¿Cuáles son los riesgos derivados de tener un conmutador sin un control de acceso fuerte que se enfrenta directamente a Internet?

0

En casa tengo una conexión con mi proveedor a través de fibra de vidrio que proporciona dos VLAN: IPTV e Internet.

La estructura de la red es exactamente la que se muestra en la siguiente imagen, a excepción de la conexión telefónica, que no tengo. El enrutador que uso (en la imagen con las antenas) se basa en OpenWRT y se mantiene actualizado.

Como interruptor frente a la fibra de vidrio, utilizo un interruptor Netgear GS108Ev2, que no tiene acceso a Internet, pero solo puedo acceder a través de la utilidad Netgear ProSafe con una contraseña simple.

Establecí una contraseña y le di al router una dirección IP estática en la red local, pero no conozco ninguna configuración que pueda restringir el acceso a la configuración a una VLAN específica, por lo que supongo que sería posible para forzar la contraseña de Internet y luego cambiar la configuración IP del enrutador, para permitir la configuración a través de Internet.

¿A qué riesgos estoy expuesto? ¿Hay algo malicioso que un atacante podría hacer además de mezclar la configuración y causar dolores de cabeza / pérdida de servicio hasta que lo restaure todo? Considero que esta alternativa no es de interés para los atacantes, especialmente porque requiere un forzado brutal de una contraseña (suponiendo que no haya otras vulnerabilidades en el enrutador).

Creo que no hay soluciones alternativas, pero sírvase mencionarlas si son simples (de lo contrario, abriré una nueva pregunta). También tengo un Netgear GS105E v2, en caso de que ayude.

    
pregunta FarO 14.12.2018 - 10:29
fuente

1 respuesta

0

Su configuración no me parece inusual desde una perspectiva de seguridad. Al final del día, algo tiene que estar orientado hacia afuera si estás conectado a Internet, ¿no?

A su pregunta sobre técnicas de refuerzo adicionales, la mayoría de los enrutadores y enrutadores de oficinas pequeñas / hogares que he encontrado tienen una opción en la configuración administrativa para forzar solo la administración local del dispositivo, lo que significa que debe estar conectado a la LAN para autenticarse y cambiar cualquier cosa. Todos los demás intentos de inicio de sesión desde direcciones IP externas serán rechazados. Quizás tu configuración tenga algo similar.

También buscaría formas de estrechar tus defensas. Por ejemplo, configurar enrutadores adicionales, físicamente separados, detrás de él para filtrar el tráfico que va a cada tramo de su red. Tal vez su red ya tenga algo de esto, pero me parece que la mayoría de las cosas provienen de una sola caja en lugar de una ruptura. La idea es agregar capas de complejidad lógica y física para que un atacante pueda superarlas antes de llegar a algo realmente sensible, lo que le da tiempo para detectar y mitigar el problema.

Además, genere algunas contraseñas difíciles y gírelas periódicamente.

    
respondido por el xiphos71 18.12.2018 - 05:46
fuente

Lea otras preguntas en las etiquetas