Может ли мой арендодатель получить доступ к моей личной сети, потому что он контролирует восходящее соединение?


23

Может ли мой арендодатель получить доступ к вещам в сети моего личного маршрутизатора, потому что он контролирует восходящее соединение? Например: DLNA на моем NAS, общий файловый ресурс на моем NAS или медиасервер, работающий на моем ноутбуке?

Моя конфигурация: у меня есть собственный маршрутизатор, и к нему подключены NAS (проводной) и ноутбук (беспроводной). Порт INTERNET / WAN на моем маршрутизаторе подключен к порту LAN на маршрутизаторе моего арендодателя. Порт ИНТЕРНЕТ / WAN на маршрутизаторе моего арендодателя подключается к кабельному модему. Я единственный, у кого есть доступ и пароль к моему роутеру. У меня нет доступа или пароля к соседнему роутеру или кабельному модему.


Предположительно, у вас нет собственного «стационарного» телефона?
Джодрелл

Ответы:


32

Нет, ваш маршрутизатор должен блокировать входящий доступ к вашей локальной сети так же, как если бы он был подключен напрямую к Интернету. Возможно, он сможет прослушивать ваш интернет-трафик (поскольку он между вами и Интернетом).

Возможно, проверьте эти другие вопросы SU:


Приятно видеть такой краткий ответ. Afaik (поправьте меня, если я ошибаюсь), если роутер арендодателя готов, и вы можете проверить, что кабели идут там, где говорят, что прослушивание всего интернет-трафика невозможно.
Джейсон

1
@Jason Зависит от используемого роутера. Например, многие маршрутизаторы позволяют захват и перенос портов. Вы можете захватывать трафик, проходящий через какой-либо порт в течение какого-то времени, затем вывести его в файл и загрузить его в Wireshark (или тому подобное) для просмотра трафика. Кроме того, если у него есть способ включить порт мониторинга, тогда вы можете реально контролировать этот единственный порт и видеть весь трафик на лету.
Ƭᴇcʜιᴇ007

1
Под готовой я имел в виду ваши домашние / сохо продукты с заводской прошивкой. Я никогда не видел ни одного с теми возможностями, о которых вы упомянули.
Джейсон

Если вы знаете, что это за модель, то вы можете посмотреть ее характеристики, независимо от того, где / как она была куплена или какая у нее классификация. В противном случае предположим худшее. ;)
Ƭᴇcʜιᴇ007

1
Они могли бы даже установить сетевой отвод, который не требует питания, например, по
адресу

24

Другие ответы в основном правильные, но я решил расширить тему. Надеюсь, эта информация будет полезна.

Пока ваш маршрутизатор находится в стандартной конфигурации, он должен блокировать незапрошенные входящие попытки сетевого подключения, по сути выступая в роли тупого межсетевого экрана.

Перенаправление порта

Настройки, которые увеличивают вашу экспозиционную поверхность, будут перенаправлять любые порты в вашу локальную сеть (устройства, подключенные к вашему маршрутизатору).

Имейте в виду, что некоторые сервисы в вашей сети могут открывать порты через UPnP (универсальный режим «включай и работай»), поэтому, если вы хотите быть уверены, что никто не отслеживает внутри вашей сети, рассмотрите возможность отключения UPnP в настройках вашего маршрутизатора. Имейте в виду, что это не позволит никому подключиться к сервису в вашей сети, например, к проведению видеоигр.

Вай-фай

Если у вашего роутера есть Wi-Fi, учтите, что кто-то может подключиться к нему. Кто-то, кто подключается к вашей услуге Wi-Fi, находится в вашей локальной сети и может видеть все.

Итак, если вы используете Wi-Fi, убедитесь, что вы используете максимальные настройки безопасности. Как минимум, установите тип сети на WPA2-AES, отключите устаревшую поддержку, настройте ключи для сброса не реже одного раза в 24 часа и выберите сложный пароль Wi-Fi.

Сниффинг протоколов и VPN

Поскольку ваш арендодатель находится между вами и общедоступным Интернетом, он потенциально может отслеживать весь трафик, поступающий в ваш маршрутизатор и выходящий из него. Это относительно легко сделать, и для этого есть свободно доступные инструменты диагностики сети.

Зашифрованный трафик между вашим браузером и веб-сайтом, как правило, безопасен с точки зрения содержания, однако ваш домовладелец сможет увидеть, какие веб-сайты вы посещаете (хотя это не обязательно конкретные страницы).

Тем не менее, учтите, что многие веб-страницы не зашифрованы, и тогда есть все ваши мобильные приложения, электронная почта и другие онлайн-действия, которые потенциально могут быть отправлены в открытом виде.

Если вы хотите, чтобы ВСЕ ваш трафик был зашифрован, вам нужно использовать зашифрованную виртуальную частную сеть (VPN). VPN соединяет вашу сеть с сетью оператора VPN (обычно коммерческого предприятия) с использованием туннелирования с использованием зашифрованного протокола.

В идеале, VPN шифровалась бы с использованием шифрования AES, и соединение было бы установлено на уровне маршрутизатора, чтобы весь трафик WAN (в Интернет) шифровался и маршрутизировался через VPN.

Если маршрутизатор не поддерживает VPN, вам необходимо настроить его на каждом устройстве (компьютере, телефоне, планшете, консоли и т. Д.), Чей трафик вы хотите защитить.

шифрование

Как общий принцип безопасности, я рекомендую строго шифровать весь трафик. Если все в зашифрованном виде, кто-то, кто присматривает за вами, не знает, с чего начать. Но если вы только зашифруете «важные вещи», то они точно будут знать, где атаковать.


3
Хороший ответ, хотя обратите внимание, что ВЫ, скорее всего, сможете увидеть больше сети ЕГО, если он не будет осторожен с настройкой своего маршрутизатора ....
Джон Стори

1
Я хотел бы добавить к этому, что большинство маршрутизаторов имеют список доступа для подключений WiFi. Если вы включите это, только УТВЕРЖДЕН MAC-адрес может быть разрешен любой доступ.
Virusboy

@VirusBoy В целом правильно, хотя я хотел бы отметить, что подделка MAC-адресов очень проста для решительного хакера. Я оставил это, потому что чувствовал ИМХО, что хлопоты по настройке для каждого устройства, которое ОП хочет подключить к своей сети (если он использует Wi-Fi), перевешивают преимущества безопасности, которые он обеспечивает.
Марк Микаллеф

PS. Те из вас, кто живет в странах, где правительство регулярно насмехается над вами, придерживаются той же теории, просто убедитесь, что выбранный вами VPN находится вне контроля вашего государства. В частности, выберите VPN в другой стране, чтобы трафик был надежно зашифрован в течение всего пути через вашу национальную сеть.
Марк Микаллеф

1

Маршрутизатор должен прекратить любые соединения, исходящие из-за пределов порта WAN - например, если ваш NAS находится за маршрутизатором, а маршрутизатор не имеет переадресации портов, вы в безопасности.

При этом, если ваш интернет-трафик проходит через его маршрутизатор, он может (при условии, что у него есть ноу-хау) увидеть все сайты и трафик, который вы посещаете, так что просто помните об этом.


1

Ваш арендодатель не может получить доступ к вашей сети за маршрутизатором так же, как его интернет-провайдер не может получить доступ к сети за своим маршрутизатором из-за трансляции сетевых адресов. Он в основном ваш провайдер и назначил вам IP-адрес. Все, что он может видеть, - это ваш роутер, если он у вас защищен. Однако вы можете посмотреть, что находится в его сети, поскольку он находится вне безопасности вашего маршрутизатора. Его сеть защищена от интернет-провайдера, но доступна для вашей сети, в то время как вы защищены собственным маршрутизатором. Представьте, что вы живете в доме, где вам нужно пройти через его комнату, чтобы попасть в свою комнату. Вы закрываете дверь, чтобы он не мог войти в вашу комнату, но вы можете пройти через его комнату, чтобы выйти на улицу.


-4

Не для того, чтобы быть откровенным, но я не уверен, на самом деле я уверен, что ваш арендодатель может видеть ваши любые ваши публичные устройства, так как его маршрутизатор назначил ваш IP вашему маршрутизатору, что означает некоторые незначительные изменения, с которыми он может обращаться к вашей сети довольно легко Я хотел бы убедиться, что ваша подсеть LAN сильно отличается от обычной 192.168.0.1 и т. Д., Например, 10.0.0.1 или что-то гораздо более необычное.

Я не уверен, что DLNA будет выставлен для вас, но я знаю, что это касается меня. :(


2
Это не имеет значения; если у него есть собственный роутер, он блокирует доступ к ЛВС устройств на стороне WAN
канадец Люк REINSTATE MONICA
Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.