Implementación zona aislada en la red de casa.

Iniciado por Mosqueperro, 19 Enero 2021, 10:32 AM

0 Miembros y 1 Visitante están viendo este tema.

Mosqueperro

Buenos días, tengo la siguiente duda. En caso de tener que teletrabajar, conectándome desde el portátil de la empresa a la VPN de la empresa, ¿sería recomendable que el portátil estuviera dentro de una red aislada en mi propia red interna? De ser así ¿Qué método sería el recomendado?
Por temas de seguridad y privacidad no me haría mucha ilusión que todo estuviera dentro de la misma red.
Gracias.

Machacador

"Solo tu perro puede admirarte mas de lo que tu te admiras a ti mismo"

Mosqueperro

Cita de: Machacador en 19 Enero 2021, 14:12 PM

:rolleyes: :o :rolleyes:

¿Simplemente con eso sería suficiente? En mi caso el Router principal se encuentra en una planta baja. Desde el router ISP de esa planta baja sube un cable de red que va parar a un switch que proporciona internet a la primera planta (TV, videoconsolas, otro Router, etc).

Desde ese Switch va un cable de red hacia la habitación donde necesito la conexión.
Había pensando poner otro Switch en esa habitación y que en ese Switch estuviesen conectados los dos routers adicionales (uno que tengo ahora y el que se usaría para el trabajo).

No sé si me he explicado correctamente, cualquier duda puedes consultármela.
Muchas gracias.

Machacador

Si te explicaste bien... pero debes hacer la configuración correcta del router que vas a usar para que tu PC del trabajo quede aislado de los demás dispositivos y eso lo puedes comprobar escaneado como te lo indica el video... yo no soy un experto en esto, pero puedes buscar mas videos del mismo canal del que te puse y de seguro encontrarás mucha mas información...

Saludos.

:rolleyes: :o :rolleyes:
"Solo tu perro puede admirarte mas de lo que tu te admiras a ti mismo"

el-brujo

Citar¿sería recomendable que el portátil estuviera dentro de una red aislada en mi propia red interna? De ser así ¿Qué método sería el recomendado?
Por temas de seguridad y privacidad no me haría mucha ilusión que todo estuviera dentro de la misma red.

Si te conectas a la red del trabajo por una vpn suya, pues se supone que la red del trabajo es segura ¿no?

Si la red de tu trabajo no es segura, apaga y vámonos.

Dudo que en la red interna de tu trabajo haya gente haciendo pruebas de pentesting, aunque todo podría ser xD

Otro tema es que con algunas VPN's (la mayoría) también puedes navegar con la misma ip pública del trabajo y eso si no es recomendable xD

Configura el navegador de manera privada, activando TLS 1.3, ESNI, DoH y DoT, etc
https://blog.elhacker.net/2020/11/activar-medidas-privacidad-navegador-firefox-chrome-windows10-android-linux-esni-tls-dns-over-tls.html

Mosqueperro

Cita de: el-brujo en 20 Enero 2021, 00:03 AM
Si te conectas a la red del trabajo por una vpn suya, pues se supone que la red del trabajo es segura ¿no?

Si la red de tu trabajo no es segura, apaga y vámonos.

Dudo que en la red interna de tu trabajo haya gente haciendo pruebas de pentesting, aunque todo podría ser xD

Otro tema es que con algunas VPN's (la mayoría) también puedes navegar con la misma ip pública del trabajo y eso si no es recomendable xD

Configura el navegador de manera privada, activando TLS 1.3, ESNI, DoH y DoT, etc
https://blog.elhacker.net/2020/11/activar-medidas-privacidad-navegador-firefox-chrome-windows10-android-linux-esni-tls-dns-over-tls.html


No soy amigo de las suposiciones jajaja prefiero implementar medidas que pequen de excesivas a quedarme corto  :xD
No sé si con la solución que aporto el compañero sería suficiente, al fin y al acabo es como hacer una DMZ ¿qué opinas?

nohumanbinary

Buenas tardes,
contestando a tu pregunta original:

El método más recomendado para hacer teletrabajo sería utilizar un equipo que te proporcione la propia empresa y que destinases a uso exclusivo de trabajo. Sin instalar ningún tipo de software que no esté homologado por la misma. Ya que en muchos casos el problema no reside en el resto de equipos de la red de casa si no en que tu propio equipo esté comprometido al darle un uso más amplio y tener una menor vigilancia sobre donde accedemos y que nos descargamos.

Con todo, segmentar la red de casa es una buena idea. Pero para llevarlo a cabo hay que tener un mínimo de conocimientos en redes y no hacer una chapuza poco-útil (por no utilizar otra expresión) como la que te recomiendan en el vídeo.
Lo he visto por curiosidad, y hace afirmaciones que son completamente falsas.
Sobre el minuto 7 comenta que no hay conectividad desde un equipo con IP 192.168.2.X contra un equipo con IP 192.168.1.X.
La única situación en la que esto se puede afirmar es si has configurado debidamente un firewall en el equipo con IP 192.168.2.1. Si este no es el caso, toda la red con IPs 192.168.2.X tiene conectividad (acceso) contra la red 192.168.1.X.
Es cierto que al contrario, es decir, desde la red 192.168.1.X no es tán facil tener conectividad con la 192.168.2.X debido al mecanismo de NAT que tiene implementado el propio router con IP 192.168.2.1
Pero llendo un paso más allá, ambas redes tienen conectividad con el router con IP 192.168.1.1 por lo que cualquier equipo infectado puede comprometer la seguridad de tu(s) red(es) y de todos los equipos que hay en ella(s).


Dicho esto, en el escenario que planteas tendrías que realizar unos cuantos cambios para poder llevar a cabo una securización correcta de tu red:
1. Asegurarte si el router del ISP permite configurar varios SSID (WiFi), etiquetado VLAN y firewall (de no ser así deberías sustituir el del ISP por uno que lo haga).
2. Eliminar el segundo router que tienes y sustituirlo por un punto de acceso que permita varios SSID y etiquetado VLAN.
3. Asegurarte que tus switches permiten etiquetado VLAN (en caso de no ser así, sustituirlos por otros que lo hagan).

Con esos equipos, puedes declarar dos redes con rangos distintos que etiqueten por VLANs distintas y a las que se acceda a través de SSIDs distintos (si te pones en modo paranoico, puedes definir que a la red de trabajo no se pueda acceder vía WiFi directamente). En el router principal deberías configurar como mínimo una regla de firewall que bloquease todo el tráfico de la red de Casa hacia la red de Trabajo, y otra para que no se pueda acceder desde la red de Casa al propio router.

No se si esto resuelve tus dudas o genera más. Pero por desgracia todavía no existen mecanismos auto-mágicos que permitan a las redes domésticas ser seguras con el conocimiento que tiene un usuario de a pie.

Mosqueperro

Cita de: nohumanbinary en 23 Enero 2021, 20:19 PM
Buenas tardes,
contestando a tu pregunta original:

El método más recomendado para hacer teletrabajo sería utilizar un equipo que te proporcione la propia empresa y que destinases a uso exclusivo de trabajo. Sin instalar ningún tipo de software que no esté homologado por la misma. Ya que en muchos casos el problema no reside en el resto de equipos de la red de casa si no en que tu propio equipo esté comprometido al darle un uso más amplio y tener una menor vigilancia sobre donde accedemos y que nos descargamos.

Con todo, segmentar la red de casa es una buena idea. Pero para llevarlo a cabo hay que tener un mínimo de conocimientos en redes y no hacer una chapuza poco-útil (por no utilizar otra expresión) como la que te recomiendan en el vídeo.
Lo he visto por curiosidad, y hace afirmaciones que son completamente falsas.
Sobre el minuto 7 comenta que no hay conectividad desde un equipo con IP 192.168.2.X contra un equipo con IP 192.168.1.X.
La única situación en la que esto se puede afirmar es si has configurado debidamente un firewall en el equipo con IP 192.168.2.1. Si este no es el caso, toda la red con IPs 192.168.2.X tiene conectividad (acceso) contra la red 192.168.1.X.
Es cierto que al contrario, es decir, desde la red 192.168.1.X no es tán facil tener conectividad con la 192.168.2.X debido al mecanismo de NAT que tiene implementado el propio router con IP 192.168.2.1
Pero llendo un paso más allá, ambas redes tienen conectividad con el router con IP 192.168.1.1 por lo que cualquier equipo infectado puede comprometer la seguridad de tu(s) red(es) y de todos los equipos que hay en ella(s).


Dicho esto, en el escenario que planteas tendrías que realizar unos cuantos cambios para poder llevar a cabo una securización correcta de tu red:
1. Asegurarte si el router del ISP permite configurar varios SSID (WiFi), etiquetado VLAN y firewall (de no ser así deberías sustituir el del ISP por uno que lo haga).
2. Eliminar el segundo router que tienes y sustituirlo por un punto de acceso que permita varios SSID y etiquetado VLAN.
3. Asegurarte que tus switches permiten etiquetado VLAN (en caso de no ser así, sustituirlos por otros que lo hagan).

Con esos equipos, puedes declarar dos redes con rangos distintos que etiqueten por VLANs distintas y a las que se acceda a través de SSIDs distintos (si te pones en modo paranoico, puedes definir que a la red de trabajo no se pueda acceder vía WiFi directamente). En el router principal deberías configurar como mínimo una regla de firewall que bloquease todo el tráfico de la red de Casa hacia la red de Trabajo, y otra para que no se pueda acceder desde la red de Casa al propio router.

No se si esto resuelve tus dudas o genera más. Pero por desgracia todavía no existen mecanismos auto-mágicos que permitan a las redes domésticas ser seguras con el conocimiento que tiene un usuario de a pie.

Buenos días, veo que esto se asemeja un poco más a lo que tenía en mente.
Muchas gracias por tu respuesta.