Así puedes bloquear el ping en el puerto WAN de Internet de tu router

Los routers domésticos tienen diferentes interfaces, por un lado, tenemos la interfaz LAN y WLAN, donde conectamos todos los equipos de la red local doméstica, ya sea vía cable o vía Wi-Fi respectivamente. También tenemos la interfaz WAN, que es el puerto de Internet, y que lleva asociada la dirección IP pública. Una buena manera de permanecer «oculto» en Internet, es bloqueando cualquier solicitud de tipo ICMP Request y no contestando a ella, de esta manera, si alguien hace el típico «ping» a nuestra IP, no contestará, y será necesario que hagan un escaneo de puertos para saber si el host (nuestro router) está levantado.

Normalmente los sistemas operativos orientados a firewall, como pfSense o OPNSense, vienen con todo el tráfico bloqueado por defecto, esto significa que si alguien intenta hacer un ping desde el exterior a nuestra IP pública, descartará el paquete automáticamente. Hay routers domésticos y de operadores que nos permiten configurar su firewall, y que incluso tenemos una opción específica para bloquear el ping en la WAN de Internet.

Debemos recordar que no es recomendable bloquear todos los ICMP, sino solamente aquellos que se corresponden con el «ping», es decir, el ICMP Echo Request (solicitud) y el ICMP Echo Reply (respuesta). Algunos tipos de ICMP son fundamentales para el buen funcionamiento de la red, sobre todo si trabajas con redes IPv6.

¿Qué ocurre si bloqueamos el ping en la WAN de Internet?

Todo seguirá funcionando como siempre, la única diferencia es que si alguien desde el exterior (desde Internet), nos hace un «ping» a nuestra dirección IP pública, el router no contestará. Dependiendo de cómo tengamos el router configurado, es posible que ni con un escaneo de puertos se pueda detectar si el host (el router) está levantado o no. Si no tenemos ningún servicio funcionando en el router de cara a la WAN, y no tenemos ningún puerto abierto en el router, por defecto todos los puertos estarán cerrados y desde el exterior no podrán hacer comunicación con nosotros, de esta manera, podríamos pasar «desapercibidos», es lo que se llama seguridad por oscuridad.

Aunque nosotros hayamos deshabilitado el ping en la WAN de Internet, nosotros vamos a poder haciendo ping a hosts de Internet sin ningún problema, sin necesidad de abrir puertos ni hacer absolutamente nada, porque lo único que estamos haciendo con esto, es bloquear en el firewall del router cualquier ICMP Echo Request que nos llegue. Normalmente los routers utilizan sistema operativo Linux en su interior para funcionar, y hacen uso de iptables, la regla que ellos incorporan es la siguiente:

iptables -A INPUT  -p icmp --icmp-type echo-request -j DROP

Esta regla bloquea cualquier ICMP de tipo echo-request que vaya directamente al propio router, el -j DROP indica que directamente eliminará dicho paquete sin «decir» nada al que lo ha enviado, es decir, descartamos el paquete.

Un aspecto muy importante es que deberíamos siempre bloquear el ping en la WAN, pero no en la LAN, ya que, si bloqueamos el ping en la LAN, no podremos nosotros mismos hacer ping contra la puerta de enlace predeterminada de nuestro equipo (que es el router), para detectar cualquier posible fallo que haya.

Aunque muchos modelos y marcas de routers soportan el bloquear el ping en la WAN de Internet, hoy en RedesZone os vamos a poner dos ejemplos de cómo bloquear el ping en la WAN en routers ASUS y también en cualquier router del fabricante AVM FRITZ!Box.

Bloquear ping (ICMP Echo-request) en routers ASUS

En los routers ASUS, tanto en el firmware del fabricante como en Asuswrt-Merlin, el proceso es exactamente el mismo. Nos debemos ir al menú de configuración del firmware, en la sección de «Firewall / General» y configurar el firewall de la siguiente forma:

  • Desea habilitar el firewall: Sí
  • Desea habilitar la protección DoS: Sí
  • Tipo de paquetes registrados: Ninguno. Si queremos realizar un debug a todos los paquetes que pasan por el firewall, podremos hacerlo, pero no es recomendable tenerlo siempre activado porque consumirá recursos del router.
  • Desea responder a la solicitud ping desde WAN: No.

Tal y como habéis visto, es realmente fácil desactivar el ping desde la WAN de Internet. En cuanto a la configuración IPv6, el router ASUS tiene cualquier tráfico entrante bloqueado, por lo que deberías permitirlo explícitamente en el menú de configuración.

Bloquear ping (ICMP Echo-request) en routers AVM FRITZ!Box

En los routers del fabricante alemán AVM también podremos bloquear el típico ping en la WAN de Internet, para hacerlo, nos debemos ir al menú principal del router. En la parte superior derecha donde aparecen los tres puntos verticales, pinchamos en «Modo avanzado» para disponer de todas las opciones de configuración.

Una vez hecho esto, nos vamos a «Internet / Filtros / Listas«, y bajamos hasta encontrar la opción de «Cortafuegos en modo sigiloso«. Lo habilitamos y pinchamos en aplicar cambios.

Esta opción permite rechazar todas las solicitudes desde Internet tal y como os hemos explicado, y está al alcance de todos el poder hacerlo.

Gracias a este bloqueo del ping en la WAN de Internet, para poder localizar nuestro host (router) en Internet, deberán realizar un escaneo de puertos para ver si tenemos algún servicio funcionando, ya sea en el router o en algún servidor NAS de nuestra red local.