Cómo proteger su red doméstica con un frambuesa Pi 3

Rate this post

En la mayoría de los hogares conectados, la topología de la red doméstica es siempre la misma: todos los equipos están conectados directamente a la caja de Internet del operador y comparten la misma red local. El problema es que con la multiplicación de terminales en el hogar, una gran variedad de equipos finalmente son colocados en una sola bolsa. En la misma red, tendremos el ordenador fijo que permite hacer compras online, el disco NAS que guarda todas las fotos de la familia, los portátiles de los niños que empiezan a pasar el rato en redes peer-to-peer, objetos conectados de baja calidad y totalmente vulnerables, etc.

Segmentación para una mayor seguridad

No se recomienda mezclar paños y toallas de esta manera. Un hacker que infecta uno de los objetos o portátiles conectados puede acceder a los otros equipos con bastante facilidad. Por esta razón, los expertos en seguridad recomiendan segmentar una red tanto como sea posible. En una parte, por ejemplo, podríamos poner los equipos importantes que hay que proteger absolutamente (ordenadores de los padres, NAS), y en otra albergaríamos terminales de alto riesgo como los ordenadores portátiles de los niños o los objetos conectados.

Un primer método sencillo para hacerlo es conectar dos enrutadores Wi-Fi a las tomas Ethernet de la caja de Internet. Sus respectivas redes estarán naturalmente aisladas entre sí. Sin embargo, ya no será necesario utilizar la red Wi-Fi de la caja de Internet porque no está aislada de las otras dos. El problema con esta solución es que tienes que olvidarte de la red de conexión a Internet y comprar dos nuevos routers. Es un poco de desperdicio.

La solución que recomendamos – y que hemos llamado “HomeFW” – es tomar un Pi 3 de frambuesa, transformarlo en un punto de acceso Wi-Fi con firewall integrado y conectarlo a la caja de Internet. Este método es un poco más complejo de implementar, pero es más barato y ofrece más posibilidades. Nos lo mostró David Jacoby, investigador de seguridad de Kaspersky Labs, en una conferencia de prensa en 2017. El experto se centró especialmente en los objetos conectados que a menudo están plagados de vulnerabilidades. “Los fabricantes no están dispuestos a invertir en seguridad porque les costaría demasiado. Así que hay que hacer las cosas de manera diferente para limitar el riesgo”, explica, para justificar su demostración.

En esta configuración, los usuarios conectados a HomeFW pueden conectarse a Internet, pero el cortafuegos les impide pasar a través de la red del buzón de Internet. Por el contrario, los equipos conectados a la caja de Internet no podrán acceder a la red HomeFW. La segmentación es perfecta.

Los pasos de instalación

Crear un dispositivo de este tipo no es muy complicado, pero no hay que tener miedo de la línea de comandos. Usted también necesita tener algún equipo. La configuración requiere una pantalla con enchufe HDMI, un teclado y un ratón con enchufes USB, y un cable Ethernet para conectar el Raspberry Pi 3 a la caja de Internet.

1 – Intermitente del sistema

Descargue la última versión de Raspian, un sistema operativo basado en Linux Debian especializado en ordenadores Raspberry Pi. A continuación, debe “flashear” – es decir, instalar – este sistema en una tarjeta microSD (mín. 16 GB). La forma más fácil es usar el software Etcher, que es muy fácil de usar. El procedimiento es estrictamente el mismo que para crear una llave USB de arranque.

2 – Inicializar el sistema

En el primer inicio, se le pedirá que elija el idioma y cambie su contraseña. Elija uno que sea fuerte.

No se conecte a la red Wi-Fi. Por un lado, el Frambuesa Pi ya está conectado a Internet a través del cable Ethernet. Por otro lado, el módulo Wi-Fi se utilizará para crear el punto de acceso. Por lo tanto, haga clic en Saltar en este paso.

El sistema le propondrá entonces que busque actualizaciones, que deberá aceptar haciendo clic en Siguiente. Esto puede tomar un poco de tiempo. ¿Vas a hacerte una taza de café?

3 – Descargar el código

Abra una ventana de comandos haciendo clic en la parte superior del cuarto icono de la izquierda. El icono representa una ventana con un signo superior y un guión bajo. Escriba el pedido a continuación y valídelo.

La computadora entonces descargará el script para el firewall (firewall.sh), el archivo de configuración (configurations.txt) y los archivos de información en una nueva carpeta llamada HomeFW.

4 – Instalar el software

A continuación, tiene que descargar e instalar el software que le permite crear nuestro famoso punto de acceso seguro. En este caso: hostapd (software de punto de acceso Wi-Fi), isc-dhscp-server (software que asignará direcciones IP a los dispositivos conectados), dnsmasq (software de servicio DNS) e iptables (software de cortafuegos). Para ello, debe ejecutar el siguiente comando y, durante la instalación, confirmar cada vez que se solicite. El término apt-get install inicia la instalación del software que se indica a continuación. El término sudo indica que todo el comando se ejecuta con privilegios de administrador.

5 –Configuración del punto de acceso

Para que el punto de acceso funcione correctamente, es necesario modificar una serie de archivos de configuración. Esta es la parte más importante. Concéntrate, porque no te equivoques. La mejor manera es abrir dos ventanas de comandos una al lado de la otra. En la primera, mostrar el contenido del archivo configuration.txt con el siguiente comando:

En la segunda ventana, se utiliza el editor de texto “nano” para modificar los archivos, copiando y pegando las líneas de una ventana a otra. Asegúrese de seguir las instrucciones del archivo configuration.txt. Aquí están los comandos que tendrán que ser ejecutados sucesivamente:

Luego reinicie su Frambuesa Pi 3, ejecutando el siguiente comando:

6 – Activar el firewall

En este punto, debería ver un punto de acceso llamado “IOT” si escanea las redes Wi-Fi circundantes. Pero esta nueva red no permite el acceso a Internet y no es necesariamente impermeable en comparación con la red de su caja. Para ello, debe ejecutar el script firewall.sh. Ejecute los siguientes comandos:

El primer comando se usa para moverse al directorio HomeFW, el segundo hace que el script sea ejecutable y el tercero lo ejecuta. Y ese es el trabajo. Ahora tiene una red Wi-Fi llamada “IOT” que está completamente aislada del resto de su red. Bien hecho.

Para ir más lejos….

Si, por alguna razón, su Pi 3 de Frambuesa se apaga, necesitará reiniciarlo y reiniciar el script firewall.sh como se describe en el paso 6. Para evitar tener que conectar una pantalla, teclado y ratón cada vez, es más conveniente conectarse de forma remota al Pi 3 de Frambuesa desde la red de la caja, a través del servicio SSH (Secure Shell).

Para que el servicio SSH se inicie automáticamente cuando se inicie el Raspberry Pi 3, debe crear un archivo “ssh” vacío en la raíz de la tarjeta microSD. Para ello, inserte la tarjeta microSD en su ordenador.

En macOS, abra una ventana de Spotlight (teclas Comando + Espacio), escriba “terminal” y, a continuación, ejecute la aplicación del mismo nombre. A continuación, utilice los siguientes comandos:

En Windows, escriba “cmd” en el campo de búsqueda de Cortana y, a continuación, ejecute la aplicación del mismo nombre. A continuación, utilice los siguientes comandos:

La próxima vez que se reinicie el sistema Raspbian, el servicio SSH se iniciará automáticamente y será accesible desde la red de su caja.