articulos utiles

La configuración de seguridad más importante para cambiar en su enrutador

Su enrutador es la primera línea de defensa contra los piratas informáticos que intentan acceder a todos los dispositivos conectados a Internet en su hogar. Lamentablemente, muchos de los mejores enrutadores Wi-Fi son fáciles de hackear. Debería preocuparse, y también asegurarse de que su enrutador esté configurado correctamente.

Ya hemos hablado sobre las configuraciones básicas que debe cambiar en su enrutador, y esas cosas aún son ciertas.

Recordar:

  • Cambie la contraseña de administrador predeterminada y el nombre de usuario, si es posible.
  • Cambie el SSID (o el nombre de su red inalámbrica) para que sus dispositivos no siempre acepten conexiones a redes con nombres similares (por ejemplo, "linksys") y también para que no les dé a los hackers más pistas sobre su modelo de enrutador (por ejemplo, " linksys ")
  • Establezca el modo de seguridad inalámbrica en WPA2 y elija una contraseña buena y larga para ello.

Con suerte, ya ha realizado estos cambios de seguridad. Sin embargo, más allá de lo básico, hay más cosas que puede hacer para bloquear la seguridad de su red en estos tiempos cada vez más pirateados.

Instale DD-WRT o Tomato si su enrutador lo admite

Además de sobrecargar su enrutador con características adicionales, el firmware de enrutador de código abierto DD-WRT y Tomato son probablemente más seguros que el firmware de serie que viene con su enrutador. DD-WRT y Tomato tienden a no ser tan susceptibles a las vulnerabilidades que se encuentran en muchos enrutadores, como el problema cada vez más popular con WPS (configuración protegida de Wi-Fi). También se actualizan más regularmente, ofrecen más opciones de seguridad (como el registro avanzado o el cifrado de DNS con DNSCrypt) y le brindan más control sobre su hardware. El experto en seguridad Brian Krebs dice:

La mayoría del firmware de enrutador de serie es bastante torpe y básico, o incluye "características" o limitaciones no documentadas.

Normalmente cuando se trata de actualizar el firmware del enrutador, tiendo a alejar a las personas del firmware del fabricante hacia alternativas alternativas de código abierto, como DD-WRT o Tomato. Durante mucho tiempo he confiado en DD-WRT porque viene con todas las campanas, silbatos y opciones que pueda desear en un firmware de enrutador, pero generalmente mantiene esas características desactivadas de manera predeterminada a menos que las active.

Consulte las páginas de dispositivos compatibles para DD-WRT y Tomato para ver si funcionan para usted. El tomate es más fácil de usar, pero DD-WRT está repleto de más configuraciones.

Actualice su firmware regularmente

Independientemente de si está utilizando el firmware estándar o de un tercero, es importante mantener su firmware actualizado, ya que se descubren nuevas vulnerabilidades todo el tiempo (como el error de Linksys que dio a los usuarios remotos acceso a la consola de administración sin tener que hacerlo). inicie sesión o la puerta trasera integrada en algunos enrutadores populares).

Los pasos reales para actualizar el firmware pueden variar según el enrutador, pero la mayoría le permitirá verificar si hay nuevo firmware desde el panel de control del enrutador. En su navegador, ingrese la dirección IP de su enrutador, inicie sesión y luego busque en la sección de configuración avanzada o administración. Alternativamente, puede consultar el sitio web de soporte del fabricante del enrutador para ver si hay nuevo firmware disponible.

Algunos enrutadores también ofrecen la capacidad de actualizar automáticamente al último firmware, pero es posible que prefiera verificar qué ofrecen las actualizaciones e instalarlas manualmente.

Desactivar la administración remota

En muchos enrutadores esto ya está desactivado de manera predeterminada, pero, por si acaso, verifique que la administración remota (también conocida como administración remota o habilitar el acceso web desde WAN) esté deshabilitada. La administración remota da acceso al panel de control de su enrutador desde fuera de su red doméstica, para que pueda ver por qué eso sería un problema. Nuevamente, esta configuración probablemente se encuentre en su sección avanzada o de administración.

Deshabilitar UPnP

UPnP, o Universal Plug and Play, está diseñado para facilitar que los dispositivos de red sean descubiertos por el enrutador. Desafortunadamente, este protocolo también está plagado de graves agujeros de seguridad, con errores e implementaciones deficientes de UPnP que afectan a millones de dispositivos conectados en línea. El mayor problema es que UPnP no tiene ningún tipo de autenticación (considera que todos los dispositivos y usuarios son confiables). How-To Geek explica algunos de los problemas con UPnP si está habilitado en su enrutador, lo que incluye la posibilidad de que aplicaciones maliciosas redirijan el tráfico a diferentes direcciones IP fuera de la red local.

La prueba UPnP de GRC puede decirle si sus dispositivos son inseguros y están expuestos a Internet público, en cuyo caso debe desconectarlos. (Nota: haga clic en la cinta roja en la parte superior derecha de la página para ejecutar la prueba real; la página en la que aterriza a través de ese enlace es solo un ejemplo).

Para desactivar UPnP en su enrutador, vaya a la consola de administración y busque la configuración UPnP (en muchos enrutadores, eso se encuentra en la sección de administración). Desactive también la opción "Permitir al usuario configurar UPnP" si está disponible. Tenga en cuenta que esto no afecta su capacidad de, por ejemplo, transmitir videos a través de su red con UPnP, solo afecta a cosas fuera de su red. Eso significa que puede que tenga que configurar manualmente el reenvío de puertos para que cosas como BitTorrent funcionen de manera óptima.

Otras configuraciones que probablemente no valen la pena

Es posible que también haya escuchado sobre otras configuraciones, como activar el filtrado MAC u ocultar el SSID de su red, pero a pesar de sus problemas, no agregan mucha seguridad.

Ocultar SSID

A primera vista, ocultar el SSID de su enrutador parece una buena idea, pero en realidad podría ser su seguridad. El experto en seguridad de Wi-Fi Joshua Wright explica en Tech Republic:

Pregunta: Joshua, por favor déjame saber qué piensas al deshabilitar la transmisión del SSID de tu enrutador.

Joshua Wright: Es una mala idea. Sé que la especificación PCI requiere que hagas esto, y les he dicho que deben eliminar este requisito de la especificación. Imagine que es una base gubernamental y no les dice a sus agentes dónde se encuentra. Tienen que caminar y seguir preguntando "¿Eres la base del gobierno?" a todos el encuentro. Eventualmente, algún astuto pirata informático o malvado dirá "Diablos SÍ, soy tu base, entra y comparte tus secretos conmigo". Esto es esencialmente lo que sucede con el encubrimiento de SSID, donde tienes que preguntar a cada AP que conoces si su SSID deseado está disponible, lo que permite que un atacante se haga pasar por tu SSID en el aeropuerto, cafetería, avión, etc. En resumen, no lo hagas No oculte su SSID, pero tampoco haga que su SSID sea algo así como "sexyhackertargethere".

Ocultar el SSID de su enrutador podría evitar que sus vecinos intenten cargar libremente en su red, pero no detendrá a los piratas informáticos capaces e incluso podría actuar como un faro fuerte diciéndoles: "hey, aquí estoy tratando de esconderme". Además, si estás tratando de evitar que tus vecinos se carguen, solo asegúrate de tener una contraseña segura.

filtrado MAC

Del mismo modo, el filtrado MAC, que limita el acceso a la red solo a los dispositivos que permite, suena excelente y puede proporcionar una protección adicional contra su cargador promedio, pero las direcciones MAC son fáciles de suplantar. El usuario de Stack Exchange sysadmin1138 lo resume así:

Para alguien que desea específicamente su red, el cifrado (especialmente el cifrado no roto) proporcionará una seguridad mucho mejor. La suplantación de MAC es trivial en la mayoría de los adaptadores en estos días, y después de haber descifrado la red hasta el punto de que puede monitorear los paquetes en vuelo, puede obtener una lista de direcciones MAC válidas. SSID es trivial en ese punto también. Debido a la naturaleza automatizada de los conjuntos de herramientas disponibles, el filtrado MAC y la ocultación de SSID ya no valen la pena. En mi opinión.

Dicho esto, si no te molesta la molestia, activar el filtrado MAC no te hará daño Solo debes saber que no es la característica de seguridad sólida que podría parecer, y es bastante complicado si alguna vez obtienes un nuevo dispositivo o tienes un amigo ven a visitar.

Direcciones IP estáticas

Finalmente, hay una configuración más que podría considerar cambiar: desactivar DHCP, que distribuye automáticamente las direcciones de red a los dispositivos que se conectan a su enrutador. En su lugar, puede asignar direcciones IP estáticas a todos sus dispositivos. La teoría es que si DHCP está deshabilitado, las máquinas desconocidas no recibirán una dirección.

Sin embargo, tanto el DHCP como las IP estáticas tienen riesgos y desventajas, como señala esta discusión sobre Stack Exchage; Las IP estáticas pueden ser vulnerables a los ataques de suplantación de identidad, mientras que los dispositivos que obtienen sus IP a través de DHCP pueden estar sujetos a ataques de intermediarios de servidores DHCP corruptos. No existe un consenso sólido sobre cuál es mejor para la seguridad (aunque algunos en la comunidad de Microsoft dicen que no hace ninguna diferencia).

Si tiene la configuración de seguridad mencionada en las secciones anteriores, descanse un poco más tranquilo sabiendo que lo más probable es que esté haciendo lo mejor que pueda para proteger su red doméstica.