Si estás leyendo este artículo, ¡felicidades! Está interactuando con éxito con otro servidor en Internet utilizando los puertos 80 y 443, los puertos de red abiertos predeterminados para el tráfico web. Si estos puertos estuvieran cerrados en nuestro servidor, no podría leer este artículo. Las puertas cerradas mantienen su red (y nuestro servidor) a salvo de los piratas informáticos.
Nuestros puertos web pueden estar abiertos, pero los puertos de su enrutador doméstico no deberían estarlo, ya que esto abre un agujero para los piratas informáticos malintencionados. Sin embargo, es posible que deba permitir el acceso a sus dispositivos a través de Internet mediante el reenvío de puertos de vez en cuando. Para ayudarlo a obtener más información sobre el reenvío de puertos, esto es lo que necesita saber.
¿Qué es el reenvío de puertos?
Contenidos
El reenvío de puertos es un proceso en los enrutadores LAN que reenvía los intentos de conexión desde dispositivos online a dispositivos específicos en una LAN. Esto se debe a las reglas de reenvío de puertos en su enrutador de red que hacen coincidir los intentos de conexión realizados con el puerto y la dirección IP correctos de un dispositivo en su red.
Una red local puede tener una sola dirección IP pública, pero cada dispositivo en su red interna tiene su propia IP interna. El reenvío de puertos vincula estas solicitudes externas de A (la IP pública y el puerto externo) a B (el puerto solicitado y la dirección IP local del dispositivo en su red).
Para explicar por qué esto podría ser útil, imaginemos que su red doméstica es un poco como una fortaleza medieval. Si bien puedes mirar más allá de las paredes, los demás no pueden mirar ni romper tus defensas: estás protegido contra ataques.
Gracias a los cortafuegos de red integrados, su red está en la misma posición. Puede acceder a otros servicios online, como sitios web o servidores de juegos, pero otros usuarios de Internet no pueden acceder a sus dispositivos a cambio. El puente levadizo se levanta cuando su firewall bloquea activamente cualquier intento de conexiones externas de violar su red.
Sin embargo, hay algunas situaciones en las que este nivel de protección no es deseable. Si desea ejecutar un servidor en su red doméstica (usando una Raspberry Pi, por ejemplo), se requieren conexiones externas.
Aquí es donde entra en juego el reenvío de puertos, ya que puede reenviar estas solicitudes externas a dispositivos específicos sin comprometer su seguridad.
Por ejemplo, supongamos que está ejecutando un servidor web local en un dispositivo con la dirección IP interna 192.168.1.12mientras que su dirección IP pública es 80,80,100,110. Solicitudes externas para portar 80 (80.90.100.110:80) estaría permitido, gracias a las reglas de reenvío de puertos, con el tráfico reenviado a puerto 80 acerca de 192.168.1.12.
Para hacer esto, deberá configurar su red para permitir el reenvío de puertos y luego crear las reglas de reenvío de puertos adecuadas en su enrutador de red. Es posible que también deba configurar otros firewalls en su red, incluido el firewall de Windows, para permitir el tráfico.
Por qué debería evitar UPnP (reenvío automático de puertos)
Configurar el reenvío de puertos en su red local no es difícil para los usuarios avanzados, pero puede crear todo tipo de dificultades para los novatos. Para ayudar a superar este problema, los fabricantes de dispositivos de red han creado un sistema automatizado para el reenvío de puertos llamado UPnP (o Conectar y usar universal)
La idea detrás de UPnP era (y es) permitir que las aplicaciones y los dispositivos basados en Internet creen reglas de reenvío de puertos en su enrutador automáticamente para permitir el tráfico externo. Por ejemplo, UPnP puede abrir puertos automáticamente y reenviar tráfico a un dispositivo que ejecuta un servidor de juegos sin tener que configurar manualmente el acceso en la configuración del enrutador.
El concepto es brillante, pero desafortunadamente la ejecución es defectuosa, si no francamente peligrosa. UPnP es un sueño de malware, ya que asume automáticamente que todas las aplicaciones o servicios que se ejecutan en su red son seguros. O UPnP hackea sitio web revela la cantidad de inseguridades que, incluso hoy en día, se incluyen fácilmente en los enrutadores de red.
Desde el punto de vista de la seguridad, es mejor errar y ser cauteloso. En lugar de arriesgar la seguridad de la red, evite usar UPnP para el reenvío automático de puertos (y, cuando sea posible, desactívelo por completo). En su lugar, solo debe crear reglas manuales de reenvío de puertos para aplicaciones y servicios en los que confíe y que no tengan vulnerabilidades conocidas.
Cómo configurar el reenvío de puertos en su red
Si está evitando UPnP y desea configurar el reenvío de puertos manualmente, generalmente puede hacerlo desde la página de administración web de su enrutador. Si no está seguro de cómo acceder a esto, generalmente puede encontrar la información en la parte inferior del enrutador o incluida en el manual de documentación del enrutador.
Puede conectarse a la página de administración del enrutador utilizando la dirección de puerta de enlace predeterminada del enrutador. esto es típicamente 192.168.0.1 o una variación similar: escriba esta dirección en la barra de direcciones de su navegador web. También deberá autenticarse con el nombre de usuario y la contraseña proporcionados con el enrutador (p. administración)
Configuración de direcciones IP estáticas mediante la reserva de DHCP
La mayoría de las LAN utilizan la asignación dinámica de IP para asignar direcciones IP temporales a los dispositivos que se conectan. Después de un cierto tiempo, la dirección IP se renueva. Estas direcciones IP temporales se pueden reciclar y usar en otro lugar, y su dispositivo puede tener asignada una dirección IP local diferente.
Sin embargo, el reenvío de puertos requiere que la dirección IP utilizada para cualquier dispositivo local siga siendo la misma. Puede asignar manualmente una dirección IP estática, pero la mayoría de los enrutadores de red le permiten asignar una asignación de dirección IP estática a ciertos dispositivos en la página de configuración del enrutador mediante la reserva de DHCP.
Desafortunadamente, cada fabricante de enrutador es diferente y los pasos que se muestran en las capturas de pantalla a continuación (tomadas con un enrutador TP-Link) pueden no coincidir con su enrutador. Si este es el caso, es posible que deba consultar la documentación de su enrutador para obtener más ayuda.
Para comenzar, acceda a la página de administración web del enrutador de la red usando su navegador web y autentíquese usando el nombre de usuario y la contraseña del administrador del enrutador. Después de iniciar sesión, acceda al área de configuración de DHCP del enrutador.
Puede buscar dispositivos locales que ya estén conectados (para completar automáticamente la regla de asignación requerida) o puede necesitar proporcionar la dirección MAC específica para el dispositivo al que desea asignar una IP estática. Cree la regla usando la dirección MAC y la dirección IP correctas que desea usar y guarde la entrada.
Creación de una nueva regla de reenvío de puertos
Si su dispositivo tiene una IP estática (configurada manualmente o reservada en la configuración de asignación de DHCP), puede moverse para crear una regla de reenvío de puertos. Los términos para esto pueden variar. Por ejemplo, algunos enrutadores TP-Link se refieren a esta función como Servidores virtualesmientras que los enrutadores de Cisco se refieren a él por su nombre predeterminado (reenvío de puertos)
En el menú correcto de la página de administración web de su enrutador, cree una nueva regla de reenvío de puertos. La regla exigirá externo puerto (o rango de puertos) al que desea que se conecten los usuarios externos. Este puerto está vinculado a su dirección IP pública (por ejemplo, puerto 80 para IP pública 80.80.30.10)
También tendrá que determinar la interno puerto al que desea reenviar el tráfico desde el externo puerta a. Puede ser el mismo puerto o un puerto alternativo (para ocultar el propósito del tráfico). También deberá proporcionar la dirección IP estática para su lugar dispositivo (por ejemplo 192.168.0.10) y el protocolo de puerto en uso (por ejemplo, TCP o UDP).
Dependiendo de su enrutador, puede seleccionar un tipo de servicio para completar automáticamente los datos de la regla requerida (por ejemplo, HTTP al puerto 80 o HTTPS al puerto 443). Después de configurar la regla, guárdela para aplicar el cambio.
Pasos adicionales
Su enrutador de red debería aplicar automáticamente el cambio a las reglas de su firewall. Cualquier intento de conexión externa realizado con el puerto abierto debe reenviarse al dispositivo interno mediante la regla que creó, aunque es posible que deba crear reglas adicionales para los servicios que utilizan varios puertos o intervalos de puertos.
Si tiene problemas, es posible que también deba agregar reglas de firewall adicionales al software de firewall de su PC o Mac (incluido el Firewall de Windows) para permitir el paso del tráfico. El Firewall de Windows normalmente no permite conexiones externas, por ejemplo, por lo que es posible que deba configurar esto en el menú Configuración de Windows.
Si el Firewall de Windows está causando problemas, puede desactivarlo temporalmente para investigar. Sin embargo, debido a los riesgos de seguridad, le recomendamos que vuelva a habilitar el Firewall de Windows después de solucionar el problema, ya que brinda protección adicional contra posibles intentos de piratería.
Asegurando su red doméstica
Ha aprendido a configurar el reenvío de puertos, pero no olvide los riesgos. Cada puerto que abre agrega otro agujero más allá del firewall del enrutador que las herramientas de escaneo de puertos pueden encontrar y abusar. Si necesita abrir puertos para ciertas aplicaciones o servicios, asegúrese de limitarlos a puertos individuales en lugar de grandes rangos de puertos que podrían violarse.
Si le preocupa su red doméstica, puede aumentar la seguridad de la red agregando un firewall de terceros. Podría ser un firewall de software instalado en su PC o Mac o un firewall de hardware 24/7 como Firewalla Gold, conectado a su enrutador de red para proteger todos sus dispositivos a la vez.