OWISAM-IF-002

From OWISAM
Jump to: navigation, search

Interfaces administrativas expuestas a la red (OWISAM-IF-002)

Descripción

Por defecto las interfaces administrativas de muchos dispositivos son accesibles desde la red Wi-Fi, esto ocurre sobretodo en los routers que se emplean como AP. Estas interfaces vienen configuradas con credenciales por defecto que son muy predecibles o incluso disponen de una página de ayuda accesible a todos los usuarios en la que se pueden consultar. Suelen venir habilitadas como parte de la configuración de fábrica.


Prueba

La interfaz administrativa no tiene por qué ser web o estar en los puertos por defecto para este protocolo (80 y 443), de todas formas esta suele ser la situación habitual.Partiendo de esta suposición lo mejor es, una vez conectados a la red Wi-Fi, comprobar nuestra configuración IP para ver en qué dirección está el gateway y acceder a través de un navegador. Es importante usar tanto HTTP como HTTPS, ya que por el primero podremos no estar viendo todas las opciones posibles que ofrece la interfaz.

Además es recomendable usar alguna herramienta de escaneo de puertos en busca de otras interfaces, como pueden ser telnet, ssh o alguna propietaria situada en algún puerto concreto. Para la realización de esta tarea es útil nmap.

Una vez localizados los puntos de acceso, en caso de que esté protegidos por contraseña, suelen ser las que vienen configuradas por defecto, así que es posible consultarlas en Internet o incluso en algún menú de ayuda (en caso de que sea un panel web). En caso de no encontrar las credenciales correctas, estos dispositivos no suelen tener protecciones antiautomatización, por lo que es posible usar herramientas para realizar fuerza bruta contra el proceso de autenticación.


Recomendaciones

Aunque las interfaces administrativas son necesarias, no deben ser ser accesibles desde cualquier parte de la red, ya que si un usuario no autorizado logra acceder a ellas es muy posible que pueda llegar a modificar la configuración del dispositivo. Para protegerlas se puede limitar su acceso a conexiones sólo a través de la red cableada o únicamente a una serie de IPs reservadas.

Además es fundamental cambiar las contraseñas por defecto para su acceso por otras más robustas.


Referencias