¿Es Double NAT una forma segura de crear una red wifi pública?

5

Estoy intentando crear una red WiFi pública y abierta en mi casa para que la utilicen los invitados, ya que esta noche organizo una gran fiesta (algo) grande. Sin embargo, ninguno de mis enrutadores tiene funciones de red de invitado incorporadas, y no admiten firmware alternativo como DD-WRT.

Tradicionalmente, lo que he hecho es simplemente crear un NAT doble conectando el puerto WAN de un segundo enrutador inalámbrico a un puerto LAN de mi enrutador principal. El enrutador principal está protegido con WPA2, mientras que el segundo enrutador (para la red invitada) se deja sin asegurar. Vea el diagrama a continuación:

Sin embargo, mi pregunta: ¿esta configuración es realmente segura? Como en, ¿hay alguna forma para que un dispositivo invitado acceda a mi computadora, en 192.168.1.3, o monitoree el tráfico en la red principal? Intenté hacer ping mientras estaba conectado a la red de invitados y parece que los paquetes no llegan a las computadoras en la red principal, pero ¿hay alguna forma de evitar esto? Leí algunos artículos en línea sobre el uso de Double-NAT como una forma de crear una red wifi de invitado, pero ninguno de ellos realmente entra en detalles sobre seguridad.

Gracias de antemano!

EDITAR:

- Dibujé el diagrama en Cisco Packet Tracer porque no tengo otro programa para dibujar estos diagramas, pero en realidad no estoy usando el hardware de Cisco. El enrutador principal es un Actiontec de Verizon; La red de invitados es una Tenda barata.

    
pregunta tlng05 20.12.2014 - 19:09
fuente

2 respuestas

7

Lo tienes conectado al revés si deseas asegurar tu red contra los invitados. Las computadoras en la red 192.168.0.0/24 pueden acceder libremente a las computadoras en la red 192.168.1.0/24.

Si desea utilizar doble NAT para crear una red de invitado, debe colocar la red de invitado más cerca de la conexión de Internet que la red que desea proteger de ellos. Contra los atacantes casuales, NAT actúa como un firewall con una política de "denegación predeterminada" para las conexiones entrantes y el "permiso predeterminado" para las conexiones salientes, por lo que debe colocar las computadoras que desea proteger en el "interior" de la segunda NAT.

Contra los atacantes serios, desea que sus redes públicas y privadas se encuentren solo en su conexión a Internet, donde configura un firewall adecuado que bloquee cualquier comunicación entre los dos.

    
respondido por el Mark 20.12.2014 - 23:38
fuente
5

Esto no es seguro, ya que no ha aislado la red del invitado. Aún pueden llegar a su cliente 192.168.1.3.

Supongo que la razón por la que no responde al ping es porque está configurado para no responder al ping. El servidor de seguridad del host en esta computadora probablemente bloquee la mayor parte del tráfico.

Si desea aislar a los clientes de wifi de manera adecuada (con el equipo que tiene), conecte el enrutador de wifi de invitado al puerto WAN de Internet. Y a un puerto LAN en el enrutador invitado, conecte su enrutador principal.

De esta manera, sus clientes solo podrán acceder a la dirección IP externa del enrutador principal.

Pero esta solución tiene sus propios problemas. Si sus huéspedes malintencionados (a quienes, por el sonido, les gusta jugar, capturan la bandera en su red), pueden tomar el control del enrutador, también podrían interceptar el tráfico de su red interna. También se aplican otros trucos MitM, ya que se encuentran en una red ascendente.

La solución adecuada para este problema es obtener un conmutador con capacidad de VLAN para segmentar su red interna e invitada, y necesita un firewall / enrutador para bloquear el tráfico que pasa por estos dos segmentos.

    
respondido por el Dog eat cat world 20.12.2014 - 20:34
fuente

Lea otras preguntas en las etiquetas