí en ese detalle, pues nunca hago uso de las redes de invitados de los routers de ISP  Angel
Si quisieras mantener la red de invitados habilitada, sólo tendrías que añadir excepción al firewall con el rango definido para dicha red (si es que deseas darle acceso al NAS), o bien asegurarte de que los dispositivos conectados a dicha red no intenten consumir los servicios del NAS.
TS-253A 2x4TB RAID1 8GB RAM
“La inteligencia es la habilidad de evitar hacer trabajo y conseguir que el trabajo se haga.” (Linus Torvalds)
  Responder
#9
(05-09-2022, 06:40 PM)adrolmar escribió: Fantástico descubrimiento, ya sabes una cosa más. Yo ni caí en ese detalle, pues nunca hago uso de las redes de invitados de los routers de ISP  Angel
Si quisieras mantener la red de invitados habilitada, sólo tendrías que añadir excepción al firewall con el rango definido para dicha red (si es que deseas darle acceso al NAS), o bien asegurarte de que los dispositivos conectados a dicha red no intenten consumir los servicios del NAS.

De momento la red invitados se va a quedar desconectada, no la necesito, de hecho nunca la he usado. Lo más inquietante para mi es que no había ningún dispositivo que usase esa red, antes de desconectarla llegué a apagar todos los dispositivos excepto el router y los dos NAS (ordenador también apagado), deshabilité la wifi del router y aún así seguían sucediendo los intentos de acceso, que sólo cesaron cuando deshabilité la red de invitados, fuese lo que fuese estaba sucediendo a través del cable ethernet.
Ya me estaba volviendo paranoico, sobre todo leyendo lo que algunos foreros han puesto sobre sus problemas con Deadbolt, me temía que tuviese algo que ver con eso.
TVS-672XT "La Bestia"
TS-453Be "El otro"
TVS-472XT (muerto en combate)
  Responder




Usuarios navegando en este tema: 1 invitado(s)