MEO – Configuração por defeito perigosa

Os routers MEO (Thompson os outros não sei!!) disponibilizam portas USB que permitem ligar um dispositivo como por exemplo um disco ou uma pen e partilhar o seu conteúdo na rede local (pensava eu!!!).
Hoje estava a testar essa funcionalidade e para isso bastou ligar o dispositivo (PEN) e nas configurações do router activar a dita funcionalidade (Partilha Windows ou SMB, servidor FTP e UPnP AV Media Server) , todos os serviços funcionam correctamente e sem problemas na rede local… como foi tão rápido resolvi dar mais uma vista de olhos pela configuração do router e qual o meu espanto que existe um encaminhamento de portas (NAT) que está nos routers por defeito que encaminha a porta 21 (FTP) para o ip 192.168.1.253 (este é o ip em que são disponibilizados os serviços enumerados acima). Como a autenticação FTP é partilhada com o router (os users e passwords são os mesmos, testei Administrator e meo) e o serviço fica disponível para o mundo creio que isto constitui uma ameaça de segurança.

MEO_Regra_NAT_Port_21

Como as gamas de ip’s onde o MEO opera são conhecidas nada impede que alguém mal intencionado crie um bot que se tente ligar a todos os ip’s do MEO à porta 21 e teste a autenticação por defeito e caso consiga “entrar” descarregue o conteúdo do armazenamento que ligamos no router!!! ou faz upload para o nosso router de conteúdos indesejados ou maliciosos.

MEO_FTP

O conselho que dou a quem quiser usar o seu router MEO como servidor de ficheiros é desactivar a regra NAT que encaminha a porta FTP,outra solução passa por mudar as passwords dos utilizadores do router, no entanto , creio não ser suficiente pois nada impede a PT que no próximo update ao firmware coloque outro utilizador ou altere a password dos que existem para a password default.
A solução mais segura será activar apenas a partilha windows e Media Server pois estas funcionalidades estão disponíveis apenas na rede local, mas ter em atenção que não existe autenticação ou seja qualquer pessoa ligada à rede local pode aceder aos ficheiros contidos no armazenamento ligado ao router.

SMC 7904WBRA2 Port forwarding

Para reencaminhar portas num router SMC 7904WBRA2 basta aceder ao router através do browser e colocando o ip do mesmo que por default é 192.168.2.1 autenticar-se o utilizador por default é admin e a password smcadmin depois no menu de navegação lateral navegar até NAT clicar em Virtual Server, irá aparecer um formulário com os seguintes campos No que é o id do reencaminhamento, Lan Ip Adress onde devemos escrever o ip local do computador para onde queremos encaminhar o tráfego, Protocol Type é o tipo de protocolo a usar quase sempre é TCP&UDP, LAN PORT porta ou intervalo de portas do computador de destino, Public Port porta ou intervalo de portas onde o trafego chega ao router e Enable diz se a regra está activa ou não.

Por exemplo se queremos aceder remotamente a um computador com o ip de rede local 192.168.2.10 através do no-ip devemos configurar o router com as seguintes configurações:
Lan Ip Adress = 192.168.2.10
Protocol Type = TCP&UDP
LAN Port = 4900
Public Port = 4900
Enable = visto

e clicar em add e já está!!!