Autor
|
Tema: Implementación zona aislada en la red de casa. (Leído 4,943 veces)
|
Geralt_de_Rivia
Desconectado
Mensajes: 66
|
Buenos días, tengo la siguiente duda. En caso de tener que teletrabajar, conectándome desde el portátil de la empresa a la VPN de la empresa, ¿sería recomendable que el portátil estuviera dentro de una red aislada en mi propia red interna? De ser así ¿Qué método sería el recomendado? Por temas de seguridad y privacidad no me haría mucha ilusión que todo estuviera dentro de la misma red. Gracias.
|
|
« Última modificación: 19 Enero 2021, 14:02 pm por Mosqueperro »
|
En línea
|
|
|
|
|
Geralt_de_Rivia
Desconectado
Mensajes: 66
|
¿Simplemente con eso sería suficiente? En mi caso el Router principal se encuentra en una planta baja. Desde el router ISP de esa planta baja sube un cable de red que va parar a un switch que proporciona internet a la primera planta (TV, videoconsolas, otro Router, etc). Desde ese Switch va un cable de red hacia la habitación donde necesito la conexión. Había pensando poner otro Switch en esa habitación y que en ese Switch estuviesen conectados los dos routers adicionales (uno que tengo ahora y el que se usaría para el trabajo). No sé si me he explicado correctamente, cualquier duda puedes consultármela. Muchas gracias.
|
|
|
En línea
|
|
|
|
|
el-brujo
|
¿sería recomendable que el portátil estuviera dentro de una red aislada en mi propia red interna? De ser así ¿Qué método sería el recomendado? Por temas de seguridad y privacidad no me haría mucha ilusión que todo estuviera dentro de la misma red. Si te conectas a la red del trabajo por una vpn suya, pues se supone que la red del trabajo es segura ¿no? Si la red de tu trabajo no es segura, apaga y vámonos. Dudo que en la red interna de tu trabajo haya gente haciendo pruebas de pentesting, aunque todo podría ser xD Otro tema es que con algunas VPN's (la mayoría) también puedes navegar con la misma ip pública del trabajo y eso si no es recomendable xD Configura el navegador de manera privada, activando TLS 1.3, ESNI, DoH y DoT, etc https://blog.elhacker.net/2020/11/activar-medidas-privacidad-navegador-firefox-chrome-windows10-android-linux-esni-tls-dns-over-tls.html
|
|
|
En línea
|
|
|
|
Geralt_de_Rivia
Desconectado
Mensajes: 66
|
No soy amigo de las suposiciones jajaja prefiero implementar medidas que pequen de excesivas a quedarme corto No sé si con la solución que aporto el compañero sería suficiente, al fin y al acabo es como hacer una DMZ ¿qué opinas?
|
|
|
En línea
|
|
|
|
MayTheLulzBeWithYou
Desconectado
Mensajes: 12
|
Buenas tardes, contestando a tu pregunta original:
El método más recomendado para hacer teletrabajo sería utilizar un equipo que te proporcione la propia empresa y que destinases a uso exclusivo de trabajo. Sin instalar ningún tipo de software que no esté homologado por la misma. Ya que en muchos casos el problema no reside en el resto de equipos de la red de casa si no en que tu propio equipo esté comprometido al darle un uso más amplio y tener una menor vigilancia sobre donde accedemos y que nos descargamos.
Con todo, segmentar la red de casa es una buena idea. Pero para llevarlo a cabo hay que tener un mínimo de conocimientos en redes y no hacer una chapuza poco-útil (por no utilizar otra expresión) como la que te recomiendan en el vídeo. Lo he visto por curiosidad, y hace afirmaciones que son completamente falsas. Sobre el minuto 7 comenta que no hay conectividad desde un equipo con IP 192.168.2.X contra un equipo con IP 192.168.1.X. La única situación en la que esto se puede afirmar es si has configurado debidamente un firewall en el equipo con IP 192.168.2.1. Si este no es el caso, toda la red con IPs 192.168.2.X tiene conectividad (acceso) contra la red 192.168.1.X. Es cierto que al contrario, es decir, desde la red 192.168.1.X no es tán facil tener conectividad con la 192.168.2.X debido al mecanismo de NAT que tiene implementado el propio router con IP 192.168.2.1 Pero llendo un paso más allá, ambas redes tienen conectividad con el router con IP 192.168.1.1 por lo que cualquier equipo infectado puede comprometer la seguridad de tu(s) red(es) y de todos los equipos que hay en ella(s).
Dicho esto, en el escenario que planteas tendrías que realizar unos cuantos cambios para poder llevar a cabo una securización correcta de tu red: 1. Asegurarte si el router del ISP permite configurar varios SSID (WiFi), etiquetado VLAN y firewall (de no ser así deberías sustituir el del ISP por uno que lo haga). 2. Eliminar el segundo router que tienes y sustituirlo por un punto de acceso que permita varios SSID y etiquetado VLAN. 3. Asegurarte que tus switches permiten etiquetado VLAN (en caso de no ser así, sustituirlos por otros que lo hagan).
Con esos equipos, puedes declarar dos redes con rangos distintos que etiqueten por VLANs distintas y a las que se acceda a través de SSIDs distintos (si te pones en modo paranoico, puedes definir que a la red de trabajo no se pueda acceder vía WiFi directamente). En el router principal deberías configurar como mínimo una regla de firewall que bloquease todo el tráfico de la red de Casa hacia la red de Trabajo, y otra para que no se pueda acceder desde la red de Casa al propio router.
No se si esto resuelve tus dudas o genera más. Pero por desgracia todavía no existen mecanismos auto-mágicos que permitan a las redes domésticas ser seguras con el conocimiento que tiene un usuario de a pie.
|
|
|
En línea
|
|
|
|
Geralt_de_Rivia
Desconectado
Mensajes: 66
|
Buenas tardes, contestando a tu pregunta original:
El método más recomendado para hacer teletrabajo sería utilizar un equipo que te proporcione la propia empresa y que destinases a uso exclusivo de trabajo. Sin instalar ningún tipo de software que no esté homologado por la misma. Ya que en muchos casos el problema no reside en el resto de equipos de la red de casa si no en que tu propio equipo esté comprometido al darle un uso más amplio y tener una menor vigilancia sobre donde accedemos y que nos descargamos.
Con todo, segmentar la red de casa es una buena idea. Pero para llevarlo a cabo hay que tener un mínimo de conocimientos en redes y no hacer una chapuza poco-útil (por no utilizar otra expresión) como la que te recomiendan en el vídeo. Lo he visto por curiosidad, y hace afirmaciones que son completamente falsas. Sobre el minuto 7 comenta que no hay conectividad desde un equipo con IP 192.168.2.X contra un equipo con IP 192.168.1.X. La única situación en la que esto se puede afirmar es si has configurado debidamente un firewall en el equipo con IP 192.168.2.1. Si este no es el caso, toda la red con IPs 192.168.2.X tiene conectividad (acceso) contra la red 192.168.1.X. Es cierto que al contrario, es decir, desde la red 192.168.1.X no es tán facil tener conectividad con la 192.168.2.X debido al mecanismo de NAT que tiene implementado el propio router con IP 192.168.2.1 Pero llendo un paso más allá, ambas redes tienen conectividad con el router con IP 192.168.1.1 por lo que cualquier equipo infectado puede comprometer la seguridad de tu(s) red(es) y de todos los equipos que hay en ella(s).
Dicho esto, en el escenario que planteas tendrías que realizar unos cuantos cambios para poder llevar a cabo una securización correcta de tu red: 1. Asegurarte si el router del ISP permite configurar varios SSID (WiFi), etiquetado VLAN y firewall (de no ser así deberías sustituir el del ISP por uno que lo haga). 2. Eliminar el segundo router que tienes y sustituirlo por un punto de acceso que permita varios SSID y etiquetado VLAN. 3. Asegurarte que tus switches permiten etiquetado VLAN (en caso de no ser así, sustituirlos por otros que lo hagan).
Con esos equipos, puedes declarar dos redes con rangos distintos que etiqueten por VLANs distintas y a las que se acceda a través de SSIDs distintos (si te pones en modo paranoico, puedes definir que a la red de trabajo no se pueda acceder vía WiFi directamente). En el router principal deberías configurar como mínimo una regla de firewall que bloquease todo el tráfico de la red de Casa hacia la red de Trabajo, y otra para que no se pueda acceder desde la red de Casa al propio router.
No se si esto resuelve tus dudas o genera más. Pero por desgracia todavía no existen mecanismos auto-mágicos que permitan a las redes domésticas ser seguras con el conocimiento que tiene un usuario de a pie.
Buenos días, veo que esto se asemeja un poco más a lo que tenía en mente. Muchas gracias por tu respuesta.
|
|
|
En línea
|
|
|
|
|
Mensajes similares |
|
Asunto |
Iniciado por |
Respuestas |
Vistas |
Último mensaje |
|
|
¿Como pasar DVD zona 2-PAL a zona 4-NTSC?
Multimedia
|
kikeromero
|
0
|
3,731
|
11 Febrero 2005, 02:56 am
por kikeromero
|
|
|
El FBI busca casa por casa a presuntos miembros de la disuelta LulzSec
Noticias
|
wolfbcn
|
5
|
5,190
|
1 Julio 2011, 21:59 pm
por Tyrz
|
|
|
Agentes casa por casa en Haro para obligar a la cuarentena
Foro Libre
|
Machacador
|
6
|
2,929
|
9 Marzo 2020, 21:56 pm
por B€T€B€
|
|
|
Máquina aislada Virtualbox
Seguridad
|
Geralt_de_Rivia
|
4
|
3,862
|
27 Octubre 2022, 14:07 pm
por el-brujo
|
|
|
Máquina aislada Virtualbox
« 1 2 »
Seguridad
|
Geralt_de_Rivia
|
10
|
3,904
|
18 Marzo 2024, 16:22 pm
por Geralt_de_Rivia
|
|