Algún experto en networking en la sala?

Archivado
Buenos días! Vengo aquí con una pregunta que se las trae. Tengo una idea de la respuesta, pero como es algo potencialmente peligroso necesitaría una confirmación absoluta. Para que os hagáis una idea, siempre que pregunto por el tema en reddit se monta una buena discusión (y siempre me quedo sin respuesta).

Tengo una red bastante bien montada en casa. Router montado por mi (opnsense), switches, varios AP...todos los cacharros de networking están metidos una VLAN independiente por seguridad.

El problema? El condenado ONT (aquí suele empezar el problema cuando consulto en reddit, al parecer la configuración varía según el país).
Nunca uso el de la operadora, siempre tiro de uno propio. Estos cacharros tienen una IP INTERNA para configuración inicial, actualizaciones y poco más. Al menos en mis aparatos lo primero que me piden es que selecciones que IP (interna siempre) prefiero para la gestión.

Lo más cómodo para mí sería darle una IP en el rango del resto de cacharros de networking (por ejemplo una 10.0.10.x). Eso funcionaría, no tengo duda, ya he hecho pruebas al respecto. Pero ahora viene el pensamiento que motiva la consulta...cómo es de seguro meter en la VLAN más delicada a un cacharro que está POR DETRÁS del router y además expuesto en cierta medida a la WAN? Es posible, y además es cómodo para mi. Pero claro, no deja de ser el cacharro más expuesto a Internet, y además está expuesto antes que el router. Creo que estos cacharros no suelen ser atacados y que es seguro hacerlo pero claro, preferiría algún tipo de confirmación antes de quedarme del todo seguro.
Ahora mismo lo tengo en otra subred por si las moscas (en una 172.16.x.x), pero claro, por miedo a lo que pase tengo todo ese rango bloqueado con nada más dentro.

Gracias por adelantado!
verdezito escribió:Buenos días! Vengo aquí con una pregunta que se las trae. Tengo una idea de la respuesta, pero como es algo potencialmente peligroso necesitaría una confirmación absoluta. Para que os hagáis una idea, siempre que pregunto por el tema en reddit se monta una buena discusión (y siempre me quedo sin respuesta).

Tengo una red bastante bien montada en casa. Router montado por mi (opnsense), switches, varios AP...todos los cacharros de networking están metidos una VLAN independiente por seguridad.

El problema? El condenado ONT (aquí suele empezar el problema cuando consulto en reddit, al parecer la configuración varía según el país).
Nunca uso el de la operadora, siempre tiro de uno propio. Estos cacharros tienen una IP INTERNA para configuración inicial, actualizaciones y poco más. Al menos en mis aparatos lo primero que me piden es que selecciones que IP (interna siempre) prefiero para la gestión.

Lo más cómodo para mí sería darle una IP en el rango del resto de cacharros de networking (por ejemplo una 10.0.10.x). Eso funcionaría, no tengo duda, ya he hecho pruebas al respecto. Pero ahora viene el pensamiento que motiva la consulta...cómo es de seguro meter en la VLAN más delicada a un cacharro que está POR DETRÁS del router y además expuesto en cierta medida a la WAN? Es posible, y además es cómodo para mi. Pero claro, no deja de ser el cacharro más expuesto a Internet, y además está expuesto antes que el router. Creo que estos cacharros no suelen ser atacados y que es seguro hacerlo pero claro, preferiría algún tipo de confirmación antes de quedarme del todo seguro.
Ahora mismo lo tengo en otra subred por si las moscas (en una 172.16.x.x), pero claro, por miedo a lo que pase tengo todo ese rango bloqueado con nada más dentro.

Gracias por adelantado!

mientras esten vlan separadas y todo pase por el router es seguro
verdezito escribió:cómo es de seguro meter en la VLAN más delicada a un cacharro que está POR DETRÁS del router y además expuesto en cierta medida a la WAN


Eso te iba a decir, además la ONT no es algo que estés configurando todos los días, lo configuras una vez y ya está, no sé qué pinta en la VLAN de cacharros importantes. Haz como con los cacharros menos fiables, en una subred aparte y reglas en el firewall para que puedas conectarte a la ONT desde la VLAN importante pero no al revés (lo digo por ese hipotético escenario de que la ONT se vea comprometida por algún motivo).
En casi todas las cabinas, y cosas importantes tienen una regla en firewall, para que solo sea accesible ssh, desde ciertos rangos, o cierta ip.
A los mkt q tanto pone la gente, lo primerito es que quitar gestión por WAN.
Un tema curioso... por detrás del router no debe estar todo, ¿Cómo si no lo vas hacer?, ¿por qué se lía en Reddit?

Te he releído dos o tres veces y no lo acabo de entender la verdad. No sé si tienes un router con un solo puerto de entrada y salida donde configuras todas la vlans y por eso te dicen es algo inseguro o es otra cosa.




De experto nada, pero me aburro a veces y me da por buscar lo que leo [qmparto]
Ante todo gracias a todos los que habéis respondido. Por desgracia me pasa lo de siempre, hay consejos y algún indicio pero no hay respuesta con una solución en firme.
Como reza el título la pregunta aunque pueda parecer sencilla se las trae, es networking pero a la vez entra bastante en el mundo de la ciberseguridad.
La convención en todas partes es que las redes se montan a partir del router, con algunas excepciones haciéndolo después de un switch principal.
Cuando uno quiere tomar el control total de la red y montarla a partir de un ONT empiezan las dudas y no hay forma de encontrar respuestas. Es un cacharro "básico", un conversor de fibra a ethernet sin apenas configuración pero no encuentro por ningún lado documentación acerca de la necesidad de la capa de seguridad que hay que emplear en estos aparatos.
Y de ahí la duda principal, por un lado nadie te dice que no lo pongas en una VLAN principal, las instrucciones de este aparato suelen ser un pequeño folleto. Pero por otro es un aparato con acceso a la WAN y a la LAN y que en potencia se puede poner en modo de enrutador...

Por mi parte y hasta que no encuentre nada más seguiré teniéndolo totalmente aislado. Una lástima pero prefiero reservar un rango entero para este bicho que dejar una posible puerta abierta a mi red.
No te sigo.

Lo único que puedes conectar a tu ont es un router, bueno un switch tambien, pero no te vale de nada ya que para tener servicio necesitas conectar un router (más grande, más bonito, como sea) que se autentifique con tu proveedor por pppoe y a partir de ahí tu Red.
@Kavezacomeback

Buenas! Si no recuerdo mal, es el propio ONT el que se conecta directamente al proveedor, este ya da internet a todo, pero como solo tienen una salida ahí debes de poner un router, que será el encargado de "enrutar" al resto de dispsotivos, hacer NAT etc lo que quieras.

Es más el cacharrito que te da el operador es ONT donde se conectar el cable de fibra directamente, router y switch es un todo en uno.

Un saludo
@luciferfran https://bandaancha.eu/articulos/que-ont ... cuada-9866


Hay (este hay me dolió incluso a mí :p ) lo tienes explicado y de cara a la seguridad que es lo que preocupa al compañero no veo como lo van a aprovechar, antes te revientan el router.
verdezito escribió:no hay respuesta con una solución en firme


Qué respuesta buscas, la seguridad total no existe, todo lo que esté conectado al exterior es susceptible de ser atacado y tener vulnerabilidades no conocidas.

Así que hay que ponerse en el caso peor. Si la ONT fuera comprometida y alguien consigue ejecutar código, podría saltarse el firewall del router si la tienes en la misma red que tus dispositivos sensibles o con reglas de firewall para dejarla pasar. ¿Merece la pena el riesgo incluso si es poco probable que ocurra? Como decía arriba, la ONT es algo que la configuras el primer día y ya te olvidas de ella.

¿Que a priori es complicado atacar una ONT? Sí. Desde Internet no es direccionable y los paquetes que van a pasar por ahí vienen del operador que no te va a mandar paquetes malformados ni cosas que se salgan del protocolo. Pero alguien se ha enterado que tienes dispositivos con información muy valiosa, decide interceptar tu cable de fibra y ahí le puede hacer todas las perrerías a la ONT porque está conectado directamente.

Y desde dentro también sería atacable, porque ahí sí sería direccionable y el servidor de gestión puede tener vulnerabilidades. Pero bueno, si el atacante está ya dentro apaga y vámonos [+risas]
9 respuestas
Archivado
Volver a General