Configuración segura y óptima de la Red ADSL/ATM

·

Este texto esta escrito unicamente con fines didacticos. El autor no se hace responsable del mal uso que se pueda dar a esta informacion, ni se hace responsable de los programas que lleve incluidos. Si el ordenador se quema, si se borra el disco duro o si un perro te muerde al ejecutarlos, no reclames al autor.

INTRODUCCION

La potencia de los ordenadores actuales es tremendamente superior a esos pequeños ordenadores que nos traen en forma de routers/modem ADSL y ATM. Aparte de la velocidad, con los ordenadores actuales podemos controlar toda la potencia de la linea a nuestro gusto, controlar mucho mejor la seguridad del sistema, control del BandWidth por IP o por servicio (QoS), etc… En este articulo vamos a intentar traspasar todas las funciones del router al ordenador que haga de servidor, por supuesto yo recomiendo que este tenga linux si se trata de un PC.

La idea que hay detras de este hack, es imponerle al router una IP falsa, que ni siquiera tenemos routeada a nuestra LAN, y poner la IP fija verdadera (la que da telefonica) en el ordenador.
Con ello conseguiremos que el router pase todos los paquetes como si se tratase de un modem y ademas conseguiremos que los servicios del router (estadisticas,tftp,snmp)… no puedan ser accesible desde fuera, ya que su IP es falsa y no accesible desde inet. Ademas, con esta configuracion vamos a conseguir que nuestros raw sockets viajen libremente por la red sin que se queden en el modem/router, y podremos utilizar utilizades como nmap, hacer spoof, etc…

El problema que tendremos que solucionar es el de la comunicacion entre router y host, si ponemos una IP aleatoria al router no podremos accederle como gateway ya que su ip no pertenecera a la red local del host. Por lo tanto la ip del router debe pertenecer obligatoriamente al conjunto de ip’s de la red local del host.
Para perder la cantidad minima de ip’s de la red del host,la solucion se presenta en forma de sub-nets, nos crearemos una subred de 4 ips, una para el host, una para el router, una broadcast, y una de red.

Bien, pasemos a la faena:

Ejemplo:

Tenemos 2 ordenadores en nuestra intranet + 1 ordenador que hara de servidor + un modem/router ADSL con IP=214.23.112.53

La configuracion que nos «recomienda» telefonica consiste en tener IP’s locales en todos los ordenadores de la intranet y tener la IP fija de internet + 1 ip local en el router/modem y activar NAT en el router.
Esto es totalmente ineficiente/inseguro, el codigo que llevan la mayoria de los routers tiene bugs y backdoors por doquier, dejar al alcance de internet un bicho semejante se ha de calificar como minimo de muy peligroso. (Para ilustrar con un ejemplo se me pasa por la cabeza las default communities del snmp, los ataques DoS a los CISCO con los GET ? en el servidor http, los errores de stack y consiguientes bloqueos tras scanneo con nmap -f, y un laaargo etc…)

MANOS A LA OBRA

La idea fundamental que hay detras de la configuracion que queremos realizar es la de crear una sub-red que la formara el router/modem y el servidor; para ello y para ver los maximos ordenadores posibles pondremos una mascara de subred 255.255.255.252, esto nos permite tener 4 ips en la subred, 2 estan reservadas (ip de red, y ip broadcast) y las otras 2 seran las que vayan en el router/switch y en el ordenador. En nuestro ejemplo tendremos lo siguiente.

IP que nos da Telefonica 214.23.112.53

configuracion a poner:

IP de red=214.23.112.52
IP 1, ordenador servidor=214.23.112.53
IP 2, ordenador servidor=192.168.0.1
IP modem/router=214.23.112.54
IP broadcast=214.23.112.55
mask=255.255.255.252

IP’s ordenadores locales: 192.168.0.x

IP gateway para todos los ordenadores intranet= 192.168.0.1 si se quiere hacer NAT.

CONEXIONES

Al PC que hara de servidor le meteremos 2 tarjetas de red (con 1 tambien se podria hacer utilizando las IP Alias, pero es mas ineficiente por motivos que se salen del objetivo de este articulo, y hay que tener en cuenta que una tarjeta de red sale por unas 1500 ptas), a una le asignaremos una IP local, y a la otra le asignaremos la IP de telefonica. Despues le activaremos el NAT (o masquerade) para que toda la intranet tenga acceso y configuraremos el firewall, el QoS y todo lo que queramos. En el modem/router le meteremos las IP’s calculadas de red, local y broadcast, pondremos la maskara expuesta arriba y activaremos la funcion router y quitaremos todas las demas opciones (NAT, firewall, etc…).

Ahora el router es un fantasma inaccesible por internet, aunque nosotros podemos llegar hasta el sin ningun problema desde nuestra intranet con la nueva ip asignada.

DIAGRAMA DE RESULTADO FINAL

ordenador 1 

192.168.0.2              server(ordenador 3)  (NAT/Masqerade)
___       switch/hub        192.168.0.1___
| |-----|_|----------------------------| |
---      |                             --- 214.23.112.53
        _|_                     conex.  |
        | |                    directa  |             ipbroadcast=214.23.112.55
        ---                    ethernet |             ipred=214.23.112.52
        ordenador2                      |             mask=255.255.255.252
        192.168.0.3                     /
                                       /   router ADSL
                                      /____ 214.23.112.54
                                         |
                                         |
                                      INTERNET

CONCLUSIONES

Con esto hemos traspasado todo el poder al ordenador, la seguridad del sistema ahora esta centralizada y dependera unica y exclusivamente de la configuracion del ordenador servidor. La unica pega de este hack es que no podremos acceder a los 3 ordenadores vecinos de Internet que llevan las IP’s 214.23.112.52,214.23.112.54,214.23.112.55, aunque con toda seguridad estos seran hosts de adsl que ni siquiera tendran servicios activos.

Comments

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *