Foro

Avatar de jaume_rotger
jaume_rotger
Más integrado que la RDSI
02-09-2024
Resuelto

Securizar router 3505VW

Buenos días, 

 

Me encuentro en proceso de "securizar" todo lo posible un router 3505VW para ofrecer cobertura a usuarios invitados de una instalación. Mi primer objetivo era el de ubicar la IP  de gestión en un rango diferente a las IP del DHCP de los clientes pero por lo que veo, esta configuración no es posible. 

 

Existe alguna manera de lograr que los clientes no lleguen al management del router? Más allá de las credenciales del propio portal. Además, agradecería si me pudieran facilitar unos "tips" sobre cualquier campo para securizar aún más el dispositivo. 

 

Saludos! 

  • Avatar de Theliel
    Theliel
    02-09-2024

    Buenas jaume_rotger 

     

    Si la seguridad es realmente importante, no es adecuado tener una red de invitado en el mismo Router, siendo mucha mejor opción un segundo Router que aísle totalmente dicha red.

     

    Con el mismo Askey, se debería en primer lugar usar el aislamiento WIFI, que por defecto creo que vendrá marcado para redes de invitado. No obstante, habría que ver con mucho ojo si este aislamiento hasta donde funciona correctamente.

     

    La cuestión de la interfaz Web recaería en todo caso en el firewall, usarlo para crear reglas que afecten solo al bridge principal para limitar el acceso a este a los puertos de gestión (80/443/22). Así mismo, para evitar que pudiesen robar las credenciales de acceso, sería necesario que a partir de ya accedieses a la interfaz web por HTTPS y no por HTTP, ya que la contraseña y otros datos serían transmitidos en texto plano, un potencial usuario mal intencionado podría capturarlos.

     

    -Siempre tener deshabilitado WPS en todas las redes WFI, las propias y las de invitados.

    -Siempre tener una contraseña WIFI minimamente decente y no caer en ataques de ingeniería social

    -El Askey tiene un apartado llamado "Grouping" que en teoría permite crear otras agrupaciones e incluso asignar a ellas un servidor DHCP diferente. Se podría intentar hacerlo andar

    --------------

     

    De todos modos reitero la importancia, en caso de que la seguridad sea primordial, de aislar toda la red con otro Router usado únicamente para dichos fines

     

    Saludos.

3 Respuestas

  • Avatar de Técnico-Movistar
    Técnico-Movistar
    Responsable Técnico
    05-09-2024

    Hola jaume_rotger

     

    Te agradecemos que hayas marcado como resuelto el post, debido a que no recibimos mas respuestas por tu parte, cerraremos el hilo.

     

    No dudes en contactar de nuevo con nosotros si tienes cualquier consulta y/o problema.

    ¡Gracias por confiar en nosotros y participar en la Comunidad!


    Un saludo, Kevin.

  • Avatar de Técnico-Movistar
    Técnico-Movistar
    Responsable Técnico
    02-09-2024

    Hola jaume_rotger 

     

    Agradecemos al usuario Theliel  por su aporte.

     

    En efecto, la información suministrada es correcta, ten en cuenta que el portal para acceso remoto del router, conocido como Portal Alejandra, ha sido puesto fuera de servicio y la única manera de que alguien accediera al management del router, seria estando conectado a tu red e ingresando a la dirección ip del gateway o a través de la app Smart WiFi.

     

    ¡Gracias por confiar en nosotros y participar en la Comunidad Movistar!

     

    Un saludo,
    Jorge.

  • Avatar de Theliel
    Theliel
    Yo probé el VDSL
    02-09-2024

    Buenas jaume_rotger 

     

    Si la seguridad es realmente importante, no es adecuado tener una red de invitado en el mismo Router, siendo mucha mejor opción un segundo Router que aísle totalmente dicha red.

     

    Con el mismo Askey, se debería en primer lugar usar el aislamiento WIFI, que por defecto creo que vendrá marcado para redes de invitado. No obstante, habría que ver con mucho ojo si este aislamiento hasta donde funciona correctamente.

     

    La cuestión de la interfaz Web recaería en todo caso en el firewall, usarlo para crear reglas que afecten solo al bridge principal para limitar el acceso a este a los puertos de gestión (80/443/22). Así mismo, para evitar que pudiesen robar las credenciales de acceso, sería necesario que a partir de ya accedieses a la interfaz web por HTTPS y no por HTTP, ya que la contraseña y otros datos serían transmitidos en texto plano, un potencial usuario mal intencionado podría capturarlos.

     

    -Siempre tener deshabilitado WPS en todas las redes WFI, las propias y las de invitados.

    -Siempre tener una contraseña WIFI minimamente decente y no caer en ataques de ingeniería social

    -El Askey tiene un apartado llamado "Grouping" que en teoría permite crear otras agrupaciones e incluso asignar a ellas un servidor DHCP diferente. Se podría intentar hacerlo andar

    --------------

     

    De todos modos reitero la importancia, en caso de que la seguridad sea primordial, de aislar toda la red con otro Router usado únicamente para dichos fines

     

    Saludos.