Blog personal donde guardo mis notas sobre tecnología

Synology: Como proteger tu router

Carlos M.

En este articulo veremos una serie de consejos y buenas prácticas parra proteger y configurar un router Synology (RT2600) y del mismo modo mantener nuestra red local protegida.

{{< admonition type=note title=“Nota” open=true >}} No soy un experto en redes, por eso, si lees algún error o si deseas hacer alguna contribución al artículo, será bienvenida {{< /admonition >}}

Ese articulo ha sido realizado sobre la versión SRM 1.2.4-8081 Update 1

Centro de Redes #

Internet #

  • DNS

    Configuro dos servidores DNS, si cae el primero tendré el segundo para continuar haciendo las peticiones. Como primario tengo el servidor de Cloudflare y como secundario el servidor de Quad9

Reenvió de puertos #

  • DMZ

    Comprueba que la DMZ esté desactivado. Centro de redes > Reenvío de puertos > DMZ

Red Local #

  • UPnP

    Comprueba que UPnP esté desactivado.

  • DoH

    Habilita el cifrado de las peticiones DNS sobre HHTPS (DoH), Centro de redes > Red local > General > Opciones avanzadas

    Puedes el servidor DoH de quad9 que está un poco más preocupado por tu privacidad que Google o Cloudflare. Por ejemplo

    Servidor DNS Quad9 DoH : https://dns.quad9.net/dns-query
    

    Tienes una lista de servidores DNS DoH públicos :

Control de tráfico #

Algunos dispositivos tienen la mala costumbre de “intercambiar” información con los servidores del fabricante o servidores de terceros o que simplemente se venden con vulnerabilidades de seguridad como puede ser el caso de cámaras IP, impresoras, etc. Por todo ello puede ser útil prohibirles el acceso a Internet.

Para prohibir que un dispositivo se comunique con Internet, en mi ejemplo una cámara IP, desde Centro de redes > Control de tráfico > General hacemos clic sobre el icono del globo terráqueo tachado para activarlo. Ahora la cámara ya no puede comunicarse con el exterior ni recibir información.

{{< admonition type=warning title=“Cuidado” open=true >}} Esto bloqueará toda la comunicación entre el dispositivo e Internet, por lo que también bloqueará las actualizaciones automáticas del dispositivo. {{< /admonition >}}

Seguridad #

  • Protección DoS

    Activamos la protección DoS, Centro de redes > Seguridad > General

  • Bloqueo automático

    Bloque las direcciones IP con demasiados intentos de conexión fallidos y la dirección del bloqueo

Wifi #

Red de invitados #

Comprueba que la red local no sea accesible para los dispositivos que se conecten a la red de invitados.

Varios #

Desactivar cuentas #

Desactiva las cuentas de usuarios que no utilices pero ademas desactivaa la cuenta de admin y la cuenta de invitado

Actualizaciones #

Comprueba de el router esté actualizado

Habilita la autenticación de dos factores #

Activa la autenticación de dos factores

Acceso externo #

Asegúrate de que el acceso remoto al router esté desactivado

SSH #

si no vas a utilizar SSH deshabilitalo, y si lo utilizas no lo expongas a internet y cambiale el puerto por defecto, por ejemplo al 2121.

Threat Prevention #

Por defecto SRM viene instalado con Safe Access pero yo prefiero sustituirlo con Threat Prevention, Mientras que Safe Access se basa en DNS e IP, Threat Prevention se basa en firmas, monitores el tráfico entrante y saliente mediante la inspección profunda de paquetes (DPI), no solo verificando el dominio o la IP

Espero que te haya gustado, pasa un buen día… 🐧

Referencia: #