Vulnerabilidades de

segurança nos modems/

routers ADSL

Daniel Teixeira
danieljcrteixeira@gmail.com
Índice

Introdução 3

Configuração padrão 4

Nome de utilizador e password padrão 5

Acesso à página de administração 6

Atributos HTML 7

D-Link DVA-G3170i/PT 10

Montando o Palco 11

Cenário 1 - Email Phishing 12

Cenário 2 - DNS Phishing 21

Cenário 3 - Roubo de identidade 34

Cenário 4 - Acesso à Intranet 38

Conclusão 42

Referências 42

2
Introdução
Com o crescente número de sistemas embebidos, também designados por sistemas embutidos presentes
nas redes empresariais e redes domesticas, surgem duvidas quanto à segurança desses dispositivos e à
forma como estes estão configurados. Em particular os Modems/Routers ADSL instalados na periferia das
redes ligados a internet.

O propósito deste relatório é delinear as medidas de segurança tomadas pelos ISPs e fabricantes de forma
a prevenir ataques nos seus produtos, que medidas de segurança estão presentes e quais falham o seu
propósito. Para tal usamos ferramentas de rede existentes para analisar vulnerabilidades numa variedade
de dispositivos comuns e demonstrar fraquezas na segurança desses dispositivos. Além disso, vamos
examinar as tendências comuns em matéria de segurança que se repetem entre diversos ISPs e
fabricantes. Como forma de representar os riscos dessas mesmas vulnerabilidades, as mesmas serão
aplicadas em possíveis cenários de forma a representar ataques reais por parte de criminosos.

Na elaboração deste documento foram testados os seguintes routers adsl, alguns dos mais comuns entre
os quais os fornecidos pelos ISPs, (no entanto é de realçar que o número de equipamentos vulneráveis
expendem-se para além do grupo aqui testado):

Modelo Versão de Firmware

AirLive ARM-204 2.7.0.28

AirLive WT-2000ARM 2.7.0.28

D-Link DVA-G3170i/PT 1.20

Edimax AR-7084ga 2.9.8.1

Epygi 2xi Quadro2xi 4.1.33

Huawei Aolynk DR814Q 200DD001EX

Vigor2700 series 2.6.3.1

ZyXEL P-660RU-T1v3 3.40

3
Configuração padrão

Uma vulnerabilidade comum a todos os equipamentos abordados está presente na configuração padrão
(por defeito) dos mesmos, todos disponibilizam formas administração ou gestão através da internet.
Formas de administração como telnet pelo porto 23 (Figura 1) ou pelo porto 80 através da página de
administração no browser (Figura 2), que apenas deviam de estar disponíveis para a rede de área local ou
LAN.

Figura 1 Pedido de autenticação para o site de administração do router Edimax

AR-7084ga.

Figura 2 Pedido de autenticação telnet para a administração do router D-Link DVA-

G3170i/PT

4
Nome de utilizador e password padrão

O segundo ponto sobre o qual nos vamos focar prende-se ao facto de a grande maioria dos equipamentos
estarem configurados de fabrica com dados de autenticação padrão e publicamente disponíveis, quer nos
próprios manuais, nos guias de instalação dos ISPs e mesmo em sites como http://
www.routerpasswords.com ou http://www.phenoelit-us.org/dpl/dpl.html (Figura 3). E de uma forma
constante estes tendem a não ser alterados pelos utilizadores, por lapso, desconhecimento, dado que nem
sempre está explicito nos manuais, pelo facto dos ISPs não reforçarem o conceito de segurança e a
importância da alteração dos dados de autenticação nos seus guias de instalação. Com o acesso ao nome
de utilizador, password e à página de administração publicamente disponível na internet, temos um ponto
de acesso ao router e como vamos ver de seguida aos dados do utilizador e a própria rede de área local ou
intranet.

Modelo Nome de Utilizador (Username) Password

AirLive ARM-204 admin admin

AirLive WT-2000ARM admin airlive

D-Link DVA-G3170i/PT admin admin

Edimax AR-7084ga admin admin

Epygi 2xi Quadro2xi admin 19

Huawei Aolynk DR814Q user user

Vigor2700 series admin admin

ZyXEL P-660RU-T1v3 admin 1234

Figura 3 Nomes de utilizadores e passwords referentes aos modelos testados.

5
Acesso à página de administração
Combinando a informação reunida nos tópicos anteriores torna-se possível aceder à página de
administração do router ADSL (Figura 4 e 5).

Figura 4 Pedido de autenticação à página de administração do router AirLive

WT-2000ARM

Figura 5 Página de administração do router AirLive WT-2000ARM.

6
Atributos HTML

Assim que se obtém acesso à página de administração do router, obtém-se acesso a todos os recursos
neste presentes, contudo por agora vamo-nos focar no nome de utilizador da conta de acesso à internet e
na respectiva password (Figura 6). De uma forma geral a maioria dos modens tem um servidor de HTTP
embebido (Embedded HTTP server), o qual permite gerar a página de administração, através do uso de
scripts CGI (Common Gateway Interface) (RFC 3875), ou implementações semelhantes que permitem a
interacção entre os dados introduzidos no browser e o router. Devido a uma falha na implementação nos
scripts CGI que geram o código HTML (HyperText Markup Language) torna-se possível revelar a password
de acesso a conta de internet.

Figura 6 Nome de utilizador e password Edimax AR-7084ga.

De forma a tirarmos partido da vulnerabilidade presente na implementação da página de administração dos

routers ADSL, que permite a divulgação da password de acesso inspeccionamos o campo de Input do
código HTML gerado usando ferramentas de desenvolvimento que nos permitem editar, depurar e
monitorar CSS, HTML e JavaScript em qualquer página da web, como o Safari Web Inspector ou o Firebug
(http://getfirebug.com/).

Para usarmos o firebug basta clicar no campo de input, neste caso Password e inspeccionar o elemento
(Figura 7).

Figura 7 Inspeccionar elemento com o Firebug.

7
Assim que recebemos o resultado do Firebug torna-se perceptível que estamos perante a password sob a
forma de texto simples (Figura 9).

Figura 8 Resultado do Firebug.

Figura 9 Password em texto simples.

Caso pretendido é possível manipular o atributo TYPE no campo de <INPUT> tornando a password visível
na caixa de <INPUT> para tal basta altera o atributo de PASSWORD para outro valor como por exemplo
TEXT (Figura 10).

8
 Figura 10 Atributo TYPE no campo de <INPUT>.

Figura 12 Mudando o atributo TYPE de PASSWORD para TEXT no campo de <INPUT>.

Apartir deste momento temos todos dados de acesso a conta de internet do proprietário do router Edimax
AR-7084ga.

9
D-Link DVA-G3170i/PT

No caso específico do D-Link DVA-G3170i/PT não somos imediatamente presenteados com uma página
de administração pela internet, contudo temos acesso a administração por telnet (Figura 13) e como de
seguida demonstrado é mais que suficiente para obtermos acesso ao router e aos dados de acesso a
internet. Sabendo que o nome de utilizador para aceder a administração do D-Link DVA-G3170i/PT por
defeito é admin e a password é admin. Facilmente acedemos aos serviços do router (Figura 14).

Figura 13 Pedido de autenticação telnet para a administração do router D-Link

DVA-G3170i/PT

Figura 14 Autenticação a administração do router D-Link DVA-G3170i/PT.

Assim que obtemos acesso ao router, tendo em conta que tal como a maioria dos modens se trata de um
modelo com base em Unix/Linux, ao fim de alguns minutos torna-se evidente onde encontrar os dados da
ligação à internet, no entanto a surpresa está no facto desta informação não se encontrar encriptada.
Tornando possível aceder aos dados de acesso simplesmente lendo o ficheiro pap-secrets, introduzindo
para tal o seguinte comando:

Como constatado inicialmente, fracas implementações de segurança e falta de cuidado com a informação
dos clientes começam a ser uma constante (Figura 15).

Figura 15 Nome de utilizador e password de acesso à internet no router D-Link

DVA-G3170i/PT.

10
Montando o Palco

Munidos com toda a informação obtida, temos todos os dados para simular um ataque de um criminoso.

Sumário da informação obtida:

• Configuração padrão dos modens - Acesso à página de administração pela internet e/ou por telnet.

• Nome de utilizador e password padrão - Acesso publico aos dados de autenticação.

• Vulnerabilidade no código da página de administração que permite acesso ao nome de utilizador e

password de acesso a internet.

• Vulnerabilidade resultante da fraca aplicação de medidas de segurança no router D-Link DVA-G3170i/PT,

que permitem o acesso ao nome de utilizador e password de acesso à internet.

Como forma de clarificar o verdadeiro risco criado por estas vulnerabilidades e demonstrar a forma como
tornam alguns ataques possíveis vamos avaliar alguns cenários simulando a extensão a que podem ser
levadas.

11
Cenário 1 - Email Phishing

De uma forma concreta assim que temos acesso aos dados da conta do utilizador, o único limite é a
imaginação, contudo de forma a quantificar o valor dos dados de acesso vamos tentar aceder a alguma
informação ou serviços.

O primeiro passo é obter o endereço IP (Internet Protocol) do router de forma a tentarmos entrar. Sem
querer entrar em muitos detalhes neste aspecto em concreto, vamos abordar algumas formas de obter o
endereço IP de um destes modens:

1. Umas das formas mais praticas é analisar os cabeçalhos de um email recebido:

2. Outra forma é usar um scanner tal como o nmap de forma a procurar ips com os portos 23 (Telnet) e 80
(HTTP):

Assim que obtemos os dados de acesso o primeiro passo é entrarmos no portal do operador (ISPs) e
acedermos a Área de Clientes. Como exemplo vamos usar os dados obtidos através do router D-Link DVA-
G3170i/PT, como neste caso específico estamos perante um equipamento distribuído pela Sapo, dirigimo-
nos ao portal do Sapo em http://www.sapo.pt (Figura 16).

Figura 15 Banner da página inicial do sapo.pt.

No canto superior direito da figura 15 temos o que procuramos o link para a Área do Cliente SAPO (Figura
16).

12
 Figura 16 Área de Cliente SAPO.

Assim que entramos temos acesso a todas as informações do cliente e serviços como: Conta Sapo ADSL,
Facturação, Voip, Email, Criar página pessoal, Criar/Gerir dynIP entre outros (Figura 17).

O primeiro elemento que nos chama a atenção são os dados pessoais do cliente:

• Nome

• Telefone

• Email

• Morada

Apartir deste momento podemos associar um nome ao nome de utilizador e password que conseguimos.

13
Figura 17 Área do Cliente SAPO.

O próximo passo é verificar que dados podemos obter na opção de Facturação (Figura 18).

Como podemos observar temos no topo da consulta de facturação:

• Nº de Conta de Cliente.

• Modo de Pagamento.

• Banco do Cliente.

Numa primeira aproximação, temos dados suficientes para um ataque de phishing, no qual podemos
incluir os dados do banco do cliente, os dados do cliente de forma a tornar o email mais credível. Contudo
ao analisarmos com mais atenção é possível verificar que temos a possibilidade de fazer download da
factura electrónica com a qual obtemos dados como:

• Nº Contribuinte.

• Nº de Facturação.

• Nº de Conta.

14
Figura 18 Área do Cliente SAPO, Facturação.

Neste momento temos todos os dados necessários para um ataque de phishing bem sucedo.

Apartir deste momento podíamos simplesmente enviar um ataque de phishing por email de forma a
obtermos os dados de acesso à conta do banco do cliente.

Contudo vamos analisar um pouco mais as opções disponíveis na Área de Cliente SAPO.

Mais a baixo temos o serviço de Email (Figura 19).

15
 Figura 19 Área do Cliente SAPO, Email.

Quando pensávamos que as coisas não podiam ficar melhores somos presenteados com o endereço da
conta de email personalizado (o-meu-email@sapo.pt), em vez do endereço obtido inicialmente
(as000000@sapo.pt). Isto torna a possibilidade de sucesso ainda maior, ao enviarmos o email de phishing
para a conta de email personalizado e não para o endereço da conta do Sapo. Assim o cliente ao receber o
email não vai achar estranho o endereço para o qual este foi enviado, dado que agora temos o endereço
personalizado do cliente. De forma a aumentarmos as chances deste ataque podemos tentar aceder a
conta de email do cliente e procurar por mais informações.

Para isso basta acedermos ao link (Figura 20) que nos da acesso a caixa de email do Sapo e tentarmos
aceder a conta (Figura 21).

16
Figura 20 Banner da página inicial do Sapo, link para o Mail.

Figura 21 Mail Sapo.

De forma geral a password que é usada para aceder a internet é a mesma password usada para aceder a
Área de Cliente e ao endereço de email associado a conta do cliente. Mais um ponto a nosso favor já que
não se torna necessário usar outras formas de tentar descobrir a password para aceder a conta de email
(Figura 22).

Com acesso a conta torna-se possível aceder a emails recebidos do próprio banco, pedidos de credito,
informações nos itens enviados da conta, nos rascunhos e na pasta do lixo, o lixo de um homem é o
tesouro de outro, sendo assim possível simplesmente alterar os emails recebidos e reenvia-los para o
cliente com os links que quisermos de forma a obtermos os dados de autenticação da conta bancaria.

17
Figura 22 Caixa de email.

Por fim resta apenas construir um email credível com as cores e o logo do banco do cliente como exemplo
o email de phishing do Montepio tentando induzir Clientes Montepio a acederem a um link falsificado
(Figura 23), contudo ao contrário deste tipo de emails genéricos, com os dados obtidos podemos criar um
email personalizado, com dados reais do cliente de forma a torna-lo mais credível e dificilmente detectado.
Ou no caso de obtivermos algum email relevante na caixa de email do cliente utilizar o layout do mesmo e
altera-lo de forma a cumprir o seu objectivo.

18
Figura 23 Exemplo de email de phishing. Disponível em: http://www.montepio.pt/imagens/34/ExemplosFraudes.pdf

De forma a mantermos acesso ao router para se tentar outro tipo de ataques podemos usar o serviço de
Criar/Gerir dynIP (Figura 24), tendo que os clientes com este tipo de ligação tem IP dinâmico o que
significa que em cada ligação efectuada é assignado um endereço IP diferente impossibilitando acesso
fácil a um router de um cliente previamente comprometido, contudo com o serviço de dynIP permite a
tradução entre o endereço IP e um nome de fácil memorização (Figura 25). Possibilitando voltar ao router
sempre que for necessário usando o nome atribuído ao IP.

Figura 24 Serviço de dynIP do Sapo na Área do Cliente.

19
 Figura 26 Serviço de dynIP do Sapo na Área do Cliente.

Figura 25 Serviço de dynIP do Sapo na Área do Cliente.

Apartir do momento que concluímos a atribuição do nome de endereço para a ligação em questão, basta
esperar cerca de 15 minutos após a activação do serviço para que possamos usar o nome escolhido
sempre que quisermos voltar ao router comprometido.
20
Cenário 2 - DNS Phishing

Neste possível cenário voltamos as funcionalidades do router de forma a tentar usar algumas das suas
propriedades para produzir um ataque bem sucedido.

O procedimento inicial para descobrir o IP do router vai ser o mesmo usado inicialmente, através dos
cabeçalhos de um email ou de uma ferramenta como o nmap para procurar uma lista de IPs com serviços
de autenticação a área de gestão do router.

Neste exemplo encontramos o router AirLive WT-2000ARM (Figura 27), usando o nome de utilizador admin
e a password airlive obtemos acesso à página de administração do router (Figura 28).

Figura 27 Autenticação para o site de administração do router AirLive WT-2000ARM.

Figura 28 Página de administração do router AirLive WT-2000ARM.

21
Usando a vulnerabilidade na implementação da página de administração do router AirLive WT-2000ARM
podemos obter a password da ligação a internet usando o Firebug (Figura 29)

Figura 29 Inspeccionar elemento com o Firebug, router AirLive WT-2000ARM.

Figura 30 Resultado do Firebug, router AirLive WT-2000ARM.

22
Figura 30 Mudando o atributo TYPE de PASSWORD para TEXT no campo de <INPUT>, router AirLive WT-2000ARM.

Com os dados obtidos concluímos que possivelmente se trata de uma conta empresarial, em especifico
um conta da operadora Optimus.

Munidos com essa informação podemos tentar aceder à área reservada a clientes que se encontra em
https://clientes.novis.pt (Figura 31)

23
Figura 31 Área reservada a clientes Optimus.

Figura 31 Área reservada a clientes Optimus.

24
Assim que entramos confirmamos que se trata de uma conta Novis Advance+ADSL, contudo os dados
obtidos na área reservada a clientes não são tão relevantes quanto os encontrados no Cenário 1, no
entanto ainda tínhamos a possibilidade de tentar ler os emails associados a conta de internet.

Contudo dado que temos acesso ao router, temos diversas possibilidades de criar um ataque bem
sucedido. Vamos analisar algumas opções deste router em especial a opção de escolher o servidor de
DNS (Domain Name System).

DNS (Domain Name System) é um mecanismo de resolução de nomes em endereços IP. Na prática, o
mecanismo DNS não é mas do que uma grande base de dados distribuída com a correspondência entre
endereços lógicos e nomes de domínio. Com isto em mente sabemos que podemos alterar os servidores
de DNS do router para o nosso próprio servidor de DNS, desta forma podemos controlar a resolução dos
nomes para o endereço IP. Com isto podemos criar um clone de um site e prepara-lo de forma a
direccionar os utilizadores deste router para esse mesmo site afim de obtermos credenciais de acesso.

Figura 32 Página de administração do router AirLive WT-2000ARM, servidores de DNS.

25
Em primeiro lugar vamos configurar o nosso servidor de DNS, para isso vamos usar uma maquina virtual
com o Windows Server 2008 instalado.

Para configurar o servidor de DNS acedemos a Start, Administrative Tools, DNS (Figura 33).

Figura 33 Windows Server 2008 configuração de DNS.

De seguida cliclamos com o botão do rato direito sobre Forward Lookup Zone e seleccionamos uma nova
zona (New Zone) (Figura 34).

Figura 33 Windows Server 2008 configuração de DNS.

26
Após seleccionarmos uma nova zona clicamos em Next no Creation Wizard (Figura 34) e de seguida
introduzimos o nome da zona, para este exemplo vamos usar gmail.com (Figura 35), contudo podia ser um
banco ou outro sitio a escolha.

Figura 34 Windows Server 2008 Creation Wizard.

Figura 35 Windows Server 2008 nome de zona.

O próximo passo é criar um registro A para www.gmail.com e o endereço IP do servidor que vai alojar o
nosso site de phishing 1.2.3.3 (Figura 36). Para isso a partir da lista drop-down, seleccionamos New Host
(A) Record.

27
 Figura 36 Windows Server 2008 New Host (A) Record

Agora precisamos configurar o servidor DNS para encaminhar todos os pedidos de URLs que não sabe
para um servidor DNS real.

Para isso no painel de configuração de DNS, clicamos com botão direito no próprio servidor DNS e
seleccionamos Propriedades (Figura 37). Em seguida, seleccionamos a Forwarders tab e introduzimos os
endereços IP de um servidor de DNS real (Figura 38).

Figura 36 Windows Server 2008 Propriedades servidor DNS.

28
 Figura 36 Windows Server 2008 IP do servidor de DNS real.

Para alojarmos o nosso site de phishing vamos usar uma maquina virtual com o BackTrack 4 R1 e correr o
Social Engineer Toolkit (SET), no menu do SET escolhemos a opção 2. Website Attack Vectors (Figura 37),
de seguida escolhemos 3. Credential Harvester Attack Method (Figura 38) dado que queremos obter as
credenciais dos utilizadores do router. Como pretendemos usar página do Gmail como página de phishing
escolhemos a opção 2. Site Cloner do menu (Figura 39).

Preenchemos os dados do SET (Figura 40):

• Enter the IP address for the payload (reverse) or for your POST back (harvester): 1.2.3.3

• Enter your interface IP address: 1.2.3.3

• Enter the url to clone: http://gmail.com

Aceitamos os dados introduzidos no SET (Figura 41) e estamos prontos para mudar o servidor de DNS no
router AirLive WT-2000ARM (Figura 42). Agora quando um dos utilizadores tentar aceder à página do Gmail
vai ser direcionado para a página de phishing do Gmail clonada pelo Social Engineer Toolkit (SET) na
maquina virtual a correr o BackTrack 4 R1 (Figura 43). Para obter as credenciais que o utilizador introduzir
na phishing do Gmail basta aceder a maquina virtual e visualizar os dados no SET (Figura 44).

29
Figura 37 Social Engineer Toolkit (SET) no BackTrack 4 R1

Figura 38 Social Engineer Toolkit (SET) no BackTrack 4 R1

30
Figura 39 Social Engineer Toolkit (SET) no BackTrack 4 R1

Figura 40 Social Engineer Toolkit (SET) no BackTrack 4 R1

31
Figura 41 Social Engineer Toolkit (SET) no BackTrack 4 R1

Figura 42 Página de administração do router AirLive WT-2000ARM, servidores de DNS.

32
 Figura 43 Página de phishing do gmail.

Figura 44 Nome de utilizador e password capturadas pelo SET com a página de phishing do gmail.

Tornando-se claro que com acesso a administração do router torna-se simples obter dados confidenciais
dos utilizadores dessa rede. Mostrando o quanto vulneráveis estão os utilizadores que usam este tipo de
equipamento. Contudo as possibilidades de ataques são vastas e neste cenário abordamos apenas uma
delas.

33
Cenário 3 - Roubo de identidade

Neste possível cenário o objectivo é aceder a extensa informação pessoal dos utilizadores. Começamos
como nos passados cenários com o número de IP de um router, mais precisamente um Huawei Aolynk
DR814Q, contudo podia ser qualquer um dos mencionados inicialmente. Assim que acedemos à página de
administração do Huawei Aolynk DR814Q usando credenciais padrão publicamente disponíveis (nome de
utilizador: user e password: user) notamos que se trata de uma conta da operadora Clix (Figura 45).

Figura 45 Nome de utilizador que indica a operadora.

Mais uma vez usamos o Firebug de forma a obtermos a password (neste exemplo “simples”) do cliente e
tentamos aceder a Área de Clientes da Clix em www.clix.pt com essas credenciais (Figura 46).

34
Figura 46 Área de Clientes da Clix em www.clix.pt

Assim que carregamos em enter somos levados para Homepage Área de Clientes (Figura 47), onde temos
ao nosso dispor uma grande variedade de informações e serviços, começando com “Olá “ seguido pelo
nome do cliente, apatir deste momento temos um nome para associar as credencias obtidas. De seguida
vamos tentar obter mais informações sobre o cliente no separador Gerir Conta e no link Dados pessoais
(Figura 48).

Figura 47 Área de Clientes da Clix em www.clix.pt

35
Figura 48 Dados pessoais na Área de Clientes da Clix.

Como podemos verificar agora temos acesso a diversos dado pessoais:

• Nº de Contribuinte

• Morada

• Código Postal

• Localidade

• Email

• Telemóvel

Com estes dados podemos começar a criar um perfil do cliente de forma a podermos assumir a sua
identidade. Um aspecto particular a estes dados é que ao contrario das Áreas de Clientes de outras
operadoras nesta temos acesso a uma conta de email que não a usada para aceder a Área de Clientes e
que neste caso em particular não é da operadora em questão “Email: email@homail.com”.

O seguinte passo é tentar obter alguns emails deste cliente, para isso vamos começar pela conta de email
associada a Área de Clientes, para isso basta clicar no icon webmail no canto superior direito da Área de
Clientes e somos levados para a Caixa de Entrada da conta (Figura 49).

Assim que entramos basta procurar um pouco na Caixa de Entrada para encontrarmos credenciais de
acesso a outras páginas, algumas redes sociais e outros serviços como Twitter e o MSN. Como a nossa
intenção neste cenário é obter o maior número de dados sobre o cliente um óptimo sitio é a pasta de
emails enviados (Figura 50) onde se torna possível encontrar diversos documentos e fotografias enviadas
em anexo, este caso não é excepção. Com acesso a pasta de mensagens enviadas torna-se possível
angariar copias de documentos importantes como o Cartão de Cidadão, pedidos de credito, documentos
com informação sensível que podem ser usados para chantagem, entre muitos outros.

36
Figura 49 Caixa de Entrada Webmail da Clix.

Figura 50 Enviadas Webmail da Clix.

Com acesso a este tipo de informação torna-se possível reunir alguns dados sobre a postura de segurança
do cliente, a grande maioria das contas encontradas possuem a mesma password “simples” a mesma
usada para aceder a internet. O que permite escalar desta conta de email talvez para a conta do Hotmail
encontrada na Área de Clientes nos Dados Pessoais - email@homail.com. Sem querer entrar em detalhes
de como escalar o roubo de identidade, para áreas que estão para além do âmbito deste cenário, como
“social engineering” podemos concluir que é extremamente simples obter tudo o tipo de informação sobre
um cliente que possua um router com este tipo de vulnerabilidades.

37
Cenário 4 - Acesso à Intranet

Uma das funções esperadas nos modens que analisamos é criar um separação da rede de área local ou
LAN da internet, seja pelo uso de uma firewall, access control list (ACL), network address translation (NAT)
entre outros. Contudo apartir do momento que controlamos o router controlamos todos os mecanismos de
protecção. De forma a exemplificar como se torna possível aceder aos recursos da intranet pela internet
com recurso ao router, vamos usar o mecanismo de tradução de endereços lógicos (NAT) de forma a
permitir que dispositivos com endereço privado (os que estão presentes na intranet) comuniquem através
da internet. Neste cenário começamos com o endereço IP de um router ZyXEL P-660RU-T1v3.

Assim que inserimos o IP do router no browser tal como nos modelos vistos anteriormente, temos a nossa
frente uma caixa que pede para nos autenticarmos de forma a acedermos a página de administração do
router (Figura 51).

Figura 51 Autenticação ZyXEL P-660RU-T1v3.

Dado que os dados para nos autenticarmos estão disponíveis publicamente e que em princípio este router
esta configurado com as credenciais padrão (nome de utilizador: user e password: 1234) avançamos para
a página de administração (Figura 52).

Figura 52 Página de administração do router ZyXEL P-660RU-T1v3.

38
Na página de administração do router ZyXEL P-660RU-T1v3 podemos avaliar a opções disponíveis, tal
como nos restantes modelos, é possível usar o Firebug de forma a obter o nome de utilizador e password
de acesso a internet (Figura 53)

Figura 52 Página de administração do router ZyXEL P-660RU-T1v3.

Neste caso podemos concluir que se trata de uma ligação ADSL da operadora Telepac, no entanto neste
cenário não vamos aceder a Área de Clientes nem a caixa do correio do mesmo, vamo-nos cingir ao
acesso a intranet. De forma a acedermos aos dispositivos presentes na intranet temos que saber o seu
endereço privado, para isso vamos as propriedades da rede de área local ou LAN do router (Figura 53).

39
Figura 52 Propriedades LAN do router ZyXEL P-660RU-T1v3.

Nas propriedades LAN podemos ver o endereço IP do router/router 192.168.1.1, a máscara de sub-rede
255.255.255.0 e o endereço IP inicial 192.168.1.33. No entanto como temos acesso ao Current Pool
Summary onde podemos ver os endereços IP distribuídos pelo servidor DHC (Figura 52).

Figura 52 Current Pool Summary do router ZyXEL P-660RU-T1v3.

Para termos acesso aos dispositivos presentes na rede privada através da internet temos que tornar alguns
dos seus serviços acessíveis, para tal basta alterar as propriedades do Virtual Server nas configurações de
NAT (Figura 53) de forma a podermos aceder aos serviços apartir do mesmo endereço de IP do router, de
uma forma simplista traduzimos o IP e porto do dispositivo privado para um porto no router (Figura 54).

40
Figura 53 Configurações de NAT do router ZyXEL P-660RU-T1v3.

Figura 53 Configurações do Virtual Server no router ZyXEL P-660RU-T1v3.

Após alterarmos as propriedades nas configurações NAT podemos aceder aos recursos disponibilizados
por esse dispositivo na rede privada. Neste exemplo podemos tentar aceder a pastas e documentos
partilhados, enumerar dispositivo, grupos de trabalho, utilizadores usando serviços como NetBIOS
(Network Basic Input/Output System), tendo como meta final atacar esses mesmos dispositivos e obter
controle sob a rede de área local pelo uso de ferramentas como sniffers e keyloggers.

41
Conclusão

Os fabricantes de modens/routers tem aumentado a segurança dos seus dispositivos, no entanto, a

segurança dos equipamentos destinados as PMEs e redes domésticas onde se encontram os usados
pelos IPSs ainda tem um longo caminho pela frente. Como forma de mitigar as falhas apresentadas neste
relatório é proposto a todos os utilizadores alterar as configurações padrão dos seus equipamentos, os
nomes de utilizadores usados para aceder à área de administração dos equipamentos, tomar uma postura
de segurança adequada evitando o uso de palavras password que se encontrem em dicionários ou que
possam ser facilmente descobertas e reduzir o número de servidos aos necessários.

Referências

• Andrew Whitaker, Keatron Evans, Jack B. Voth. (2009). Chained Exploits: Advanced Hacking Attacks from
Start to Finish. Addison-Wesley Professional.

• Stuart McClure, Joel Scambray, George Kurtz. (2009). Hacking Exposed: Network Security Secrets and
Solutions, Sixth Edition. McGraw-Hill Osborne Media.

• Charles M. Kozierok. (2005). A Comprehensive, Illustrated Internet Protocols Reference. NoScratch.

42