Menú

Mostrar Mensajes

Esta sección te permite ver todos los mensajes escritos por este usuario. Ten en cuenta que sólo puedes ver los mensajes escritos en zonas a las que tienes acceso en este momento.

Mostrar Mensajes Menú

Mensajes - nohumanbinary

#1
Redes / Re: mikrotik
15 Marzo 2021, 18:16 PM
Hola,
para reponder a este tipo de preguntas creo que estaría bien acompañar de un pequeño esquema de red con tu situación actual.

La ubicación del servidor de monitorización (dentro de la topología de red), el esquema de la red que quieres monitorizar y toda la infraestructura que interconecta el monitor con la red.

Si detallas rangos IPs (solo privadas) y por donde se supone que debe enrutar el tráfico, quizás saquemos algo.


Un saludo
#2
Redes / Re: the dude
15 Marzo 2021, 18:12 PM
Buenas tardes,
si que se puede.
Sólo tienes que duplicar el directorio (copiar y pegar) donde tengas The Dude y renombrarlo.
Una vez abras este nuevo ejecutable, puedes introducir la URL, usuario y contraseña del nuevo servidor y ya lo tendrás.

Un saludo
#3
Buenas tardes,
contestando a tu pregunta original:

El método más recomendado para hacer teletrabajo sería utilizar un equipo que te proporcione la propia empresa y que destinases a uso exclusivo de trabajo. Sin instalar ningún tipo de software que no esté homologado por la misma. Ya que en muchos casos el problema no reside en el resto de equipos de la red de casa si no en que tu propio equipo esté comprometido al darle un uso más amplio y tener una menor vigilancia sobre donde accedemos y que nos descargamos.

Con todo, segmentar la red de casa es una buena idea. Pero para llevarlo a cabo hay que tener un mínimo de conocimientos en redes y no hacer una chapuza poco-útil (por no utilizar otra expresión) como la que te recomiendan en el vídeo.
Lo he visto por curiosidad, y hace afirmaciones que son completamente falsas.
Sobre el minuto 7 comenta que no hay conectividad desde un equipo con IP 192.168.2.X contra un equipo con IP 192.168.1.X.
La única situación en la que esto se puede afirmar es si has configurado debidamente un firewall en el equipo con IP 192.168.2.1. Si este no es el caso, toda la red con IPs 192.168.2.X tiene conectividad (acceso) contra la red 192.168.1.X.
Es cierto que al contrario, es decir, desde la red 192.168.1.X no es tán facil tener conectividad con la 192.168.2.X debido al mecanismo de NAT que tiene implementado el propio router con IP 192.168.2.1
Pero llendo un paso más allá, ambas redes tienen conectividad con el router con IP 192.168.1.1 por lo que cualquier equipo infectado puede comprometer la seguridad de tu(s) red(es) y de todos los equipos que hay en ella(s).


Dicho esto, en el escenario que planteas tendrías que realizar unos cuantos cambios para poder llevar a cabo una securización correcta de tu red:
1. Asegurarte si el router del ISP permite configurar varios SSID (WiFi), etiquetado VLAN y firewall (de no ser así deberías sustituir el del ISP por uno que lo haga).
2. Eliminar el segundo router que tienes y sustituirlo por un punto de acceso que permita varios SSID y etiquetado VLAN.
3. Asegurarte que tus switches permiten etiquetado VLAN (en caso de no ser así, sustituirlos por otros que lo hagan).

Con esos equipos, puedes declarar dos redes con rangos distintos que etiqueten por VLANs distintas y a las que se acceda a través de SSIDs distintos (si te pones en modo paranoico, puedes definir que a la red de trabajo no se pueda acceder vía WiFi directamente). En el router principal deberías configurar como mínimo una regla de firewall que bloquease todo el tráfico de la red de Casa hacia la red de Trabajo, y otra para que no se pueda acceder desde la red de Casa al propio router.

No se si esto resuelve tus dudas o genera más. Pero por desgracia todavía no existen mecanismos auto-mágicos que permitan a las redes domésticas ser seguras con el conocimiento que tiene un usuario de a pie.
#4
Redes / Re: FTP / VPN
12 Febrero 2019, 14:09 PM
Hola,
entiendo que el FTP lo tienes escuchando en un host dentro de tu red LAN.
Si es así, FTP tiene dos modos de configuración:

Modo activo
En este modo el servidor establece una conexión contra el cliente.
Por lo tanto si tienes el cliente a través de un router que hace NAT, deberás redirigir el puerto desde el router hacia el equipo cliente para que el servidor sea capaz de ver ese puerto desde el exterior.




Modo pasivo
En este caso, ambas conexiones se realizan desde el cliente, por lo tanto la redirección de puertos la tenemos que realizar en el lado del servidor (en caso que lo tengamos tras un NAT).




Por otro lado, si tienes el servicio FTP habilitado en el propio router Mikrotik debes tener en cuenta que estos equipos (si removemos las configuraciones que nos vienen de fábrica) están completamente en blanco.
Esto quiere decir que, si habilitamos un servicio, este estará accesible en todas las IPs que hayamos asignado a todas las interfaces del equipo.
Para limitar este acceso podemos recurrir a las siguientes opciones para filtrarlo:

IP -> Firewall -> Filter
Donde podemos agregar una regla en el chain INPUT para bloquear el acceso cuando intentemos conectar a la IP pública que tiene tu router por el protocolo TCP y el puerto destino 212

/ip firewall filter add action=drop chain=input protocol=tcp dst-port=212 in-interface=interface-WAN dst-address=direc.ip.wan


IP -> Services

/ip service set ftp port=212 address=ips.desde.donde.conectas




Un saludo
#5
Buenos días,
la información que estás viendo es correcta tanto la IP que tiene el router como la IP que te otorga el servidor DHCP.
El concepto que quizás te falta comprender para entenderlo es el de máscara de subred.
De forma resumida:

La Máscara de Subred es el parámetro que acota el rango de IPs en una red.
Generalmente, la mayoría de routers domésticos traen preconfigurado un espacio de 254 IPs, que traducido a los parámetros del router es:

IP router ->                   192.168.8.1
Máscara de subred ->     255.255.255.0 (ó /24)
Rango IP clientes ->       192.168.8.2 - 192.168.8.254


Tu router, sin embargo, tiene la siguiente configuración:

IP router ->                    192.168.8.1
Máscara de subred ->      255.255.248.0 (ó /21)
Rango IP clientes ->        192.168.8.2 - 192.168.15.254


Lo cual quiere decir que puedes tener cualquier IP que tenga los siguientes prefijos:

192.168.8.x (donde x es cualquier número entre 2 y 255)
192.168.9.x (donde x es cualquier número entre 0 y 255)
192.168.10.x (donde x es cualquier número entre 0 y 255)
192.168.11.x (donde x es cualquier número entre 0 y 255)
192.168.12.x (donde x es cualquier número entre 0 y 255)
192.168.13.x (donde x es cualquier número entre 0 y 255)
192.168.14.x (donde x es cualquier número entre 0 y 255)
192.168.15.x (donde x es cualquier número entre 0 y 254)


Si quieres aprender más sobre ello, te adjunto un link donde se explica este concepto:
https://www.cisco.com/c/es_mx/support/docs/ip/routing-information-protocol-rip/13788-3.html

Un saludo
#6
Si claro. Para esto lo que podrías hacer es lo siguiente:
1 - Conectas el equipo dentro de tu red a la VPN.
2 - Configuras una redirección de puertos, en este mismo equipo VPN, de tal forma que todas las conexiones que tengas en INPUT con puerto destino UDP 53 las redirijas a través de la VPN, contra el servidor DNS que tu quieras.
3 - Configuras en el DHCP Server de tu router la IP del equipo VPN como servidor DNS.




CitarA priori parece que no tiene sentido lo que pido ya que el ISP sigue pudiendo acceder al tráfico sin cifrar aunque su servidor DNS no capturase los dominios. Pero en los propios dominios es en donde va cifrada la información, y lo que me interesa precisamente es que no guarden los dominios.

Con todo, y aunque el tráfico vaya cifrado, la IP de destino (en la gran mayoría de casos) te permite saber mediante resolución inversa de DNS donde estás conectando exactamente. Si no, siempre tienes servicios de Whois para sacar más info.
Digo esto porque no se que ISP tendrás, pero si tienen los suficientes recursos, igualmente podrán sumarizar todos los dominios hacia donde conectas.

Un saludo
#7
Buenas Omar, no se si habrás resuelto este problema ya, pero por si acaso.
Tu ISP debería estar redirigiendo todas las conexiones que van contra el puerto 53 UDP hacia su Proxy/Servidor DNS.
Cosas que se me ocurren para resolverlo de una forma, medianamente elegante:
1. Usar un Proxy propio que tengas en algún servidor externo:
Simple, pero (a priori) evitarías quedar en la caché DNS de tu ISP.




2. Usar una VPN/túnel SSH desde el router de tu casa sólo para resolver:
No se si tu router te permitirá crear una VPN, pero bajo mi punto de vista, es la mejor forma de seleccionar y enrutar todo el tráfico de tu ubicación de una forma centralizada.



Espero que te sirva.
#8

Los conectas a la red eléctrica mediante un adaptador (incluido con el equipo), después conectas este adaptador a un inyector POE (también incluido) y de este sacas la alimentación contra el equipo a través de cable UTP.

Si tienes el adaptador eléctrico dentro de casa, tienes la opción de pasar la conexión de internet a través del mismo cable. Si por el contrario la toma a la corriente la tienes fuera de casa, alimentas el equipo a través de este cable sin pasar datos.
#9
Redes / Re: Problemas con una subred
7 Diciembre 2017, 23:58 PM
¿Has hecho subnetting o son rangos con prefijos distintos?
Puede que algún equipo de tu red tenga la misma IP del gateway de esa subred que te falla.

¿Usas los mismos servidores DNS para todas?

¿Usas VLANs? y si es así ¿tienes filtradas las conexiones entre VLANs?

¿Puedes poner un pequeño esquema de tu red?
Teniendo algún dato más te podríamos ayudar mejor.

¡Un saludo!
#10
Si finalmente terminas comprando el equipo y te surgen dudas con la configuración, pregunta y te paso scripts para ello.

¡Un saludo!