BandaAncha.eu

Comunidad de usuarios
de fibra, móvil y ADSL

Sustituir Nucom R5000UNv2 de Jazztel ¿Opciones?

BocaDePez
BocaDePez

Buscando y buscando modelos y comparativas he llegado a la entrada ¿Me ayudan a elegir buen modem-router? Asus vs Tp-link (3 modelos concretos) que se parece mucho al punto en el que nos encontramos. Para no entorpecer ese hilo abro otro por aquí.

Disponemos de un Nucom R5000UNv2 de Jazztel para una "simple" conexión ADSL indirecta de 6Mbytes. En este modem no se usa su WIFI.

Queremos sustituirlo por otro modem-router con mejores prestaciones, en especial lo relativo a la seguridad y firewall. En el actual no puedo cerrar adecuamente los puertos, y si realizo chequeos desde fuera me aparecen muchos como "closed" en vez de "stealth". Además de que en algún equipo de la red local se han detectado intentos de conexión al puerto 137. Todo eso, a pesar de que el firewall del router está activado y con reglas descartando cualquier intento de conexión externa hacia ese puerto.

No queremos invertir mucho presupuesto, pero sí contar con una seguridad adecuada, y no como ahora, que esto parece un queso Gruyère.

Como el otro usuario, había recopilado los siguientes candidatos:

Las cualidades que más nos interesan son (por orden):

  1. Seguridad de la red interna.
  2. Fiabilidad de la "simple" conexión ADSL 6 Mbytes que disponemos, compatible con Jazztel.
  3. Que la marca proporcione actualizaciones del firmware para corregir errores y añadir mejoras.
  4. Que no se caliente en exceso.
  5. Tamaño reducido.
  6. Hub Gigabit.

La opción de buscar un router neutro y combinarlo con el Nucom no nos atrae.

¿Qué os parece? ¿Con cuál os quedais? ¿O qué otra opción proponéis? ¡Gracias, y felices fiestas!!

Un saludo.

BocaDePez
BocaDePez

Te comes mucho el coco veo...,de todas maneras si la NSA,la CIA,el FSB,el Mi6 o Mossad por poner un ejemplo quieren saber con que te la pelas los fin de semana,te aseguro que un cambio de router no vá a evitar que se te cuelen.Tu mismo

mceds

Aunque sus propósitos finales tengan algún común denominador (como "bloquear puertos"), los cortafuegos por software y la NAT de los routers tienen poco que ver. Y observo que tú sigues con el esquema mental de los cortafuegos por software:

En el actual no puedo cerrar adecuamente los puertos

No hay que cerrar ningún puerto en un router recién comprado. Todo están cerrados, o sería mejor decir "no redirigidos". Para abrir un puerto en un router, hay que conocer la IP o MAC del equipo que tiene el servicio que depende de ese puerto y crear, adrede, una regla de NAT con esos datos. O bien, se puede dejar que uPNP lo haga automáticamente (lo que yo desaconsejo explícitamente, pero en esto hay división de opiniones).

Si has tenido un intento de intrusión a través del TCP 137, me apuesto los huevos del BocaDePez que te ha respondido primero a que ha sido por motivos que sufrirías de igual modo con el Asus o los TP-Link, a saber:
―Alguien se ha metido en tu red a través de la WiFi. Configura cifrado WPA2/AES con contraseña de 63 caracteres combinando mayúsculas, minúsculas, números y símbolos; y desactiva WPS (otra cosa en la que hay división de opiniones, pero hay alternativas mucho mejores).
―Alguien se te ha metido en el router por acceso remoto. Desactívalo y cambia las contraseñas de todos los posibles usuarios.
―Algún malware ha usado uPNP para abrir ese puerto. Desactiva éste e intenta deshacerte del malware.
―El router tiene alguna vulnerabilidad; pero en una búsqueda rápida, tanto aquí como en la red en general, no me ha salido nada.

Respecto a los chequeos, apostaría a que has hecho el de GRC.com. No le prestes mucha atención a esa pretendida diferencia entre "stealth" y "closed" en un router, porque a efectos prácticos no implica nada. También el mío con OpenWRT da unos cuantos "closed".

🗨️ 5
BocaDePez
BocaDePez

Hola mceds. Gracias por tus observaciones.

Con mi comentario de "no puedo cerrar adecuadamente los puertos" me refería a que tras los primeros incidentes conseguí activar el firewall del Nucom y declarar una regla para que cualquier petición externa con destino un puerto 137 interior fuera descartada. Además su acción por defecto es "drop". A pesar de ello, con posterioridad en un equipo de la red interna, en su firewall han aparecido avisos de intentos de conexión externos a su puerto 137 (UDP y TCP). No me lo explico.

En el router Nucom la wifi está desactivada. En otro router de la red local que sí proporciona wifi la configuración siempre ha estado como indicas. El acceso remoto al router Nucom también está desactivado (80, 23, 21, 69, 445), además de UPnP. Incluso otras cuestiones como la sincronización remota de la hora, el servidor de impresión, el proxy DNS, DLNA, servidor DMZ o port triggering. Todo desactivado. Lo único que veo es "SIP Enabled" y "VPN Enabled" sí marcados en el apartado de Advanced Setup > NAT > ALG. Y la parte de "TR-069 client" que cuando trato de deshabilitar la opción de informar no me deja. Las contraseñas de las cuentas del Nucom se cambiaron desde un principio.

Los equipos de la red local tienen antivirus y firewall.

Has acertado, el chequeo que realizo es el de GRC.com. Cuando lo lanzo en el apartado de firewall del Nucom se comprueba que ha habido ocurrencias de la regla declarada.

No sé si es una vulnerabilidad del router. Ya pregunté y no hay ninguna actualización del firmware.

La búsqueda de un nuevo router es para ver si así se soluciona. Ya no sé qué mirar.

Un saludo.

🗨️ 4
mceds

¿Cómo "otro router"? ¿Qué esquema tienes en esa red?

🗨️ 3
BocaDePez
BocaDePez

Perdona, realmente debí hablar de un AP. Es un router que sólo se utiliza para ofrecer wifi a los dispositivos móviles. El wifi del Nucom no está habilitado. Y en ese AP la configuración del wifi está como comentas.

🗨️ 2
mceds
🗨️ 1
BocaDePez
BocaDePez
vukits

compra un router neutro que soporte Gargoyle o Openwrt , pon el Nucom en modo monopuesto

Openwrt (y Gargoyle) es una distro totalmente configurable

🗨️ 2
BocaDePez
BocaDePez

Hola vukits. Como ya dije, la opción de meter un router neutro no nos atrae. El espacio es reducido y no sé si va a complicar la instalación. Pero ya que empezamos año, voy a estudiar la opción y hacer números, a ver cuánto costaría, y compararla con adquirir uno de los que indicaba. ¿Recomiendas alguno en concreto que éste ajustado de precio? Gracias y saludos.

🗨️ 1
vukits

Casi la totalidad de los TPLink son compatibles con Gargoyle ... (te recomiendo echar un vistazo a la página web donde te deberían aparecer los modelos compatibles)