Reenvío de puertos

format_list_bulleted Contenido keyboard_arrow_down
ImprimirCitar
Reenvío de puertos a través del router NAT

En redes de computadoras, el reenvío de puertos o mapeo de puertos es una aplicación de traducción de direcciones de red (NAT) que redirige una solicitud de comunicación de una combinación de dirección y número de puerto a otra. mientras los paquetes atraviesan una puerta de enlace de red, como un enrutador o un firewall. Esta técnica se utiliza más comúnmente para hacer que los servicios en un host que reside en una red (interna) protegida o enmascarada estén disponibles para los hosts en el lado opuesto de la puerta de enlace (red externa), reasignando la dirección IP de destino y el número de puerto de la comunicación a un anfitrión interno.

Propósito

El reenvío de puertos facilita la conexión de computadoras remotas, por ejemplo, hosts de Internet, a una computadora o servicio específico dentro de una red de área local (LAN).

En una red residencial típica, los nodos obtienen acceso a Internet a través de un módem DSL o de cable conectado a un enrutador o traductor de direcciones de red (NAT/NAPT). Los hosts de la red privada están conectados a un conmutador Ethernet o se comunican a través de una LAN inalámbrica. La interfaz externa del dispositivo NAT está configurada con una dirección IP pública. Las computadoras detrás del enrutador, por otro lado, son invisibles para los hosts en Internet, ya que cada una se comunica solo con una dirección IP privada.

Al configurar el reenvío de puertos, el administrador de la red reserva un número de puerto en la puerta de enlace para el uso exclusivo de la comunicación con un servicio en la red privada, ubicado en un host específico. Los hosts externos deben conocer este número de puerto y la dirección de la puerta de enlace para comunicarse con el servicio interno de la red. A menudo, los números de puerto de servicios de Internet conocidos, como el número de puerto 80 para servicios web (HTTP), se utilizan en el reenvío de puertos, de modo que se puedan implementar servicios de Internet comunes en hosts dentro de redes privadas.

Las aplicaciones típicas incluyen las siguientes:

  • Ejecutando un servidor HTTP público dentro de una LAN privada
  • Permiso seguro Shell access to a host on the private LAN from the Internet
  • Permitir acceso FTP a un host en una LAN privada desde Internet
  • Ejecutando un servidor de juego disponible públicamente dentro de una LAN privada

Los administradores configuran el reenvío de puertos en el sistema operativo de la puerta de enlace. En los kernels de Linux, esto se logra mediante reglas de filtrado de paquetes en los componentes del kernel iptables o netfilter. Los sistemas operativos BSD y macOS anteriores a Yosemite (OS 10.10.X) lo implementan en el módulo Ipfirewall (ipfw), mientras que los sistemas operativos macOS que comienzan con Yosemite lo implementan en el módulo Packet Filter (pf).

Cuando se utiliza en dispositivos de puerta de enlace, se puede implementar un reenvío de puerto con una sola regla para traducir la dirección y el puerto de destino. (En los kernels de Linux, esta es la regla DNAT). En este caso, la dirección y el puerto de origen no se modifican. Cuando se utiliza en máquinas que no son la puerta de enlace predeterminada de la red, la dirección de origen debe cambiarse para que sea la dirección de la máquina traductora, o los paquetes pasarán por alto al traductor y la conexión fallará.

Cuando un proceso de proxy implementa un reenvío de puerto (como en firewalls de capa de aplicación, firewalls basados en SOCKS o mediante servidores proxy de circuito TCP), en realidad no se traducen paquetes, solo se envían datos. Esto generalmente resulta en que la dirección de origen (y el número de puerto) se cambien a la de la máquina proxy.

Por lo general, solo uno de los hosts privados puede usar un puerto reenviado específico a la vez, pero a veces es posible realizar una configuración para diferenciar el acceso según la dirección de origen del host de origen.

Los sistemas operativos tipo Unix a veces utilizan el reenvío de puertos, donde los números de puerto inferiores a 1024 solo pueden crearse mediante software que se ejecuta como usuario root. Ejecutar con privilegios de superusuario (para vincular el puerto) puede ser un riesgo de seguridad para el host; por lo tanto, el reenvío de puertos se utiliza para redirigir un puerto con un número bajo a otro puerto con un número alto, de modo que el software de la aplicación pueda ejecutarse como un sistema operativo común. usuario del sistema con privilegios reducidos.

El protocolo Universal Plug and Play (UPnP) proporciona una función para instalar automáticamente instancias de reenvío de puertos en puertas de enlace de Internet residenciales. UPnP define el Protocolo de dispositivo de puerta de enlace de Internet (IGD), que es un servicio de red mediante el cual una puerta de enlace de Internet anuncia su presencia en una red privada a través del Protocolo simple de descubrimiento de servicios (SSDP). Una aplicación que proporciona un servicio basado en Internet puede descubrir dichas puertas de enlace y utilizar el protocolo UPnP IGD para reservar un número de puerto en la puerta de enlace y hacer que la puerta de enlace reenvíe paquetes a su conector de escucha.

Tipos

El reenvío de puertos se puede distinguir por los siguientes tipos específicos: reenvío de puertos local, remoto y dinámico.

Reenvío de puerto local

El reenvío de puertos local es el tipo más común de reenvío de puertos. Se utiliza para permitir que un usuario se conecte desde la computadora local a otro servidor, es decir, reenviar datos de forma segura desde otra aplicación cliente que se ejecuta en la misma computadora que un cliente Secure Shell (SSH). Al utilizar el reenvío de puertos local, se pueden evitar los cortafuegos que bloquean determinadas páginas web.

Las conexiones de un cliente SSH se reenvían, a través de un servidor SSH, al servidor de destino previsto. El servidor SSH está configurado para redirigir datos desde un puerto específico (que es local para el host que ejecuta el cliente SSH) a través de un túnel seguro a algún host y puerto de destino especificado. El puerto local está en la misma computadora que el cliente SSH y este puerto es el "puerto reenviado". En la misma computadora, cualquier cliente que quiera conectarse al mismo host y puerto de destino se puede configurar para conectarse al puerto reenviado (en lugar de directamente al host y puerto de destino). Una vez establecida esta conexión, el cliente SSH escucha en el puerto reenviado y dirige todos los datos enviados por las aplicaciones a ese puerto, a través de un túnel seguro hasta el servidor SSH. El servidor descifra los datos y luego los redirige al host y al puerto de destino.

Algunos usos del reenvío de puertos locales:

  • Utilizando el reenvío del puerto local para recibir correo
  • Conéctese de un portátil a un sitio web utilizando un túnel SSH.

Reenvío de puerto remoto

Esta forma de reenvío de puertos permite que las aplicaciones en el lado del servidor de una conexión Secure Shell (SSH) accedan a los servicios que residen en el lado del cliente SSH. Además de SSH, existen esquemas de túneles propietarios que utilizan el reenvío de puertos remotos para el mismo propósito general. En otras palabras, el reenvío de puertos remoto permite a los usuarios conectarse desde el lado del servidor de un túnel, SSH u otro, a un servicio de red remoto ubicado en el lado del cliente del túnel.

Para utilizar el reenvío de puertos remoto, se deben conocer la dirección del servidor de destino (en el lado del cliente del túnel) y dos números de puerto. Los números de puerto elegidos dependen de la aplicación que se vaya a utilizar.

El reenvío de puertos remoto permite que otras computadoras accedan a aplicaciones alojadas en servidores remotos. Dos ejemplos:

  • Un empleado de una empresa alberga un servidor FTP en su propia casa y quiere dar acceso al servicio FTP a los empleados que usan computadoras en el lugar de trabajo. Para ello, un empleado puede configurar el reenvío remoto a través de SSH en las computadoras internas de la empresa, incluyendo la dirección de su servidor FTP y utilizando los números de puerto correctos para FTP (el puerto estándar FTP es TCP/21)
  • Abrir sesiones de escritorio remoto es un uso común de la reenvío de puertos remotos. A través de SSH, esto se puede lograr abriendo el puerto de computación de red virtual (5900) e incluyendo la dirección del ordenador de destino.

Reenvío de puertos dinámico

El reenvío dinámico de puertos (DPF) es un método bajo demanda para atravesar un firewall o NAT mediante el uso de orificios de firewall. El objetivo es permitir que los clientes se conecten de forma segura a un servidor confiable que actúa como intermediario con el fin de enviar/recibir datos a uno o varios servidores de destino.

DPF se puede implementar configurando una aplicación local, como SSH, como servidor proxy SOCKS, que se puede utilizar para procesar transmisiones de datos a través de la red o de Internet. Los programas, como los navegadores web, deben configurarse individualmente para dirigir el tráfico a través del proxy, que actúa como un túnel seguro hacia otro servidor. Una vez que ya no se necesita el proxy, los programas deben reconfigurarse a sus configuraciones originales. Debido a los requisitos manuales del DPF, no se utiliza con frecuencia.

Una vez establecida la conexión, DPF se puede utilizar para proporcionar seguridad adicional a un usuario conectado a una red que no es de confianza. Dado que los datos deben pasar a través del túnel seguro a otro servidor antes de ser reenviados a su destino original, el usuario está protegido contra el rastreo de paquetes que pueda ocurrir en la LAN.

DPF es una herramienta poderosa con muchos usos; por ejemplo, un usuario conectado a Internet a través de una cafetería, un hotel o una red mínimamente segura puede desear utilizar DPF como forma de proteger sus datos. DPF también se puede utilizar para evitar firewalls que restringen el acceso a sitios web externos, como en redes corporativas.

Contenido relacionado

Historia de la cámara

La historia de la cámara comenzó incluso antes de la introducción de la fotografía. Las cámaras evolucionaron desde la cámara oscura a través de muchas...

Tubo de vacío

Un tubo de vacío, tubo de electrones o válvula termoiónica, es un dispositivo que controla el flujo de corriente eléctrica en un alto vacío entre...

Señales de humo

La señal de humo es una de las formas más antiguas de comunicación a larga distancia. Es una forma de comunicación visual utilizada a larga distancia. En...
Más resultados...
Tamaño del texto:
undoredo
format_boldformat_italicformat_underlinedstrikethrough_ssuperscriptsubscriptlink
save