La porta Telnet si apre sull'indirizzo IPv6 pubblico del mio router

Naviga le tue risposte
2

Recentemente ho aggiornato il mio router di casa in questo . È economico, ma ha le funzionalità di cui avevo bisogno: supporto IPv6 e Gigabit Ethernet.

Quindi ho deciso di provare IPv6. Ho configurato un tunnel Hurricane Electric, quindi ogni PC della mia LAN domestica ha un indirizzo IPv6 pubblico. Ho configurato il firewall e il NAT IPv4 abbastanza facilmente attraverso l'interfaccia web, ma il router ha un firewall IPv6 molto semplice - blocca qualsiasi cosa in arrivo. Quindi l'ho disabilitato e ho configato Windows Firewall su ogni singolo PC.

Recentemente ho provato a controllare la sicurezza della mia rete, così ho fatto una scansione Nmap di ogni host. Tutto andava bene fino a quando ho ottenuto questo output per il mio router: 

Not shown: 992 closed ports
PORT     STATE    SERVICE
23/tcp   open     telnet
53/tcp   open     domain
6666/tcp filtered irc
6667/tcp filtered irc
6668/tcp filtered irc
6669/tcp filtered irc
7000/tcp filtered afs3-fileserver
9999/tcp filtered abyss

Nmap done: 1 IP address (1 host up) scanned in 16.55 seconds

E questo era l'indirizzo pubblico (Client IPv6 Endpoint). La scansione dell'IP dal prefisso indirizzato ha dato gli stessi risultati. telnet mi fornisce un prompt di accesso che accetta il nome utente e la password del mio router (è strano che l'interfaccia web non ascolti sull'indirizzo IPv6). Il router esegue anche un proxy DNS per la mia rete, ecco perché la porta 53 è aperta.

Quanto può essere grande questo problema di sicurezza? C'è qualcosa che posso fare?

Aggiornamento: Ho contattato l'assistenza clienti e mi hanno detto che avrebbero dovuto implementare il firewall IPv6 nella prossima versione del firmware. Avrà regole configurabili.

Posso disabilitare il servizio proxy DNS e impostare i server DNS sui singoli PC. Se ignoro la porta telnet aperta, sarò al sicuro?

Aggiornamento 2 In realtà la disattivazione del servizio non ha funzionato come previsto: ha semplicemente smesso di fornire l'IP dei router come server DNS tramite DHCP, quindi ho configurato il router per fornire i miei server DNS ISP. Sta ancora ascoltando l'indirizzo IPv6 pubblico. Tuttavia, sono riuscito a disabilitare completamente telnet su LAN IPv4 e indirizzo IPv6.

    
posta Nazar554 20.09.2015 - 20:49
fonte

2 risposte

5

L'uso dell'interfaccia telnet su un collegamento insicuro (Internet) non è sicuro, ma il semplice fatto di averlo non farà molto male. L'insicurezza di telnet deriva dalla sua mancanza di crittografia, ma non è un problema se non si invia nulla di sensibile attraverso di esso in primo luogo.

Tuttavia, la cosa più preoccupante è la porta DNS che è aperta - potrebbe essere sfruttata per attaccare altri host tramite attacchi di amplificazione DNS (UDP è spoofable, un attacker invia una richiesta DNS con l'IP sorgente impostato alla destinazione dell'attacco IP, e il tuo router a sua volta invia la sua risposta alla destinazione).

Infine, se tutti questi servizi sono effettivamente disponibili su Internet, è necessario considerare anche se il firmware del router è sufficientemente affidabile. Personalmente non mi fido più dei router, anche se sembrano sicuri, i loro firmware spesso nascondono vulnerabilità come password hardcoded o vulnerabilità CSRF nelle loro interfacce web.

    
risposta data 20.09.2015 - 21:14
fonte
1

Questo potrebbe essere un rischio se il servizio telnet esposto presenta vulnerabilità. Un esempio di questo qui , sebbene la vulnerabilità specifica dipenda dalla versione di telnet utilizzata dal router.

Un'altra possibilità è se il servizio telnet ha delle backdoor o password predefinite abilitate.

Analogamente al servizio DNS: non devi esporre i servizi a Internet se non ne hai bisogno. Eventuali vulnerabilità passate, presenti o future potrebbero rappresentare un rischio per l'infrastruttura e aumentare inutilmente la superficie di attacco.

Se non c'è modo di disabilitare i servizi telnet e DNS sull'interfaccia internet, guarderei a cambiare il router in qualcosa di più adatto.

    
risposta data 20.09.2015 - 21:40
fonte

Leggi altre domande sui tag

Le reti documentate sono più facili da attaccare? Le reti non documentate sono più facili da proteggere? Perché Skype rivela il mio indirizzo IP a qualcuno? [chiuso]