¿Los enrutadores de nivel de consumidor son más o menos vulnerables? [cerrado]

TL: DR : sí, los enrutadores PUEDEN ser vulnerables.

Enrutadores mal configurados / no configurados - Un montón de personas simplemente instalan sus enrutadores y dejan las cuentas predeterminadas activadas sin modificaciones. De este modo, permite a los atacantes un fácil acceso.

Vulnerable incorporado en scripts - enlace

Ver:

• ¿Qué es el gusano" Moose "y cómo puedo protegerme de él?

• enlace

• enlace
• enlace

En cuanto a responder si su "configuración actual" es segura. Necesitaríamos un poco más de información sobre el alcance completo de su cebolla de seguridad antes de poder responder a eso.

Se han dado otras respuestas para responder si los enrutadores son seguros: es probable que su enrutador tenga vulnerabilidades sin parches.

Una recomendación para hacer las cosas más seguras sería poner una caja de Linux real frente a su enrutador. Configúrelo para actualizaciones de seguridad automáticas cada 10-30 minutos para que sus parches lleguen rápidamente. Para las vulnerabilidades del kernel, podría usar algo como KSplice (desafortunadamente, tiene que pagar por ello) que puede parchear estas vulnerabilidades en un kernel Linux en ejecución, es decir, sin reiniciar.

Lo que probablemente querrás hacer es configurar tu red de esta manera:

Tengaencuentaque"Partición de red" y "Servidor DMZ" no tienen que ser dispositivos físicos, pero pueden serlo. La configuración anterior coloca sus estaciones de trabajo en una subred y sus servidores en otra subred. Esto se denomina "Zona desmilitarizada" o DMZ, para abreviar. Tener los servidores en una DMZ le permite limitar lo que puede conectarse a la DMZ desde la red de la estación de trabajo y viceversa. El compromiso de un servidor en la DMZ puede limitarse a permanecer dentro de la DMZ. El compromiso de un dispositivo en sus estaciones de trabajo / dispositivos WiFi, etc. puede limitarse a no poder alcanzar la DMZ.

Por cierto, esta es la razón por la que no debes alojar cosas en casa si puedes ayudarlo. Administrar una red es algo que creo que no quieres ser un trabajo de tiempo completo.

Espero que esto sea útil.

Un enrutador es en realidad una pequeña computadora; la mayoría de ellos utilizan el mismo tipo de software que los servidores de pleno derecho (normalmente algunas variantes de Linux). Como tal, tiene agujeros de seguridad, que deben parcharse rápidamente cuando se descubren. Las vulnerabilidades que no son fijas pueden explotarse y ceder el control remoto a los atacantes, momento en el que pueden hacer lo que quieran con el enrutador y, en particular, ver todo su tráfico interno (a menos que estén bloqueados por otros firewalls). El problema real aquí es que las actualizaciones de software en los enrutadores rara vez se realizan; se llama "actualización de firmware" y casi nunca se hace.

La mayoría de los ISP basados en cables proporcionan el módem y tienden a considerar que el módem sigue siendo suyo, no suyo. Algunos impulsarán las actualizaciones de firmware por su propia cuenta, sin ninguna advertencia. Algunos intentarán bloquear automáticamente a nivel de red los intentos de conexión entrantes que parecen ataques a vulnerabilidades conocidas. A algunos no les importa.

Algunos ISP también pueden afirmar que al alojar "servidores" infringe las condiciones de uso y luego bloquea su acceso a Internet o le cobra más. En cualquier caso, el ISP aplica ancho de banda asimétrico, con mucha más descarga que carga. En mi experiencia (*), el servidor de alojamiento en su hogar, mientras sea posible, no merece la pena. Debe tener cuidado de volar bajo el radar de su ISP (o usar uno de los raros ISP que no le importa el "uso del servidor"), y el rendimiento es bajo. Alquilar un servidor en algún lugar (un simple VPS) es barato, más rápido y mucho menos complicado.

^{(*) Mi experiencia incluye ejecutar el DNS maestro para mi propio dominio y mi servidor de correo desde una máquina doméstica. Ya no lo hago.}

Los enrutadores de grado del consumidor suelen ser más vulnerables que los de grado profesional por los siguientes puntos clave:

1. Por lo general, solo funcionan a través de interfaces web o gráficas, donde los errores afectan a la velocidad del clic. El clic es el del propietario, del gato o del atacante.

2. Por lo general, tienen un servidor web incorporado que es en sí mismo una gran cantidad de código con una cantidad proporcional de vulnerabilidades. Para los modelos que tenía en las manos, este servidor web no podía ser desactivado. En el servidor de nivel profesional se puede desactivar fácilmente, lo que elimina una gran cantidad de puntos débiles.

3. No obtienen el mismo nivel de control de calidad y actualizaciones de correcciones de seguridad.

4. Con demasiada frecuencia, incorporan funciones sencillas de administración y depuración remotas que no se anuncian públicamente debido al mercado objetivo: grado de consumo. Estas funciones de administración y depuración son bien conocidas por los profesionales de la red y los ciberdelincuentes. Esta es una gran pieza de seguridad a través de la oscuridad. La verdad es que es sin seguridad .

Terminaré con una respuesta a una pregunta que no hiciste pero a la que Naftuli Tzvi Kay respondió con bastante detalle: Caja de Linux en frente de su enrutador

  

¿Cómo clasificaría el nivel de seguridad de tres tipos de equipos para conectarse a Internet?

     

un enrutador de grado de consumidor, un enrutador de grado profesional, un servidor Unix   funcionando como un enrutador de firewall?

Aquí está mi experiencia profesional práctica en un centenar de tales equipos:

1. Servidor Unix configurado como enrutador y cortafuegos

2. Enrutador de firewall de grado profesional

3. Enrutador de cortafuegos de nivel de consumidor

Hay algunas buenas respuestas aquí, pero quería resaltar que recientemente se han encontrado MUCHOS hallazgos de investigación que muestran que la seguridad de los enrutadores de pequeñas empresas nacionales ha sido muy deficiente. En particular, se ha encontrado que algunos de los principales fabricantes, como Netgear, TP Link Linksys, etc., tienen prácticas muy deficientes, como el uso de la misma clave ssh en todos los modelos, incluida la compatibilidad con USB y USB virtual que no es segura. carecen de la protección adecuada contra la explotación como parte de un ataque de amplificación DDoS, etc.

Por supuesto, no hay garantía de que los enrutadores "empresariales" más costosos sean mejores.

En estos días, el alojamiento de sitios web en la conexión de su hogar rara vez es una buena idea. Érase una vez, tiene importantes beneficios financieros, pero creo que en estos días, hay opciones de alojamiento muy buenas y competitivas que son una opción mucho mejor. La realidad es que la gente espera más en estos días, es decir, alojamiento que incluye UPS, copias de seguridad, redundancia, etc. El nivel de amenazas a la seguridad ha aumentado hasta el punto en el que mantener las cosas al día es abrumador. Encuentre una buena compañía de alojamiento y vea qué tipo de trato puede obtener.