Synology: Como proteger tu router

En este articulo veremos una serie de consejos y buenas prácticas parra proteger y configurar un router Synology (RT2600) y del mismo modo mantener nuestra red local protegida.

{{< admonition type=note title=“Nota” open=true >}} No soy un experto en redes, por eso, si lees algún error o si deseas hacer alguna contribución al artículo, será bienvenida {{< /admonition >}}

Ese articulo ha sido realizado sobre la versión SRM 1.2.4-8081 Update 1

Centro de Redes #

Internet #

• DNS

  Configuro dos servidores DNS, si cae el primero tendré el segundo para continuar haciendo las peticiones. Como primario tengo el servidor de Cloudflare y como secundario el servidor de Quad9

  

Reenvió de puertos #

• DMZ

  Comprueba que la DMZ esté desactivado. Centro de redes > Reenvío de puertos > DMZ

  

Red Local #

• UPnP

  Comprueba que UPnP esté desactivado.

  

• DoH

  Habilita el cifrado de las peticiones DNS sobre HHTPS (DoH), Centro de redes > Red local > General > Opciones avanzadas

  

  Puedes el servidor DoH de quad9 que está un poco más preocupado por tu privacidad que Google o Cloudflare. Por ejemplo

  Servidor DNS Quad9 DoH : https://dns.quad9.net/dns-query
  

  Tienes una lista de servidores DNS DoH públicos :

  • https://github.com/curl/curl/wiki/DNS-over-HTTPS#publicly-available-servers

Control de tráfico #

Algunos dispositivos tienen la mala costumbre de “intercambiar” información con los servidores del fabricante o servidores de terceros o que simplemente se venden con vulnerabilidades de seguridad como puede ser el caso de cámaras IP, impresoras, etc. Por todo ello puede ser útil prohibirles el acceso a Internet.

Para prohibir que un dispositivo se comunique con Internet, en mi ejemplo una cámara IP, desde Centro de redes > Control de tráfico > General hacemos clic sobre el icono del globo terráqueo tachado para activarlo. Ahora la cámara ya no puede comunicarse con el exterior ni recibir información.

{{< admonition type=warning title=“Cuidado” open=true >}} Esto bloqueará toda la comunicación entre el dispositivo e Internet, por lo que también bloqueará las actualizaciones automáticas del dispositivo. {{< /admonition >}}

Seguridad #

• Protección DoS

  Activamos la protección DoS, Centro de redes > Seguridad > General

  

• Bloqueo automático

  Bloque las direcciones IP con demasiados intentos de conexión fallidos y la dirección del bloqueo

  

Wifi #

Red de invitados #

Comprueba que la red local no sea accesible para los dispositivos que se conecten a la red de invitados.

Varios #

Desactivar cuentas #

Desactiva las cuentas de usuarios que no utilices pero ademas desactivaa la cuenta de admin y la cuenta de invitado

Actualizaciones #

Comprueba de el router esté actualizado

Habilita la autenticación de dos factores #

Activa la autenticación de dos factores

Acceso externo #

Asegúrate de que el acceso remoto al router esté desactivado

SSH #

si no vas a utilizar SSH deshabilitalo, y si lo utilizas no lo expongas a internet y cambiale el puerto por defecto, por ejemplo al 2121.

Threat Prevention #

Por defecto SRM viene instalado con Safe Access pero yo prefiero sustituirlo con Threat Prevention, Mientras que Safe Access se basa en DNS e IP, Threat Prevention se basa en firmas, monitores el tráfico entrante y saliente mediante la inspección profunda de paquetes (DPI), no solo verificando el dominio o la IP

Espero que te haya gustado, pasa un buen día… 🐧

Referencia: #

• https://www.nas-forum.com/forum/topic/62641-tuto-s%C3%A9curiser-et-param%C3%A9trer-son-routeur-synology/
• https://mariushosting.com/synology-difference-between-safe-access-and-threat-prevention/