Asegurando espacio de IP privado

Navega tus respuestas
2

Como todos sabemos, los enrutadores que usted compra en la tienda vienen preestablecidos para entregar las direcciones IP mediante DHCP, generalmente en una de las tres redes: 10.0.1.1/24, 172.16.0.1/24 y 192.168.1.1/24 . Personalmente restringo DHCP a un rango menor y uso reservas DHCP basadas en la dirección MAC para hacer que los dispositivos de red se toquen a través de SSH, RDP. Más fácil, etc. Estoy a punto de volver a IP mi red (para no tener conflictos con la configuración de mi laboratorio), y me puse a pensar: ¿es más seguro usar una red aleatoria dentro del espacio de IP privado (por ejemplo, 10.143.97.1/24 o 172.26)? .248.1 / 24) que usar los valores predeterminados que utiliza casi todas las empresas de redes?

Creo que la respuesta está en algún lugar entre "tal vez" a "no, pero no puede doler". Si bien creo que sería más difícil para una persona con intenciones maliciosas acceder a la página de administración del enrutador, también me doy cuenta de que cualquier persona con Wirehark puede ver las IP de origen / destino, de modo que puedan descubrir la topología de la red (al menos la parte inalámbrica de la misma) de esa manera. El filtro MAC, una frase de contraseña segura y el cifrado ayudan a proteger la red, por lo que no creo que el uso de una red aleatoria ayude necesariamente, pero tampoco veo que me duela.

    
pregunta Craine 20.05.2012 - 01:40
fuente

4 respuestas

7

Las medidas de seguridad que son el tema principal de su pregunta aquí (filtrado de MAC, direccionamiento IP no estándar) básicamente equivalen a "seguridad a través de la oscuridad". Son muy débiles contra un atacante dedicado, por lo que no se debe confiar en ellos como las únicas funciones de seguridad en su sistema.

Dicho esto, incluso la seguridad a través de la oscuridad tiene su lugar en un enfoque adecuado de defensa en profundidad. Cualquier cosa que pueda hacer para que a un atacante le resulte más difícil comprometer su sistema, aunque no tenga demasiado impacto en la usabilidad del sistema, puede considerarse valiosa.

La configuración de mi propia casa usa todas las cosas que has mencionado, y luego algunas:

  • filtrado de direcciones MAC
  • ID de red no estándar (ni siquiera termina en .0)
  • subred restringida (menor que / 24)
  • Direcciones DHCP reservadas para todos los dispositivos registrados
  • Seguridad WPA2 en la red Wi-Fi
  • PSK generado aleatoriamente de 63 caracteres
  • WPS deshabilitado en los AP
Los últimos tres elementos, además de una seguridad física razonablemente sólida en la casa, son las cosas reales que mantienen a los usuarios no autorizados fuera de mi red desde el lado de la LAN. Mientras WPA2 permanezca bastante seguro, nadie va a estar olfateando mi tráfico por el aire y mucho menos uniéndose a mi red en el corto plazo. Si alguna vez llega el momento en que WPA2 se rompe y no hay un reemplazo adecuado disponible, estoy bastante cómodo de que cualquier atacante inalámbrico (a menos que me esté apuntando a mí personalmente o que los datos específicos que residen en mi red) puedan seguir adelante a otra víctima antes de que se molesten en ingresar a mi red.

El único inconveniente real de estas medidas de seguridad adicionales es que puede ser un poco molesto poner nuevos dispositivos en la red, especialmente teléfonos inteligentes y tabletas. Para la mayoría de las personas, agregar un nuevo dispositivo es así:

  1. Seleccione la red Wi-Fi, ingrese PSK desde la memoria, presione "conectar".
  2. (No hay paso 2)

Para mí, es algo como esto:

  1. Inicia sesión en la página de configuración del enrutador
  2. Averigüe cómo obtener la dirección MAC del nuevo dispositivo. Agréguelo al filtro de dirección MAC en el enrutador. Si no quedan ranuras en el filtro (parece que los enrutadores de Linksys están limitados a 32), elija un dispositivo inactivo para quitarlo del filtro para dejar espacio.
  3. Elija una dirección IP para asignarla al dispositivo, agréguela a las reservas DHCP en el enrutador. Si no hay IP libres, elija una IP inactiva para cancelar la reserva y reasignar.
  4. Si el nuevo dispositivo es una computadora portátil o de escritorio, conecte la unidad de disco USB, copie y pegue PSK en el nuevo sistema, haga clic en conectar. Si se trata de un teléfono inteligente, tableta u otro dispositivo de función limitada, cargue el archivo de texto con PSK en mi computadora portátil, ingrese el PSK aleatorio de 63 caracteres manualmente en el nuevo dispositivo y haga clic en conectar. Repita este paso hasta que tenga éxito.

Por lo tanto, agregar un nuevo dispositivo puede ser complicado, ocasionalmente en un grado problemático. Afortunadamente, no es algo que sucede a menudo. Aparte de esto, las medidas de seguridad adicionales realmente no tienen ningún impacto en la facilidad de uso de la red para los usuarios autorizados.

¿Qué le compran todas estas medidas adicionales en realidad ? Tal vez sólo una sensación cálida borrosa. ¿Vale la pena? Eso es para que usted decida.

    
respondido por el Iszi 20.05.2012 - 06:01
fuente
3

Si bien tener una subred de red local "aleatoria" normalmente no lo ayudará contra un ataque, ha habido ataques CSRF y ataques de troyanos o virus que esperan una cierta configuración de red local. La configuración esperada es, en casi todos estos casos, tener la puerta de enlace en 192.168.0.1 o 192.168.1.1.

Si bien es muy improbable que alguna vez veas algún beneficio de seguridad al utilizar alguna configuración de red local diferente, no es una mala idea elegir una subred menos utilizada de todos modos. Esto se vuelve particularmente claro si alguna vez intenta conectar su red a una VPN.

    
respondido por el tylerl 20.05.2012 - 11:01
fuente
1

Tienes razón, una dirección de red aleatoria no te hará daño. Si desea evitar choques con otras direcciones IP, consulte el RFC5735 para obtener otros rangos que no deben coincidir con las IP de Internet válidas, pero tampoco lo harán con otros rangos internos estándar.

También usar algo no estándar lo protegerá de secuencias de comandos u otras amenazas que intenten alterar la configuración de su enrutador a través de XSS / XSRF.

Podría decirse que el filtrado de direcciones MAC ayudará, ya que eleva la barra para que el atacante pueda cambiar la dirección MAC de su equipo, aunque existe un argumento para no usarla y, en cambio, monitorear su red para nuevas direcciones MAC como una señal de intrusión.

    
respondido por el Nick 20.05.2012 - 16:58
fuente
0

Ya que parece estar en un lugar para realizar experimentos de pensamiento sobre seguridad de la red, tal vez le interese agregar más seguridad a su WLAN, eche un vistazo a Aislamiento de servidor y dominio .

Esta implementación garantiza que todas las conexiones de red se autentiquen mediante certificados basados en PKI. Cualquier persona que no sea miembro de esa PKI es rechazada.

Es realmente genial y MSFT lo ha estado utilizando internamente desde al menos el 2006.

    
respondido por el random65537 04.06.2012 - 19:20
fuente

Lea otras preguntas en las etiquetas

¿Cuáles son los enfoques para detectar el ataque DoS en IDS / Firewall? ¿Cuál es el peor daño que podría causar javascript a un cliente?