Foro

Avatar de jc 2000
jc 2000
Yo probé el VDSL
19-02-2022
Resuelto

Cómo hacer invisible a Internet un dispositivo conectado al Modem-routes de Telefónica

Buenos días. Tengo un disco de red (un NAS) conectado por cable al router Smart de telefónica. He inhabilitado al NAS el acceso en remoto, de forma que sólo se puede acceder a su contenido en local ...
  • Avatar de Theliel
    Theliel
    12-03-2022

    Buenas jc 2000 

     

    Cuando hablamos de seguridad y Apple... no van de la mano, pese a lo que llevan años vendiéndolo como bandera. Todo humo.

     

    Históricamente Apple usó en sus sistemas el protocolo de intercambio de archivos AFP, un protocolo propio de ellos que, quitando ellos, nadie más usaba. A la par, teníamos SMB creado por Microsoft, o NFS. Todos ellos protocolos nacidos de la necesidad de poder compartir recursos de forma simple en una red local.

     

    Windows siempre ha usado SMB, desde tiempos muy remotos, incluso Linux tomó de forma mayoritaria SMB como protocolo de intercambio de archivos en red, la implementación de SMB en linux por antonomasia se conoce como SAMBA. NFS quedó relegado a entornos más específicos, en principio con un rendimiento superior al resto, pero a día de hoy lo cierto es que SMB es el rey indiscutible, incluso con sus defectos. Tal es así que "recientemente", Apple por fin ha dado el brazo a torcer y ha empezado a usar SMB como protocolo de intercambio de archivos por defecto, abandonando AFP. Es lo que pasa cuando quieres intentar convencer al mundo que lo tuyo es lo único bueno y posible, pese a el resto de la humanidad te dice que te equivocas.

     

    Así que por ende, y a menos que se requiera por cuestiones muy concretas otros protocolos de compartición de archivo, todos usamos SMB para redes locales, y por descontado es el protocolo más habitual en los NAS.

     

    SMB NO ES UN PROTOCOLO para ser usado en Internet, solo en redes locales. Técnicamente podría ser posible con muchas configuraciones publicar un recurso hacia internet por SMB, pero vamos... nadie hace eso, y la mayoría tampoco sabrían siquiera.

     

    Tienes que entender que aunque el Router no tenga redirecciones, no significa que tus equipos no expongan en tu red local (no Internet) los recursos que ellos estimen. Pero eso no es cuestión del Router, sino de la configuración de los propios dispositivos. Si el NAS tiene activo por ejemplo el servicio FTP, no podrá ser accedido desde Internet ,obviamente, pero si desde la red local.

     

    Cuando se habla del incidente más conocido en los últimos años de SMB, el más que sonado WannaCry, hay que tener en cuentas dos cosas fundamentales:

     

    1º. La vulnerabilidad que aprovecharon los hackers no era desconocida, Microsoft había lanzado actualizaciones bastante antes, pero como suele pasar en muchos lugares, no es algo que muchos presten mucha atención... y eso que tener actualizado los equipos es lo más importante en la seguridad informática. No lo segundo o lo tercero, lo más importante. Si no tienes actualizados los dispositivos...

     

    2º. El ataque no se explotaba desde Internet. El ataque se lograba contagiando previamente un equipo de la red local donde había equipos vulnerables. El equipo se contagiaba generalmente por ingeniería social, y una vez el equipo era contagiado este intentaba contagiar y extenderse por la red gracias a la vulnerabilidad SMB.

     

    Así que en esencia, NADIE que tuviese dos dedos de frente y unas políticas de seguridad mínimas, se vieron afectados. Puede parecer raro, pero a día de hoy siguen siendo infectados muchas redes con el mismo fallo de seguridad porque aun no se ha solucionado en dichos equipos.

     

    ---------------

     

    Cualquier equipo de tu red está expuesto por dos lados. El primer, por tu propia red local, el segundo, potencialmente, Internet. Dentro de tu red local siempre es más peligroso, la mayoría cree que tenerlo aislado de internet es la solución, pero si está en red y tus equipos tienen acceso igualmente a Internet, un posible contagio de un equipo podría atacar a cualquier otro desde la red local. No digo que esto sea habitual y menos en particulares, pero pasa.

     

    EL otro vector es Internet, claro está. Para que un dispositivo pueda tener... "problemas" por tener Internet, hay que ver el grado de exposición que tienen. Si estamos en una red con un Rotuer que hace de NAT (el 99% de todas las líneas en España lo están), ningún dispositivo está expuesto realmente a Internet, se comunica, pero no está expuesto. Solo se expone cuando se mapean puertos.

     

    Eso no hace invulnerable a nada, pero si nos hace mucho más resistentes. No nos hace invulnerables porque nuestros dispositivos (movil, tablet, pc...) visitan páginas, ejecutan aplicaciones... y todos ellos si pueden tener fallos de seguridad por los que potencialmente (siempre hablamos de potencial) pueden ser comprometidos. De ahí que la mayor defensa siempre es tener actualizado los sistemas.

     

    --------

     

    Cuando la seguridad es lo más importante, ya implicaría tomar medidas más restrictivas, lo que implicaría configurar en los propios dispositivos firewalls con políticas muy controladas, para que estos dispositivos solo tengan permitidos comunicarse específicamente a dedo. Pero esto requiere no solo tener los conocimientos pertinentes, sino que dicho dispositivos puedan ser configurados para ello

Avatar de jc 2000
jc 2000
Yo probé el VDSL
23-02-2022

Buenas tardes, Theliel.

 

Muchísimas gracias por tus respuestas y por todas tus indicaciones.

 

He pasado a la empresa del NAS (Western Digital) una consulta para que me confirmen que no usan uPnP en funcionamiento local. En acceso remoto sí que usan, pro este lo tengo desactivado. Si veo que hay sorpresas en sus respuestas ya las comentaré...

 

Referente al punto que comentas que no tengo redirecciones en el router, es así. Sólo un comentario: desde hace un tiempo tengo el NAS parametrizado para que use una dirección IP privada estática (dentro de la red local), no usa DHCP. Supongo que esto no se entiende como una redirección dentro del router.

 

En el punto que comentas que un NAT bloquea todo acceso desde el exterior que no haya sido solicitado, entiendo que cuando es dentro de la red local no realiza este bloqueo, verdad ? Por ejemplo cuando accedo al NAS desde el Mac sí que lo permite sin que el NAS haya solicitado nada previamente.

 

Una última cosa referente a un posible acceso al NAS desde internet: el router no se puede parametrar para que una dirección IP privada de un dispositivo (que en el caso del NAS siempre es la misma) no sea accesible desde internet ? Si es posible, agregaría más seguridad ?

 

Muchas gracias de antemano por tus respuestas y toda tu atención.

 

Un saludo.

 

Josep.

 

 

Avatar de Técnico-Movistar
Técnico-Movistar
Responsable Técnico
04-03-2022

Hola jc 2000

 

 

Como no hemos recibido más comunicaciones por tu parte, creemos que ya no necesitas más ayuda desde el foro. Si más adelante tienes alguna otra consulta nos lo comunicas y estaremos encantados de ayudarte en la Comunidad .

 

Un saludo
Soraya