Pregunta del enrutador - Reglas de reenvío de puertos agregadas automáticamente

Navega tus respuestas
2

Tengo un enrutador / módem Actiontec V1000H. He tenido problemas de virus recientemente, así que realicé un restablecimiento de fábrica en todas las computadoras de la red, excepto en una. Fui a agregar una excepción de Reenvío de puertos para que mi hijo pueda ejecutar un servidor de Minecraft, y la lista de reglas de reenvío de puertos tenía aproximadamente 50 entradas allí. Sé que en el pasado cuando entré allí, no había reglas, pero de repente hay algo así como 50. Así que realicé un restablecimiento de fábrica en el enrutador. Dentro de 1 hora, ya se agregaron nuevas reglas, y menos de 24 horas después hay al menos 50 puertos abiertos (o rangos de puertos). ¿Debería estar pasando esto? Parece que cada dispositivo en la red está agregando reglas a la lista. ¿Esto se debe a que el virus que tenía aún proviene del sistema que no se eliminó? Sin embargo, es realmente extraño porque incluso el iPod de mi hijo y el teléfono Android de mi mujer han agregado puertos abiertos. ¿Debería Preocuparme? ¿Hay algo que puedas sugerir que detenga esto? Por favor avise. Gracias.

    
pregunta Luke 30.06.2014 - 01:39
fuente

3 respuestas

3

Si UPnP (Universal Plug 'n' Play) está habilitado en el enrutador, es posible que se hayan agregado estas reglas de reenvío de puertos en respuesta a las solicitudes de UPnP de los dispositivos. UPnP está diseñado para permitir que los dispositivos realicen este tipo de solicitudes de reconfiguración de dispositivos NAT. En particular, los servicios como los videojuegos y las aplicaciones de intercambio de archivos punto a punto utilizan esta tecnología para permitir conexiones entrantes de otros usuarios.

    
respondido por el David 30.06.2014 - 06:07
fuente
3

Al igual que David sugirió, podría ser UPnP. Insertará reglas automáticamente para que sus dispositivos de red puedan interactuar con otros dispositivos LAN o destinos específicos de multidifusión / unidifusión, etc.

Si no, y es Telus, ¿cuándo fue la última vez que actualizó su firmware? El Actiontec tenía una puerta trasera para un nombre de usuario y una contraseña codificados que permitirían a cualquier persona con acceso a la página de inicio de sesión obtener acceso. Ejemplo, enlace

En resumen, hay credenciales codificadas que se restauran cuando reinicia el dispositivo: 

username: root
password: Thr33scr33n!
    
respondido por el Mike Mackintosh 30.06.2014 - 07:27
fuente
0

Como se sugirió anteriormente, realmente suena como que es UPnP.

Si eres parano o crees que esto podría ser una amenaza para la seguridad, puedes considerar lo siguiente: Alguien tiene privilegios de administrador para cambiar la configuración de su enrutador. Exploit-db, el enfoque de seguridad y algún otro sitio web pueden revelar una vulnerabilidad para este enrutador. Intente no dejar un protocolo inseguro habilitado si no lo utiliza (versión telnet / ftp / antigua de ssh).

Por ejemplo, alguien puede intentar explotar / fuerza bruta / o un ataque de diccionario a un acceso telnet a su enrutador para obtener el control.

Para solucionar esto, como sugieren las publicaciones anteriores:

  • Asegúrese de que el firmware esté actualizado

  • Deshabilitar UPnP

  • cambie y elija una contraseña verdaderamente RANDOM y segura (larga / dígitos / superior, inferior / SpecChar) para el administrador del enrutador

Si observa que el problema continúa ... Pruebe con otro enrutador (la misma historia, nueva, actualizada y segura). Supervisar el tráfico y observar los registros de red de depuración / verbosa puede ayudarlo a identificar lo que está sucediendo. Configurar un nids puede ayudar también pero ............... Creo que esto es solo UPnP, no sé por qué escribí un post tan largo.

    
respondido por el Florian Bidabe 30.06.2014 - 10:03
fuente

Lea otras preguntas en las etiquetas

Entendiendo la misma política de origen ¿Obligatorio para implementar HTTP Solo si las cookies seguras de Java están configuradas como "verdaderas"?