BCS008 – Asegurando el router, primeros pasos

Seguridad de la información y ciberseguridad.

Tanto en la vida privada como en pequeños negocios y grandes empresas, la seguridad informática y de las comunicaciones es una necesidad a cubrir porque las ciberamenazas pueden causarnos importantes trastornos personales y profesionales. Desde pequeños hurtos de información personal hasta suplantaciones de identidad, pasando por el secuestro de información. Desde Bitácora de Ciberseguridad queremos acercar la cultura de la seguridad de la información al público no especializado y concienciar sobre la importancia que tiene implantar medidas de seguridad y protocolos orientados a evitar y minimizar los riesgos que nos amenazan a diario. Con Sergio R. Solís y Raúl Fernández.
SUSCRÍBETE en iTunes - Android - IvooxRSS

Pues ya estamos en Febrero y es hora de volver a las andadas, a los episodios tradicionales de Bitácora de seguridad con Noticias, Ciberglosario, Error 503 y… ah, no, consejo no. O si. En realidad la sección Error 503 de este programa es toda una serie de pequeños consejos sobre cómo asegurar tu router.

Carátula del episodio 8 de Bitácora de ciberseguridad mostrando los leds de un router y el título: "Asegurando el router, primeros pasos"

BCS-008 – Asegurando el router, primeros pasos

Se supone que es algo trivial, pero no está de más recordarlo, así que para todos aquellos que tengáis en la oficina, en vuestra casa o en la de vuestro cuñado, un router con la configuración por defecto del operador, estad atentos a la sección Error 503 de hoy.

Índice

  • 00:00 – Introducción
  • 10:50 – Noticias.log
  • 11:01 – Noticia 1 – El smartphone de Donald Trump
  • 16:55 – Noticia 2 – Los adjuntos prohibidos en Gmail
  • 23:40 – Noticia 3 – Recolección de datos por parte de operadores telefónicos
  • 32:07 – Noticia 4 – Software espía en macOS
  • 34:50 – Ciberglosario: Elementos de red
  • 36:40 – Error 503 – Asegurando el router, primeros pasos
  • 1:18:03 – Despedida

Noticias

Ciberglosario

Aún no habíamos definido términos como los de hoy, pero son palabras y siglas que debemos conocer si de verdad nos preocupa la seguridad de nuestra infraestructura de comunicaciones telemáticas. Por lo menos deben ser términos familiares, así que, muy por encima, definiremos:

  • IP
  • Router
  • Firewall
  • IDS
  • IPS

Error 503

El router es el elemento de red más común en cualquier oficina y hogar. Es el aparato que separa y a la vez conecta, la red de área local (LAN) con una red más amplia, normalmente Internet (WAN). Este dispositivo nos lo suele instalar un operador de una compañía telefónica y suele quedarse así, como el técnico lo dejó, durante años y eso es un grabe error tanto para la seguridad personal si estamos en casa, como para la de la empresa si se trata de un lugar de trabajo.

Los puntos clave que trataremos son:

  • Cambio de contraseña del router.
  • Tecnologíaí WPS
  • Elección de cifrado de comunicaciones para redes WiFi
  • Nombre de redes WiFi
  • Contraseñas de redes WiFi
  • Ocultación del nombre de red
  • Filtrado de dispositivos por dirección MAC

En futuros episodios volveremos sobre el tema de la seguridad en la red y continuaremos ampliando información sobre los routers y otros dispositivos muy interesantes para la seguridad.

Configuración IP de nuestro equipo

Windows

Podéis acceder al Terminal o, como se le llama en Windows, a la Línea de Comandos o Símbolo del Sistema buscando “Símbolo del Sistema” en las aplicaciones del menú de Inicio de Windows o seleccionando la opción “Ejecutar” de ese menú e indicando cmd en el formulario que nos solicita la aplicación a ejecutar.

Una vez abierta la ventana, basta escibir ipconfig y pulsar Enter en nuestro teclado para que muestre la configuración IP de todas las interfaces de red de nuestro ordenador. En el ejemplo se muestran 3, aunque sólo la tercera está activa y como vemos tiene direcciones IP versión 4 y versión 6. Las tradicionales son las v4 y a las que nos referimos en el audio, pero no dejarán de aparecer cada día más v6.

Terminal Windows - Comando ipconfig

Terminal Windows – Comando ipconfig

macOS

Para abrir el terminal en macOS podéis ir a Aplicaciones y, dentro de la carpeta Utilidades, encontraréis la aplicación Terminal. Para abrirla, haced doble click. También podéis buscar Terminal en Spotlight

Si ejecutáis el comando ifconfic, como en windows, mostrará varias interfaces de red, buscad la que esté conectada, la dirección IP aparecerá al lado de la palabra “inet”.

Si ejecutáis el comando netstat -rt y esperáis un poquito, aparecerá una lista (si el comando no para por sí mismo, pulsad las teclas Ctrl+C). En la captura de pantalla podéis ver la IP de la pasarela (normalmente equivalente a la del router en nuestra LAN) en la intersección de la columna Gateway y la fila default.

Linux

Prácticamente igual que en macOS y si tenéis alguna duda, además de preguntarnos, podéis escuchar a Juan Febles en Podcast Linux  😉

Métodos de contacto

Puedes escucharnos en:

Puedes copiar la URL de nuestro Feed y pegarla en tu reproductor de podcast favorito, puedes acceder a la sección de Podcasts de iTunes y puedes escucharnos también en plataformas como ivoox. A continuación te dejamos los enlaces a las 3 URLS:

RSS feed iTunes ivoox
Feed RSS iTunes ivoox
Avpodcast esta alojada en neodigit.net , un proveedor de confianza con instalaciones en España

11 comentarios en “BCS008 – Asegurando el router, primeros pasos

  • Muy interesante el episodio. Tendrían que escucharlo todos los que tienen wifi en su casa. Lo explicáis muy bien para que se pueda entender por no expertos.
    Una duda: los inconvenientes que habéis dicho sobre el filtrado por MAC, no desaparecen si no usamos el filtrado, ¿no? Es decir, se comenta que si forzamos al atacante a clonar la MAC, no nos enteraremos de que un dispositivo nuevo ha entrado, pero, un atacante espabilado (como sería el que supiera hacer eso) podria clonar una MAC aunque no esté el filtrado activo. En ese caso, tampoco nos enteraríamos de que se ha conectado. En cambio, si activamos la asignación de IPs por MAC, sí que podríamos sospechar al ver que algun dispositivo nuestro no se conecta. ¿Estoy en lo cierto?

    • Hola Tàfol. Muchas gracias por tus palabras.
      Efectivamemte, la dirección Mac pueden clonarla teniendo o no activo el filtro. Si el filtro está activo, obligas al atacante a clonar. Si no tienes el filtro el atacante puede elegir no clonar (si no es muy espabilado), inventarse una Mac, o clonar una existente.
      Entre inventarse una mac o clonarla, hay ventajas e incomvenientes para el atacante. Si clona una mac existe te en la red y el administrador de la red tiene asignación estática de IPs por DHCP, podría causar un conflicto de IPs.
      Si se inventa una mac, por ejemplo 00:11:22:33:44:55, destacaría muco en el log del DHCP. En ambos casos quedaría registro, en el log del punto de a ceso WiFi, de que ha habido conexión, incluso si el atacante no usa el cli nte DHCP y se la asigna de forma manual.
      La cuestión es vigilar esos logs y detectar direcciones Mac desconocidas, por un lado, mientras que por otro lado hay que buscar conexiones, aunque sean de direcciones Mac conocidas que están fuera de lógica, por ejemplo conexiones fuera de horario en el que uno de nuestros dispositivos están activos.
      No hay solución perfecta. Todas son de compromiso y siempre toca hacer vigilancia.
      Espero haber aclarado algo.
      Un abrazo

  • Sobre el tema de las interfaces no amigables: el problema es de ¡las patentes de software!
    Pasa exactamente lo mismo en los menús de las televisiones. Cada empresa ‘patenta’ en USA (y otros países donde se permita) una forma de hacer algo y el resto debe buscar cualquier otra manera de hacer lo mismo (porque al fin y al cabo los routers, televisores, etc. tienen la misma función) sin pisar una patente y tener que pagar. Luego claro, ese software se usa a nivel mundial y pasa lo que pasa…
    ¿Acaso no odiáis el menú para ordenar los canales de la televisión recién sintonizados?

    • Interesante reflexión, Andreo y gracias por comentar. No lo había pensado de esa forma. Así que no se trata de que las empresas contraten, como dice Raúl, a un CFAI (Chief of F**ng Awful Interfaces) sino de contratar abogados para hacer patentes y que las interfaces de los demás sean una… sean peores. Me parece tan ruin y rastrero, que me lo creo. Supongo que es (en hardware) como el trackpad de los mac, que no hay PC que lo iguale.
      Lo que no entiendo es por qué no hay un fabricante de routers (y de televisores) anunciando a bombo y platillo su inmejorable interfaz de usuario. En televisores no sé, pero en dispositivos de red, seguro que aumentarían mucho sus ventas sólo con poner un interfaz demo en su web para que la gente probase.

  • Hola.

    Felicidades por el Podcasts, me encanta. Este episodio me encanta.
    Una consulta, mejorar seguridad de mi casa. Tengo posibilidad del router de la compañía poner como bridget ( puente) y comprar yo un router. Que marca y modelo me podéis aconsejar.

    Muchas gracias

    • Esa opción que comentas es muy buena, incluso te permitiría activar el WiFi del router del operador para dejar que tus visitas se conecten a internet sin estar dentro de tu red. Es una opción que queremos comentar en el futuro en el podcast.
      Respecto a marcas no te sé decir cual sería mejor, o qué modelo, pero lo ideal sería optar por Linksys, Netgear o TP-Link por lo extendidas que están. Sería más fácil encontrar documentación y soporte.
      Linksys es muy fuerte, dado que además es de Cisco. Junto con Netgear, serían las 2 marcas más profesionales de las 3.
      TP.Link suele ser más de consumo. En su día usé algún router de ASUS que también rendía bien y con una interfaz asequible.
      Una marca que usé hace años y que me gustó fue Draytek. No son una gran potencia pero tienen buena relación calidad precio y muchas opciones, incluso servidor VPN integrado, que en otras marcas es una opción de pago a parte (aunque ahora no he comprobado las otras que he comentado). Hace años podías navegar por una interfaz de demo en su web. No se si seguirá activa.
      Hay mucho más, pero es lo que se me viene ahora a la cabeza.
      Esperamos que nos cuentes la opción que eliges y por qué.
      Gracias por comentar y por escucharnos.

      • Buenas noches, después de ver las características de varios, me voy a decantar por un linksys. La duda que tengo ahora es que donde me lo venden, me comentan que es posible con el firmware de fabricante o con la opción del firmware dd-wrt.

        ¿Conoces este último firmware (dd-wrt)? Que opinas?

        Gracias.

        • DD-WRT te va a dar más funcionalidad y control que el firmware estándar, por ejemplo para controlar QoS y asignar diatintos anchos de banda en función de dispositivos o protocolos. También permite más funciones VPN. Lo malo es que al tener tantas opciones adicionales, según leo, se hace algo más complejo de configurar, pero también comentan que existe un firmware Tomato que recomiendan a quienes tienen problemas configurando DD-WRT.
          Mi opinión: si con el firmware del fabricante te vale para lo que quieras montar, no te compliques. Si quieres dar el salto a DD-WRT o Tomato, mira cual se actualiza con mayor frecuencia, si esos o el del Linksys y si existe alguna lista de vulnerabilidades que puedas comparar.
          (Conste que nunca he usado DD-WRT, así que me oriento por lo que leo, pero parece una solución bastante asentada, no un invento de tres días, que al final es lo que genera confianza en no quedarte tirado en un plazo corto de tiempo)

          • Hola, Sergio.

            Gracias por tu ayuda, aúnque me cueste configurar, instaló este router para más seguridad.
            Intentaré buscar vulnerabilidades (aunque no sé cómo buscarlo) de este firmware DD-WRT, y mirare Tomato, no lo conocía.

            Nuevamente muchas gracias por tu tiempo.

          • Para buscar vulnerabilidades no te compliques mucho: version de equipo, firmware o sistema operativo y google. Si hay algo impprtante aparecerá. No es cuestión de buscar auditores para todo. Eso sí, dile a google que te muestre resultados de el último año o puedes volverte loco con vulnerabilidades que en realidad ya no lo son. También puedes mirar el fichero changelog para ver los cambios que van aplicando los desarrolladores y así ves tanto la evolución de cómo añaden o mejoran funcionalidades como de cómo corrigen vulnerabilidades.
            Lo dicho, ya nos contarás tu experiencia.
            Mucha suerte

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Demuéstranos que no eres un robot con un poco de matemáticas *