Foro

Más integrado que la RDSI

03-12-2024

Resuelto

Problema Protocolos Router Movistar

Hola, tenemos en la empresa un router Mitrastar y al realizar varios test de vulnerabilidades sobre el router, aparecen vulnerabilidades sobre protocolos de cifrados obsoletos (SSLv3), como podemos deshabilitar estos protocolos?

Theliel
05-12-2024
Buenas iluque_6

La respuesta corta es que ni puedes, ni lo necesitas deshabilitar.

Los escáner de vulnerabilidades son herramientas sencillas de usar, pero al igual que pasa con muchas suites de seguridad, pueden ser altamente alarmantes si no van acompañadas de un conocimiento importante sobre lo que se está leyendo o lo que nos está diciendo. Y este es el caso.

Es cierto que de forma unánime SSLv3 ha pasado a considerarse "inseguro" debido a diferentes ataques potencialmente posibles contra este sistema, y actualmente se tiende a usar casi de forma unánime TLS1.2 o TLS1.3. Pero antes de todo ello, poco o nada sirve si uno no sabe que es esto, a que puede afectar, si tiene realmente implicaciones prácticas...

SSL/TLS en el protocolo HTTPS es en esencia una capa de cifrado del tráfico de extremo a extremo. Es decir, que cuando accedes a cualquier web, tu dispositivo cifra los datos de tal modo que tan solo el servidor legítimo final puede desencriptar, y al contrario. Realmente, pese a que a día de hoy prácticamente más del 90% de las páginas van bajo HTTPS, esto es irrelevante si la información que se transfiere no contiene ningún dato sensible, ya que realmente vale para poco cifrar un mensaje que diga: "El cielo esta azul". Pero como digo a día de hoy es casi una norma que todo vaya bajo HTTPS... aunque no sea necesario ni mucho menos siempre.

Un Router tiene una interfaz Web para configurarlo, tiene un servidor Web en sí mismo. Como cualquier servidor a día de hoy se puede acceder por HTTP o por HTTPS. La diferencia ya la he explicado, si te conectas por HTTP, la comunicación entre tu equipo y el Router va sin cifrar, si va pro HTTPS va cifrada de extremo a extremo.

Aquí tenemos la primera pega... prácticamente casi nadie usa en dispositivos propios de acceso interno HTTPS para su acceso, porque para poder hacer uso de HTTPS, se requiere un certificado en el servidor Web, y a menos que este haya sido emitido por un CA universal, cualquier navegador o cliente que acceda a él rechazará la conexión por defecto por no fiarse de certificados autofirmados o emitidos por CA no válidos. Puedes hacer la prueba, intenta acceder al Router por HTTPS (https://192.168.1.1) Verás el bonito error/advertencia que aparece.

Pero pongamos que vale, que pese a dicha advertencia continúas adelante, o sabes como instalar un certificado validado para evitar dichas advertencias. Bien, ahora el Router y el equipo negocian con los diferentes protocolos como se va a cifrar todo. Aquí es donde entra en juego la advertencia que te da el escáner.

Cuando se hace la negociación, cada una de las partes expone los protocolos y cifrados que van a soportar. Si por el motivo que sea el servidor permite el uso de SSLv3, ya sea porque no soporta TLS ó que permite un Fallback, pues aparece el error. Lo mismo pasa con algunos algoritmos de cifrados.

Y que impacto tiene esto en tu caso particular?? Ninguno.

Lo que implica es que, teóricamente, si un usuario de tu red estuviese accediendo al Router para configurarlo, se abrirían dos opciones:

a) Lo haría por medio de http, con lo que cualquiera en la red local podría ver el tráfico intercambiado entre el Router y el equipo que lo está configurando. Este es el 99% de los casos, ya que, repito, no está expuesto a Internet, no le tenemos configurado un certificado propio, etc etc etc

b) Lo haría por medio de HTTPS, pese a la advertencia de seguridad. En este caso la conexión va cifrada. Un atacante dentro de la propia red local podría con diferentes ataques intentar interceptar algún dato de valor en la comunicación que va cifrada. Aquí es donde el uso de protocolos considerados inseguros hacen su aparición. Teóricamente sería posible que un atacante de tu propia red intentase forzarte que tu conexión se realizase por SSLv3, e intentar desencriptar los datos que el Router te envía o los que tú envías al Router cuando lo configuras.

Entenderás por ende la poca utilidad que tiene esto en la configuración de un Router propio. El atacante no solo tendría que estar en tu misma red local, ya de por sí complicado, sino que además tampoco obtendría nada de valor, no significa que pudiesen acceder al Router ni nada por el estilo. Tendrían que ser capaces de interceptar todo el tráfico, incluyendo la contraseña de acceso del Router o alguna cookie de sesión. Y todo ello dando por sentado que pudiesen realizar un ataque similar.

Si a todo ello le añadimos que casi con seguridad el acceso al Router por parte de alguien de la red es casi inexistente, y que cuando lo hace lo hace de cualquier modo casi siempre por http... pues bueno, digamos que peligro peligro, ninguno 🙂

Saludos.

4 Respuestas

Las respuestas se han desactivado para esta discusión

Técnico-Movistar
Responsable Técnico
14-12-2024
Hola iluque_6

Agradecemos a Theliel por el aporte realizado en la consulta.

Vemos que has marcado como solución el aporte realizado, daremos por cerrada la consulta para que esta información sea de fácil acceso a nuestros usuarios.

¡Gracias por confiar en nosotros y participar en la Comunidad!

Un saludo, Andrés.
iluque_6
Más integrado que la RDSI
05-12-2024
Hola Theliel, gracias por la respuesta.

Perdona si no he dado muchos datos sobre la situación, soy consciente de que deshabilitar estos protocolos en nuestro router a efectos prácticos no va a cambiar nada más allá de evitar ataques POODLE, que no creo que sea un ataque del que debamos preocuparnos teniendo en cuenta lo que has comentado, preguntaba más que nada para ver si era posible deshabilitar los protocolos para que no sigan apareciendo al realizar los test de vulnerabilidades, que por lo que has comentado parece que tampoco es posible.

De todas formas gracias por haberte tomado el tiempo de describir el funcionamiento de los cifrados y el acceso a la interfaz del router.

Saludos.
Theliel
Yo probé el VDSL
05-12-2024
Buenas iluque_6

La respuesta corta es que ni puedes, ni lo necesitas deshabilitar.

Los escáner de vulnerabilidades son herramientas sencillas de usar, pero al igual que pasa con muchas suites de seguridad, pueden ser altamente alarmantes si no van acompañadas de un conocimiento importante sobre lo que se está leyendo o lo que nos está diciendo. Y este es el caso.

Es cierto que de forma unánime SSLv3 ha pasado a considerarse "inseguro" debido a diferentes ataques potencialmente posibles contra este sistema, y actualmente se tiende a usar casi de forma unánime TLS1.2 o TLS1.3. Pero antes de todo ello, poco o nada sirve si uno no sabe que es esto, a que puede afectar, si tiene realmente implicaciones prácticas...

SSL/TLS en el protocolo HTTPS es en esencia una capa de cifrado del tráfico de extremo a extremo. Es decir, que cuando accedes a cualquier web, tu dispositivo cifra los datos de tal modo que tan solo el servidor legítimo final puede desencriptar, y al contrario. Realmente, pese a que a día de hoy prácticamente más del 90% de las páginas van bajo HTTPS, esto es irrelevante si la información que se transfiere no contiene ningún dato sensible, ya que realmente vale para poco cifrar un mensaje que diga: "El cielo esta azul". Pero como digo a día de hoy es casi una norma que todo vaya bajo HTTPS... aunque no sea necesario ni mucho menos siempre.

Un Router tiene una interfaz Web para configurarlo, tiene un servidor Web en sí mismo. Como cualquier servidor a día de hoy se puede acceder por HTTP o por HTTPS. La diferencia ya la he explicado, si te conectas por HTTP, la comunicación entre tu equipo y el Router va sin cifrar, si va pro HTTPS va cifrada de extremo a extremo.

Aquí tenemos la primera pega... prácticamente casi nadie usa en dispositivos propios de acceso interno HTTPS para su acceso, porque para poder hacer uso de HTTPS, se requiere un certificado en el servidor Web, y a menos que este haya sido emitido por un CA universal, cualquier navegador o cliente que acceda a él rechazará la conexión por defecto por no fiarse de certificados autofirmados o emitidos por CA no válidos. Puedes hacer la prueba, intenta acceder al Router por HTTPS (https://192.168.1.1) Verás el bonito error/advertencia que aparece.

Pero pongamos que vale, que pese a dicha advertencia continúas adelante, o sabes como instalar un certificado validado para evitar dichas advertencias. Bien, ahora el Router y el equipo negocian con los diferentes protocolos como se va a cifrar todo. Aquí es donde entra en juego la advertencia que te da el escáner.

Cuando se hace la negociación, cada una de las partes expone los protocolos y cifrados que van a soportar. Si por el motivo que sea el servidor permite el uso de SSLv3, ya sea porque no soporta TLS ó que permite un Fallback, pues aparece el error. Lo mismo pasa con algunos algoritmos de cifrados.

Y que impacto tiene esto en tu caso particular?? Ninguno.

Lo que implica es que, teóricamente, si un usuario de tu red estuviese accediendo al Router para configurarlo, se abrirían dos opciones:

a) Lo haría por medio de http, con lo que cualquiera en la red local podría ver el tráfico intercambiado entre el Router y el equipo que lo está configurando. Este es el 99% de los casos, ya que, repito, no está expuesto a Internet, no le tenemos configurado un certificado propio, etc etc etc

b) Lo haría por medio de HTTPS, pese a la advertencia de seguridad. En este caso la conexión va cifrada. Un atacante dentro de la propia red local podría con diferentes ataques intentar interceptar algún dato de valor en la comunicación que va cifrada. Aquí es donde el uso de protocolos considerados inseguros hacen su aparición. Teóricamente sería posible que un atacante de tu propia red intentase forzarte que tu conexión se realizase por SSLv3, e intentar desencriptar los datos que el Router te envía o los que tú envías al Router cuando lo configuras.

Entenderás por ende la poca utilidad que tiene esto en la configuración de un Router propio. El atacante no solo tendría que estar en tu misma red local, ya de por sí complicado, sino que además tampoco obtendría nada de valor, no significa que pudiesen acceder al Router ni nada por el estilo. Tendrían que ser capaces de interceptar todo el tráfico, incluyendo la contraseña de acceso del Router o alguna cookie de sesión. Y todo ello dando por sentado que pudiesen realizar un ataque similar.

Si a todo ello le añadimos que casi con seguridad el acceso al Router por parte de alguien de la red es casi inexistente, y que cuando lo hace lo hace de cualquier modo casi siempre por http... pues bueno, digamos que peligro peligro, ninguno 🙂

Saludos.
Técnico-Movistar
Responsable Técnico
04-12-2024
Hola iluque_6

Bienvenido a la Comunidad Movistar.

Para poder ayudarte, envíanos por mensaje privado (pon el cursor sobre el Nick y sale la opción de mensaje privado) los siguientes datos:

- Número de Teléfono afectado, nombre y apellidos del titular, NIF o CIF .

- Teléfono y nombre y apellidos de la persona de contacto, por si fuera necesario.

- Ubicación (Provincia, municipio, calle y número o en su defecto punto kilométrico).

Para mayor información te dejo aquí un enlace de como realizar un mensaje privado.

Un saludo.

Dayana.

Foro

Problema Protocolos Router Movistar

4 Respuestas

Contenido relacionado

Duda sobre protocolo de instalación de fibra

Problemas Movistar cloud

Problemas con MANDO VOCAL MOVISTAR PLUS +