Seguridad a Web Proxy
Cuando contamos con IP publica y utilizamos la función de Web Proxy de nuestro equipo Routerboard es muy importe tener una regla que no permita hacer uso de nuestra IP publica vía Proxy ya que podemos recibir ataques por medio este medio.
En este post se mostrará como verificar si su puerto proxy es vulnerable y como crear una regla básica que le permita denegar que se pueda utilizar su quipo Rb como servidor proxy. Para realizar la prueba se requiere que no su PC no esté saliendo con la IP publica de su Rb. 1 Verificamos la IP con la que salimos a Internet
Lo primero que debemos hacer es comprobar con que IP es con la que estamos saliendo a Internet, para esto nos dirigimos a speedtest.net donde nos mostrara la IP con la que salimos a Internet y realizamos una prueba de velocidad para confirmar que estamos teniendo conectividad a Internet.
Nota
Por motivos de seguridad no se mostrara nuestra IP publica para este paso.
2 Revisar IP publica y puerto Web Proxy de nuestro Rb
Una vez que verifique con que IP está saliendo y que sea una IP diferente a la que está en su RB verificamos que puerto y que IP publica que están asignados en nuestro equipo. Nos dirigimos a IP/Cloud donde podremos encontrar nuestra IP publica (Esta IP publica es dinámica por lo que no hay problema que se visible)
En IP/Web Proxy podemos encontrar con que puerto se está trabajando.
3 Asignamos nuestro equipo Rb como servidor proxy
Una vez que sabes que puerto e IP están definidos en nuestros RB pasaremos a realizar la prueba mediante el navegador de Mozilla. Para realizar la prueba es necesario que se conecte a una red externa a la de su Rb, ya que se pretende poder navegar atreves de la IP publica de nuestro Rb. Nos dirigimos a las opciones del navegador y no situamos en los ajustes genérales donde en la parte inferior encontraremos la configuración de conexión.
Nota
Para poder comprobar que se esta navegando bajo la IP publica de nuestro Rb debemos estar en una red externa, de lo contrario siempre estaremos saliendo bajo la IP publica de nuestro equipo y la prueba no tendría sentido .
Seleccionamos la opción de “Configuración manual de proxy” donde asignaremos la IP publica y colocamos el puerto Proxy de nuestro Rb, una vez que los coloque seleccionamos la opción de “También usar este proxy para FTP y HTTPS” y aceptamos los cambios.
Una vez realizado el cambio pasaremos a hacer la prueba como en el paso 1.
Nota
Con esta simple prueba ya estamos detectando la vulnerabilidad en nuestro Rb ya que estamos utilizando nuestro RB como servidor proxy y que estamos saliendo a Internet atreves de su IP pública.
5 Como evitar que se utilice nuestro Rb como servidor Proxy
Una vez que nos de conexión a internet sabemos que estamos saliendo con la IP publica de nuestro Rb y que tenemos una vulnerabilidad por lo que pasaremos a crear la regla que bloque todas las conexiones proxy.
Para esto nos dirigimos al apartado de IP/Firewall donde agregaremos la regla con el botón con el símbolo de +.
En los ajustes generales vamos a definir que todo lo que entre por el puerto WAN que se tráfico tcp por puerto 999 (nuestro puerto proxy) se le haga drop.
6Comprobamos que la regla este trabajando
Una vez que la regla se haya creado podemos volvemos a conectarnos a una red externa y al intentar navegar podemos ver que ya no es posible. Al realizar la prueba desde speedtest.net no podrá conectarse ya que se esta intentando salir desde la IP publica de nuestro Rb y al haber creado la regla en el firewall de nuestro equipo esta bloqueando el acceso.
Nota
El siguiente paso es opcional y es solo si maneja más de una WAN.
La regla que creamos solo se está aplicando a un solo puerto WAN que en nuestro caso es el ehter1. Si tenemos varios enlaces WAN y ya sea que se haga balanceo o no, debemos crear la misma regla para todos los puertos WAN ya que si no se crea una regla para cada puerto este quedara expuesto.
7 ¿qué pasa si tengo varios puertos WAN o si estoy manejando balanceo de carga?
Seleccionamos la regla que acabamos de crear y seleccionamos la opción de Copy lo que nos abrirá otro panel con las mismas configuraciones, en este segundo panel colocaremos nuestro otro puerto WAN y daremos en OK.
Con esto el Rb estará protegido en ambos puertos, esto debe realizar lo en todos los puertos WAN que tenga su equipo.
Última edición por Saul.Herrera; 28/04/2021 a las 08:40