Saludos a todos, os presento...
OpenWRT-SEC: The Saul Goodman's Router
Si no conocéis a Saul Goodman
(Qué fuerte me parece!) podeis visitar
http://www.bettercallsaul.comEl trabajo de Saul consiste en mantener alejados de los juzgados a sus clientes, sin importar lo muy hasta las cejas que estén en asuntos 'turbios'... De esta manera, OpenWRT-SEC debería hacer exactamente lo mismo con sus usuarios.---------------------------------------
Bueno, al tajo;
Abro este post con la intención de basar aquí mi proyecto personal de I+D. Éste debería estar cubierto por el 'fork' 'PacketProtector' de OpenWRT que actualmente está inactivo.
PacketProtector contaba con:
PacketProtector is a Linux distribution for wireless routers, built on top of OpenWrt. The goal of this project is to transform the router into a unified threat management device.
Here's what you get-
a stateful firewall (iptables)
WPA/WPA2 Enterprise wireless (802.1X and PEAP with FreeRADIUS)
intrusion prevention (Snort-inline)
remote access VPN (OpenVPN)
content filtering/parental controls (DansGuardian)
web antivirus (DG + ClamAV)
a local certificate authority (OpenSSL)
secure management interfaces (SSH and HTTPS)
advanced firewall scripts for blocking IM and P2P apps
IP spoofing prevention (Linux rp_filter)
basic protocol anomaly detection (ipt_unclean)
anti-phishing (OpenDNS)
automatic signature/rule updates
Each of these services is automatically bootstrapped and configured with sensible defaults. A secure web interface makes common configuration tasks as simple as a point and click.
Fuente:
http://www.packetprotector.org/Post Edit En algunos hilos del foro de PacketProtector hablaban de mudarse a DD-WRT antes de que muriera el proyecto, pero por lo que he podido buscar en la red poco más se ha sabido desde 2010.
Me ha resultado IMPOSIBLE hacerme con ningún router compatible. Imposible y descartado probar PacketProtector.
------En primer lugar, toca decidir el Hardware. Mi principal candidato es, en estos momentos, el
Commtrend AR-5387un. Tengo dos y lo único especial que les encuentro es su tamaño. A pesar de esto, tenemos alternativas:
AR-5387un
CT-5361
CT-5365
ASL-26555
Livebox 2.1
(Dejo esta lista por si en el futuro tengo que abandonar el AR-5387un, de esta manera ya tenemos claros las diferentes opciones que tenemos).
PostEdit: Una vez funcionando una primera versión, no debería ser demasiado difícil re-compilar para otras plataformas.En lugar de eso, voy a intentar trabajar en un '
megapaquete' (de unos cuaaaantos paquetes, de una cantidad - me temo - desconsiderada de MBs y por tanto
montada en almacenamiento externo (Memoria USB o Lector de Tarjetas + Memoria SDHC) que cada uno intale en su router 'rulando' OpenWRT, y
configure según sus necesidades,
activando y
levantando el
servicio, que se encargue de configurar y administrar las aplicaciones mediante una
interfaz web.
-------En segundo lugar, establecer el objetivo del Router (Contemplaría TODOS los que aparecen en la descripción de PacketProtector, pero quizás algunos escapen todavía a mi conocimiento):
-Diferentes opciones de ofuscación y anonimato digital (TOR, I2P...)
-Preinstalación para navegación a través de Proxy's Públicos/Privados.
-Uso de Certificados GPG (GNU Privacy Guard - PGP Pretty Good Privacy)
-Control Remoto
-Cliente y Servidor VPN - stronSwan IPsec
-Snort (IPS Software) y/o otros sistemas de detección de intrusos.
-Control Parental (Para bloquear y evitar Sitios Web 'cotillas' que registren nuestra actividad.
-Configuración Conservadora del Firewall
-Aplicaciones de auditoría de redes cableadas.
-Autentificación FreeRADIUS.
-Valorando la opción de integrar Kismet, aunque el tema de auditoría wireless no es lo principal. Tan sólo lo que tenga que ver con 'tapar' agujeros y asegurar nuestra propia operación.
(NO es objetivo de este proyecto ningún tipo de soporte para aplicaciones multimedia, de compartición de archivos, almacenamiento, impresoras ni nada de eso. Más bien se trata de lo contrario.)
NOTA: Quizás sí sea interesante añadir soporte para almacenamientos, aunque no para su compartición. Ya que debido a la cantidad de software que queremos añadir necesitemos espacio extra.
Post Edit: Una modificación para añadir una SD interna sería muy interesante, por aquello de mantener funcional el puerto USB.
-------En tercer lugar, os puedo hablar de las posibles aplicaciones:-Conectarse desde casa de la abuela al Servidor VPN de tu 'HardenedRouter' en casa y salir a internet vía TOR o similar.
-Encriptado y tunelado VPN del tráfico a través de un HotSpot Wireless Abierto, asegurando la confidencialidad de nuestros datos.
-Conectarse desde los puertos ethernet del Router y salir a la red mediante Proxy, VPN o similar.
-Realizar auditoría de seguridad, exploración de redes etc, en cualquier red en la que sumerjamos el dispositivo.
-Montaje de HotSpots y/o HoneyPots, sin miedo a que por el camino acabemos siendo el cazador cazado.
De alguna manera, quiero convertir un simple 'Router' en un aparato especializado en conexiones informáticas seguras, ofuscadas, anonimizadas, ocultas...
----------------------------------------
Empieza el trabajo; Empiezo por buscar la manera de instalar OpenVPN. En todos lados explican maneras, en ningún lado dan resultado... Ni opkg ni nada. OpenVPN no parece estar en los Repos de OpenWRT. Serán bienvenidas indicaciones. 
Quizás no exista OpenVPN para Barrier Breaker. Quizás tenga que usar Attitude Adjustement. Ojalá alguien me confirme esto.Edición: Ya tenemos OpenVPN.
root@OpenWrt:~# opkg list | grep openvpn
openvpn-easy-rsa - 2013-01-30-2 - Simple shell scripts to manage a Certificate Authority
openvpn-nossl - 2.3.2-3 - Open source VPN solution using plaintext (no SSL)
openvpn-openssl - 2.3.2-3 - Open source VPN solution using OpenSSL
openvpn-polarssl - 2.3.2-3 - Open source VPN solution using PolarSSL
Por otro lado, sí que se encuentra disponible
Snort aunque creo que su configuración y. sobre todo, la implementación de un conjunto de 'Reglas' que lo hagan eficaz será costoso.
