MEO – Configuração por defeito perigosa

Os routers MEO (Thompson os outros não sei!!) disponibilizam portas USB que permitem ligar um dispositivo como por exemplo um disco ou uma pen e partilhar o seu conteúdo na rede local (pensava eu!!!).
Hoje estava a testar essa funcionalidade e para isso bastou ligar o dispositivo (PEN) e nas configurações do router activar a dita funcionalidade (Partilha Windows ou SMB, servidor FTP e UPnP AV Media Server) , todos os serviços funcionam correctamente e sem problemas na rede local… como foi tão rápido resolvi dar mais uma vista de olhos pela configuração do router e qual o meu espanto que existe um encaminhamento de portas (NAT) que está nos routers por defeito que encaminha a porta 21 (FTP) para o ip 192.168.1.253 (este é o ip em que são disponibilizados os serviços enumerados acima). Como a autenticação FTP é partilhada com o router (os users e passwords são os mesmos, testei Administrator e meo) e o serviço fica disponível para o mundo creio que isto constitui uma ameaça de segurança.

MEO_Regra_NAT_Port_21

Como as gamas de ip’s onde o MEO opera são conhecidas nada impede que alguém mal intencionado crie um bot que se tente ligar a todos os ip’s do MEO à porta 21 e teste a autenticação por defeito e caso consiga “entrar” descarregue o conteúdo do armazenamento que ligamos no router!!! ou faz upload para o nosso router de conteúdos indesejados ou maliciosos.

MEO_FTP

O conselho que dou a quem quiser usar o seu router MEO como servidor de ficheiros é desactivar a regra NAT que encaminha a porta FTP,outra solução passa por mudar as passwords dos utilizadores do router, no entanto , creio não ser suficiente pois nada impede a PT que no próximo update ao firmware coloque outro utilizador ou altere a password dos que existem para a password default.
A solução mais segura será activar apenas a partilha windows e Media Server pois estas funcionalidades estão disponíveis apenas na rede local, mas ter em atenção que não existe autenticação ou seja qualquer pessoa ligada à rede local pode aceder aos ficheiros contidos no armazenamento ligado ao router.