[127_0_0_1]

Hola amigos, una "pequeña" duda sobre IPs (espero ser breve).

Veamos, yo en casa tengo un router inalambrico (supongo que como quien más, quien menos) al que me conecto para salir a Internet.

Si hago un ipconfig, veo que mi router tiene una IP del tipo 192.168.xxx.xxx y mi equipo una IP privada parecida (192.168.xxx.xxx), que además varía dependiendo del día (o sea, es dinámica).

Ahora bien, cuando salgo a Internet, lo hago con una IP pública que me da mi ISP y que no tiene nada que ver con la privada. Es, por ejemplo, de la forma 84.132.xxx.xxx

La pregunta es: desde otro equipo (en el trabajo, en casa de un amigo, etc.,.), ¿cómo puedo yo acceder a mi equipo? Estoy hablando de hacer pruebas y conseguir una shell remota o subir algún fichero a ese equipo (troyano, etc.,.)

Si utilizo la IP pública, en caso de que la sepa, ¿dónde iría a parar? ¿Al router? ¿O accedería directamente a mi equipo?

¿Y si uso la privada? Imagino que en ese caso, obtendría algún error porque supongo que en Internet esa IP no la conoce ni su padre, ¿no?

¿O tendría que intentar acceder al router y desde ahí apañármelas de alguna manera para llegar a mi equipo?


En fin, igual son gilipolleces, pero a ver si alguien me puede despejar las dudas...


Gracias de antemano,


127_0_0_1

[Bebbop]

Pues tu lógica es correcta pero necesitas a alguien que te lo confirme.

Efectivamente las IPs 192.X es un rango privado donde tu router tendrá una IP fija (esta sera la IP de la puerta de enlace/gateway de tu red privada) y tu PC tendrá una ip dinámica ya que el router tiene configurado un servicio DHCP que se encarga de ello (esta es la configuración típica de todos los operadores).

Respecto a tus preguntas:
Como bien dices, tu IP privada es "privada" con lo cual nunca se podrá ver desde una IP publica.
Para que una IP privada se pueda ver desde una ip publica debes configurar un servicio llamado NAT (mas o menos lo que hace es un puente entre la IP publica y la IP privada pero a un puerto especifico PNAT) o poner la IP de tu PC en la configuración DMZ de tu router con lo que desvías todos los puertos de la IP publica a la IP privada (antes de hacer esto tendras que poner una IP estática a tu PC).

En fin, es una respuesta rápida... espero que te sirva.

[127_0_0_1]

Muchas gracias, Bebbop

Según eso entonces, si alguien un día consigue mi IP (pública) a partir de un e-mail o por el medio que sea, ¿no podría llegar a acceder a mi ordenador? ¿O sí?

Es decir, si alguien hace un intento de escaneo de puertos, identificación de banner o lo que quiera que sea, dirigiéndolo a esa IP (mi IP pública), ¿qué ocurriría? Porque supongo que esa IP llevará a mi router, pero ¿y a partir de ahí? ¿Qué haría mi router con esa petición (suponiendo que está configurado como me lo dejaron, yo de momento no he tocado nada, salvo algún puerto que he abierto para programas P2P y cosas de esas)?. Al no haber hecho yo ninguna solicitud de conexión al exterior, ¿bloquearía el router ese intento de acceso? ¿Podría alguien acabar averiguando mi IP privada a partir de mi IP pública?

Gracias de nuevo.

Un saludo,

127_0_0_1

[vlan7]

Hola,

Dos conceptos clave:

1. Todo router tiene al menos dos bocas, cada una en una subred distinta, esa es la principal funcion de un router: servir de puerta de enlace entre dos subredes que no-se-ven directamente, necesitan al router. La subred la define la mascara, siempre: _Ningun_ equipo de la subred 192.168.1.0/24 puede ver a ningun equipo de la subred 192.168.2.0/24 (y viceversa) sin un router que las interconecte. /24 son los bits a 1 de la subred, es decir, una mascara 255.255.255.0, pues cada digito = byte = octeto de una IP son 8 bits.

2. Para llegar desde internet a un equipo de tu red interna (dos subredes distintas al fin y al cabo), tu router tiene que hacer de intermediario despachando los paquetes entre internet y tu. Si alguien escanea desde inet un puerto de tu router mediante la ip publica de tu router, el router lee en las cabeceras de ese/esos paquete/s 4 datos que necesita:

-IP origen y puerto origen.
-IP destino y puerto destino.

Entonces el router, maquina obediente, consulta su tabla NAT (NAT/PAT really) para saber a que IP/puerto enviar (si procede) esos paquetes.

Si tu router ve que la IP origen es una ip privada, como proviene de inet, descarta el paquete, siempre.

Si no existe en la tabla NAT del router una correspondencia entre la IP destino y el puerto destino una vez examinó las cabeceras de los paquetes, los descarta.

Esa es la teoria basica de redes. Despues construir el tejado de la casa pues pueden pasar otras cosas... Espero haberte podido transmitir con un lenguaje claro pues eso, los cimientos.

Para terminar, ¿quieres saber si alguien desde fuera puede ver un puerto determinado de tu maquina, sin estar tu fuera? Pon en google "canyouseeme"...

Suerte!

[127_0_0_1]

Muchas gracias, vlan7, bastante clarificador.

Entonces, "teóricamente" nadie que no estuviera en mi misma red (LAN), podría acceder a mi equipo, ¿cierto?


Un saludo,


127_0_0_1

[127_0_0_1]

Por cierto, vlan7, una pequeña duda sobre tu respuesta,

Dices que:

"Si tu router ve que la IP origen es una ip privada, como proviene de inet, descarta el paquete, siempre."

Pero si alguien desde Internet (en realidad desde su casa) intentara hacer un scan a alguno de mis puertos, o lo que fuera, su IP no sería una IP privada, sería su IP pública. ¿O no? Porque ahí con IP origen, te refieres a la del potencial atacante, imagino.

Saludos,

127_0_0_1

[vlan7]

Entonces, "teóricamente" nadie que no estuviera en mi misma red (LAN), podría acceder a mi equipo, ¿cierto?

Sin un router (o maquina que haga funciones de router, por ejemplo, un pc con dos bocas de red haciendo de router) que haga de intermediario, no.

Pero si alguien desde Internet (en realidad desde su casa) intentara hacer un scan a alguno de mis puertos, o lo que fuera, su IP no sería una IP privada, sería su IP pública.

Exacto, sale con su IP publica. A menos que la falsee, por ejemplo con el venerable scapy. En este video que hice hace tiempo use scapy para generar paquetes a medida (siguiendo el saludo de 3 vias TCP) para conectarme a un puerto FTP siguiendo el protocolo (las reglas), eso si, de forma artesanal como ves. Aqui no se falsea nada, te dejo experimentar a ti si quieres tomando como base seguir el protocolo de-forma-prevista.

La pregunta es: desde otro equipo (en el trabajo, en casa de un amigo, etc.,.), ¿cómo puedo yo acceder a mi equipo? Estoy hablando de hacer pruebas y conseguir una shell remota o subir algún fichero a ese equipo (troyano, etc.,.)

Tienes dos opciones:

1) "Abre" el puerto en tu router y conectate desde fuera apuntando a tu ip publica (router) en ese puerto.
Es decir, si en tu PC tienes escuchando un servidor VNC/ssh/ftp/lo-que-sea en el puerto 7777, dile al router que envie todo lo que reciba de internet por el puerto XXX al puerto 7777 de la IP privada de tu PC. Pon "canyouseeme" en google y comprueba si desde fuera "se ve" el puerto XXX, que no tiene por que coincidir con 7777, uno es donde escucha el router y otro donde escucha tu PC y a donde el router manda.

2) No "abras" ningun puerto y haz que sea el cliente (tu PC) quien inicie esa conexion. Busca por ejemplo "reverse VNC" en google.

Have fun.

[127_0_0_1]

Gracias de nuevo, vlan7.

Parece que hay bastante tela que cortar. Voy a ver si empiezo por el principio. Hace poco que me ha dado por lo del pentesting y la verdad es que aunque tengo conocimientos muy básicos de redes y demás, estoy viendo que hay MUUUUUCHAS cosas por aprender.

En fin, paciencia, iremos poco a poco.

Ya volveré a dar la lata si surgen más dudas...

Un saludo,


127_0_0_1