Si está leyendo este artículo, ¡enhorabuena! Estás interactuando con éxito con otro servidor en Internet utilizando los puertos 80 y 443, los puertos de red abiertos estándar para el tráfico web. Si estos puertos estuvieran cerrados en nuestro servidor, no podría leer este artículo. Los puertos cerrados mantienen su red (y nuestro servidor) a salvo de los piratas informáticos.
Nuestros puertos web pueden estar abiertos, pero los puertos de su enrutador doméstico no deberían estarlo, ya que esto abre un hueco para los piratas informáticos malintencionados. Sin embargo, es posible que deba permitir el acceso a sus dispositivos a través de Internet utilizando el reenvío de puertos de vez en cuando. Para ayudarlo a aprender más sobre el reenvío de puertos, esto es lo que necesita saber.
¿Qué es el reenvío de puertos?
El reenvío de puertos es un proceso en los enrutadores de la red local que reenvía los intentos de conexión desde dispositivos en línea a dispositivos específicos en una red local. Esto es gracias a las reglas de reenvío de puertos en su enrutador de red que coinciden con los intentos de conexión realizados al puerto y la dirección IP correctos de un dispositivo en su red.
Una red local puede tener una única dirección IP pública, pero cada dispositivo de su red interna tiene su propia IP interna. El reenvío de puertos vincula estas solicitudes externas de A (la IP pública y el puerto externo) a B (el puerto solicitado y la dirección IP local del dispositivo en su red).
Para explicar por qué esto podría ser útil, imaginemos que su red doméstica se parece un poco a una fortaleza medieval. Si bien puedes mirar más allá de los muros, otros no pueden mirar hacia adentro ni romper tus defensas; estás a salvo de ataques.
Gracias a los firewalls de red integrados, su red está en la misma posición. Puede acceder a otros servicios en línea, como sitios web o servidores de juegos, pero otros usuarios de Internet no pueden acceder a sus dispositivos a cambio. El puente levadizo se eleva, ya que su firewall bloquea activamente cualquier intento de conexiones externas de violar su red.
Sin embargo, existen algunas situaciones en las que este nivel de protección no es deseable. Si desea ejecutar un servidor en su red doméstica (usando una Raspberry Pi, por ejemplo), se necesitan conexiones externas.
Aquí es donde entra el reenvío de puertos, ya que puede reenviar estas solicitudes externas a dispositivos específicos sin comprometer su seguridad.
Por ejemplo, supongamos estás ejecutando un servidor web local en un dispositivo con la dirección IP interna 192.168.1.12, mientras que tu dirección IP pública es 80.80.100.110. Se permitirían solicitudes externas al puerto 80(80.90.100.110:80), gracias a las reglas de reenvío de puertos, con el tráfico reenviado al puerto 80en 192.168.1.120000-.
Para hacer esto, necesitará configurar su red para permitir el reenvío de puertos, luego crear las reglas de reenvío de puertos apropiadas en su enrutador de red. Es posible que también deba configurar otros firewalls en su red, incluido el Firewall de Windows, para permitir el tráfico.
Por qué debería evitar UPnP (reenvío automático de puertos)
Configurar el reenvío de puertos en su red local no es difícil para los usuarios avanzados, pero puede crear todo tipo de dificultades para los principiantes. Para ayudar a superar este problema, los fabricantes de dispositivos de red crearon un sistema automatizado para el reenvío de puertos llamado UPnP(o Universal Plug and Play).
La idea detrás UPnP fue (y es) para permitir que las aplicaciones y dispositivos basados en Internet creen reglas de reenvío de puertos en su enrutador automáticamente para permitir el tráfico externo. Por ejemplo, UPnP puede abrir puertos automáticamente y reenviar tráfico para un dispositivo que ejecuta un servidor de juegos sin la necesidad de configurar manualmente el acceso en la configuración de su enrutador.
El concepto es brillante, pero, lamentablemente, la ejecución es defectuosa, si no extremadamente peligrosa. UPnP es el sueño de un malware, ya que automáticamente asume que cualquier aplicación o servicio que se ejecute en su red es seguro. El Sitio web de hacks UPnP revela la cantidad de inseguridades que, incluso hoy, se incluyen fácilmente con los enrutadores de red.
Desde el punto de vista de la seguridad, es mejor errar por el lado de la precaución. En lugar de arriesgar la seguridad de su red, evite usar UPnP para el reenvío automático de puertos (y, cuando sea posible, deshabilítelo por completo). En su lugar, solo debe crear reglas de reenvío de puertos manuales para aplicaciones y servicios en los que confíe y que no tengan vulnerabilidades conocidas.
Cómo configurar el reenvío de puertos en su red
Si está evitando UPnP y desea configurar el reenvío de puertos manualmente, generalmente puede hacerlo desde la página de administración web de su enrutador. Si no está seguro de cómo acceder a esto, generalmente puede encontrar la información en la parte inferior de su enrutador o incluida en el manual de documentación de su enrutador.
Puede conectarse a su página de administración del enrutador utilizando la dirección de puerta de enlace predeterminada para su enrutador. Suele ser 192.168.0.1o una variación similar; escriba esta dirección en la barra de direcciones de su navegador web. También deberá autenticarse con el nombre de usuario y la contraseña proporcionados con su enrutador (por ejemplo, admin×).
Configuración de direcciones IP estáticas mediante la reserva DHCP
La mayoría de las redes locales utilizan la asignación dinámica de IP para asignar direcciones IP temporales a los dispositivos que se conectan. Después de cierto tiempo, se renueva la dirección IP. Estas direcciones IP temporales pueden reciclarse y usarse en otros lugares, y su dispositivo puede tener asignada una dirección IP local diferente.
Sin embargo, el reenvío de puertos requiere que la dirección IP utilizada para cualquier dispositivo local siga siendo la misma. Puede asignar una dirección IP estática manualmente, pero la mayoría de los enrutadores de red le permiten asignar una asignación de dirección IP estática a ciertos dispositivos en la página de configuración de su enrutador mediante la reserva de DHCP.
Desafortunadamente, cada fabricante de enrutadores es diferente, y los pasos que se muestran en las capturas de pantalla a continuación (realizadas con un enrutador TP-Link) pueden no coincidir con su enrutador. Si ese es el caso, es posible que debas revisar la documentación de tu enrutador para obtener más ayuda.
Para comenzar, acceda a la página de administración web de su enrutador de red usando su navegador web y autentíquese usando el nombre de usuario y la contraseña de administrador del enrutador. Una vez que haya iniciado sesión, acceda al área de configuración de DHCP de su enrutador.
Es posible que pueda buscar dispositivos locales ya conectados (para completar automáticamente la regla de asignación requerida) o usted Es posible que deba proporcionar el dirección MAC específica para el dispositivo al que desea asignar una IP estática. Cree la regla usando la dirección MAC correcta y la dirección IP que desea usar, luego guarde la entrada.
Creación de una nueva regla de reenvío de puertos
Si su dispositivo tiene una IP estática (configurada manualmente o reservada en su configuración de asignación de DHCP), puede moverse para crear la regla de reenvío de puertos. Los términos para esto pueden variar. Por ejemplo, algunos enrutadores TP-Link se refieren a esta función como Servidores virtuales, mientras que los enrutadores Cisco se refieren a ella por el nombre estándar (Reenvío de puertos).
En el menú correcto en la página de administración web de su enrutador, cree una nueva regla de reenvío de puertos. La regla requerirá el puerto externo(o rango de puertos) al que desea que se conecten los usuarios externos. Este puerto está vinculado a su dirección IP pública (por ejemplo, el puerto 80para la IP pública 80.80.30.10×).
También deberá determinar el puerto internoal que desea reenviar el tráfico desde el puerto externo. Este podría ser el mismo puerto o un puerto alternativo (para ocultar el propósito del tráfico). También deberá proporcionar la dirección IP estática de su dispositivo local(por ejemplo, 192.168.0.10) y el protocolo de puerto en uso (por ejemplo, TCP o UDP).
Dependiendo de su enrutador, es posible que pueda seleccionar un tipo de servicio para completar automáticamente los datos de reglas requeridos (por ejemplo, HTTPpara el puerto 80 o HTTPSpara el puerto 443). Una vez que haya configurado la regla, guárdela para aplicar el cambio.
Pasos adicionales
Su enrutador de red debería aplicar automáticamente el cambio a las reglas de su firewall . Cualquier intento de conexión externa realizado al puerto abierto debe reenviarse al dispositivo interno usando la regla que creó, aunque es posible que deba crear reglas adicionales para los servicios que usan varios puertos o rangos de puertos.
Si tiene problemas, es posible que también deba considerar agregar reglas de firewall adicionales al firewall del software de su PC o Mac (incluido el Firewall de Windows) para permitir el paso del tráfico. El Firewall de Windows generalmente no permitirá conexiones externas, por ejemplo, por lo que es posible que deba configurar esto en el menú de Configuración de Windows.
Si el Firewall de Windows le está causando dificultades, puede deshabilitarlo temporalmente investigar. Sin embargo, debido a los riesgos de seguridad, le recomendamos que vuelva a habilitar el Firewall de Windows después de solucionar el problema, ya que brinda protección adicional contra posibles intentos de pirateo.
Protección Tu red doméstica
Ha aprendido a configurar el reenvío de puertos, pero no olvide los riesgos. Cada puerto que abre agrega otro agujero más allá del firewall de su enrutador que herramientas de escaneo de puertos puede encontrar y abusar. Si necesita abrir puertos para ciertas aplicaciones o servicios, asegúrese de limitarlos a puertos individuales, en lugar de rangos de puertos enormes que podrían violarse.
Si está preocupado por su red doméstica, puede hacerlo. aumente la seguridad de su red en agregar un firewall de terceros. Esto podría ser un firewall de software instalado en su PC o Mac o un firewall de hardware 24/7 como el Firewalla Gold, conectado a su enrutador de red para proteger todos sus dispositivos a la vez.