Construye tu propio router/firewall, o simplemente añade una VPN

X

Privacidad &Cookies

Este sitio utiliza cookies. Al continuar, aceptas su uso. Más información, incluyendo cómo controlar las cookies.

¡Lo tengo!

Publicidad

Hace veinte años el Internet de banda ancha comenzó a despegar y la gente quería la opción de conectar en red más de un ordenador a su nueva conexión, por lo que los routers de red doméstica de Linksys y otros proveedores se hicieron populares. Era la época en la que las compañías de DSL y cable te obligaban a clonar la dirección MAC de tu ordenador para hacer creer a la compañía que sólo tenías UN dispositivo conectado a su sistema. Estos primeros routers no tenían demasiada seguridad integrada, pero proporcionaban traducción de direcciones de red (NAT) y básicamente hacían el trabajo.

Después, el «wifi» se convirtió en una cosa y los routers inalámbricos se añadieron a la mezcla. Creo que en algún momento todo el mundo tuvo que poseer un Linksys WRT-54G (que fue el router inalámbrico más largo producido continuamente, desde Linksys como una empresa independiente, hasta después de que LinkSys fue adquirida por Cisco, hasta cuando Linksys dejó de ser parte de Cisco).

Así que no hay ninguna razón, aparte de «el infierno de ella», que cualquier persona necesita para construir su propio router y dispositivo de firewall. Sin embargo hay mucha satisfacción en hacer las cosas por «el infierno de ella». Por supuesto, las listas publicadas de exploits conocidos para el software de los proveedores utilizados por varias amenazas persistentes avanzadas (APT) y otros actores cibernéticos maliciosos hacen que tomar más control de su hardware/software/red sea un paso prudente.

Para un router/firewall estándar necesitará un ordenador con dos tarjetas de interfaz de red (NIC). Una puede ser ethernet con cable, otra puede ser inalámbrica si sólo planeas tener una red inalámbrica, aunque mi preferencia es al menos dos NICs ethernet. Mi router/firewall personal es uno de esos ordenadores industriales compactos fabricados en China con cuatro NICs gigabit de la marca Intel, que conseguí por muy poco dinero hace dos años. Pero literalmente cualquier PC con dos NICs servirá en este momento porque el software para ejecutar un router/firewall es muy ligero.

pfsense, opnsense, clearOS, VyOS, OpenWRT, zeroshell, son sólo algunas de las distribuciones que pueden funcionar para convertir un viejo ordenador en un router/firewall. Si tienes un viejo router que ya no está soportado por el fabricante para las actualizaciones de software, yo miraría a OpenWRT como la primera opción para flashear el firmware para obtener actualizaciones de seguridad soportadas por la comunidad. Irónicamente, una gran cantidad de routers comerciales en el punto de precio más bajo ya están ejecutando OpenWRT o una ligera variación en él.

So….¿Qué recomiendo a finales de 2019? Pues si quieres usar un PC real con procesador x86 (32 o 64 bits), te recomiendo opnsense, y si quieres usar cualquier otra cosa pues OpenWRT si puedes. La excepción a esto es si usted está usando el equipo de Ubiquiti, que se construye para ejecutar su versión de software basado en VyOS (aunque VyOS es la línea de comandos solamente, no hay interfaz web a mano) por lo que familiarizarse con VyOS es probablemente mejor para esa situación.

Las cosas que usted DEBE hacer si usted está construyendo su propio dispositivo.

Configurar su propia red privada virtual (VPN) que se puede utilizar para el túnel de vuelta a su red doméstica mientras está de viaje. Esto te permitirá utilizar el WiFi público de una manera mucho más segura, ya que tu tráfico irá encriptado desde tu dispositivo móvil hasta tu router/firewall. Como el gobierno y la industria ya saben que estás pagando por el servicio de Internet en casa, ven que navegas desde el hogar, y los fisgones no pueden arrebatar tus cuentas, números de tarjetas de crédito o débito, u otros datos sensibles. La desventaja es un poco menos de rendimiento, pero la seguridad SIEMPRE tiene un golpe de rendimiento.

¿Qué software de VPN debe utilizar? Actualmente estoy usando OpenVPN ya que viene incluido en pfsense que ya estoy usando. OpenVPN también tiene aplicaciones de cliente para teléfonos inteligentes (se puede descargar desde la tienda de aplicaciones correspondiente) y tiene mucho apoyo de la industria/comunidad. La desventaja de OpenVPN es que no es intrínsecamente fácil de configurar (tuve que editar manualmente el archivo de configuración del cliente para conseguir que la conexión de mi portátil funcionara), y las aplicaciones de conexión no son siempre las más estables. Hay muchos rumores sobre Wireguard como solución, y Wireguard ha sido incorporado al kernel de muchas distribuciones de Linux. La desventaja de Wireguard es que todavía es un «trabajo en progreso» en términos de desarrollo de software y todavía están trabajando hacia una versión estable 1.0 (lo que significa que si usted adopta ahora usted es esencialmente un probador beta).

Así que … ¿por qué debe construir su propio router y configurar su propia VPN? Realmente es sólo «para el infierno de ella» o no quiere pagar una cuota mensual a un servicio de VPN comercial. No recomiendo los servicios de «VPN gratuitos» porque sospecho que todos son esfuerzos de recopilación de inteligencia por parte de varios actores estatales (principalmente China). En cuanto a los servicios VPN de pago que prometen no mirar tu tráfico, asume que están mintiendo (la paranoia en las comunicaciones es algo BUENO). Y en cuanto a los servicios VPN de pago, caveat emptor.

Más antecedentes sobre los peligros de los servicios VPN gratuitos y de pago: https://www.computerweekly.com/news/252466203/Top-VPNs-secretly-owned-by-Chinese-firms

Si ya tienes tu red configurada como te gusta, y sólo quieres añadir seguridad adicional con tu propia VPN, la antigua solución VPN de seguridad de la capa de tráfico (TLS) utilizando una Raspberry Pi de baja potencia es una gran opción: https://pimylifeup.com/raspberry-pi-vpn-server/ y puedes usar un cliente OpenVPN para tus necesidades de túneles cuando estés de viaje.

En resumen, muchos de estos proyectos no son «gratis» en términos de hardware, frustración o tiempo. Algunos de ellos tienen una curva de aprendizaje. Sin embargo, todos ellos son cosas buenas para hacer con el fin de aumentar su nivel de seguridad de la información.

Anuncios

Deja una respuesta

Tu dirección de correo electrónico no será publicada.