Protección del enrutador SOHO moderno

Cosas que debes hacer:

• Actualizar el firmware
• Use una contraseña segura y WPA2 para las conexiones inalámbricas. No uses WEP.
• Cambie el SSID del enrutador a algo que no sea estándar. Esto se debe a que el SSID se usa como un salt para la contraseña inalámbrica, y tener un SSID no estándar protege contra un atacante que usa tablas arcoiris generadas para los SSID estándar.
• Deshabilitar WPS: es intrínsecamente inseguro.
• Deshabilitar la administración remota. Esto incluye el acceso desde cualquier aplicación móvil. ¿Realmente necesita cambiar la configuración de su enrutador de forma remota desde una aplicación?
• Use una contraseña segura para la página web del administrador del enrutador y, si es posible, cambie el nombre de usuario del administrador. Utilizo una contraseña aleatoria larga guardada en un administrador de contraseñas.
• Recuerde cerrar sesión en la página web de administración cuando haya terminado.
• Si es posible, habilite HTTPS para las conexiones de la página web del administrador.
• Deshabilitar uPnP. Revise cualquier otro servicio que su enrutador pueda estar ejecutando (FTP, SMB, telnet, ssh) y deshabilítelo si es necesario.
• Tenga mucho cuidado al abrir puertos para las conexiones entrantes.

Cosas que puedes considerar:

• Configure una red de invitados para que los visitantes los mantengan separados de su red principal. Si sus visitantes solo pueden acceder a Internet y no a otras máquinas en su red, esto debería evitar que infecten cualquiera de sus dispositivos con malware. Esto también significa que no tiene que compartir su clave principal WPA2.
• Utilice un rango de red no estándar (es decir, no 192.168.0.xo 192.168.1.x). Esto puede ayudar contra un ataque con script que usa un rango de red predeterminado y lo ayudará en el futuro si alguna vez necesita configurar conexiones VPN.
• Active el registro y revise los registros.

Las cosas que probablemente son una pérdida de tiempo:

• Ocultar el SSID. Esto es seguridad por oscuridad, y encontrar un SSID oculto es fácil tarea
• Usa el filtrado de MAC. Un atacante determinado puede falsificar fácilmente una dirección MAC.

Para denegar a los atacantes locales el acceso a la red utiliza un buen cifrado: WPA2-PSK es bueno, mientras que WEP no lo es. Sin embargo, WPA2 puede estar agrietado por fuerza bruta, así que use una contraseña adecuada. Y dado que muchos proveedores no implementan WPS correctamente, es mejor desactivarlo.

Para protegerse contra el acceso o cambio de la configuración del dispositivo por parte de un atacante en la misma red o por un atacante remoto (utilizando CSRF o similar o accediendo al dispositivo desde Internet):

• Elija un modelo de enrutador con un buen registro de seguridad. Google para las vulnerabilidades relacionadas con el dispositivo y el proveedor antes de comprar. Desafortunadamente, solo hay muy pocos dispositivos en los que el proveedor realmente se preocupa por la seguridad. No esperes seguridad de los dispositivos baratos.
• Use una contraseña segura para proteger la interfaz administrativa.
• Asegúrese de que no se pueda acceder al dispositivo desde Internet, es decir, no de manera predeterminada, no habilitándolo, no agregando un reenvío de puerto y no a través de ninguna de las puertas traseras conocidas (consulte: elija un modelo con un buen registro de seguridad) .
• Si es posible, habilita la actualización automática del firmware. Si su enrutador no ofrece esto, puede que no sea la mejor opción.
• Si recibe invitados, asegúrese de que su enrutador ofrezca una WLAN de invitado con ESID, contraseña y red por separado.
• Cambiar la dirección IP del dispositivo puede ayudar, pero si existe una vulnerabilidad CSRF, no ayudará mucho porque el atacante puede escanear fácilmente la red local desde el navegador.

La mayoría de los enrutadores son inseguros, ya que están hechos por compañías de hardware que no se preocupan por mantener el software del enrutador actualizado, y dado que un enrutador es en realidad una pequeña computadora basada en Linux abierta a Internet, es una problema bastante serio.

No importa si protege el enrutador utilizando una PSK Wi-FI fuerte, cambia la contraseña de administrador a algo fuerte, etc. ... si hay una vulnerabilidad o backdoored SSH / telnet servidor que felizmente le dará privilegios de root a cualquier persona que se conecte, y desde allí ya se ha perdido, ya que el atacante puede restablecer la contraseña de administrador de la interfaz web o cambiar directamente la configuración sin tocar la interfaz web para no generar sospechas e incluso escribir en los nodos del dispositivo de memoria flash como para persistir reinicios o incluso reinstalaciones de firmware (el propio cargador de arranque puede sobrescribirse, lo que significa que puede cargar código malicioso tan pronto como sea posible y así frustrar todos los métodos basados en software de reinstalación del enrutador, solo reescritura física de los chips de memoria usando un máquina limpia - por lo tanto, ni siquiera ejecutando el gestor de arranque malicioso - guardará el enrutador).

Recomiendo usar una computadora de escritorio vieja con una distribución de Linux o * BSD de propósito general como enrutador y mantener esa máquina segura y actualizada como lo haría con cualquier otro servidor.