configuración de DNS comprometida desde WAN en el router Edimax ADSL

Navega tus respuestas
1

Mi red doméstica Edimax AR-7084gB ADSL módem / enrutador con versión de firmware 2.9.5.0 (RUE0.C2A) 3.5.18.0 fue explotada desde la WAN hace unos días. El atacante cambió la configuración del servidor DNS: el servidor primario a 192.99.14.108 y el secundario a 8.8.8.8. El primer servidor DNS sirvió un virus troyano (detectado como Crypt3.NRM por AVG) a través de una página de actualización de Adobe Flash falso. Mi ubicación es República Checa y media informé sobre la explotación del módem con configuraciones de DNS similares, por lo que ahora esto era bastante común en mi región.

Entretanto, cambié el módem por otro diferente (Siemens CL-040-I) que, con suerte, no se verá comprometido en el corto plazo. Mi pregunta es: ¿qué debo hacer a largo plazo para evitar ataques similares en el lado del módem? Claro que podría configurar el servidor DNS manual en todas las PC, pero no quiero esto debido a inconvenientes administrativos. ¿Un módem SOHO nuevo y barato tendrá un firmware lo suficientemente seguro como para evitar la mayoría de los ataques habituales? ¿Hay algún ranking de seguridad de WAN de módem que pueda usar y luego buscar una nueva marca y modelo de módem?

Actualicé el firmware de Edimax a la versión 2.11.38.0 (con fecha 2010-12-08, versión original con fecha probablemente a 2007/2008), pero no estoy seguro de si eso será suficiente para evitar los ataques. Antes del ataque, el módem tenía una contraseña débil personalizada y con la administración de WAN desactivada.

Editar: me di cuenta de que mi administración de WAN estaba habilitada, porque está habilitada en la configuración de fábrica (probablemente de todos los dispositivos históricos y actuales con Trendchip Front End, ya que este Front End aún se envía con TP- Link o Edimax !!!) Una configuración de fábrica de este tipo es increíble ... Uno tiene que prohibirlo explícitamente en una configuración de Access Management personalizada. Supongo que la mayoría de los usuarios no lo harán después de la compra y, por lo tanto, revelarán su página de inicio de sesión en la Internet pública ...

También encontré el tipo de chipset del módem Aquí (ver "Specifikace"):

  • CPU: Trendchip TC3162P2

  • Front End: Trendchip TC3085 (administrador web)

pregunta Kozuch 14.05.2014 - 17:53
fuente

1 respuesta

1

En las prácticas de seguridad tratamos de parchear las vulnerabilidades. Pero si los parches no están disponibles, intentamos dificultar la vida de los atacantes con cosas como el aislamiento.

  • Hay problemas enormes con la administración de WAN en los enrutadores en estos días, Debes desactivarlo, si realmente no lo usas. A diferencia de los sistemas operativos modernos, Los parches para los sistemas operativos del router son muy difíciles.

  • Muchos enrutadores ADSL proporcionan firewalls incorporados en estos días. Asegúrese de que Política predeterminada entrante = Denegar .

  • Limite la IP de acceso WAN si es posible en su enrutador y vaya a algunos Puerto diferente para acceder a la consola, si es compatible.

  • Si su enrutador es compatible, puede probar Open WRT como firmware / OS que tiene un ciclo de parches relativamente bueno.

respondido por el Kasun 14.05.2014 - 20:36
fuente

Lea otras preguntas en las etiquetas

Obtención de cargas de correos electrónicos que "enlazan" mi cuenta con cuentas de Gmail de las que no sé nada ¿Qué servicios populares en línea permiten la autenticación sin contraseña utilizando firmas digitales? [cerrado]