NAT Traductor de dirección de red

NAT Traductor de dirección de red

Introducción:

El uso de redes de computadoras en las empresas ha crecido y continúa creciendo drásticamente, en la mayoría de estos casos estas redes son de uso exclusivo interno, requiriendo que una mínima cantidad de terminales tengan acceso a redes externas. Además, el rápido agotamiento de las direcciones IP públicas hace que adquirirlas sea costoso razón por lo cual las redes privadas utilizan un direccionamiento basado en direcciones IP reservadas que son inválidas para su uso fuera de la red interna.

Para que estas empresas puedan tener un acceso a redes externas o a Internet se requiere de una traducción de direcciones que permita que con una sola conexión a la red de redes y unas cuantas direcciones IP válidas, de esta manera se puede tener un buen control sobre la seguridad de la red y sobre el tipo de información intercambiada con redes externas.

La topología de red fuera de un dominio local puede cambiar de muchas maneras. Los clientes pueden cambiar proveedores, los backbones (conexiones de Internet con gran ancho de banda) de las compañías pueden ser reorganizados o los proveedores pueden unirse o separarse. Siempre que la topología externa cambie, la asignación de dirección para nodos en el dominio local puede también cambiar para reflejar los cambios externos. Este tipo de cambios deben ser implementados en el router de acceso a Internet y de esta manera, pueden ser ocultados a los usuarios de la rede interna de la organización.

Traductor de dirección de red (NAT):

La "Traducción de Direcciones de Red", Network Address Translation (NAT), es un método mediante el que las direcciones IP son mapeadas desde un dominio de direcciones a otro, proporcionando encaminamiento transparente a las máquinas finales. Existen muchas variantes de traducción de direcciones que se prestan a distintas aplicaciones. Sin embargo todas las variantes de dispositivos NAT debería compartir las siguientes características:

·         Asignación transparente de direcciones.

·         Encaminamiento transparente mediante la traducción de direcciones (aquí el encaminamiento se refiere al reenvío de paquetes, no al intercambio de información de encaminamiento).

·         Traducción de la carga útil de los paquetes de error ICMP

Aplicación:

Como se explicó en el anterior punto, la traducción de la dirección de red, se aplica en redes que fueron implementadas con direcciones IP privadas y necesitan tener un acceso a Internet, se debe solicitar a un proveedor un rango de direcciones válidas para poder asociar dichas direcciones válidas con los hosts que tengan direcciones inválidas y necesiten salida a Internet.

Esta situación ocurre frecuentemente en las empresas que tienen redes internas grandes, también puede darse el caso que el proveedor sólo asigne una dirección válida a la empresa, en esta situación se configura a NAT para que diferentes hosts dentro de la empresa puedan acceder a Internet mediante esta única IP válida asignada por el proveedor, en este caso la configuración del router con NAT asocia además de la dirección IP, un puerto para direccionar correctamente los paquetes a los diferentes hosts (estas dos situaciones serán explicadas más ampliamente en la siguiente sección). Estos problemas también pueden presentarse en redes caseras más pequeñas y son una solución factible para habilitar una conexión a Internet sin tener que hacer una reconfiguración de la red interna, además que el proceso de traducción de direcciones IP es transparente al usuario final que no se da cuenta de lo que pasa.

Operación básica:

Para que una red privada tenga acceso a Internet, el acceso debe ser por medio de un dispositivo ubicado en la frontera de las dos redes que tenga configurado NAT para la traducción de direcciones, en estos casos lo más conveniente es poner a un router para que los paquetes sean enviados hacia él. Existen dos tipos de asignación de direcciones:

·         Asignación estática de direcciones, en el caso de asignación estática de direcciones, existe un mapeo uno a uno de direcciones para las máquinas entre una dirección privada de red y una dirección externa de red durante el tiempo en funcionamiento del NAT. La asignación estática de direcciones asegura que NAT no tiene que administrar la gestión de direcciones con los flujos de sesión.

Figura 1: NAT estático: cuando el host 192.168.0.2 envía un paquete al servidor 207.28.194.84 tiene en la cabecera de sus paquetes los datos mostrados en "A", al pasar estos paquetes por elrouter NAT, los datos son modificados y llegan al servidor con los datos mostrados en "B". Lasrelaciones de direcciones de la tabla del router son puestas estáticamente

·         Asignación dinámica de direcciones, en este caso, las direcciones externas son asignadas a las máquinas de la red privada, o viceversa, de manera dinámica, basándose en los requisitos de uso y el flujo de sesión que el NAT determine heurísticamente. Cuando la última de las sesiones que use una dirección asociada termine, NAT liberará la asociación para que la dirección global pueda ser reciclada para su posterior uso. La naturaleza exacta de la asignación de direcciones es específica de cada implementación de NAT.

 NAT tradicional:

La operación de Traducción de Dirección a analizar se denomina "NAT Tradicional", existen otras variantes de NAT que no serán exploradas. En un NAT tradicional, las sesiones son unidireccionales, salientes de la red privada. Las sesiones en la dirección opuesta pueden ser permitidas en una base excepcional usando mapeos de dirección estáticos para hosts preseleccionados. Existen dos variantes del NAT Tradicional: NAT Básico y NAPT (Network eAddress Port Translation).

NAT Básico:

La operación de NAT Básico es como se describe a continuación: una zona con un conjunto de direcciones de red privadas puede ser habilitada para comunicarse con una red externa mapeando dinámicamente el conjunto de direcciones privadas a un conjunto de direcciones de red válidas globalmente, cada dirección tiene garantizada una dirección global para ser mapeada a ella. De lo contrario, los nodos habilitados para tener acceso simultáneo a la red externa son limitados por el número de direcciones en el conjunto global.

Direcciones locales individuales pueden ser estáticamente mapeadas a direcciones globales específicas para asegurarse acceso garantizado hacia fuera o para permitir acceso al host local desde hosts externos mediante una dirección pública fija. Sesiones múltiples simultáneas pueden ser iniciadas desde un nodo local, usando el mismo mapeo de dirección.

Las direcciones dentro de la zona son locales para este dominio y no son válidas fuera de él. De este modo, las direcciones dentro de la zona pueden ser reusadas por alguna otra. Por ejemplo, una sola dirección de clase A puede ser usada por muchas zonas. En cada punto de salida entre una zona y el backbone, NAT está instalado. Si hay más de un punto de salida es de gran importancia que cada NAT tenga la misma tabla de traducción.

Compración entre Friwall

Comparación de Firewall

ZoneAlarm

ZoneAlarm es un cortafuegos por software producido por Check Point. Incluye un sistema de detección de intrusiones entrantes, al igual que la habilidad de controlar que programas pueden crear conexiones salientes, esto último no está incluido en el cortafuegos de Windows XP Service Pack 2.

En ZoneAlarm, el acceso del programa está controlado por las "zonas" en las cuales se dividen las conexiones de red del ordenador. La "zona de confianza" ("trusted zone") normalmente incluye la red de área local del usuario y puede compartir recursos tales como ficheros e impresoras, mientras que la "zona de Internet" ("Internet zone") incluye todo lo que no esté en la "zona de confianza". El usuario puede especificar que "permisos" (trusted zone client, trusted zone server, Internet zone client, Internet zone server) dar a un programa antes de que intente acceder a Internet (p.e. antes de ejecutarlo por primera vez) o, alternativamente, ZoneAlarm preguntará al usuario que permisos dar al programa en su primer intento de acceso.

Versiones:

• ZoneAlarm - la versión freeware incluye un firewall de red web y local con control de programas salientes y silenciado de puertos ("stealthing"). La versión freeware 6.5 no soporta la hibernación de Windows y no puede ser desinstalada completamente. p.e. el usuario necesita seguir numerosas instrucciones para eliminar completamente el software.
• ZoneAlarm Pro - bloqueador de ventanas emergentes, detección de hardware, protección de identidad, bloqueador de cookies y monitor de procesos
• ZoneAlarm Antivirus - ZoneAlarm con protección antivirus además de las características del firewall
• ZoneAlarm Antispyware - Una versión recortada de ZoneAlarm Pro: tiene todas las características de ZoneAlarm Pro excepto las de privacidad e identidad.
• ZoneAlarm Internet Security Suite - Incluye todas las características de las versiones anteriores, e incluye IMSecure Pro (ver a continuación) y un filtro antispam elaborado por MailFrontier.
• IMSecure - Protege a clientes de mensajería instantánea como (AIM, Yahoo!, MSN, ICQ y Trillian) de virus y transmisión accidental de información personal. IMSecure viene en dos ediciones, Basic y Pro, la última tiene más opciones de seguridad.

ESET

El Firewall personal es un dispositivo que actúa como controlador de tráfico de la red, controlando las comunicaciones dentro de la red local o Internet. Empleando reglas predefinidas, el firewall analiza esta comunicación y decide a favor o en contra de su establecimiento. La función más básica del firewall es proteger redes privadas o computadoras de la intrusión de peligros potenciales que provienen desde fuera de las redes o computadoras.

Existen cinco modos separados del firewall para elegir, de acuerdo al nivel deseado de restricción. Para cambiar el comportamiento de su firewall, elija el modo de filtrado deseado. Para cambiar el modo de filtrado, realice los siguientes pasos:

1.      Abra la ventana principal del programa haciendo clic en el ícono de ESET  junto al reloj del sistema o haciendo clic en  Inicio Todos los programas ESET ESET Smart Security.

2.      Cambie al Modo avanzado haciendo clic en Cambiar... en la esquina inferior izquierda o presionando CTRL + M en su teclado.

3.     Haga clic en Configuración Firewall personal y luego haga en Configuración avanzada de firewall personal...  debajo, en la ventana de la ventana principal del programa.

Fig. 1-1

4.      Aparecerá la ventana de Configuración avanzada. Dentro de menú desplegable de Modo de filtrado que se halla a la derecha, seleccione el modo de filtrado deseado y presione Aceptar.

Modo Automático

En Modo automático, la comunicación de la red es automáticamente controlada por los ajustes definidos por el usuario. Después de conectarse a una red, el usuario decide cuál es una zona de confianza.  La comunicación en una zona de confianza no está limitada en ninguna dirección. La comunicación dentro de una zona restringida – la comunicación en Internet – es permitida solo para aplicaciones que establezcan conexiones salientes. Estas aplicaciones son de confianza también para las conexiones entrantes. Este modo no requiere interacción con el usuario (excepto cuando conecta a una nueva red).

En resumen, el Modo automático utiliza reglas no predefinidas, pero analiza la comunicación automáticamente. Las aplicaciones son permitidas para establecer conexiones salientes. Las aplicaciones que ya establecen conexiones salientes son también de confianza para conexiones entrantes.

Modo automático con excepciones (reglas definidas por el usuario)

En adición al modo automático, le permite agregar reglas personalizadas.

Modo interactivo

En el Modo interactivo, la comunicación de la red es manejada de acuerdo a reglas predefinidas. Si no hay ninguna regla disponible para una conexión, el usuario es consultado con un cuadro de diálogo para permitir o rechazar  la conexión. Luego de un tiempo, el usuario habrá creado un grupo de reglas de acuerdo a sus necesidades. Tome recaudos cuando elija este modo en un entorno corporativo ya que, después de un tiempo, algunos usuarios pueden ignorar las ventanas de diálogo que aparecen regularmente y sólo permitir todo lo que les sea consultado por el programa.

Modo basado en reglas

En el Modo basado en reglas, las comunicaciones de la red son manejadas de acuerdo a reglas brindadas por el administrador. Si no hay reglas disponibles, la conexión es automáticamente bloqueada y el usuario no observa ninguna ventana de mensaje. Recomendamos que seleccione el Modo basado en reglas solo si es un administrador que controla las comunicaciones de red y está seguro de conocer que aplicaciones deben ser permitidas y cuáles no.

Modo de aprendizaje

Permitiendo toda actividad y creando y guardando automáticamente reglas basadas en el comportamiento del usuario este modo es adecuado para la configuración inicial del Firewall personal. No requiere interacción con el usuario. El Modo de aprendizaje no es seguro, y debería ser usado solo cuando todas las reglas de comunicación han sido creadas. El Firewall personal debería entonces ser ajustado al Modo automático con excepciones o Modo basado en reglas.

Firewall de Windows

Un firewall puede ayudar a impedir que hackers o software malintencionado (como gusanos) obtengan acceso al equipo a través de una red o de Internet. Un firewall también puede ayudar a impedir que el equipo envíe software malintencionado a otros equipos.

Puede personalizar cuatro opciones de configuración para cada tipo de ubicación de red en Firewall de Windows. Para buscar estas opciones de configuración, siga estos pasos:

1. Para abrir Firewall de Windows, haga clic en el botón Inicio y, seguidamente, en Panel de control. En el cuadro de búsqueda, escriba firewall y, a continuación, haga clic en Firewall de Windows.
2. En el panel izquierdo, haga clic en Activar o desactivar Firewall de Windows.  Si se le solicita una contraseña de administrador o una confirmación, escriba la contraseña o proporcione la confirmación.

A continuación, se describe la función de las opciones de configuración y cuándo deben usarse:

Activar Firewall de Windows

Esta opción está activada de forma predeterminada. Cuando Firewall de Windows está activado, se bloquea la comunicación a través del firewall para la mayoría de los programas. Si desea permitir que un programa se comunique a través del firewall, puede agregarlo a la lista de programas permitidos. Por ejemplo, es posible que no pueda enviar fotografías en mensajes instantáneos hasta que agregue el programa de mensajería instantánea a la lista de programas permitidos.

Bloquear todas las conexiones entrantes, incluidas las de la lista de programas permitidos

Con esta opción se bloquean todos los intentos de conexión al equipo no solicitados. Esta opción se usa cuando se necesita la máxima protección en un equipo; por ejemplo, al conectarse a una red pública en un hotel o un aeropuerto, o cuando hay gusano que se está extendiendo por los equipos a través de Internet. Con esta opción no se le avisa cuando Firewall de Windows bloquea programas y se omiten los programas que figuran en la lista de programas permitidos.

Si bloquea todas las conexiones entrantes, aún puede ver la mayoría de las páginas web, así como enviar y recibir mensajes de correo electrónico y mensajes instantáneos.

Notificarme cuando Firewall de Windows bloquee un nuevo programa

Si activa esta casilla, Firewall de Windows le informará cada vez que bloquee un programa nuevo y le ofrecerá la opción de desbloquearlo.

Desactivar Firewall de Windows (no recomendado)

No use esta opción a menos que se ejecute otro firewall en el equipo. La desactivación de Firewall de Windows podría provocar que el equipo (y la red, dado el caso) sean más vulnerables a daños ocasionados por ataques de hackers y software malintencionado.