Recomendaciones basicas de seguridad

luigi86

Administrador
Administrador
Registrado
4 Ago 2014
Mensajes
2.814
Reacciones
2.719
Ubicación
Perdido por España
Pais
Spain.GIF
Copio y pego las recomendaciones de dabezt

-------------------------------------------------------------

Recomendaciones básicas de 'Seguridad' para nuestros Dreambox + CCcam

1.- Sistema:

1.1.- Antes de hacer nada, deberías asegurarte de que el (super)usuario "root" tiene password; nunca dejarlo sin password y sobretodo nunca dejar el que vendrá por defecto (por ejemplo "dreambox").

Para cambiar el password del usuario "root" tienes que acceder vía Telnet (puerto 23 por defecto) a la Dreambox y ejecutar el comando "passwd" (no verás el password que escribes, es normal, por seguridad).

1.2.- Si es posible, la primera vez que accedes vía Telnet a tu Dreambox, haz una copia del fichero "/etc/passwd" con el comando "cp /etc/passwd /etc/OLDpasswd".

En este fichero aparecen los usuarios de tu Dreambox + sus password cifrados (no se pueden ver tal cual); así tendrás una copia del fichero para comparar en cualquier momento con el actual "/etc/passwd" si se ha creado en algún momento otros usuarios y no eras consciente.

1.3.- Siguiendo la norma número 1, deberías cambiar SIEMPRE todos los passwords por defecto; no dejar nunca los que vienen de fábrica o en las imágenes (si es que vienen).

1.4.- Utiliza siempre passwords lo más fuertes posibles, utilizando carácteres alfanuméricos y símbolos de puntuación, por ejemplo, y como mínimo de 8 carácteres. Y cambia los passwrod a menudo!!

1.5.- Existen algunas imágenes, como por ejemplo las de Enigma1 anterior a 4.60, para nuestras Dreambox que tenían algunos bugs por los cuales se tenía acceso al fichero "CCcam.cfg". Se recomienda tener actualizada la Dreambox.

2.- Accesos:

2.1.- Plantéate acceder siempre a tu Dreambox desde dentro de tu red privada en casa; Ojo con los modos DMZ de los routers. En foros específicos de ADSL podrás encontrar información puntual sobre cómo abrir puertos y cómo mapearlos, modos DMZ, etc.

2.2.- No publiques o mapees en tu router acceso por Internet a los puertos de Telnet (por defecto 23) o Ftp (por defecto 21) de tu Dreambox, si puedes. Si necesitas acceder desde Internet a dichos puertos de tu Dreambox, mapealos en diferentes puertos externos: 3023 internet -> 23 Dreambox por ejemplo.

2.3.- No publiques o mapees en tu router acceso por Internet al servidor web de la Dreambox (http server puerto 80), si puedes. Aunque con este acceso poco pueden trastear.

2.4.- En el fichero "/var/log/vsftpd.log" puedes revisar los accesos vía ftp, en busca por ejemplo de aquellos que no sean desde tus direcciones Ips.

2.5.- En algunas imágenes de Dreambox existe un plugin llamado Firewall (cortafuegos) que si bien es ya para usuarios avanzados, puede ayudar a detectar y/o parar paquetes de direcciones Ip que no estén controladas y saber qué se 'solicita'.

3.- CCcam.cfg: (normalmente "/etc/CCcam.cfg")

3.1.- En el fichero "CCcam.cfg" se configura por qué puerto compartes Clines:

SERVER LISTEN PORT : 12000

Por defecto es el 12000. Se puede cambiar a cualquier otro, siempre y cuando lo mapees luego bien en el router. Es el puerto que pones en las Clines para tus peers.

C: pepote.dyndns.org 12000 usuario password no { 0:0:2}

Si ya tienes peers y cambias este puerto deberás avisar a todos de dicho cambio, facilitándoles el nuevo puerto.

3.2.- Dentro del fichero "CCcam.cfg" también se configura el acceso remoto a las estadísticas de la CCcam. Por ello se puede habilitar acceso vía Web, por defecto en el puerto 16001 y con un usuario y password que debemos configurar en dicho fichero. Buscar en el cccam.cfg estas lineas:

WEBINFO USERNAME : root
WEBINFO PASSWORD : password

WEBINFO LISTEN PORT : 16001

Es posible que ya tengáis las líneas con almohadilla #, que sirve para que no se tengan en cuenta, y sin ningún usuario y password fijados; quitadle la almohadilla.

Definid usuario y password en esas líneas, utilizando lo que queráis pero se recomienda no utilizar root como usuario ni vuestro password de root.

WEBINFO USERNAME : loqueosdelagana
WEBINFO PASSWORD : laquemascorajetede

Si os es posible, también cambiad el puerto de acceso por defecto también (que es el 16001):

WEBINFO LISTEN PORT : 36001 (por ejemplo)

Si usais software de revisión remota de las estadísticas, como el CCcamInfoPHP, debeis ir a la carpeta "htdocs" de dónde se instaló dicho software en vuestro PC; en ella encontrareis el fichero "config.php"; dentro de dicho fichero, y en esta linea es donde deberis poner el usuario y contraseña, y el puerto que acabáis de definir:

$CCCamWebInfo[] = array("192.168.1.6","36001","loqueosdelagana","laq uemascorajetede"); // for CCcam webinterface with user and pass

El primer parámetro (en el ejemplo 192.168.1.6) es la dirección Ip de la Dreambox.

3.3.- Utilizar el 'cierre' de las líneas F:

Nuestras líneas F, que definen qué compartimos y con quién, pueden limitarse más en cuanto a 'desde dónde' se puede acceder. Simplemente se debería de cerrar las líneas F del fichero "CCcam.cfg" con el Host o dirección Ip origen de la persona para la que creaste dicha línea F:.

Por ejemplo "F: PEPOTE TUPUEDES 2 0 0 { 0:0:2 } pepote.dyndns.org"

Dónde "pepote.dyndns.org" es el Host o dirección Ip origen de nuestro peer, o sea, desde donde se conecta siempre. Así limitamos esta línea a que el peer se conecte siempre desde esa dirección Ip origen y no pueda utilizarse desde otro sitio.
Normalmente el Host o dirección Ip origen de nuestro peer es el que nos facilita en la línea C: que ha creado él para nosotros si compartimos con él:

C: pepote.dyndns.org 12000 usuario password no { 0:0:2}

Por ejemplo en esta C:, el Host o Ip origen de nuestro peer es "pepote.dyndns.org"

Aunque no es tan habitual, también es posible cerrar el 'puerto' origen desde el cual nuestro peer accederá.

Por ejemplo "F: PEPOTE TUPUEDES 2 0 0 { 0:0:2 } pepote.dyndns.org 12000" por que en el caso del ejemplo anterior, en la C: nos puso puerto 12000.



Consideraciones finales

- Si cambias los puertos por defecto, deberás tenerlo en cuenta siempre que utilices Software o programas para acceder a controlar u obtener información (que normalmente se configura por defecto con los puertos 'estándar').

- Si ya estás compartiendo con peers y cambias por ejemplo el puerto de CCcam.cfg que les comunicaste en sus Clines, deberás avisarles a todos (puede resultar un trabajo de chinos si tienes muchos peers).

- Ni siquiera el cumplimiento total de estas recomendaciones asegura al 100% nuestros equipos Dreambox; tampoco que nadie pueda 'acceder' sin nuestro consentimiento y obtener información 'sensible'; pero al menos son mecanismos para ponerlo más dificil.

- Tampoco se asegura que nadie 'publique' o utilice de mala manera tus datos/clines, nadie se puede responsabilizar de lo que tus 'peers' hagan con los datos que tú les facilitas, o de si los publican a los 4 vientos.

- Estas 'recomendaciones' son de cosecha propia de varios usuarios de este foro, entre los que me incluyo. Si tienes algo que crees se debería añadir/quitar/modificar, sólo tiens que decirlo. Gracias a todos!
 
Arriba
AdBlock Detectado

Lo entendemos, los anuncios son molestos!

Pero debe usted entender que la pagina web funciona bien gracias a la publicidad no dude en hacer click en los anuncios ayuda en todo el mantenimiento de la pagina web. Para obtener la mejor experiencia en el sitio, desactive su AdBlocker.

He desactivado AdBlock    No Gracias