¿Las diferentes máscaras de subred en la red doméstica proporcionan alguna seguridad?

4

Tengo dos enrutadores en mi red doméstica: uno es proporcionado por mi ISP y el otro es mi enrutador privado. Enrutador A- Enrutador ISP: 192.168.1.x enrutador B- enrutador privado: 192.168.2.x

Los clientes en la red LAN de mi enrutador A no pueden hacer ping a los clientes en la red de mi B. Sin embargo, los clientes en B pueden hacer ping a los clientes en A. ¿Proporciona esto seguridad, si permito que mis amigos / visitantes utilicen el enrutador de mi ISP? ¿O es esto solo seguridad a través de la oscuridad? Entonces, si un atacante logró ingresar al enrutador A, ¿pueden ver a los clientes en el enrutador B fácilmente?

    
pregunta marcwho 24.03.2013 - 23:57
fuente

2 respuestas

8

Bueno, eso está sucediendo porque probablemente esté usando NAT para el enrutador B. No está mal, pero no es una mala práctica. Obviamente, si pueden acceder al enrutador A, técnicamente pueden, efectivamente, hacerse cargo de la red. Entonces, si el enrutador B envía tráfico, el enrutador A verá ese flujo.

Ahora, si desea una buena configuración, la clave es crear varias subredes y restringirlas en consecuencia. Por ejemplo, haz tres subredes diferentes:

  • gestión 192.168.1.0
  • 192.168.2.0 de confianza
  • 192.168.3.0 visitantes

Estas redes deben estar separadas y no deben enrutarse entre sí (pero puede enrutar de confianza a los visitantes, pero no al revés (función de firewall)). Luego puede asignar un puerto en su enrutador que tenga la red 192.168.1.0 configurada para que pueda acceder a la interfaz de administración (esto no debe ser accesible desde las otras dos redes). Esto evita que los atacantes accedan a tus enrutadores.

    
respondido por el Lucas Kauffman 25.03.2013 - 00:13
fuente
1

No es exactamente la seguridad a través de la oscuridad, sino más bien la seguridad circunstancial. Dado que los clientes de B tienen NAT internamente, pueden hacer ping a A pero no al revés, de manera similar a cómo puede hacer ping al enrutador de otro amigo en Internet, ya que también están en una NAT.

Hablando de la experiencia en seguridad ofensiva, una red como esa puede verse comprometida de varias maneras desde atacar el enrutador B (que aloja su subred privada) hasta ARP Spoofing o análisis de tráfico de red. Sin embargo, esto dependería de la experiencia del atacante.

Como dijo Lucas, las políticas de firewall son definitivamente una forma de protegerse mejor, pero a juzgar por su publicación, este asunto es de seguridad doméstica, no de una empresa.

Pero, dado que esto realmente no es un problema cuando los clientes internos están preocupados (es decir, el atacante tendría que estar en su casa), asegúrese de que su WiFi esté bien asegurada hacia los dispositivos externos. La WiFi Alliance tiene un documento sobre asegurando WiFi personal.

    
respondido por el Rohan Durve 25.03.2013 - 09:02
fuente

Lea otras preguntas en las etiquetas