20
febrero
2020

Seguridad en los Routers

Seguridad en los Routers

Seguridad en los Routers

Un router o enrutador es un equipamiento de red que se encarga de llevar por la mejor ruta, el tráfico de paquetes de datos entre dos dispositivos que pertenecen, fundamentalmente, a redes distintas.

La actividad básica de un router, que opera sobre la Capa 3 (de Red) del Modelo OSI, consiste en procesar la información de origen y destino de los paquetes de datos que maneja, y en función de la misma, enviarlos al próximo enrutador o directamente al dispositivo final, si fuese el caso.

Cada enrutador se encarga de decidir el siguiente salto del paquete de datos, mediante el uso de algoritmos capaces de determinar la mejor ruta que deben seguir, a medida que fluyen de un emisor a un receptor.

Una comparación clásica muy general, entre los dispositivos de interconexión de red más empleados: hub, switch y router, podría resumirse en que los primeros envían los paquetes de datos a todos los dispositivos conectados, los segundos, solo lo hacen al dispositivo destino, mientras que los terceros permiten enviarlos fuera de la red local.

Aunque el funcionamiento de los routers es muy similar a los switches Capa 3, pues ambos permiten el enrutamiento de paquetes, la diferencia fundamental radica en que, de forma general, los switches Capa 3 sirven de enlace entre varias redes LAN (locales), mientras que los routers enlazan redes LAN con WAN (Internet).

Por otro lado, un router típico en la actualidad, además de asumir las funciones de un switch, incluye, entre otras, un traductor de direcciones de red (NAT), un servidor dinámico de direcciones de red (DHCP), y un mecanismo de seguridad basado en hardware (firewall) para proteger la red LAN interna de cualquier intervención maliciosa desde Internet.

Componentes de un Router

Un router está integrado de forma general, por componentes internos y externos. Entre los componentes internos básicos se encuentran:

  • CPU: es el procesador central, que realiza la ejecución de instrucciones para el funcionamiento del dispositivo.
  • Fuente de alimentación: es la conexión a la fuente de energía eléctrica, necesaria para su funcionamiento.
  • Memoria ROM: guarda los códigos de diagnóstico de manera permanente, así como las instrucciones de arranque del router.
  • Memoria RAM: es el centro de intercambio de los datos que se procesan durante el funcionamiento.
  • Memoria FLASH: es el lugar donde se almacena el sistema operativo del router.

De los componentes externos más destacados se encuentran:

  • Conector WAN: es el acceso a la red de área amplia, entiéndase Internet. Suele tratarse generalmente, de un acceso a la red telefónica, o una conexión de fibra óptica, entre otros.
  • Conector LAN: son los conectores para las conexiones físicas de red, y por lo general, suelen ser dos o más.
  • Antena WiFi: las antenas permiten la conexión inalámbrica de distintos dispositivos.
  • Indicadores LED: sirven para mostrar el estado del router (encendido, apagado, conexión activa, ente otros).

Enrutamiento y Tabla de Ruteo

El enrutamiento es una característica clave de los routers, porque permite que los paquetes de datos viajen de un dispositivo a otro hasta llegar a su destino. Cada dispositivo intermedio realiza el encaminamiento pasando el paquete al siguiente, y en cada caso, implica determinar la mejor ruta.

La decisión de un router para el reenvío de los paquetes de datos, parte del análisis de su Tabla de Ruteo (de Encaminamiento o Enrutamiento), en este sentido, toma en consideración el destinatario de los paquetes: a él mismo, a un dispositivo local (en su misma red), o a uno remoto (localizado fuera de su red).

Una Tabla de Ruteo es un archivo de datos que se utiliza para almacenar información de las rutas sobre redes remotas y/o conectadas directamente; en otras palabras, contiene asociaciones de redes o del siguiente salto.

Los routers proporcionan información adicional de la ruta, como la forma en que se descubrió, el tiempo que lleva en la tabla, y qué interfaz específica se debe utilizar para llegar a un destino predefinido.

Para determinar la mejor ruta, el router busca en su tabla de ruteo una dirección de red que coincida con la IP de destino del paquete de datos. En este sentido, es posible encontrar las siguientes determinaciones:

  • Red conectada directamente: si la dirección IP de destino del paquete, pertenece a un dispositivo de una red que está conectada directamente a una de las interfaces físicas de red del router, ese paquete se reenvía directamente al dispositivo de destino.
  • Red remota: si la dirección IP de destino del paquete pertenece a una red remota, el paquete se reenvía a otro router. Sólo se pueden alcanzar las redes remotas mediante el reenvío de paquetes hacia otra red.
  • Ninguna ruta determinada: si la dirección IP de destino del paquete no pertenece a una red conectada ni remota, el router determina si se dispone de un gateway de último recurso (también conocido como predeterminado). Si existe una ruta predeterminada, el paquete se reenvía, en caso contrario se descarta.

Mejor Camino o Ruta

La determinación del mejor camino para enviar los paquetes de datos, es una decisión que toma el router, en función de la evaluación de varias rutas identificadas hacia la misma red de destino. Es oportuno agregar que cuando esto ocurre, cada ruta utiliza una interfaz física de salida diferente en el router para llegar al dispositivo objetivo.

El mejor camino es elegido en función del valor o la métrica que se emplee para determinar la distancia hacia la red de destino. Una métrica constituye un valor cuantitativo, que se utiliza para medir la distancia que existe entre el router y la red objetivo, por lo tanto, el mejor camino será la ruta con la métrica más baja.

Algunas métricas tomadas en cuenta para elegir la mejor ruta, consisten en totalizar la cantidad de saltos hasta la red de destino, el ancho de banda consumido, el retraso en la entrega de los paquetes de datos, o la confiabilidad, entre otros.

Enrutamiento: Estático y/o Dinámico

Con el objetivo de construir la Tabla de Ruteo de un router, las rutas pueden implementarse de manera estática o dinámica.

Las rutas estáticas se configuran de forma manual por el administrador de red, y definen un camino explícito entre dos dispositivos. Son fáciles de implementar en redes pequeñas, y permanecen por lo general sin alteraciones. Consumen menos ancho de banda, pues el router no utiliza ningún ciclo de procesamiento para calcular y comunicar las rutas, lo que eleva la eficiencia de los recursos de la red.

Sin embargo, no se actualizan automáticamente, y se deben reconfigurar de forma manual si se modifica la topología de la red, o se incrementa el tamaño de la misma, constituyendo esto su principal desventaja.

Por otro lado, los routers pueden emplean además enrutamiento dinámico, para compartir información sobre el estado y la posibilidad de conexión de redes remotas, y de esta forma construir su tabla de enrutamiento de manera automática.

El enrutamiento dinámico se desempeña bien en cualquier tipo de red conformada por varios routers. Son escalables y determinan automáticamente las mejores rutas si se produce un cambio en la topología. Es más adecuado para redes grandes, y requieren de mayor consumo de recursos para su funcionamiento.

En lugar de depender de las rutas estáticas configuradas manualmente hacia redes remotas en cada router, el enrutamiento dinámico permite descubrir nuevas redes de forma automática a través de otros routers. Estas redes y la mejor ruta hacia cada una, se agregan a la tabla de ruteo, y se identifican como redes descubiertas dinámicamente.

Seguridad en Routers

En una red, de forma general, los routers constituyen el punto de conexión entre los diferentes dispositivos internos (LAN) y el resto del mundo digital (Internet), por lo que deben configurarse adecuadamente para maximizar la seguridad, y poder frenar o superar cualquier ataque que pueda realizarse a través de la red.

Es posible señalar algunas tareas básicas para mejorar la seguridad de un router:

  • Actualizar el firmware: El router tiene un conjunto de instrucciones de funcionamiento y configuración almacenadas en su memoria interna (firmware). Las actualizaciones del firmware son bastante estables y por ello poco frecuentes, sin embargo, es conveniente realizarlas (si estuviesen disponibles por el fabricante del modelo), para evitar vulnerabilidades descubiertas en el tiempo.
  • Cambiar el inicio de sesión predeterminado: El acceso más sencillo al router es a través de una interfaz web mediante su dirección IP de acceso (normalmente 192.168.0.1, 192.168.1.1 o similar). Por lo general, casi todos los routers de la misma marca o modelo tienen un nombre de usuario/contraseña predeterminado, para facilitar el acceso inicial. Esta información es de conocimiento público, y suele ser tan simple como: “admin/admin”. Es por ello que se hace necesario cambiar al menos la contraseña a la mayor brevedad, para impedir accesos no autorizados al router y con ello el control de toda la red.
  • Establecer una contraseña Wi-Fi segura: Al igual que la contraseña de acceso al router, es fundamental establecer o cambiar la contraseña que viene por defecto para el acceso a la red inalámbrica Wi-Fi de la mayoría de los routers domésticos actuales. Es necesario establecer el cifrado WPA2 para la conexión inalámbrica, con contraseñas lo más robustas posibles.
  • Cambiar el SSID u ocultarlo: El Service Set IDentifier (SSID) es un nombre incluido en todos los paquetes de una red inalámbrica. Compuesto por caracteres alfanuméricos, el nombre incluido por defecto, generalmente delata el modelo y fabricante del router, algo que no se recomienda revelar, más aún si no se ha cambiado el acceso predeterminado. Además de cambiar su nombre, otra opción consiste en ocultarlo, para evitar que se muestre a otros dispositivos como una red inalámbrica.
  • Desactivar el acceso remoto al router: En la mayoría de las ocasiones, no es necesario acceder remotamente (desde Internet, por ejemplo) al router. Esto puede convertirse en un grave problema de seguridad, aprovechado por terceros mal intencionados. Se recomienda desactivar esta funcionalidad.
  • Gestionar las direcciones MAC: Cada dispositivo que puede conectarse a una red se le asigna su propio identificador único en la forma de una dirección MAC. Esta identificación de fabricación no puede ser cambiada y facilita, por tanto, el control exacto de los dispositivos que pueden (o no) acceder a una red. La mayoría de los router ofrecen una función de filtrado de direcciones MAC, y es posible bloquear dispositivos específicos, o crear una lista con solo aquellos a los que se les permite conectarse.

De forma general, con simples ajustes bien configurados, es posible mejorar notablemente la seguridad de los routers, y fortalecer la barrera para el intercambio de información entre los dispositivos internos de una LAN, y el mundo exterior de Internet.