最近、ホームルーターを これ にアップグレードしました。安価ですが、IPv6のサポートとギガビットイーサネットという必要な機能を備えています。
そこで、IPv6を試してみることにしました。ハリケーンエレクトリックトンネルを構成したので、自宅のLAN上のすべてのPCにパブリックIPv6アドレスが割り当てられました。 IPv4ファイアウォールを構成し、NATはWebインターフェイスを介して非常に簡単ですが、ルーターには非常にシンプルなIPv6ファイアウォールがあり、受信をブロックします。そのため、無効にして、各PCでWindowsファイアウォールを構成しました。
最近、ネットワークのセキュリティをチェックしようとしたので、各ホストのNmapスキャンを実行しました。ルーターに対してこの出力が表示されるまで、すべて問題ありませんでした。
Not shown: 992 closed ports
PORT STATE SERVICE
23/tcp open telnet
53/tcp open domain
6666/tcp filtered irc
6667/tcp filtered irc
6668/tcp filtered irc
6669/tcp filtered irc
7000/tcp filtered afs3-fileserver
9999/tcp filtered abyss
Nmap done: 1 IP address (1 Host up) scanned in 16.55 seconds
そして、これはパブリックアドレス(クライアントIPv6エンドポイント)でした。ルーティングされたプレフィックスからIPをスキャンしても同じ結果が得られました。 telnet
は、ルーターのユーザー名とパスワードを受け入れるログインプロンプトを表示します(WebインターフェイスがIPv6アドレスをリッスンしないのは奇妙です)。ルーターは私のネットワークに対してDNSプロキシも実行します。そのため、ポート53が開いています。
これはどれほどのセキュリティ問題の可能性がありますか?何か私にできることはありますか?
更新:コンシューマサポートに連絡したところ、次のファームウェアバージョンにIPv6ファイアウォールを実装するように助言するように言われました。それは構成可能なルールを持つことになります。
DNSプロキシサービスを無効にして、個々のPCにDNSサーバーを設定できます。開いているtelnet
ポートを無視した場合、安全ですか?
Update 2実際にサービスを無効にすることは期待どおりに機能しませんでした:DHCPを介してルーターIPをDNSサーバーとして提供することを停止したため、ルーターを構成しましたISP DNSサーバーを提供します。それはまだパブリックIPv6アドレスでリッスンしています。ただし、IPv4 LANとIPv6アドレスの両方でTelnetを完全に無効にすることができました。
安全でないリンク(インターネット)を介してtelnetインターフェースを使用することは安全ではありませんが、単にそこにあるだけではそれほど害はありません。 telnetの不安定性は暗号化の欠如に起因しますが、そもそも機密性の高いものを送信しないのであれば問題ありません。
ただし、さらに懸念されるのは、開いているDNSポートです。DNS増幅攻撃によって他のホストを攻撃するために悪用される可能性があります(UDPはスプーフィング可能であり、攻撃者はソースIPが攻撃のターゲットIPに設定されたDNS要求を送信します。次にルーターがターゲットに応答を送信します)。
最後に、これらすべてのサービスが実際にインターネット経由で利用できる場合は、ルーターのファームウェアが十分に信頼できるかどうかも検討する必要があります。個人的にはもうルーターを信頼していません。たとえファームウェアが安全であるように見えても、ハードコードされたパスワードやCSRFの脆弱性などの脆弱性がWebインターフェイスに隠されていることがよくあります。
公開されているTelnetサービスに脆弱性がある場合、これはリスクになる可能性があります。 ここに1つの例 。ただし、特定の脆弱性は、ルーターが使用しているtelnetのバージョンによって異なります。
もう1つの可能性は、Telnetサービスでバックドアまたはデフォルトのパスワードが有効になっている場合です。
DNSサービスについても同様です。必要のないサービスをインターネットに公開しないでください。過去、現在、未来の脆弱性はインフラストラクチャにリスクをもたらす可能性があり、不必要に攻撃対象を拡大しています。
インターネットインターフェイスでTelnetおよびDNSサービスを無効にする方法がない場合は、ルーターをより適切なものに変更することを検討します。