DrayTek es una marca de referencia en entornos profesionales y PYMES. Los equipos de acceso a internet son objetivo frecuente de ciberataques. En algunos casos, se pueden llegar a detectar vulnerabilidades críticas que afectan a cientos de miles de dispositivos. DrayTek publica las vulnerabilidades conocidas regularmente. Los avisos oficiales de seguridad se pueden consultar en el DrayTek Security Advisory para verificar si tu modelo específico tiene alguna vulnerabilidad y existen parches pendientes que puedan ser aplicados.
Para mantener tu router Vigor protegido, a continuación te enumeramos algunas sencillas recomendaciones
Actualizaciones, backups y planes de contingencia para tareas programadas
Es una medida crítica. DrayTek publica con frecuencia firmwares con mejoras de funcionamiento en algunas de ellas se incluyen parches de seguridad para corregir vulnerabilidades detectadas o mejorar la seguridad de sus equipos.
- Actualizaciones automáticas: En los modelos con DrayOS 5, se puede activar la actualización automática del firmware en el menú yendo a: Mantenimiento del sistema > Actualización del sistema y seleccionando "Actualización automática para actualizaciones críticas". Utiliza esta opción si tu equipo lo permite y quieres que las actualizaciones se realicen de forma desatendida, aunque desde Alvaco pensamos que es mejor tomar el control sobre actuaciones críticas como esta.
- Haz copias de seguridad regularmente: Es una buena práctica especialmente antes de cualquier actualización, pero también como medida preventiva sobre fallos o averías de hardware. Puedes realiza un respaldo de tu configuración en System Maintenance > Config Backup.
- Ten un plan de contingencia: Antes de cualquier actuación remota en un equipo de cliente, evalua un plan de contingencia por si algo fallase. Una actualización incorrecta puede dejar tu instalación sin servicio.
Control de Acceso Remoto (Admin)
La mayoría de los ataques exitosos explotan la interfaz de administración web expuesta a Internet.
- Desactiva el acceso remoto: Si no lo necesitas para gestionar el router desde fuera de la oficina, desactiva esta opción por completo.
- Usa Listas de Control de Acceso (ACL): Si necesitas acceso remoto, restringe las direcciones IP que pueden conectarse.
- Cambia los puertos por defecto: Esta opción ayuda a no utilizar los puertos conocidos para dificultar el acceso al equipo y utiliza protocolos cifrados como https
- Habilita la opción de Captcha para hacer login en la administración web del equipo, es otra opción que dificulta los intentos de acceso no deseado
- Configura la protección contra ataques de fuerza bruta, la mayoría de los routers de DrayTek soportan esta función.
- Habilita 2FA: Configura la autenticación de dos factores para el acceso de administrador.
Fortalecimiento del Firewall y Servicios
- Desactiva servicios innecesarios: Apaga protocolos como TR-069 o SNMP si no los utilizas para la gestión remota o servicios de VPN que no utilices como PPTP o L2TP
- Segmentación de red: Utiliza VLANs para separar el tráfico crítico de la empresa del Wi-Fi de invitados o dispositivos IoT, limitando así el movimiento lateral de un atacante.
- Cambio de credenciales: Nunca mantengas las contraseñas por defecto. Usa contraseñas robustas y únicas.
Seguridad en VPNs
DrayTek es conocido por su robustez en VPN, pero los túneles mal configurados son un riesgo.
- Usa protocolos modernos: Prioriza IKEv2 con cifrado fuerte sobre protocolos antiguos como PPTP. Además los routers DrayTek incluyen un procesador de cifrado para este protocolo que hacen más eficientes las VPN.
- VPN SSL: Si usas VPN SSL (Puerto 443), asegúrate de estar en una versión de firmware reciente, ya que versiones antiguas han presentado vulnerabilidades que las ACL no bloqueaban correctamente. Además recomendamos que utilices un puerto no estándar para este servicio y diferente del puerto de gestión remota del equipo.