¿Cómo puedo proteger una máquina contra la red local (inalámbrica) y al mismo tiempo permitir que la máquina enrute el tráfico de Internet?

tag-icon tag-icon networking wireless-networking security home-networking lan
¿Cómo puedo proteger una máquina contra la red local (inalámbrica) y al mismo tiempo permitir que la máquina enrute el tráfico de Internet?

Tengo una conexión DSL compartida y sé que algunos usuarios infectan constantemente sus computadoras, por lo que me preocupa la seguridad de la red. Mi computadora es la única que está conectada al módem (que también es el AP inalámbrico) mediante un cable Ethernet (interfaz eth0), todos los demás usuarios están conectados de forma inalámbrica (interfaz wlan0).

¿Qué medidas debo tomar para aislar o proteger mi computadora? Sé que si uno está conectado a la red inalámbrica puede interceptar y leer los paquetes que se envían utilizando software como Wireshark y ettercap, entonces, ¿cómo podría evitar la lectura de los paquetes que envío o, si eso no es posible, ¿Qué otras precauciones debo tomar?

No estoy buscando respuestas como"En primer lugar, no deberías compartir tu red con ellos", ya que este es el caso tanto en casa (con mis compañeros de cuarto) como en el trabajo (por lo que no puedo hacer mucho al respecto).

Algunas configuraciones que pueden ser relevantes:

Encendido/Automático

NAT
LAN to LAN (intra LAN) multicast
WMM(Wi-Fi Multimedia)
WMM APSD
Client Isolation

Apagado

Wireless Multicast Forwarding
Support 802.11n Client Only
OBSS Co-Existance
WMM No Acknowledgement
WPS
IGMP Snooping
QoS (quality of service)
LAN side firewall

Otro

Network Authentication - mixed wpa2/wpa - psk   
WPA/WAPI Encryption tkip+aes
DHCP slots match the number of clients

Habilitar el firewall del lado LAN me hizo perder la conexión a Internet, así que no quiero estropear más las cosas. No soy un experto en redes.

Agrupación de interfaces:

Group Name | WAN Interface | LAN Interfaces
Default    | ppp0          | eth3
           |               | eth2
           |               | eth1
           |               | eth0
           |               | wlan0

Las estadísticas de LAN muestran que solo eth0 y wl0 están transmitiendo/recibiendo datos.

Mi sistema operativo esDebian 6.0.7 (squeeze)

Respuesta1

Por lo que ha escrito, actualmente se encuentra en la misma red que sus amigos; aunque parece que las infecciones no están intentando infectarlo aún más (ya que solo eth0 y wl0 están transmitiendo/recibiendo datos).

Si lo entiendo correctamente, el aislamiento del cliente puede ayudar un poco, pero probablemente no lo haga.

La verdadera solución es asegurarse de ejecutar un firewall en su PC o, si prefiere, obtener un segundo enrutador y conectar el enrutador principal a su enrutador y luego su PC a su enrutador. Esta no es una "gran solución" debido a problemas de "doble nat", pero le brindará una medida mucho mejor de protección y aislamiento de su red.

Respuesta2

Sugeriría adquirir un enrutador que tenga una red de invitados, distinta de la red WiFi principal.

Eso permitirá dividir la red inalámbrica en dos subredes separadas, de modo que las computadoras que no son de confianza no puedan tener ningún acceso a su red, mientras que usted aún puede conectar de forma segura dispositivos inalámbricos a su propia red.

La mejor opción es conseguir un enrutador que admita fácilmente DD-WRT (es decir, sin ningún trabajo mecánico) en el que se pueda dividir la red de esta manera. DD-WRT también admite QoS que puede limitar el ancho de banda de otros usuarios si hacen un uso excesivo de Internet.

Para el último caso, verComparte tu Internet de forma segura con tus amigos y vecinos.

Respuesta3

Si está conectado de todos modos y desea mantener la conexión inalámbrica funcionando, le sugiero que consiga una computadora barata en eBay con 2 NIC e instalesentidopfen eso. pfSense es realmente fácil de administrar y es un excelente firewall que debería mantener su computadora segura. En términos de espionaje, realmente depende de su enrutador wifi; si es medio decente, no debería enviar tráfico por cable a través de la red inalámbrica a menos que esté tratando específicamente de llegar a una máquina inalámbrica porque las tablas de enrutamiento no lo harían. Paquetes directos allí.

Respuesta4

Muchos enrutadores tienen un puerto DMZ al que puede conectar su enrutador/AP WIFI. Esto segmentaría su red de la forma que desee. También puede comprar un conmutador y otro enrutador, conectar todos los clientes cableados al nuevo enrutador y mantener los clientes inalámbricos en el AP. (Utilice diferentes subredes)

información relacionada