Documentos de Académico
Documentos de Profesional
Documentos de Cultura
El contingut de la present guia s titularitat de la Fundaci Centre de Seguretat de la Informaci de Catalunya i resta subjecta a la llicncia de Creative Commons BYNC-ND. Lautoria de lobra es reconeixer mitjanant la inclusi de la segent menci:
Modificaci: Qualsevol de les condicions de la present llicncia podr ser modificada si vost disposa de permisos del titular dels drets.
Altres drets: En cap cas els segents drets restaran Obra titularitat de la Fundaci Centre de Seguretat de la Informaci de Catalunya. Llicenciada sota la llicncia CC BY-NC-ND. La present guia es publica sense cap garantia especfica sobre el contingut. Els drets del titular sobre els logos, marques o qualsevol altre element de propietat intellectual o industrial incls a les guies. Es permet tan sols ls daquests elements per a exercir els drets recone2
guts a la llicncia. Els drets morals de lautor. Lesmentada llicncia t les segents particularitats: Vost s lliure de: Els drets que altres persones poden tenir sobre el contingut o respecte de com sempra la obra, tals com drets de publicitat o de privacitat. Copiar, distribuir i comunicar pblicament la obra. Avs: En reutilitzar o distribuir la obra, cal que sesmenSota les condicions segents: tin clarament els termes de la llicncia daquesta obra.
Reconeixement: Sha de reconixer lautoria de la obra de la manera especificada per lautor o el llicenciador (en tot cas no de manera que suggereixi que gaudeix del seu suport o que dona suport a la seva obra).
Sense obres derivades: No es pot alterar, transformar o generar una obra derivada a partir daquesta obra.
ndex temtic
Llicncia ds Qui fem aquesta guia Aquesta guia, per a qui s? Riscos i amenaces Des dInternet (remot) A la nostra xarxa local Recomanacions Revisi
4
A ms dels ordinadors, cada vegada sn ms els dispositius electrnics presents a la nostra llar que tenen la capacitat de connectar-se en xarxa local, o amb accs a Internet: telfons mbils, videoconsoles, televisors, reproductors multimdia, sistemes de domtica ... Per aquest motiu, gaireb tothom t una xarxa local a la llar, cablejada o sense fil, amb diversos equips connectats a Internet a travs dun dispositiu de gesti de xarxa com s un router.
5
Abast de la guia
En aquest document es proporcionen continguts orientats a persones que no tenen coneixements avanats dinformtica, o de seguretat de la informaci. Les recomanacions que shi troben sn aplicables a usuaris que administrin la seva xarxa local i tinguin accs dadministraci del seu router.
Aquesta guia no pretn ser exhaustiva, ni cobrir totes les mesures i funcionalitats de seguretat possibles. En canvi, cobreix les mesures de seguretat ms bsiques i que des de CESICAT es consideren imprescindibles per a aquest tipus descenari. s impossible contemplar tots i cadascun dels casos possibles ds, per lobjectiu s proporcionar la informaci suficient perqu lusuari pugui decidir quina s la millor configuraci per al seu entorn.
Les recomanacions sn aplicables a la majoria de routers del mercat destinats a les llars, distributs per la majoria doperadors de telecomunicacions dEspanya.
Especialment en aquest ltim cas, la configuraci inicial vindr definida per defecte per lISP, i la modificaci de la configuraci per part de lusuari pot estar limitada per les condicions del servei. Caldr, doncs, demanar a lISP que garanteixi per contracte una configuraci segura pel dispositiu o que ofereixi a lusuari les eines per poder procedir a la seva configuraci.
En cas que lequipament sigui propietat de lusuari i que aquest modifiqui els seus parmetres, loperador pot limitar el suport proporcionat al client aix com la seva responsabilitat davant dincidncies en el servei i, per tant, caldr ser curs amb les condicions de servei que acceptem.
busca evitar la manipulaci daquest dispositiu per ser utilitzat en activitats illcites o illegtimes. Cal tenir en compte que una persona que disposi de permisos suficients pot emprar el nostre router sense el nostre coneixement i intervenci per realitzar activitats illcites a la xarxa. El greu perjudici per al titular del router s que ladrea IP que apareixeria en cas que latac fos investigat seria la del seu router. Aquesta qesti implicaria, dentrada, molsties i despeses en veures implicat eventualment en la comissi dalguna infracci.
Cal tenir en compte que el nostre router de la llar no deixa de ser un dispositiu capa de gestionar trfic a Internet i que ens identifica a la xarxa i, per tant, cal configurar-lo de forma segura.
Per tal de gestionar correctament aquesta configuraci, cal tenir en compte que lequip pot ser proporcionat per lusuari o pel propi provedor daccs a Internet (ISP), ja sigui en modalitat de venda o cessi/lloguer.
En moltes ocasions no es dna importncia a aquest s illegtim, sempre que no perjudiqui directament ls de lusuari que paga pel servei (veure apartat 4.1.3). No obstant aix, com sindica a la secci 0 dAspectes legals i normatius, aquests recursos poden ser utilitzats per dur a terme activitats illcites, amb el perjudici que pot ocasionar aix al seu propietari.
alment est destinada a ser compartida internament per usuaris autoritzats a la xarxa, com per exemple: Arxius compartits (fotos, vdeos, documents, etc) Converses privades, activitat a Internet.
o no) pot visualitzar la informaci que senvi per la xarxa, encara que no vagi adreada a la seva mquina.
Cada cop ms, els sistemes i els protocols de nivell daplicaci incorporen mesures addicionals de segu-
Denegaci de servei
La denegaci de servei s la possibilitat que lusuari legtim es vegi privat de ls de la seva prpia xarxa i/o la seva connexi a Internet. Aquest risc pot ser a causa de: Esgotament de lamplada de banda de xarxa de la nostra xarxa local, per usuaris no autoritzats, mitjanant ls de programes P2P o similars. Modificaci de la configuraci del router mitjanant laccs al mateix amb credencials
8
retat, com ara controls daccs o xifrat, amb la finalitat de contrarestar aquest tipus damenaces. No obstant aix, no sempre sn aplicables totes les mesures de seguretat desitjables (especialment si a les comunicacions hi ha implicats dispositius especfics, com TVs o reproductors multimdia).
En qualsevol cas, el paradigma recomanat de defensa en profunditat implica implementar diverses capes de seguretat, tenint en compte que cadascuna per s sola pot arribar a fallar.
Amenaces
En aquesta secci es detallen les principals amenaces que podrien arribar a materialitzar els riscos exposats a la secci anterior. s a dir, sn els mecanismes que permetrien dur a terme les accions malicioses.
Accessos no autoritzats
En aquesta categoria sinclouen atacs perpetrats per una persona de manera directa i individual contra un ordinador. De vegades pot haver-hi tcniques de hacking avanat, per la realitat demostra que la majoria de vegades es produeix a causa d errors de configuraci dels mateixos usuaris, que permeten laccs sense necessitat que latacant tingui alts coneixements tcnics.
Intercepci de trfic
Aquesta amenaa s especialment rellevant, per la seva arquitectura, en xarxes de tipus sense fil (WiFi), per tamb s possible en xarxes cablejades.
El tipus de medi fsic utilitzat a les xarxes sense fils (WiFi) permet que tots els paquets transmesos per la xarxa arribin fsicament a qualsevol punt que estigui connectat. La intercepci de trfic de xarxa en aquests casos s relativament trivial, i qualsevol usuari (legtim
figurat al servei DHCP, o de forma manual a les mquines associades a la nostra xarxa. Infectant la mquina de lusuari i modificant la memria cau DNS local (fitxer hosts).
Cucs de router
Els dispositius de router utilitzats habitualment per a la llar sn sistemes relativament complexos, amb ms
Pharming
El pharming s un atac basat en la manipulaci del servei de resoluci de noms (DNS) que utilitza lordinador de lusuari amb la finalitat de traduir els noms de domini (el que escrivim a la barra dadreces del navegador) a adreces IP (lidentificador unvoc que sutilitza per fer arribar un paquet dinformaci al seu dest a Internet). Si un atacant aconsegueix fer creure a la nostra mquina que les peticions cap al nom de domini legtim www.mibanco.com shan dadrear a una adrea IP que ell controla, diferent de ladrea IP autntica, pot utilitzar-ho per enganyar lusuari i fer-li creure que est accedint a la pgina real. Aix facilita els atacs de phishing que pretenen obtenir les credencials daccs a un servei per suplantar la identitat de lusuari.
dun servei per defecte a lescolta. Com qualsevol servei/sistema, poden tenir associades vulnerabilitats conegudes o configuracions incorrectes que poden ser aprofitades amb la finalitat de modificar i controlar el seu comportament.
Quan les vulnerabilitats poden ser explotades des dInternet de forma automatitzada, s possible que es cren cucs (programa malicis amb funcionalitats dautopropagaci) que les aprofitin. Encara que no sen coneixen massa casos, hi ha documentaci disponible a la xarxa de casos reals, botnets basades en routers per a casa.1,2
9
Hi ha diverses formes de dur a terme aquest tipus datacs [5] : Modificant ladrea dels servidors de resoluci de DNS a la configuraci del router, servei de DHCP. Si sutilitza servei DHCP a la nostra xarxa local amb la finalitat que ladreament IP de la xarxa sassigni i gestioni de forma automtica, aquests servidors DNS maliciosos es difondran de forma automtica a totes les mquines de la xarxa. Enverinant servidors DNS legtims, com pot ser el mateix router sempre que sutilitzi i estigui con1 http://www.zdnet.com/blog/btl/psyb0t-worm-infects-linksys-netgear-home-routers-modems/15197 2 http://isc.sans.edu/diary.html?storyid=4175
Recomanacions
En aquesta segona secci, sofereix una srie de recomanacions bsiques amb la finalitat de protegir el router i la xarxa local de la llar, per reduir els riscos i amenaces ms comuns que shan presentat. Les mesures i controls suggerits pretenen arribar a un comproms entre seguretat i facilitat ds, accessibles per a usuaris sense coneixements tcnics de seguretat avanats.
El procediment per canviar les contrasenyes s molt similar a la majoria de models, encara que la interfcie de configuraci pot ser diferent.
El primer pas s connectar-se al router des de lordinador, accedint amb un navegador web a ladrea IP de la passarella (el mateix router, en aquest cas). Normalment s 192.168.0.1 o 192.168.1.1, per podem saber-ho exactament de diverses formes: Executant el comandament ipconfig en la lnia de comandaments (Inici -> Executar -> cmd).
s recomanable que tingueu el manual de configuraci del vostre router disponible, amb la finalitat de poder complimentar les accions recomanades en aques10
En els detalls de lEstat de la connexi: Windows XP: accessible des del men contextual (bot dret) de la icona corresponent de la safata del sistema, opci Estat, pestanya Suport. Windows Vista i 7: des del Centre de xarxes
ta secci pel vostre model de router. Normalment, aquest manual es pot descarregar de la web oficial del fabricant o del provedor que el distribueix.
i recursos compartits, prement sobre la xarxa corresponent (Connexi drea local o el nom de la xarxa sense fils). A la pgina de Detalls es pot veure la Porta dEnlla Predeterminada.
Una vegada coneguda ladrea IP de la passarella, cal connectar-shi des dun navegador web, posant-la a la barra dadreces web. Apareixer una interfcie web que ens sollicitar un
Per evitar que qualsevol que es connecti a la xarxa local (o fins i tot des dInternet en el pitjor dels casos) pugui canviar la configuraci del router s important modificar les credencials daccs per defecte, necessries per accedir a la configuraci i gesti del dispositiu.
nom dusuari i contrasenya. Les credencials ms comunes sn: Usuari: admin; Contrasenya: admin Usuari: admin; Contrasenya: 1234 Usuari: 1234; Contrasenya: 1234
Una vegada accedim a la interfcie de configuraci, normalment al men hauria destar visible lopci Administraci del router o similar.
recomanable, doncs, consultar amb el suport tcnic del provedor si efectivament s aix, i assegurar-se que aquest accs remot est correctament protegit.
El manual del router ha dincloure instruccions per canviar la contrasenya dadministraci. No obstant aix, si no shi t accs, s possible consultar a la xarxa diferents tutorials per a models concrets de router ([6] [7] [8] [9] ).
Les actualitzacions indicades es publiquen habitualment a les pgines web oficials del fabricant, encara que poden ser personalitzades pels provedors daccs amb la configuraci per defecte correcta amb la finalitat que es connectin automticament a la seva xarxa de serveis. Normalment, el fabricant ofereix ver-
sions ms actualitzades, per lusuari hauria de configurar els parmetres adequats per accedir als serveis del seu provedor. En qualsevol cas, mai no sha de descarregar el firmware duna pgina diferent a les oficials del fabricant o provedor daccs.
11
La installaci de noves versions del firmware es pot fer des de la mateixa interfcie web dadministraci del router, a la qual shi accedeix com sha indicat a lapar-
Quan els fabricants reben notificacions daquestes vulnerabilitats, el procediment habitual s que solucionin els problemes coneguts de seguretat mitjanant la publicaci dactualitzacions del firmware.
tat anterior, relatiu al canvi de contrasenya. Les opcions ms comunes sota les quals es pot trobar aquesta funcionalitat sn: Management,Tools, System, Administration -> Update software, Update firmware, Firmware upgrade.
Per tant, s important mantenir el nostre router actualitzat, perqu, a ms, aquestes actualitzacions de firmware milloren lestabilitat de les funcions internes i, fins i tot, nafegeixen de noves. Actualitzar de forma incorrecta el firmware pot produir la prdua del dispositiu router, per la qual cosa cal comprovar el procediment adequat per realitzar la seva actualitzaci de forma segura, i saber qu sha Alguns provedors daccs a la xarxa presten el servei dactualitzar el firmware del router proporcionat de forma remota. En aquest cas, s possible que utilitzin les credencials per defecte per accedir al dispositiu remotament, de manera que si canviem la contrasenya de configuraci no podran realitzar lactualitzaci. s de fer en cas de fallida.
cessari connectar-se fsicament amb un cable de xarxa per poder canviar els parmetres del router, cosa que implica una major seguretat en el cas que un intrs comprometi laccs per la xarxa sense fils (WiFi). Finalment, igual que en les connexions a llocs daccs ms compromesos, com ara els bancs, s recomanable utilitzar connexi xifrada per a la gesti, per
El tallafocs de xarxa (perimetral en aquest cas) t lobjectiu dimpedir que les connexions no autoritzades que vinguin dInternet no puguin accedir directament a les mquines o serveis de la nostra xarxa interna. Aix protegeix els ordinadors, recursos compartits, impressores i altres dispositius que no tinguin mesures de seguretat addicionals per controlar-ne ls.
12
impedir que altres usuaris de la xarxa puguin capturar el trfic i, possiblement, les credencials daccs al router. En alguns models hi ha lopci que la interfcie de configuraci noms permeti accedir-hi a travs de HTTPS / SSL. s recomanable activar-la.
Per activar-lo caldr buscar lopci Enable firewall o IP filtering a la interfcie web de configuraci.
En els routers moderns hi ha multitud de funcionalitats que un usuari mitj no necessita. Alguns exemples comuns sn: Xarxa sensefils: s molt recomanable desactivar la xarxa sense fils si no lutilitzem. Normalment, si no sutilitza tampoc es configura la seguretat de forma correcta, i pot permetre que un usuari desco-
La majoria de routers tenen lopci per desactivar la gesti remota des dInternet, limitant la possibilitat daccedir-hi des de remot i fent que noms sigui possible si ests connectat a la xarxa local, xarxa amb un nivell ms alt daccs i supervisi.
negut es connecti a la nostra xarxa local de forma illegtima. UPnP (Universal Plug and Play)3: s un conjunt de protocols per facilitar la interconnexi de diferents tipus. Les dues aplicacions ms habituals en una xarxa de llar sn dos:
Una altra opci interessant s desactivar laccs a la configuraci mitjanant xarxa sense fils. Aix, ser ne-
Gesti automtica de lobertura de ports en el router, per a aplicacions com P2P i jocs en lnia.
3 http://es.wikipedia.org/wiki/Universal_Plug_and_Play
Streaming de contingut multimdia entre dispositius compatibles (ordinador, TV, videoconsola o altres dispositius). En molts daquests dispositius sutilitza la terminologia compatibles amb DLNA .
4
Si no sutilitzen cap daquestes dues funcionalitats, s recomanable desactivar el suport de UPnP, ja que pot facilitar un atac si es combina amb altres debilitats , o ser aprofitat per un troi per obrir una
5
porta daccs no controlada cap a la nostra xarxa en el tallafocs del router. DMZ (de-militarized zone o zona desmilitaritzada): aquesta funcionalitat permet indicar-li al router una adrea IP interna (per exemple, la del nostre ordinador personal) a la qual reenviar totes les connexions que shagin iniciat des dInternet, saltant-se la funcionalitat del tallafocs. s com si lordinador designat com DMZ estigus exposat directament a Internet. Protocols denrutament dinmic (RIP, BGP): aquests protocols sutilitzen perqu els routers puguin comunicar-se entre ells les diferents xarxes i dispositius als quals tenen accs, permetent una configuraci dinmica de les rutes per als paquets. Aix s bsic en la infraestructura dInternet, per no s necessari en el cas dun accs residencial, ja que la porta denlla des del router cap a Internet normalment s nica i es configura mitjanant altres protocols. SNMP: aquest protocol estndard serveix per accedir a informaci de gesti i modificar la configuraci de dispositius a travs de la xarxa. No s necessari tenir-lo activat perqu utilitzem la interfcie web. La configuraci segura de xarxes sense fils s un tema molt ampli, per podem oferir unes recomanacions bsiques: Canviar la contrasenya establerta per defecte pel fabricant. Utilitzar xifrat WPA2 amb contrasenya robusta (llarga, amb majscules, minscules, smbols). Si Ms recentment, davant la popularitzaci de ls dalgorismes ms robustos com WPA per defecte, la gran debilitat de les xarxes sense fils ve pel descobriment dels algoritmes utilitzats pels fabricants i provedors daccs per generar la clau daccs establerta per defecte. Aix permet, a partir de dades accessibles sense necessitat de connectar-se a la xarxa, deduir la contrasenya de la xarxa wifi. Els casos ms recents coneguts sn els de les xarxes WLAN_XXXX de Movistar i JAZZTEL_XXXX de Jazztel.
13
Un problema afegit s que alguns dels protocols de xifrat ms utilitzats en les primeres xarxes sense fils (WEP) sha aconseguit trencar, fent totalment inefica ls daquest protocol de xifrat a la prctica, ja que es possible obtenir la clau daccs en minuts (o fins i tot segons).
4 http://es.wikipedia.org/wiki/Digital_Living_Network_Alliance 5 http://www.gnucitizen.org/tags/upnp/
algun dispositiu de la xarxa no el suporta, utilitzar com a mnim WPA, per en cap cas WEP. Canviar el nom de la xarxa sense fils (SSID). Aix fa que sigui ms difcil per a un atacant conixer la informaci necessria per intentar introduir-se a la xarxa. No s recomanable, per motius de privacitat, posar informaci personal del propietari de la xarxa (nom, cognoms, etc.) s possible amagar la difusi dSSID, cosa que evita que el router estigui enviant constantment paquets sonda (beacons) per anunciar lexistncia de la xarxa a qualsevol que estigui escoltant. Aix obliga a configurar manualment el nom de la xarxa en cada dispositiu que es vulgui connectar. No s una mesura de seguretat robusta contra un
14
guns dispositius implementen un mecanisme per afegir adreces MAC permeses mitjanant la pulsaci dun bot fsic al router, de manera que aquesta tasca se simplifica.
Totes aquestes opcions, com s habitual, sn accessibles a travs de la interfcie web de configuraci del router. Normalment hi ha un apartat especfic per configurar els parmetres de seguretat de la xarxa sense fils (Wireless Security).
atacant expert i amb un objectiu especfic, per pot fer ms difcil la detecci de la xarxa per part dalg sense coneixements o que noms es troba a labast del router ocasionalment. La contrapartida s que els ordinadors configurats per connectar-se a aquesta xarxa sn els que realitzen la difusi de la seva intenci de connectar a lSSID, no noms a casa sin en qualsevol lloc on es trobin. Aix pot ser aprofitat per intentar suplantar la xarxa original i poder aix interceptar les comunicacions daquesta mquina. Per tant, s recomanable sobretot per a xarxes en les quals els dispositius sn fixes, ms que per aquelles en les quals hi ha porttils. El filtratge per adrea fsica (MAC) s una altra mesura de seguretat addicional que pot ajudar a aturar o retardar a atacants sense molts coneixements, per no serveix de massa contra un atacant avanat. T la contrapartida que cada vegada que es vulgui connectar un nou dispositiu cal saber ladrea MAC i afegir-la manualment a la llista. Al-
Desactivar el DHCP pot ser lleugerament ms segur, encara que no suposa una mesura de seguretat massa robusta. No obstant aix, pot despistar als intrusos amb menys experincia.
Si decidim fer servir DHCP per la seva comoditat, s recomanable limitar el rang dadreces assignables al nombre de dispositius que volem connectar. Daquesta manera, si tots els equips estan connectats, el servidor DHCP no podr assignar ms adreces IP.
Si es fa servir adreament esttic, s recomanable canviar el rang dadreces de la xarxa privada. Els
que solen portar els routers configurats per defecte sn 192.168.0.x o 192.168.1.x. Podem configurar un rang 192.168.x. x, o qualsevol dins dels rangs dadreces privades definits per IANA6, com 10.x.x.x o 172.16.x.x, de tal manera que ser ms difcil per a un intrs accedir a la xarxa a nivell lgic (per en cap cas impossible).
ganyar el servidor DNS perqu cregui que la IP dun domini s una altra diferent de lautntica).
s convenient tenir en compte que no s obligatori utilitzar els servidors DNS que ens proporciona la ISP. En podem configurar qualsevol que ofereixi aquest servei; nhi ha que proporcionen funcionalitats de seguretat mitjanant filtratge de llocs web o IPs malicioses.
Aquestes opcions sn accessibles normalment al men LAN de la configuraci del router. s possible que la configuraci del DHCP tingui una secci independent.
Altres recomanacions
En aquest apartat sinclouen algunes recomanacions de seguretat addicionals, laplicaci de les quals dependr del grau de seguretat respecte de la comoditat que desitgi lusuari, o de les circumstncies concretes de cada cas.
15
Habitualment, el provedor daccs a Internet s qui proporciona el servei de DNS, amb almenys un servidor primari i un altre de secundari que es configuren automticament quan el router es connecta a la xarxa. Si el DHCP est activat a la xarxa interna, la direcci daquests servidors es transmetr automticament als clients. Si sutilitza adreament esttic, caldr configurar-los manualment en cada mquina que es connecta a la xarxa.
Una altra possibilitat s que el router actu com a servidor DNS, reenviant les peticions al servidor de laISP quan no troba el nom de domini a la seva memria. A ms del possible retard que aix pot provocar, s probable que els servidors DNS dedicats de la ISP siguin ms robustos davant datacs denverinament (en6 http://es.wikipedia.org/wiki/Red_privada
plia. En entorns reduts, si els ordinadors es troben a prop del router sense fils, pot ser recomanable reduir la potncia demissi. Aix limita lrea des de la qual shi pot connectar i per tant en redueix lexposici a atacs.
Revisi
Independentment de les mesures de seguretat que puguem establir per protegir la nostra xarxa local de la llar, un aspecte important s la seva monitoritzaci amb la finalitat de detectar situacions anmales com ara possibles intrusos.
16
El primer pas s donar perms al lloc web per realitzar lanlisi, prement Proceed a la pgina inicial.
A la segent pantalla es poden trobar diversos tipus de proves. Les ms interessants sn: File Sharing: comprova si hi ha recursos compartits accessibles des dInternet. Common Ports: comprova lestat dels ports ms comuns (web, FTP), si estan oberts i si hi ha algun servei escoltant-los. All Service Ports: la mateixa comprovaci anterior, per per a tot el rang de ports TCP / IP (165.535). s bastant ms lent, per pot ajudar a detectar algun servei a lescolta en un port poc habitual (com una porta de darrere, un troi o alguna aplicaci de la qual no siguem conscients).
9 https://www.grc.com/x/ne.dll?bh0bkyd2
A la columna de lesquerra podrem veure la llista de mquines connectades a la xarxa, i en el panell de la dreta els ports que tenen oberts, la topologia de xarxa o la sortida en brut de lordre nmap.
La forma ms senzilla de veure els recursos que la mquina est compartint s accedir-hi nosaltres ma-
Dins de la interfcie web del router, normalment aquesta opci es troba en lapartat DHCP CLIENT LIST, que pot estar dins del men Status o LAN Settings. Alguns models tamb proporcionen una llista dels clients associats a la xarxa sense fils, a lapartat Maintenance -> Wireless LAN -> Association list.
El sistema operatiu Windows tamb inclou una interfcie per gestionar amb ms detall els recursos compartits de forma centralitzada.
Windows Vista i 7:
Tauler de Control -> Sistema i Seguretat -> Eines Administratives -> Administraci dequips. Inici -> Bot dret sobre Equip -> Administrar.
Windows XP:
Tauler de control -> Rendiment i manteniment -> Eines administratives -> Administraci dequips Inici -> Bot dret sobre Mi PC -> Administrar. A la finestra que apareixer, en el node Carpetes compartides de larbre, a lesquerra, es poden llistar els recursos compartits (inclosos els administratius que normalment estan ocults), les sessions actives (qui est connectat als nostres recursos) i els arxius oberts en aquell moment.
Desprs de baixar i installar el programa, a la finestra que surt en executar caldr seleccionar el rang dadreces IP a escanejar i el tipus descaneig. Les opcions adequades per a aquest cas sn: Rang dIPs: el que estigui configurat en el router i al qual pertanyen les mquines de la xarxa. Profile: QuickScan.
10 http://nmap.org/zenmap/
s til per comprovar la visibilitat de la mquina des de la xarxa interna leina Nmap/Zenmap (veure apartat anterior 1.1.9), ja que, a ms de llistar les mquines connectades a la xarxa, ens proporciona informaci sobre els serveis que sn accessibles en cadascuna delles. Si fem un escaneig exhaustiu de la prpia mquina local, podrem saber qu shi veu des de la xarxa.
18
Conclusions
La popularitzaci de les connexions permanents a la llar, ha generat riscos que anteriorment eren exclusius de grans xarxes empresarials o acadmiques. No obstant, al llarg de la guia sha pogut veure que hi ha mecanismes i tecnologies per poder protegir les xarxes de la llar. Igual que en altres casos, s important que lusuari conegui els riscos i les possibles contramesures, per tamb que els fabricants i provedors daccs facilitin aquesta tasca als usuaris menys experts mitjanant la configuraci segura per defecte en els seus productes i xarxes.
segures amb la finalitat de facilitar la seva tasca. En aquests casos, lusuari haur de plantejar els seus dubtes i exigir una soluci que no comprometi la seguretat de la seva xarxa.
Finalment, un altre aspecte important a tenir en compte s que el router no pot ser lnica lnia de defensa. El concepte de seguretat en profunditat, assumit des de fa temps en el mn de la seguretat de xarxes corporatives, sha destendre a les xarxes per a la llar. Independentment que la xarxa pugui estar perfectament assegurada davant dintrusions externes, tamb shan dassegurar les mquines davant datacs a client a nivell daplicaci, que no poden ser bloquejats per un dispositiu de xarxa. I per descomptat, cal fer un s res-
Les connexions de banda ampla que van ser installades fa ms temps sn les ms susceptibles de ser vulnerables. Els dispositius utilitzats sn ms antics, de manera que el seu programari pot estar ms desactualitzat i tamb la configuraci per defecte no estar protegida davant de problemes descoberts amb posterioritat.
ponsable i segur dels serveis que ens ofereix Internet, ja que la majoria de vegades la pea ms feble s el mateix usuari.
19
Els routers proporcionats per les operadores i les installacions ms recents van incloent configuracions ms segures per defecte, per encara existeixen debilitats. Cal revisar i adaptar les mesures de seguretat a les necessitats de lusuari, del tipus de connexi utilitzada i de loperador.
En alguns casos, els operadors necessiten accs remot. Per aix, sempre s recomanable consultar els manuals i el servei tcnic a lhora de fer canvis que podrien afectar el servei. Daltra banda, de vegades els operadors poden recomanar configuracions menys
Glossari
Banda ampla: connexions a Internet dalta velocitat, normalment permanents, que van venir a substituir les de mdem a travs de lnia telefnica. Els tipus ms populars sn ADSL, cable i 3G, encara que nexisteixen altres com WiMax, satllit
Port:
sutilitza per distingir entre les mltiples aplicacions que s connecten al mateixa adrea IP o ordinador.
Tallafocs: s un element de maquinari o programari utilitzat en una xarxa dequips informtics per controlar les comunicacions, permetent-les o prohibint-les segons les poltiques de xarxa que hagi definit el responsable de la xarxa. El tallafocs personal s un cas particular de tallafocs que sinstalla com a programari en un computador i que filtra les comunicacions entre aquest computador i la resta de la xarxa, i viceversa.
Mdem:
i demodulador, s un dispositiu que codifica un senyal sobre un altre anomenat portador, per transmetre a grans distncies. En lmbit dusuaris residencials, els ms populars van ser els de connexi telefnica, per actualment les connexions de banda ampla tamb necessiten aquest tipus de dispositius: cable-mdem, mdem ADSL, o un router que inclou la funci de mdem.
Commutador:
connectar diversos equips entre si en una mateixa xarxa local, reenviant els paquets a lequip corresponent segons la seva adrea de destinaci.
Adrea IP:
cada mquina que es connecta a la xarxa. Normalment es presenta en forma de 4 grups de xifres separades per punts, entre 0 i 255 (123.123.123.123).
NSA Best Practices for Keeping Your Home Network Secure http://www.nsa.gov/ia/_files/factsheets/Best_Practices_Datasheets.pdf
Estudi sobre la seguretat de les communicacions sense fils a les llars espanyoles - INTECO http://www.inteco.es/Seguridad/Observatorio/Estudios/estudio_inalambricas_4T2010
21
BandaAncha.eu http://bandaancha.eu/
ADSL-Zone http://www.adslzone.net
ADSLAyuda http://www.adslayuda.com
adslnet.es http://www.adslnet.es/
www.cesicat.cat