Características Adicionales de los Routers

Además de las funciones de enrutamiento del tráfico, los routers también pueden llevar a cabo otras funciones, algunas de ellas fundamentales en las redes actuales.

Cortafuegos (Firewall)

Prácticamente la totalidad de los routers actuales proporcionan funciones de cortafuegos como uno de los elementos de seguridad en las redes de datos. Un Router con funciones de firewall permite establecer las reglas por las cuales se regula el tráfico intercambiado entre las redes.

El uso más frecuente del firewall es filtrar el tráfico de entrada de una red pública (normalmente internet) hacia una red privada, con objeto de evitar accesos no autorizados a la red privada. Lógicamente, para que el nivel de seguridad que proporciona un firewall sea efectivo, todo el tráfico de entrada debe pasar por el Router con funciones de firewall. También puede llevar a cabo el filtrado de Información que viaja desde la red privada a la pública.

Las reglas que se utilizan para decidir qué Información proveniente de la red exterior puede entrar en la red privada son definidas por un administrador y suelen estar basadas en la Información contenida en los niveles 3 ó 4. Ejemplos típicos son el filtrado por puertos, por direcciones IP o por tipo de Protocolo.

En la siguiente figura, se indica una posible configuración de un firewall utilizando lo que se conoce como DMZ o zona desmilitarizada. en la DMZ se sitúan equipos que proporcionan servicios a través de la red externa y que, por tanto, no deben ser filtrados, como servidores web, servidores de correo, etc.

NAT (Network Address Translation)

NAT (Network Address translation, traducción de dirección de red) es un estándar creado por la IETF (internet engineering Task Force) que permite traducir las direcciones de una red, llamada red interna, cuando se conecte a otra red, llamada red externa.

El direccionamiento utilizado normalmente en las redes internas que utilizan NAT es un direccionamiento privado, es decir, se utilizan los rangos de direccionamiento privado o no enrutable. La red externa a la que se conecta una red que utiliza NAT normalmente es internet.

Funcionamiento NAT

Para llevar a cabo este proceso, las direcciones IP se mapean desde el dominio interno de direcciones al dominio externo, proporcionando encaminamiento transparente a las máquinas finales.

Por lo tanto, NAT se puede utilizar para dar salida a redes públicas (normalmente internet) a ordenadores que se encuentran dentro de una red con direccionamiento privado.

Recordemos! Los rangos de direcciones que se pueden utilizar en redes privadas son los siguientes:

• 10.0.0.0 / 8

• 172.16.0.0 / 12

• 192.168.0.0 /16

Otra función que proporciona NAT es la de poder realizar cambios en la topología de la red interna y que dichos cambios no sean visibles en la red externa, es decir, se trata de ocultar Información sobre la topología de la red interna. El proceso de traducción de direcciones se lleva a cabo en el dispositivo de red que une la red interna y la red externa, normalmente un Router.

Hay varios tipos de NAT, pero el más utilizado actualmente es una variante llamada NAPT (Network Address and Port translation). este método se utiliza para que redes privadas puedan acceder a internet a través de una única dirección IP. Para ello se utiliza un mapeo tanto de la dirección IP origen como del puerto origen de la red interna.

Como se observa en la figura, para utilizar esta técnica es necesario que el Router modifique tanto la dirección IP origen como el puerto.

En la actualidad, prácticamente todos los routers implementan esta técnica, ya que NAPT ha sido adoptado como una de las principales soluciones a la escasez de direcciones públicas en internet.

Balanceo de Tráfico

El balanceo de tráfico se utiliza cuando una empresa o institución tiene contratados dos o más accesos a internet y se desea balancear el tráfico de salida de la red interna. De esta forma se consigue aumentar la capacidad de conexión de los equipos de la red a internet y mejorar la gestión de la misma. esta característica también se conoce como multihoming.

Métodos de Direccionamiento

• NAT Estático: una dirección IP de tipo privado es configurada para que se traduzca siempre una IP pública. Este modo permite a un Host o máquina estar constantemente visible desde el punto de vista de Internet. Se emplea sobre todo en servidores conectados a Internet (servidores web, de archivos, etc.).
• NAT Dinámico: en un conjunto NAT se pueden tener varias direcciones IP públicas en vez de una osla (suelen ser empresas, etc.). El Router controla por un lado las direcciones públicas y por otro las privadas, asignando temporalmente a una IP privada una dirección pública según su orden de llegada que no esté siendo empleada en ese momento. Este mecanismo ortoga mayor seguridad ya que un Host no siempre tiene la misma dirección IP pública, pero no suele emplearse por servidores que necesitemos se conozca la dirección IP pública, pero no suele emplearse por servidores que necesitemos se conozca la dirección IP de forma estática (que no cambie).
• Sobrecarga de NAT (PAT): port address tranlation, PAT o traducción de dirección de puerto es el sistema más común de todos los tipos de NAT, empleado sobre todo en redes pequeñas como entornos domésticos. Maneja los puertos o sockets para emplearlos en los hosts internos de manera que, como el puerto de origen es opcional, lo sustituye un puerto superior al 1024 asociándolo a la conversión. El puerto de destino lo asocia al adirección dirección privada traducida. Una table del Router contendrá todas estas combinaciones de direcciones IP internas junto con sus puertos para la traducción.

Proxy

El término proxyse aplica generalmente a una aplicación que actúa como intermediario entre dos sistemas finales y que es conocida como servidor proxy. Los servidores proxy funcionan en el nivel de aplicación, por tanto es necesario ejecutar un servicio proxy por cada tipo de aplicación. Algunos modelos de routers implementan servidores proxy.

El tipo de servidor proxy más utilizado es el servidor proxy web, el cual se utiliza para centralizar todas las conexiones a páginas web de una red. Esta característica ofrece la posibilidad de llevar a cabo mecanismos de seguridad como filtrado de páginas web, validación de usuarios…

Los servidores proxy web también pueden proporcionar un mecanismo llamado proxy-Caché, que consiste en almacenar las páginas web a las que se ha accedido en una Caché. Esta característica acelera la conexión a las páginas web más visitadas. Los proxy-cachés implementan algoritmos para decidir cuándo una página debe ser descartada de la Caché.

Para que un cliente acceda a páginas web a través de un proxy es necesario configurar adecuadamente el navegador web.

Proxy transparente, las conexiones a páginas web son enrutadas a servidores proxy de forma transparente sin llevar a cabo ninguna configuración en el ordenador del usuario. Normalmente estos servidores proxy interceptan el tráfico dirigido al puerto 80.

Servidor VPN (Virtual Private Network, Red Privada Virtual)

Una VPN consiste en un conjunto de sistemas o dispositivos interconectados a través de canales seguros, sobre una red pública, permitiendo el acceso remoto de los recursos y servicios de la red de forma transparente y segura como si los usuarios estuvieran conectados de forma local. Por tanto, el uso de VPN es una alternativa sobre el acceso remoto tradicional y las líneas dedicadas. De esta forma se puede aprovechar la conectividad que ofrece una red pública (por ejemplo, internet) o una red privada de un operador para proporcionar conectividad de forma segura.

La implementación de VPN se hace mediante routers que soporten esta característica, ya que un dispositivo de VPN opera a nivel de red, a través de conexiones seguras utilizando encapsulación, encriptado y autenticación. De esta forma se transportan de forma segura datagramas IP estableciendo túneles en ambos puntos de la conexión que negocian un esquema de encriptado y autenticación previo al transporte.

Para llevar a cabo la creación de túneles es necesario que los routers soporten protocolos de tunneling. Dos de los protocolos más importantes, que surgieron en 1996, son el Point-to-Point tunneling Protocol (PPTP), desarrollado por microsoft, y el Layer two Forwarding (L2f), desarrollado por cisco. La principal diferencia que existe entre ellos es que aplican túneles en diferentes niveles: los túneles PPTP encapsulan paquetes PPP en IP (nivel 3) y L2F utiliza protocolos de nivel 2, como Frame Relay y ATM, para crear los túneles.

A partir de estos protocolos ha surgido un tercero, que utiliza las características de los dos anteriores: Layer Two Tunneling Protocol (L2TP). L2TP encapsula los paquetes originales dentro de una trama PPP, los comprime cuando es posible y, después, los encapsula dentro de un paquete de tipo UDP asignado al puerto 1701. Puesto que el paquete con formato UDP es un paquete IP, L2TP utiliza el modo de transporte IPsec para asegurar el túnel, basándose en la configuración de seguridad establecida en la configuración del usuario para el túnel L2TP. De forma predeterminada, IKE negocia la seguridad para el túnel L2TP mediante la autenticación basada en certificados (que utiliza certificados de equipo, no de usuario, para comprobar que los equipos de origen y de destino confían el uno en el otro) y mediante autenticación por claves compartidas previamente. Este tipo de autenticación no se recomienda porque es un método relativamente débil.

Debido a ello, se suele utilizar L2TP para crear el túnel y los protocolos de IPsec para proteger la Información que viaja por el túnel. La creación de túneles VPN con esta técnica se conoce como L2TP/IPsec.