Medidas en contra del rastreo de tráfico dentro de una LAN

4

Aquí está la problemática con la que me quedo, en los próximos meses me voy a mudar a una pequeña casa en Francia. Para la conectividad de la red, el propietario de la casa decide comprar una sola conexión a Internet. Básicamente, el cuadro del ISP se comparte con otras 2 personas pero está en mi casa , así que si decido desconectarlo, corte la conexión. para los demás pero de todos modos.

Lo primero que me viene a la mente es que si puedo rastrear a través de la red la otra también puede, resolví el problema para otros posibles ataques como el envenenamiento de caché ARP, etc. ...

Así que vengo con una idea, pero no estoy seguro de eso, por eso publico aquí.

Aquí, un diagrama de red básico (PC 1 y PC 2 tienen solo acceso WIFI ya que la caja está en mi casa)

Veamoselsegundodiagrama:

Esta es la solución con la que vengo, excepto si logré detectar que una PC está en modo promiscuo (con nmap por ejemplo), realmente no puedo evitar que el tráfico se detenga dentro de mi red.

Teóricamente según el segundo diagrama, mi PC envió datos sin cifrar al enrutador, el enrutador cifró con IPSec o con el túnel OpenVPN luego diríjalos a mi ISP Box, por lo que si la PC 1 o la PC 2 huelen en la ISP Box, no pueden leer los datos ya que están cifrados a través del enrutador. ?

Siéntase libre de compartir conmigo otra solución que pueda hacer la cosa y corregir mi inglés :)

    
pregunta CrƟwn 18.11.2016 - 14:34
fuente

2 respuestas

2

En lugar de configurar un punto final de VPN en su enrutador, ¿por qué no configurarlo en en algún lugar de Internet ? Obtenga una máquina virtual barata en algún lugar y utilícela para ejecutar algo que viene más o menos listo para usar con un punto final de VPN.

Pero: Argumentaría (y ese es el caso muy raramente) que si su enrutador está configurado correctamente, ni siquiera tiene un problema:

Los paquetes que vienen de su PC van a su enrutador a través de un cable, y los paquetes para su PC pasan por ese mismo cable, en la otra dirección, si entiendo su sistema correctamente. El enrutador no tiene ninguna razón para enviar ninguno de los paquetes IP destinados para usted a la conexión Wi-Fi, y por lo tanto, los demás ni siquiera pueden ver esos paquetes.

Si está compartiendo un Wifi con ellos (es decir, su PC se está conectando mediante wifi, como PC1 y PC2), y tiene WPA Enterprise, entonces obtiene una clave de cifrado segura para sesión y específica de la máquina. y los paquetes extraídos del aire no podrán ser descifrados por los otros miembros de tu Wifi. (Esto no se aplica a WEP, que es absolutamente obsoleto, de todos modos, y no realmente a WPA-PSK, por lo que es posible que cualquier usuario autorizado de su Wifi obtenga su clave de transmisión wifi secreta al observar un par de sus paquetes)

    
respondido por el Marcus Müller 18.11.2016 - 17:49
fuente
2

Parece que estás buscando aislamiento de LAN. Básicamente, aislar un puerto LAN de otro es lo que hace.

Su casilla ISP puede tener dicha opción.

Si no tiene "Aislamiento de LAN", es posible que tenga "VLAN", pero una vez que tenga VLAN, tendrá una "Política de red" donde podrá proteger las VLAN. Cuando se usan VLAN, cada cliente está en una LAN virtual dedicada (subred propia), por lo tanto, varios ataques no funcionarán. Solo la VLAN no es suficiente, debe aplicar alguna política para evitar todos los posibles ataques. Si no hay una VLAN, debería haber un "Aislamiento de LAN" que es una versión simplificada con un solo botón.

El tráfico cifrado de enrutador a enrutador doméstico (como en su diagrama) funcionaría, pero es bastante complejo y podría no funcionar según lo previsto, especialmente si se usan varios modelos de enrutadores.

    
respondido por el Aria 18.11.2016 - 15:06
fuente

Lea otras preguntas en las etiquetas