NAT (Network Address Translation - Traducción de Dirección de Red) es un mecanismo utilizado por enrutadores IP para intercambiar paquetes entre dos redes que se asignan mutuamentedirecciones incompatibles. Consiste en convertir en tiempo real las direcciones utilizadas en los paquetes transportados. También es necesario editar los paquetes para permitir la operación deprotocolos que incluyen información de direcciones dentro de la conversación del protocolo.

Su uso más común es permitir utilizar direcciones privadas (definidas en el RFC 1918) para acceder a Internet. Existen rangos de direcciones privadas que pueden usarse libremente y en la cantidad que se quiera dentro de una red privada. Si el número de direcciones privadas es muy grande puede usarse solo una parte de direcciones públicas para salir a Internet desde la red privada. De esta manera simultáneamente sólo pueden salir a Internet con una dirección IP tantos equipos como direcciones públicas se hayan contratado. Esto es necesario debido al progresivo agotamiento de las direcciones IPv4. Se espera que con el advenimiento de IPv6 no sea necesario continuar con esta práctica.

Funcionamiento

El protocolo TCP/IP tiene la capacidad de generar varias conexiones simultáneas con un dispositivo remoto. Para realizar esto, dentro de la cabecera de un paquete IP, existen campos en los que se indica la dirección origen y destino. Esta combinación de números define una única conexión.

Una pasarela NAT cambia la dirección origen en cada paquete de salida y, dependiendo del método, también el puerto origen para que sea único. Estas traducciones de

dirección se almacenan en una tabla, para recordar qué dirección y puerto le corresponde a cada dispositivo cliente y así saber donde deben regresar los paquetes de respuesta. Si un paquete que intenta ingresar a la red interna no existe en la tabla de en un determinado puerto y dirección se pueda acceder a un determinado dispositivo, como por ejemplo un servidor web, lo que se denomina NAT inverso o DNAT (Destination NAT).

NAT tiene muchas formas de funcionamiento, entre las que destacan:

Estática

Es un tipo de NAT en el que una dirección IP privada se traduce a una dirección IP pública, y donde esa dirección pública es siempre la misma. Esto le permite a un host, como un servidor Web, el tener una dirección IP de red privada pero aun así ser visible en Internet..

Dinámica

Es un tipo de NAT en la que una dirección IP privada se mapea a una IP pública basándose en una tabla de direcciones de IP registradas (públicas). Normalmente, el router NAT en una red mantendrá una tabla de direcciones IP registradas, y cuando una IP privada requiera acceso a Internet, el router elegirá una dirección IP de la tabla que no esté siendo usada por otra IP privada. Esto permite aumentar la seguridad de una red dado que enmascara la configuración interna de una red privada, lo que dificulta a los hosts externos de la red el poder ingresar a ésta. Para este método se requiere que todos los hosts de la red privada que deseen conectarse a la red pública posean al menos una IP pública asociadas.

Sobrecarga

La más utilizada es la NAT dinámica, conocida también como PAT (Port Address Translation - Traducción de

Direcciones por Puerto), NAT de única dirección o NAT multiplexado a nivel de puerto.

Solapamiento

Cuando las direcciones IP utilizadas en la red privada son direcciones IP públicas en uso en otra red, el ruteador posee una tabla de traducciones en donde se especifica el reemplazo de éstas con una única dirección IP pública. Así se evitan los conflictos de direcciones entre las distintas redes.

Caché web

Se llama caché web a la caché que almacena documentos web (es decir, páginas, imágenes, etcétera) para reducir el ancho de banda consumido, la carga de los servidores y el retardo en la descarga. Un caché web almacena copias de los documentos que pasan por él, de forma que subsiguientes peticiones pueden ser respondidas por el propio caché, si se cumplen ciertas condiciones.

Cortafuegos (informática)

Un cortafuego (firewall en inglés) es una parte de un sistema o una red que está diseñada para bloquear el acceso no autorizado, permitiendo al mismo tiempo comunicaciones autorizadas. Se trata de un dispositivo o conjunto de dispositivos configurados para permitir, limitar, cifrar, descifrar, el tráfico entre los diferentes ámbitos sobre la base de un conjunto de normas y otros criterios.

Los cortafuegos pueden ser implementados en hardware o software, o una combinación de ambos. Los cortafuegos se utilizan con frecuencia para evitar que los usuarios de Internet no autorizados tengan acceso a redes privadas conectadas a

Internet, especialmente intranets. Todos los mensajes que entren o salgan de la intranet pasan a través del cortafuegos, que examina cada mensaje y bloquea aquellos que no cumplen los criterios de seguridad especificados. También es frecuente conectar al cortafuegos a una tercera red, llamada Zona desmilitarizada o DMZ, en la que se ubican los servidores de la organización que deben permanecer accesibles desde la red exterior. Un cortafuegos correctamente configurado añade una protección necesaria a la red, pero que en ningún caso debe considerarse suficiente. La seguridad informática abarca más ámbitos y más niveles de trabajo y protección.

Tipos de cortafuegos

[editar]Nivel de aplicación de pasarela

Aplica mecanismos de seguridad para aplicaciones específicas, tales como servidores FTP y Telnet. Esto es muy eficaz, pero puede imponer una degradación del rendimiento.

[editar]Circuito a nivel de pasarela

Aplica mecanismos de seguridad cuando una conexión TCP o UDP es establecida. Una vez que la conexión se ha hecho, los paquetes pueden fluir entre los anfitriones sin más control. Permite el establecimiento de una sesión que se origine desde una zona de mayor seguridad hacia una zona de menor seguridad.

[editar]Cortafuegos de capa de red o de filtrado de paquetes

Funciona a nivel de red (capa 3 del modelo OSI, capa 2 del stack de protocolos TCP/IP) como filtro de paquetes IP. A este nivel se pueden realizar filtros según los distintos

campos de los paquetes IP: dirección IP origen, dirección IP destino. A menudo en este tipo de cortafuegos se permiten filtrados según campos de nivel de transporte (capa 3 TCP/IP, capa 4 Modelo OSI), como el puerto origen y destino, o a nivel de enlace de datos (no existe en TCP/IP, capa 2 Modelo OSI) como la dirección MAC.

[editar]Cortafuegos de capa de aplicación

Trabaja en el nivel de aplicación (capa 7 del modelo OSI), de manera que los filtrados se pueden adaptar a características propias de los protocolos de este nivel. Por ejemplo, si se trata de tráficoHTTP, se pueden realizar filtrados según la URL a la que se está intentando acceder.

Un cortafuegos a nivel 7 de tráfico HTTP suele denominarse proxy, y permite que los computadores de una organización entren a Internet de una forma controlada. Un proxy oculta de manera eficaz las verdaderas direcciones de red.

[editar]Cortafuegos personal

Es un caso particular de cortafuegos que se instala como software en un computador, filtrando las comunicaciones entre dicho computador y el resto de la red. Se usa por tanto, a nivel personal.

[editar]Ventajas de un cortafuegos

Bloquea el acceso a personas no autorizadas a redes privadas.

[editar]Limitaciones de un cortafuegos

Las limitaciones se desprenden de la misma definición del cortafuegos: filtro de tráfico. Cualquier tipo de ataque informático que use tráfico aceptado por el cortafuegos (por usar puertos TCP abiertos expresamente, por ejemplo) o que sencillamente no use la red, seguirá constituyendo una

amenaza. La siguiente lista muestra algunos de estos riesgos:

Un cortafuegos no puede proteger contra aquellos ataques cuyo tráfico no pase a través de él.

El cortafuegos no puede proteger de las amenazas a las que está sometido por ataques internos o usuarios negligentes. El cortafuegos no puede prohibir a espías corporativos copiar datos sensibles en medios físicos de almacenamiento (discos, memorias, etc.) y sustraerlas del edificio.

El cortafuegos no puede proteger contra los ataques de ingeniería social.

El cortafuegos no puede proteger contra los ataques posibles a la red interna por virus informáticos a través de archivos y software. La solución real está en que la organización debe ser consciente en instalar software antivirus en cada máquina para protegerse de los virus que llegan por cualquier medio de almacenamiento u otra fuente.

El cortafuegos no protege de los fallos de seguridad de los servicios y protocolos cuyo tráfico esté permitido. Hay que configurar correctamente y cuidar la seguridad de los servicios que se publiquen en Internet.

[editar]Políticas del cortafuegos

Hay dos políticas básicas en la configuración de un cortafuegos que cambian radicalmente la filosofía fundamental de la seguridad en la organización:

Política restrictiva: Se deniega todo el tráfico excepto el que está explícitamente permitido. El cortafuegos obstruye todo el tráfico y hay que habilitar expresamente el tráfico de los servicios que se necesiten. Esta aproximación es la que suelen utilizar la empresas y organismos gubernamentales.

Política permisiva: Se permite todo el tráfico excepto el que esté explícitamente denegado. Cada servicio potencialmente peligroso necesitará ser aislado básicamente caso por caso, mientras que el resto del tráfico no será filtrado. Esta aproximación la suelen utilizar universidades, centros de investigación y servicios públicos de acceso a internet.

La política restrictiva es la más segura, ya que es más difícil permitir por error tráfico potencialmente peligroso, mientras que en la política permisiva es posible que no se haya contemplado algún caso de tráfico peligroso y sea permitido por omisión.

Lista negra

Una lista negra, índice o blacklist (palabra inglesa que significa literalmente lista negra) es una lista de personas, instituciones u objetos que deben ser discriminados en alguna forma con respecto a los que no están en la lista. La discriminación puede ser social, técnica o de alguna otra forma. Cuando la discriminación es positiva se usa el término lista blanca.

Su uso puede ser repudiable ya que, en general, este no se ajusta a las normas legales que otorga el derecho a las personas: un juicio justo, derecho a la defensa, suposición de inocencia, etc. Así, el tribunal de Lüneburg, Alemania, prohibió el 27 de septiembre de 2007 (Az. 7 O 80/07) a un proveedor de servicios de servidores colocar en la lista negra de su servidor de correo electrónico a un competidor que enviaba spam. El tribunal consideró la libre competencia de las empresas más relevante que la protección contra spam.

1

Lista blanca

Una lista blanca, lista de aprobación ó whitelist en Inglés es una lista o registro de entidades que, por una razón u otra, pueden obtener algún privilegio particular, servicio, movilidad, acceso o reconocimiento. Por el contrario la lista negra o blacklisting es la compilación que identifica a quienes serán denegados, no reconocidos u obstaculizados.

Listas blancas en redes informáticas

Otro uso de las listas blancas es en seguridad de redes locales de computadores (LAN). Los administradores configuran las direcciones MAC en listas blancas para controlar derechos e identificación en la red. Se utiliza esto cuando el cifrado no es una solución viable o también junto con un sistema de cifrado. Es una seguridad relativa ya que vulnerable a ataques de spoofing de direcciones MAC.

Es generalmente utilizada en los punto de acceso inalámbrico.

[editar]Listas blancas de software

Si una organización mantine una lista blanca de software, se trata de una lista de software aceptado para su uso. Por ejemplo, un centro educativo pude utilizar una lista blanca para asegurar que su equipamiento solo cuenta con software que ha sido apropiadamente aceptado para su uso.

[editar]Listas blancas de aplicaciones

Una tendencia emergente en el combate de virus informáticos y malware es la utilización de listas blancas de aplicaciones o programas informáticos considerados seguros para ser ejecutados, bloqueando los otros

1 . Algunos

consideran esta tendencia como una seguridad superior

basada en firmas que mejora la seguridad de los antivirus, basada generalmente en listas negras

2 3 .

Estos programas disponen de un sistema de control administrativo sobre la lista blanca para prevenir la inclusión de posibles malware

4 pero ellos no pueden detener los

procesos que ya están corriendo que podrían llegar a obtener acceso privilegiado (y, por lo tanto pasan por encima del control de lista blanca

5 ).

Además, algunas versiones del sistema operativo Unix, como HP-UX han incoprorado una funcionalidad llamada "HP-UX Whitelisting" en la versión 11iv3. El sistema de HP-UX Whitelisting (WLI) ofrece prtección a nivel de archivos y recursos del sistema basado en tecnología de cifrado RSA. WLI es complementario al sistema tradicional con control de acceso discrecional (DAC) del los sistemas Unix, basados en usuario, grupo y permisos de archivos. En sistemas de archivos con un control por lista de acceso (ACL), como ser VxFS o HFS no se aplica este sistema.