Puerto Telnet abierto en la dirección IPv6 pública de mi enrutador

2

Recientemente actualicé el enrutador de mi casa a éste . Es barato, pero tiene las características que necesitaba: compatibilidad con IPv6 y Gigabit Ethernet.

Así que decidí darle una oportunidad a IPv6. Configuré un túnel de Hurricane Electric, por lo que cada PC en la LAN de mi casa tenía una dirección IPv6 pública. Configuré el firewall IPv4 y el NAT con bastante facilidad a través de la interfaz web, pero el enrutador tiene un firewall IPv6 muy simple: bloquea todo lo que entra. Así que lo deshabilité y configuré el Firewall de Windows en cada PC individual.

Recientemente intenté verificar la seguridad de mi red, así que realicé un análisis de Nmap de cada host. Todo estuvo bien hasta que obtuve esta salida para mi enrutador:

Not shown: 992 closed ports
PORT     STATE    SERVICE
23/tcp   open     telnet
53/tcp   open     domain
6666/tcp filtered irc
6667/tcp filtered irc
6668/tcp filtered irc
6669/tcp filtered irc
7000/tcp filtered afs3-fileserver
9999/tcp filtered abyss

Nmap done: 1 IP address (1 host up) scanned in 16.55 seconds

Y esta era la dirección pública (punto final de IPv6 del cliente). Escanear la IP desde el prefijo enrutado dio los mismos resultados. telnet me da un aviso de inicio de sesión que acepta el nombre de usuario y la contraseña de mi enrutador (es extraño que la interfaz web no escuche en la dirección IPv6). El enrutador también hace un proxy DNS para mi red, por eso el puerto 53 está abierto.

¿Qué tan grande es un problema de seguridad que puede ser? ¿Hay algo que pueda hacer?

Actualización: Me puse en contacto con el servicio de asistencia al consumidor y me dijeron que estaban dispuestos a implementar el firewall IPv6 en la próxima versión de firmware. Tendrá reglas configurables.

Puedo deshabilitar el servicio de proxy DNS y configurar servidores DNS en PC individuales. Si ignoro el puerto telnet abierto, ¿estaré lo suficientemente seguro?

Actualización 2 La desactivación del servicio no funcionó como se esperaba: simplemente dejó de dar IP a los enrutadores como servidor DNS a través de DHCP, así que configuré el enrutador para que le diera a los servidores DNS de mi ISP. Todavía está escuchando en la dirección IPv6 pública. Sin embargo, me las arreglé para deshabilitar telnet completamente tanto en la dirección IPv4 LAN como en la dirección IPv6.

    
pregunta Nazar554 20.09.2015 - 20:49
fuente

2 respuestas

5

El uso de la interfaz de telnet a través de un enlace inseguro (Internet) es inseguro, pero simplemente tenerlo allí no hará mucho daño. La inseguridad de Telnet proviene de su falta de cifrado, pero no es un problema si no envía nada sensible a través de él en primer lugar.

Sin embargo, lo que es más preocupante es el puerto DNS que está abierto: se puede abusar de él para atacar a otros hosts mediante ataques de amplificación de DNS (UDP es suplantado, un atacante envía una solicitud de DNS con la IP de origen configurada para el objetivo del ataque) IP, y su enrutador a su vez envía su respuesta al objetivo).

Finalmente, si todos estos servicios están realmente disponibles a través de Internet, también debe considerar si el firmware del enrutador es lo suficientemente confiable. Personalmente, ya no confío en los enrutadores, incluso si parecen seguros de que sus firmwares a menudo tienen vulnerabilidades ocultas como contraseñas codificadas o vulnerabilidades CSRF en sus interfaces web.

    
respondido por el André Borie 20.09.2015 - 21:14
fuente
1

Esto podría ser un riesgo si el servicio de telnet expuesto tiene alguna vulnerabilidad. Un ejemplo de uno aquí , aunque la vulnerabilidad específica dependerá de la versión de telnet que use su enrutador.

Otra posibilidad es si el servicio de telnet tiene alguna puerta trasera o contraseñas predeterminadas habilitadas.

Lo mismo ocurre con el servicio DNS: no debe exponer los servicios a Internet si no los necesita. Cualquier vulnerabilidad pasada, presente o futura podría suponer un riesgo para su infraestructura y está aumentando innecesariamente su superficie de ataque.

Si no hay manera de desactivar los servicios de telnet y DNS en la interfaz de Internet, me gustaría cambiar el enrutador para que sea más adecuado.

    
respondido por el SilverlightFox 20.09.2015 - 21:40
fuente

Lea otras preguntas en las etiquetas