Ésta información me fue enviada por correo y la explico aquí de una forma más amplia.A pesar de que también estoy atrás del NAT, me puse a verificar la información y es real la vulnerabilidad.
Ésto quiere decir que el NAT quedará de forma definitiva por mucho tiempo y no fue colocado solamente por falta de direcciones IP, sino por una falla de configuración de Totalplay.El NAT es una forma de redireccionar el tránsito de Internet y ocultar a un gran número de usuarios atrás de una misma dirección, lo que suele ocasionar problemas a usuarios avanzados, entre otras por que no permite la video-vigilancia remota, usar bien los videojuegos y otros más. Ésto ya lo detallé en la entrada: La mala decisión de implementar un NAT para ofrecer Internet
Al parecer, el NAT que nos afecta y perjudica a la mayoría de los usarios de Totalplay, también cumple con una función de protección por una falla de configuración de algunos módems, tal vez todos.
También podría afectar a usuarios de Axtel.
En breve explico tres conceptos de los que hablo en ésta publicación:
El problema es una simple configuración errónea. No es difícil de corregir, pero prefirieron implementar el NAT y cobrarnos su error.
El problema es que al tener una IP con salida directa a Internet, incluso si es una IP dinámica, cualquiera podría entrar a la configuración de nuestro módem.
La vulnerabilidad se da por dos circunstancias:
En breve explico tres conceptos de los que hablo en ésta publicación:
- IP Fija: Es una dirección única conformada por números que identifica a nuestra conexión en Internet y siempre es la misma. Es única a nivel mundial.
- IP Dinámica: Es lo mismo que la IP Fija, pero cambia constantemente. Es la ideal para cualquier usuario doméstico.
- NAT (Network Address Transalation) Es una forma de hacer que muchos usuarios compartan una misma dirección IP, lo cual entorpece o anula algunos servicios que están disponibles a usuarios con IP fija o dinámica. No es una salida directa a Internet y prácticamente hace invisibles a los usuarios detrás del NAT. (Es más que eso, pero es una breve explicación).
El problema es una simple configuración errónea. No es difícil de corregir, pero prefirieron implementar el NAT y cobrarnos su error.
El problema es que al tener una IP con salida directa a Internet, incluso si es una IP dinámica, cualquiera podría entrar a la configuración de nuestro módem.
 |
| Configuración normal de un módem de Totalplay. |
- Un mismo módem puede manejar diferentes contraseñas, dependiendo de la función que se utiliza. Así podemos manejar una contraseña para el WiFi, una para el acceso a las memorias USB y otra para la configuración general del módem. Todas ellas distintas.
Es en ésta última donde radica el problema, sumado a una mala configuración.
Los módems de Totalplay tienen la combinación de nombre de usuario y contraseña root y admin. Ésta es la primer parte de la falla, ya que en realidad debería ser un número aleatorio, como en los módems de Telmex, que cada módem tiene una clave única y está escrita en una etiqueta pegada al módem. - Totalplay entrega los módems configurados para ser accesados y administrados desde Internet, lo cual es una falla terrible, ya que significa que cualquiera que conozca la clave (las que ya escribí antes y todos conocemos), puede entrar a la configuración del modem si conoce nuestra IP.
Ésto se puede verificar entrando a la configuración del módem en la dirección 192.168.100.1 o 192.168.100.251, introducir el nombre de usuario y contraseña (root - admin) e ir a la pestaña Advanced y luego a Firewall.
Ahí encontraremos una sección que dice WEB Acces from WAN: ENABLE.
Es justo ésta pequeña opción la que permite que nuestro módem sea accesible desde Internet, si no estuviéramos atrás de un NAT.
Si no existiera el NAT y alguien supiera la dirección IP de un usuario Totalplay, podría escribir direcciones consecutivas a ella para accesar y hackear a otros usuarios.
¿Qué puede hacer un extraño si alguien lograra entrar a mi módem?
- Para empezar, sólo bastaría escribir la IP del usuario Totalplay en su navegador para que inmediatamente le pregunte por el nombre de usuario y contraseña.
- Después ir a la sección de Network > Wifi > State y presionar el botón Refresh. Inmediatamente obtendría una lista de los equipos conectados a la red.
- De ahí sólo le bastaría escoger alguno, ya fuera computadora, impresora o cámara IP, copiaría su dirección IP, y podría configurar el DMZ y el Port Forwarding hacia ese dispositivo y listo: Acceso completo a él.
Podrían sacar información de las computadoras tan rápido como el ancho de banda lo permite, o incluso ver las cámaras IP en nuestros hogares y vigilarnos sin que nos diéramos cuenta.
El NAT que tienen habilitado actualmente, bloquea que hagamos ésto entre los mismos usuarios de la red Totalplay.
El NAT que tienen habilitado actualmente, bloquea que hagamos ésto entre los mismos usuarios de la red Totalplay.
Cómo solucionan ésto otras empresas más profesionales
En el caso de Telmex, usan tres pasos.
- No tienen habilitado el Web Access from WAN como una opción de fábrica.
- Utilizan una contraseña distinta a cada módem, el cual está impreso en una etiqueta en él.
- Utilizan un sistema que les permite entrar a configurar nuestros módems de forma remota sin comprometer la seguridad. Me parece que se llama Superadministrador.
Es por ésto que Telmex puede ofrecer direcciones IP individuales a cada usuario, sin problemas de seguridad. No es necesaria una IP fija como lo ofrece Totalplay, con IP's dinámicas todo sería excelente.
¿Por qué no lo soluciona Totalplay?
La razón exacta no la sé, pero increíblemente decidieron poner un NAT a todos los usuarios en lugar de corregir la falla. Efectivamente, todo se podría corregir actualizando sus sistemas y el firmware de los modems... pero le involucraría a Totalplay un costo extra en Soporte Técnico, que ya de por sí, son malos.
Por si fuera poco, el equipo de Soporte Técnico de Totalplay utiliza el mismo nombre de usuario y contraseña para configurar nuestros módems: root y admin. Sí, por increíble que parezca, no utilizan la opción de Superadministrador.
Así es, ellos mismos configuran los módems con las mismas opciones a las que tenemos acceso nosotros.
El colmo de Totalplay
¿Quieres jugar plenamente en línea?
¿Poner cámaras IP en tu casa para mantenerla segura?
¿Libertad para hacer grandes descargas en ciertos sitios?
... olvídalo.
El NAT de Totalplay impide todo ésto. Fácilmente podrían ofrecer IP's dinámicas y no habría problema. Sin embargo estamos NAT'eados para arreglar un error en sus configuraciones y para colmo, si quieres jugar plenamente en línea o hacer uso de video vigilancia remota, tienes que pagarles extra para una IP fija.
¿Quieres jugar plenamente en línea?
¿Poner cámaras IP en tu casa para mantenerla segura?
¿Libertad para hacer grandes descargas en ciertos sitios?
... olvídalo.
El NAT de Totalplay impide todo ésto. Fácilmente podrían ofrecer IP's dinámicas y no habría problema. Sin embargo estamos NAT'eados para arreglar un error en sus configuraciones y para colmo, si quieres jugar plenamente en línea o hacer uso de video vigilancia remota, tienes que pagarles extra para una IP fija.
 |
| Segmento de captura de pantalla de www.totalplay.com.mx/web/hogar |
Cobran $850 mensuales para arreglar su chistecito.
Urge que Telmex expanda su servicio de fibra óptica y le permitan ofrecer servicios de Televisión.
----------------------------
Seguro Salinas Pliego tiene en su casa el servicio de Totalplay (después de todo es el dueño). Supongo que ahora muchos se interesarían por tener la dirección IP de su módem, por que probablemente tiene contratada una IP fija.
Espero alguien con IP fija lea ésta publicación y comparta su opinión y experiencias. Estoy muy curioso, ya que revisé la información que me dieron y sí fue alarmante. ¿Recibirán alguna configuración extra los de IP fija para detener éste problema?
