Router

Informática. Redes: filtrar y dirigir. Seguridad. Modelos. Filtros. Módem. Megavía. Configuración

1 downloads 1057 Views 72KB Size

Story Transcript

Un router es un elemento de un red capaz de dirigir y filtrar el tráfico de una red. Por ejemplo, si un router trabajara en Correos sería la persona encargada de decidir hacia dónde va una carta ya que es capaz de leer la dirección y dirigirla al lugar de destino. Por lo tanto opera dirigiendo el tráfico de la red (paquetes de datos que van y vienen). Un router ADSL tiene varias funciones principales. Os detallamos las más importantes: NAPT (Network Adress Port Translation): Esta parte es una de las más importantes del router, proporciona seguridad y es la que da más problemas. Veamos de qué se trata. Como hemos comentado antes, las direcciones IP que usamos en nuestra red no son válidas, únicamente el router tiene una IP válida, proporcionada por nuestro ISP. Nuestro router lo que hace es traducir los paquetes que le llegan sustituyendo la dirección IP inválida por la suya válida, también modifica el puerto origen para no entrar en conflicto entre distintas aplicaciones, esta modificación se realiza asignando un puerto aleatorio que este libre. Todas estas modificaciones el router se las guarda en una tabla (memoria interna del router) para cuando lleguen las respuestas realizar la operación contraria. Cuando se recibe un paquete se efectúa la traducción al revés. Este proceso permite tener varios ordenadores conectados a un mismo router usando una misma IP en el router. Se distingue el tráfico de paquetes mediante el puerto. Por ejemplo, si tenemos dos ordenadores conectados y los dos visitan www.noticias3d.com el router recibirá sus paquetes y traducirá la IP pero a cada ordenador le asignará un puerto distinto, el servidor de Noticias3D recibirá paquetes con la misma dirección IP (la del router) pero con distintos puertos y responderá a cada uno por separado. La respuesta llegará al router donde este separará los paquetes destinados a cada ordenador, distinguiéndolos mediante el puerto. Este proceso también ofrece seguridad ya que los paquetes que se reciben si no están en la tabla son descartados evitando las temidas intrusiones. Es por esto que todos los programas que inician una conexión no tienen ningún problema ya que crean una entrada en la tabla anterior y el tráfico que generan pasa a través del router sin problemas, por otro lado los programas que esperan una respuesta de Internet por algún puerto sin tener iniciada alguna comunicación por el mismo no funcionan. Hay programas que reciben trafico de Internet y queremos que el router los deje pasar sin problemas, es por esto que se debe abrir el puerto en cuestión en la configuración del router.

Esto es muy sencillo de realizar. Pondremos el ejemplo del SpeedStream 5660, lo primero es abrir una ventana del Internet Explorer y la barra de direcciones poner la IP del router, se os pedirá un nombre de usuario y una contraseña, poned la que os proporcionó el instalador en su día. A continuación os aparece una página web que permite gestionar todos los servicios del router, id a Advanced Setup, en columna izquierda id a la opción que pone NAPT, de las tres opciones que tenéis elegid Configure NAPT Servers, deberíais llegar a una pantalla como esta: En la parte de abajo encontraréis: Donde como ya podéis ver se añade el puerto en cuestión y la IP a la que se debe enviar los paquetes que se reciban por el mismo. Fijaos que la IP es fija, por lo tanto el tener configuradas las IP de forma fija ayuda, sino tendremos que poner direcciones de broadcast y esto ya es más complicado. Los puertos que están en la primera foto son los que debéis tener abiertos para poder tener un servidor de FTP, un servidor de web, poder jugar al Starcraft y al Diablo II. Para jugar al Quake 3 Arena siendo servidor debéis añadir el 27960 y como 1

protocolo el UDP. Si queréis además de ser un servidor web, hacer que las conexiones seguras mediante SSL funcionen debéis añadir el puerto 443 y servicio el http. Fijaos también en el protocolo que usan. Otros juegos usan otros puertos, para averiguarlos poneos en contacto con el fabricante y añadidlos a la tabla. Recordad que para hacer de servidor de una partida por IP, la dirección IP que deben poner los participantes no es la de vuestra tarjeta de red (que es inválida), es la de entrada al router, que ya se encargara el de enviaros los paquetes que reciba. En el caso de usar el modelo 3Com debéis ir a la configuración del IP para acceder a la configuración del NAPT, y entrar en la configuración donde pone Static Ports, el procedimiento es similar. IP Filtering Otra de las opciones del router es el filtrado (bloqueo) de direcciones IP. Esto sirve dentro de una red para impedir el acceso a Internet de ciertos ordenadores, o impedir el acceso desde Internet a alguno de vuestros equipos. Como podéis ver en las capturas se pueden crear muchas combinaciones de reglas de filtrado. Normalmente no se deben tocar ya que vienen configuradas para no permitir el acceso remoto a la administración del router desde ordenadores ajenos a vuestra pequeña red. Aquí tenéis como crear filtros en el router 3Com: Fijaos que se puede descartar un paquete según su dirección IP, su protocolo y puerto, o simplemente porque contenga cierta información. Esto permite un amplio conjunto de posibilidades. Y aquí el modelo SpeedStream: En ambos modelos el orden de aplicación de las reglas es de menor a mayor, o sea que primero se aplica la primera la regla, luego la segunda y así sucesivamente. DHCP DHCP es un servicio muy útil cuando se tiene una red de tamaño medio. Consiste en asignar direcciones IP de forma dinámica. Cada vez que se enciende el ordenador se le asigna una dirección IP distinta, pero dentro de un rango. Los routers ADSL también tienen esta función pero normalmente no se suele usar ya que en un ámbito doméstico no es necesaria la asignación dinámica de direcciones IP y cuando nos instalan el router en casa deshabilitan esta función. A continuación os mostramos dónde podéis configurar los servidores DHCP en ambos modelos:

DNS Tal como hemos comentado anteriormente el DNS (Domain Name Service) sirve para traducir direcciones web a direcciones IP, nuestro router también ofrece esta posibilidad pero lo que hace realmente es reenviar los paquetes DNS a un servidor de Internet. Esto es una ventaja si nuestro ISP cambia la dirección IP de su servidor DNS y tenemos muchos ordenadores en nuestra red. Lo que haríamos sería configurar los ordenadores de nuestra red con nuestro router como DNS y configurar el router con el DNS de nuestro ISP, de esta manera el día que cambie sólo tendremos que modificar la IP en nuestro router sin tocar para nada los ordenadores de nuestra red. Aquí os ponemos la pagina del router 5660 donde modificar la configuración:

2

Estadísticas En este apartado podremos consultar toda la información referente a nuestro router. En el modelo Speed Stream5660 podemos consultar todos los datos referentes a sus diferentes servicios así como el estado del mismo. Es útil para en el caso que tengamos problemas consultar que es lo que puede estar provocándolos. También es curioso ver la actividad que ha tenido así como la cantidad de bytes que han pasado. Monopuesto El router SpeedStream 5660 puede ser configurado como bridge. Un bridge a diferencia de un router no realiza ningún cambio en los paquetes IP ya que actúa en capas más bajas. Dicho de otro modo la única función de un bridge es adaptar lo que le llega por un medio a otro. En este caso lo único que haría seria convertir las tramas ethernet (los paquetes de nuestra red) a el formato ADSL. Es por esto que si sólo va a usarse el ADSL para un ordenador se puede poner el router en modo bridge, traspasando todas las funciones del router al ordenador y asignar la dirección IP que nos proporcionaron a la tarjeta de red. Esto ofrece ventajas de velocidad (disminuye el ping) y hay menos problemas con el software pero también nos hace vulnerables frente a intrusiones ya que disminuye mucho la seguridad. Recomendaciones Siguiendo la famosa regla de: Si funciona no lo toques es muy recomendable apuntar el estado del router antes de hacer cualquier modificación para volver al estado original en caso de ummm... no acertarla. Ante todo mucha calma es una recomendación típica, pero que aquí se aplica con todo su peso. Pensad que siempre hay un porqué y sale a cuenta reflexionar sobre lo que no funciona. Otra recomendación a tener en cuenta es que si el instalador de ADSL lo ha hecho de una determinada forma es por algún motivo de peso y que cambiar radicalmente la configuración puede hacer que nuestro ADSL deje de funcionar, lo bueno es que volviendo a la configuración original debe volver a funcionar. Me refiero a que modificar una configuración no es tan radical como hacer overclocking donde si te pasas y quemas un chip ya no hay vuelta atrás. ¿Que diferencia hay entre un módem (ADSL), un router y un Hub? Al contratar el servicio podemos elegir entre distintos tipos de módems ADSL. Un módem ADSL es el equipo que sirve para modular y demodular la señal y se conecta directamente a la línea ADSL. Un Hub o concentrador sirve para conectar distintos equipos entre sí en la misma red. Un router sirve para conectar dos redes entre sí y generalmente mas de un solo ordenador mediante reglas un poco mas complejas como filtros, o redireccionamientos. El 3Com HomeConnect PCI ADSL Módem o el SpeedStream 3060 son tarjetas módem internas que se instalan en el interior del ordenador. El SpeedStream 5660 es un módem (externo) pero además es también un router, integrados ambos en el mismo aparato. El 3Com OfficeConnect 812 es módem, router y hub de cuatro puertos, lo que permite conectar directamente hasta cuatro ordenadores a la linea y entre si. También es posible que un ordenador haga funciones de router con un software adecuado cuando tiene dos tarjetas de red. Ni el 5660 ni el 812 son "módems externos", en el sentido estricto, sino routers, se conectan al/los ordenadores mediante tarjetas de red Ethernet. ¿Qué hay del programa de Megavía? Es un programa hecho a medida para los técnicos de Telefonica que 3

sirve para configurar el router de manera sencilla a traves del cable de puerto serie. Introduce las configuraciones explicadas a partir de los datos de configuracion que traen anotados en un papel: Yo no recomiendo utilizarlo, dado que a veces falla, estropeando la configuracion actual. Ademas no es necesario en absoluto e introduce determinados filtros. La terminología de los datos que emplea es propia de Telefonica y es la siguiente: IP del usuario equivale a la IP pública. La dirección LAN del ATU−R (nuestro router) se refiere a la IP de LAN del router. La dirección WAN del ATU−R se refiere a la IP de WAN de nuestro router. La direccion remota del SABA se refiere a la direccion de IP del siguiente router al nuestro, o la puerta de enlace de nuestro router (IP WAN remote address) ¿Que son los filtros de Telefónica? Telefónica Data entrega los routers bloqueados con uno o dos filtros cuando vienen configurados en multipuesto, que impiden el acceso a los puertos 23 y 80 del router desde cualquier dirección de internet o incluso desde la red local, y permiten el acceso a estos puertos desde las direcciones de gestión de EDCs que se encuentran en Telefónica. De esta manera nadie mas que Telefónica (en teoría) puede acceder al router y modificar la configuración. Estos filtros suelen llamarse "filtro", que bloquea el acceso desde fuera y "filtro2", que bloquea el acceso desde la red local. No todas las instalaciones tienen puesto el "filtro2". Si bien el "filtro" puede considerarse una medida de seguridad, "filtro2" únicamente limita el acceso al propio usuario. Terra declara que "dichos filtros son para dar mejor servicio a los usuarios, permitiendo a sus técnicos modificar la configuración desde la central cuando sea necesario". No obstante, se debe tener presente que es muy importante cambiar la contraseña si se va a deshabilitar el filtro externo. Esto es lo que introduce el programa de Megavía en la configuración en el router.

3Com−DSL>capture text_file filtro ÿÿÿÿÿÿÿÿ#filter IP: 1 ACCEPT src−addr=193.152.37.192/28; 2 REJECT tcp−dst−port=23; 3 REJECT tcp−dst−port=80; 3Com−DSL>add filter filtro

Es decir, rechazar conexiones al puerto 23 y 80 (CLI y Web) a excepción de las que vengan de 193.152.37.192 y vecinas. Ninguno de los dos filtros es necesario para que funcione el acceso, y únicamente las dos ultimas líneas del "filtro" sirven como medida de seguridad. Telefónica Data rara vez emplea este acceso para reparar nada, sino para delimitar su responsabilidad en el funcionamiento de la línea. Un hacker puede "falsificar" la conexión y explotar la existencia de este filtro. Si el router ha sido adquirido en propiedad, tienen la obligacion de entregarnoslo sin manipular o de facilitarnos los datos de gestion, y nosotros el derecho a conocer su contraseña. Telefonica se niega a facilitar la contraseña de acceso al router, no obstante, mi clave era, "adminttd". ¿Cómo se quitan los filtros de Telefónica? Es importante asegurarse antes de quitar los filtros de que comprendemos como va a afectar esto a la seguridad. En el 3com 812, estos filtros no se muestran desde el 4

interface Web, hay que quitarlos desde el CLI con: 3Com−DSL>list filtres muestra la lista de filtros activa, para ver el contenido de uno de los filtros: 3Com−DSL>show filter filtro Basta hacer: 3Com−DSL>delete filter filtro Para eliminar el filtro (o filtro2) y poder acceder por Web. Es importante asegurase de que solo nosotros conocemos la contraseña del router si vamos a quitar los filtros externos. Una manera de evitar que estos dos puertos, 23 y 80 queden abiertos desde el exterior es redireccionarlos a un ordendador de la LAN mediante un NAPT pasandole la conexión al ordenador. De esta manera no es posible acceder a la configuracion del router desde el exterior. CONFIGURAR EL ROUTER Necesitamos: >> "software configuración de módems Megavía ADSL 1.2" >> Es posible que necesites el fichero MSCOMM32.OCX en el direcorio windows\system si te da un error el programa anterior bajatelo. >> Cable serie, que viene con nuestro router conectado al com 1 o 2 >> Conocer nuestra ip publica, Suponemos que ya tienes el Software de Configuración • Arranca el sofware de configuración

5

2. Entra en modificar clave de acceso, si no la has cambiado nunca mete adminttd y salva la clave. 3. Selecciona Configuración del servicio ADSL

6

Puerto de comunicaciones >> Com 1 o Com 2 (al que hayas conectado el cable serie) Digitos del número de teléfono >> Mínimo: 9 >> Máximo: 9 Circuito ATM de Usuario >> Circuito ATM 8*32 Configuración de la gestión de EDCs: >> Dirección IP: las 3 primeras cifras de la ip publica i en cuanto la ultima la calculamos introduciendo en la calculadora de windows en modo cientifico lo siguiente: "ultima cifra de ip publica" AND "ultima cifra mascara publica" i a esto le sumais 1. Para poner un ejemplo i saber si lo haceis bien probais lo siguiente 82 AND 192 + 1 = 65 >> Mascara de red: igual que la mascara pública

7

Configuración del DNS: >> Dirección IP: Pon la 1a que dejo tu instaldor en la configuración TCP/IP de tu tarjeta de red) En el ejemplo la 1a DNS es 193.66.66.66. SALVAR Y VOLVER EN EL CASO QUE ESTES PARTIENDO DE CERO I DESCONOZCAS ESTE DATO USA 193.152.63.197 4. Click en introducir datos de configuración.

Módem ADSL >> −El que tengas− Tipo de configuración >> Modo Monopuesto, con DHCP y sin NAPT ACEPTAR

8

Teléfono >> −Tu numero?− Modalidad del Servicio: >> −El que tengas, no seas fantasmas!− Configuración del Usuario >> Dirección IP: "IP PUBLICA" si estas conectado via adsl >> Máscara de red: Mascara publica Gestión del Módem >> Dirección IP: La que calculaste anteriormente. >> Máscara de red: Igual que la mascara publica SALVAR Y VOLVER 5. Click a cargar configuración del módem

9

Número de Teléfono: −el que pusiste antes− CONFIGURAR Y VOLVER >> SALIR DEL PROGRAMA DE CONFIG

B) CONFIGURAR LA TARJETA DE RED Muy sencillo: Ponerlo todo automático, es decir obtener dirección ip automaticamente, usar DHCP para resolución de WINS, no poner ninguna puerta de enlace, Desactivar configuración DNS.

10

11

Si se quiere es recomendable introducir las DNS facilitadas por telefonica o otras que vayan mejor en el apartado DNS. REINICIA EL PC Y EL ROUTER! Cuando reinicies veras que si haces winipcfg en ejecutar la tarjeta de red NDIS4.0 tendra como ip la ip publica y como gateway la de gestión. Si quieres acceder a la config del router por web, ahora has de poner la ip de gestión. 13

12

Get in touch

Social

© Copyright 2013 - 2024 MYDOKUMENT.COM - All rights reserved.