¿Cómo protegerse contra puertas traseras en enrutadores?

Navega tus respuestas
4

Recientemente, comencé a buscar un enrutador inalámbrico. Antes de considerar productos específicos, busqué información general sobre diferentes marcas que ofrecen dichos enrutadores. Para mi consternación, me enteré de que la gran mayoría de los fabricantes de enrutadores tienen un historial de descubrimientos de puertas traseras en sus productos.

Sobre la base de este nuevo conocimiento, me parece que evitar enrutadores con puertas traseras puede no ser realmente viable y en lugar de (o más bien, además de) elegir un enrutador con cuidado, debo enfrentar la posibilidad de que termine teniendo una Producto con puertas traseras. La pregunta entonces es: ¿cómo se puede mitigar los riesgos asociados con la posible ocultación de puertas traseras en el equipo del enrutador?

No me preocupan las agencias gubernamentales, sino los piratas informáticos que explotan las vulnerabilidades de seguridad que se encuentran en los equipos de red, como en esta pregunta reciente . Y una puerta trasera es básicamente una vulnerabilidad de seguridad intencional que debe ser encontrada y explotada por alguien, y debido a su naturaleza intencional, una de las que los fabricantes de enrutadores se mostrarían reacios a reparar.

    
pregunta Zoltan 12.03.2018 - 23:05
fuente

3 respuestas

7

La mayoría de las puertas traseras del enrutador que conozco se han solucionado con bastante rapidez. Lo creas o no, los fabricantes de enrutadores no suelen poner la "puerta trasera" allí a propósito, al menos no a nivel organizacional. Es casi seguro que se coloquen allí como una herramienta de depuración y se deban eliminar antes de la producción, o que estén colocados allí por un empleado deshonesto. (¿Qué beneficio tiene un fabricante para tener una puerta trasera? Si quieren hacer algo, pueden hacerlo a través de actualizaciones de firmware. Además, su red no es tan interesante para ellos).

Tampoco sé si la "gran mayoría" es una descripción precisa, pero no voy a discutir la semántica. Usted preguntó cómo protegerse, y aquí hay algunas opciones:

  1. Haga que su dispositivo de mayor perímetro (es decir, el primer salto desde Internet a su LAN) sea de buena reputación. Considere un Gateway de seguridad Unifi, o un Netgate SG-1000 en el perímetro. Ambas compañías venden a empresas, pero también le dan precios a productos que pueden ser razonables para el usuario avanzado en el hogar. Tienen una reputación que mantener, y esa reputación actualmente es bastante buena.
  2. Considere un enrutador que le permita ejecutar OpenWRT o DD-WRT. Estas bases de código, aunque no son inmunes a las vulnerabilidades, están al menos abiertas y reducen el riesgo de que se coloquen puertas traseras en ellas.
  3. No exponga la interfaz web a Internet. Puerta trasera o no, aquí es donde está una gran proporción de los errores. Use un escaneo de nmap de internet para ver qué exposición tiene.
  4. Use una subred no predeterminada y cambie el puerto para la interfaz web. Lo sé, lo sé, la seguridad por oscuridad, pero en realidad ayuda a las vulnerabilidades mediante el uso de DNS o técnicas similares. (Esto es solo útil contra la explotación automatizada, no espere que sea útil contra un atacante manual).
  5. Nunca confíes en la red. Incluso si tienes fuertes controles de seguridad, practica la defensa en profundidad. Utilice TLS y no haga clic en los errores de certificado. De esta manera, incluso si su enrutador se abre, se convierte en solo una denegación de servicio en lugar de un compromiso más importante.
respondido por el David 13.03.2018 - 00:47
fuente
3

La primera decisión es no usar un enrutador provisto por un ISP, ya que es probable que construyan una puerta trasera para ellos mismos.

En cuanto a los enrutadores de consumo, en mi opinión, todos los servicios en la nube para el administrador de enrutadores son puertas traseras. Algunos enrutadores requieren un servicio en la nube, algunos tienen un servicio opcional, algunos raramente no admiten ningún servicio en la nube. Los enrutadores de malla AmpliFi no tienen servicio en la nube. Peplink tiene un servicio en la nube opcional. Casi todos los enrutadores de malla requieren un servicio en la nube.

En cuanto al acceso remoto directamente al enrutador, creo que todos los enrutadores lo deshabilitan de manera predeterminada.

Para un enrutador seguro, personalmente me gusta el SOHO de Surf de Pepwave. En los Estados Unidos son alrededor de $ 200. Aquí es por qué enlace

    
respondido por el Michael 15.03.2018 - 18:28
fuente
1

Por lo general, tiene que elegir, ya sea confiar en un proveedor o construir algo a partir de partes que pueda verificar. Esto también significa que a menos que tenga la habilidad, el conocimiento y el tiempo para hacer esto, tendrá que confiar en terceros hasta cierto punto.

Si desea encontrar marcas / proveedores confiables, puede buscar actualizaciones oportunas, actualizaciones durante la vida útil del dispositivo y la forma en que el proveedor comunicó defectos, errores, problemas de seguridad y cómo se resolvió. La mayoría de las marcas de consumo general fracasan por completo en todo lo anterior, principalmente debido a la naturaleza de "vender y olvidar" de su negocio, y sus dependencias de los fabricantes de etiquetas blancas reales que a menudo suministran hardware y software, y pueden ser la única parte capaz de actualizaciones de ingeniería.

Si confiar en un proveedor para crear un software seguro no es una opción, proyectos como openwrt, ddwrt y lede son cosas que se deben verificar en los puntos de acceso inalámbricos (y enrutadores integrados si los necesita, pero sugeriría dividirlos). arriba, ya que ninguna ubicación es óptima para ambas tareas). El enrutamiento se puede hacer con algo como pfSense.

    
respondido por el John Keates 13.03.2018 - 03:15
fuente

Lea otras preguntas en las etiquetas

¿Pueden ocurrir inicios de sesión simultáneos cuando dos usuarios tienen información de autenticación de dos factores? Conjuntos de cifrado específicos de la versión TLS