Synology: Como proteger tu router

2021-02-01

En este articulo veremos una serie de consejos y buenas prácticas parra proteger y configurar un router Synology (RT2600) y del mismo modo mantener nuestra red local protegida.

No soy un experto en redes, por eso, si lees algún error o si deseas hacer alguna contribución al artículo, será bienvenida

Ese articulo ha sido realizado sobre la versión SRM 1.2.4-8081 Update 1

Centro de Redes

Internet

  • DNS

    Configuro dos servidores DNS, si cae el primero tendró el segundo para continuar haciendo las peticiones. Como primario tengo el servidor de Cloudflare y como secundario el servidor de Quad9

Reenvió de puertos

  • DMZ

    Comprueba que la DMZ estó desactivado. Centro de redes > Reenvío de puertos > DMZ

Red Local

  • UPnP

    Comprueba que UPnP estó desactivado.

  • DoH

    Habilita el cifrado de las peticiones DNS sobre HHTPS (DoH), Centro de redes > Red local > General > Opciones avanzadas

    Puedes el servidor DoH de quad9 que está un poco más preocupado por tu privacidad que Google o Cloudflare. Por ejemplo

    Servidor DNS Quad9 DoH : https://dns.quad9.net/dns-query
    

    Tienes una lista de servidores DNS DoH públicos :

Control de tráfico

Algunos dispositivos tienen la mala costumbre de “intercambiar” información con los servidores del fabricante o servidores de terceros o que simplemente se venden con vulnerabilidades de seguridad como puede ser el caso de cámaras IP, impresoras, etc. Por todo ello puede ser útil prohibirles el acceso a Internet.

Para prohibir que un dispositivo se comunique con Internet, en mi ejemplo una cámara IP, desde Centro de redes > Control de tráfico > General hacemos clic sobre el icono del globo terráqueo tachado para activarlo. Ahora la cámara ya no puede comunicarse con el exterior ni recibir información.

Esto bloqueará toda la comunicación entre el dispositivo e Internet, por lo que tambión bloqueará las actualizaciones automáticas del dispositivo.

Seguridad

  • Protección DoS

    Activamos la protección DoS, Centro de redes > Seguridad > General

  • Bloqueo automático

    Bloque las direcciones IP con demasiados intentos de conexión fallidos y la dirección del bloqueo

Wifi

Red de invitados

Comprueba que la red local no sea accesible para los dispositivos que se conecten a la red de invitados.

Varios

Desactivar cuentas

Desactiva las cuentas de usuarios que no utilices pero ademas desactivaa la cuenta de admin y la cuenta de invitado

Actualizaciones

Comprueba de el router estó actualizado

Habilita la autenticación de dos factores

Activa la autenticación de dos factores

Acceso externo

Asegúrate de que el acceso remoto al router estó desactivado

SSH

si no vas a utilizar SSH deshabilitalo, y si lo utilizas no lo expongas a internet y cambiale el puerto por defecto, por ejemplo al 2121.

Threat Prevention

Por defecto SRM viene instalado con Safe Access pero yo prefiero sustituirlo con Threat Prevention, Mientras que Safe Access se basa en DNS e IP, Threat Prevention se basa en firmas, monitores el tráfico entrante y saliente mediante la inspección profunda de paquetes (DPI), no solo verificando el dominio o la IP

Espero que te haya gustado, pasa un buen día… 🐧

Referencia:

Ingrese la dirección de su instancia


Más publicaciones como esta

OpenWrt: Doble boot, OpenWrt y firmware original en router Linksys Wrt3200

2019-08-05 | #router #wrt3200

Los routers Linksys Wrt3200 disponen de un sistema flash de doble firmware, es decir, disponen de dos particiones independientes, de forma que cuando actualizamos el router, estas particiones se van actualizando de forma alterna. Podemos aprovechar esta cualidad para instalar en una partición OpenWrt y dejar en la otra el firmware original Seleccionamos con que firmware arrancar Simplemente hemos de instalar el complemento luci-app-advanced-reboot Despuós de la instalación tendremos una nueva opción en el menu Sistema llamada Advanced Reboot

Continuar leyendo 


OpenWrt: Desactivando peticiones ping

2018-09-06 | #router

Con este tweet, *@Dekkar*y nos daba un receta muy sencilla para mejorar la seguridad en nuestros routers. Una buena medida de seguridad, eficiente y sencilla, es desactivar la respuesta, a las peticiones ping desde Internet, de nuestro router. Como bien dice @macjosan en el hilo del tweet, “Los ping tienen el problema que pueden usarse para descubrir tu equipo para luego atacarlo. Tienen la ventaja que puedes poner un servicio que haga Ping para saber si tu equipo está online….

Continuar leyendo 