Mitrastar HGU GPT-2541GNAC con el puerto ssh abierto

dron
Yo probé el VDSL
Mitrastar HGU GPT-2541GNAC con el puerto ssh abierto

 

 Bicheando con el Mitrastar HGU GPT-2541GNAC que me montaron los de telefónica, veo que tiene el puerto ssh abierto siempre, a toda Internet.

 

 Haciendo un fingerprinting básico, me sale como ssh el SSH-2.0-OpenSSH_6.0p1 Debian-4+deb7u2; y que acepta autorización por password, publickey y keyboard-interactive.

 

 Como no me hace demasiada gracia que cualquier tipo de Internet me pueda entrar en el router, he intentado cerrarlo desde las reglas de firewall del ppp0.1, que son las que puedo tocar a priori desde interfaz web; pero le pongas ignore o drop, en regla por defecto o en una regla específica, como que tararí, y que el router sigue estando accesible desde Internet.

 

 ¿Alguien sabe alguna forma de cerrarlo, me tengo que comprar un router de fibra buena, o tengo que montar un firewall por [....] y ponerlo en monopuesto? Gracias por las sujerencias.

 

Mensaje 1 de 12
6.219 Visitas
11 RESPUESTAS 11
Teo-Movistar
Antiguo Moderador

Buenas tardes @dron y bienvenid@ a la Comunidad.

 

Necesito tus datos para poder realizar pruebas y/o generar averia , etc...
   • Nombre del titular.
   • NIF del titular.
   • Número de teléfono del ADSL/FTTH.
   • Móvil de contacto, nombre del contacto y horario habitual de contacto.

  Pásamelos por un mensaje privado pulsando en Enviar un mensaje privado a Teo-Movistar


   Por favor, deja el router encendido para que podamos hacer pruebas.
  

   Un saludo



Si necesitas soporte técnico en averías de Móvil, Fijo, Movistar+ o Internet Fijo (cobre o fibra), puedes acceder a nuestro apartado de Soporte Técnico o rellenar este formulario. También puedes contactar con nosotros llamando al 1002.

 Si necesitas contratar Fibra Ópticacomprobar tu cobertura Adsl y Fibrao ver información sobre la instalación de la fibra visita nuestra página ADSL y Fibra en movistar.es 

Solución aceptada.png
Mensaje 2 de 12
6.181 Visitas
Theliel
Yo probé el VDSL

Buenas @dron

 

Eso no es del todo cierto. El Puerto 22 tan sólo está abierto a WAN a las IPs de gestión de Movistar y para la LAN, es decir... que no hay mucho que raspar. Si lo que quieres es bloquearlo de forma integral para WAN, solo tienes que eliminar en el FW, en Rules, las excepciones creadas para las IPs de Movistar, que realmente son las únicas que tienen acceso... es decir, son las únicas que tienen creada una excepción.

 

Si has realizado un escaner desde LAN, normal que salga abierto, pero desde WAN aparecerá cerrado, a menos claro está que en Rules hayas especificado lo contrario. Si quieres ver el estado desde WAN, el escaner lo tienes que hacer desde WAN, evidentemente, y con WAN no me refiero a usar la IP pública dentro de tu red, sino completamente desde fuera.

 



Por privado solo asuntos privados, para lo demás la comunidad."El conocimiento nace del desacuerdo"
Mensaje 3 de 12
6.164 Visitas
dron
Yo probé el VDSL

> Eso no es del todo cierto. 

 

 Las pruebas están hechas desde fuera de la LAN, como digo. De hecho, están hechas desde un país en el que Telefónica no tiene presencia; luego tu comentario, aunque correcto en teoría si todo fuera lo que se esperaba, no lo es en la práctica.

 

 

 

 

Mensaje 4 de 12
6.149 Visitas
Theliel
Yo probé el VDSL

Buenas @dron

 

Pues algo debe de fallar... he tenido el GPT mucho tiempo y SSH está bloqueado para fuera. Accede por SSH (dicho sea de paso) al Router, accede a la shell completa (que por ahí he dicho más de una vez como hacerlo, y saca el listado de iptables, para que lo veas tu mismo



Por privado solo asuntos privados, para lo demás la comunidad."El conocimiento nace del desacuerdo"
Mensaje 5 de 12
6.131 Visitas
dron
Yo probé el VDSL

 Ya se que algo falla; si no supiera que algo falla, no estaría escribiendo aquí. 😉

 

 Y sé como entrar en el router por ssh y volcar las iptables, no van por ahí los tiros. 🙂

 

 Los paquetes entrantes de ssh al puerto 22 de ssh deberían estar bloqueados por la cadena FrwlInChk, que hace un DROP. Pero no es lo que pasa. La configuración a nivel de iptables desde ssh no la he tocado, de cualquier forma.

Mensaje 6 de 12
6.126 Visitas
Theliel
Yo probé el VDSL

Buenas compi

 

Ammm, si efectivamente iptables está bien, y el paquete se registra y queda marcado en drop, lo que está mal hecho es el escaner y no se está alcanzando realmente al Router. No tengo ahora mismo un GPT para probar, pero como te digo si es algo que en su día comprobé y ningún problema.



Por privado solo asuntos privados, para lo demás la comunidad."El conocimiento nace del desacuerdo"
Mensaje 7 de 12
6.123 Visitas
dron
Yo probé el VDSL

 Bueno, me sorprende. Creí que lo estaba haciendo de forma correcta.  Su poniendo que mi dirección es A.B.C.D, y hago:

 

ssh -v A.B.C.D

 

 Me sale:

 

OpenSSH_6.7p1 Debian-5+deb8u3, OpenSSL 1.0.1t 3 May 2016

debug1: Reading configuration data /etc/ssh/ssh_config
debug1: /etc/ssh/ssh_config line 19: Applying options for *
debug1: Connecting to D.red-A-B-C.dynamicip.rima-tde.net [A,B.C.D] port 22.
debug1: Connection established.
debug1: key_load_public: No such file or directory
debug1: identity file /home/USUARIO/.ssh/id_rsa type -1
debug1: key_load_public: No such file or directory
debug1: identity file /home/USUARIO/.ssh/id_rsa-cert type -1
debug1: key_load_public: No such file or directory
debug1: identity file /home/USUARIO/.ssh/id_dsa type -1
debug1: key_load_public: No such file or directory
debug1: identity file /home/USUARIO/.ssh/id_dsa-cert type -1
debug1: identity file /home/USUARIO/.ssh/id_ecdsa type 3
debug1: key_load_public: No such file or directory
debug1: identity file /home/USUARIO/.ssh/id_ecdsa-cert type -1
debug1: key_load_public: No such file or directory
debug1: identity file /home/USUARIO/.ssh/id_ed25519 type -1
debug1: key_load_public: No such file or directory
debug1: identity file /home/USUARIO/.ssh/id_ed25519-cert type -1
debug1: Enabling compatibility mode for protocol 2.0
debug1: Local version string SSH-2.0-OpenSSH_6.7p1 Debian-5+deb8u3
debug1: Remote protocol version 2.0, remote software version OpenSSH_6.0p1 Debian-4+deb7u2
debug1: match: OpenSSH_6.0p1 Debian-4+deb7u2 pat OpenSSH* compat 0x04000000
debug1: SSH2_MSG_KEXINIT sent
debug1: SSH2_MSG_KEXINIT received
debug1: kex: server->client aes128-ctr hmac-sha1 none
debug1: kex: client->server aes128-ctr hmac-sha1 none
debug1: SSH2_MSG_KEX_DH_GEX_REQUEST(1024<7680<8192) sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_GROUP
debug1: SSH2_MSG_KEX_DH_GEX_INIT sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_REPLY
debug1: Server host key: RSA 4a:8a:c5:f2:35:4d:e8:30:fb:2f:8f:9b:64:de:2d:3f
The authenticity of host ' D.red-A-B-C.dynamicip.rima-tde.net (A,B.C.D)' can't be established.
RSA key fingerprint is 4a:8a:c5:f2:35:4d:e8:30:fb:2f:8f:9b:64:de:2d:3f.

 

 Salen más cosillas, pero en mis limitados conocimientos creo que esto corresponde al escenario de una conexión ssh. Corrígeme si me equivoco.

 

 

 

Mensaje 8 de 12
6.115 Visitas
Theliel
Yo probé el VDSL

Buenas @dron

 

Pues como te digo no sé a quien estás escaneando, pero no al servidor SSH del Router, a lo mejor lo tienes conectado por DMZ o mapeado algún puerto a otro equipo. Digo esto por una cuestión sencilla... realmente dos:

 

1. La primera razón, es que el GPT no usa openSSH, usa Dropbear, especificamente:

Dropbear server v2014.66

 

2. Por si aun existiese duda, la key del server no es esa, el fingerprint de la key del host para la versión b31 es: ef:00:73:21:af:06:83:3d:28:4f:08:73:64:ce:1f:96

 

 



Por privado solo asuntos privados, para lo demás la comunidad."El conocimiento nace del desacuerdo"
Mensaje 9 de 12
6.093 Visitas
dron
Yo probé el VDSL

 

 Me estoy escaneando a mi, de eso estoy seguro. Esto me mosquea más aún, ya que si desconecto todo lo que hay aguas abajo del router, me sigue viendo ese servidor de ssh; y si apago el router, desde Internet deja de verme el servidor ssh y el host -accediendo a Internet desde mi terminal, no desde el mismo GPT, evidentemente-.

 

 

Mensaje 10 de 12
6.077 Visitas
Theliel
Yo probé el VDSL

Mandame por privado si quieres la IP del GPT y hago un escaner para ver que equipo se está escaneando.

 

El GPT no tiene otro servidor SSH, y no dudo de que corresponderá a algún equipo, pero ya te digo que no es el servidor ssh del GPT, como no esté redirigiendo la petición a algún otro lado, o tengas en medio algún proxy o...



Por privado solo asuntos privados, para lo demás la comunidad."El conocimiento nace del desacuerdo"
Mensaje 11 de 12
6.057 Visitas
Teo-Movistar
Antiguo Moderador

Buenas @dron .

 

Me alegro por tu victoria .

Cierro el hilo y hasta otra ...

 

Saludos .



Si necesitas soporte técnico en averías de Móvil, Fijo, Movistar+ o Internet Fijo (cobre o fibra), puedes acceder a nuestro apartado de Soporte Técnico o rellenar este formulario. También puedes contactar con nosotros llamando al 1002.

 Si necesitas contratar Fibra Ópticacomprobar tu cobertura Adsl y Fibrao ver información sobre la instalación de la fibra visita nuestra página ADSL y Fibra en movistar.es 

Solución aceptada.png
Mensaje 12 de 12
6.014 Visitas