Un fallo de seguridad en el router proporcionado por Telefónica para conexiones ADSL podria permitir acceso a los puertos de un servidor que esté detras de este router aunque no se redireccionen usando PAT (Port Address Translation).
Noticia: Nueva vulnerabilidad en Router 3Com OfficeConnect 812
Un saludo.
Nueva vulnerabilidad en Router 3Com 812
Este tema está cerrado a nuevas respuestas. Abre un nuevo tema para retomar la conversación.
Yo me he hartado de hacer scaneos a mi router (desde fuera de la lan claro) y no he visto nada raro. Tengo un servidor FTP y configuré el NAT (Network Adress Translation, que es PAT¿?¿) que redireccionaba al puerto 20 de la máquina (para probar dicho bug) que hace de servidor, por mucho que escaneara no me aparecía el puerto 21 abierto.
He realizado varias pruebas con los escans de sygate y los de grc.com/x/ne.dll?bh0bkyd2 , na de na! el firmware del router es uno de esos que comentas en la noticia.
Soy el único que se se salva?
Alguien puede confirmar please?
A lo mejor no lo he testeado bien, ya lo miraré más detenidamente.
P.D. Ojalá sólo sea un rumor :-( si no ya me estoy cambiando el router :-?
✖
walker ✎
⋮
PAT (Port Address Translator) es la versión mejorada de NAT (Network Address Translator). Ambos son mecanismos de ocultación de las direcciones internas de nuestra red, pero PAT corrige dos inconvenientes de NAT: que la dirección que se ve desde el exterior es la del equipo que realiza la translación (lo que lo hace vulnerable) y que no se pueden direccionar servicios sitos en el interior de la red desde el exterior de la misma. Con PAT, la dirección que se ve en el exterior es virtual y no real y como el mapeo se hace en base a puertos podemos tener un servidor web, por ejemplo, protejido pro el esquema PAT de forma que nadie conozca su emplazamiento real pero sea accesible desde el exterior.
Salud
walker
hellwalker@bigfoot.com
perso.wanadoo.es/jmmoralesv/
✖
A ver si lo he entendido bien pq últimamente tengo una empanada mental XDDD
No estoy nada seguro, no se si te refieres a ke por ejemplo:
Tengo un servidor ftp en el puerto 6200 de la mákina dedicada a tal servicio, entonces puedo configurar el "PAT" para ke por el exterior se vea como 21 pero me enrutará al 6200 del servidor. Eso es el PAT? Si es eso lo ke hace el PAT debo decirte ke en mi router no se hace mención ninguna a eso, es más, todas esas opciones ke comentas las puedo configurar en la misma sección del NAT del router.
He mirado el manual y tampoco se menta nada sobre PAT. Y esa sección donde establezco el puerto público y el privado lo llama "Static NAT Port Entries".
O sea ke vamos... ahora si ke estoy liado :-P :-D
ACLARADO!!!
Ahora acabo de leer el post de muchod comentando ke el NAT lo usan hasta la versión 1.19 del firmware. Con razón no lo veía! :-D pero de todas maneras yo con el NAT puedo redireccionar puertos.
en la noticia dice que solo estan afectadas los router con bios
1.7 y 1.9 osea que teniendo instalada la 2.0 (creo recordar que es la ultima que saco 3com) se soluciona el problema.
:-P
✖
esa característica (si, característica, no bug) que es Intelligent NAT (en firmware 1.1.7 y 1.1.9) o Intelligent PAT (en firmware 2.0) está en todas las versiones de firmware, incluída la 2.0, solo que se llama de manera diferente.
Para desactivarlo en firmwares hasta 1.1.9:
set vc internet intelligent_nat_option disable
Para desactivarlo en firmware 2.0:
set vc internet intelligent_pat_option disable
muchod ✎
⋮
Tal vez me equivoque pero me parece que esta vulnerabilidad no es tal, sino que alguien no se ha leido los manuales.
El router 3com tiene una caracteristica llamada 'intelligent-NAT' hasta la version 1.1.9 o 'intelligent-PAT' a partir de esa version. Esta caracteristica (activada por defecto) aparece documentada en la version 2.0 del manual del CLI :
Intelligent PAT
---------------
Enabled by default, Intelligent PAT provides a “best guess” as to where an incoming packet should be delivered when:
* A default PAT destination address has not been configured for a receiving (LAN) workstation
-AND-
* Static TCP or UDP ports have not been configured
Intelligent PAT bases this “best guess” on an analysis of recent communication between the following:
* This remote workstation (the workstation sending this non-addressed packet from the WAN side of the OCR 812)
* Private workstations (on the LAN side of the OCR 812) that recently transmitted outgoing packets to this remote workstation
Upon completion of the “best guess” analysis, Intelligent PAT forwards the packet to the last LAN workstation to transmit a packet to this remote workstation.
Please also note the following:
* The “best guess” LAN workstation will continue to receive all non-addressed packets sent by this remote workstation until and unless a new (different) communication pattern is detected by Intelligent PAT.
* When a new communication pattern is detected, Intelligent PAT makes a new “best guess”, with the following results:
- Intelligent PAT begins to forward all non-addressed packets sent by the remote workstation to the newly chosen “best guess” LAN workstation.
- The LAN workstation previously selected to receive all non-addressed packets from the remote workstation no longer receives them.
Use the following command to configure Intelligent PAT:
set vc name intelligent_pat_option enable
OR
set vc name intelligent_pat_option disable