miércoles, 7 de septiembre de 2011

Seguridad: El router - La primera defensa

Casi siempre que contratamos un servicio de ADSL, el operador, nos proporciona un router para realizar la conexión. Dicho router siempre posee una configuración de fábrica con todos los parámetros necesarios y configurados para que el operador no tenga que ir configurando, cliente por cliente, la conexión a Internet.

Esto está muy bien por su sencillez y rápidez en la instalación pero la configuración de fábrica posee muchas brechas de seguridad que nos pueden perjudicar, en mayor o menor grado, en función de para qué utilicemos el ordenador.

Todos los routers traen consigo un CD con la documentación para el usuario y la documentación técnica. Esta documentación nos ayudará a entender todos los parámetros de configuración que podemos modificar a través de la aplicación via web que viene instalada en el router.

Para acceder al router, abriremos una ventana con nuestro explorador web y escribiremos en la barra de direcciones una de las siguientes: http://192.168.0.1 o http://192.168.1.1 (suelen ser estas pero el manual técnico nos lo confirmará)
Seguidamente introduciremos el usuario y contraseña que vienen por defecto y que encontraremos en uno de los manuales técnicos.

Lo primero que deberemos hacer es cambiar las contraseñas que vengan por defecto para cada uno de los usuarios que contenga el router. Podríamos generar y almacenar las contraseñas para los distintos usuarios en una aplicación como el KeePass.

Luego verificaremos que, en la configuración de la WAN (Internet), tan solo contenga una configuración de red que será la que estemos utilizando. Podremos eliminar todas las demás puesto que estarán desactivadas.

Si tiene firewall lo podremos activar para reforzar la seguridad.

Tras esto podremos ir a los servicios que presta el router para los paquetes que provengan de la LAN (Intranet) y la WAN. Estos servicios suelen ser FTP, Telnet, Ping, etc. Lo mejor es desactivar todos los que provengan de la WAN y dejar en la LAN solo aquellos que necesitemos como, por ejemplo, HTTP (este no lo desactivéis ya que sino no os podréis conectar al router a través del explorador web).

Posteriormente, podremos verificar que IPs externas tienen acceso a nuestro router. Por norma general siempre veréis que hay algunas IPs que son externas y que corresponden, normalmente, al operador de telefonía que hayamos contratado para que pueda acceder remotamente a nuestro router y nos puedan ayudar con las incidencias que nos ocurran.
Personalmente, considero esto una falla de seguridad bastante importante y por ello podremos eliminar todas las IPs que provengan desde la WAN ya que no deseamos que el router tenga semejante agujero.

Todo esto que hemos hecho no perjudicará en absoluto a ninguna aplicación de descargas P2P que tengamos instalada en el sistema operativo. Para estas aplicaciones bastará con abrir unos puertos de entrada y salida en otra de las opciones que contenga la aplicación del router.

Hecho esto nuestro router ahora será mucho más seguro y robusto. Hemos controlado la forma de acceder a él, hemos introducido contraseñas seguras para los usuarios y hemos configurado los servicios que presta nuestro router y a qué paquetes, incluyendo su origen, debe prestar atención.

Llegados a este punto, si no nos funciona el router como esperábamos o hemos cometido algún error en la configuración y no sabemos dónde, siempre podremos volverlo a su estado original pulsando el botón "Reset" durante unos diez segundos. Esto también debe constar en los manuales técnicos.

Recordad:

Cambiad siempre las contraseñas que vienen por defecto.
Utilizad tan solo los servicios que necesitéis y activad el firewall.
Si hemos cometido algún error siempre podremos resetearlo.

2 comentarios:

  1. Hola.
    Primeor felicitarte por el blog, me estas ayudando a dormir mas tranquilo y eso es de agradecer.
    Si tienes algunda duda que yo pueda dislumbrar respecto a poker no dudes en contar conmigo, mi nick de skye es krais25

    Tengo algundas dudas:

    La pregunta y la respuesta secreta de las cuentas también ha de ir cifrada?
    Vale poner el nombre de nuestra mascota xDD?
    Yo tengo una palabra un poco rara que utilizo siempre para poder recordarla pero seguramente no es tan seguro como poner Rh5%u35:, y todo esto xDDD

    He intentado hacer lo que comentas del router pero cuando bloqueo las ip externas no me funciona internet,el router es de telefonica.
    Tengo un router cisco que compré no hace mucho pero como soy un vago y no encuentro las contraseñas no lo he configurado para telefonica xDD

    Eres mas feliz con estas paranoias? xDD
    Cuando usaba contraseñas de mierda no tenia que andar con usb's ni papelitos, es bastante engorroso todo esto.

    De verdad te memorizas contraseñas de 20 caracteres aleatorios cada mes?

    Es necesario utilizar un teclado virtual para las contraseñas?
    Recomiendas el de windows?

    Gracias por todo.

    ResponderEliminar
  2. Muchísimas gracias, Krais! :)

    Respondo en el orden de las preguntas:

    1. Supongo que te refieres a las opciones de recuperación de la contraseña de aplicaciones y servicios Web (p.e. correos electrónicos). Si la aplicación o el servicio Web Crea un canal seguro para las comunicaciones, tanto la pregunta como la respuesta secreta, irán cifradas.

    2. Siempre es mejor poner como respuesta secreta algo que no tenga nada que ver con la pregunta. Será más difícil de recordar pero es mucho más seguro.

    3. Es extraño que no te funcione Internet quitando las IP's externas que tienen acceso desde la WAN. ¿No será que estás quitando los DNS?
    No recuerdo ahora en qué apartado de la configuración están pero, bueno, si te da problemas mejor que lo resetees y cambies todo menos lo de quitar las IP's.
    Yo de tí, si encuentras las contraseñas, intentaría aprovechar el router Cisco.

    4. La felicidad es un estado que todo ser humano desea alcanzar en algún momento. Yo todavía estoy en ello. ;)

    5. Supongo que te refieres a las contraseñas de acceso al volumen encriptado y la base de datos del KeePass. Al principio cuesta, pero de tanto repetirlas se te quedan en la cabeza en unos días.

    6. Para mayor seguridad sería adecuado la utilización de un teclado virtual puesto que anularía cualqueir keylogger que capture las pulsaciones de teclas de un teclado convencional.

    7. Por qué no? A menos que tengas comprometido el ejecutable osk.exe, que se encuentra en C:\Windows\System32, puedes confiar en él. Podrías ejecutarlo siempre para acceder al pendrive; sí será más engorroso pero más seguro.

    Soy consciente de que pueda parecer una persona bastante paranoica pero, según las últimas estadísticas de 2010 realizadas por Symantec, el 20% de los Internautas fueron víctimas de un ciberataque.
    Siempre he pensado que es mejor prevenir que lamentar, y más en este campo.

    De nuevo te agradezco tu gran aportación a este blog y la propuesta que me has ofrecido acerca del poker.

    Por supuesto, me alegra saber que he ayudado a que duermas más tranquilo.

    Saludos! ;)

    ResponderEliminar