El router del que quiero comentar el problema de seguridad es el TP-LINK TL-WR841N Ver. 7.2 300 Mbps wireless N.
Resulta que cuando compré el router nuevo de paquete, embalado en plástico y todo, venía con los puertos abiertos 80 TCP servicio HTTP y 1900 TCP servicio UPnP. Este hecho lo comprobé con el programa 'nmap' (última imagen del documento) de Linux que te detecta todos los puertos abiertos de un equipo. El puerto 80 en principio viene abierto para que el router sea configurado desde su página web, y viene configurado solo para que sea configurado desde dentro de la red local o LAN, no desde Internet. La siguiente imagen muestra la opción 'Remote Management' donde 'Remote Management IP Adress' está con '0.0.0.0':
Pero el puerto 1900 no viene configurado para que se pueda acceder a él desde dentro o fuera de la propia red. Así que me dispuse a eliminar el servicio desde su sección de configuración, dándole al botón 'Disable' y poniendo 'Current UPnP Status' en 'Disabled':
Supuestamente ya está deshabilitado el servicio, pero el programa 'nmap' indicaba que seguía estando abierto. Entonces me puse en contacto a través de la web de TP-LINK con su servicio de atención al cliente y me dijeron que tenía que deshabilitarlo también en la opción 'Port Triggering' y eliminar el puerto:
Como podéis ver en la imagen el puerto '1900' no está presente y lo que hice, por pura intuición, fue agregarlo y eliminarlo. Y así finalmente ya no está abierto el puerto.
En la siguiente imagen os presento los resultados de 'nmap IP_router' antes y después de aplicar la deshabilitación del puerto:
¿Por qué me dio por cerrar ese puerto tan insistentemente? Pues porque después de conectar el router a Internet y ponerle un nombre de usuario distinto del típico nombre 'admin' y una contraseña de 14 caracteres, se colaron desde Internet dentro de la configuración del router y me cambiaron el usuario y/o la contraseña, y no podía entrar en la configuración de mi propio router, con lo cuál tuve que reiniciarlo al estado de fábrica y reconfigurarlo.
Para más información que me ofrecieron desde TP-LINK España sobre este puerto hay que visitar las siguientes URLs:
http://support.apple.com/kb/ts1629?viewlocale=es_ES (Información Puerto 1900)
https://developer.apple.com/opensource/ (Información Bonjour)
También dejo un enlace interesante sobre ciberguerra (aunque a priori no guarde relación directa pero...):
http://www.youtube.com/watch?v=woaHELej4dE
Me gusta este tema, aunque pongo el enlace por un dato importante que hay en este reportaje en el minuto 12, y es sobre el ataque que se hace desde Internet, por supuesto, hacia cualquier máquina que está conectada en la misma, y es precisamente lo que me hicieron cuando cogieron el control de mi router y me cambiaron los datos de entrada y control al router.
Lo más triste es que el problema de seguridad se trata de un problema de hardware no de firmware, según me dijeron los propios técnicos o contacto de TP-LINK España, (aunque si recordáis al principio del artículo hablo de actualizar el firmware para solucionar el problema, pero esto no es posible para solucionar el error) y sin embargo seguirán vendiendo este modelo, la versión 7.2 de hardware, a sabiendas de que tiene problemas de seguridad y esto la verdad es que jode un poco.
El router tampoco tiene una opción para hacer logout, o sea salirse de la página de configuración y hubiera que volver a introducir los datos para configurarlo nuevamente. Esto obviamente en mi casa no tiene ninguna importancia, sin embargo en un entorno profesional alguna mano maliciosa o inexperta podría acceder a la web de configuración del router sin tener que meter usuario y contraseña en la siguiente hora de haberse introducido un usuario con privilegios de administrador.
eltiopacote
Índice de todas las entradas en: http://www.pacovalverde.es/indice/
No hay comentarios:
Publicar un comentario