El módem-enrutador de mi casa está ocupando la mayoría de las subredes

4

Estaba escaneando puertos en mi propio módem-enrutador emitido por ISP y tropecé con algo inquietante: parece que está escuchando en los puertos 554, 7070 y amp; 1863 en (casi) cada ip de este intervalo: 192.168.0-255.1

Publiqué el escaneo completo del puerto en pastebin: aquí .

Mientras que la mayoría de esos ip tienen puerto 554,7070 & 1863 hay otros puertos que se escuchan solo en subredes específicas:

192.168.27.1  | 81/tcp   open  hosts2-ns | 7070/tcp open  realserver
192.168.28.1  | 554/tcp  open  rtsp      | 7070/tcp open  realserver | 8888/tcp open  sun-answerbook
192.168.42.1  | 81/tcp   open  hosts2-ns | 554/tcp  open  rtsp       | 7070/tcp open  realserver
192.168.44.1  | 81/tcp   open  hosts2-ns | 554/tcp  open  rtsp       | 7070/tcp open  realserver
192.168.183.1 | 554/tcp  open  rtsp      | 7070/tcp open  realserver | 8000/tcp open  http-alt
192.168.230.1 | 110/tcp  filtered pop3   | 554/tcp  filtered rtsp    | 1863/tcp filtered msnp  | 7070/tcp filtered realserver
192.168.234.1 | 554/tcp  filtered rtsp   | 1863/tcp filtered msnp    | 3306/tcp filtered mysql | 7070/tcp filtered realserver

Esto es lo que sé sobre este módem:

  • Es un CPE de vodafone para uso en Europa (Italia, Alemania) y Nueva Zelanda comercializado como Vodafone Station Revolution o EasyBox 804 (aunque esto tiene un valor diferente del mío).
  • Interfaz web extremadamente simplificada implementada como un complemento para Jungo (ahora Cisco) OpenRG 5.4 (Pregunta paralela: los binarios de Linux parecen ser de 2005. ¿Hay algún problema conocido que deba conocer para esta versión de OpenRG? ).

¿Puede la comunidad ayudarme a investigar el propósito de estos puertos abiertos? Creo que puede ser un posible problema de seguridad.

    
pregunta beppe9000 11.09.2016 - 20:12
fuente

1 respuesta

1

Esos son los puertos que se utilizan en los servidores de "medios": RTSP y realserver son protocolos de transmisión, 1863 es un protocolo de notificación de Microsoft. Napster era para compartir archivos, etc.

Tener el enrutador escuchando en estos puertos en todas las redes internas no es necesariamente problemático, aunque la presencia de protocolos antiguos como realserver y napster ciertamente sugiere la edad y, por lo tanto, implica problemas de seguridad.

Las dos cosas a tener en cuenta son:

  • ¿Qué puertos, si hay alguno, están abiertos en la interfaz externa?
  • ¿Se pueden deshabilitar los servicios que escuchan en puertos internos y externos en la configuración?

Pasar por la configuración y deshabilitar todo lo posible para deshabilitar debería dar como resultado que no haya puertos de escucha en la interfaz externa y que no haya puertos de escucha excepto http (o https) en la interfaz interna.

Es posible que todavía haya problemas de seguridad con el puerto http interno, de mayor o menor dificultad para encontrar. Debería ser mucho más rápido determinar si se puede lograr el nivel mínimo de seguridad de que se cierran puertos innecesarios. Si ese nivel de seguridad no se puede alcanzar, no hace falta decir que habrá vulnerabilidades en esos puertos innecesariamente abiertos.

    
respondido por el Jonah Benton 11.09.2016 - 23:36
fuente

Lea otras preguntas en las etiquetas