-
Dejar el portatil conectado al router es el mismo riesgo que cuando dejas el de sobremesa. Es decir, lo mismo que hagas para proteger tu PC de sobremesa, pues hazlo con tu portátil.
Lo único, que si lo dejas por Wifi pues si algún vecino se pone a cacharrear para romper la protección Wifi, no dejes el Wifi con protección WEP, sino WPA.
-
En realidad el problema es tener acceso directo a internet desde la LAN, da lo mismo que sea pasando por el router, que usando un switch conectado al router… Esto podria se solucionar poniendo un firewall y definiendo zonas dentro de la red local, pero seamos serios... En una casa, te diria que el 99,9% de la gente tiene su router y su LAN detras sin mas complicaciones. (yo incluido)
Que se te cuelen en la LAN cableada es mas complicado, pero la WIFI obviamente es mucho mas debil... filtrado MAC + WPA, incluso deshabilitar el bradcasting del SSID (aqui hay diversas opiniones) te puede ayudar a hacer un poco mas segura la wifi.
Algunos tips:
How to Secure Your Wireless Home Network - wikiHow
Securing your Wireless NetworkSaludos
-
No me he explicado bien, la wireless no es el problema que me preocupa, ya esta bastante cerrada (SSID oculto y modificado, admin pas cambiado, MAC´s restringidas, etc etc, ademas estoy detras de un NAT que tambien hace).
El problema es que para conpartir en la LAN hay que pasar en los pc de una config que restringe el compartimiento a una config que permite compartir, tanto en el cortafuegos del antivirus como en el OS, y como ambos pc se comunican justo por detras del NAT que habilita el mismo router que accede a internet la debilidad esta precisamente ahy.
O sea, normalmente no hay problema, ni el fijo ni el portatil tienen habilitado el compartir impresoras y archivos, y al mismo tiempo el antivirus tiene una configuracion cerrada que tampoco lo permite.
El problema vendria, si en vez de abrir esta configuracion solo cuando me hace falta la dejase abierta de fijo, con lo cual tecnicamente, y segun he entendido por ahy bastaria entrar al router para conseguir tambien acceso a la LAN interna.
O sea, si tubiese otra tarjeta ethernet o wireless en el fijo no habria pega ya que la LAN seria ajena fisicamente al router, pero como la LAN y la WAN pasan a traves del mismo dispositivo de la forma que lo hago (el router adsl), lo que me inquieta es que dejando de fijo la config de archivos compartidos en los pc, el router sea un punto debil cara a internet y ya que gestiona ambas redes, me pueda comprometer la seguridad del pc fijo, o incluso permita espiar los archivos que comparto entre ambas maquinas, por mas cerrado de config que este el router, y por mas que use IP dinamica, y por mas que la LAN este detras de un NAT.Vamos que no me da confianza tener ambas redes a traves del router adsl que es u apato bastante normalito, y configurar los pc´s para que solo compartan entre ellos tampoco creo que sirva de mucho si desde fuera se consigue eventualmente secuestrar el router.
De hecho no estoy compartiendo archivos asi de momento, sin compartir archivos habria otra capa de seguridad tras el router (seguridad del pc), pero si el pc esta compartiendo en la LAN y el router cae ya no hay esa capa de seguridad extra tras el router.Je je que lio estoy montando yo solo ¿se me entiende algo?
Gracias.
Salu2.
-
En realidad el problema es tener acceso directo a internet desde la LAN, da lo mismo que sea pasando por el router, que usando un switch conectado al router… Esto podria se solucionar poniendo un firewall y definiendo zonas dentro de la red local, pero seamos serios... En una casa, te diria que el 99,9% de la gente tiene su router y su LAN detras sin mas complicaciones. (yo incluido)
Que se te cuelen en la LAN cableada es mas complicado, pero la WIFI obviamente es mucho mas debil... filtrado MAC + WPA, incluso deshabilitar el bradcasting del SSID (aqui hay diversas opiniones) te puede ayudar a hacer un poco mas segura la wifi.
Algunos tips:
How to Secure Your Wireless Home Network - wikiHow
Securing your Wireless NetworkSaludos
+1 :sisi:
Y si es WPA2 aún mejor.
Salu2!
Intel i5 3570k / ASRock Z77 Extreme 4 / G.Skill F3-12800CL9D-8GBRL / Sapphire HD5850 / Samsung HD103UJ / TR TrueSpirit / NZXT Source 210 / OCZ ZS550W
Intel i5 4570 / ASRock H87 Pro 4 / 2x G.Skill F3-14900CL8-4GBXM / Samsung 850 EVO 250Gb + ST1000DM003 + ST2000DM003 + HGST HDS723020BLA642 + Maxtor 6V250F0 / CM Seidon 240M / Zalman MS800 / CM MWE 550
AMD Ryzen 7 1800X / B350 / 2x8GB Samsung DDR4-2400 CL17 / NVIDIA GTX 1070 8GB / SSD 120GB + ST4000DM004 + ST6000DM003 / EVGA Supernova 650 G2 -
Parece que posteamos a la vez
Sólo te pueden acceder desde fuera entrando en uno de los ordenadores, y NO directamente secuestras/redireccionar el tráfico entre tus equipos aprovechando el switch del router.
De todas formas, podrías montar una VPN entre los equipos si estás muy paranoico, o utilizar sub-interfaces con VLAN distintas, separando el tráfico entre equipos del que sale a Internet, aunque de todas formas sería el router el que lo gestionara, y quizá no te quedes tranquilo de esta forma :rollani:
Salu2!
Intel i5 3570k / ASRock Z77 Extreme 4 / G.Skill F3-12800CL9D-8GBRL / Sapphire HD5850 / Samsung HD103UJ / TR TrueSpirit / NZXT Source 210 / OCZ ZS550W
Intel i5 4570 / ASRock H87 Pro 4 / 2x G.Skill F3-14900CL8-4GBXM / Samsung 850 EVO 250Gb + ST1000DM003 + ST2000DM003 + HGST HDS723020BLA642 + Maxtor 6V250F0 / CM Seidon 240M / Zalman MS800 / CM MWE 550
AMD Ryzen 7 1800X / B350 / 2x8GB Samsung DDR4-2400 CL17 / NVIDIA GTX 1070 8GB / SSD 120GB + ST4000DM004 + ST6000DM003 / EVGA Supernova 650 G2 -
pues yo prefiero configurar en el router que ordenadores pueden conectarse a la red, y por mucho que lo intenten no se podran colar
-
Deciros que lamentablemente el portatil es antiguillo y solo soporta WEP, pero bueno eso es lo menos, ya me ocupo de que el portatil no haga mas que vanalidades.
La paranoia comprendo el sentido en el que lo dices je je, no lo mal interpreto tranqui, pero mas que paranioa es terqueza profunda
Parece que posteamos a la vez
Sólo te pueden acceder desde fuera entrando en uno de los ordenadores, y NO directamente secuestras/redireccionar el tráfico entre tus equipos aprovechando el switch del router.
…"Si, eso es lo que me gustaria tener seguro, que no se pueda o sea lo mas dificil posible acceder al sobremesa desde fuera si lo dejo constantemente con archivos compartidos en red.
Tendre que estudiarmelo a ver si puedo hacer lo mismo pero compartiendo a traves de alguna utilidad que permita una configuracion mas fina.
En realidad no tengo nada que proteger, solo que me apasiona aprender a ser dueño de la seguridad de mi sistema, yo mismo y no confiando ciegamente."…
De todas formas, podrías montar una VPN entre los equipos si estás muy paranoico, o utilizar sub-interfaces con VLAN distintas, separando el tráfico entre equipos del que sale a Internet, aunque de todas formas sería el router el que lo gestionara, y quizá no te quedes tranquilo de esta forma :rollani:Salu2!
¿VPN?, dentro del router sin salir a WAN? ¿eso se puede? el router es el de jazztel. Voy ver si me repaso de nuevo todas las posibilidades del aparato.
Hummmmm, tanto que aprender…..
Gracias a todos, seguire con la oreja puesta a comentarios, no es algo urgente la verdad se agradece el apoyo.
Salu2ts.
-
Desde que inicie esta rama aproximadamente, me esta apareciendo en el cortafuegos este intento de conexion proveniente de la IP que corresponde a la direccion del portatil en la lan interna, o sea es la ip que el router le asigna al portatil.
Al mismo tiempo en el portatil aparece el mismo intento de acceso pero desde la ip que el router le asigna al sobremesa, vamos que aparentemente desde la wan se esta intentando acceder a la lan, ¿estoy en lo cierto?He investigado un poco nada mas y podria ser un intento de envenenamiento de la cache arp, ¿opiniones?.
Ambos equipos parecen estar limpios, me falta quitarme la pereza, resetear el router, y forzar la renovacion de la ip publica tras el reseteo.
Salu2.
-
El servicio NetBIOS es la publicación del nombre y servicios de cada equipo con Windows, para facilitar su interacción en red (compartir archivos, impresoras, etc … ).
Es lo que permite que pongas el nombre de un equipo como ruta, y lo encuentre sin necesidad de especificar la IP que utiliza :sisi:
Puedes estar tranquilo que es algo normal, y puedes decirle al cortafuegos que lo ignore, o desactivar el servicio si no lo vas a utilizar :rollani:
Salu2!
Intel i5 3570k / ASRock Z77 Extreme 4 / G.Skill F3-12800CL9D-8GBRL / Sapphire HD5850 / Samsung HD103UJ / TR TrueSpirit / NZXT Source 210 / OCZ ZS550W
Intel i5 4570 / ASRock H87 Pro 4 / 2x G.Skill F3-14900CL8-4GBXM / Samsung 850 EVO 250Gb + ST1000DM003 + ST2000DM003 + HGST HDS723020BLA642 + Maxtor 6V250F0 / CM Seidon 240M / Zalman MS800 / CM MWE 550
AMD Ryzen 7 1800X / B350 / 2x8GB Samsung DDR4-2400 CL17 / NVIDIA GTX 1070 8GB / SSD 120GB + ST4000DM004 + ST6000DM003 / EVGA Supernova 650 G2 -
Si quieres comprobar si el Netbios u otros puertos son accesibles desde Interner por Wan (o no): GRC**|ShieldsUP! — Internet Vulnerability Profiling**
Después pulsa "File sharing" ,"Common ports" o "All service ports" y te quitas la paranoia.(Yo soy igual) -
El servicio NetBIOS es la publicación del nombre y servicios de cada equipo con Windows, para facilitar su interacción en red (compartir archivos, impresoras, etc … ).
Es lo que permite que pongas el nombre de un equipo como ruta, y lo encuentre sin necesidad de especificar la IP que utiliza :sisi:
Puedes estar tranquilo que es algo normal, y puedes decirle al cortafuegos que lo ignore, o desactivar el servicio si no lo vas a utilizar :rollani:
Salu2!
La verdad por lo que he leido, a traves del NETbios se puede hacer un envenenamiento de la cache ARP y con ello lograr una intrusion del tipo "man in the middle" lo cual no tiene mucha gracia, sin enbargo comprobe la cache arp para borrarla y estaba vacia…. por ahy creo que no hay pega.
Tambien podria permitir conocer la MAC de la interface de red.....Si quieres comprobar si el Netbios u otros puertos son accesibles desde Interner por Wan (o no): GRC**|ShieldsUP! — Internet Vulnerability Profiling**
Después pulsa "File sharing" ,"Common ports" o "All service ports" y te quitas la paranoia.(Yo soy igual)Me mirare ese enlace, pasé el Advanced Port Scanner y parecia estar todo correcto, pero nunca se sabe suficiente.
Llevava yo ya tanto tiempo sin cosas raras la verdad que le estoy dando muchas vueltas, a ver si va a venir todo por publicar en servidor de prueba desde la suite de adobe fuera del plazo de prueba… bueno tambien me estoy relacionando con gente que puede que le guste jugar " a pillar", tampoco me emparanoio mucho...... pero entretiene mazo esto la verdad, casi mas que el overclock y el modding
Bueno chicos gracias por las respuestas y la info, sigo aprendendo cositas casi sin querer.
Salu2.
PD:
Bueno pues en la pagina que me recomienda XRAYBoY y tambien en esta otra que esta bastante bien http://www.pcflank.com/ he comprobado que la maquina esta correctamente defendida por el cortafuegos y los protocolos de NETbios no estan expuestos al exterior (y otras cosas tampoco), ya me quedo mas tranquilo, pero me falta saber porque me aparece este intento de conexion, igual es alguna rayada del router que estuvo comunicando ambos equipos en la subred interna cuando los tuve compartiendo archivos temporalmente, asi que ya con el fin de aprender algo mas y comprobar si es seguro dejarlos con la configuracion de archivos compartidos siempre en abierto, hare todas las pruebas de nuevo pero compartiendo archivos entre ambos.
Vamos que ahora ya no estavan compartiendo archivos y el cortafuegos no permitia ese tipo de comunicaciones, mañana probare de nuevo compartiendo archivos y con el cortafuegos permitiendo esa configuracion a ver si la seguridad cara al wan cambia algo, y a ver si soy capaz de averiguar a que santo viene el intento de conexion que aparece en la captura que os puse.Salu2.
