sábado, 11 de octubre de 2008

Seguridad en ADSL

Hace ya algún tiempo me encontré en una empresa algo que era, metafóricamente hablando, parecido a lo que vemos en la foto. Tenían una línea ADSL para salida a Internet y, como estaban muy preocupados por el tema de la seguridad, aconsejados por un proveedor decidieron contratar un firewall para situar detrás del router ADSL. Esto sería como si el dueño del jardín de la foto decidiera comprar una cadena y un candado para cerrar la puerta del jardín: inútil y absurdo a la vez. Digo esto porque al lado mismo del firewall tenían un punto de acceso Wifi protegido con una clave WEP de 128 bits…

En su tiempo, WEP proporcionaba una cierta seguridad en nuestras redes Wifi. Ahora, todo aprendiz de hacker y piltrafilla informático sabe que una clave WEP se crackea en cuestión de minutos (por Dios, he visto hasta un video en Youtube sobre cómo hacerlo!!!. El hackeo al alcance de todos). Dejadme decir, con algunas reservas, que poner un firewall detrás de un router ADSL que usa NAT y donde no hay mapeo de puertos a ningún host de la red es algo totalmente superfluo o, en el mejor de los casos, lo último que debemos hacer después de proteger debidamente los Hosts que hay dentro de la red. La seguridad se estructura por capas, como una cebolla, empezando por la de host (con firewall de host, antivirus/antispyware, etc.) y acabando por la perimetral. Luego, revisando constantemente todos los puntos. La seguridad no es un proyecto puntual, sino una forma de vida.

Las precauciones necesarias y suficientes para proteger un router ADSL típico son:

  • Activar el firewall del router para evitar ataques contra el mismo router. Entonces no hablamos de un firewall estrictamente, pues un firewall lo que hace es proteger lo que hay detrás de él dejando pasar el tráfico inocuo y frenando el maligno, no protegerse exclusivamente a sí mismo. Cuando hay NAT, el mismo NAT actúa de firewall. Lo que hace NAT es traducir o mapear la dirección interna de destino según la externa de origen. Puesto que no es capaz de redirigir conexiones entrantes si no sabe a qué host interno debe mandarlas, las bloquea. A no ser que tengamos configurado:
  • DMZ Host. La mayoría de routers tienen esta funcionalidad. Si hay tráfico entrante iniciado desde el exterior lo mandan a este host. En este caso es como si todos los puertos estuvieran dirigidos hacia este host, por lo que sí es imprescindible protegerlo. Yo uso esta funcionalidad para montar concentradores de VPN, como el Cisco ASA 5500. Claro que el ASA sabe cuidarse solito perfectamente…
  • Bloquear el ping en el interface WAN (suele estar como “Disable Anonymus internet requests”). Lo que no sabemos que existe no podemos atacarlo. También esto nos libraría de ataques DoS tipo Ping de la muerte (un ataque DoS, por otra parte, más erradicado que la Viruela).
  • Ponerle una contraseña fuerte al router. Jamás dejar la de defecto. El ABC de la seguridad informática es una buena contraseña.
  • Desactivar el acceso administrativo al router desde el puerto WAN y WIFI, puesto que son accesos vulnerables, o por lo menos difícilmente controlables.
  • Desactivar uPNP (Universal Plug and Play) en el router. Algunos programas peer to peer, juegos e incluso Messenger, usan este protocolo para reconfigurar el desvío de puertos del router hacia nuestro equipo. Una vez un puerto del equipo es visto desde Internet, ya es susceptible de ser atacado. En este caso sí tendría sentido tener el firewall: detener comunicaciones que vienen de fuera a dentro sin ser iniciadas desde dentro.

1 comentario:

  1. muy buena nota , tenia problemas con el svchost y me terminaba colgando las paginas.ya active la configuracion del nat y listo. me cambiaron el modem los de telefonica y aparecio el problema, gracias por la nota.

    ResponderEliminar