cancel
Showing results for 
Search instead for 
Did you mean: 

Thomson/ Technicolor aficionado please- port closing help

Marksfish
Grafter
Posts: 321
Registered: 22-11-2014

Thomson/ Technicolor aficionado please- port closing help

I jumped onto a post from March this year when another user was encountering the same issues, although I am on fibre. See post here: http://bit.ly/1zQnwmZ
Prior to PN, I was using Sky with their router. I noticed no entries in the router log trying a brute force attack, neither did I know about Shields Up for testing either. Upon moving to PN, I used the 582n which is set up basically by PN with their firmware. I never saw any intrusions into the logs on that device. As soon as I used the new Tg589v3, I am inundated with attacks from various Asian ip addresses.
You can see from the previous post some of the solutions proffered me, but none appear to work and I don't really want upnp off unless I really have to. I am hoping there is some Technicolor bod out there that will be able to explain to me in "Noddy" terms what I need to do to stealth port 22 please. This port is open by default out of the box as I have reset the router with nothing attached to it and Shields Up still finds it.
Thank you in advance anyone taking the time to read this.
Mark
14 REPLIES
Community Veteran
Posts: 4,937
Thanks: 355
Fixes: 16
Registered: 10-06-2010

Re: Thomson/ Technicolor aficionado please- port closing help

Quote from: Marksfish
I downloaded putty and got access to 22, but don't know the password as I haven't set one up, so not sure where to go from there.

I think it will be the same username and password hat you use to access the router's setup webpages. I didn't think it is possible not to have one, either there's the default username and password, or it prompts you to set one when you first enter the details it needs to connect to Plusnet.
Marksfish
Grafter
Posts: 321
Registered: 22-11-2014

Re: Thomson/ Technicolor aficionado please- port closing help

Ah, that's done it, password for the router interface has got me to the Technicolor splash screen. Not sure what I can do from within here though as I am not all that savvy.
So being able to access it, means it needs to be shut somehow.
Mark
Community Veteran
Posts: 5,472
Thanks: 288
Fixes: 4
Registered: 11-08-2007

Re: Thomson/ Technicolor aficionado please- port closing help

Quote from: Marksfish
So being able to access it, means it needs to be shut somehow.

Well yes and no !
It is one thing for you to be able to access the router using SSH from your LAN, and that is normal.
The problem you have is that somehow your router is allowing SSH to be accessed from the WAN (internet) port !,
and it is this external access that you need to prevent.
That is why I suggested setting up a port forward to a non-existent LAN IP address, as that should redirect the router's external SSH port to somewhere other than the router's WAN interface.
Marksfish
Grafter
Posts: 321
Registered: 22-11-2014

Re: Thomson/ Technicolor aficionado please- port closing help

I tried to do that, but got a bit lost. I can set up port forwarding to a device because it shows up on the connected devices list. Not sure how to set it up to work with the router moving it elsewhere on the system  Huh.
Mark
Community Veteran
Posts: 4,937
Thanks: 355
Fixes: 16
Registered: 10-06-2010

Re: Thomson/ Technicolor aficionado please- port closing help

It should be possible to configure the SSH access to be LAN only using the SSH command line interface.
After connecting to the router using SSH, please enter the following command and post the output.
:service system list
Marksfish
Grafter
Posts: 321
Registered: 22-11-2014

Re: Thomson/ Technicolor aficionado please- port closing help

Sorry, not sure how to format the output:
------------------------------------------------------------------------
      |                |          o            |
      |---  ,---. ,---. |---. ,---. . ,---. ,---. |    ,---. ,---.
      |    |---' |    |  | |  | | |    |  | |    |  | |
      `---' `---' `---' `  ' `  ' ` `---' `---' `---' `---' `
                  MediaAccess TG589vn v3
                    10.5.2.F.BN
                      Copyright (c) 1999-2013, Technicolor

------------------------------------------------------------------------
{Administrator}=>:service system list
Idx Name            Protocol        SrcPort  DstPort  Group            State                                                                                         
--------------------------------------------------------------------------------                                                                                        -
  1 CWMP-C            tcp over ipv4                                      enabled                                                                                       
  2 CWMP-S            tcp over ipv4            51005                    enabled                                                                                       
  3 DHCP-S              udp over ipv4            676                      enabled                                                                                       
  4 DHCPv6-C          udp over ipv6    547      546                      disable                                                                                        d
  5 DHCPv6-R        udp over ipv6            547                      enabled                                                                                       
  6 DHCPv6-S        udp over ipv6            547                      enabled                                                                                       
  7 DNS-C                udp over ipv4            53                        enabled                                                                                       
  8 DNS-S            ip                        53                        enabled                                                                                       
  9 DYNAMIC_DNS                                                          enabled                                                                                       
10 FTP              tcp                      21                        enabled                                                                                       
11 GRE              gre over ipv4                                      disable                                                                                        d
12 GWRD            tcp over ipv4                                      disable                                                                                        d
13 HTTP            tcp                      80                        enabled                                                                                       
14 HTTPI            tcp over ipv4            8080                      disable                                                                                        d
15 HTTPs            tcp                      443                      enabled                                                                                       
16 IGMP-Proxy      igmp                                                enabled                                                                                       
17 IP6TO4          ipv6 over ipv4                                      disable                                                                                        d
18 IP_COMMANDS                                                          enabled                                                                                       
19 IP_REDIR        icmp                      5                        disable                                                                                        d
20 IPIP            ipencap                                            disable                                                                                        d
21 IPv6_MANAGEMENT  ipv6-icmp                                          enabled                                                                                       
22 L2TP            udp over ipv4    1701    1701                      disable                                                                                        d
23 MDAP            udp over ipv4            3235                      enabled                                                                                       
24 MLD-Proxy        ipv6-icmp                143                      disable                                                                                        d
25 PING_RESPONDER  icmp                      8                        enabled                                                                                       
26 PINGv6_RESP      ipv6-icmp                128                      enabled                                                                                       
27 PPTP                                                                enabled                                                                                       
28 Remote-MBus      tcp over ipv4            2006                      disable                                                                                        d
29 RIP              udp over ipv4    520      520                      disable                                                                                        d
30 SLA_ICMP_PING    icmp                      8                        enabled                                                                                       
31 SLA_ICMPv6_PING  ipv6-icmp                128                      enabled                                                                                       
32 SLA_UDP_PING    udp                      7                        disable                                                                                        d
33 SNTP            udp              123      123                      enabled                                                                                       
34 SSDP            udp over ipv4            1900                      enabled                                                                                       
35 SSH              tcp                      22                        enabled                                                                                       
36 SYSLOG          udp over ipv4            514                      disable                                                                                        d
37 TELNET          tcp                      23                        enabled                                                                                       
38 TFTP-C          udp over ipv4            69                        disable                                                                                        d
39 UPGD-C          ip over ipv4                                        enabled                                                                                       
40 WEBF            tcp over ipv4            80                        disable                                                                                        d
41 webservice      tcp                      9000                      disable                                                                                        d
Marksfish
Grafter
Posts: 321
Registered: 22-11-2014

Re: Thomson/ Technicolor aficionado please- port closing help

On the plus side, I have managed to get hold of Technicolor support and they have now sent me a manual to read. They have also said they will send me details of how to disable port 22 on Friday.
Mark
Community Veteran
Posts: 5,472
Thanks: 288
Fixes: 4
Registered: 11-08-2007

Re: Thomson/ Technicolor aficionado please- port closing help

Quote from: Marksfish
Sorry, not sure how to format the output:

The simplest method of formatting that sort of text is to use the '#' (Insert Code) button above the forum text entry box.
When you copy and paste the text, immediately before you paste, press the '#' (Insert Code) button, and then paste the text.
It will then come out like this -

------------------------------------------------------------------------
      |                |          o            |
      |---  ,---. ,---. |---. ,---. . ,---. ,---. |    ,---. ,---.
      |    |---' |    |  | |  | | |    |  | |    |  | |
      `---' `---' `---' `  ' `  ' ` `---' `---' `---' `---' `
                  MediaAccess TG589vn v3
                    10.5.2.F.BN
                      Copyright (c) 1999-2013, Technicolor

------------------------------------------------------------------------
{Administrator}=>:service system list
Idx Name            Protocol        SrcPort  DstPort  Group            State                                                                                         
--------------------------------------------------------------------------------                                                                                        -
  1 CWMP-C          tcp over ipv4                                      enabled                                                                                       
  2 CWMP-S          tcp over ipv4            51005                    enabled                                                                                       
  3 DHCP-S          udp over ipv4            676                      enabled                                                                                       
  4 DHCPv6-C        udp over ipv6    547      546                      disable                                                                                        d
  5 DHCPv6-R        udp over ipv6            547                      enabled                                                                                       
  6 DHCPv6-S        udp over ipv6            547                      enabled                                                                                       
  7 DNS-C            udp over ipv4            53                        enabled                                                                                       
  8 DNS-S            ip                        53                        enabled                                                                                       
  9 DYNAMIC_DNS                                                          enabled                                                                                       
10 FTP              tcp                      21                        enabled                                                                                       
11 GRE              gre over ipv4                                      disable                                                                                        d
12 GWRD            tcp over ipv4                                      disable                                                                                        d
13 HTTP            tcp                      80                        enabled                                                                                       
14 HTTPI            tcp over ipv4            8080                      disable                                                                                        d
15 HTTPs            tcp                      443                      enabled                                                                                       
16 IGMP-Proxy      igmp                                                enabled                                                                                       
17 IP6TO4          ipv6 over ipv4                                      disable                                                                                        d
18 IP_COMMANDS                                                          enabled                                                                                       
19 IP_REDIR        icmp                      5                        disable                                                                                        d
20 IPIP            ipencap                                            disable                                                                                        d
21 IPv6_MANAGEMENT  ipv6-icmp                                          enabled                                                                                       
22 L2TP            udp over ipv4    1701    1701                      disable                                                                                        d
23 MDAP            udp over ipv4            3235                      enabled                                                                                       
24 MLD-Proxy        ipv6-icmp                143                      disable                                                                                        d
25 PING_RESPONDER  icmp                      8                        enabled                                                                                       
26 PINGv6_RESP      ipv6-icmp                128                      enabled                                                                                       
27 PPTP                                                                enabled                                                                                       
28 Remote-MBus      tcp over ipv4            2006                      disable                                                                                        d
29 RIP              udp over ipv4    520      520                      disable                                                                                        d
30 SLA_ICMP_PING    icmp                      8                        enabled                                                                                       
31 SLA_ICMPv6_PING  ipv6-icmp                128                      enabled                                                                                       
32 SLA_UDP_PING    udp                      7                        disable                                                                                        d
33 SNTP            udp              123      123                      enabled                                                                                       
34 SSDP            udp over ipv4            1900                      enabled                                                                                       
35 SSH              tcp                      22                        enabled                                                                                       
36 SYSLOG          udp over ipv4            514                      disable                                                                                        d
37 TELNET          tcp                      23                        enabled                                                                                       
38 TFTP-C          udp over ipv4            69                        disable                                                                                        d
39 UPGD-C          ip over ipv4                                        enabled                                                                                       
40 WEBF            tcp over ipv4            80                        disable                                                                                        d
41 webservice      tcp                      9000                      disable                                                                                        d
Marksfish
Grafter
Posts: 321
Registered: 22-11-2014

Re: Thomson/ Technicolor aficionado please- port closing help

That looks much more legible, thank you  Smiley
Community Veteran
Posts: 4,937
Thanks: 355
Fixes: 16
Registered: 10-06-2010

Re: Thomson/ Technicolor aficionado please- port closing help

I was hoping for a little more information in the output. Can you try the following commands to see it will give a bit more information on the configuration of the SSH service.
:service system list name=SSH expand=enabled
Marksfish
Grafter
Posts: 321
Registered: 22-11-2014

Re: Thomson/ Technicolor aficionado please- port closing help

I appreciate I am being a pain here. This is how I tried to configure the port forwarding, using the router's ip address. Once hitting select, the router is obviously not a valid device tore- direct, or I may well be doing it totally wrong.
Marksfish
Grafter
Posts: 321
Registered: 22-11-2014

Re: Thomson/ Technicolor aficionado please- port closing help

Quote from: ejs
I was hoping for a little more information in the output.

Does this help?
# 1 SSH              tcp                      22
        Description................ SSH server
        Properties................. server
        Attributes................. state port aclip aclif aclifgroup map log qoslabel routelabel natpmweight
        User Managed Attributes.... state aclip aclif aclifgroup map log qoslabel routelabel natpmweight
        Attribute Values :
        State...................... enabled
        Port....................... 22
        QOS Label.................. None
        Route Label................ None
        NAT Portmap Weight ........ 10
        Ip Access List............. any
        Interface Access List...... any
        Interface Group Access List any
        Map List................... 22
        Logging.................... disabled
Community Veteran
Posts: 4,937
Thanks: 355
Fixes: 16
Registered: 10-06-2010

Re: Thomson/ Technicolor aficionado please- port closing help

Possibly. I think the commands you need to restrict SSH access to LAN only are:
:service system ifadd name=SSH group=lan

Followed by
:saveall

to save the configuration.
Then re-check if port 22 is open at http://canyouseeme.org/ or the GRC Shields Up website.
Marksfish
Grafter
Posts: 321
Registered: 22-11-2014

Re: Thomson/ Technicolor aficionado please- port closing help

Excellent, that has done the rick thank you very much  Cheesy
Quote
Your system has achieved a perfect "TruStealth" rating. Not a single packet — solicited or otherwise — was received from your system as a result of our security probing tests. Your system ignored and refused to reply to repeated Pings (ICMP Echo Requests). From the standpoint of the passing probes of any hacker, this machine does not exist on the Internet. Some questionable personal security systems expose their users by attempting to "counter-probe the prober", thus revealing themselves. But your system wisely remained silent in every way. Very nice.

Thank you to everyone that took the time to try and help me with this issue, on this thread and the other. Just the webcam port open now, i'm happy with that.
Mark