Foro

Avatar de jc 2000
jc 2000
Yo probé el VDSL
19-02-2022
Resuelto

Cómo hacer invisible a Internet un dispositivo conectado al Modem-routes de Telefónica

Buenos días.

Tengo un disco de red (un NAS) conectado por cable al router Smart de telefónica. He inhabilitado al NAS el acceso en remoto, de forma que sólo se puede acceder a su contenido en local (vía la wifi de casa). La dirección IP del NAS es estática dentro de la red local del router. Para aumentar la seguridad del dispositivo NAS y evitar posibles hackeos (por ejemplo del tipo Ransomware) me interesa hacer que el NAS sea "invisible" a Internet, es decir, que desde fuera de la red local no se pueda detectar ni tener acceso a él.

 

He consultado este tema con el fabricante del NAS (es Western Digital) y me dice que me ponga en contacto con el operador telefónico para saber cómo se puede hacer.

¿Me podéis indicar si ello es posible y, en caso afirmativo, explicar el detalle de los pasos a realizar ?

 

¿Hay alguna otra cosa o acción que pueda realizar para mantener seguro el NAS y evitar posibles hackeos y virus ?

 

Muchas gracias por avanzado.

 

Un saludo.

 

Josep

  • Avatar de Theliel
    Theliel
    12-03-2022

    Buenas jc 2000 

     

    Cuando hablamos de seguridad y Apple... no van de la mano, pese a lo que llevan años vendiéndolo como bandera. Todo humo.

     

    Históricamente Apple usó en sus sistemas el protocolo de intercambio de archivos AFP, un protocolo propio de ellos que, quitando ellos, nadie más usaba. A la par, teníamos SMB creado por Microsoft, o NFS. Todos ellos protocolos nacidos de la necesidad de poder compartir recursos de forma simple en una red local.

     

    Windows siempre ha usado SMB, desde tiempos muy remotos, incluso Linux tomó de forma mayoritaria SMB como protocolo de intercambio de archivos en red, la implementación de SMB en linux por antonomasia se conoce como SAMBA. NFS quedó relegado a entornos más específicos, en principio con un rendimiento superior al resto, pero a día de hoy lo cierto es que SMB es el rey indiscutible, incluso con sus defectos. Tal es así que "recientemente", Apple por fin ha dado el brazo a torcer y ha empezado a usar SMB como protocolo de intercambio de archivos por defecto, abandonando AFP. Es lo que pasa cuando quieres intentar convencer al mundo que lo tuyo es lo único bueno y posible, pese a el resto de la humanidad te dice que te equivocas.

     

    Así que por ende, y a menos que se requiera por cuestiones muy concretas otros protocolos de compartición de archivo, todos usamos SMB para redes locales, y por descontado es el protocolo más habitual en los NAS.

     

    SMB NO ES UN PROTOCOLO para ser usado en Internet, solo en redes locales. Técnicamente podría ser posible con muchas configuraciones publicar un recurso hacia internet por SMB, pero vamos... nadie hace eso, y la mayoría tampoco sabrían siquiera.

     

    Tienes que entender que aunque el Router no tenga redirecciones, no significa que tus equipos no expongan en tu red local (no Internet) los recursos que ellos estimen. Pero eso no es cuestión del Router, sino de la configuración de los propios dispositivos. Si el NAS tiene activo por ejemplo el servicio FTP, no podrá ser accedido desde Internet ,obviamente, pero si desde la red local.

     

    Cuando se habla del incidente más conocido en los últimos años de SMB, el más que sonado WannaCry, hay que tener en cuentas dos cosas fundamentales:

     

    1º. La vulnerabilidad que aprovecharon los hackers no era desconocida, Microsoft había lanzado actualizaciones bastante antes, pero como suele pasar en muchos lugares, no es algo que muchos presten mucha atención... y eso que tener actualizado los equipos es lo más importante en la seguridad informática. No lo segundo o lo tercero, lo más importante. Si no tienes actualizados los dispositivos...

     

    2º. El ataque no se explotaba desde Internet. El ataque se lograba contagiando previamente un equipo de la red local donde había equipos vulnerables. El equipo se contagiaba generalmente por ingeniería social, y una vez el equipo era contagiado este intentaba contagiar y extenderse por la red gracias a la vulnerabilidad SMB.

     

    Así que en esencia, NADIE que tuviese dos dedos de frente y unas políticas de seguridad mínimas, se vieron afectados. Puede parecer raro, pero a día de hoy siguen siendo infectados muchas redes con el mismo fallo de seguridad porque aun no se ha solucionado en dichos equipos.

     

    ---------------

     

    Cualquier equipo de tu red está expuesto por dos lados. El primer, por tu propia red local, el segundo, potencialmente, Internet. Dentro de tu red local siempre es más peligroso, la mayoría cree que tenerlo aislado de internet es la solución, pero si está en red y tus equipos tienen acceso igualmente a Internet, un posible contagio de un equipo podría atacar a cualquier otro desde la red local. No digo que esto sea habitual y menos en particulares, pero pasa.

     

    EL otro vector es Internet, claro está. Para que un dispositivo pueda tener... "problemas" por tener Internet, hay que ver el grado de exposición que tienen. Si estamos en una red con un Rotuer que hace de NAT (el 99% de todas las líneas en España lo están), ningún dispositivo está expuesto realmente a Internet, se comunica, pero no está expuesto. Solo se expone cuando se mapean puertos.

     

    Eso no hace invulnerable a nada, pero si nos hace mucho más resistentes. No nos hace invulnerables porque nuestros dispositivos (movil, tablet, pc...) visitan páginas, ejecutan aplicaciones... y todos ellos si pueden tener fallos de seguridad por los que potencialmente (siempre hablamos de potencial) pueden ser comprometidos. De ahí que la mayor defensa siempre es tener actualizado los sistemas.

     

    --------

     

    Cuando la seguridad es lo más importante, ya implicaría tomar medidas más restrictivas, lo que implicaría configurar en los propios dispositivos firewalls con políticas muy controladas, para que estos dispositivos solo tengan permitidos comunicarse específicamente a dedo. Pero esto requiere no solo tener los conocimientos pertinentes, sino que dicho dispositivos puedan ser configurados para ello

15 Respuestas

Las respuestas se han desactivado para esta discusión
Mostrar más
  • Avatar de jc 2000
    jc 2000
    Yo probé el VDSL
    23-02-2022

    Buenas tardes, Theliel.

     

    Muchísimas gracias por tus respuestas y por todas tus indicaciones.

     

    He pasado a la empresa del NAS (Western Digital) una consulta para que me confirmen que no usan uPnP en funcionamiento local. En acceso remoto sí que usan, pro este lo tengo desactivado. Si veo que hay sorpresas en sus respuestas ya las comentaré...

     

    Referente al punto que comentas que no tengo redirecciones en el router, es así. Sólo un comentario: desde hace un tiempo tengo el NAS parametrizado para que use una dirección IP privada estática (dentro de la red local), no usa DHCP. Supongo que esto no se entiende como una redirección dentro del router.

     

    En el punto que comentas que un NAT bloquea todo acceso desde el exterior que no haya sido solicitado, entiendo que cuando es dentro de la red local no realiza este bloqueo, verdad ? Por ejemplo cuando accedo al NAS desde el Mac sí que lo permite sin que el NAS haya solicitado nada previamente.

     

    Una última cosa referente a un posible acceso al NAS desde internet: el router no se puede parametrar para que una dirección IP privada de un dispositivo (que en el caso del NAS siempre es la misma) no sea accesible desde internet ? Si es posible, agregaría más seguridad ?

     

    Muchas gracias de antemano por tus respuestas y toda tu atención.

     

    Un saludo.

     

    Josep.

     

     

  • Avatar de Theliel
    Theliel
    Yo probé el VDSL
    22-02-2022

    Buenas jc 2000 

     

    upnp es una tecnología que permite que si tanto el Router como el dispositivo que sea son compatibles (siempre hablamos de dispositivos de tu red local), ese dispositivo puede abrir/cerrar puertos de forma dinámica en el Router. Esto es muy recomendable tenerlo habilitado en el Router cuando el usuario no es muy "ducho" en aperturas manuales, así si una aplicación o lo que sea requiere un puerto, lo puede abrir sin intervención humana.

     

    Pero esto tiene un problema. En dispositivos especialmente como los NAS, si el Router lo tuviese habilitado y también lo habilitas en el NAS, el NAS sería un malote que se dedicaría a abrir muchos puertos en el Router, y por ende quedaría muy muy expuesto. Si bien tener upnp en el Router habilitado es hasta recomendable, hacerlo en un NAS sería nefasto!! Obviamente si el NAS lo tiene deshabilitado, no lo usará, aunque el Router lo permita. Dicho de otro modo, regla número 1, NAS con upnp quitado, que es como dices que lo tienes.

     

    Sin upnp habilitado y sin tener ningún mapeo en el Router puesto hacia el NAS, este repito queda invisible por propia definición de NAT. NAT en esencia bloquea TODO lo que venga del exterior si no ha sido solicitado antes desde el interior.

     

    Eso no lo hace ni mucho menos totalmente invulnerable. El NAS podría utilizar algún servicio de acceso o soporte remoto. Simplemente deshabilita del NAS todo lo que no uses, es la segunda regla de oro.

     

    No menos importante es tu propia red local. Da igual que no lo expongas hacia internet, si cualquier dispositivo de tu red puede ser infectado por cualquier malware, así que la mejor seguridad empieza por tener un mínimo de educación informática sobre malware. En realidad es muy fácil, las reglas habituales son conocidas: Siempre siempre tener todo el software/firmware actualizado, no ejecutar nada que no sepas feacientemente de donde ha venido y que es, etc etc etc.

     

    Y para acabar, cualquier información que consideremos importante, debe de usarse siempre una política de copia de seguridad llamada 3-2-1: 3 Copias en total, 2 de ellas en soportes diferentes al menos, y 1 de ellas en ubicación diferente.

     

    Saludos

  • Avatar de jc 2000
    jc 2000
    Yo probé el VDSL
    22-02-2022

    Hola Nacho.

     

    La verdad es que no ha quedado resuelta, después de leerla detenidamente. No soy un experto en redes. De todas formas he leído el manual del NAS, y menciona que uPnP lo usa para el acceso al contenido desde la nube (internet). Esta opción ahora la mismo la tengo desactivada en el NAS, com lo cual entiendo que no debe estar usando uPnP.

    Respecto a si tengo uPnP activada en el router de Telefónica, pues no lo sé. Me imagino que tendrá lo que venia por defecto, ya que sólo recuerdo haber cambiado la contraseña. Desde la app Smart WIFI la verdad es que no parece que mencione en ningún sitio la opción uPnP. No se si se puede acceder acceder a la configuración del router de otra forma...

    Por otra parte no he hecho redirecciones de puertos ni aperturas manuales de los mismos, al menos yo.

     

    Entonces, con esta situación que acabo de explicar, el NAS es visible o no en Internet ? Lo que quiero es bloquear el acceso a él desde internet; que sólo se pueda acceder dentro de la wifi local de casa.

     

    Mi pregunta es acerca de cómo se puede conseguir esta invisibilidad del NAS a Internet para que no puedan acceder a él directamente.

    Y también si tenéis algún otro consejo de seguridad aplicable en este caso.

     

    Gracias por vuestra información.

     

    Un saludo.

     

    Josep

     

  • Avatar de Técnico-Movistar
    Técnico-Movistar
    Responsable Técnico
    21-02-2022

    Hola jc 2000

     

    Disculpa por la demora en responder. Vemos que ya has sido informado por Theliel, al cual agradecemos su colaboración. Con la información facilitada, ¿ha quedado solucionada tu consulta?.

     

    Un saludo.

     

    Nacho.

  • Avatar de Theliel
    Theliel
    Yo probé el VDSL
    20-02-2022

    Buenas jc 2000 

     

    Cualquier dispositivo conectado a un dispositivo NAT (Como tu Router) es de facto invisible hacia el exterior. únicamente se hace "visible" si creas redirecciones de puertos en el Router manualmente, o usas upnp tanto en el Router (que es recomendable tenerlo habilitado) como en el NAS, para que este realice la tarea por ti.