EDICIóN GENERAL
253 meneos
8129 clics
24 Horas en la vida de mi router doméstico

24 Horas en la vida de mi router doméstico

Estamos preparados para vivir en un mundo donde cualquier dispositivo conectado está expuesto a ciberataques? Esta es la frase con la que comencé mi última ponencia en las jornadas de Ciberseguridad QurtubaCON16 (y con la que comenzaré en las Jornadas de Ciberseguridad y Derecho en HoneyCON16 el próximo 11 de Noviembre en Guadalajara). Mi intención es que los asistentes saquen sus propias conclusiones sobre el nivel de riesgo que todos asumimos cada vez que conectamos nuestros dispositivos a Internet.

| etiquetas: router doméstico , ciberataque
Ante la pregunta de si has sido alguna vez víctima de un ataque informático solo hay dos grupos de respuestas válidas:

1. Sí (y detalles)
2. No lo sé / no me consta.
#1 Hay 2 tipos,
1- los que han sido atacados
2- los que van a ser atacados

Porque nadie se libra
#7 Realmente los dos tipo son,
1- Los que han sido atacados y lo saben
2- Los que han sido atacados y no lo saben
#8 Efectivamente. Recuerdo la cara de horror de un compañero de curro hace muchos años cuando le puse un firewall y le explicaba todo lo que le aparecía en el log xD xD xD

De donde viene el dicho de "si tu IP no recibe ataques es que no te funciona internet".
#16 Thu, 2018-03-22 02:37:27 - TCP Packet - Source:185.222.211.82 Destination:edit- [PORT SCAN]
siempre amigos llamado a la puerta xD
#23 Qué tiempos cuando no había Aliexpress y podías banear rangos de IPs por países e incluso continentes xD

Al menos ahora con Fail2ban y otras herramientas del estilo se simplifica bastante 8-D
#24 Yo llevo años con mi netgear con dgteam firm y el cabron como un campeon se ha portado cuando ponga fibra va ser una pena cambiarlo solo por la cantidad de opciones me da que no se ven ya en routers de cientos de euros.
La mas útil era que puede cambiar de ip publica sin re sincronizar el adsl.
#25 Cuando veas las mierdas de routers que ponen los ISPs hoy en día, dejarás el que te entreguen en modo bridge y conectarás de nuevo el Netgear justo detrás xD
#26 perdona, en bridge se pondría el netgear no el router de la fibra, no?
#37 No.

#26 Acabas de describir justo lo que hice yo.

Lo malo es que los routers que proveen los ISP son tan colosal mierda que la mayoría ni siquiera puedes ponerlos en modo bridge.
#38 Joer pues no me entero entonces.

Como lo entiendo es: WAN<--->Router Fibra (con wifi restringida solo a la mac del router netgear)<---> Router netgear (en modo bridge conectando al router fibra via wifi). El router netgear es al que se conectan todos los dispositivos de la casa via wifi o cable. Este router se podría contemplar también como si fuera el tipico router repetidor, pero que en este caso es al unico router al que tienen acceso los dispositivos de la casa.…   » ver todo el comentario
#40 No, no te enteras, pero no te preocupes. ;)

Poner un router en modo bridge significa que deja de hacer de router, se limita a pasar lo que le llega por un interfaz de red al otro, conectando a una única máquina de la red ”interna” (usualmente tu propio router doméstico, donde tienes la configuración a tu gusto y no a gusto del operador).

En otras palabras, allí donde pongas un router en modo bridge no tienes un router, sino sólo un puente (bridge) que conecta dos redes.
#44 Vaya, ¿no me entero porque tengo como premisa que el router de la fibra, obligatoriamente, tiene que estar conectado a la "fibra" porque si no, no hay tu tía? Porque si no es así, le metería una patada al router que me trae la compañía de la fibra y pondría el mio y fin de la discusion.
Ni modo bridge ni ostias.
#51 No, hombre, lo de ”no te enteras” sólo lo he dicho por usar tus palabras. No creo que el usuario doméstico tenga por qué saber de estas cosas.

Yo no entro en la configuración que tú tienes o has tenido. Me he limitado a explicarte qué es el modo bridge.
#36 Claro que nunca debes de usar los puertos por defecto. Nunca he hecho la prueba, pero si quisiese joder a alguien sin CGNAT le dejaría en su router abiertos los puertos 21, 22, 25, 80, 110, 389, 443, 445... y seguro que perdería el 90% de su ancho de banda en conexiones no solicitadas :troll:

#37 No, el router del ISP quedaría "transparente" porque al dejarlo en modo bridge haría una función de módem sin servir direcciones por DHCP, redes wifi, etc... Como en el caso de un router…   » ver todo el comentario
#41 Pues yo aparte del de Movistar no conozco otro router-ONT de las actuales ofertas que hay que permita poner su router en modo bridge.

Sí conoces alguno, te agradecería que me informaras. No quiero estar atado a Movistar por este motivo.
#43 Bueno, yo ando con cable y no todavía no me he pasado a la fibra. ¿Qué modelo tienes que no te deja?
#45 Por lo que he visto, cualquiera que no sea el Mitrastar que instala Movistar. Según he constatado en foros, ningún otro permite configurar el router en modo bridge.

El mío sí me deja, justamente porque elegí ése para poder configurar la red con mi propio router interno. Si quieres configurar tu red a tu gusto sin que tu operador pueda meterle mano, no conozco otra opción que no implique ”hackear” el router que te instalan.
#46 Pues no lo sabía, pero es interesante saber que con los routers ONT no se puede hacer. Mira que había pensado en cambiar, pero este detalle ya me echa para atrás.
#47 No creo que tenga que ver con los routers ONT, nada impide que el firmware de las operadoras pudiera incorporar es opción en todos los casos. Si no la incluyen es por la tendencia que tienen las operadoras a querer controlar tu configuración e impedir que la modifiques para así ahorrarse gastos de atención al cliente y servicio técnico.
#48 Supongo que también tenga que ver con lo que cobren de más a una empresa por la conexión, porque un router ONT sin modo bridge no vale para todos los casos. Al menos en una empresa yo no lo aceptaría.
#49 La mayoría de empresas lo usan tal como viene y no configuran una mierda, al igual que la mayoría de usuarios domésticos.
#25 ijoder yo estoy eneso ahora, salte a la fibra y me siento indefenso. Solo se me ha ocurrido lo de pillar una vpn, pero en local me siento en bragas sin soltar pasta por un hierro gordo.
#24 decir que el fail2ban reemplazo al denyhosts que ya no se desarrolla. El primero lo encuentro mas difícil de configurar pero hay buenos tutoriales por ahí. Y si,da miedo la de veces que llaman a la puerta y que poner el ssh server en un puerto que no sea el 22 disminuye mucho la cantidad de intentos
#8 Los dos tipos son:
1: Los que llevan el arma cargada
2: Los que cavan

PD: Tú cavas.
#19 1. Los que soplan nucas
2. Los que muerden almohadas

Y creo que me he perdido con tanta alegoría
Buen aporte
"antiguamente" era posible tener tu miniservidor doméstico con ftp, ssh...yo estuve un tiempo con mi propio servidor de email.
Hoy en día la brasa que te pueden dar las arañas como te descubran un smtp abierto puede inutilizarte una conexión doméstica, y como tengas IP fija no te las sacas en días aunque cierres el puerto.

Internet da mucho asco ahora.
#3 Hombre hoy en día también puedes tenerlo en casa montado, yo lo tenia hasta el jueves que cambie de compañía, ahora toca que me saquen del CGNAT.
Conexiones SSH con key, SFTP en vez de FTP, usar bien la DMZ, si tienes expuesto el 80 y el 443, tenerlo con certificados validos como los que te proporciona let's encrypt....
#6 yo ya paso, me agobia tener la conexión petada de bichos probando cosas y llenándome el HD de logs, aunque no consigan entrar. Me agobia, no me relajo.
#3 #6 Otra opción consiste en canalizar todo a través de Tor, con servicios ocultos. Al menos te libras de abrir puertos en el router. Y ya puestos tienes la opción del DNAT, aunque eso te exige tener algún punto de apoyo en el exterior.
#11 De lo mas seguro, suele ser comprar un VPS minimo que sea el que exponga el 80 y el 443 a Internet y de ahi tunelizar con la VPN que mas te guste a tu casa, o directamente establecer una conexion VPN con tu casa.
#3 Hace 20/25 anyos lo mismo o peor. En un principio eran todo modems (pocos pero todos con una IP del mismo rango, solo telefonica), después con el ADSL, no habían routers, eran tarjetas PCI clavadas directamente al ordenador como puerto de red. Miles de puertos SMB abiertos solamente mirando tu IP publica y alrededores. Casi todo negocios compartiendo carpetas.

Ahora todo son teléfonos sin firewall con ADB, camara y micro.
Que poco hemos aprendido :shit: :troll: :ffu:
#12 el problema principal en mi experiencia (que como digo es de hace unos años) no es tanto que te entren como que se va conociendo cada vez más que tu IP (fija) sirve cosas, y acaban haciéndote un DDOS porque es realmente fácil petar un router doméstico a base de peticiones.
Con IP fija además mi experiencia es que recuerdan la IP por semanas así que de nada te sirve quitar el chiringuito.
#17 Son bots. No recuerdan. Guardan un listado de los puertos abiertos de cada IP.
En mi época, hace muchos. Si alguien me miraba puertos, tenia un script para devolverle la alegria.
Al menos devuelves el DOS (brevemente), le haces un scaneo completo y si es un pringao, le tumbas el router.

Si es muy pringao... varias veces al dia xD
#3 los servicios en local y tirar de VPN... Da gustico lo bien que va
Porno, porno, menéame, porno, porno, porno, Facebook, porno, porno, cuentas del banco, porno, porno, correo electrónico, porno...
#4 dos pornos mas al final y habria pensado que me espiabas >:-(
Interesante.
Para los que useis router Asus os recomiendo un firmware de terceros que se actualiza bastante mas que el oficial. asuswrt.lostrealm.ca/
#13 de terceros con el troyano ya incorporado? :troll:
#18 Aqui puedes ver el codigo fuente: github.com/RMerl/asuswrt-merlin.ng
#20 era broma :-)
Los que estamos dentro de un CGNAT estamos un poco más seguros
#14 si y en la práctica el principal vector de ataque es el PC cliente directamente más que el router, pero bueno, hay que vigilar todo.
#28 Primero, si no tienes un servidor ssh,telnet, correo, o cualquier otro servicio esperando conexiones externas y con puertos abiertos con eso valdría, que es además lo que andan buscando (esto puede incluir algunos virus que hacen eso precisamente, actúan como un servicio esperando conexiones). Tal como cuenta el artículo lo mas peligroso de que te entren el el router es que te cambien el DNS y te manden donde ellos quieren y no donde tú quieres cuando pones una URL (hay mas peligros…   » ver todo el comentario
#32 mil gracias por la aclaración. Muchas veces se crea una alerta tremenda con este tipo de noticias y a veces no es lo mismo que si te entra un ransomware, para eso sí que hay que ser cautos.
Eso sí, la mayoría de gente a corto medio plazo van a ser usuarios de móviles con router genéricos en casa,lo normal. En muchas ocasiones la operadora te cambia el password del router y tampoco puedes acceder.
SSH y telnet nadie usa,pero apps de correo de escritorio o móvil usamos todos.
Yo suelo cambiar siempre el pass o el nombre de la wifi a cosa s complejas pero siempre le doy menor importancia al User admin del router...
¿En que porcentaje entramos los que nos la suda?.
Para los que sabemos configurar lo justo de un rotuer, aparte de activar el firewall y cambiar el pass de admin,que más podemos hacer? Porque no puedes cambiar de router con Jazztel por ejemplo que te viene la fibra y todo configurando...
"Yo". "Mi ponencia" "La ponencia que haré" " Mi intención". Es un artículo sobre él o sobre seguridad informática? Start with why y vé al grano!
Interesante artículo
34 comentarios y nadie ha puesto 'pfsense'? Tiene una curva de aprendizaje un poco alta, pero es una pasada de router.

Es gratis y lo tiene todo. Ponedlo en cualquier pc y probad. Yo he limitado todas las conexiones entrantes de Asia.
#34 No es nada frecuente en una red doméstica tener un PC con dos tarjetas de red y dedicado como router.

Esos inventos son para situaciones muy específicas. Lo habitual es tener un router dedicado y punto.
comentarios cerrados

menéame