Qué es AP Isolation y Net Isolation y por qué es importante en routers

Algunos routers WiFi incorporan funciones para aislar a los clientes inalámbricos y también cableados, esto es ideal para proporcionar seguridad a la red y también a los propios clientes WiFi y cableados, ya que evitará algunos de los principales ataques a las redes de datos, como el popular ARP Spoofing. En algunos routers solamente tenemos la opción de AP Isolation, que solamente afecta a la red WiFi para que los clientes inalámbricos no se comuniquen entre ellos. Sin embargo, otros routers permiten también aislar la red cableada en una nueva subred. ¿Quieres saber todo sobre AP Isolation y Net Isolation? Hoy os vamos a explicar en detalle ambos conceptos.

AP Isolation: aislamiento en red WiFi

El AP Isolation es una característica de los routers que permite aislar a los clientes inalámbricos entre sí. Si un cliente WiFi intenta conectarse a Internet, con un equipo cableado o con un servidor NAS local que está conectado vía cable, podrá comunicarse sin ningún problema, todo funcionará. Si este mismo cliente WiFi intenta comunicarse con otro dispositivo inalámbrico dentro de la misma red WiFi, la comunicación le será denegada, no se permite la comunicación porque AP Isolation lo que hace es aislar a los clientes inalámbricos entre ellos, con el objetivo de que no puedan comunicarse entre ellos.

Aunque habitualmente esta función está disponible y configurada por defecto en la red WiFi de invitados de los routers, hay algunos fabricantes que en su firmware también permiten esta funcionalidad tan interesante para aislar a los clientes inalámbricos entre sí. Por ejemplo, si tenemos un router ASUS nos deberemos ir a la sección «Configuración Avanzada / Wireless / Profesional«, y podremos habilitar el AP Isolation para la red WiFi principal, ya sea en 2.4GHz o en 5GHz, ya que ASUS nos permitirá configurarlo individualmente por banda de frecuencias.

En el caso de otros routers muy avanzados y recomendables, como los AVM FRITZ!Box, también tenemos disponible esta opción de configuración para la red principal. En este caso, si activamos el aislamiento de AP, afectará a ambas bandas de frecuencias (que sería lo normal, nos interesa que esta opción esté disponible en ambas bandas). La configuración en este router es muy sencilla, activamos la configuración avanzada del router en la parte superior derecha, y nos vamos a la sección de «Wi-Fi / Seguridad» y podremos ver la opción de «Los dispositivos inalámbricos activos aquí visualizados podrán comunicarse entre sí», si desactivamos esta opción entonces estaremos habilitando el AP Isolation.

Lo más normal, es que el router no tenga el AP Isolation por defecto en la red principal, para que los clientes inalámbricos puedan comunicarse entre sí.

Esta misma opción de configuración también la tenemos disponible en los puntos de acceso profesionales y en los controladores WiFi, normalmente esto se denomina «Guest WiFi» a la hora de configurar un SSID.

De manera predeterminada, cuando habilitamos una red WiFi de invitados en nuestro router, siempre tendremos habilitado el AP Isolation, de hecho, es posible que ni siquiera tengamos la opción de permitir su comunicación entre ellos, pero esto dependerá del firmware del router en cuestión.

Net Isolation: aislamiento en red cableada y WiFi

El Net Isolation es una característica de los routers que permite aislar a los clientes inalámbricos y cableados para que no se puedan comunicar entre ellos. Si un cliente WiFi intenta comunicarse con un servidor NAS ubicado en la LAN principal, no podrá comunicarse porque estará aislado, lo mismo ocurre si tenemos un cliente cableado configurado en una red cableada de invitados, no podrá comunicarse con la red principal.

Dependiendo del firmware del router, tenemos principalmente dos políticas:

  • Se deniega la comunicación utilizando ebtables/iptables entre los equipos conectados.
  • Se crea una nueva subred aislada de la subred principal, este método es el más elegante, para tener a todos los clientes «invitados» en una subred nueva.

Por ejemplo, en el caso de los routers de ASUS se usa la primera opción, se hace uso de ebtables/iptables para limitar la comunicación de los diferentes equipos de la red WiFi de invitados con la red principal. En el caso de que nos interese que accedan a la LAN, siempre lo podremos configurar «Acceso a Intranet» en la sección de «General / Red para invitados«.

En el caso de los routers AVM FRITZ!Box, la configuración de la red WiFi y cableada de invitados es mucho más elegante y nos da más posibilidades. Por ejemplo, podremos configurar una red WiFi de invitados privada, o bien crear una red WiFi pública (abierta) con autenticación en un portal cautivo.

En esta red WiFi de invitados, también podremos habilitar o no el AP Isolation. Debemos tener en cuenta que AVM FRITZ! crea una nueva subred separada de la principal para ubicar a todos los invitados, y podríamos permitir que sí haya comunicación entre ellos sin problemas. Por defecto tenemos la mejor seguridad, es decir, tenemos el AP Isolation habilitado. En caso de querer deshabilitarlo, deberemos pinchar en la opción de «Los dispositivos WiFi pueden comunicarse entre sí».

Este router AVM FRITZ! también nos permite configurar el puerto LAN4 para la red de invitados, tendrá acceso a Internet pero no a la red local principal. Esto es ideal para conectar uno o varios equipos (usando un switch) a la red de invitados y que esté completamente separada de la red principal. En la sección de «Red local / Red / Configuración de red» podréis ver esta configuración tan interesante.

En la misma sección que la anterior, pero en la parte inferior, podremos pinchar en «Direcciones IPv4». Aquí podremos cambiar el rango de subred de la red local principal, y también de la secundaria que os hemos comentado anteriormente. Tal y como podéis ver, la configuración actual de la red es la siguiente:

  • Red local principal: 192.168.188.0/24
  • Red de invitados: 192.168.189.0/24

Y entre ellas no está activado el enrutamiento, por tanto, desde la red WiFi de invitados no podremos comunicarnos con la red principal, tendremos a los clientes inalámbricos y cableados totalmente aislados.

Tal y como habéis visto, dependiendo del router utilizado y su firmware, tendremos más o menos opciones de configuración respecto al AP Isolation y Net Isolation.

Diferencias entre AP Isolation y Net Isolation

AP Isolation y Net Isolation son términos similares, pero las diferencias entre ellas son claves para proteger la red. Mientras que el AP Isolation solamente aísla a los clientes inalámbricos que están conectados al router inalámbrico o punto de acceso WiFi, la funcionalidad de Net isolation lo que hace es bloquear la comunicación a nivel de red entre los clientes WiFi y los clientes que hay conectados a través de la red cableada. Es decir, ambas tecnologías pueden trabajar conjuntamente para proteger aún mejor la red local domésticos o profesional.

A continuación, os ofrecemos un pequeño resumen de ambos términos, para que lo tengáis más claro:

  • AP Isolation activado + Net Isolation activado: hay aislamiento entre los clientes WiFi (no se pueden comunicar entre ellos vía WiFi, es decir, si un cliente intenta comunicarse con otro la comunicación estará denegada) y no se permite acceso a la red principal. Este modo de configuración es ideal para evitar ataques Man in the Middle en redes inalámbricas abiertas, donde tengamos múltiples clientes WiFi conectados sin ningún tipo de protección. Gracias al AP Isolation y Net isolation, un cliente inalámbrico malicioso no podrá realizar ataques Man in the Middle activos, es decir, no podrá realizar ataques como ARP Spoofing. Sin embargo, este cliente malicioso sí podrá capturar todo el tráfico que no esté cifrado con HTTPS o con VPN, pero no podrá realizar ataques «activos».
  • AP Isolation activado + Net Isolation desactivado: hay aislamiento entre los clientes WiFi (no se pueden comunicar) y sí se permite acceso a la red principal. En este caso los clientes inalámbricos sí podrán tener acceso a la red cableada principal, sin embargo, un cliente WiFi con otro cliente WiFi no podrá comunicarse. Este modo de configuración también es ideal en las redes WiFi inalámbricas públicas, porque no permitirá realizar ataques Man in the Middle activos, como atacar el protocolo HTTPS haciendo un ataque de SSL Stripping. Sin embargo, en este caso también podría realizar ataques pasivos, es decir, capturar toda la información no cifrada.
  • AP Isolation desactivado + Net Isolation activado: los clientes WiFi se pueden comunicar entre ellos, pero no se permite acceso a la red principal. Este tipo de configuración es algo peligrosa, porque permite a los clientes inalámbricos comunicarse entre ellos, por tanto, se podría dar el caso de que un usuario malintencionado realice un ataque Man in the Middle a otros clientes WiFi, con el objetivo de robar información privada. Por supuesto, en este escenario los ataques MitM pasivos también funcionarían sin problemas, por tanto, no tenemos la protección que sí teníamos anteriormente.
  • AP Isolation desactivado + Net Isolation desactivado: los clientes WiFi se pueden comunicar entre ellos y se permite acceso a la red principal. En este caso no tenemos ningún tipo de aislamiento ni protección, todos los clientes inalámbricos y cableados pueden comunicarse entre sí sin problemas, por tanto, seremos vulnerables a posibles ataques Man in the Middle como el ARP Spoofing, para posteriormente ejecutar ataques más avanzados como el SSL Stripping.

Dependiendo de lo que nos interese, en algunos routers podremos realizar todas estas configuraciones. Nuestra recomendación es que, si vais a montar una red WiFi de invitados con autenticación o sin autenticación, activéis la característica de AP isolation para proteger a estos clientes inalámbricos de otros clientes que se conecten pero que sean maliciosos. De esta forma, estaremos dotando a la red de una mayor seguridad.

Esperamos que esta guía os haya servido de ayuda y hayáis aclarado los conceptos de AP Isolation y también Net Isolation.