Configuración de acceso “seguro” a internet

Si has creado algún documento interesante, este es su sitio

Moderador: Moderadores

Configuración de acceso “seguro” a internet

Notapor Pintxo » Dom Ene 30, 2005 8:45 pm

CONFIGURACION DE ACCESO “SEGURO” A INTERNET CON ROUTER ADSL EN MULTIPUESTO PARA UNA RED LOCAL.

Leí en un Foro, un post con diferentes opciones para tener acceso a Internet desde una red local utilizando una conexión ADSL, de todas las opciones, la expuesta por el_chamán me pareció la más segura e incluso la más barata si ya dispones de un Router para conectarte a Internet, porque solo precisas una 2ª tarjeta de red en el Ordenador 1 como hardware adicional y el resto es configuración. Tampoco se necesita ningún software adicional.

La configuración propuesta por el_chamán era:

Ordenador 2

Ordenador 3 ---- Swicht ó Hub ------ Ordenador 1 ------ Router ------ Internet

Ordenador 4


Tomada la decisión me puse manos a la obra porque solo precisaba la tarjeta de red adicional, ¡Vaya decisión que tome!, ahora estoy contento pero mientras lo configuraba me arrepentí unas cuantas veces, no porque sea difícil, en absoluto lo es, sino porque al principio lo intente configurar siguiendo las “instrucciones” del Windows XP, que es el Sistema Operativo que tengo instalado en el Ordenador 1.

En mi opinión es mucho más fácil hacer una instalación manual, utilizando la característica de “Conexión compartida a Internet” de Windows, siguiendo los pasos siguientes:

Queda entendido que no has reconfigurado el Router, que lo tienes como te lo entrego tú ISP, que no lo has reconfigurado por tu cuenta.

1º Paso
a.- MUY IMPORTANTE en el caso de que tu ISP (Proveedor de Internet) te facilite como dirección de la puerta de enlace (la dirección del Router) la IP 192.168.0.1, en ese caso tendrás que activar, la propiedad de “Permitir a usuarios de otras redes conectarse a través de la conexión a Internet de este equipo” antes de configurar el acceso a Internet, esa casilla se encuentra en la pestaña “Avanzadas” de las Propiedades de la tarjeta de red donde has conectado el Router.
Si configurases primero la conexión a Internet y luego activases la casilla obtendrías un bonito mensaje de error y no te permitirá compartir la conexión, esto sucede porque Windows XP asigna, cuando activas esa casilla, por defecto la IP 192.168.0.1 a la tarjeta de red que vas a utilizar para la red local y al encontrar esa IP en la configuración de Internet da error.

b.- Configurar el acceso a Internet tal y como te indica tu ISP en el Ordenador 1, como utilizamos un Router, utilizaremos la tarjeta de red conectada al Router y para evitar confusiones tontas la renombraremos a por ejemplo “Conexión a Internet” ya que si utilizas Windows XP las nombra como “Conexión de área local 1 y Conexión de área local 2”.
Tendremos, la dirección de nuestro ordenador la IP 192.168.0.2, la mascara de red 255.255.255.0 y la Puerta de enlace, que es la dirección IP del Router 192.168.0.1 y en el apartado de DNS las facilitadas por nuestro ISP, las opciones avanzadas las dejamos como están, por defecto.


Pulsamos Aceptar y volvemos a la anterior pantalla, pulsamos cerrar y comprobamos si nuestro acceso a Internet funciona, y ¡¡¡Oh sorpresa!!!, ¡No Funciona!, pero tranquilos que si funciona, lo que sucede es que al compartir la conexión a Internet nos asigno a la tarjeta de red local, la “conexión de area local 1”, la IP 192.168.0.1 y claro si esa fue la IP que vuestro ISP os asigno como puerta de enlace, no puede resolver el conflicto.

Recordad que estas direcciones IP son un ejemplo, quizás vuestro ISP os asigne unas diferentes, por ejemplo: 172.16.0.2 y puerta de enlace 172.16.0.1. ú otras.


2º Paso
Configurar la red local

Ordenador 1
Seleccionamos la otra tarjeta de red, la nombrada, “conexión de area local 1” pulsamos el botón derecho del ratón y seleccionamos propiedades, en la siguiente pantalla, seleccionamos el protocolo TCP/IP y pulsamos sobre propiedades.
Ahora seleccionamos “Usar la siguiente dirección IP” y en el primer cuadro ponemos la siguiente dirección IP: 192.168.0.3 y la mascara de red 255.255.255.0 y nada más, pulsamos aceptar y aceptar otra vez en la siguiente pantalla y ya está, ahora si, ahora comprobamos nuestro acceso a Internet y si no hemos cometido ningún error veremos como conectamos sin problemas.

Ahora vamos a configurar el Ordenador 2 que será lo mismo para todos los siguientes excepto por el incremento logico de la dirección IP, es decir si en la tarjeta de red local del Ordenador 1 pusimos la dirección IP 192.168.0.3, en el Ordenador2 pondremos 192.168.0.4 y en el Ordenador3 192.168.0.5 y así sucesivamente, una vez aclarado este punto que muchos considerarán una simpleza, que lo es, proseguimos.


Ordenador 2
Seleccionamos la tarjeta de red “conexión de area local” pulsamos el botón derecho del ratón y seleccionamos propiedades, y en la pantalla que aparece nos aseguraremos de tener seleccionado “Clientes para Red”, “Compartir Impresoras y archivos para redes Microsoft” y el protocolo TCP/IP”, ahora, seleccionamos el protocolo TCP/IP y pulsamos sobre propiedades, en la pantalla que aparece, aquí seleccionamos “Usar la siguiente dirección IP” y en el primer cuadro ponemos la dirección IP: 192.168.0.4 y la mascara de red 255.255.255.0, en Puerta de enlace predeterminada pondremos la dirección IP de la tarjeta de red “conexión de area local 1” del Ordenador1, es decir la dirección IP 192.168.0.3, este paso es MUY IMPORTANTE para que funcione la conexión compartida a Internet, seguimos, ahora ponemos las DNS que nos ha facilitado nuestro ISP en “Servidor DNS preferido” y “Servidor DNS alternativo” pulsamos aceptar y otra vez aceptar en la siguiente pantalla, con esto finaliza, la configuración.
Ahora sería conveniente comprobar tanto la red local como la conexión a Internet desde el ordenador2, si funciona todo correctamente, cosa que sucederá si lo hacemos bien, solo hay que seguir los mismos pasos para configurar el resto de los ordenadores de igual manera que para el Ordenador2.

Saludos
-<|:·þ
La Tierra un solo País, La Humanidad un solo Pueblo
Avatar de Usuario
Pintxo
<|:-D
<|:-D
 
Mensajes: 1459
Registrado: Mié Ene 26, 2005 8:19 pm
Ubicación: En el sofá de la buhardilla!

Resucitando a los muertos

Notapor Thor » Mar Sep 26, 2006 1:36 pm

Lo primero lo siento por despertar a un post de hace año y medio :?

Esto que se explica es útil para compartir la conexión a internet teniendo el router en modo MONOPUESTO, pero teniendole en multipuesto como se dice en el post ¿Por qué no conectar directamente el resto de equipos al router? (Como lo tengo yo en mi casa) ¿Quizas sea por eso de "SEGURO"? En ese caso, ¿por qué es mas seguro?.

Saludos y si hace falta borrenlo :badgrin:
Avatar de Usuario
Thor
:-)
:-)
 
Mensajes: 9
Registrado: Lun May 15, 2006 4:51 pm
Ubicación: En la puerta de la planta baja

Notapor Pintxo » Mar Sep 26, 2006 6:10 pm

¡Hola!

Lo primero lo siento por despertar a un post de hace año y medio


¡Hombre! yo creo, que siempre que sea para despejar una duda o para ayudar, está bien hecho.

En el caso que comentas, cada equipo conectado directamente al router, todos los equipos se hayan expuestos a Internet directamente ¡con sus recursos compartidos!, lo que es un riesgo de seguridad bastante grave, a mi modo de ver, además tienes que tener un firewall y configurarlo para cada uno de los equipos, lo que aumenta la posibilidad de un error e imagina el trabajo que ello significa, cuando son por ejemplo, 10 o más equipos.

Con la configuración propuesta, los recursos compartidos quedan detrás del proxy y basta con configurar un firewall para el equipo que se utiliza como Proxy, además de que creo, que todos conocemos las ventajas añadidas de utilizar un Proxy, basta con que configures un firewall con las reglas que consideres oportunas y protegerá toda la red, menos gasto, menos trabajo y menos posibilidad de cometer errores.

Un caso practico… con la configuración que tu propones, instala el radmin en un equipo y podrás acceder a el desde donde te lo propongas, ahora instala el radmin en cualquier equipo de la red, con la configuración propuesta, e intenta acceder a el, verás que es imposible, el Proxy no te lo permite, independientemente de que le permitas el paso.

Saludos
-<|:·þ
La Tierra un solo País, La Humanidad un solo Pueblo
Avatar de Usuario
Pintxo
<|:-D
<|:-D
 
Mensajes: 1459
Registrado: Mié Ene 26, 2005 8:19 pm
Ubicación: En el sofá de la buhardilla!

Notapor okahei » Mar Sep 26, 2006 6:19 pm

Pero si el router está en multipuesto, no podrás conectarte a un "radmin" que esté en la LAN :roll: a no ser que mapees el puerto del mismo.

un saludo.
-<|:·)
Avatar de Usuario
okahei
-<|:·þ
-<|:·þ
 
Mensajes: 3715
Registrado: Sab Ene 29, 2005 12:12 pm

Notapor Thor » Mar Sep 26, 2006 7:24 pm

Un caso practico… con la configuración que tu propones, instala el radmin en un equipo y podrás acceder a el desde donde te lo propongas

Estando en multipuesto todas las conexiones que recibe el router a un puerto especifico no las envia a ningun equipo a no ser que mapee puertos en el router y le diga al router "las conexiones que recibas por el puerto 1234 (supongomos que es el de radmin) envialas al PC de la subred 192.168.1.5", ¿no?.

Si no me equivoco si el router está en multipuesto y sin mapear ningun puerto, ningún equipo de la subred es accesible desde internet ya que el router no sabrá a que equipo enviar las peticiones.

Lo de que todas las conexiones pasen por un firewall si que parece ser una ventaja. Pero prefiero tener un firewall por equipo, los firewalls buenos ya no solo filtran conexiones no deseadas, sino que evitan que un proceso "maligno" se haga pasar por otro inyectando código en el proceso que tiene permitido el acceso a internet.
Saludos.
Avatar de Usuario
Thor
:-)
:-)
 
Mensajes: 9
Registrado: Lun May 15, 2006 4:51 pm
Ubicación: En la puerta de la planta baja

Notapor Pintxo » Mar Sep 26, 2006 8:59 pm

¡Hola!

Si no me equivoco si el router está en multipuesto y sin mapear ningun puerto, ningún equipo de la subred es accesible desde internet ya que el router no sabrá a que equipo enviar las peticiones.


Pues si, desde luego y no discuto que en determinadas circunstancias no tenga sentido el ejemplo del radmin, como en otras, no tendría sentido otro ejemplo, por ejemplo sino hay acceso a Internet, es decir… Para el uso practico de una red y la utilización de los servicios que nos ofrece, es necesario en muchas ocasiones tener la red configurada con direcciones estáticas y tener así mismo mapeados varios puertos para los diferentes servicios que utilizamos, si además tenemos la desgracia de tener un router, como algún modelo de Zyxel, que era posible resetear remotamente o al que simplemente no hemos cambiado nada, pues ya tenemos todos los números para el premio gordo, algo que no sucedería en el caso optar por la configuración propuesta en este post.

El ejemplo del radmin, es eso tan solo un ejemplo, por supuesto que luego en la practica también le podremos encontrar inconvenientes al hecho no probado de que te hayan “colado” el radmin, de cómo saber la IP, de que router tenemos, etc. etc.

Lo que quiero decir es que en las mismas circunstancias, es más seguro estar detrás de un Proxy que directamente conectado a Internet.

Insisto también en que tener los recursos compartidos en un ordenador conectado directamente a Internet es un fallo de seguridad grave.

En cuanto a tener un firewall por equipo… o son pocos los equipos de la red, o utilizamos software free o hay tiempo y dibero, porque la diferencia entre comprar y configurar un firewall o comprar y configurar diez… hay mucha, pero que mucha diferencia. ;)

Saludos

PD. De todas formas está es mi propuesta, si a alguién le sirve, me alegraré mucho y si alguién puede aportar un modo más seguro estaré aún más encantado, pues lo aplicaré y estaré más seguro, ;)
-<|:·þ
La Tierra un solo País, La Humanidad un solo Pueblo
Avatar de Usuario
Pintxo
<|:-D
<|:-D
 
Mensajes: 1459
Registrado: Mié Ene 26, 2005 8:19 pm
Ubicación: En el sofá de la buhardilla!

Notapor okahei » Mar Sep 26, 2006 9:07 pm

Lo que quiero decir es que en las mismas circunstancias, es más seguro estar detrás de un Proxy que directamente conectado a Internet.


eso está clarísimo, además recordemos que hay troyanos que hacen una reverse-connection, y el proxy lo pararía, a no ser que se use algún método como el Http-tunnel ;)

Insisto también en que tener los recursos compartidos en un ordenador conectado directamente a Internet es un fallo de seguridad grave.


Pero es que si tienes un router en multipuesto, la LAN no está en internet ;)

un saludo.

PD: todo lo que sea seguridad, nunca está de más !!
-<|:·)
Avatar de Usuario
okahei
-<|:·þ
-<|:·þ
 
Mensajes: 3715
Registrado: Sab Ene 29, 2005 12:12 pm

Notapor Pintxo » Mar Sep 26, 2006 9:13 pm

¡Hola!

Pero es que si tienes un router en multipuesto, la LAN no está en internet


Eso es verdad, pero... no sé... quizás sean los recuerdos del windows 95 y las conexiones por moden... la verdad es que los tiempos me superan y hace ya tiempo que no estoy a la última, bueno lo que se dice a la última creo que nunca he estado, :lol:

Saludos

PD. Hay que tener en cuenta también que este post data de hace varios años, aunque aquí figure con una fecha más reciente.
-<|:·þ
La Tierra un solo País, La Humanidad un solo Pueblo
Avatar de Usuario
Pintxo
<|:-D
<|:-D
 
Mensajes: 1459
Registrado: Mié Ene 26, 2005 8:19 pm
Ubicación: En el sofá de la buhardilla!


Volver a Faq

¿Quién está conectado?

Usuarios navegando por este Foro: No hay usuarios registrados visitando el Foro y 1 invitado

cron