La nueva versión Asuswrt-Merlin 380.67 incorpora importantes novedades de seguridad
Asuswrt-Merlin es un firmware basado en el firmware oficial ASUSWRT que incorporan todos y cada uno de los routers del fabricante ASUS. La principal característica de este firmware es que añade opciones avanzadas muy interesantes, pudiendo incluso instalar software adicional.
El desarrollador de este firmware va a lanzar próximamente la versión final de Asuswrt-Merlin 380.67 para todos los modelos soportados. Esta nueva versión incorpora dos características nuevas muy interesantes que os debemos explicar.
HTTPS con posibilidad de almacenar un certificado digital propio
Tanto el firmware ASUSWRT Merlin como el oficial, permiten habilitar la administración del router a través del protocolo seguro HTTPS. Para poder habilitar HTTPS, es obligatorio la generación de un certificado digital para que el navegador wen lo detecte correctamente y nos permita conectarnos.
Este certificado digital lo crea el router automáticamente, y no permite en ningún momento instalar uno propio creado por nosotros y firmado por una CA como Let’s Encrypt. Además, otro problema que nos encontramos al activar HTTPS es que cada vez que reiniciamos el router, se genera un nuevo certificado diferente, por lo que nos saldrá el típico mensaje en el navegador informando que no se confía en un certificado auto-firmado.
En la nueva versión 380.67 el firmware reusará el certificado digital creado por primera vez, de esta manera, no nos saldrán continuamente avisos en el navegador indicando que el certificado ha cambiado. Además, lo más importante es que vamos a poder crear nuestro propio certificado digital, dicho certificado digital estará ubicado en la ruta /jffs/ssl/. En esta ruta deberemos colocar el certificado cert.pem y también la clave privada key.pem en formato .PEM. Las opciones para gestionar estos certificados estáran en Administración / Sistema.
FTP con soporte TLS en el router ASUS
Otra novedad muy importante es el soporte de TLS en el servidor FTP. Hasta ahora, el servidor FTP no utiliza ningún tipo de cifrado, ni para la autenticación con usuario y contraseña, ni tampoco para la transferencia de los datos. La única forma de poder acceder al FTP de manera segura, era estableciendo primero una conexión OpenVPN contra el servidor VPN del router, o si teníamos en nuestro hogar un VPN dedicado.
Con la nueva versión de ASUSWRT Merlin 380.67 tendremos soporte FTP+TLS, es decir, usará el protocolo FTPES por lo que tanto la autenticación como la transferencia de datos estarán cifrados punto a punto. La clave privada y el certificado digital se generará automáticamente la primera vez que se active, no obstante, vamos a poder reemplazarlos por los nuestros sin ningún problema. Los certificados estarán ubicados en /jffs/ssl/ con el nombre ftp.key para la llave privada, y ftp.crt para el certificado digital.
Otras mejoras que incorpora la actual versión beta
Otras mejoras que incorpora la versión beta de ASUSWRT Merlin 380.67 es por ejemplo la actualización de todo el software interno, como Tor, OpenSSL, nano, ipset y un largo etcétera. Además, también se han solucionado fallos que tenían las versiones anteriores.
Os recomendamos visitar la web oficial de ASUSWRT merlin donde encontrarás todas las novedades sobre este fantástico firmware. Podéis visitar nuestra sección dedicada a ASUS donde encontraréis análisis a fondo de sus principales equipos.
Via: www.redeszone.net