¿Cómo protegerse de la ROM-0 a través de la activación de puertos?

5

Estoy usando un antivirus que me dijo que mi enrutador puede verse comprometido con la vulnerabilidad ROM-0.

Me dijo que usara el "reenvío de puertos" para arreglarlo. Pero, mi enrutador tiene un "desencadenante de puerto", que dicen es una actualización del "reenvío de puerto"

Traté de buscar en la web tutoriales para solucionarlo, pero no pude encontrarlo (puedes encontrar un montón de tutoriales de reenvío de puertos, pero casi ninguno para la activación de puertos).

¿Puede alguien ayudarme a solucionar la vulnerabilidad? (también como un tutorial para las otras personas que también tienen activación de puerto)

Información:

  • El antivirus me dijo que hiciera 2 cosas:

    • Reenvíe el puerto 80 del enrutador a una dirección IP no utilizada en su red.
    • Ingrese la configuración de su enrutador y vaya a la configuración de "Reenvío de puerto".
    • Envíe todo el tráfico http, de todos los protocolos, para iniciar y finalizar el puerto 80 en una dirección IP local no utilizada (algo así como 192.168.0.xxx, donde xxx sería una IP no utilizada).
  • En mi enrutador, puedo establecer una regla de activación de puerto, que tiene estas áreas:

    • Iniciar puerto de coincidencia
    • puerto de finalización
    • Protocolo de activación (UDP, TCP o ambos)
    • Iniciar puerto relacionado
    • Finalizar puerto relacionado
    • Protocolo abierto (UDP, TCP o ambos)
    • tipo de NAT (saliente o entrante)
  • Enrutador: D-link DIR-610 B1

  • No se pudo encontrar información en inglés para la documentación (solo en portugués): enlace

EDITAR: ¿Realmente necesito saber el modelo para corregir la vulnerabilidad? ¿No hay algún tipo de solución general para los enrutadores?

[ed: esta es una copia de una pregunta duplicada del mismo nombre, pero esta está asociada con un usuario registrado]

    
pregunta ThatOldPencil 23.11.2015 - 16:57
fuente

1 respuesta

1

Google sugiere dos vulnerabilidades ligeramente diferentes cuando se consulta sobre Rom-0, se explica mejor aquí:

enlace

y aquí:

enlace

En ambos casos, existen varias razones por las cuales el software antivirus que se ejecuta en una computadora portátil o de escritorio en su red doméstica puede no ser correcto al señalar la presencia de este problema en el enrutador de su hogar. Si está ejecutando la última versión del firmware de su enrutador, y tiene una fecha de publicación de finales de 2015 o 2016, es poco probable que se vea afectado por este problema, independientemente de lo que esté informando el software antivirus.

Si esta vulnerabilidad, sin embargo, existe en su enrutador, el método común de explotación implica que algún atacante en Internet envíe una solicitud comprometida a su enrutador. Esto SOLO funciona si su enrutador está configurado para escuchar solicitudes externas, una función de configuración generalmente llamada "administración remota". Asegúrese de que esta función esté deshabilitada en el panel de administración de su enrutador. Esta es la mejor mitigación para este problema y para muchos otros.

La mitigación sugerida por el software antivirus, para soportar el reenvío de puertos, es mucho peor que deshabilitar la administración remota. Incluso en presencia de esta vulnerabilidad y cierta incapacidad para deshabilitar la administración remota, la eficacia del reenvío de puertos contra ataques como este depende de los detalles específicos de la implementación del enrutador. Es posible que se haya descubierto que fue efectivo para un sabor particular de la vulnerabilidad, pero eso no garantiza que sea efectivo contra otro. Lo que sí hace el reenvío de puertos es permitir que alguien fuera de su red envíe tráfico a su red, lo que casi nunca es una buena idea.

El mejor enfoque con un enrutador que no tenga firmware actualizado y que no pueda desactivar la administración remota es obtener otro enrutador.

Finalmente, la activación de puertos es una característica diferente a la de reenvío de puertos y no se puede utilizar para imitar el reenvío de puertos.

La semántica de las reglas sugeridas para el reenvío de puertos es que las solicitudes provenientes de fuera de su red doméstica que llegan al puerto 80 en el exterior de su enrutador deben ser "tapizadas" o enviadas a algún destino inexistente dentro de su red doméstica. que se enviarán dentro de su red en lugar de ser procesados por su enrutador (lo que podría hacer que su enrutador sea explotado). Como se indicó anteriormente, si esta mitigación funcionaría o no en la práctica depende de los detalles de implementación del enrutador. Y nuevamente, una mitigación mucho más efectiva es deshabilitar la administración remota, que le dice a su enrutador que no escuche en absoluto las solicitudes que se originan fuera de su red.

La semántica de la activación de puertos es que las solicitudes desde dentro de su red doméstica que salen a un puerto específico hacen que el enrutador abra puertos externos específicos y envíe las solicitudes entrantes a la máquina dentro de la red desde donde se originó la solicitud activada.

La activación de puertos no se activa cuando las solicitudes llegan a su enrutador desde el exterior, y el efecto de abrir puertos externos y reenviar solicitudes externas en su máquina dentro de su red es lo opuesto a la recepción de conexiones.

El único caso de uso para la activación de puertos es el juego, en el que un tipo específico de solicitud saliente informa al enrutador de que el juego está comenzando, por lo que el tráfico entrante asociado con el juego debe pasar a la máquina de juego.

    
respondido por el Jonah Benton 05.08.2016 - 03:56
fuente

Lea otras preguntas en las etiquetas