Qué es AP Isolation y Net Isolation y por qué es importante en routers

Algunos routers WiFi incorporan funciones para aislar a los clientes inalámbricos y también cableados, esto es ideal para proporcionar seguridad a la red y también a los propios clientes WiFi y cableados, ya que evitará algunos de los principales ataques a las redes de datos, como el popular ARP Spoofing. En algunos routers solamente tenemos la opción de AP Isolation, que solamente afecta a la red WiFi para que los clientes inalámbricos no se comuniquen entre ellos. Sin embargo, otros routers permiten también aislar la red cableada en una nueva subred. ¿Quieres saber todo sobre AP Isolation y Net Isolation? Hoy os vamos a explicar en detalle ambos conceptos.

AP Isolation: aislamiento en red WiFi

El AP Isolation es una característica de los routers que permite aislar a los clientes inalámbricos entre sí. Si un cliente WiFi intenta conectarse a Internet, con un equipo cableado o con un servidor NAS local que está conectado vía cable, podrá comunicarse sin ningún problema, todo funcionará. Si este mismo cliente WiFi intenta comunicarse con otro dispositivo inalámbrico dentro de la misma red WiFi, la comunicación le será denegada, no se permite la comunicación porque AP Isolation lo que hace es aislar a los clientes inalámbricos entre ellos, con el objetivo de que no puedan comunicarse entre ellos.

Aunque habitualmente esta función está disponible y configurada por defecto en la red WiFi de invitados de los routers, hay algunos fabricantes que en su firmware también permiten esta funcionalidad tan interesante para aislar a los clientes inalámbricos entre sí. Por ejemplo, si tenemos un router ASUS nos deberemos ir a la sección «Configuración Avanzada / Wireless / Profesional«, y podremos habilitar el AP Isolation para la red WiFi principal, ya sea en 2.4GHz o en 5GHz, ya que ASUS nos permitirá configurarlo individualmente por banda de frecuencias.

En el caso de otros routers muy avanzados y recomendables, como los AVM FRITZ!Box, también tenemos disponible esta opción de configuración para la red principal. En este caso, si activamos el aislamiento de AP, afectará a ambas bandas de frecuencias (que sería lo normal, nos interesa que esta opción esté disponible en ambas bandas). La configuración en este router es muy sencilla, activamos la configuración avanzada del router en la parte superior derecha, y nos vamos a la sección de «Wi-Fi / Seguridad» y podremos ver la opción de «Los dispositivos inalámbricos activos aquí visualizados podrán comunicarse entre sí», si desactivamos esta opción entonces estaremos habilitando el AP Isolation.

Lo más normal, es que el router no tenga el AP Isolation por defecto en la red principal, para que los clientes inalámbricos puedan comunicarse entre sí.

Esta misma opción de configuración también la tenemos disponible en los puntos de acceso profesionales y en los controladores WiFi, normalmente esto se denomina «Guest WiFi» a la hora de configurar un SSID.

De manera predeterminada, cuando habilitamos una red WiFi de invitados en nuestro router, siempre tendremos habilitado el AP Isolation, de hecho, es posible que ni siquiera tengamos la opción de permitir su comunicación entre ellos, pero esto dependerá del firmware del router en cuestión.

Net Isolation: aislamiento en red cableada y WiFi

El Net Isolation es una característica de los routers que permite aislar a los clientes inalámbricos y cableados para que no se puedan comunicar entre ellos. Si un cliente WiFi intenta comunicarse con un servidor NAS ubicado en la LAN principal, no podrá comunicarse porque estará aislado, lo mismo ocurre si tenemos un cliente cableado configurado en una red cableada de invitados, no podrá comunicarse con la red principal.

Dependiendo del firmware del router, tenemos principalmente dos políticas:

  • Se deniega la comunicación utilizando ebtables/iptables entre los equipos conectados.
  • Se crea una nueva subred aislada de la subred principal, este método es el más elegante, para tener a todos los clientes «invitados» en una subred nueva.

Por ejemplo, en el caso de los routers de ASUS se usa la primera opción, se hace uso de ebtables/iptables para limitar la comunicación de los diferentes equipos de la red WiFi de invitados con la red principal. En el caso de que nos interese que accedan a la LAN, siempre lo podremos configurar «Acceso a Intranet» en la sección de «General / Red para invitados«.

En el caso de los routers AVM FRITZ!Box, la configuración de la red WiFi y cableada de invitados es mucho más elegante y nos da más posibilidades. Por ejemplo, podremos configurar una red WiFi de invitados privada, o bien crear una red WiFi pública (abierta) con autenticación en un portal cautivo.

En esta red WiFi de invitados, también podremos habilitar o no el AP Isolation. Debemos tener en cuenta que AVM FRITZ! crea una nueva subred separada de la principal para ubicar a todos los invitados, y podríamos permitir que sí haya comunicación entre ellos sin problemas. Por defecto tenemos la mejor seguridad, es decir, tenemos el AP Isolation habilitado. En caso de querer deshabilitarlo, deberemos pinchar en la opción de «Los dispositivos WiFi pueden comunicarse entre sí».

Este router AVM FRITZ! también nos permite configurar el puerto LAN4 para la red de invitados, tendrá acceso a Internet pero no a la red local principal. Esto es ideal para conectar uno o varios equipos (usando un switch) a la red de invitados y que esté completamente separada de la red principal. En la sección de «Red local / Red / Configuración de red» podréis ver esta configuración tan interesante.

En la misma sección que la anterior, pero en la parte inferior, podremos pinchar en «Direcciones IPv4». Aquí podremos cambiar el rango de subred de la red local principal, y también de la secundaria que os hemos comentado anteriormente. Tal y como podéis ver, la configuración actual de la red es la siguiente:

  • Red local principal: 192.168.188.0/24
  • Red de invitados: 192.168.189.0/24

Y entre ellas no está activado el enrutamiento, por tanto, desde la red WiFi de invitados no podremos comunicarnos con la red principal, tendremos a los clientes inalámbricos y cableados totalmente aislados.

Tal y como habéis visto, dependiendo del router utilizado y su firmware, tendremos más o menos opciones de configuración respecto al AP Isolation y Net Isolation. A continuación, os ofrecemos un pequeño resumen de ambos términos:

  • AP Isolation activado + Net Isolation activado: hay aislamiento entre los clientes WiFi (no se pueden comunicar) y no se permite acceso a la red principal.
  • AP Isolation activado + Net Isolation desactivado: hay aislamiento entre los clientes WiFi (no se pueden comunicar) y sí se permite acceso a la red principal.
  • AP Isolation desactivado + Net Isolation activado: los clientes WiFi se pueden comunicar entre ellos, pero no se permite acceso a la red principal.
  • AP Isolation desactivado + Net Isolation desactivado: los clientes WiFi se pueden comunicar entre ellos y se permite acceso a la red principal.

Dependiendo de lo que nos interese, en algunos routers podremos realizar todas estas configuraciones. Esperamos que esta guía os haya servido de ayuda y hayáis aclarado los conceptos de AP Isolation y también Net Isolation.