Notícies

Com obrir ports o Port Forwading i la DMZ

L’obertura de ports, també coneguda com a port forwarding, és l’acció a través de la qual permetem que un dispositiu de la nostra xarxa interna sigui visible des d’Internet. I és que per defecte, és la nostra xarxa interna la que va cap a Internet, però no al revés.

Sinó tens clar que és una IP pública o privada i què és un port, llegeix-te aquest post.

Tots els routers permeten aquest tipus de configuració, malgrat que cada un d’ells ho fa d’una manera diferent, així que tot seguit veureu com fer-ho amb els diferents models de router Huawei d’Iguana. Per accedir al router consulta aquest article.

Model HG8245Q2

En primer lloc accediu al router i hi trobareu aquesta pantalla d’inici:

Cal anar al menú Forward Rules i allà, seleccionar l’opció Port Mapping Configuration primer, i el botó New després:

Al prémer el botó New podrem crear diferents regles per a una mateixa IP de destí, és a dir que per exemple podrem redirigir els ports 37777 i 80 a la IP 192.168.1.108.

A la pantalla que teniu a continuació podreu veure els conceptes més importants, així com una explicació de cada un d’ells:

  • Mapping Name: El Mapping Name és un text descriptiu que ens ajudarà a recordar que és cada regla. No és obligatori, però si en teniu moltes anirà bé per entendre què heu configurat.
  • Internal Host: És la IP del dispositiu intern al que fem la redirecció. Molt important que aquesta IP estigui fixada, perquè si canvia, la regla deixarà de funcionar.
  • Protocol: Pot ser TCP, UDP o TCP & UDP. En cas de dubte, fes servir l’última opció.
  • Internal port number: Port intern al qual respondrà la IP del nostre dispositiu. Fixeu-vos que podeu especificar un sol port (37777-37777) o bé un interval (2000-10000).
  • External port number: Port extern al qual respondrà la nostra IP pública o externa. Altra vegada podeu especificar un sol port (37777-37777) o bé un interval (2000-10000).

Si sobre la mateixa IP voleu una nova regla, només heu de prémer el botó Add i podreu afegir un nou port a redirigir.

Model EG8145V5

Si teniu un router EG8145V5, la pantalla és una mica diferent, tot i que les similituds són evidents. A la pantalla principal cal anar al botó Advanced:

Els passos són els mateixos que en l’altre model: opció Forward Rules, apartat IPv4 Port Mapping i botó New.

Una vegada hagueu acabat, cal prémer el botó Apply per tal que ens canvis tinguin efecte. No oblideu guardar la configuració a System Tools/Configuration File/Save.

Per guardar la configuració a l’EG8145V5 el camí és, a partir de la pantalla principal, Maintenance Diagnostics/Configuration File i botó Save.

Com podem saber si ho hem fet bé?

Per tal que tot funcioni com volem, s’han d’acomplir dos punts: que el port estigui ben obert al router i que el nostre dispositiu intern estigui “escoltant” pel port correcte, és a dir que si hem obert el port 80 o 443 que un servidor web estigui funcionant, o si hem obert el port 22, que un dispositiu sigui accessible per SSH. Per verificar-ho, a banda d’accedir al port directament, hi ha eines que ens ajuden.

Una manera és a través de llocs web, com ara https://portchecker.co/

En aquest lloc web, introduïm el número de port a la caixa Port Number, premem el botó Check i seguidament ens diu si el port està obert (open) o tancat (closed). N’hi ha força més i tots funcionen molt bé, només cal cercar a Internet.

Una eina  més complexa, i que requereixen instal·lació al nostre ordinador és nmap, que podeu trobar a https://nmap.org/

Com sempre, si teniu algun dubte i no us en sortiu, podeu posar-vos en contacte amb nosaltres.

DMZ. Què és i com configurar-la?

DMZ significa zona desmilitaritzada (DeMilitarized Zone) i històricament es va concebre com una part de la nostra xarxa interna on tenir-hi servidors que havien de ser visibles des d’Internet, amb el risc que això comporta, però a la vegada estar aïllats de la resta de la nostra xarxa.

A la pràctica, als routers domèstics el concepte està força simplificat, però hem d’entendre que s’ha de fer servir amb molta cura.

Quan en un router activem una DMZ cap a una IP concreta, estem obrint tots els ports a l’exterior. És a dir que si ho fem al nostre PC on hi tenim un Windows 10 sense les actualitzacions corresponents o amb alguna vulnerabilitat sense corregir, un atacant podria entrar per algun port o servei exposat. Queda entès el risc? És per això que a Iguana no recomanem fer servir aquesta opció en PC o a dispositius crítics.

Com es fa? El primer que ens cal fer és accedir al web de gestió del router.

Cal anar al menú Forward Rules, on l’opció DMZ Configuration ja apareix per defecte. Per activar-la cal prémer el botó New:

Allà, premem la caixa Enable DMZ per a activar-la i, a continuació, entrem la IP del nostre dispositiu a Host Address.

Per acabar, premem el botó Apply i guardem la configuració a System Tools/Configuration File/Save.

En el cas del model de router EG8145V5 cal anar també a l’apartat Advanced, opció Forward Rules i a continuació DMZ Function, que ja apareix per defecte. Per activar una DMZ, cal fer-ho a través del botó New.

Per guardar la configuració al model EG8145V5 el camí és, a partir de la pantalla principal, Maintenance Diagnostics/Configuration File i botó Save.

A la imatge podeu veure un esquema on es mostra una DMZ a la IP 192.168.1.210, és a dir que totes les peticions procedents d’Internet que vagin a la IP qualsevol port del la pública del router, la 185.87.188.10, hi seran redirigides.

Fixeu-vos què passa si activem una DMZ sobre un equip a la nostra xarxa, en aquest cas un miniordinador tipus Raspberry Pi.  Aquest és el resultat d’una inspecció amb l’eina web Pentest-Tools:

Han quedat exposats tots els ports que estan actius: 53, 139, 445 o 5900. Per cert, sabíeu que el port 445 és un port per compartir arxius que conté nombroses vulnerabilitats i que per culpa d’haver activat la DMZ puc permetre l’entrada d’atacants a la meva xarxa?

Com sempre, si teniu algun dubte i no us en sortiu, podeu posar-vos en contacte amb nosaltres.

Facebooktwitter

Got Something To Say:

L'adreça electrònica no es publicarà. Els camps necessaris estan marcats amb *

*