Recientemente actualicé el enrutador de mi casa a éste . Es barato, pero tiene las características que necesitaba: compatibilidad con IPv6 y Gigabit Ethernet.
Así que decidí darle una oportunidad a IPv6. Configuré un túnel de Hurricane Electric, por lo que cada PC en la LAN de mi casa tenía una dirección IPv6 pública. Configuré el firewall IPv4 y el NAT con bastante facilidad a través de la interfaz web, pero el enrutador tiene un firewall IPv6 muy simple: bloquea todo lo que entra. Así que lo deshabilité y configuré el Firewall de Windows en cada PC individual.
Recientemente intenté verificar la seguridad de mi red, así que realicé un análisis de Nmap de cada host. Todo estuvo bien hasta que obtuve esta salida para mi enrutador:
Not shown: 992 closed ports
PORT STATE SERVICE
23/tcp open telnet
53/tcp open domain
6666/tcp filtered irc
6667/tcp filtered irc
6668/tcp filtered irc
6669/tcp filtered irc
7000/tcp filtered afs3-fileserver
9999/tcp filtered abyss
Nmap done: 1 IP address (1 host up) scanned in 16.55 seconds
Y esta era la dirección pública (punto final de IPv6 del cliente). Escanear la IP desde el prefijo enrutado dio los mismos resultados. telnet
me da un aviso de inicio de sesión que acepta el nombre de usuario y la contraseña de mi enrutador (es extraño que la interfaz web no escuche en la dirección IPv6). El enrutador también hace un proxy DNS para mi red, por eso el puerto 53 está abierto.
¿Qué tan grande es un problema de seguridad que puede ser? ¿Hay algo que pueda hacer?
Actualización: Me puse en contacto con el servicio de asistencia al consumidor y me dijeron que estaban dispuestos a implementar el firewall IPv6 en la próxima versión de firmware. Tendrá reglas configurables.
Puedo deshabilitar el servicio de proxy DNS y configurar servidores DNS en PC individuales. Si ignoro el puerto telnet
abierto, ¿estaré lo suficientemente seguro?
Actualización 2 La desactivación del servicio no funcionó como se esperaba: simplemente dejó de dar IP a los enrutadores como servidor DNS a través de DHCP, así que configuré el enrutador para que le diera a los servidores DNS de mi ISP. Todavía está escuchando en la dirección IPv6 pública. Sin embargo, me las arreglé para deshabilitar telnet completamente tanto en la dirección IPv4 LAN como en la dirección IPv6.