Me encuentro en una posición en la que mi ISP actual no puede proporcionar Internet de alta velocidad. Es probable que esta situación cambie con el tiempo. El ISP ha proporcionado un enrutador muy básico con un módem integrado que admite ADSL.
Actualmente, he bloqueado el enrutador del módem ISP lo mejor que puedo y he conectado un Raspberry PI mediante un cable Ethernet. El sistema operativo personalizado en Pi maneja toda la conectividad del dispositivo, firewall, VPN y bloqueo de publicidad, entre otras cosas. Es el enrutador de facto en mi configuración. El módem enrutador del ISP todavía tiene todas sus funciones de seguridad y firewall habilitadas, pero en realidad solo actúa como el módem de mi red.
Si bien esta solución funciona bien, quiero reemplazar el enrutador rapsberry pi con un enrutador de consumo con características mejoradas de hardware y software sobre las que tengo control total, incluido el firmware que se ejecuta en él (DD-WRT). Hay muchas opciones con soporte de módem integrado para métodos de conexión modernos (fibra óptica), pero casi ninguna para admitir mi opción de conexión actual (ADSL).
Dado que mi situación probablemente cambiará en el futuro, preferiría comprar un módem/enrutador moderno (probablemente compatible con fibra óptica) para que, cuando llegue el momento, pueda usarlo como único enrutador. Sin embargo, hasta entonces lo 'colocaría en el lugar' de la Raspberry Pi, es decir, junto a mi enrutador ISP actual conectado mediante un cable Ethernet.
Creo que esto debería plantear algunos problemas, considerando que Raspberry Pi hace todo esto en este momento, pero solo quería una aclaración porque solo he tenido experiencia en el uso de módems enrutadores usando sus módems para conectarme.
Debo señalar que el Pi no actúa como un enrutador en modo puente, sino simplemente como otro enrutador.
Si compro un módem/enrutador de consumo pero en lugar de utilizar el módem integrado, conecto el enrutador a mi módem/enrutador ISP actual mediante un cable Ethernet, ¿seguirán funcionando todas (o la mayoría) de las funciones de hardware y software? Es decir, ¿puedo configurar el enrutador para que trate la red en el puerto Ethernet más como una red no segura y para habilitar reglas de firewall completas, etc.? (¿Y hay un nombre para esto?)
¿Hay alguna desventaja de seguridad en esto? Por ejemplo, si el enrutador del ISP está comprometido, ¿podría la conexión física de Ethernet representar algún tipo de riesgo elevado? Preferiría mantener una conexión Ethernet para reducir el ruido de la señal y eliminar otro vector de ataque (localizado).
Respuesta1
Si compro un módem/enrutador de consumo pero en lugar de utilizar el módem integrado, conecto el enrutador a mi módem/enrutador ISP actual mediante un cable Ethernet, ¿seguirán funcionando todas (o la mayoría) de las funciones de hardware y software? Es decir, ¿puedo configurar el enrutador para que trate la red en el puerto Ethernet más como una red no segura y para habilitar reglas de firewall completas, etc.? (¿Y hay un nombre para esto?)
Para la mayoría de los enrutadores de consumo, esa ya es la configuración predeterminada: así es como funciona el puerto marcado como "WAN" desde el primer momento. El enrutador realmente nosaberya sea que esté conectado a otro enrutador local o no, siempre se supone que el puerto "WAN" está conectado directamente a Internet.
(Existen algunas excepciones en las que el enrutador detecta otro enrutador de consumo similar en sentido ascendente y cambia al modo puente o similar, pero esta es una característica poco común y generalmente funciona solo entre productos idénticos, por ejemplo, "Link+" entre dos enrutadores Huawei).
(Para los enrutadores que no tienen puertos predefinidos, simplemente se llama "configurar el firewall". Si comenzó con un conjunto de reglas vacío, agregue una regla de reenvío que permita que los paquetes se reenvíen, por ejemplo, desde bridge1 ("LAN") a ether1 ( "WAN"), luego agregue una que permita paquetes para conexiones "activas" y otra que elimine todo lo demás, y finalmente una regla de enmascaramiento que permita la NAT habitual que realizan los enrutadores domésticos).
Por ejemplo, si el enrutador del ISP está comprometido, ¿podría la conexión física de Ethernet representar algún tipo de riesgo elevado?
Suponiendo que el enrutador principal realmentetienelas reglas del firewall: no, no podría.
(Sin embargo, esa es una situación en la que "NAT no es un firewall" se aplica mucho: un dispositivo con una conexión directa a una puerta de enlace NAT puede enviar paquetes a direcciones IP privadas "detrás" de esa puerta de enlace, si el enrutador interno no tenía un firewall. reglas que lo impiden.)