Tengo aquí en casa un enrutador, como muchas personas. El enrutador está conectado con un cable Ethernet que proviene del módem.
Pero, para evitar que los piratas informáticos o cualquier otra cosa intente molestarme, si no uso el enrutador, ¿es una buena medida de seguridad quitar el cable Ethernet? ¿O no hace mucho en seguridad, por lo que debería dejarlo siempre conectado?
Si no hay una conexión a Internet en su dispositivo, entonces un hacker no podrá comunicarse con ese dispositivo. (Edit: Como algunos lo han señalado ... esto es asumiendo que un atacante está intentando conectarse a Internet desde una ubicación remota)
Dicho esto, eventualmente tendrás que conectarte a Internet nuevamente si quieres usar Internet y si eventualmente obtienes malware en tu computadora, como un registrador de teclas. Ese keylogger va a depender de internet para enviar sus datos al hacker. Si el keylogger está escrito correctamente, cuando se desconecte, solo esperará a que se conecte a Internet nuevamente para enviar sus datos al atacante.
En mi opinión, creo que desconectarse de su Internet será más una molestia que una protección. En su lugar, céntrese en la seguridad de su dispositivo y sus acciones en Internet. Ser un usuario de Internet inteligente puede proporcionar una gran seguridad a su dispositivo.
Elaboración (EDIT):
Estoy de acuerdo en que este método reduce el tiempo de oportunidad para un atacante, pero la razón por la que elegí poner énfasis en la seguridad de los puntos finales y la educación de los usuarios es que si imagina un entorno empresarial, tienen dispositivos y servicios que dependen de un Conexión a internet 24/7. Por lo tanto, una empresa no puede confiar en desconectarse de Internet como una medida de seguridad viable. En su lugar, se centran en proteger los dispositivos en la red y en la propia red. Entonces creo que esto logrará 2 cosas: 1) mayor seguridad. 2) Mejor experiencia de usuario (siempre tenga acceso a Internet a pedido) y creo que también puede aplicar estas estrategias a su red personal.
Esto reduciría su riesgo al minimizar el tiempo que la superficie de ataque es vulnerable a los ataques , por lo que sí, técnicamente, es un control de seguridad útil. Se encuentra dentro de la categoría de control de acceso de Capa 1 en el modelo OSI.
Esto dice que también estás perdiendo datos creados por los atacantes en la noche, lo que podría ser útil para las tendencias de la actividad de los atacantes. Es posible que aún sea posible recopilar esto mientras desconecta físicamente la red, pero si actualmente no está recopilando este tipo de datos, no está perdiendo nada al hacer esto.
Más importante aún, parece que no tiene suficientes controles de seguridad para confiar en lo que está sucediendo con su red, por lo que aún debe abordar eso en algún momento también.
Como control de seguridad básico, se presta a una reducción en los ataques al poder acceder a sus sistemas, especialmente a los que se prueban contra grandes bloques de IP o Internet en su conjunto que pueden ejecutarse durante el tiempo en que sus sistemas están desconectado. Así que sí, hay algún beneficio y si este beneficio supera cualquier inconveniente, parece que sería una buena medida de seguridad en su situación . Tenga en cuenta que esto casi no tendrá impacto en un atacante persistente, principalmente ayuda a reducir la cantidad de ataques a gran escala, los esfuerzos de reconocimiento a gran escala o cuando ocurren cosas como gusanos en Internet.
Nota: su enrutador aún será vulnerable a los ataques en el escenario que mencione. Supongo que esto se debe a que otros equipos necesitan acceso, pero si no, podría pensar en desconectar el cable WAN o incluso apagar el enrutador. Puede que esta no sea una opción, pero pensé que mencionaría esto dado su escenario.
Otra cosa que puede considerar como una opción alternativa es crear secuencias de comandos de sus reglas de firewall, o sistema (s), para deshabilitar sus interfaces en un horario establecido o mediante un simple script que ejecuta para activar y desactivar las cosas.
Teniendo en cuenta la cantidad de ataques dirigidos a los enrutadores, la cantidad de fallas de seguridad / puertas traseras en los enrutadores de nivel de consumidor, y el hecho de que su enrutador sea una puerta de entrada siempre a la gran red mala, diría que apagar el enrutador es Una medida más fácil y efectiva que desconectar su PC de ella. Usted está moviendo el beneficio de seguridad (discutible) un paso más adelante en la cadena.
Incluso puedes poner tu enrutador en un temporizador o en uno de esos enchufes de control remoto para la pereza.
No especularé sobre cuánto beneficio del mundo real podría dar, ya que está sujeto a tantas variables y a tu propio nivel de paranoia personal.
Desde un punto de vista de seguridad, no es realmente una buena medida. La seguridad es la tríada confidencialidad, integridad, disponibilidad. Si solo considera la confidencialidad, todo lo que podría agregar aislamiento es bueno. Por lo tanto, quitar el cable cuando no está usando internet está bien: reduce la exposición a los ataques. También está bien para la integridad por la misma razón. Pero es terrible en disponibilidad. Los conectores de red no están diseñados para ser enchufados y desenchufados con demasiada frecuencia, y es probable que rompa la pequeña pieza que impide que el conector salga del enchufe en la acción más pequeña. Y al final, es probable que agregue errores de red más adelante.
En mi humilde opinión, puede apagar el enrutador de forma segura, pero no lo ataque a nivel de conectores ...
Y de todos modos, la respuesta de Trey Blalock ya explicó que la ganancia no era realmente importante, así que por favor mantente alejado ...
Esta es solo una buena protección contra ataques remotos de fuerza bruta, donde el atacante está tratando de adivinar de forma rápida y automática contraseñas comunes para obtener acceso. Esto se puede frustrar más efectivamente al habilitar la limitación de velocidad, tanto en el enrutador como en cualquier servicio que haya habilitado dentro de la red, al elegir mecanismos de inicio de sesión seguros, como el inicio de sesión con clave en lugar de contraseña para SSH y contraseñas seguras generadas automáticamente. donde sea necesario.
Es una protección ineficaz contra exploits no parcheados . La mayoría de estos toman muy poco tiempo en ejecutarse contra un dispositivo conectado porque evitan el mecanismo de autenticación y evitan (o minimizar) la necesidad de fuerza bruta. Hay varios informes, por ejemplo, de computadoras de escritorio antiguas conectadas directamente a Internet que se piratean en cuestión de minutos. Por lo tanto, es mejor que se asegure de que el enrutador siempre tenga instalados los últimos parches de seguridad. También debe asegurarse de que no se pueda acceder a la interfaz de configuración desde Internet, si es posible.
Y como @ ncd275 señala , es inútil contra la divulgación de información por parte de máquinas dentro de la red.
Tu computadora todavía está encendida. Incluso cuando está "apagado", la CPU está encendida y puede realizar cualquier tipo de instrucciones mientras los ventiladores y los discos no están encendidos. Una agencia gubernamental (puede ser NSA, MI6, Mossad ...) puede haber inyectado un rootkit en su AC converter ( fuente ). El rootkit puede instruir a la CPU para que realice las operaciones con los datos disponibles en la RAM (que todavía tiene alimentación) y los envíe a casa.
El rootkit también puede usar una cámara web y un micrófono para detectar la presencia humana y hacer girar las unidades cuando no hay nadie en la habitación.
La desconexión del cable Ethernet reduce la superficie de ataque. Pero debes medirlo correctamente.
Cuando la computadora está apagada, al conocer su dirección MAC, cualquier persona con acceso a la LAN puede encenderla usando el protocolo de activación en la red e intentar realizar otras operaciones maliciosas según la seguridad de su computadora nivel y sistema operativo.
Pero ¿cómo se puede usar WOL? ¿Tienes wifi gratuito o contraseña débil ? ¿Podría su enrutador reenviar un paquete WOL a su LAN si está diseñado correctamente?
El segundo podría ser un sí para mí, especialmente con un enrutador doméstico configurado con su configuración predeterminada (incluso si cambió su contraseña).
Tal vez, pero no realmente, sin embargo, podría reducir el daño causado en otra parte .
Claro, estás reduciendo la superficie de ataque con restricciones de tiempo. Por ejemplo:
Pero el vector más probable para obtener malware es visitar un sitio o abrir malware desde un correo electrónico. Y ninguno de estos cambios cuando desconectas tu computadora. Como señaló otra respuesta, no evitará que el malware se comunique con su servidor de comandos más adelante. El hecho de que esté considerando desconectar su computadora demuestra que no se trata de una máquina de servicio (servidor DB, etc.) sino de una máquina de usuario: las probabilidades son definitivamente favorables a la forma interactiva de obtener malware.
Al desconectarse, puede estar reduciendo el daño que el malware puede hacer a otros. Su máquina no podría participar en aquellas u otras actividades que requieran que el malware esté en línea: impone el RDP de otras máquinas, analiza otras máquinas en busca de servicios vulnerables, distribuye copias a otras máquinas ...
Además, apagar su máquina no solo cubriría los mismos casos que desconectarla, sino también las actividades para las que el malware no necesita conexión: minería de bitcoins, inversión de hashes de contraseña. Y es mucho más fácil de usar con un botón que generalmente está disponible solo para ese propósito.
Otra cosa paranoica a tener en cuenta: desconecte la caja del cable :)
Para agregar mis dos centavos: depende.
Además, esto suena como el tipo de proceso que podría fallar fácilmente (es decir, si olvida, se queda dormido en el teclado o necesita que otra persona use la conexión).
Si está optando por desenchufarlo cuando no se usa en lugar de hacerlo resistente a los ataques, entonces creo que es de hecho un negativo neto.
Si está optando por desenchufarlo aunque haya hecho todo lo posible para que el ataque sea resistente, entonces eso podría ser aceptable como una medida provisional a corto plazo mientras encuentra una solución más permanente.
Pero no creo que haya ningún caso en el que eliminar los cables Ethernet sea una buena solución a largo plazo.
Aunque hacerlo generalmente no causaría otros problemas, simplemente no parece una solución sólida; parece que se trata de evitar un problema en lugar de resolverlo (es muy posible que esté equivocado).
Una línea de razonamiento posiblemente más productiva podría implicar considerar a qué podría estar comprometido el enrutador y a qué contramedidas podrían aplicarse.
Sospecho que es más probable que su módem ISP esté comprometido (por ejemplo, ala mirai ), que puede o no llevar a que su enrutador también se vea comprometido, pero en la mayoría de los casos sería funcionalmente equivalente: alguien más puede controlar su enrutamiento y puede ver tráfico desprotegido. Entonces, de alguna manera necesitas tener un plan contra eso.
En ese sentido, desenchufar el módem ISP puede ser más útil, pero permanece expuesto cuando está enchufado, y no estoy seguro de la reducción en la superficie de ataque (si se puede ver la cantidad de horas que un dispositivo está en línea). Como reducir eso) realmente va a ser efectivo. Esto se debe a que el ISP implementa una gran cantidad de dispositivos idénticos, por lo que lo más probable es que, si su módem se "vio" en línea, los atacantes sabrían a qué sería vulnerable: solo les da un poco menos de oportunidad para lanzar los ataques. Que sepan trabajar contra tu ISP.
Entonces, si yo fuera usted, vería cómo afectaría su ruta de red comprometida y haría algo al respecto. Ciertamente no está mal vigilar el registro de su enrutador, en particular, para (intentar y) detectar signos de compromiso, pero no sé si ese es el riesgo principal que me preocuparía.
Suponiendo que eres un usuario doméstico promedio, pregúntate qué es exactamente lo que intentas protegerte de .
Hay dos situaciones básicas de ataque en tu PC doméstica. Tu desenchufado desactiva parcialmente uno de ellos. A partir de ahí, debes responderte si la molestia merece la pena.
En primer lugar, puede ser atacado visitando un sitio malicioso o un sitio benigno con programas maliciosos de publicidad maliciosa, o recibiendo correo electrónico no deseado con malware o cualquiera de una docena de otras formas que básicamente lo atacan cuando interactúa con el fuente de ataque . Este tipo de ataque no se ve afectado por su desenchufamiento nocturno.
En segundo lugar, un atacante puede atacar (probablemente a ciegas) su IP o rango de red. Su objetivo puede ser su PC o el enrutador. Su desenchufe funcionará solo contra los ataques que se dirigen a la PC, y solo durante la noche.
Mi profesor de estadísticas dijo que cuando no tienes datos, ni siquiera para adivinar, asume una distribución uniforme. Por lo tanto, su desenchufe funcionará un tercio (8 de 24 horas) del tiempo, contra el 50% de los ataques directos, que son el 50% de todos los ataques, con una efectividad total del 8%. Por supuesto que no es un número preciso, solo sirve para ilustrar cuál es la magnitud de la reducción de la superficie de ataque.
Teniendo eso en cuenta, creo que puedes decidir por ti mismo.
Yo diría que deje solo al pobre cable. Son demasiado frágiles para lo que propones.
Y los enrutadores no siempre son amigables cuando tienen un ciclo de alimentación.
Propongo que simplemente apague el módem cuando desee desconectarse del mundo exterior.