| Artículos | 01 MAR 2004

Conexión segura a Internet

Tags: Histórico
Gonzalo Álvarez.
Internet está infestada de peligros y molestias: hackers, virus, gusanos, correo basura, programas espía. En este artículo se explican las mejores técnicas de seguridad para proteger su ordenador y su pequeña red interna frente a los ataques más frecuentes y dañinos procedentes de Internet.

Los grandes medios de comunicación se hacen eco diariamente de noticias relacionadas con incidentes de seguridad en Internet: virus transmitidos a través del correo electrónico que han causado estragos entre los internautas, como el infame gusano Mydoom, ataques coordinados a sitios web comerciales, intrusión en servidores de comercio electrónico con robo de tarjetas de crédito de sus clientes y otros sucesos parecidos. Los hackers y los virus se están convirtiendo en noticia con alarmante frecuencia.
En las páginas underground sobre hacking se ofrecen herramientas gratuitas de inusitada versatilidad y potencia para escaneo de puertos y detección de vulnerabilidades, que permiten localizar agujeros en los sistemas explorados con ellas. En las mejores de estas páginas también se ofrecen explicaciones sobre cómo explotar estos agujeros para hacerse con el control total de la máquina atacada. Y por si fuera poco, cada vez más gusanos se propagan automáticamente explotando vulnerabilidades en los ordenadores y redes de las víctimas, como ha sido el caso de Mydoom, o gusanos pasados, como Blaster.
En este artículo se describen las dos líneas de defensa perimetral que todo usuario debería implantar en su ordenador y en su red local: protección del dispositivo de acceso a Internet y protección de todos los equipos mediante un cortafuegos personal.

Tipos de dispositivos de acceso a Internet
La mayor parte de usuarios domésticos o de PYMES se conectan a Internet o bien a través de un módem telefónico convencional o bien mediante ADSL. En el primer caso, el módem telefónico no ofrece la posibilidad de ningún tipo de protección. Actúa como un dispositivo de conexión totalmente transparente entre Internet y el ordenador del usuario. En cuanto a la conexión a Internet a través de ADSL, cabe destacar que existen dos tipos de dispositivos de acceso: los módems routers (para abreviar, routers) y los modems sin funcionalidad router (para abreviar, modems).
Un módem ADSL se comporta de forma muy similar al módem telefónico convencional: se conecta directamente a la línea ADSL y modula y demodula la señal binaria procedente del ordenador. Un módem ADSL funciona en modo monopuesto. En esta configuración, sólo se permite la conexión a Internet de un único ordenador. Su mayor desventaja tiene que ver con la seguridad: al igual que con los módems telefónicos, el ordenador es directamente accesible a través de Internet, sin ningún tipo de filtrado ni protección, por lo que queda a merced de hackers y gusanos. En esta configuración resulta fundamental la instalación de un cortafuegos personal.
Por otro lado, un router es, en sentido general, un dispositivo que permite conectar dos redes informáticas entre sí. En el caso del router ADSL, sirve para conectar la red interna del usuario (que estará formada por uno o más ordenadores) y la red externa o Internet. Podría pensarse que eso mismo hace un módem. Pero es que el router realiza además importantes funciones adicionales como DHCP, ARP, RIP, filtrado de direcciones IP y traducción de direcciones y puertos. Para proporcionar estas funciones, los routers deben funcionar en modo multipuesto.

Traducción de direcciones y puertos (NAPT)
La configuración multipuesto permite que uno o más ordenadores se conecten a Internet a través de la misma línea ADSL, sin necesidad de que ninguno actúe de proxy. Cada ordenador tiene asignada una dirección IP interna dentro de la LAN, mientras que el router tiene asignada dos direcciones: una dirección IP interna para comunicarse con los ordenadores de la LAN, así como una dirección IP pública para comunicarse con Internet.
En esta configuración, el router traduce las direcciones y puertos de los paquetes que le llegan de la LAN para enviarlos a Internet y viceversa. Los ordenadores de la red interna tienen direcciones IP no encaminables que siempre comienzan por 10, 172.16 a 172.31 ó 192.168. Por ejemplo, en una oficina podrían existir seis ordenadores con direcciones en el rango 192.168.0.10 hasta 192.168.0.15. Ahora bien, no se pueden enviar a Internet paquetes con estas direcciones, ya que existen miles de redes que utilizan esas mismas direcciones y no habría forma de saber de cuál de ellas proceden. Para evitar esta confusión se utiliza la técnica NAT (Network Address Translation o Traducción de Direcciones de Red) que permite conectar a Internet varios ordenadores dentro de una misma subred, utilizando únicamente una dirección IP pública para ello. En la medida en que NAT oculta las direcciones utilizadas internamente por los equipos de la red local así como su topología, proporciona un cierto grado de seguridad hacia el exterior.
Si se desea que un equipo dentro de la red interna pueda actuar como host o servidor de cara a Internet es necesario abrir en el router un puerto por cada servicio que se desee ofrecer en un equipo de la red interna, lo que se conoce como NAPT (Network Address Port Translation o Traducción de Puertos Direcciones de Red). Aunque las descripciones siguientes se han particularizado para el modelo SpeedStream 5660 instalado por Telefónica, pueden adaptarse a otros routers y operadores sin mayores problemas.
En el menú izquierdo, siga el enlace Advanced Setup. En el nuevo menú que aparece, en la sección Configuration Procedures, siga el enlace Network Address Port Translation (NAPT). En la página del marco derecho siga ahora el enlace Configure NAPT Servers.
Para habilitar un servicio, seleccione el protocolo de que se trata (normalmente TCP), escriba el número de puerto (por ejemplo, 1433 para conectarse a un servidor SQL Server) y la dirección IP interna del equipo al que se quiere conectar. Pulse el botón Add Service y se añadirá el nuevo servicio.

Reglas de filtrado
Como ya sabe, el router siempre tiene asignada la misma dirección IP pública. Si además lo tiene encendido día y noche, significa que es un blanco estable para todo atacante (humano o programa) que desee hacer un barrido ping de subredes. La mejor forma de evitar que su router sea descubierto consiste en hacer que a todos los efectos permanezca invisible en Internet. Para ello debe crear reglas de filtrado que obliguen al router a descartar todos los paquetes entrantes correspondientes al protocolo ICMP. De esta manera, todas las sondas tipo ping desaparecen, haciendo creer al atacante que no existe ningún equipo en esa dirección IP.
Antes de seguir adelante conviene mencionar algunos conceptos acerca de las reglas de filtrado. Todos los routers incorporan una cantidad variable de reglas, cada una de las cuales posee un número que indica en qué orden se evalúa. Cuando llega un paquete al router, procedente de la red interna o externa, se van evaluando las reglas secuencialmente hasta que alguna se cumpla. Cuando se cumple una regla, se emprende con el paquete la acción indicada por la regla (permitir o denegar) y se ignoran todas las siguientes.
En el menú izquierdo, siga el enlace Advanced Setup. En el nuevo menú que aparece, en la sección Configuration Procedures, siga el enlace

Contenidos recomendados...

Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios
X

Uso de cookies

Esta web utiliza cookies técnicas, de personalización y análisis, propias y de terceros, para facilitarle la navegación de forma anónima y analizar estadísticas del uso de la web. Consideramos que si continúa navegando, acepta su uso. Obtener más información