Redireccionando el puerto 3389 [Escritorio Remoto de Windows] en el módem HG658d.
Este es un Servicio para la comunidad. Así que diculpe Vd. lo 'offtopic' de esta entrada.
============
Cuando por razones de seguridad es necesario habilitar algún nivel extra de seguridad en nuestra red doméstica, hay algunos escollos que deben esquivarse para poder habilitar las medidas que nos protejan de intrusiones e intentos de intrusiones por terceras personas.
Hace tiempo noté que mi puerto de escucha para el Escritorio remoto de Windows [el famoso 3389] estaba recibiendo una cantidad considerable de solicitudes no exitosas de acceso. Supongo que alguien se hizo con mi dirección de dominio dinámico registrada en No-IP y de allí el ataque constante a mi pc de escritorio.
============
Cuando por razones de seguridad es necesario habilitar algún nivel extra de seguridad en nuestra red doméstica, hay algunos escollos que deben esquivarse para poder habilitar las medidas que nos protejan de intrusiones e intentos de intrusiones por terceras personas.
Hace tiempo noté que mi puerto de escucha para el Escritorio remoto de Windows [el famoso 3389] estaba recibiendo una cantidad considerable de solicitudes no exitosas de acceso. Supongo que alguien se hizo con mi dirección de dominio dinámico registrada en No-IP y de allí el ataque constante a mi pc de escritorio.
Pues bien, hoy ha sido uno de esos días en los que las solicitudes de conexión han subido considerablemente en cantidad, así que me tomé el tiempo para realizar algunos ajustes en mi módem de telmex, para desviar esas solicitudes a otro puerto dentro de la red, y para conectarme remotamente con el cliente e invocando un puerto diferente del 3389.
Esto puede realizarse de una manera relativamente sencilla.
Primero:
Hay que entrar en la herramienta de administración del HG658d, e ir a la sección 'Internet', y buscar 'Mapeo de puertos'.
Una vez en esa sección encontraremos los servicios que están asignados a los equipos de nuestra red doméstica. En mi caso, el HG658d tiene un mapeo por default para el servicio de Escritorio Remoto, que es el utilizado para conectar directamente desde una computadora externa hasta la pc de escritorio en mi red doméstica. Este mapeo será modificado más tarde para enviar a un puerto cualquiera sin que reciba respuesta, cuando algún fisgón busque conectarse al puerto 3389.
Pero antes hay que agregar el mapeo que servirá para conectar desde otro puerto externo directamente al puerto 3389 de la pc de escritorio. Para esto, damos clic en 'mapeo de puertos nuevo'.
Se desplegará un listado, donde aparecerán algunas configuraciones predeterminadas. Daremos clic en 'Agregar aplicación de mapeo de puertos' e indicaremos el puerto externo utilizado, el puerto local y el equipo de la red doméstica, y el nombre con el que identificaremos esta configuración.
Al dar clic en 'agregar aplicación de puerto' veremos los campos a capturar con la información que deseamos:
El puerto externo es el que nosotros sabremos que está asignado a nuestro servicio de escritorio remoto. El HG658d sólo permite puertos por debajo del 9999, así que hay que indicar uno cualquiera, entre más alto mejor, que sólo nosotros conozcamos, con el que nos conectaremos a nuestra pc de escritorio.
El puerto local es el puerto por default 3389. Asignamos el nombre que deseamos para esta regla o política, y guardamos cambios.
Para terminar con esta parte, asignamos la nueva política a la pc local y guardamos cambios.
Ahora, hay que modificar la política que aparece por default para el puerto 3389. Se pensará que es más simple borrarla, pero si se hace un escaneo de puertos sobre el router, un scanner encontrará que no hay puerto 3389 a la escucha y podrá intentar conectar por escritorio remoto a cualquier otro puerto que esté escuchando. De allí que haya decidido modificar la política para desviar los intentos de conexión al limbo.
Se abre la política predeterminada y se edita con un puerto cualquiera, por debajo del 9999.
En mi caso, asigné el puerto 8889 como puerto interno. Se guardan cambios y se asigna el listado a un equipo cualquiera de la red que no esté pensado para uso con escritorio remoto, como un celular, una impresora o una consola de videojuegos. Como sea, la solicitud será enviada a un puerto 'inalcanzable' al que el dispositivo en cuestión no podrá responder.
Y, para finalizar, hay que indicarle al router que desencadene el puerto 3389 cuando reciba solicitud de conexión desde nuestro puerto indicado en la política que hicimos ex-profeso para ello.
Iremos a la sección "Activación de puertos" y daremos clic sobre la opción 'Nueva activación de puertos'.
Aparecerá un listado con las configuraciones predeterminadas, daremos otro clic en 'Nueva activación de puertos'.
Guardamos cambios, y listo.
Ahora, si todo es correcto, debemos ser capaces de conectarnos por el cliente de Escritorio remoto a nuestra pc de la red doméstica utilizando un puerto externo que no es el 3389.
Vemos que efectivamente, el puerto utilizado para conectarse al Escritorio Remoto es el que nosotros definimos y asignamos en nuestro router.
Y si un curioso intenta conectarse a nuestra pc utilizando el puerto estándar, lo único que recibirá será esta notificación:
ADVERTENCIA: Sé que hay en internet manuales y tutoriales para cambiar desde el registro el puerto 3389 en nuestra pc, de modo que responda y lance el servicio cuando se le invoque desde otro puerto. Este procedimiento lo he intentado un par de veces, pero en ambos me ha dejado colgado y al menos en mi pc no ha funcionado.
Y por último, este método no le blindará a Vd. contra intentos de conexión no deseados. Además de medidas precautorias como esta, es conveniente que tenga un buen firewall por software y correctamente configurado el firewall de windows, además de un antivirus actualizado y alguna otra herramienta para eliminación de malware. Ninguna precaución es minúscula, principalmente cuando tiene su pc expuesta a este y otros ataques desde la red de redes.
Y si un curioso intenta conectarse a nuestra pc utilizando el puerto estándar, lo único que recibirá será esta notificación:
ADVERTENCIA: Sé que hay en internet manuales y tutoriales para cambiar desde el registro el puerto 3389 en nuestra pc, de modo que responda y lance el servicio cuando se le invoque desde otro puerto. Este procedimiento lo he intentado un par de veces, pero en ambos me ha dejado colgado y al menos en mi pc no ha funcionado.
Y por último, este método no le blindará a Vd. contra intentos de conexión no deseados. Además de medidas precautorias como esta, es conveniente que tenga un buen firewall por software y correctamente configurado el firewall de windows, además de un antivirus actualizado y alguna otra herramienta para eliminación de malware. Ninguna precaución es minúscula, principalmente cuando tiene su pc expuesta a este y otros ataques desde la red de redes.
1720.
Nam stat fua cuiq~ dies, breue et irreparabile tempus.
Nam stat fua cuiq~ dies, breue et irreparabile tempus.
Comentarios