viernes, 18 de noviembre de 2005

La tabla de rutas

Hace unos días, un amigo mío contactó conmigo por jabber. Se conecta a internet mediante un router Zyxel inalámbrico de los que proporciona Telefónica y quería saber cuál era su dirección IP externa. Es decir, la que se ve de cara a internet. Le dije que fuera a la página web de adsl4ever y que allí lo podría ver.

Una vez que hubo satisfecho su curiosidad, intentó ver si tenía algún puerto abierto en su router. El más fácil de comprobar era el puerto de gestión del router, accesible por interfaz web (puerto 80). Así que dirigió su navegador a la dirección IP externa del router y... cáspita! Sale la interfaz de login para la administración del router.

¿Significa eso que cualquiera que acceda a la dirección externa de mi router puede ver esta página? ¿Y que puede intentar, mediante prueba y error, logarse en mi router y cambiar y hacer lo que quiera con el?

Eso, en efecto, sería un problema de seguridad. Así que volvió a contactar conmigo y me preguntó cómo saber si tenía algún puerto abierto en su router. Hay varios 'port scanners' en internet, pero siempre recuerdo el shieldsUP de Gibson Research Corporation. Después de realizar el test de puertos, mi amigo descubrió que no había ni un solo puerto abierto en su router. Así que, visto desde el exterior, estaba todo cerrado y bien cerrado.

Pero el seguía entrando en la página web de administración del router apuntando con su navegador a su dirección IP externa. Algo que no lo dejaba del todo tranquilo. Bueno, pues la solución es sencilla. El comportamiento del router es normal y se debe a su tabla de rutas.

Es fácil entender el problema mirando la salida del comando 'route' en linux o 'route print' en M$ Windows. Si se mira con atención la línea donde aparece la IP del interfaz de red del sistema, puede verse algo como esto:
Destino de red Máscara de red Puerta de acceso Interfaz
...
... ... ...
192.168.xxx.xx 255.255.255.255 127.0.0.1 127.0.0.1
Como puede verse en esta captura, aunque uno intente conectarse desde la máquina local al interfaz de red, acabas siendo antendido por el interfaz de loopback. Ese es el caso del router. Aunque se intenta conectar con la interfaz externa del router, en su tabla de rutas aparece una línea equivalente a esta, que hace que cualquier petición que venga de la red interna al interfaz externo acabe siendo atendida por la interfaz interna. Y por lo tanto, aparece el login para entrar en la configuración del router.

Así que no, nadie va a poder acceder a la configuración del router desde internet. A no ser que en la configuración del firewall que cierra los puertos aparezcan un par de excepciones a las reglas por defecto. Excepciones que permiten a cierto grupo de direcciones IP pertenecientes Telefónica acceder remotamente a la configuración de su router.

Pero eso, eso es otra historia ;-)

No hay comentarios: