Esteu aquí

Recomanacions de configuració del router domèstic

Autor: Francesc Rovirosa - 28 oct. 2012 - Universitat Oberta de Catalunya


Recomanacions

En aquesta segona secció, s’ofereix una sèrie de recomanacions bàsiques amb la finalitat de protegir el router i la xarxa local de la llar, per reduir els riscos i amenaces més comuns que s’han presentat. Les mesures i controls suggerits pretenen arribar a un compromís entre seguretat i facilitat d’ús, accessibles per a usuaris sense coneixements tècnics de seguretat avançats.

És recomanable que tingueu sempre el manual de configuració del vostre router a ma, amb la finalitat de poder complimentar les accions recomanades en aquesta secció pel vostre model de router. Normalment, aquest manual es pot descarregar de la web oficial del fabricant o del proveïdor que el distribueix.

Canviar contrasenya d’administració del router.

Per facilitar la tasca de gestió i d’administració inicial, els proveïdors d’accés a Internet que distribueixen i proporcionen els dispositius de tipus router configuren contrasenyes d’accés senzilles i conegudes per a tots els dispositius d’un mateix model, el que es coneix com a credencials per defecte.

Per evitar que qualsevol que es connecti a la xarxa local (o fins i tot des d’Internet en el pitjor dels casos) pugui canviar la configuració del router és important modificar les credencials d’accés per defecte, necessàries per accedir a la configuració i gestió del dispositiu.

El procediment per canviar les contrasenyes és molt similar a la majoria de models, encara que la interfície de configuració pot ser diferent.

El primer pas és connectar-se al router des de l’or-dinador, accedint amb un navegador web a l’adreça IP de la passarel·la (el mateix router, en aquest cas). Normalment és 192.168.0.1 o 192.168.1.1, però podem saber-ho exactament de diverses formes:

  • Executant el comandament "ipconfig" en la línia de comandaments (Inici -> Executar -> cmd).
  • En els detalls de l’Estat de la connexió:
    • Windows XP: accessible des del menú contextual (botó dret) de la icona corresponent de la safata del sistema, opció "Estat", pestanya "Suport".
    • Windows Vista i 7: des del "Centre de xarxes i recursos compartits", prement sobre la xarxa corresponent (Connexió d’àrea local o el nom de la xarxa sense fils). A la pàgina de "Detalls" es pot veure la Porta d’Enllaç Predeterminada.

Una vegada coneguda l’adreça IP de la passarel·la, cal connectar-s’hi des d’un navegador web, posant-la a la barra d’adreces web.
Apareixerà una interfície web que ens sol·licitarà un nom d’usuari i contrasenya. Les credencials més co-munes són:

  • Usuari: admin; Contrasenya: admin
  • Usuari: admin; Contrasenya: 1234
  • Usuari: 1234; Contrasenya: 1234

Aquesta pàgina web manté una més que considerable llista dels usuaris i contrasenyes per defecte dels diferents models i fabricants de routers.

Una vegada accedim a la interfície de configuració, normalment al menú hauria d’estar visible l’opció "Administració del router" o similar. El manual del router ha d’incloure instruccions per canviar la contrasenya d’administració. No obstant això, si no s’hi té accés, és possible consultar a la xarxa diferents tutorials per a models concrets de router. Podeu trobar molta informació a la Web de Zona ADSL.

Actualitzar firmware del router.

Com qualsevol sistema complex, existeix una alta probabilitat que el codi desenvolupat pel dispositiu firmware(el programari que s’emmagatzema i s’executa en el router, i que li permet realitzar les seves funcions) tingui errors que acabin en vulnerabilitats conegudes, que poden ser utilitzades per tercers amb finalitats malicioses.

Quan els fabricants reben notificacions d’aquestes vulnerabilitats, el procediment habitual és que solucionin els problemes coneguts de seguretat mitjançant la publicació d’actualitzacions del firmware.

Per tant, és important mantenir el nostre router actualitzat, perquè, a més, aquestes actualitzacions de firmware milloren l’estabilitat de les funcions internes i, fins i tot, n’afegeixen de noves.

Alguns proveïdors d’accés a la xarxa presten el servei d’actualitzar el firmware del router proporcionat de forma remota. En aquest cas, és possible que utilitzin les credencials per defecte per accedir al dispositiu remotament, de manera que si canviem la contrasenya de configuració no podran realitzar l’actualització. És recomanable, doncs, consultar amb el suport tècnic del proveïdor si efectivament és així, i assegurar-se
que aquest accés remot està correctament protegit.

Les actualitzacions indicades es publiquen habitualment a les pàgines web oficials del fabricant, encara que poden ser personalitzades pels proveïdors d’accés amb la configuració per defecte correcta amb la finalitat que es connectin automàticament a la seva xarxa de serveis. Normalment, el fabricant ofereix versions més actualitzades, però l’usuari hauria de configurar els paràmetres adequats per accedir als serveis del seu proveïdor. En qualsevol cas, mai no s’ha de descarregar el firmware d’una pàgina diferent a les oficials del fabricant o proveïdor d’accés.

La instal·lació de noves versions del firmware es pot fer des de la mateixa interfície web d’administració del router, a la qual s’hi accedeix com igual que pel canvi de la contrasenya. Les opcions més comunes sota les quals es pot trobar aquesta funcionalitat són: "Management", "Tools", "System", "Administration" → "Update software", "Update firmware", "Firmware upgrade".
Actualitzar de forma incorrecta el firmwarepot produir la pèrdua del dispositiu router, per la qual cosa cal comprovar el procediment adequat per realitzar la seva actualització de forma segura, i saber què s’ha de fer en cas de fallida.

Activar tallafocs del router.

L’opció de tallafocs, normalment inclosa a les funcions bàsiques del router, ens pot servir per protegir la nostra xarxa local i el mateix router. No s’ha de confondre amb el tallafocs personal que està instal·lat a la nostra màquina, a nivell d’aplicació o sistema operatiu.

El tallafocs de xarxa (perimetral en aquest cas) té l’ob-jectiu d’impedir que les connexions no autoritzades que vinguin d’Internet no puguin accedir directament a les màquines o serveis de la nostra xarxa interna. Això protegeix els ordinadors, recursos compartits, impressores i altres dispositius que no tinguin mesures de seguretat addicionals per controlar-ne l’ús.

Per activar-lo caldrà buscar l’opció "Enable firewall" o "IP filtering" a la interfície web de configuració.

Configurar gestió remota.

De la mateixa manera que l’usuari pot accedir a la configuració del routera través d’un navegador web, sense necessitat d’estar físicament connectat al router, un atacant podria entrar a la configuració de forma remota si coneix (o endevina) el nom d’usuari i contrasenya (si no hem modificat la contrasenya per defecte i coneguda pel model de router).

La majoria de routers tenen l’opció per desactivar la gestió remota des d’Internet, limitant la possibilitat d’accedir-hi des de remot i fent que només sigui possible si estàs connectat a la xarxa local, xarxa amb un nivell més alt d’accés i supervisió.

Una altra opció interessant és desactivar l’accés a la configuració mitjançant xarxa sense fils. Així, serà necessari connectar-se físicament amb un cable de xarxa per poder canviar els paràmetres del router, cosa que implica una major seguretat en el cas que un intrús comprometi l’accés per la xarxa sense fils (WiFi).

Finalment, igual que en les connexions a llocs d’accés més compromesos, com ara els bancs, és recomanable utilitzar connexió xifrada per a la gestió, per impedir que altres usuaris de la xarxa puguin capturar el tràfic i, possiblement, les credencials d’accés al router. En alguns models hi ha l’opció que la interfície de configuració només permeti accedir-hi a través de HTTPS/SSL. És recomanable activar-la.

Desactivar funcionalitats no utilitzades.

Un principi bàsic en la securització de sistemes és desactivar tot allò que sabem que no s’utilitza. D’aquesta manera reduïm la "superfície d’exposició" davant de possibles vulnerabilitats i atacs.

En els routers moderns hi ha multitud de funcionalitats que un usuari mitjà no necessita. Alguns exemples co-muns són:

  • Xarxa sensefils: és molt recomanable desactivar la xarxa sense fils si no l’utilitzem. Normalment, si no s’utilitza tampoc es configura la seguretat de forma correcta, i pot permetre que un usuari desconegut es connecti a la nostra xarxa local de forma il·legítima.
  • UPnP (Universal Plug and Play): és un conjunt de protocols per facilitar la interconnexió de diferents tipus. Les dues aplicacions més habituals en una xarxa de llar són dos:
    • Gestió automàtica de l’obertura de ports en el router, per a aplicacions com P2P i jocs en línia.
    • Streaming de contingut multimèdia entre dispositius compatibles (ordinador, TV, videoconsola o altres dispositius). En molts d’aquests dispositius s’utilitza la terminologia "compatibles amb DLNA".

    Si no s’utilitzen cap d’aquestes dues funcionali-tats, és recomanable desactivar el suport de UPnP, ja que pot facilitar un atac si es combina amb altres debilitats, o ser aprofitat per un troià per obrir una porta d’accés no controlada cap a la nostra xarxa en el tallafocs del router.

  • DMZ (de-militarized zone o zona desmilitaritzada): aquesta funcionalitat permet indicar-li al router una adreça IP interna (per exemple, la del nostre ordinador personal) a la qual reenviar totes les connexions que s’hagin iniciat des d’Internet, saltant-se la funcionalitat del tallafocs. És com si l’ordinador designat com "DMZ" estigués exposat directament a Internet.
  • Protocols d’enrutament dinàmic (RIP, BGP, ...): aquests protocols s’utilitzen perquè els routers puguin comunicar-se entre ells les diferents xarxes i dispositius als quals tenen accés, permetent una configuració dinàmica de les rutes per als paquets. Això és bàsic en la infraestructura d’Internet, però no és necessari en el cas d’un accés residencial (al domicili), ja que la porta d’enllaç des del router cap a Internet normalment és única i es configura mitjançant altres protocols.
  • SNMP: aquest protocol estàndard serveix per accedir a informació de gestió i modificar la configuració de dispositius a través de la xarxa. No és necessari tenir-lo activat perquè utilitzem la interfície web.

Configurar la seguretat de la xarxa sense fils

La configuració de la xarxa sense fils és potser l’aspecte més important a l’hora de securitzar una xarxa local. A més dels riscos obvis d’ús indegut de la xarxa, les amenaces a les quals estan subjectes les màquines connectades a ella són molt més perilloses si l’atacant hi ha entrat..

Un problema afegit és que alguns dels protocols de xifrat més utilitzats en les primeres xarxes sense fils (WEP) s’ha aconseguit trencar, fent totalment ineficaç l’ús d’aquest protocol de xifrat a la pràctica, ja que es possible obtenir la clau d’accés en minuts (o fins i tot segons).

Més recentment, davant la popularització de l’ús d’algorismes més robustos com WPA per defecte, la gran debilitat de les xarxes sense fils ve pel descobriment dels algoritmes utilitzats pels fabricants i proveïdors d’accés per generar la clau d’accés establerta per defecte. Això permet, a partir de dades accessibles sense necessitat de connectarse a la xarxa, deduir la contrasenya de la xarxa wifi. Els casos més recents coneguts són els de les xarxes WLAN_XXXX de Mo-vistar i JAZZTEL_XXXX de Jazztel. Veieu la entrada del bloc de seguretat de la UOC.

La configuració segura de xarxes sense fils és un tema molt ampli, però podem oferir unes recomanacions bàsiques:

  1. Canviar la contrasenya establerta per defecte pel fabricant.
  2. Utilitzar xifrat WPA2 amb contrasenya robusta (llarga, amb majúscules, minúscules, símbols). Si algun dispositiu de la xarxa no el suporta, utilitzar com a mínim WPA, però en cap cas WEP.
  3. Canviar el nom de la xarxa sense fils (SSID). Això fa que sigui més difícil per a un atacant conèixer la informació necessària per intentar introduir-se a la xarxa. No és recomanable, per motius de privaci-tat, posar informació personal del propietari de la xarxa (nom, cognoms, etc.)
  4. És possible amagar la difusió d’SSID, cosa que evita que el router estigui enviant constantment paquets "sonda" (beacons) per anunciar l’existència de la xarxa a qualsevol que estigui escoltant.
    Això obliga a configurar manualment el nom de la xarxa en cada dispositiu que es vulgui connectar. No és una mesura de seguretat robusta contra un atacant expert i amb un objectiu específic, però pot fer més difícil la detecció de la xarxa per part d’algú sense coneixements o que només es troba a l’abast del router ocasionalment. La contrapartida és que els ordinadors configurats per connectar-se a aquesta xarxa són els que realitzen la difusió de la seva intenció de connectar a l’SSID, no només a casa sinó en qualsevol lloc on es trobin. Això pot ser aprofitat per intentar suplantar la xarxa original i poder així interceptar les comunicacions d’aquesta màquina. Per tant, és recomanable sobretot per a xarxes en les quals els dispositius són fixes, més que per aquelles en les quals hi ha portàtils.
  5. El filtratge per adreça física (MAC) és una altra mesura de seguretat addicional que pot ajudar a aturar o retardar a atacants sense molts coneixements, però no serveix de massa contra un atacant avançat. Té la contrapartida que cada vegada que es vulgui connectar un nou dispositiu cal saber l’adreça MAC i afegir-la manualment a la llista. Alguns dispositius implementen un mecanisme per afegir adreces MAC permeses mitjançant la pulsació d’un botó físic al router, de manera que aquesta tasca se simplifica.
  6. Totes aquestes opcions, com és habitual, són accessibles a través de la interfície web de configuració del router. Normalment hi ha un apartat específic per configurar els paràmetres de seguretat de la xarxa sense fils (Wireless Security).

Configurar direccionament IP (DHCP o estàtic)

Per defecte, la majoria de routers de la llar té activat el servei DHCP. Aquest protocol permet que el router assigni les adreces IP de forma automàtica als clients que s’hi connectin, ja sigui via sense fils o amb cable.

Això facilita en gran manera la connexió de nous dispositius, però també facilita la connexió a la xarxa als atacants que aconsegueixin saltar-se altres mesures de seguretat (físiques o lògiques).

Desactivar el DHCP pot ser lleugerament més segur, encara que no suposa una mesura de seguretat massa robusta. No obstant això, pot despistar als intrusos amb menys experiència.

Si decidim fer servir DHCP per la seva comoditat, és recomanable limitar el rang d’adreces assignables al nombre de dispositius que volem connectar. D’aquesta manera, si tots els equips estan connectats, el servidor DHCP no podrà assignar més adreces IP.

Si es fa servir adreçament estàtic, és recomanable canviar el rang d’adreces de la xarxa privada. El que solen portar els routers configurats per defecte són 192.168.0.x o 192.168.1.x. Podem configurar un rang 192.168.x. x, o qualsevol dins dels rangs d’adreces privades definits per IANA, com ara 10.x.x.x o 172.16.x.x, de tal manera que serà més difícil per a un intrús accedir a la xarxa a nivell lògic (però en cap cas impossible).

Aquestes opcions són accessibles normalment al menú "LAN" de la configuració del router. És possible que la configuració del DHCP tingui una secció independent.

Altres recomanacions

En aquest apartat s’inclouen algunes recomanacions de seguretat addicionals, l’aplicació de les quals dependrà del grau de seguretat respecte de la comoditat que desitgi l’usuari, o de les circumstàncies concretes de cada cas.

Apagar el router quan no s’utilitzi la connexió:

Aquesta és la forma més segura d’evitar intrusos a la nostra xarxa, ja que limita molt la finestra de temps en què es poden realitzar atacs.

Apagar l’ordinador quan no s’utilitzi:

A més dels beneficis per al medi ambient i la factura elèctrica, l’accés als recursos compartits i a la màquina es redueix a la finestra de temps en què l’estem utilitzant.

Reduir la potència de la xarxa sense fils:

En la configuració avançada de molts routers és possible modificar la potència d’emissió de la xarxa sense fils. Aquest paràmetre normalment està configurat al seu valor màxim, per obtenir una cobertura més àmplia. En entorns reduïts, si els ordinadors es troben a prop del routersense fils, pot ser recomanable reduir la potència d’emissió. Això limita l’àrea des de la qual s’hi pot connectar i per tant en redueix l’exposició a atacs.

Seguretat física del router:

Això és aplicable a routers instal·lats en zones d’accés comú, ja que si un intrús entra dins de casa, l’accés a la nostra xarxa és un problema menor. Un exemple són routers sense fils situats a la teulada o a l’exterior. En aquests casos és necessari protegir-los de les inclemències del temps, però també d’una manipulació per part d’altres persones.