Un camino hacia la resiliencia a través de medidas de protección principalmente técnicas
Para elevar una red doméstica a un alto nivel de seguridad, las medidas técnicas más allá de las configuraciones básicas son esenciales. Estos van desde el Asegurar el router en el más completo Verificación de componentes hasta la segmentación inteligente de la red y la planificación de una conmutación por error. (o al menos una vez un experimento mental, si y por cuánto tiempo será capaz de hacer frente a un fracaso sin él)
Como se mencionó en el post anterior, tenemos que considerar 100.% Diga adiós a la seguridad, no puede haber una seguridad absoluta verdaderamente alcanzable. Asà que comencemos con la marca psicológicamente importante «Level92» para lograr lo máximo posible con el menor esfuerzo posible.
Autenticación de dos factores (2FA) / Autenticación multifactor (MFA) para el acceso a la red (enrutador):
- Qué es: 2 AMF o AMF añade una capa adicional de seguridad que requiere dos formas diferentes de identificación: algo que el usuario conoce (contraseña) y algo que posee (por ejemplo, un teléfono inteligente con una aplicación de autenticación).
- Soporte de FritzBox: Los routers FRITZ!Box más nuevos admiten 2FA para el acceso de administrador tanto local como remotamente a través de MyFRITZ!. Dispositivos más antiguos al menos para el cambio de configuración en el dispositivo como una variante opcional para el teléfono o pulsar la tecla. La autenticación de dos factores generalmente se realiza a través de Aplicaciones de autenticación, utilizando el método de contraseña única basada en el tiempo (TOTP), como: Autenticador de Google o Microsoft Authenticator. La activación requiere una confirmación única directamente en el dispositivo.
- Soporte de Speedport: Los routers Speedport generalmente no proporcionan un 2FA directo para la interfaz de administración local. Sin embargo, los servicios de telecomunicaciones conectados a los routers speedport, como MagentaCLOUD, admiten la autenticación de dos factores. Esta es una diferencia importante que debe tenerse en cuenta en la estrategia de seguridad.
- Por qué es importante: 2FA / MFA protege eficazmente contra el acceso no autorizado, incluso si la contraseña ha sido robada o adivinada. Es una de las medidas más efectivas contra el phishing y los ataques de fuerza bruta.
- Aplicación práctica: Instale una aplicación Authenticator compatible en un dispositivo móvil y escanee el código QR que muestra el enrutador para vincularlo.
Por cierto, presionar un botón al cambiar la configuración en el Fritz.Box ya es una forma de MFA, casi tuvo que «probar» que realmente está en el sitio. Esto garantiza que nadie desde el exterior pueda cambiar la configuración.
Para todos aquellos que alguna vez han estado con mamá o papá a través de mantenimiento remoto en la caja y luego hacer una confirmación sobre el cambio, por cierto, también es algo bueno. ??
Segmentación de la red:
El arte del aislamiento hasta el «Nivel 92»
La segmentación de la red es una medida de seguridad avanzada que divide la red doméstica en segmentos más pequeños y aislados (subredes). Este es un paso crucial en la Camino a la Seguridad ya que reduce significativamente el «radio de explosión» de un posible ataque. Incluso si un dispositivo se ve comprometido en un segmento, el atacante no puede acceder fácilmente a otros segmentos más sensibles.
Home Network vs. Guest Network: Todos ya lo sabemos. La popular red de invitados es la forma más simple de segmentación y la más fácil de implementar para los usuarios domésticos. Permite a los visitantes y dispositivos IoT potencialmente inseguros (como televisores inteligentes, luces inteligentes) acceder a Internet sin tener acceso a la red privada principal con datos o dispositivos sensibles. ¡Llévalo arriba!
Por otro lado, es más difÃcil y potencialmente ya no es factible para el usuario doméstico implementar el Segmentación de la red vÃa VLAN
VLAN o subredes separadas para IoT / Dispositivos inteligentes / Automatización del hogar:
ventajas: El aislamiento de los dispositivos IoT en un segmento separado aumenta significativamente la seguridad. Si un dispositivo IoT (que a menudo es menos seguro) se ve comprometido, el atacante no podrá acceder directamente a PC, computadoras portátiles o sistemas NAS en la red principal. Esto mejora la visibilidad y el control del tráfico.
DesafÃos para los routers domésticos: Se trata de un obstáculo importante en el camino hacia el «Nivel 92». Muchos enrutadores de consumo, como los modelos FRITZ!Box comunes, no admiten VLAN reales directamente en sus puertos LAN internos o SSID WLAN para la segmentación de la red interna. Si bien algunos modelos FRITZ!Box admiten ID de VLAN para el acceso WAN (conexión a Internet), esto no está destinado a la subdivisión de la red doméstica interna.
Esto lleva a una idea errónea común de que esta función es fácil de activar en los routers estándar. La ilusión de simplicidad en la segmentación de redes es una visión importante. La mera recomendación de «VLAN» sin aclarar estas limitaciones frustrarÃa a los usuarios, ya que el hardware existente a menudo no permite su aplicación.
Configuración de subredes
Posibilidad también con Subredes separadas Queremos considerar aislar áreas individuales para reducir las posibles superficies de ataque. Es más común en el entorno de red profesional y generalmente no es una opción viable para el usuario doméstico, especialmente no porque los enrutadores domésticos comunes disponibles no Subred Soporte en el verdadero sentido, pero están diseñados para un rango de direcciones común de generalmente un máximo de 253 dispositivos en un segmento común.
¿Por qué exactamente 253? ¡Buena pregunta! Aquà está la respuesta de TL:DR: Por un lado, la primera dirección utilizable x.x.x.1 de las 256 posibles direcciones disponibles en la red doméstica /24 para el router desaparece y, por otro lado, la primera dirección de red x.x.x.0 y la última x.x.x.255 están reservadas para la llamada dirección de difusión. Esto asegura que el segmento de red funcione en absoluto. La captura de estas direcciones con otros dispositivos, si el dispositivo permite la entrada en absoluto, conducirá inevitablemente a errores de red.
Será tan detallado /24 Sistema CIDR, por ejemplo, aquà descrito. La descripción anteriormente común era «máscara de subred» y por lo general se veÃa asà en la red doméstica: 255.255.255.0 -> básicamente /24 significa lo mismo.
Quién tiene las ambiciones leÃdo en y, en su caso, pertinente Sugerencias para soluciones Conclusión de la aplicación en la red varios útiles indirectas y trucos.
Soluciones para usuarios domésticos:
Uso de la red host como «red IoT»: Esta es la solución más práctica para la mayorÃa de los usuarios domésticos. Esto Red de invitados Se puede utilizar como una red dedicada para todos los dispositivos inteligentes de hogar e IoT para aislarlos de la red principal.
Mi consejo de Level92: Los dispositivos LAN en los que no confÃa también se pueden integrar en la red de invitados. Además, existe la opción práctica en el Fritz.Box Red de invitados también en el puerto LAN 4 listo para proporcionar. Dado que la red de invitados LAN también está aislada del resto de la red, los elementos dignos de protección están protegidos de manera confiable.
Uso de un switch administrado y puntos de acceso habilitados para VLAN: La segmentación de VLAN real y robusta a menudo requiere el uso de hardware adicional. Un switch administrado detrás del router puede dividir el tráfico en diferentes VLAN. Los puntos de acceso habilitados para VLAN (que podrÃan reemplazar a los repetidores de malla AVM) pueden asignar SSID WLAN separados a las VLAN respectivas. Esto representa una inversión en hardware y esfuerzo de configuración, pero es el camino hacia la segmentación completa de «Nivel 99».
Uso de routers con funcionalidad mejorada: Algunos enrutadores domésticos más avanzados o enrutadores de pequeñas empresas proporcionan soporte nativo para múltiples SSID y subredes separadas que permiten la segmentación lógica. Ubiqiti o MikroTik vienen a la mente espontáneamente. Con los grandes nombres también obtienes eso (Cisco & Co)
Uso compartido de puertos y gestión de UPnP
Desactivar UPnP: Como se mencionó anteriormente, UPnP debe desactivarse por defecto, ya que representa un riesgo de seguridad significativo. Solo debe activarse cuando sea absolutamente necesario para aplicaciones especÃficas e idealmente solo temporalmente.
Compartición manual de puertos: Si los puertos compartidos son esenciales para ciertas aplicaciones (por ejemplo, servidores de juegos, acceso remoto a cámaras), deben configurarse manualmente. Solo los puertos absolutamente necesarios deben abrirse y limitarse a direcciones IP internas especÃficas. Las caracterÃsticas de firewall incorporadas del router deben usarse para restringir aún más el acceso.
VPN: ¿Wireguard o IPSec?
El tema VPN, es decir, su red privada virtual, definitivamente habrÃa merecido su propio artÃculo completo. Solo un breve resumen: Una VPN cifra todo el tráfico y los túneles de forma segura en la red doméstica, eliminando la necesidad de abrir puertos directos desde el exterior.
Además, también podrÃa nombrar varias otras opciones posibles, pero esto lleva hoy definitivamente demasiado lejos. En primer lugar, nos limitamos al manejo básico y la diferencia entre las dos posibilidades. Por ejemplo, aquà hay un gran video:
Prefiere el uso de VPN: Para el acceso remoto seguro a los servicios domésticos (por ejemplo, NAS, cámaras de seguridad), una conexión VPN a través del enrutador (si es compatible, como con muchos FRITZ!Boxes) o un servidor VPN separado es, con mucho, el método más seguro.
Configuración de DHCP para futuras extensiones
Direcciones IP fijas para dispositivos crÃticos: Para dispositivos como sistemas NAS, hubs domésticos inteligentes o servidores privados que requieren una dirección IP fija, es aconsejable configurarlos fuera del rango DHCP del router o configurar reservas IP en el servidor DHCP. Esto hace que sea mucho más fácil administrar, solucionar problemas y configurar los recursos compartidos de puertos o las reglas de firewall porque la dirección IP de estos dispositivos no cambia.
Planes de contingencia y opciones alternativas de acceso: Su PlanB
Una red doméstica verdaderamente resiliente en el «Nivel 92» se caracteriza no solo por unas medidas de seguridad sólidas, sino también por la capacidad de seguir siendo operativa en caso de fallo primario de la conexión a internet. La dependencia de una sola conexión a Internet conlleva riesgos significativos, ya que una falla puede paralizar la oficina en el hogar, la comunicación y las funciones del hogar inteligente. Por lo tanto, un plan de contingencia de acceso alternativo es esencial.
LTE/5G como alternativa
ventajas: Las redes móviles están muy extendidas y ofrecen buenas velocidades en muchas regiones. La copia de seguridad LTE/5G se puede configurar con relativa rapidez y proporciona una alternativa confiable, especialmente en áreas donde el Internet tradicional de lÃnea fija es lento o poco confiable. Se puede utilizar como una conmutación por error automática o como una copia de seguridad manual.
desventajas: A menudo se asocia con limitaciones de volumen de datos, lo que puede conducir a altos costos con un uso intensivo. Las tarifas ilimitadas son más caras. La cobertura de la red y la velocidad real pueden variar según la ubicación.
implementación: Los routers LTE/5G especiales con función de conmutación por error integrada pueden cambiar automáticamente a la red móvil en caso de fallo de la conexión DSL/cable principal. Alternativamente, un teléfono inteligente o tableta se puede utilizar como un punto de acceso móvil.
Internet por satélite:
ventajas: Internet por satélite también proporciona conectividad en zonas rurales donde no hay lÃneas fijas disponibles. Los sistemas más nuevos, como Starlink, ofrecen latencias significativamente más bajas y velocidades más altas en comparación con los sistemas satelitales más antiguos.
desventajas: Altos costos de adquisición para el hardware (placa satelital, router). Los costos mensuales también pueden ser altos. La latencia aún puede ser problemática para aplicaciones en tiempo real, como juegos en lÃnea o videoconferencias. La conexión también es propensa a condiciones climáticas severas, como tormentas eléctricas o nevadas.
Última milla inalámbrica (última milla inalámbrica):
ventajas: Las conexiones radiodireccionales pueden ofrecer altos anchos de banda en distancias más largas y, por lo general, tienen latencias bajas. Son una buena opción si no hay conexiones de fibra o cable disponibles y hay una conexión visual a un punto de transmisión.
desventajas: Requiere una lÃnea de visión directa entre el transmisor y el receptor. La instalación es a menudo compleja y requiere hardware especial. Las soluciones de radiodifusión están menos disponibles para los usuarios domésticos y es más probable que sean ofrecidas por clientes empresariales o en iniciativas regionales especÃficas.
Soluciones automáticas vs. copias de seguridad listas para usar
Enrutadores automáticos de conmutación por error: Estos routers están configurados para detectar un fallo de la conexión primaria a Internet y, a continuación, cambiar automáticamente a una conexión alternativa predefinida (por ejemplo, LTE/5G). Esto minimiza el tiempo de inactividad de la red y garantiza la continuidad del negocio en la oficina en el hogar o en las funciones crÃticas del hogar inteligente. Nombrado a modo de ejemplo: Enrutador de puerto de velocidad con hÃbrido adicional y/o LTE en el nombre.
Nivel 92% Solución artesanal:
Notificación de fallos, cambio automático a la opción alternativa
Charly ya nos ha dado esto con un buen ejemplo. en el último post Esta variante puede ser suficiente si el acceso manual no es posible o no se desea. Si y en qué medida o con Qué hardware Entonces, cómo reaccionas puede al menos adaptarse perfectamente a tus propias necesidades. Caso claro de pulgares hacia arriba ??
Notificación de fallo, cambio manual
Tal vez otra variante sea suficiente para ti. Notificación de fallos con interruptor manual. Esto puede verse asÃ:
Copias de seguridad prácticas: Estos son dispositivos preconfigurados, como sticks LTE, hotspots móviles o incluso un teléfono inteligente (de respaldo). Estos requieren la conmutación o activación manual por parte del usuario en caso de un fallo. Aunque son menos transparentes que las soluciones automáticas, proporcionan una forma rentable y efectiva de restaurar la conectividad básica.
Uso de un módem básico (de respaldo) del proveedor
Un aspecto a menudo pasado por alto del plan de contingencia es la provisión de un módem básico simple del ISP. Si su propio router falla o tiene un mal funcionamiento complejo, tal módem puede establecer una conexión directa a Internet. Esto permite al menos la restauración de la conectividad básica y el diagnóstico del problema con el router principal. Sin embargo, a menudo se olvida que un módem básico tiene un propósito completamente diferente del proveedor de servicios de Internet, a saber, la posibilidad de diagnóstico diferencial.
Puede exigirse un dispositivo aprobado oficialmente por el proveedor en caso de diagnóstico de fallo, ya que a un proveedor le gusta culpar al cliente por un mal funcionamiento o fallo sin un módem propio del proveedor. Empujar las tácticas al hardware instalado por el cliente puede parecer comprensible, pero rápidamente conduce a la frustración, solo porque no tienen que estar disponibles opciones de diagnóstico ampliadas a través de un enrutador del cliente que esté lejos de ser la causa de un fallo. Una vez más, pienso para mà mismo, mejor que lo tengas y no lo necesites tan diferente. Es más relajado. ??
Punto único de fallo
El tÃpico SPOF en la red doméstica es un único componente cuya falla puede paralizar toda la red o partes de ella. En pocas palabras, es una parte que es tan importante que si se rompe, todo el sistema deja de funcionar. En el sentido habitual serÃa que el router, el módem o un interruptor central.
Sin embargo, dependiendo de la configuración y los puntos de acceso requeridos, un solo punto de acceso que garantice que la computadora portátil remota, la tableta en el jardÃn o el servidor de medios en el sótano aún tengan conexión a la red puede ser el único punto de falla. Incluso un solo disco duro sin copia de seguridad de datos caerÃa en esta categorÃa.
¿Cómo evitar este SPOF?
- Redundancia: Utilice componentes redundantes como dos routers o dos módems para compensar un fallo.
- Conexiones redundantes: Utilice múltiples conexiones a Internet (por ejemplo, DSL y LTE) o cableado redundante.
- Conmutación por error automática: Configure sus dispositivos para que cambien automáticamente a una conexión alternativa o servicio de reemplazo cuando ocurra un problema.
- Copias de seguridad periódicas: Realice copias de seguridad de datos importantes con regularidad para evitar la pérdida de datos en caso de fallo.
- Apoyo profesional: Consulte a un profesional para configuraciones o problemas de red complejos.
- Copias de seguridad de configuraciones: Realice copias de seguridad periódicas de su enrutador y configuraciones de red para permitir una recuperación rápida en caso de fallo.
Una vez más, por supuesto, en aras de la equidad, hay que decir que no todo el mundo tiene que mantener o prestar atención a todos los elementos anteriores. Especialmente en la red doméstica, por supuesto, las prioridades son diferentes.
En TI corporativa, por otro lado, se hablarÃa de un apetito de riesgo en la evaluación y, si es necesario, sopesar los costos de adquisición y mantenimiento de tales despidos frente a los costos de un fracaso. Dado que a menudo hay sumas bastante diferentes en el juego, un posible presupuesto para una redundancia doble múltiple y también centros de datos de conmutación por error completos está, por supuesto, absolutamente justificado si es necesario.
TL:DR por hoy?
Algunas personas quieren un «Oh Shit: bueno, más tiempo para el jardÃn de la cerveza», otras usan un botón de conmutación, otras desean un módem de respaldo, otras quieren un respaldo automático y quienes dependen de la alta disponibilidad pueden incluso tener una segunda lÃnea activa las 24 horas del dÃa, los 7 dÃas de la semana. –
Y todas las posibilidades están perfectamente bien. Lo que es suficiente para ti es el SweetSpot.
ES 
DE 
EN 
FR 
IT