Evita intrusos en tu red: configura el firewall o cortafuegos del router

Actualmente todos los sistemas operativos poseen un firewall preinstalado, pero en muchas ocasiones, no lo tenemos activado o no lo tenemos bien configurado. Los routers que son el cerebro de toda la red, también disponen de un firewall preinstalado y activado, basado principalmente en iptables porque la gran mayoría de firmwares están basados en Linux. Hoy en RedesZone os vamos a enseñar qué opciones de configuración podemos encontrarnos en un firewall para routers, usando routers ASUS y también AVM FRITZ!Box, dos fabricantes cuyo firmware es realmente completo y nos permite una gran configurabilidad.

Un aspecto muy importante que debemos tener en cuenta, es que cuando tenemos activado el firewall del router, también es muy recomendable tener firewall en los PC, aunque no es del todo necesario ya que estamos en un entorno NAT, por lo que desde Internet no podrán acceder a nuestro equipo sin haber abierto previamente un puerto a nuestro PC, o directamente abrir la DMZ a nuestro PC. En este último caso sí es muy recomendable tener un firewall instalado y configurado en nuestro PC, ya que será completamente accesible desde Internet.

¿Para qué sirve un firewall en un router?

Gracias a los firewalls, podremos permitir o bloquear el tráfico entrante y saliente por las diferentes interfaces del router, tanto en la WAN, como también en la LAN. No obstante, la gran mayoría de usuarios lo que quieren es tener un firewall en la WAN de Internet para controlar el tráfico desde fuera hacia el propio router.

Un firewall en un router, nos permitirá bloquear cualquier intento de acceso a un determinado puerto específico en el router, es decir, si tenemos abierto el puerto TCP 22 del SSH, podremos limitar el número de conexiones simultáneas, el número de conexiones en un determinado tiempo, e incluso podremos permitir que únicamente una cierta dirección IP pueda acceder a nuestro servidor SSH del router.

Un aspecto muy importante de los firewalls de un router, es que, por defecto, todas las comunicaciones que empiecen en el exterior (en Internet) son rechazadas (DROP), si antes no han sido permitidas específicamente, por lo que la política de «denegar todo» es la más recomendable.

Los equipos de la red LAN están siempre detrás de la NAT

Actualmente con redes IPv4, hacemos uso del NAT/PAT, para que con una misma dirección IP pública, puedan salir a Internet todos los equipos que tengamos en la LAN. Un detalle importante, es que todas las comunicaciones que se realicen desde los equipos de la LAN hacia Internet, están permitidas, es decir, se abre un socket en el PC y fluye hasta el destino, y en la tabla NAT tendremos la traducción que hemos realizado de IP privada a IP pública, para que cuando el paquete vuelva, pueda redireccionarse correctamente a su destino.

Si desde Internet, intentamos iniciar una comunicación con un equipo de la LAN, directamente no podríamos, a no ser que:

  • Hayamos configurado un reenvío de puertos (abrir puertos) en el router hacia ese PC.
  • Hayamos configurado la DMZ hacia la IP privada del PC en cuestión.

Por tanto, cualquier comunicación desde Internet hacia la LAN, se encuentra de manera predeterminada bloqueado. Además, es muy recomendable desactivar siempre el protocolo UPnP, para que los dispositivos no puedan abrir por sí mismos un puerto en la NAT del router y estar más protegidos. Existen ciertos dispositivos que abren un puerto permanentemente en el router, como algunas cámaras IP, y las cuales serían fácilmente accesibles a través de Internet.

Opciones de configuración del firewall en routers ASUS

Los routers ASUS incorporan un firewall basado en iptables, por lo que podríamos utilizar toda la potencia de este firewall a través de la línea de comandos, ya sea vía telnet o SSH. No obstante, también tenemos ciertas opciones de configuración disponibles en el propio router, con el objetivo de que un usuario con conocimientos básicos no tenga que «tocar» el firewall interno.

En el menú de «Firewall», podremos activar o desactivar el firewall basado en iptables para redes IPv4 y también redes IPv6, la configuración por defecto es que en ambos protocolos tenemos el cortafuegos activado, tal y como es lo recomendable por seguridad. ASUS nos permite configurar en redes IPv4 un sistema de anti ataques DoS, bloqueando la dirección IP de origen si realiza varios intentos de conexión, con el objetivo de mitigar este tipo de ataques.

Otra característica interesante es la posibilidad de bloquear cualquier ping (ICMP Echo-request) que se haga en el puerto de la WAN de Internet, esto permitirá que, si alguien desde Internet realiza un ping, automáticamente es bloqueado (DROP).

El firewall para IPv6 se encuentra en estado de bloqueo total, en este caso el funcionamiento es algo diferente ya que también afectaría a los equipos de la LAN. En redes IPv6 no tenemos NAT, sino que los PC tienen una dirección IPv6 Global-Unicast, es decir, una IP pública por cada equipo, pero lógicamente estaremos protegidos por el firewall del router, donde por defecto toda la comunicación entrante (desde Internet al PC con IP pública) se encuentra bloqueada, pero sí permite cualquier comunicación saliente para tener conectividad sin problemas.

Una opción muy interesante de los routers ASUS es el «Filtro LAN a WAN». Anteriormente hemos indicado que los firewalls permiten controlar tanto el tráfico desde Internet al router y a la LAN, como también al revés, desde la LAN hasta Internet. En este caso, podremos configurar el firewall para bloquear la salida de los paquetes a la WAN desde la LAN, simplemente tendremos que introducir la dirección IP de origen, destino, y los puertos, para añadir esta regla al firewall y bloquear los paquetes salientes.

Aunque no lo hemos visto, el filtrado de URL y de palabras clave también hacen uso del firewall, pero con un trabajo previo de resolución de nombres y de comprobación del tráfico.

Opciones de configuración del firewall en routers AVM FRITZ!Box

En el caso de los routers de AVM, también tenemos un firewall bastante configurable. Para acceder al cortafuegos debemos irnos al menú de tres puntos verticales, y seleccionar «Vista avanzada». En el menú principal nos vamos a «Internet / Filtros«, en esta sección es donde tendremos todo lo relacionado con el firewall y el QoS.

En la pestaña de «Listas» es donde podremos activar el cortafuegos en modo sigiloso, para no contestar con el echo-reply a ningún echo-request que nos envíen al puerto WAN. Otras opciones de configuración interesantes son el bloqueo del puerto 25, que es el típico que se usa para enviar emails sin ningún tipo de cifrado, AVM nos permite directamente bloquearlo para protegernos. También podremos activar el filtrado de NetBIOS e incluso Teredo, es decir, si no usamos estos servicios, lo mejor es bloquearlos por seguridad.

Aunque no es el firewall propiamente dicho, al estar en un entorno NAT se puede dar el caso en que tengamos puertos abiertos que realmente no estamos usando. Siempre es muy recomendable cerrar cualquier tipo de puerto que no esté en uso, porque podría ser la puerta de entrada a ciberdelincuentes.

Lo mismo ocurre con los servicios de FRITZ!Box, si no queremos «localizar» al router y acceder remotamente a él vía su IP pública, lo mejor que podemos hacer es desactivar este acceso, recuerda que también podríamos acceder vía VPN y posteriormente acceder a la IP privada de la puerta de enlace predeterminada.

Tal y como podéis ver, podremos crear varias conexiones VPN, tanto VPN de acceso remoto como también VPN Site-to-Site con estos routers de AVM, todo ello siempre usando el protocolo IPsec, actualmente no soporta ni OpenVPN ni tampoco Wireguard.

Por tanto, es muy recomendable que, si nuestro router tiene servicios accesibles a Internet, solamente tengamos «expuestos» aquellos que vayamos a utilizar, y no todos, porque por seguridad siempre es necesario tener todos los puertos cerrados y bloqueados, excepto los que no nos quede más remedio de abrir.

¿Es necesario tener un firewall en mi PC?

Todos los PC disponen de un firewall activado por defecto, y con diferentes perfiles que podremos configurar muy fácilmente. En el caso de Windows 10, tenemos un total de tres perfiles con diferentes permisos de permitir/denegar tráfico, concretamente tenemos «Red de dominio», «Red privada» y «Red pública». Generalmente usaremos siempre estos últimos dos.

La configuración del cortafuegos en «Red privada» es la de aceptar conexiones entrantes, ya que estamos en un entorno confiable, la configuración del cortafuegos en «Red pública» es la de rechazar conexiones entrantes si previamente nosotros no hemos realizado la comunicación.

¿Es necesario tener activado un firewall en mi ordenador de sobremesa? Debemos tener en cuenta que siempre (o casi siempre) estamos trabajando en un entorno NAT, por lo que no hay ningún puerto abierto en el router de manera predeterminada. En caso de abrir la DMZ sí es fundamental la utilización del firewall, y, además, en modo «Red pública» para bloquear cualquier conexión entrante que no hayamos realizado previamente nosotros. En los casos en los que no tenemos ningún puerto abierto, el cortafuegos de Windows solamente nos protegerá de conexiones vía red LAN, porque simplemente no pueden llegar a nosotros desde Internet al no haber abierto ningún puerto (aunque debes asegurarte que UPnP en el router lo tienes desactivado).

Si queremos meternos en el firewall avanzado de Windows, simplemente tenemos que pinchar en «Configuración avanzada» en el menú principal del firewall, y nos saldrá este menú donde podremos añadir diferentes reglas:

Por defecto, una gran cantidad de programas que usamos a diario están permitidos para aceptar las conexiones, si queremos añadir una nueva regla, pinchamos en «Nueva regla» en el menú superior derecho. También podremos realizar la misma configuración para las reglas de salida.

Tal y como habéis visto, es muy importante tener el firewall del router activado y bien configurado, otro aspecto importante respecto a la NAT/PAT, es no tener ningún puerto abierto si es que no lo estamos usando, y mucho menos activar la DMZ a nuestro PC, porque eso sí conlleva un riesgo elevado ya que se abren todos los puertos excepto los abiertos específicamente a otros equipos.