¿Qué es un firewall NAT y cómo funciona?

En el campo de las redes informáticas, NAT significa Traducción de direcciones de red. En términos más simples, NAT permite que muchos dispositivos en una red privada compartan una única puerta de enlace a Internet. A su vez, todos esos dispositivos tendrán la misma dirección IP pública, la de la puerta de enlace, y direcciones IP privadas únicas. Estas puertas de enlace se encuentran comúnmente en enrutadores wifi y algunos servicios VPN. Por ejemplo, todos los dispositivos conectados a un enrutador wifi habilitado para NAT tienen diferentes direcciones IP privadas, pero comparten la dirección IP pública del enrutador.

Cuando visitas un sitio web, tu dispositivo envía una solicitud al enrutador, identificándose con su dirección IP privada. Luego, el enrutador traduce la solicitud y la reenvía al servidor del sitio web con su dirección IP pública, tomando nota de la dirección privada de origen. El servidor responde al enrutador con una copia del sitio web, que luego su enrutador reenvía a tu dispositivo a través de la dirección IP privada.

Aquí te contamos todo lo que debes saber sobre el firewall NAT, qué es, cómo funciona y su relación con las VPN.

¿Qué es un firewall NAT?

Un firewall es una capa de protección que evita las comunicaciones no deseadas entre dispositivos en una red, como Internet.

Un firewall NAT funciona al permitir que el tráfico de Internet pase a través de la puerta de enlace solo si un dispositivo en la red privada lo solicita. Se descartan todas las solicitudes o paquetes de datos no solicitados, lo que impide la comunicación con dispositivos potencialmente peligrosos en Internet. Si el tráfico entrante de Internet no tiene una dirección IP privada para reenviar más allá de la puerta de enlace, el cortafuegos NAT sabe que el tráfico no es solicitado y debe descartarse.

Las computadoras y los servidores en Internet solo pueden ver la dirección IP pública del enrutador y ninguna de las direcciones IP privadas de dispositivos específicos, como teléfonos, computadoras portátiles, televisores inteligentes, dispositivos de Internet de las cosas y consolas de juegos. Esto también se conoce como enmascaramiento de IP.

Cómo saber si tengo un firewall NAT

¿No estás seguro si tu enrutador wifi tiene un firewall NAT habilitado? Intenta conectar dos dispositivos a la misma red wifi, como una computadora portátil y un teléfono inteligente.

Ahora, en cada uno de ellos, ejecuta una búsqueda en Google de «¿cuál es mi IP?»

Si ves la misma dirección IP para ambos dispositivos, probablemente tengas un firewall NAT. Tus dispositivos tienen diferentes direcciones IP privadas (locales), pero la misma dirección IP pública.

En una VPN, puede ser más difícil determinar si se estás utilizando un cortafuegos NAT, pero normalmente puedes averiguarlo en alguna parte de la documentación de tu proveedor de VPN. Es posible que tengas la opción de habilitar o deshabilitar un firewall NAT en la configuración de tu aplicación VPN, o comprar uno como un extra opcional.

¿Cómo funciona?

Hay innumerables paquetes de datos enviados de un lado a otro cada vez que realiza una solicitud en Internet. Los firewalls NAT se utilizan para garantizar la seguridad de la red local y proteger los datos en tus dispositivos locales. Cuando un paquete de datos atraviesa la red interna, los cortafuegos NAT destruyen esa dirección IP privada en una dirección IP pública. Cuando se devuelve el paquete de datos de la red externa, el firewall NAT bloqueará los datos no deseados o maliciosos para evitar que los piratas informáticos se cuelen en tu red local a través de conexiones no autorizadas.

Aquí hay una descripción general rápida de cómo funciona todo:

  • Escribes el nombre de un sitio web y presionas enter.
  • Cuando lo hagas, tu dispositivo enviará una solicitud de conexión a tu enrutador. Además, se identifica con tu dirección IP interna.
  • El enrutador traduce esa solicitud y la reenvía al servidor web del sitio utilizando su dirección IP externa. También toma nota de la fuente de la solicitud: la dirección IP interna de tu dispositivo.
  • El servidor web responde a tu enrutador con una copia del sitio web.
  • El enrutador compara el contenido recibido con la dirección IP interna que lo solicitó. Descarta cualquier dato que no sea relevante y reenvía la copia del sitio web a tu dispositivo a través de tu dirección IP interna.

Cortafuegos NAT y VPN

Una VPN, o red privada virtual, encripta el tráfico de Internet de un dispositivo y lo enruta a través de un servidor intermediario en la ubicación que elija el usuario. Debido a que todo el tráfico de Internet se «canaliza» a través de la VPN antes de llegar a Internet, el firewall NAT en tu enrutador wifi no puede distinguir entre el tráfico solicitado y el no solicitado. Debido a que todo viene encriptado desde el servidor VPN, todo se ve igual, lo que hace que el firewall NAT de tu enrutador sea inútil.

Por esta razón, muchas VPN implementan cortafuegos NAT. En lugar de que tu enrutador wifi filtre el tráfico no deseado, el servidor VPN lo hace. A veces, los cortafuegos NAT son un extra opcional y, a veces, están integrados en las VPN de forma predeterminada.

No todos están de acuerdo en que los cortafuegos NAT y las VPN son una buena combinación.

Los proveedores de VPN suelen pertenecer a uno de dos campos: los que usan cortafuegos NAT y los que usan cortafuegos PAT. Explicaremos esto último más abajo.

Una VPN que utiliza un cortafuegos NAT asigna a cada usuario una dirección IP privada única. Extiende todos los beneficios del firewall NAT de un enrutador wifi, como se mencionó anteriormente, a tu conexión VPN.

La desventaja es que, aunque estás protegido contra comunicaciones no deseadas, el proveedor de VPN o un tercero podrían rastrear más fácilmente tu dispositivo.

El método alternativo es asignar la misma dirección IP pública a todos los usuarios de VPN conectados al mismo servidor, sin direcciones IP privadas únicas. Esto agrega una capa significativa de anonimato, porque la actividad en línea no se puede rastrear hasta una persona o dispositivo individual mediante una dirección IP.

Traducción de dirección de puerto

Muchos sistemas denominados cortafuegos NAT son en realidad cortafuegos PAT. PAT significa traducción de dirección de puerto. Similar a NAT, permite que una puerta de enlace de red con una dirección IP represente muchas computadoras. La diferencia es que a cada dispositivo se le asigna un número de puerto en lugar de una dirección IP privada.

Cuando una puerta de enlace de red recibe una dirección saliente de una computadora en la red, reemplaza la dirección de retorno de la computadora con su propia dirección compatible con Internet y agrega un número de puerto al final. Luego, la puerta de enlace hace una entrada en su tabla de traducción para saber que el número de puerto que usó representa una computadora específica en la red.

Este sistema es muy popular porque reduce la cantidad de direcciones IP de Internet que una empresa debe poseer. También es un muy buen sistema para que lo usen los servicios VPN porque todo el tráfico que sale de la puerta de enlace VPN tendrá la misma dirección de retorno. Como muchos servicios VPN tienen cientos de clientes conectados a la misma ubicación al mismo tiempo, es imposible desentrañar de qué suscriptor proviene cada solicitud.

Cortafuegos NAT y torrents

Debido a que los cortafuegos NAT prohíben que el tráfico no solicitado llegue a los dispositivos de los usuarios finales, pueden causar problemas al descargar torrents. Mientras tengas uno, es posible que no puedas cargar archivos para que los descarguen otros usuarios de torrent. Por el contrario, es posible que no puedas conectarte a tantos pares desde los que puedas descargar archivos. Un firewall NAT puede aislarte de una parte significativa de los usuarios en un enjambre de torrents. Lo mismo ocurre con los cortafuegos PAT.

Sin embargo, eso no quiere decir que la descarga de torrents sea imposible con un cortafuegos NAT. La mayoría de los firewalls NAT en estos días no son tan estrictos como para afectar significativamente el rendimiento de descarga o carga. Es posible que encuentres cortafuegos más estrictos en entornos públicos como hoteles o escuelas, pero la mayoría de los enrutadores domésticos y los servicios VPN no restringen los torrents de esta manera.

Si un firewall NAT en tu red local te impide descargar torrents, puedes usar una VPN para eludirlo. Recuerda que debido a que todo el tráfico entrante pasa por la VPN y está encriptado, tu firewall NAT local no puede distinguir entre el tráfico solicitado y el no solicitado. Incluso si la VPN tiene su propio cortafuegos NAT, probablemente será menos estricto que el de tu red privada.

Un puñado de VPN te permite configurar el reenvío de puertos para eludir las restricciones del firewall NAT mientras descargas torrents, pero es importante tener en cuenta que hacerlo compromete la seguridad. Abrir puertos te vuelve más vulnerable a los ataques y, debido a que estás utilizando un puerto especial, tu tráfico de Internet se distingue más fácilmente de otros usuarios de VPN. Eso te hace más fácil de rastrear.

El reenvío de puertos también es una característica común en los clientes de torrent como uTorrent, pero se aplican los mismos riesgos.

La mejor VPN con cortafuegos NAT

IPVanish

Todos los servidores de IPVanish usan cortafuegos NAT para permitir que los usuarios compartan sus direcciones IP públicas. Las aplicaciones incluso te permiten cambiar de IP a intervalos de tiempo. Debido al cortafuegos NAT, no puedes acceder al reenvío de puertos a tu dispositivo mientras estás conectado. Para algunos, esta es una precaución de seguridad útil. Para otros, es un obstáculo. IPVanish dice que la mayoría de los usuarios no reenvían puertos y no se verán afectados.

Además del NAT Firewall, IPVanish es una VPN de calidad con rigurosos estándares de seguridad y una política de cero registros. Puedes conectar hasta 10 dispositivos a la vez, que es el doble de lo que ofrece la mayoría de las VPN. IPVanish crea aplicaciones para Windows, MacOS, iOS, Android y Amazon Fire TV.

VyprVPN

Ofrece a los usuarios un cortafuegos NAT para protegerles de los piratas informáticos que, de lo contrario, podrían acceder a su sistema a través de las conexiones que sus aplicaciones dejan abiertas. Además, puedes configurar manualmente qué puertos utiliza el protocolo OpenVPN. Si realmente deseas personalizar tu conexión VPN, VyprVPN podría ser la indicada para ti.

La empresa utiliza un cifrado fuerte y no registra ninguna actividad o información de identificación. Posee muchos de sus propios servidores y centros de datos, que abarcan unos 60 países.

VyprVPN crea aplicaciones para Windows, MacOS, iOS y Android. Puedes conectar hasta cinco dispositivos a la vez.

Beneficios de los firewall NAT

Los principales beneficios de un firewall NAT son:

Acceso masivo y procesamiento de concurrencia

Para escenarios de aplicaciones de Internet a gran escala, como la red de área metropolitana IP del operador y la red móvil, con usuarios a gran escala, acceso simultáneo de alta densidad y alta sensibilidad a la calidad del ancho de banda, se potencia un mayor rendimiento del equipo NAT.

Los cortafuegos de la serie FS NSG encontraron plataformas de hardware multinúcleo. Con los sistemas operativos totalmente paralelos de 64 bits, pueden realizar el procesamiento informático distribuido, mejorando el rendimiento general del procesamiento. En el aspecto del software, los firewalls de la serie NSG utilizan tecnología de detección unificada para realizar un procesamiento paralelo para reducir las demoras y mejorar la eficiencia.

En combinación con las tecnologías anteriores, la traducción de direcciones de red de los firewalls de la serie NSG aún puede proporcionar un rendimiento máximo de 10 Gbps, 170 000 nuevas concurrencias y 6 millones de capacidad de procesamiento de concurrencia máxima, para satisfacer los requisitos de acceso masivo.

Reconocimiento preciso de aplicaciones y control de acceso

Cómo monitorizar adecuadamente los comportamientos en línea de los usuarios es una preocupación común, por lo que muchos proveedores de servicios de Internet esperan que NAT proporcione métodos de monitorización precisos para garantizar servicios de acceso a Internet seguros y confiables. Sin embargo, el uso de puertos dinámicos y el control de acceso tradicional basado en cinco tuplas hace que sea bastante difícil identificar aplicaciones y llevar a cabo una monitorización efectiva.

Los firewalls de la serie FS NSG lograron la detección cruzada. Pueden identificar con precisión las aplicaciones más utilizadas mediante la realización de un análisis efectivo de sus características, comportamientos de los usuarios y otra información relacionada, y, además, tomar varios métodos de monitorización para lograr un control de acceso preciso, que incluye:

  • Basados ​​en el control de acceso de las aplicaciones, los firewalls pueden monitorizar el comportamiento de los usuarios y bloquear solicitudes ilegales.
  • Los cortafuegos presentaron QoS basado en aplicaciones, lo que puede mejorar aún más la precisión de la gestión del ancho de banda al tiempo que limita el ancho de banda de cada usuario de acceso.
  • Para los proveedores de servicios de Internet con requisitos de alta seguridad, los firewalls de la serie FS NSG pueden identificar aplicaciones con precisión y llevar a cabo una detección profunda de paquetes de datos para bloquear datos ilegales o maliciosos, lo que mejora significativamente la eficiencia y la precisión de la detección de ataques.
  • El filtrado de URL de los firewalls de la serie FS NSG puede evitar que los usuarios accedan a sitios web ilegales. Además, pueden filtrar y registrar contenidos ilegales que suben o descargan los usuarios de acceso.

Selección inteligente de enlaces y equilibrio de carga

Las operaciones de Internet a menudo se caracterizan por múltiples enlaces, gran concurrencia, carga pesada y tipos de aplicaciones complejas. Para superar esos desafíos, los firewalls de la serie FS NSG integran varias tecnologías para brindar soluciones para la selección inteligente de enlaces y el equilibrio de carga, que incluyen:

Según el enrutamiento de los usuarios/aplicaciones, los firewalls de la serie NSG pueden desviar aplicaciones específicas a enlaces específicos, a fin de lograr un equilibrio de carga razonable y un uso científico de los enlaces.

Los cortafuegos de FS demostraron el enrutamiento estratégico basado en el tiempo. Por lo general, los usuarios con acceso basado en la empresa navegan frecuentemente por Internet durante el día, mientras que los usuarios residenciales navegan frecuentemente por la noche. Si toman enlaces diferentes, no todos los enlaces pueden ser usados ​​razonablemente. Los firewalls de la serie FS NSG pueden equilibrar la carga durante todo el día y la noche para asegurarse de que los enlaces se pueden usar de manera suficiente y científica.

Los cortafuegos FS cuentan con la conmutación de enlaces inteligente y dinámica. Pueden detectar una falla en un enlace y desviar la carga a otros enlaces, para asegurarse de que los usuarios de Internet tengan un acceso fluido.

Los cortafuegos FS pueden analizar de forma inteligente la carga y el ancho de banda de diferentes enlaces y realizar un equilibrio de carga razonable.

Multiplexación de puertos que aumenta la capacidad de NAT

La capacidad de NAT es limitada. Una vez que el número de accesos exceda la capacidad, el sistema no podrá procesar y luego descartar esos paquetes de datos. La concurrencia de una sola aplicación es cada vez mayor, lo que requiere una mayor capacidad de NAT.

La multiplexación de puerto único de los firewalls de la serie FS NSG aumenta la cantidad de sesiones simultáneas que pueden ser NAT con una sola dirección IP en un máximo de 16 veces, liberando en gran medida el bloqueo de acceso debido a los recursos de dirección limitada . Además, los firewalls de la serie FS NSG tienen funciones de restricción de sesión, que pueden limitar la cantidad de sesiones de cada usuario de acceso, impidiendo así que demasiadas sesiones anormales ocupen la capacidad NAT y afecten el acceso a Internet de otros.

Soluciones Integrales para la Transición a IPv6

Como solución al agotamiento de los recursos de direcciones IPv4, IPv6 ha recibido un gran desarrollo en los últimos años. Algunos proveedores de Internet y universidades han construido redes relacionadas con IPv6. Sin embargo, es innegable que la transición de IPv4 a IPv6 debe ser un proceso gradual. Por lo tanto, los equipos críticos que probaron el protocolo IPv4, como enrutadores y firewalls, deben proporcionar excelentes soluciones de transición a IPv6.

Las tecnologías proporcionadas por los firewalls de la serie FS NSG, que incluyen IPv6/IPv4 de doble pila, IPv6 en túnel IPv4, IPv4 en túnel IPv6 (DS-Lite), DNS64 y NAT64, pueden garantizar la seguridad de los datos durante la transición entre dos protocolos y brindar soluciones integrales para la transición de IPv4 a IPv6.

Otros beneficios

NAT originalmente no estaba destinado a ser utilizado como un cortafuegos. Se inventó para hacer que las redes fueran más portátiles, de modo que no fuera necesario volver a direccionar todos los dispositivos si la red se movía. Solo el dispositivo NAT, como un enrutador, requeriría una nueva dirección IP pública, mientras que todos los dispositivos conectados a él podrían continuar usando las mismas direcciones IP privadas.

NAT ahora es esencial cuando se trata de conservar el espacio de direcciones global. El protocolo IPv4, que determina cómo se comunican todos los dispositivos en Internet, tiene un número limitado de direcciones IP disponibles. Si cada dispositivo que se conecta a Internet requiriera una dirección IP única, pronto se nos acabaría. La conexión de muchos dispositivos en una red privada a través de una única puerta de enlace NAT solo utiliza una dirección IPv4.

IPv6 se inventó para eventualmente reemplazar a IPv4 con un espacio de direcciones mucho más grande, pero la adopción ha sido lenta, por lo que NAT es una herramienta muy necesaria para mantener Internet en funcionamiento.

Limitaciones del cortafuegos NAT

No todas las computadoras detrás de un firewall NAT son inmunes a los virus. Hoy en día, los piratas tienen que engañar a los usuarios de computadoras para que instalen troyanos. Estos programas enviarán solicitudes a la computadora del hacker. Debido a que el mensaje entrante del pirata informático se envía en respuesta a una solicitud que se originó dentro de la red, la puerta de enlace lo dejará pasar.

Los firewalls NAT no te protegen de las estafas de phishing, en las que recibes un correo electrónico de tu banco en línea que te indica que presiones un botón en el correo electrónico para conectarte a tu cuenta. En este truco, el correo electrónico no es de tu banco, sino de un pirata informático, y cuando inicias sesión en tu cuenta, solo estás ingresando tus credenciales en una página falsa creada por el pirata informático.

Un firewall NAT no te protegerá de un ataque de intermediario, en el que un pirata informático que ejecuta un punto de acceso wifi falso captura todo tu tráfico haciéndose pasar por los servidores a los que deseas conectarte.

Todavía hay muchas debilidades de seguridad en cualquier conexión de las que los firewalls NAT no pueden protegerte. El beneficio de usar una VPN es que implementa muchos procedimientos de seguridad diferentes, incluidos el cifrado y los certificados de autenticación para evitar que te estafen o te espíen.

Conclusión

Los firewalls NAT son una característica de seguridad esencial en todos los enrutadores, ya que protegen tu red del tráfico no deseado y potencialmente malicioso. Desafortunadamente, cuando usas una VPN, el firewall NAT de tu enrutador no puede detectar ni bloquear el tráfico sospechoso.

Es por eso que recomendamos usar una VPN que use su propio firewall NAT en tus servidores. De esa manera, tus servidores filtrarán cualquier dato dudoso. Por supuesto, también debes asegurarte de que la VPN tenga otras formas de proteger tus datos, como un cifrado potente, políticas de no registro, protección contra fugas y Kill Switches.