En la mayor parte de casos, nuestro router tendrá una dirección IP pública y accesible a través de Internet. Esta accesibilidad que es fundamental para poder realizar tareas de mantenimiento a acceso remoto a nuestros dispositivos tras el router también es un riesgo puesto que nuestro equipo está expuesto a cualquiera que tenga acceso a Internet.
¿ Qué peligros conlleva que alguien no autorizado pueda entrar en nuestro router?
- cambios en la configuración del router haciéndolo inoperativo para nuestra aplicación
- activación o desactivación de salidas digitales
- posiblidad de envío de SMS a través del router con el consiguiente gasto en función del número destino
En este post vamos a indicarte algunos consejos para minimizar el riesgo de accesos no autorizados a nuestro router.
Actualiza tu router a la última versión
Siempre es recomendable tener la última versión de firmware disponible instalada en nuestro router. Disfrutaremos de las últimas prestaciones y correcciones de posibles fallos o bugs.
Podéis descargaros las últimas versiones de firmware disponibles a través de la wiki de Teltonika. Seleccionad vuestro modelo de router y descargad el fichero de firmware y el bootrom por si el router os lo solicita (depende de la diferencia entre la versión antigua y la nueva).
Como ejemplo, diremos que las últimas versiones a fecha actual obligan al usuario a cambiar el password por defecto de acceso al router ‘admin01’ por un texto de 8 caracteres mínimo con números y letras.
Accede siempre al router remotamente a través de HTTPS y no HTTP
Recordad que por defecto los acceso remotos SSH, HTTP y HTTPS están deshabilitados. En cualquier caso es muy probable que queramos acceder remotamente al router para cambiar algún parámetro de configuración o simplemente para ver su estado. Si es así, recomendamos habilitar sólo el acceso remoto HTTPS (securizado con SSL). De esta forma, cuando conectemos con el router a través de nuestro navegador toda la información irá encriptada y aunque alguien con un sniffer capturase dicho tráfico no podría averiguar el password de acceso al router.
Configura correctamente las opciones de DDOS del firewall del router
Los routers de Teltonika incluyen un firewall basado en las iptables de Linux. Dentro de este firewal incluyen una serie de mecanismos de protección antes ataques de denegación de servicios (DDOS).
Algunos mecanismos como el SYN flood o Port Scan ya vienen activados por defecto pero otros como el ICMP request o como los ataques SSH/HTTP/ HTTPS no vienen limitados por defecto. Todos estos mecanismos permiten limitar el número de accesos por unidad de tiempo. En cualquier caso tengamos cuidado, si los activamos, con los parámetros que indiquemos de intentos y tiempos ya que podríamos dejar innacesible nuestro rotuer a través de estos accesos.
IP pública fija o dinámica
Esta es una disyuntiva que muy pocos de vosotros os vais a encontrar ya que hoy en día salvo servicios concretos contratados con cierto volumen con el operador móvil todas las conexiones disponen de IP dinámica y deberemos normalmente acceder al router a través de un dominio DNS dinámico (salvo que paguemos un coste extra al mes para disponer de una dirección IP fija).
Sin embargo, no todo son ventajas con las IP públicas fijas. En este caso, al no variar la dirección es mucho más fácil de detectar por un scanner o sistema de acceso masivo. Con una IP dinámica, quizás puedan entrar en nuestro router en un momento determinado pero luego tendrán que volver a averiguar nuestra dirección IP pública para entrar de nuevo a nuestro dispositivo.
En el siguiente artículo de Teltonika podéis ver los diferentes tipos de IP pública que ofrecen los operadores móviles con sus ventajas y desventajas.