Capar ordenador a internet

**acortes** · 10-01-2012

Hola a todos, el problema es el siguiente: tengo varios ordenadores conectados en red mediante un switch o hub, y a éste tengo conectado un router para la conexión a internet. De esta forma todos los ordenadores disponen de internet. Ahora bien, necesito que varios ordenadores no dispongan de internet por seguridad, para no tener que comprar varias licencias de antivirus, que estén cerrados totalmente a internet. Para ello, he buscado en Google y la solución que he llevado a cabo es la de poner todos los ordenadores con IP automática, y en los que no quiera internet simplemente colocar en DNS una dirección falsa. En principio esto funciona, ya que puedo acceder a la red, pero no a internet.

Mi pregunta es: ¿están mis ordenadores seguros contra al acceso indeseado de virus y otras amenazas con este sistema?

**angelsan** · 10-01-2012

Yo diría que no, estas bloqueando las conexiones salientes desde esos equipos (y sólo desde el navegador), pero no las entrantes. Para un bloqueo efectivo necesitarías un firewall y configurar los accesos y los bloqueos pertinentes. Existen cortafuegos y antivirus gratuitos, y no están de más en equipos con Windows (mira, por ejemplo, cómodo, AVG).

De todos modos, a ver si algún experto en redes te aporta más luz sobre este tema. Saludos.

**Pit [reloaded]** · 10-01-2012

A mí también me parece que no es segura esa solución.

**Nessito** · 10-01-2012

Si quieres seguridad, tienes que setear las direcciones en el router. El napt y estas cosas, yo lo que haría es poner las direcciones IP de Lan fijas y en el router dejar solo esas.

**infograph3d** · 10-01-2012

Hola, es básico saber que modelo de router tienes, y que es lo que puede hacer, ya que depende del modelo, hacer eso que quieres es o sencillo o complejo, algunos routers es un solo clip. (el switch únicamente distribuye una Lan como puerta de enlace, separa segmentos de conecxión) aunque los routers hacen ya la veces de switch, es decir pueden interconectar intraredes, o redes Lan que no están necesariamente accediendo a internet. En principio yo orbitaria por el router, aunque se puede crear un PC server, como puerta de enlace de internet y de red y a través del con dos entradas de internet en la placa, poner un switch, en una de ellas, pero suele dar problemas, aunque es una manera de que ese equipo accedea la puerta de enlace a internet, y cuales únicamente pueden tener tráfico en la Lan interna.

Otra opción más sencilla y barata: algunos routers sencillamente tienen un filtro configurable llamado dmz o monopuesto, que en ruta, que IPS de, por ejemplo, otro segundo router o switch de la red permite acceder a la red. Para esto hacen falta dos router, o un router y un switch, o un router o módem ADSL moderno, y al menos uno, el primero, tiene que tener dmz enabled, de este modo creamos dos redes, y solo la que tú quieras tiene acceso a la red.

Depende del modelo de router, pero es sencillo con IP estática configurada en cada PC, y en router filtrar cada ordenador. Atraves de un firewall puede ser bastante complejo, quizá el más fiable sea el agnitum outpost, pero es difícil cerrar que puertos no pueden ser accedidos desde el exterior, y que, aunque un PC no este conectado a internet, el antivirus debe estar siempre instalado, pues existen muchas otras amenazas de virus en discos extraibles, memorias USB, aparte de los posibles ataques ddos, fuerza bruta.

Como te vienen diciendo, que no pongas las DNS en una conexión, puede impedir que un PC de la red no acceda a internet y viceversa, no existe trafico, pero no capas la conexión del todo, y nunca sabremos si el PC permitido, puede hacer de puerta de distribución de virus y malware a los PC sin internet, a través de la Lan interna ya que usa el mismo rango de IPS. 192.168.1.1.2.3 y que están sin protección, lo que tú necesitas es una red de tipo rpv (red privada virtual) con router o switches preparados para ello, no suelen ser baratos, ya que son modelos medios y de gama alta.

Otras opciones es usar dos routers o uno solo con dos conexiones si es posible, a una IP, ejemplo 192.168.1.1 es la conexión con tu proveedor wan para los PC que acceden a internet, y una segunda IP Lan, o bridge Lan, 192.168.2.0. Con dos routers es igual, pero el primer router hace de puerta de enlace principal y proporciona acceso a internet a x PC (trafico wan), y un segundo está en modo bridge a la segunda conexión con el primero, pero como puerta de acceso a Lan interna, es decir permite únicamente comunicar los ordenadores de la red, pero no puede tener tráfico hacia afuera o dentro de la red, por que tiene una IP interna distinta. Repito, para esto el router principal tendrá dos tipos de conexiones, una wan con acceso a internet, y otra bridge para acceso a la red, este segundo router, si tiene opción para ello, es mejor usar el firewall y el cerrado de puertos que llevan algunos modelos, el primer PC, necesita tener en la conecxión de área local, acceso a ambas redes, interna y externa, y que la externa, no este dando acceso a la red interna por supuesto, esto seria convertir la conexión del PC principal en puerta de enlace y no nos interesa.

Esta opción permite tener dos redes con tráfico distinto que el primer router filtra, pero es complejo si tuvieses en un momento dado, abrir puertos desde la red interior a la exterior, ya que existen dos puertas de enlace (a veces esto mismo se usa para hacer crossover, multibridge o crear puntos de acceso wifi como repetidores) de este modo, si te asegurarías que realmente estas separando físicamente dos conexiones distintas en un mismo punto de acceso. En algunas ocasiones, en el PC principal o servidor, puedes incluso tener dos conexiones de área local, una para internet, configurada en modo IP fija si quieres con la wan del primer router, y otra segunda, configurada en IP fija para acceder a la conexión Lan o bridge, ya aquí puedes hacerlo con un router, o con dos como explique, algunas tarjetas madre, llevan dos conexiones de área local incluso, permitiendo dos conexiones a redes, de forma separada.

Parece complejo, pero no lo es en adsoluto, la parte difícil está en configurar el router principal con dos conexiones, y el segundo router con los valores del primero, también es posible crear bloqueos por Mac, que son como una matricula de red que bloquea el paso a cualquier conexión de un ordenador ajeno, por si te interesa la seguridad, esta configuración también permite conectar PC por wifi por supuesto. Te aconsejaría que te mirases el manual de tu router, en cuando a modos de acceso en redes distintas, no todos los routers pueden, te aconsejo un modelo zyxel.

Existe también otro modo con rpv, que es crear subredes a, b donde la última b es la que accede a internet, y donde b con internet no puede ver la red a, es absolutamente invisible, lo que ya no recuerdo de todos modos si ambas redes pueden llegar a verse entre sí para pasar al menos claro esta archivos por entre PC al ser redes distintas, con este sistema, así que, igual lo descartamos ya que aquí me lio un poco.

Si te interesa contáctame al priv y miramos con lo que tienes en casa de qué forma más sencilla puede hacerse.

**acortes** · 10-01-2012

Gracias a todos por vuestra rápida respuesta. Ya me temía yo que no iba a ser tan sencillo de deshabilitar internet y no red.

Infograph3d, gracias especialmente por dedicar tu tiempo a responder. Lo cierto es que necesito releerlo varias veces para empaparme un poco del tema, estoy muy verde en esto de las redes, y hay cosas que me suenan a chino. Pero has comentado un montón de ideas en las que puedo empezar a investigar.

Pienso que quizás lo más sencillo será conectar el router ADSL directamente al ordenador que uso para internet en una de sus tarjetas de red y en otra tarjeta de red conectar la red de todos los ordenadores. De esta forma los otros ordenadores están seguros, ¿no? Un saludo, y gracias de nuevo.

**infograph3d** · 10-01-2012

Si, a veces tengo tanta información metida en mí cabeza, que la suelto sin orden ni concierto, pero depende de tu modelo de router, igual solo es acceder a su menú web 192.1681.1 meter tu password y contraseña, a veces es admin, admin o admin 1234, o la que tenga, y ir a algún menú en el que puedas únicamente crear una red ethernet con una IP propia, y que está a su vez no accede a internet, o bloquear el acceso de los ordenadores de la red por la Mac de cada uno, y en el apartado de Mac filter o algo así, pones aquellas que estarían no permitidas, prácticamente todos los routers tienen menús para ello. O sencillamente tiene un menú Lan en el que sale cada ordenador de tu red conectado ya al router, y tu le vas diciendo que tráfico quieres bloquear según la IP que tenga cada uno, depende del router, pero vamos también venia hablando de una manera física, cómoda y de cierto modo robusta de separar redes si de seguridad veníamos hablando. Aunque no tiene por qué pasar nada, mejor pones un antivirus y un firewall a cada ordenador, uno sencillo, como el Avast suite, o así.

Es que la opción simple de no configurar las DNS en la conexión local de cada PC, para que no acceda a internet, en términos de fiabilidad, pues no tiene tanta, aunque funcionar, funciona, tampoco es cuestión de volvernos paranoicos con los virus, y ataques de la red que pueden echar a perder horas de trabajo, seamos sinceros, no suele pasar de un virus chorra o algún malware guarro que se pasa teniendo antivirus actualizados.

Sobre tu pregunta, sí, seria tener dos routers, o lo que tengas por casa, un router para el ADSL y otro router o swith para la red, cada uno a una tarjeta de red distinta, luego toca configurar cada área local, y con cual accedes a internet, a veces pueden ser algo puñeteras las conexiones según la placa, o el router, que se les va la pinza, pero es una lotería. Aparte de que con este método, descongestionas la red externa cuando bajamos del ADSL y al mismo tiempo lanzamos tareas o intercambiamos archivos pesados por la red interna.

El otro método, es con dos routers, o con uno solo, crear dos conecxiones, una wan para ADSL, y otra wan para la intranet, a la intranet podríamos conectar ya los PC de la red directamente, o conectar un router, switch y a su vez aquí los PC, creo que sería así, pero depende del modelo de router, así separamos traficos con mayor seguridad y velocidad.

**acortes** · 10-01-2012

Pues gracias de nuevo, Infograph, voy a ver todo esto que me comentas.

**Mars Attacks** · 14-01-2012

No he leído todo el contenido de la información de Infograph, así que, igual repito cosas, quieres evitar el contagio de virus de ciertas máquinas contectadas a una red (si es necesario, privándolas de acceso a internet) pero a su vez van a estar conectadas en red a otras máquinas que sí tienen acceso a internet, ¿correcto?
En ese caso, lo tienes crudo, un virus que contagiara a cualquiera de las máquinas con acceso a internet se propagaría por la subred (igual que, aunque retengas a los niños en casa, si vuelves de trabajar con un resfriado, se lo vas a pegar, aunque ellos no hayan salido).

Lo peor es que no hay ninguna solución 100% fiable sin antivirus (y también te diría que ni con él), ya que incluso en el caso más drástico, el de separar las dos redes para tener una enlazada sólo mediante hubs sin salida a internet, y la otra que terminen dando a un router que les saque ha internet, incluiría el caso en el que copies información de uno a otro (con un Pen, por ejemplo) y propagues el virus mediante ese Vector de transmisión.

El resumen es que todo se reduce a que grado de paranoia quieres asumir. Te recuerdo que tienes algunos live CD de software libre con antivirus que puedes usar para comprobar la limpieza de las máquinas (incluso de las que funcionan con Windows, en ocasiones, de hecho, puede que sólo te funcione este método de limpieza) que puede servir como solución intermedia.

**acortes** · 15-01-2012

Hola Mars, gracias por responder. Mi situación es la que comentas sólo que además en el ordenador que tengo acceso a internet tengo instalado un buen antivirus de pago. De esta forma, pienso pasar toda la información externa (tanto internet, como Pen drivers.) por este ordenador para comprobar que no hay virus.

De momento, (no tengo mucho tiempo y menos ganas de ponerme con ello aún) mantengo la solución inicial, la de poner en el resto de ordenadores unos DNS falsos.

**Mars Attacks** · 15-01-2012

Tal y cómo funcionan los virus, antes que lo de la DNS instalaría un firewall gratuito (Zone Alarm es mi favorito) en el que le diría que sólo aceptara las conexiones de red interna. Cualquier programa malicioso podría conectarse directamente a una dirección IP y entonces lo de la DNS daría igual (sólo sirve para preguntar a otra máquina externa a que número de IP pertenece un determinado dominio, pero si se usa directamente el número de IP).

**ikerCLoN** · 15-01-2012

Yo tiraría por la opción de dos redes distintas, o dos grupos de trabajo distintos (dominios), cada uno con privilegios diferentes. No obstante, si necesitas pasar archivos de un equipo con acceso a internet, igual un disco duro de estos que se conectan a una red local puede ser solución: descargas y pasas el antivirus desde el que tiene conexión escribes en el disco duro de red, y los demás equipos leen ahí.

**acortes** · 15-01-2012

Gracias por darme soluciones. No sé, lo que no quiero es perder tiempo con esto, lo del firewall, aunque sea una buena idea, no me apetece meterme con nuevo software además de que no tengo ni puñetera idea de que va el firewall. Al final creo que haré eso, crear dos redes, una para internet y otra para la red. Un saludo, chicos.

**acortes** · 16-01-2012

Pensando un poco más detenidamente en todo esto: lo que me puede preocupar es que, algún virus infecte los ordenadores sin antivirus, pero mi duda es: la técnica de los DNS no puede impedir el ataque de un hacker, pero si la infección de virus ya que desde esos ordenadores no puedo acceder a internet, me equivoco? Si es así, con eso me vale, ya que ningún hacker va a querer entrar en ordenadores que no tienen ningún dato importante, eso se supone que es más para grandes empresas. Y si controlo todos los accesos a internet con un buen antivirus y los pendrive, cds, DVD, etc solo leo con esos ordenadores, creo yo que tengo ya buena seguridad, no creéis?

**Mars Attacks** · 16-01-2012

Hay infinitos programas rastreando todo el tiempo los puertos abiertos de los ordenadores de internet para aprovechar sus fallos de seguridad, instalarles programas de control remoto y usar esos ordenadores como ordenadores zombie para operación de denegación de servicio a otras máquinas, plataforma de envío de mensajes y muchas otras cosas feas que no cuento para que durmáis tranquilos.

La primera regla de la seguridad informática es que la falsa sensación de seguridad es peor que la cierta sensación de inseguridad. Bueno, es la segunda. La primera es que el mejor método de seguridad es un segurata con un garrote delante de un ordenador desconectado.

Yo en tu lugar instalaría lo que hiciera falta en cada máquina, haría una imagen de esa máquina para poder machacar el contenido del ordenador en caso de que le pase algo y no tener que reinstalar todos los programas y configuraciones, y usaría discos duros externos para dejar los datos. Así, si se infecta el disco duro, se puede repasar en uno de los que tienen antivirus, y las máquinas en sí se pueden arreglar en lo que tarde el Ghost en devolver la imagen del ordenador al ordenador.

Tema: Capar ordenador a internet

Herramientas

Buscar tema