Router MitraStar HGW-2501GN-R2 sin acceso por Telnet

Lo que es seguro para mi Ud no puede saber. La seguridad en mis sistema yo lo conozco y no podeis decir que seguridad tengo. Ud al cambiar el Firmware se mete en mi sistema, se interpone y para mi se trata de una especia de sabotaje. Yo he trabajado en el soporte de router y el soporte de redes en informatica, y me parece inadminisble que Movistar desactiva funciones del router. Por ejemplo ya no puedo usar el filtrado de las direcciones MAC.

Buenos días

¿Nadie se anima de Telefónica/Movistar a responder?

¿Debo abrir una incidencia en el 1004 para tener una respuesta oficial a este asunto?

Pago sus servicios religiosamente cada mes desde hace décadas.

Seguimos en la brecha...

Gracias de veras por tu interés.

Ayer estuve revisando un rato los backups que tengo de la configuración del router, observo que han cambiado el formato de los backups lo cual tiene sentido si han cambiado el firmware del router.

Comparando las configuraciones parece que no han tocado los parámetros que configuran el servicio telnet en el router. Así que supongo que es como dices, que simplemente no levantan el servicio en el router, o no está presente, y no lo muestran en la interfaz de configuración web.

En cuanto para que venía usando el acceso por Telnet, no es ni fue para acceder a la shell completa, no lo necesito. En mi caso me basta con los comandos que hay disponibles pero necesito seguir usando Telnet para acceder al router.

Seguimos en la zanja...

Buenas JPM-MAD 

No es una cuestión del motivo que puedas tener, es una cuestión de que usas un Router que es el que dispone el ISP, es de ellos de echo, y estemos más o menos de acuerdo con las políticas que tienen, es lo que toca. Si lo que requieres es otras funcionalidades que por el motivo que sea no dejan/tienen, pones tu propio Router, no hay más.

Te repito que dicha funcionalidad se eliminó hace muchas revisiones de firmware, tendrías que irte a una firmware bastante vieja y que por otro lado sería cuanto menos un suicidio en lo que respecta a seguridad, peligro al que antes tb estabas expuesto, o eras ya de echo víctima sin saberlo. 

Pero en cualquier caso es hablar por hablar, porque como digo es mucho más simple. Es su equipo, son sus normas. Cualquier revisión de software puede añadir/quitar funcionalidades, que el manual que apareció de origen dijese X no quiere decir que sea un dogma a cumplir ni mucho menos.

Y respecto lo que dices del Timeout, también estás presuponiendo que la firmware es coherente y que cualquier cambio que hacen internamente tienen en cuenta al resto de partes.  Lo cierto es que el demonio telnet no se levanta directamente, y en algunos Router actuales de Movistar ni siquiera está presente. Que en cualquiera de los dos casos tampoco tiene mayor importancia, para eso está SSH, otra cosa es que por defecto tan solo se tenga una Shell restrictiva, que lo mismo podrían hacer igualmente por Telnet.

Ya te digo que es una guerra perdida, a menos que te busques las habichuelas para saltar a la shell completa del Router o que te hagan un downgrade, con los importantes problemas de seguridad... 

Gracias por responder y el consejo.

Sigo necesitando poder habilitar el acceso por Telnet desde la red local por motivos que no voy a detallar aquí. Tampoco quiero, necesito ni deseo cambiar de router actualmente.

El hecho es que esa funcionalidad la tenía activada y podía configurarla, y ahora no. La funcionalidad está documentada en los manuales que proporciona Movistar con independencia de su antigüedad, y además por SSH ya indiqué que puedo modificar desde el terminal el timeout del servicio telnetd del router. Así que el servicio, lo que dice estar está...

Seguimos en la brecha...

Buenas JPM-MAD 

Desde hace muchísimo tiempo el Router no permite el acceso root a shell, tendrías una versión bastante vieja de firmware, que por otro lado es muy peligroso por vulnerabilidades diversas.

El equipo es de Movistar, y con ello como es natural se reservan cualquier modificación en el software del propio Router. El manual obviamente fue redactado al principio de los tiempos, muchas muchas revisiones de firmware han aparecido desde entonces, y simplemente no se ha actualizado.

En cualquier caso, las firmwares viejas eran altamente vulnerables, uno podía hacerse con el control total del Router de forma remota incluso, con lo que el acceso por telnet sería el menor de tus problemas, de echo en su día reporté ataques que se estaban haciendo en la red de Movistar para "apoderarse" de Routers vulnerables.

La tónica general de Movistar, o de los fabricantes de sus Router, no tengo claro el responsable final, es no dar acceso en ningún caso a la shell interna, y protegerla como sea posible. En su tiempo iba publicando con cada actualización que hacían, fuese con el HGW o con los HGU, como ir saltándose su seguridad para seguir colándose como uno quisiese, pero al final lo único que lograba es que en la siguiente actualización solucionasen dichos "agujeros", volviendo al punto de partida. Así que decidí sencillamente no divulgar dichos agujeros, a pesar que a día de hoy es "trivial" colarse en la shell real de sus equipos. A fin de cuentas el que al final se veía perjudicado sólo era yo, simplemente era previsor y si publicaba 1 modo, me guardaba 2.

Si quieres un consejo... si quieres un Router en el que puedas tener un acceso completo y además tuyo, compra e instalar un Router propio que se adapte realmente a tus necesidades, y más importante aun, libre de todos por menores/mayores de las firmwares de Movistar sin sacrificar seguridad.