Spoofing y seguridad de la red de invitados

Navega tus respuestas
1

Sé un poco sobre la seguridad de la red, pero es suficiente para saber que hay muchas cosas que no sé. Mi requisito es agregar un segundo wifi a mi configuración actual (1 wifi emitido por un enrutador OpenWRT de 1 radio-wifi físico y un grupo de computadoras conectadas al wifi) y evitar que los usuarios del segundo wifi accedan a mi enrutador La página de configuración y cualquier servicio que se ejecute en cualquiera de mis dispositivos (p. ej., servidores y archivos compartidos que no sean visibles en Internet).

Mis medidas de seguridad actuales son las reglas de iptables que impiden el acceso de usuarios de 2da wifi a mi red original según las IP de origen o las interfaces de origen. Mi temor es que estos pueden no ser suficientes. 

(option 1: ip-based filtering)
iptables -I FORWARD -s $GUEST_SUBNET -d $HOME_SUBNET -j REJECT

(option 2: interface-based filtering)
iptables -I FORWARD -i $GUEST_INTERFACE -d $HOME_SUBNET -j REJECT

No sé mucho acerca de la suplantación de identidad, pero me parece que si un segundo usuario de wifi "atendió" sus solicitudes a la página de configuración del enrutador (que se encuentra dentro de $ HOME_SUBNET) proviene de una IP de origen dentro de $ HOME_SUBNET , podría acceder a la página de configuración e interactuar con ella, ya que podría rastrear todo el tráfico a la dirección IP falsa de la fuente y construir respuestas sensatas. ¿Derecha?

  1. Si me equivoco, y mis reglas de iptables son suficientes, ¿podría alguien explicar por qué no es posible una falsificación dadas mis reglas y mi razonamiento?

  2. De lo contrario, ¿el cifrado de la wifi de mi casa desempeña un papel en esto? Por ejemplo, si el wifi de mi casa estaba encriptado con WEP / WPA2 / 802.1x, la respuesta a la IP de origen falsa $ HOME_SUBNET también se cifraría y, por lo tanto, sería ilegible para mis invitados (asegurando así la red doméstica de mis invitados) ? Esto parece sensato ...

¡Gracias!

PD: esta pregunta se deriva de una reciente pregunta de la mía y Las respuestas que recibí por él.

EDITAR: Para ser claros, el wifi de mi casa y el de mi huésped son emitidos por el mismo enrutador.

    
pregunta rmanna 18.01.2014 - 09:16
fuente

1 respuesta

1

Esto no es posible. La interfaz de configuración de un enrutador está ejecutando HTTP, que usa TCP en la capa 4. Para que la conexión TCP sea exitosa para comenzar a hablar HTTP en la capa 7, debe tener el siguiente protocolo de enlace:

El problema con la falsificación de IP con respecto a TCP es que esto no es posible. Con solo el filtrado de IP, podrá enviar el primer SYN más allá del firewall, pero su enrutador responderá a la persona que tiene la IP real con SYN-ACK, lo que significa que nunca podrá enviar ACK. Esto significa que no hay un protocolo de enlace posible y, por lo tanto, no podrá hablar HTTP a su enrutador.

    
respondido por el Lucas Kauffman 18.01.2014 - 09:28
fuente

Lea otras preguntas en las etiquetas

Cómo eliminar duplicados en el archivo de certificado de CA Bundle RK Hunter Advierte sobre / usr / lib / apache2 / mpm-event / apache2 usa archivos eliminados, cómo investigar más a fondo el asunto y cómo debo tratarlo.