Mejores prácticas para la configuración del enrutador doméstico

Navega tus respuestas
9

Después de leer sobre la gran cantidad de enrutadores infectados por Wifatch , me he dado cuenta de que no sé cómo comprobar si mi enrutador ha sido infectado con este o más malware malicioso o qué haría al respecto.

Además de cambiar la contraseña predeterminada y verificar si el firmware necesita actualizarse por razones de seguridad, ¿qué cosas importantes deberían hacer todos para proteger su enrutador y cómo podría probar esa seguridad? ¿Es simplemente un caso de confiar en los fabricantes para proporcionar parches de firmware para cualquier problema?

Tengo un enrutador Billion Bipac 7800N , pero ¡Me interesan los consejos que también beneficiarían a amigos y familiares con diferentes dispositivos, ya que soy su "experto" de seguridad de facto!

    
pregunta James Bradbury 05.10.2015 - 14:06
fuente

4 respuestas

4

Siempre hago lo siguiente para mi hogar gateway (enrutador + módem) o enrutador (si está separado, aunque no he visto un módem que no incluya un enrutador en al menos un década):

  1. Cambie la contraseña administrativa, puede escribirla en un papel pegado en la puerta de enlace.
  2. Establezca la configuración de seguridad en el nivel más alto. Por lo general, esto significa apagar todos los puertos externos y la administración externa. Por qué querrías esto?
  3. Desde su LAN, visite www.grc.com y ejecute su prueba de escaneo de IP. Busque cualquier problema y reconfigure para corregirlos.
  4. Active el registro y supervíselo de vez en cuando. Mire a China, Rusia y las redes de bots regularmente llamando a su puerta de entrada.
  5. Mata todo lo que pase de afuera hacia adentro a menos que realmente lo necesites, y luego considera cuidadosamente si realmente lo necesitas.
  6. Si está ejecutando un servidor, use un DMZ y aísle de su LAN interna. Active el paso a través de los puertos al servidor DMZ solo cuando sea necesario. Si no puede DMZ o ejecutar el servidor allí, pase por puertos o, considere un servidor proxy más simple en una DMZ que pueda manejar todas las conexiones entrantes y verificar la validez, la consistencia, la seguridad y los reenvíos a los sistemas internos.
  7. El acceso a su LAN desde el exterior debe ser VPN (preferido), ssh (adecuado) o ambos (cinturón y tirantes).

Suponga que cualquier puerto que deje abierto al mundo tiene una probabilidad muy alta de verse comprometido y, por lo tanto, comprometer su LAN. De nuevo, ¿realmente necesita un puerto abierto (a menos que VPN)?

    
respondido por el Andrew Philips 05.12.2015 - 06:30
fuente
2

Lo primero que debe hacer es configurar el enrutador principal para que use Comodo SecureDNS para que nadie de afuera pueda ver el Nombres de dominio visitados por sus computadoras.

Todo lo que tienes que hacer es poner 

8.26.56.26 
8.20.247.20

como las entradas del servidor DNS en la configuración de DHCP en el enrutador.

Lo segundo es que todo el mundo instale HTTPS-Everywhere en sus navegadores. Incluso los no técnicos pueden hacer eso.

Estos dos pasos lo harán así que incluso el ISP no puede decir lo que están haciendo.

Debe cambiar la contraseña del enrutador para la administración a algo que solo usted sepa (NO es el mismo que para el acceso a WiFi).

No desea que su enrutador permita la administración remota, punto.

Y finalmente, deshabilite uPnP. Permite que elementos internos como monitores para bebés sean accesibles desde el exterior desde teléfonos inteligentes. Además, también permite a los extraños echar un vistazo. En un caso, alguien estaba hablando con un niño a través del altavoz del monitor y lo asustaba.

Si desea ver qué tan extendido está esto, vaya a enlace

    
respondido por el SDsolar 16.05.2017 - 23:37
fuente
0

Si el enrutador está infectado, será complicado verificar si está infectado (¿has oído hablar de rootkits?). Escribí sobre la protección de mi enrutador en mi nuevo blog: enlace .

Lo que hice para asegurar mi enrutador fue escanearlo, tanto direcciones privadas como públicas para puertos abiertos. Por dentro, no encontré nada. En cuanto al exterior, encontré que mi enrutador estaba ejecutando un servidor CWMP (administración remota). Deshabilitar esto requiere privilegios elevados que logré alcanzar. Esto no descarta una infección ya que, si mi enrutador es parte de una red de bots, solo puedo decirle si Internet es lento. Hoy en día, las puertas traseras no mantienen puertos abiertos, inician conexiones a C & Cs. Lo que puede hacer es obtener una pi de frambuesa y colocarla entre Internet y el enrutador, mientras captura el tráfico. Luego debes analizarlo por supuesto.

Mantente seguro;)

    
respondido por el BrunoMCBraga 05.10.2015 - 22:32
fuente
-1

En primer lugar, quiero decir que no soy de ninguna manera un "fanboy de Apple", pero mientras escuchaba un episodio de Security Now con Steve Gibson, hicieron una nota interesante de que los enrutadores de Apple no han sido parte de ninguno de los últimos "exploits de enrutador", es decir, Linksys y otros. Apple mantiene el hardware del enrutador bastante bien bloqueado y actualizado. Además, siga sus consejos y asegúrese de que la contraseña predeterminada siempre se cambie. Si tiene otras vías de entrada, es decir, SSH, haga una prueba para eso y, como mínimo, asegúrese de cambiar su contraseña.

    
respondido por el user92592 04.12.2015 - 22:51
fuente

Lea otras preguntas en las etiquetas

Cómo crear su propia lista negra de RBL DNS para evitar el spam ¿Es Apple Face ID una buena función de seguridad?