Reenvío de puertos

Función de red informática

Reenvío de puertos a través de enrutador NAT

En redes informáticas , el reenvío o mapeo de puertos es una aplicación de la traducción de direcciones de red (NAT) que redirige una solicitud de comunicación de una combinación de dirección y número de puerto a otra mientras los paquetes atraviesan una puerta de enlace de red, como un enrutador o un cortafuegos . Esta técnica se utiliza con mayor frecuencia para hacer que los servicios de un host que reside en una red protegida o enmascarada (interna) estén disponibles para los hosts en el lado opuesto de la puerta de enlace (red externa), reasignando la dirección IP de destino y el número de puerto de la comunicación a un host interno. ^{[1] [2]}

Objetivo

El reenvío de puertos facilita la conexión de computadoras remotas, por ejemplo, hosts de Internet , a una computadora o servicio específico dentro de una red de área local (LAN). ^[3]

En una red residencial típica, los nodos obtienen acceso a Internet a través de un módem DSL o de cable conectado a un enrutador o traductor de direcciones de red (NAT/NAPT). Los hosts de la red privada están conectados a un conmutador Ethernet o se comunican a través de una LAN inalámbrica . La interfaz externa del dispositivo NAT está configurada con una dirección IP pública. Por otro lado, las computadoras detrás del enrutador son invisibles para los hosts en Internet, ya que cada uno se comunica solo con una dirección IP privada.

Al configurar el reenvío de puertos, el administrador de red reserva un número de puerto en la puerta de enlace para uso exclusivo de comunicación con un servicio en la red privada, ubicado en un host específico. Los hosts externos deben conocer este número de puerto y la dirección de la puerta de enlace para comunicarse con el servicio interno de la red. A menudo, los números de puerto de servicios de Internet conocidos, como el puerto número 80 para servicios web (HTTP), se utilizan en el reenvío de puertos, de modo que se puedan implementar servicios de Internet comunes en hosts dentro de redes privadas.

Las aplicaciones típicas incluyen las siguientes:

• Ejecución de un servidor HTTP público dentro de una LAN privada
• Permitir el acceso de Secure Shell a un host en la LAN privada desde Internet
• Permitir el acceso FTP a un host en una LAN privada desde Internet
• Ejecutar un servidor de juegos disponible públicamente dentro de una LAN privada

Los administradores configuran el reenvío de puertos en el sistema operativo de la puerta de enlace. En los núcleos Linux , esto se logra mediante reglas de filtrado de paquetes en los componentes del núcleo iptables o netfilter . Los sistemas operativos BSD y macOS anteriores a Yosemite (OS 10.10.X) lo implementan en el módulo Ipfirewall (ipfw), mientras que los sistemas operativos macOS a partir de Yosemite lo implementan en el módulo Packet Filter (pf).

Cuando se utiliza en dispositivos de puerta de enlace, se puede implementar un reenvío de puerto con una sola regla para traducir la dirección y el puerto de destino. (En los núcleos de Linux , esta es la regla DNAT). La dirección y el puerto de origen, en este caso, no se modifican. Cuando se utiliza en máquinas que no son la puerta de enlace predeterminada de la red, la dirección de origen debe cambiarse para que sea la dirección de la máquina traductora, o los paquetes pasarán por alto el traductor y la conexión fallará.

Cuando un proceso proxy implementa un reenvío de puerto (como en los firewalls de capa de aplicación, firewalls basados ​​en SOCKS o mediante servidores proxy de circuito TCP), en realidad no se traducen paquetes, solo se transfieren datos. Esto generalmente da como resultado que la dirección de origen (y el número de puerto) se cambien a los de la máquina proxy.

Generalmente, solo uno de los hosts privados puede usar un puerto reenviado específico a la vez, pero a veces es posible configurarlo para diferenciar el acceso según la dirección de origen del host de origen.

Los sistemas operativos tipo Unix a veces utilizan el reenvío de puertos, donde los números de puerto menores a 1024 solo pueden ser creados por software que se ejecuta como usuario root. Ejecutar con privilegios de superusuario (para vincular el puerto) puede ser un riesgo de seguridad para el host, por lo tanto, el reenvío de puertos se utiliza para redirigir un puerto de número bajo a otro puerto de número alto, de modo que el software de aplicación pueda ejecutarse como un usuario común del sistema operativo con privilegios reducidos.

El protocolo Universal Plug and Play (UPnP) proporciona una función para instalar automáticamente instancias de reenvío de puertos en puertas de enlace de Internet residenciales. UPnP define el Protocolo de dispositivo de puerta de enlace de Internet (IGD), que es un servicio de red mediante el cual una puerta de enlace de Internet anuncia su presencia en una red privada a través del Protocolo simple de descubrimiento de servicios (SSDP). Una aplicación que proporciona un servicio basado en Internet puede descubrir dichas puertas de enlace y utilizar el protocolo UPnP IGD para reservar un número de puerto en la puerta de enlace y hacer que esta reenvíe paquetes a su socket de escucha .

Tipos

El reenvío de puertos se puede distinguir por los siguientes tipos específicos: reenvío de puertos local, remoto y dinámico. ^[4]

Reenvío de puerto local

El reenvío de puertos locales es el tipo más común de reenvío de puertos. Se utiliza para permitir que un usuario se conecte desde el equipo local a otro servidor, es decir, para reenviar datos de forma segura desde otra aplicación cliente que se ejecuta en el mismo equipo que un cliente Secure Shell (SSH). Al utilizar el reenvío de puertos locales, se pueden eludir los cortafuegos que bloquean determinadas páginas web. ^[5]

Las conexiones desde un cliente SSH se reenvían, a través de un servidor SSH, al servidor de destino previsto. El servidor SSH está configurado para redirigir datos desde un puerto específico (que es local para el host que ejecuta el cliente SSH) a través de un túnel seguro a un host y puerto de destino específicos. El puerto local está en la misma computadora que el cliente SSH, y este puerto es el "puerto reenviado". En la misma computadora, cualquier cliente que desee conectarse al mismo host y puerto de destino puede configurarse para conectarse al puerto reenviado (en lugar de hacerlo directamente al host y puerto de destino). Una vez establecida esta conexión, el cliente SSH escucha en el puerto reenviado y dirige todos los datos enviados por las aplicaciones a ese puerto, a través de un túnel seguro al servidor SSH. El servidor descifra los datos y luego los redirecciona al host y puerto de destino. ^[6]

Algunos usos del reenvío de puertos locales:

• Uso del reenvío de puerto local para recibir correo ^[7]
• Conéctese desde una computadora portátil a un sitio web mediante un túnel SSH.

Reenvío de puerto remoto

Esta forma de reenvío de puertos permite que las aplicaciones del lado del servidor de una conexión Secure Shell (SSH) accedan a servicios que residen en el lado del cliente de SSH. ^[8] Además de SSH, existen esquemas de tunelización propietarios que utilizan el reenvío de puertos remotos para el mismo propósito general. ^[9] En otras palabras, el reenvío de puertos remotos permite a los usuarios conectarse desde el lado del servidor de un túnel, SSH u otro, a un servicio de red remoto ubicado en el lado del cliente del túnel.

Para utilizar el reenvío de puertos remotos, se deben conocer la dirección del servidor de destino (en el lado del cliente del túnel) y dos números de puerto. Los números de puerto elegidos dependen de la aplicación que se vaya a utilizar.

El reenvío de puertos remotos permite que otras computadoras accedan a aplicaciones alojadas en servidores remotos. Dos ejemplos:

• Un empleado de una empresa aloja un servidor FTP en su propia casa y desea dar acceso al servicio FTP a los empleados que utilicen ordenadores en el lugar de trabajo. Para ello, un empleado puede configurar el reenvío de puertos remotos a través de SSH en los ordenadores internos de la empresa incluyendo la dirección de su servidor FTP y utilizando los números de puerto correctos para FTP (el puerto FTP estándar es TCP/21) ^[10]
• La apertura de sesiones de escritorio remoto es un uso común del reenvío de puertos remotos. A través de SSH, esto se puede lograr abriendo el puerto de computación de red virtual (5900) e incluyendo la dirección de la computadora de destino. ^[6]

Reenvío de puerto inverso

Otro nombre: túnel SSH inverso. En términos simples, cuando su computadora portátil se conecta a una máquina remota de tal manera que las llamadas entrantes a la IP de esa máquina remota se transfieren a su computadora portátil y responden. ^[11]

Reenvío de puertos dinámico

El reenvío dinámico de puertos (DPF) es un método a pedido para atravesar un cortafuegos o NAT mediante el uso de agujeros de seguridad en el cortafuegos. El objetivo es permitir que los clientes se conecten de forma segura a un servidor de confianza que actúa como intermediario con el fin de enviar o recibir datos a uno o varios servidores de destino. ^[12]

El DPF se puede implementar configurando una aplicación local, como SSH, como un servidor proxy SOCKS, que se puede utilizar para procesar transmisiones de datos a través de la red o de Internet. Los programas, como los navegadores web, deben configurarse individualmente para dirigir el tráfico a través del proxy, que actúa como un túnel seguro hacia otro servidor. Una vez que el proxy ya no es necesario, los programas deben reconfigurarse a sus configuraciones originales. Debido a los requisitos manuales del DPF, no se utiliza con frecuencia. ^[6]

Una vez establecida la conexión, se puede utilizar DPF para proporcionar seguridad adicional a un usuario conectado a una red no confiable. Dado que los datos deben pasar por el túnel seguro a otro servidor antes de ser reenviados a su destino original, el usuario está protegido contra el rastreo de paquetes que puede ocurrir en la LAN. ^[13]

El DPF es una herramienta poderosa con muchos usos; por ejemplo, un usuario conectado a Internet a través de una cafetería, un hotel o cualquier otra red mínimamente segura puede querer utilizar el DPF como una forma de proteger los datos. El DPF también se puede utilizar para eludir los cortafuegos que restringen el acceso a sitios web externos, como en las redes corporativas.

Véase también

• Protocolo de control de puerto (PCP)
• Protocolo de mapeo de puertos NAT (NAT-PMP)
• Agujero de alfiler del cortafuegos
• Travesía NAT
• Reenvío de paquetes
• Traducción de direcciones de puerto (PAT)
• Activación de puerto
• Dirección auxiliar UDP

Referencias

1. "Definición de: reenvío de puertos". PC Magazine . Archivado desde el original el 2012-06-03 . Consultado el 2008-10-11 .
2. Rory Krause. "Uso de reenvío de puerto ssh para imprimir en ubicaciones remotas". Linux Journal . Consultado el 11 de octubre de 2008 .
3. Jeff "Crash" Goldin. "Cómo configurar un servidor web doméstico". Red Hat . Archivado desde el original el 4 de octubre de 2008. Consultado el 11 de octubre de 2008 .
4. Reenvío de puertos OpenSSH
5. "Reenvío de puertos locales y remotos y Reflection for Secure IT Client 7.1 o superior - Nota técnica 2433". Support.attachmate.com. 2012-11-09 . Consultado el 2014-01-30 .
6. "SSH/OpenSSH/PortForwarding - Documentación comunitaria de Ubuntu". Help.ubuntu.com. 13 de diciembre de 2013. Consultado el 30 de enero de 2014 .
7. "Ejemplo: uso de reenvío de puerto local para recibir correo (Guía de administración del sistema: Servicios de seguridad)". Docs.oracle.com . Consultado el 30 de enero de 2014 .
8. "Túnel con Secure Shell - Apéndice A: Reenvío de puertos remotos". Vandyke.com. 2005-06-12 . Consultado el 2014-01-30 .
9. "Reenvío de puertos local versus remoto". NetworkActiv . Archivado desde el original el 4 de noviembre de 2016 . Consultado el 8 de junio de 2014 .
10. "Número de puerto FTP 21 - Puerto 21 TCP". Compnetworking.about.com. 19 de diciembre de 2013. Archivado desde el original el 3 de febrero de 2014. Consultado el 30 de enero de 2014 .
11. "Túnel SSH inverso: de principio a fin". JFrog . 2021-08-15 . Consultado el 2024-10-15 .
12. "Mecanismo DPF". Pages.cs.wisc.edu . Consultado el 30 de enero de 2014 .
13. "Reenvío dinámico de puertos SSH (vídeos tutoriales de InfoSec de la serie Hacking Illustrated)". Irongeek.com . Consultado el 30 de enero de 2014 .

Enlaces externos

• Alan Stafford. "Acceso web a la velocidad de la luz: compartiendo el ancho de banda". PC World . Archivado desde el original el 18 de marzo de 2008. Consultado el 11 de octubre de 2008 .
• Uso de UPnP para reenvíos de puertos programáticos y NAT Traversal: software gratuito que utiliza UPnP y el Protocolo de dispositivo de puerta de enlace de Internet (IGD) para automatizar el reenvío de puertos
• Código fuente de reenvío TCP en C#: Código fuente en C# explicando el reenvío TCP/PoC.
• Open.NAT: biblioteca de clases .NET liviana y fácil de usar que permite el reenvío de puertos en dispositivos NAT que admiten UPNP y PMP.
• Herramienta de prueba de reenvío de puertos Port Checker