Guia de securitzaci de router per a la llar

[S02] Guies de seguretat TIC.

El contingut de la present guia s titularitat de la Fundaci Centre de Seguretat de la Informaci de Catalunya i resta subjecta a la llicncia de Creative Commons BYNC-ND. Lautoria de lobra es reconeixer mitjanant la inclusi de la segent menci:

Respecte daquesta llicncia caldr tenir en compte el segent:

Modificaci: Qualsevol de les condicions de la present llicncia podr ser modificada si vost disposa de permisos del titular dels drets.

Altres drets: En cap cas els segents drets restaran Obra titularitat de la Fundaci Centre de Seguretat de la Informaci de Catalunya. Llicenciada sota la llicncia CC BY-NC-ND. La present guia es publica sense cap garantia especfica sobre el contingut. Els drets del titular sobre els logos, marques o qualsevol altre element de propietat intellectual o industrial incls a les guies. Es permet tan sols ls daquests elements per a exercir els drets recone2

afectats per la present llicncia:.

guts a la llicncia. Els drets morals de lautor. Lesmentada llicncia t les segents particularitats: Vost s lliure de: Els drets que altres persones poden tenir sobre el contingut o respecte de com sempra la obra, tals com drets de publicitat o de privacitat. Copiar, distribuir i comunicar pblicament la obra. Avs: En reutilitzar o distribuir la obra, cal que sesmenSota les condicions segents: tin clarament els termes de la llicncia daquesta obra.

Reconeixement: Sha de reconixer lautoria de la obra de la manera especificada per lautor o el llicenciador (en tot cas no de manera que suggereixi que gaudeix del seu suport o que dona suport a la seva obra).

El text complert de la llicncia pot ser consultat a http://creativecommons.org/licenses/by-ncnd/3.0/es/legalcode.ca.

No comercial: No es pot emprar aquesta obra per a finalitats comercials o promocionals.

Sense obres derivades: No es pot alterar, transformar o generar una obra derivada a partir daquesta obra.

Guia de securitzaci de router per a la llar

Qui fem aquesta guia

El Centre de Seguretat de la Informaci de Catalunya, CESICAT, s lorganisme executor del Pla nacional dimpuls de la seguretat TIC aprovat pel govern de la Generalitat de Catalunya el 17 de mar de 2009. La missi daquest pla s la de garantir una Societat de la Informaci Segura Catalana per a tots. Amb aquesta finalitat, es crea el CESICAT com a eina per a la generaci dun teixit empresarial catal daplicacions i serveis de seguretat TIC que sigui referent nacional i internacional. El Pla nacional dimpuls de la seguretat TIC a Catalunya sestructura al voltant de quatre objectius estratgics principals que seran desenvolupats pel CESICAT: Executar lestratgia nacional de seguretat TIC establerta pel Govern de la Generalitat de Catalunya Donar suport a la protecci de les infraestructures crtiques TIC nacionals Promocionar un teixit empresarial catal slid en seguretat TIC Incrementar la confiana i protecci de la ciutadania catalana en la societat de la informaci. La forma jurdica del CESICAT s la de fundaci del sector pblic de ladministraci de la Generalitat. Amb lobjectiu de proporcionar unes bones prctiques i uns coneixements mnims en seguretat de la informaci, el CESICAT ofereix com a servei preventiu un conjunt de guies de seguretat adreades a ciutadans, empreses, administracions pbliques i universitats. www.cesicat.cat

ndex temtic
Llicncia ds Qui fem aquesta guia Aquesta guia, per a qui s? Riscos i amenaces Des dInternet (remot) A la nostra xarxa local Recomanacions Revisi
4

Conclusions Glossari Referncies i enllaos web

Guia de securitzaci de router per a la llar

I aquesta guia, per a qui s?

Aquesta guia est adreada a usuaris particulars que gestionen un o ms dispositius connectats a la xarxa Internet a travs dun dispositiu de tipus router ADSL per a la llar.

A ms dels ordinadors, cada vegada sn ms els dispositius electrnics presents a la nostra llar que tenen la capacitat de connectar-se en xarxa local, o amb accs a Internet: telfons mbils, videoconsoles, televisors, reproductors multimdia, sistemes de domtica ... Per aquest motiu, gaireb tothom t una xarxa local a la llar, cablejada o sense fil, amb diversos equips connectats a Internet a travs dun dispositiu de gesti de xarxa com s un router.
5

Abast de la guia
En aquest document es proporcionen continguts orientats a persones que no tenen coneixements avanats dinformtica, o de seguretat de la informaci. Les recomanacions que shi troben sn aplicables a usuaris que administrin la seva xarxa local i tinguin accs dadministraci del seu router.

Aquesta guia no pretn ser exhaustiva, ni cobrir totes les mesures i funcionalitats de seguretat possibles. En canvi, cobreix les mesures de seguretat ms bsiques i que des de CESICAT es consideren imprescindibles per a aquest tipus descenari. s impossible contemplar tots i cadascun dels casos possibles ds, per lobjectiu s proporcionar la informaci suficient perqu lusuari pugui decidir quina s la millor configuraci per al seu entorn.

Les recomanacions sn aplicables a la majoria de routers del mercat destinats a les llars, distributs per la majoria doperadors de telecomunicacions dEspanya.

Aspectes legals i normatius

Conv tenir presents alguns aspectes legals relacionats amb ls del router ADSL de qu disposem com a usuaris per a la connexi a Internet a la llar: La configuraci de seguretat del router fa que puguem garantir, en la mesura del possible, que ls daquell dispositiu s segur per a la informaci que gestionem. Si alg acceds al nostre router de la llar amb permisos suficients podria manipular el dispositiu per conixer, recollir i disposar de tota la nostra informaci (amb les conseqncies que aix podria implicar si fem servir aplicacions com el comer electrnic, la banca on-line, etc.). La configuraci de seguretat del router tamb
6

Especialment en aquest ltim cas, la configuraci inicial vindr definida per defecte per lISP, i la modificaci de la configuraci per part de lusuari pot estar limitada per les condicions del servei. Caldr, doncs, demanar a lISP que garanteixi per contracte una configuraci segura pel dispositiu o que ofereixi a lusuari les eines per poder procedir a la seva configuraci.

En cas que lequipament sigui propietat de lusuari i que aquest modifiqui els seus parmetres, loperador pot limitar el suport proporcionat al client aix com la seva responsabilitat davant dincidncies en el servei i, per tant, caldr ser curs amb les condicions de servei que acceptem.

busca evitar la manipulaci daquest dispositiu per ser utilitzat en activitats illcites o illegtimes. Cal tenir en compte que una persona que disposi de permisos suficients pot emprar el nostre router sense el nostre coneixement i intervenci per realitzar activitats illcites a la xarxa. El greu perjudici per al titular del router s que ladrea IP que apareixeria en cas que latac fos investigat seria la del seu router. Aquesta qesti implicaria, dentrada, molsties i despeses en veures implicat eventualment en la comissi dalguna infracci.

Cal tenir en compte que el nostre router de la llar no deixa de ser un dispositiu capa de gestionar trfic a Internet i que ens identifica a la xarxa i, per tant, cal configurar-lo de forma segura.

Per tal de gestionar correctament aquesta configuraci, cal tenir en compte que lequip pot ser proporcionat per lusuari o pel propi provedor daccs a Internet (ISP), ja sigui en modalitat de venda o cessi/lloguer.

Guia de securitzaci de router per a la llar

Riscos i amenaces Riscos

En aquest primer apartat sexposen els riscos associats a la utilitzaci de la connexi a Internet a travs duna xarxa local dusuari, ja sigui cablejada o sense fil.

s no autoritzat de recursos i accions illcites des de la nostra xarxa

Amb la proliferaci ds de les xarxes sense fils a la llar, el principal risc que veu lusuari s ls no autoritzat dels diferents recursos de xarxa per part de tercers. Segons lEstudio sobre la seguridad de las comunicaciones inalmbricas en los hogares espaoles dINTECO, el 8,7% dels usuaris declara utilitzar ocasionalment xarxes daltres particulars. Tenint en compte que gaireb un ter dels usuaris utilitzen una configuraci del xifrat del trfic fcilment trencable (per exemple, WEP), i que un quart desconeix el sistema de configuraci de xifrat de la seva xarxa, seria interessant conixer quina part daquest 8,7% est utilitzant les xarxes daltres usuaris sense el seu perms.
7

En moltes ocasions no es dna importncia a aquest s illegtim, sempre que no perjudiqui directament ls de lusuari que paga pel servei (veure apartat 4.1.3). No obstant aix, com sindica a la secci 0 dAspectes legals i normatius, aquests recursos poden ser utilitzats per dur a terme activitats illcites, amb el perjudici que pot ocasionar aix al seu propietari.

Fuita o robatori dinformaci

Un altre risc important s la possible fuita o robatori de dades de carcter personal o privat. Si la xarxa no est correctament configurada, alg podria accedir remotament a informaci que inici-

alment est destinada a ser compartida internament per usuaris autoritzats a la xarxa, com per exemple: Arxius compartits (fotos, vdeos, documents, etc) Converses privades, activitat a Internet.

o no) pot visualitzar la informaci que senvi per la xarxa, encara que no vagi adreada a la seva mquina.

Cada cop ms, els sistemes i els protocols de nivell daplicaci incorporen mesures addicionals de segu-

Denegaci de servei
La denegaci de servei s la possibilitat que lusuari legtim es vegi privat de ls de la seva prpia xarxa i/o la seva connexi a Internet. Aquest risc pot ser a causa de: Esgotament de lamplada de banda de xarxa de la nostra xarxa local, per usuaris no autoritzats, mitjanant ls de programes P2P o similars. Modificaci de la configuraci del router mitjanant laccs al mateix amb credencials
8

retat, com ara controls daccs o xifrat, amb la finalitat de contrarestar aquest tipus damenaces. No obstant aix, no sempre sn aplicables totes les mesures de seguretat desitjables (especialment si a les comunicacions hi ha implicats dispositius especfics, com TVs o reproductors multimdia).

En qualsevol cas, el paradigma recomanat de defensa en profunditat implica implementar diverses capes de seguretat, tenint en compte que cadascuna per s sola pot arribar a fallar.

Explotaci de possibles vulnerabilitats que poden generar denegaci de servei.

Amenaces
En aquesta secci es detallen les principals amenaces que podrien arribar a materialitzar els riscos exposats a la secci anterior. s a dir, sn els mecanismes que permetrien dur a terme les accions malicioses.

Accessos no autoritzats
En aquesta categoria sinclouen atacs perpetrats per una persona de manera directa i individual contra un ordinador. De vegades pot haver-hi tcniques de hacking avanat, per la realitat demostra que la majoria de vegades es produeix a causa d errors de configuraci dels mateixos usuaris, que permeten laccs sense necessitat que latacant tingui alts coneixements tcnics.

Intercepci de trfic
Aquesta amenaa s especialment rellevant, per la seva arquitectura, en xarxes de tipus sense fil (WiFi), per tamb s possible en xarxes cablejades.

Des dInternet (remot)

Accs a recursos compartits, o serveis accessibles des de remot, si no tenim tancats els ports en el router. Accs a la configuraci del mateix router i daltres dispositius interns de la nostra xarxa.

El tipus de medi fsic utilitzat a les xarxes sense fils (WiFi) permet que tots els paquets transmesos per la xarxa arribin fsicament a qualsevol punt que estigui connectat. La intercepci de trfic de xarxa en aquests casos s relativament trivial, i qualsevol usuari (legtim

Guia de securitzaci de router per a la llar

A la nostra xarxa local

Aquesta guia no pretn abastar els casos de xarxes locals ds pblic com ara cibercafs, biblioteques o daltres. No obstant aix, en ocasions es pot donar el cas que permetem laccs a la nostra xarxa local a usuaris convidats, que no haurien de tenir visibilitat total de tots els recursos.

figurat al servei DHCP, o de forma manual a les mquines associades a la nostra xarxa. Infectant la mquina de lusuari i modificant la memria cau DNS local (fitxer hosts).

Cucs de router
Els dispositius de router utilitzats habitualment per a la llar sn sistemes relativament complexos, amb ms

Pharming
El pharming s un atac basat en la manipulaci del servei de resoluci de noms (DNS) que utilitza lordinador de lusuari amb la finalitat de traduir els noms de domini (el que escrivim a la barra dadreces del navegador) a adreces IP (lidentificador unvoc que sutilitza per fer arribar un paquet dinformaci al seu dest a Internet). Si un atacant aconsegueix fer creure a la nostra mquina que les peticions cap al nom de domini legtim www.mibanco.com shan dadrear a una adrea IP que ell controla, diferent de ladrea IP autntica, pot utilitzar-ho per enganyar lusuari i fer-li creure que est accedint a la pgina real. Aix facilita els atacs de phishing que pretenen obtenir les credencials daccs a un servei per suplantar la identitat de lusuari.

dun servei per defecte a lescolta. Com qualsevol servei/sistema, poden tenir associades vulnerabilitats conegudes o configuracions incorrectes que poden ser aprofitades amb la finalitat de modificar i controlar el seu comportament.

Quan les vulnerabilitats poden ser explotades des dInternet de forma automatitzada, s possible que es cren cucs (programa malicis amb funcionalitats dautopropagaci) que les aprofitin. Encara que no sen coneixen massa casos, hi ha documentaci disponible a la xarxa de casos reals, botnets basades en routers per a casa.1,2
9

Hi ha diverses formes de dur a terme aquest tipus datacs [5] : Modificant ladrea dels servidors de resoluci de DNS a la configuraci del router, servei de DHCP. Si sutilitza servei DHCP a la nostra xarxa local amb la finalitat que ladreament IP de la xarxa sassigni i gestioni de forma automtica, aquests servidors DNS maliciosos es difondran de forma automtica a totes les mquines de la xarxa. Enverinant servidors DNS legtims, com pot ser el mateix router sempre que sutilitzi i estigui con1 http://www.zdnet.com/blog/btl/psyb0t-worm-infects-linksys-netgear-home-routers-modems/15197 2 http://isc.sans.edu/diary.html?storyid=4175

Recomanacions
En aquesta segona secci, sofereix una srie de recomanacions bsiques amb la finalitat de protegir el router i la xarxa local de la llar, per reduir els riscos i amenaces ms comuns que shan presentat. Les mesures i controls suggerits pretenen arribar a un comproms entre seguretat i facilitat ds, accessibles per a usuaris sense coneixements tcnics de seguretat avanats.

El procediment per canviar les contrasenyes s molt similar a la majoria de models, encara que la interfcie de configuraci pot ser diferent.

El primer pas s connectar-se al router des de lordinador, accedint amb un navegador web a ladrea IP de la passarella (el mateix router, en aquest cas). Normalment s 192.168.0.1 o 192.168.1.1, per podem saber-ho exactament de diverses formes: Executant el comandament ipconfig en la lnia de comandaments (Inici -> Executar -> cmd).

s recomanable que tingueu el manual de configuraci del vostre router disponible, amb la finalitat de poder complimentar les accions recomanades en aques10

En els detalls de lEstat de la connexi: Windows XP: accessible des del men contextual (bot dret) de la icona corresponent de la safata del sistema, opci Estat, pestanya Suport. Windows Vista i 7: des del Centre de xarxes

ta secci pel vostre model de router. Normalment, aquest manual es pot descarregar de la web oficial del fabricant o del provedor que el distribueix.

Canviar contrasenya dadministraci del router

Per facilitar la tasca de gesti i dadministraci inicial, els provedors daccs a Internet que distribueixen i proporcionen els dispositius de tipus router configuren contrasenyes daccs senzilles i conegudes per a tots els dispositius dun mateix model, el que es coneix com a credencials per defecte.

i recursos compartits, prement sobre la xarxa corresponent (Connexi drea local o el nom de la xarxa sense fils). A la pgina de Detalls es pot veure la Porta dEnlla Predeterminada.

Una vegada coneguda ladrea IP de la passarella, cal connectar-shi des dun navegador web, posant-la a la barra dadreces web. Apareixer una interfcie web que ens sollicitar un

Per evitar que qualsevol que es connecti a la xarxa local (o fins i tot des dInternet en el pitjor dels casos) pugui canviar la configuraci del router s important modificar les credencials daccs per defecte, necessries per accedir a la configuraci i gesti del dispositiu.

nom dusuari i contrasenya. Les credencials ms comunes sn: Usuari: admin; Contrasenya: admin Usuari: admin; Contrasenya: 1234 Usuari: 1234; Contrasenya: 1234

Guia de securitzaci de router per a la llar

Una vegada accedim a la interfcie de configuraci, normalment al men hauria destar visible lopci Administraci del router o similar.

recomanable, doncs, consultar amb el suport tcnic del provedor si efectivament s aix, i assegurar-se que aquest accs remot est correctament protegit.

El manual del router ha dincloure instruccions per canviar la contrasenya dadministraci. No obstant aix, si no shi t accs, s possible consultar a la xarxa diferents tutorials per a models concrets de router ([6] [7] [8] [9] ).

Les actualitzacions indicades es publiquen habitualment a les pgines web oficials del fabricant, encara que poden ser personalitzades pels provedors daccs amb la configuraci per defecte correcta amb la finalitat que es connectin automticament a la seva xarxa de serveis. Normalment, el fabricant ofereix ver-

Actualitzar firmware del router

Com qualsevol sistema complex, existeix una alta probabilitat que el codi desenvolupat pel dispositiu firmware (el programari que semmagatzema i sexecuta en el router, i que li permet realitzar les seves funcions) tingui errors que acabin en vulnerabilitats conegudes, que poden ser utilitzades per tercers amb finalitats malicioses.

sions ms actualitzades, per lusuari hauria de configurar els parmetres adequats per accedir als serveis del seu provedor. En qualsevol cas, mai no sha de descarregar el firmware duna pgina diferent a les oficials del fabricant o provedor daccs.
11

La installaci de noves versions del firmware es pot fer des de la mateixa interfcie web dadministraci del router, a la qual shi accedeix com sha indicat a lapar-

Quan els fabricants reben notificacions daquestes vulnerabilitats, el procediment habitual s que solucionin els problemes coneguts de seguretat mitjanant la publicaci dactualitzacions del firmware.

tat anterior, relatiu al canvi de contrasenya. Les opcions ms comunes sota les quals es pot trobar aquesta funcionalitat sn: Management,Tools, System, Administration -> Update software, Update firmware, Firmware upgrade.

Per tant, s important mantenir el nostre router actualitzat, perqu, a ms, aquestes actualitzacions de firmware milloren lestabilitat de les funcions internes i, fins i tot, nafegeixen de noves. Actualitzar de forma incorrecta el firmware pot produir la prdua del dispositiu router, per la qual cosa cal comprovar el procediment adequat per realitzar la seva actualitzaci de forma segura, i saber qu sha Alguns provedors daccs a la xarxa presten el servei dactualitzar el firmware del router proporcionat de forma remota. En aquest cas, s possible que utilitzin les credencials per defecte per accedir al dispositiu remotament, de manera que si canviem la contrasenya de configuraci no podran realitzar lactualitzaci. s de fer en cas de fallida.

Activar tallafocs del router

Lopci de tallafocs, normalment inclosa a les funcions bsiques del router, ens pot servir per protegir la nostra xarxa local i el mateix router. No sha de confondre amb el tallafocs personal que est installat a la nostra mquina, a nivell daplicaci o sistema operatiu.

cessari connectar-se fsicament amb un cable de xarxa per poder canviar els parmetres del router, cosa que implica una major seguretat en el cas que un intrs comprometi laccs per la xarxa sense fils (WiFi). Finalment, igual que en les connexions a llocs daccs ms compromesos, com ara els bancs, s recomanable utilitzar connexi xifrada per a la gesti, per

El tallafocs de xarxa (perimetral en aquest cas) t lobjectiu dimpedir que les connexions no autoritzades que vinguin dInternet no puguin accedir directament a les mquines o serveis de la nostra xarxa interna. Aix protegeix els ordinadors, recursos compartits, impressores i altres dispositius que no tinguin mesures de seguretat addicionals per controlar-ne ls.
12

impedir que altres usuaris de la xarxa puguin capturar el trfic i, possiblement, les credencials daccs al router. En alguns models hi ha lopci que la interfcie de configuraci noms permeti accedir-hi a travs de HTTPS / SSL. s recomanable activar-la.

Desactivar funcionalitats no utilitzades

Un principi bsic en la securitzaci de sistemes s desactivar tot all que sabem que no sutilitza. Daquesta manera redum la superfcie dexposici davant de

Per activar-lo caldr buscar lopci Enable firewall o IP filtering a la interfcie web de configuraci.

Configurar gesti remota

De la mateixa manera que lusuari pot accedir a la configuraci del router a travs dun navegador web, sense necessitat destar fsicament connectat al router, un atacant podria entrar a la configuraci de forma remota si coneix (o endevina) el nom dusuari i contrasenya. Ja hem modificat la contrasenya per defecte i coneguda pel model de router ?

possibles vulnerabilitats i atacs.

En els routers moderns hi ha multitud de funcionalitats que un usuari mitj no necessita. Alguns exemples comuns sn: Xarxa sensefils: s molt recomanable desactivar la xarxa sense fils si no lutilitzem. Normalment, si no sutilitza tampoc es configura la seguretat de forma correcta, i pot permetre que un usuari desco-

La majoria de routers tenen lopci per desactivar la gesti remota des dInternet, limitant la possibilitat daccedir-hi des de remot i fent que noms sigui possible si ests connectat a la xarxa local, xarxa amb un nivell ms alt daccs i supervisi.

negut es connecti a la nostra xarxa local de forma illegtima. UPnP (Universal Plug and Play)3: s un conjunt de protocols per facilitar la interconnexi de diferents tipus. Les dues aplicacions ms habituals en una xarxa de llar sn dos:

Una altra opci interessant s desactivar laccs a la configuraci mitjanant xarxa sense fils. Aix, ser ne-

Gesti automtica de lobertura de ports en el router, per a aplicacions com P2P i jocs en lnia.
3 http://es.wikipedia.org/wiki/Universal_Plug_and_Play

Guia de securitzaci de router per a la llar

Streaming de contingut multimdia entre dispositius compatibles (ordinador, TV, videoconsola o altres dispositius). En molts daquests dispositius sutilitza la terminologia compatibles amb DLNA .
4

Configurar la seguretat de la xarxa sense fils

La configuraci de la xarxa sense fils s potser laspecte ms important a lhora de securitzar una xarxa local. A ms dels riscos obvis ds indegut de la xarxa, les amenaces a les quals estan subjectes les mquines connectades a ella sn molt ms perilloses si latacant hi ha entrat..

Si no sutilitzen cap daquestes dues funcionalitats, s recomanable desactivar el suport de UPnP, ja que pot facilitar un atac si es combina amb altres debilitats , o ser aprofitat per un troi per obrir una
5

porta daccs no controlada cap a la nostra xarxa en el tallafocs del router. DMZ (de-militarized zone o zona desmilitaritzada): aquesta funcionalitat permet indicar-li al router una adrea IP interna (per exemple, la del nostre ordinador personal) a la qual reenviar totes les connexions que shagin iniciat des dInternet, saltant-se la funcionalitat del tallafocs. s com si lordinador designat com DMZ estigus exposat directament a Internet. Protocols denrutament dinmic (RIP, BGP): aquests protocols sutilitzen perqu els routers puguin comunicar-se entre ells les diferents xarxes i dispositius als quals tenen accs, permetent una configuraci dinmica de les rutes per als paquets. Aix s bsic en la infraestructura dInternet, per no s necessari en el cas dun accs residencial, ja que la porta denlla des del router cap a Internet normalment s nica i es configura mitjanant altres protocols. SNMP: aquest protocol estndard serveix per accedir a informaci de gesti i modificar la configuraci de dispositius a travs de la xarxa. No s necessari tenir-lo activat perqu utilitzem la interfcie web. La configuraci segura de xarxes sense fils s un tema molt ampli, per podem oferir unes recomanacions bsiques: Canviar la contrasenya establerta per defecte pel fabricant. Utilitzar xifrat WPA2 amb contrasenya robusta (llarga, amb majscules, minscules, smbols). Si Ms recentment, davant la popularitzaci de ls dalgorismes ms robustos com WPA per defecte, la gran debilitat de les xarxes sense fils ve pel descobriment dels algoritmes utilitzats pels fabricants i provedors daccs per generar la clau daccs establerta per defecte. Aix permet, a partir de dades accessibles sense necessitat de connectar-se a la xarxa, deduir la contrasenya de la xarxa wifi. Els casos ms recents coneguts sn els de les xarxes WLAN_XXXX de Movistar i JAZZTEL_XXXX de Jazztel.
13

Un problema afegit s que alguns dels protocols de xifrat ms utilitzats en les primeres xarxes sense fils (WEP) sha aconseguit trencar, fent totalment inefica ls daquest protocol de xifrat a la prctica, ja que es possible obtenir la clau daccs en minuts (o fins i tot segons).

4 http://es.wikipedia.org/wiki/Digital_Living_Network_Alliance 5 http://www.gnucitizen.org/tags/upnp/

algun dispositiu de la xarxa no el suporta, utilitzar com a mnim WPA, per en cap cas WEP. Canviar el nom de la xarxa sense fils (SSID). Aix fa que sigui ms difcil per a un atacant conixer la informaci necessria per intentar introduir-se a la xarxa. No s recomanable, per motius de privacitat, posar informaci personal del propietari de la xarxa (nom, cognoms, etc.) s possible amagar la difusi dSSID, cosa que evita que el router estigui enviant constantment paquets sonda (beacons) per anunciar lexistncia de la xarxa a qualsevol que estigui escoltant. Aix obliga a configurar manualment el nom de la xarxa en cada dispositiu que es vulgui connectar. No s una mesura de seguretat robusta contra un
14

guns dispositius implementen un mecanisme per afegir adreces MAC permeses mitjanant la pulsaci dun bot fsic al router, de manera que aquesta tasca se simplifica.

Totes aquestes opcions, com s habitual, sn accessibles a travs de la interfcie web de configuraci del router. Normalment hi ha un apartat especfic per configurar els parmetres de seguretat de la xarxa sense fils (Wireless Security).

Configurar direccionament IP (DHCP o esttic)

Per defecte, la majoria de routers de la llar t activat el servei DHCP. Aquest protocol permet que el router assigni les adreces IP de forma automtica als clients que shi connectin, ja sigui via sense fils o amb cable. Aix facilita en gran manera la connexi de nous dispositius, per tamb facilita la connexi a la xarxa als atacants que aconsegueixin saltar-se altres mesures de seguretat (fsiques o lgiques).

atacant expert i amb un objectiu especfic, per pot fer ms difcil la detecci de la xarxa per part dalg sense coneixements o que noms es troba a labast del router ocasionalment. La contrapartida s que els ordinadors configurats per connectar-se a aquesta xarxa sn els que realitzen la difusi de la seva intenci de connectar a lSSID, no noms a casa sin en qualsevol lloc on es trobin. Aix pot ser aprofitat per intentar suplantar la xarxa original i poder aix interceptar les comunicacions daquesta mquina. Per tant, s recomanable sobretot per a xarxes en les quals els dispositius sn fixes, ms que per aquelles en les quals hi ha porttils. El filtratge per adrea fsica (MAC) s una altra mesura de seguretat addicional que pot ajudar a aturar o retardar a atacants sense molts coneixements, per no serveix de massa contra un atacant avanat. T la contrapartida que cada vegada que es vulgui connectar un nou dispositiu cal saber ladrea MAC i afegir-la manualment a la llista. Al-

Desactivar el DHCP pot ser lleugerament ms segur, encara que no suposa una mesura de seguretat massa robusta. No obstant aix, pot despistar als intrusos amb menys experincia.

Si decidim fer servir DHCP per la seva comoditat, s recomanable limitar el rang dadreces assignables al nombre de dispositius que volem connectar. Daquesta manera, si tots els equips estan connectats, el servidor DHCP no podr assignar ms adreces IP.

Si es fa servir adreament esttic, s recomanable canviar el rang dadreces de la xarxa privada. Els

Guia de securitzaci de router per a la llar

que solen portar els routers configurats per defecte sn 192.168.0.x o 192.168.1.x. Podem configurar un rang 192.168.x. x, o qualsevol dins dels rangs dadreces privades definits per IANA6, com 10.x.x.x o 172.16.x.x, de tal manera que ser ms difcil per a un intrs accedir a la xarxa a nivell lgic (per en cap cas impossible).

ganyar el servidor DNS perqu cregui que la IP dun domini s una altra diferent de lautntica).

s convenient tenir en compte que no s obligatori utilitzar els servidors DNS que ens proporciona la ISP. En podem configurar qualsevol que ofereixi aquest servei; nhi ha que proporcionen funcionalitats de seguretat mitjanant filtratge de llocs web o IPs malicioses.

Aquestes opcions sn accessibles normalment al men LAN de la configuraci del router. s possible que la configuraci del DHCP tingui una secci independent.

Un exemple gratut sn els servidors de OpenDNS7 o NortonDNS8.

Configurar servidors DNS

Com sindica a lapartat 1.1.6, referent a lamenaa del pharming, el servei DNS s el que proporciona la traducci entre noms de domini i adreces IP, que ens permeten identificar de forma unvoca una mquina a la xarxa.

Altres recomanacions
En aquest apartat sinclouen algunes recomanacions de seguretat addicionals, laplicaci de les quals dependr del grau de seguretat respecte de la comoditat que desitgi lusuari, o de les circumstncies concretes de cada cas.
15

Habitualment, el provedor daccs a Internet s qui proporciona el servei de DNS, amb almenys un servidor primari i un altre de secundari que es configuren automticament quan el router es connecta a la xarxa. Si el DHCP est activat a la xarxa interna, la direcci daquests servidors es transmetr automticament als clients. Si sutilitza adreament esttic, caldr configurar-los manualment en cada mquina que es connecta a la xarxa.

Apagar el router quan no sutilitzi la connexi:

aquesta s la forma ms segura devitar intrusos a la nostra xarxa, ja que limita molt la finestra de temps en qu es poden realitzar atacs.

Apagar lordinador quan no sutilitzi:

a ms dels beneficis per al medi ambient i la factura elctrica, laccs als recursos compartits i a la mquina es redueix a la finestra de temps en qu lestem utilitzant.

Una altra possibilitat s que el router actu com a servidor DNS, reenviant les peticions al servidor de laISP quan no troba el nom de domini a la seva memria. A ms del possible retard que aix pot provocar, s probable que els servidors DNS dedicats de la ISP siguin ms robustos davant datacs denverinament (en6 http://es.wikipedia.org/wiki/Red_privada

Reduir la potncia de la xarxa sense fils:

en la configuraci avanada de molts routers s possible modificar la potncia demissi de la xarxa sense fils. Aquest parmetre normalment est configurat al seu valor mxim, per obtenir una cobertura ms m7 http://www.opendns.com/ 8 https://dns.norton.com/dnsweb/homePage.do

plia. En entorns reduts, si els ordinadors es troben a prop del router sense fils, pot ser recomanable reduir la potncia demissi. Aix limita lrea des de la qual shi pot connectar i per tant en redueix lexposici a atacs.

Revisi
Independentment de les mesures de seguretat que puguem establir per protegir la nostra xarxa local de la llar, un aspecte important s la seva monitoritzaci amb la finalitat de detectar situacions anmales com ara possibles intrusos.

Seguretat fsica del router:

aix s aplicable a routers installats en zones daccs com, ja que si un intrs entra dins de casa, laccs a la nostra xarxa s un problema menor. Un exemple sn routers sense fils situats a la teulada o a lexterior. En aquests casos s necessari protegir-los de les inclemncies del temps, per tamb duna manipulaci per part daltres persones.

Visibilitat des dInternet

El primer pas s revisar la visibilitat que hi ha des de la xarxa externa (Internet) cap a la nostra xarxa. Per aix podem utilitzar un servei com ShieldsUP9, que comprova lestat dels ports i els serveis de la nostra xarxa des de lexterior (remot).

16

El primer pas s donar perms al lloc web per realitzar lanlisi, prement Proceed a la pgina inicial.

A la segent pantalla es poden trobar diversos tipus de proves. Les ms interessants sn: File Sharing: comprova si hi ha recursos compartits accessibles des dInternet. Common Ports: comprova lestat dels ports ms comuns (web, FTP), si estan oberts i si hi ha algun servei escoltant-los. All Service Ports: la mateixa comprovaci anterior, per per a tot el rang de ports TCP / IP (165.535). s bastant ms lent, per pot ajudar a detectar algun servei a lescolta en un port poc habitual (com una porta de darrere, un troi o alguna aplicaci de la qual no siguem conscients).

9 https://www.grc.com/x/ne.dll?bh0bkyd2

Guia de securitzaci de router per a la llar

Possibles intrusos a la xarxa

Llista de clients DHCP o Wireless
Si sutilitza el servei DHCP en el router, normalment s possible consultar la llista dadreces IP assignades per aquest servei, amb ladrea fsica (MAC) associada a la mquina que en fa s. Si coneixem la llista de dispositius habituals, podrem identificar clients estranys quan apareguin.

A la columna de lesquerra podrem veure la llista de mquines connectades a la xarxa, i en el panell de la dreta els ports que tenen oberts, la topologia de xarxa o la sortida en brut de lordre nmap.

Recursos compartits i ports oberts

Una comprovaci interessant s revisar quins recursos est compartint la nostra mquina i quins serveis t oberts per altres ordinadors de la xarxa. Aquesta prova s interessant per a equips porttils que es connectin a xarxes de tercers, no fiables.

La forma ms senzilla de veure els recursos que la mquina est compartint s accedir-hi nosaltres ma-

Dins de la interfcie web del router, normalment aquesta opci es troba en lapartat DHCP CLIENT LIST, que pot estar dins del men Status o LAN Settings. Alguns models tamb proporcionen una llista dels clients associats a la xarxa sense fils, a lapartat Maintenance -> Wireless LAN -> Association list.

teixos a travs de lExplorador de Windows, posant \\ localhost a la barra dadreces.

17

El sistema operatiu Windows tamb inclou una interfcie per gestionar amb ms detall els recursos compartits de forma centralitzada.

Escaneig de xarxa amb eines especfiques

Per fer un escaneig ms exhaustiu dels dispositius connectats a la xarxa, hi ha eines especfiques com Nmap, que en les seves versions ms recents inclou una interfcie grfica (ZenMap ) que fa el seu s ms senzill.
10

Windows Vista i 7:
Tauler de Control -> Sistema i Seguretat -> Eines Administratives -> Administraci dequips. Inici -> Bot dret sobre Equip -> Administrar.

Windows XP:
Tauler de control -> Rendiment i manteniment -> Eines administratives -> Administraci dequips Inici -> Bot dret sobre Mi PC -> Administrar. A la finestra que apareixer, en el node Carpetes compartides de larbre, a lesquerra, es poden llistar els recursos compartits (inclosos els administratius que normalment estan ocults), les sessions actives (qui est connectat als nostres recursos) i els arxius oberts en aquell moment.

Desprs de baixar i installar el programa, a la finestra que surt en executar caldr seleccionar el rang dadreces IP a escanejar i el tipus descaneig. Les opcions adequades per a aquest cas sn: Rang dIPs: el que estigui configurat en el router i al qual pertanyen les mquines de la xarxa. Profile: QuickScan.
10 http://nmap.org/zenmap/

s til per comprovar la visibilitat de la mquina des de la xarxa interna leina Nmap/Zenmap (veure apartat anterior 1.1.9), ja que, a ms de llistar les mquines connectades a la xarxa, ens proporciona informaci sobre els serveis que sn accessibles en cadascuna delles. Si fem un escaneig exhaustiu de la prpia mquina local, podrem saber qu shi veu des de la xarxa.

18

Guia de securitzaci de router per a la llar

Conclusions
La popularitzaci de les connexions permanents a la llar, ha generat riscos que anteriorment eren exclusius de grans xarxes empresarials o acadmiques. No obstant, al llarg de la guia sha pogut veure que hi ha mecanismes i tecnologies per poder protegir les xarxes de la llar. Igual que en altres casos, s important que lusuari conegui els riscos i les possibles contramesures, per tamb que els fabricants i provedors daccs facilitin aquesta tasca als usuaris menys experts mitjanant la configuraci segura per defecte en els seus productes i xarxes.

segures amb la finalitat de facilitar la seva tasca. En aquests casos, lusuari haur de plantejar els seus dubtes i exigir una soluci que no comprometi la seguretat de la seva xarxa.

Finalment, un altre aspecte important a tenir en compte s que el router no pot ser lnica lnia de defensa. El concepte de seguretat en profunditat, assumit des de fa temps en el mn de la seguretat de xarxes corporatives, sha destendre a les xarxes per a la llar. Independentment que la xarxa pugui estar perfectament assegurada davant dintrusions externes, tamb shan dassegurar les mquines davant datacs a client a nivell daplicaci, que no poden ser bloquejats per un dispositiu de xarxa. I per descomptat, cal fer un s res-

Les connexions de banda ampla que van ser installades fa ms temps sn les ms susceptibles de ser vulnerables. Els dispositius utilitzats sn ms antics, de manera que el seu programari pot estar ms desactualitzat i tamb la configuraci per defecte no estar protegida davant de problemes descoberts amb posterioritat.

ponsable i segur dels serveis que ens ofereix Internet, ja que la majoria de vegades la pea ms feble s el mateix usuari.

19

Els routers proporcionats per les operadores i les installacions ms recents van incloent configuracions ms segures per defecte, per encara existeixen debilitats. Cal revisar i adaptar les mesures de seguretat a les necessitats de lusuari, del tipus de connexi utilitzada i de loperador.

En alguns casos, els operadors necessiten accs remot. Per aix, sempre s recomanable consultar els manuals i el servei tcnic a lhora de fer canvis que podrien afectar el servei. Daltra banda, de vegades els operadors poden recomanar configuracions menys

Glossari
Banda ampla: connexions a Internet dalta velocitat, normalment permanents, que van venir a substituir les de mdem a travs de lnia telefnica. Els tipus ms populars sn ADSL, cable i 3G, encara que nexisteixen altres com WiMax, satllit

Port:

en lmbit dInternet, el port s el valor que

sutilitza per distingir entre les mltiples aplicacions que s connecten al mateixa adrea IP o ordinador.

Tallafocs: s un element de maquinari o programari utilitzat en una xarxa dequips informtics per controlar les comunicacions, permetent-les o prohibint-les segons les poltiques de xarxa que hagi definit el responsable de la xarxa. El tallafocs personal s un cas particular de tallafocs que sinstalla com a programari en un computador i que filtra les comunicacions entre aquest computador i la resta de la xarxa, i viceversa.

Router: dispositiu que interconnecta dues xarxes i

reenvia els paquets dinformaci per la ruta adequada (a nivell lgic). En el cas de les xarxes de llar, s el dispositiu que separa la xarxa privada de lusuari de la xarxa pblica de loperador. Molts routers de llar realitzen tamb les funcions de mdem, commutador i punt
20

daccs sense fils.

DHCP (Dynamic Host Configuration Protocol): protocol de configuraci dadreces IP

de forma dinmica. Permet que un ordinador que es connecta a una xarxa pugui obtenir una adrea IP i altra informaci necessria per utilitzar-la, com ara la mscara de xarxa, la passarella o els servidors DNS. DNS (Domain Name System): protocol i infraestructura que permeten traduir noms de domini (com ara www.cesicat.cat) en adreces IP que identifiquen mquines en una xarxa local o a Internet.

Mdem:

de la uni de les paraules modulador

i demodulador, s un dispositiu que codifica un senyal sobre un altre anomenat portador, per transmetre a grans distncies. En lmbit dusuaris residencials, els ms populars van ser els de connexi telefnica, per actualment les connexions de banda ampla tamb necessiten aquest tipus de dispositius: cable-mdem, mdem ADSL, o un router que inclou la funci de mdem.

Commutador:

dispositiu de xarxa que permet

connectar diversos equips entre si en una mateixa xarxa local, reenviant els paquets a lequip corresponent segons la seva adrea de destinaci.

Adrea IP:

s un nombre utilitzat per identificar

cada mquina que es connecta a la xarxa. Normalment es presenta en forma de 4 grups de xifres separades per punts, entre 0 i 255 (123.123.123.123).

Guia de securitzaci de router per a la llar

Referncies i enllaos web

Home Network Security-CERT Coordination Center http://www.cert.org/tech_tips/home_networks.html

ADSL Router / Cable Modem / Home Wireless AP Hardening in 5 Steps http://isc.sans.edu/diary.html?storyid=4282

NSA Best Practices for Keeping Your Home Network Secure http://www.nsa.gov/ia/_files/factsheets/Best_Practices_Datasheets.pdf

Estudi sobre la seguretat de les communicacions sense fils a les llars espanyoles - INTECO http://www.inteco.es/Seguridad/Observatorio/Estudios/estudio_inalambricas_4T2010
21

Drive-By Pharming http://www.cs.indiana.edu/cgi-bin/techreports/TRNNN.cgi?trnum=TR641

BandaAncha.eu http://bandaancha.eu/

ADSL-Zone http://www.adslzone.net

ADSLAyuda http://www.adslayuda.com

adslnet.es http://www.adslnet.es/

www.cesicat.cat