¿Qué es un firewall NAT y cómo funciona?

En el campo de las redes de computadoras, NAT significa norteetwork UNvestido Ttraducción. En términos más simples, NAT permite que muchos dispositivos en una red privada compartan un solo puerta a la Internet. A su vez, todos esos dispositivos tendrán el mismo dirección IP pública—La de la puerta de entrada— y única direcciones IP privadas. Estas puertas de enlace se encuentran comúnmente en enrutadores wifi y algunos servicios VPN. Por ejemplo, todos los dispositivos conectados a un enrutador wifi habilitado para NAT tienen diferentes direcciones IP privadas, pero comparten la dirección IP pública del enrutador.

SALTE DIRECTO A: Las mejores VPN con firewalls NAT

Cuando visita un sitio web, su dispositivo envía una solicitud al enrutador, identificándose con su dirección IP privada. Luego, el enrutador traduce la solicitud y la reenvía al servidor del sitio web con su dirección IP pública, tomando nota de la dirección privada de origen. El servidor responde al enrutador con una copia del sitio web, que luego envía a su dispositivo a través de la dirección IP privada..

UN cortafuegos es una capa de protección que evita las comunicaciones no deseadas entre dispositivos en una red, como internet.

UN Cortafuegos NAT funciona permitiendo solo que el tráfico de Internet pase a través de la puerta de enlace si un dispositivo en la red privada lo solicitó. Cualquier solicitud no solicitada o paquetes de datos se descartan, lo que impide la comunicación con dispositivos potencialmente peligrosos en Internet. Si el tráfico de Internet entrante no tiene una dirección IP privada para reenviar más allá de la puerta de enlace, el firewall NAT sabe que el tráfico no es solicitado y debe descartarse.

Las computadoras y servidores en Internet solo pueden ver la dirección IP pública del enrutador y ninguna de las direcciones IP privadas de dispositivos específicos, como teléfonos, computadoras portátiles, televisores inteligentes, dispositivos de Internet de las cosas y consolas de juegos. Esto también se conoce como Enmascaramiento de IP.

Cómo saber si estoy detrás de un firewall NAT

¿No está seguro si su enrutador wifi tiene un firewall NAT habilitado? Intente conectar dos dispositivos a la misma red wifi, como una computadora portátil y un teléfono inteligente.

Ahora, en cada uno de ellos, ejecute una búsqueda en Google de “¿cuál es mi IP?”

Si ve la misma dirección IP para ambos dispositivos, probablemente esté detrás de un firewall NAT. Sus dispositivos tienen diferentes direcciones IP privadas (locales), pero la misma dirección IP pública.

En una VPN, puede ser más difícil determinar si se está utilizando un cortafuegos NAT, pero generalmente puede encontrarlo en algún lugar de la documentación de su proveedor de VPN. Es posible que tenga la opción de habilitar o deshabilitar un firewall NAT en la configuración de su aplicación VPN, o comprar uno como un extra opcional.

Cortafuegos NAT y VPN

Una VPN, o red privada virtual, encripta el tráfico de Internet de un dispositivo y lo enruta a través de un servidor intermediario en la ubicación que elija el usuario. Debido a que todo el tráfico de Internet se “canaliza” a través de la VPN antes de llegar a Internet, el cortafuegos NAT en su enrutador wifi no puede distinguir entre el tráfico solicitado y el no solicitado. Como todo viene cifrado desde el servidor VPN, todo se ve igual, lo que hace que el firewall NAT de su enrutador sea inútil.

Por esta razón, muchas VPN implementan firewalls NAT. En lugar de que su enrutador wifi filtre el tráfico no deseado, el servidor VPN lo hace en su lugar. A veces, los firewalls NAT son un extra opcional y, a veces, están integrados en las VPN de forma predeterminada..

No todos están de acuerdo en que los firewalls NAT y las VPN son una buena combinación.

Los proveedores de VPN generalmente caen en uno de dos campos: los que usan firewalls NAT y los que usan firewalls PAT. Explicaremos esto último más abajo.

Una VPN que usa un firewall NAT asigna a cada usuario una dirección IP privada única. Extiende todos los beneficios del firewall NAT del enrutador wifi, como se discutió anteriormente, a su conexión VPN.

La desventaja es que, a pesar de que está protegido contra la comunicación no deseada, su dispositivo podría ser rastreado más fácilmente por el proveedor de VPN o un tercero.

El método alternativo es asignar la misma dirección IP pública a todos los usuarios de VPN conectados al mismo servidor, sin direcciones IP privadas únicas. Esto agrega una capa significativa de anonimato, porque la actividad en línea no puede rastrearse a una persona o dispositivo individual por una dirección IP.

ExpressVPN es un proveedor que argumenta en contra de los firewalls NAT. La compañía dice que usa una política de bloqueo de puertos en lugar de un firewall NAT:

“Los servidores de ExpressVPN recuerdan todas las solicitudes y las transmiten desde diferentes puertos en el servidor. El usuario recibe una respuesta de ExpressVPN, pero otros puertos permanecen cerrados. Mantener los puertos cerrados protege a los usuarios como lo haría un firewall ”.

Traducción de dirección de puerto

Muchos sistemas conocidos como firewalls NAT son en realidad firewalls PAT. PAT significa PAGort UNvestido Ttraducción. Similar a NAT, habilita una puerta de enlace de red con una dirección IP para representar muchas computadoras. La diferencia es que a cada dispositivo se le asigna un número de puerto en lugar de una dirección IP privada.

Cuando una puerta de enlace de red recibe una dirección saliente de una computadora en la red, reemplaza la dirección de retorno de la computadora con su propia dirección compatible con Internet y agrega un número de puerto al final. La puerta de enlace hace una entrada en su tabla de traducción para que sepa que el número de puerto que utilizó representa una computadora específica en la red.

Este sistema es muy popular porque reduce la cantidad de direcciones IP de Internet que una empresa necesita tener. También es un sistema muy bueno para los servicios VPN porque todo el tráfico que sale de la puerta de enlace VPN tendrá la misma dirección de retorno. Como muchos servicios VPN tienen cientos de clientes conectados a la misma ubicación al mismo tiempo, es imposible desenredar de qué suscriptor provino cada solicitud.

Cortafuegos NAT y torrents

Debido a que los cortafuegos NAT prohíben que el tráfico no solicitado llegue a los dispositivos de los usuarios finales, pueden causar problemas al realizar torrents. Mientras está detrás de uno, es posible que no pueda cargar archivos (semilla) para que otros usuarios de torrent descarguen. Por el contrario, es posible que no pueda conectarse a tantos pares desde los que puede descargar archivos (sanguijuela). Un cortafuegos NAT puede aislarlo de una porción significativa de usuarios en un enjambre de torrentes. Lo mismo ocurre con los cortafuegos PAT.

Sin embargo, eso no quiere decir que el torrenting sea imposible con un firewall NAT. La mayoría de los firewalls NAT en estos días no son tan estrictos que impactan significativamente el rendimiento de carga o descarga. Es posible que encuentre firewalls más estrictos en entornos públicos como hoteles o escuelas, pero la mayoría de los enrutadores domésticos y servicios VPN no restringen el torrenting de esta manera.

Si un cortafuegos NAT en su red local le impide realizar torrents, puede usar una VPN para evitarlo. Recuerde que debido a que todo el tráfico entrante pasa a través de la VPN y está encriptado, su firewall NAT local no puede distinguir entre el tráfico solicitado y el no solicitado. Incluso si la VPN tiene su propio firewall NAT, es probable que sea menos estricto que el de su red privada.

Un puñado de VPN le permite configurar el reenvío de puertos para eludir las restricciones de firewall NAT mientras realiza torrents, pero es importante tener en cuenta que hacerlo compromete la seguridad. Abrir puertos lo deja más vulnerable a los ataques, y debido a que está utilizando un puerto especial, su tráfico de Internet se distingue más fácilmente de otros usuarios de VPN. Eso te hace más fácil de rastrear.

El reenvío de puertos también es una característica común en clientes de torrent como uTorrent, pero se aplican los mismos riesgos.

La mejor VPN con un firewall NAT: IPVanish

Aplicaciones disponibles:

• ordenador personal
• Mac
• IOS
• Androide
• Linux

Sitio web: www.IPVanish.com

Garantía de reembolso: 7 DÍAS

Todos IPVanish los servidores usan firewalls NAT para permitir a los usuarios compartir sus direcciones IP públicas. Las aplicaciones incluso le permiten cambiar de IP a intervalos programados. Debido al cortafuegos NAT, no puede transferir el acceso a su dispositivo mientras está conectado. Para algunos, esta es una precaución de seguridad útil. Para otros, es un obstáculo. IPVanish dice que la mayoría de los usuarios no transfieren puertos y no se verán afectados.

Además del cortafuegos NAT, IPVanish es una VPN de calidad con rigurosos estándares de seguridad y una política de no registros. Puede conectar hasta 10 dispositivos a la vez, que es el doble de lo que ofrece la mayoría de las VPN. IPVanish crea aplicaciones para Windows, MacOS, iOS, Android y Amazon Fire TV.

LA MEJOR VPN CON FIREWALL NAT: a pesar de bloquear el reenvío de puertos, IPVanish se creó desde cero teniendo en cuenta los torrents: rápido y privado. Viene con una garantía de devolución de dinero de 7 días..

Lea nuestra revisión completa de IPVanish.

Subcampeón: VyprVPN

Aplicaciones disponibles:

• ordenador personal
• Mac
• IOS
• Androide
• Linux

Sitio web: www.VyprVPN.com

Garantía de reembolso: 30 DIAS

VyprVPN ofrece a los usuarios un cortafuegos NAT para proteger a los usuarios de los piratas informáticos que de otro modo podrían llegar a su sistema a través de las conexiones que dejan abiertas sus aplicaciones. Además, puede establecer manualmente qué puertos utiliza el protocolo OpenVPN. Si realmente desea personalizar su conexión VPN, VyprVPN podría ser el indicado para usted.

La empresa utiliza un cifrado seguro y no registra ninguna información o actividad de identificación. Posee muchos de sus propios servidores y centros de datos, que abarcan unos 60 países..

VyprVPN crea aplicaciones para Windows, MacOS, iOS y Android. Puede conectar hasta cinco dispositivos a la vez.

VPN NAT FIREWALL: el firewall NAT de VyprVPN y otras medidas de seguridad funcionan para permitirle navegar y descargar de forma segura desde cualquier parte del mundo. Puede probarlo con una prueba gratuita de 3 días.

Lea nuestra revisión completa de VyprVPN.

Mejor VPN sin un firewall NAT: ExpressVPN

Aplicaciones disponibles:

• ordenador personal
• Mac
• IOS
• Androide
• Linux

Sitio web: www.ExpressVPN.com

Garantía de reembolso: 30 DIAS

ExpressVPN ofrece un servicio de dirección IP compartida y agrega medidas de seguridad mediante el uso del protocolo OpenVPN con cifrado AES de 256 bits. El intercambio de claves AES está protegido por un cifrado RSA de 4096 bits, que es imposible de descifrar.

ExpressVPN no almacena ningún registro de identificación y el torrenting está permitido en todos los servidores. El servicio es rápido e incluye acceso a miles de servidores en 94 países. Funciona en China y se puede usar para desbloquear una gran cantidad de contenido geográficamente restringido en sitios como Netflix y Hulu.

ExpressVPN crea aplicaciones para Windows, MacOS, iOS, Android, Linux, Amazon Fire TV y ciertos enrutadores wifi. Puede conectar hasta tres dispositivos a la vez. Un enrutador cuenta como un dispositivo sin importar cuántos dispositivos estén conectados a él.

MEJOR VPN SIN FIREWALL: ExpressVPN es una VPN premium con seguridad robusta y algunas excelentes capacidades de desbloqueo para arrancar. Viene con una garantía de devolución de dinero de 30 días..

Lea nuestra revisión completa de ExpressVPN.

Subcampeón: NordVPN

Aplicaciones disponibles:

• ordenador personal
• Mac
• IOS
• Androide
• Linux

Sitio web: www.NordVPN.com

Garantía de reembolso: 30 DIAS

NordVPN utiliza un modelo de dirección IP compartida, pero hay algunas direcciones IP dedicadas disponibles en las aplicaciones. Nord opera más de 5,000 servidores en más de 60 países. Se adhiere a una política estricta de cero registros, y sus aplicaciones son tan seguras como pueden ser. Esta también es una buena opción si está intentando desbloquear contenido bloqueado por región.

Se ofrecen algunos tipos de conexión alternativos para un puñado de servidores. Estos incluyen servidores optimizados para P2P, aunque los torrents están bien en cualquiera de ellos. Otras opciones incluyen Tor sobre VPN y doble VPN.

NordVPN permite hasta seis conexiones simultáneas y crea aplicaciones para Windows, MacOS, iOS, Android, Linux y Amazon Fire TV.

NO NAT VPN: NordVPN ofrece una gran cantidad de servidores de alta velocidad y una variedad de diferentes tipos de conexión. Viene con una garantía de devolución de dinero de 30 días..

Lea nuestra revisión completa de NordVPN.

Limitaciones de firewall NAT

No todas las computadoras detrás de un firewall NAT son inmunes a los virus. Hoy en día, los hackers tienen que engañar a los usuarios de computadoras para que instalen troyanos. Estos programas enviarán solicitudes a la computadora del hacker. Debido a que el mensaje entrante del hacker se envía en respuesta a una solicitud que se originó dentro de la red, la puerta de enlace lo dejará pasar.

Los firewalls NAT no lo protegen de las estafas de phishing, donde recibe un correo electrónico de su banco en línea que le indica que presione un botón en el correo electrónico para conectarse a su cuenta. En este truco, el correo electrónico no es de su banco, sino de un hacker, y cuando inicia sesión en su cuenta, simplemente ingresa sus credenciales en una página falsa creada por el hacker.

Un firewall NAT no lo protegerá de un ataque de hombre en el medio, en el que un hacker que ejecuta un punto de acceso wifi falso captura todo su tráfico haciéndose pasar por los servidores a los que desea conectarse.

Todavía hay muchas debilidades de seguridad en cualquier conexión de las que los firewalls NAT no pueden protegerlo. El beneficio de usar una VPN es que implementa muchos procedimientos de seguridad diferentes, incluidos los certificados de encriptación y autenticación para evitar que te engañen o espíen.

Cómo funciona la traducción de direcciones IP

Si todas las computadoras en una red se conectaran directamente a Internet, entonces cada una requeriría una dirección IP globalmente única. Sin embargo, la configuración más común es canalizar toda la comunicación de Internet para todas las computadoras en una red a través de una puerta de enlace. En este escenario, todas las computadoras necesitan direcciones IP que solo necesitan ser únicas en esa red.

Otras redes privadas pueden usar las mismas direcciones, pero eso no importa porque esas direcciones serán únicas dentro de sus respectivas redes. Solo la dirección IP de la puerta de enlace debe ser única en Internet.

La puerta de enlace debe realizar un seguimiento de todas las computadoras en la red privada que han enviado solicitudes a través de Internet. Cuando llega una respuesta, la puerta de enlace busca qué computadora envió la solicitud en su tabla de traducción de direcciones de red para que sepa dónde reenviar la respuesta.

Cuando una computadora en la red envía una solicitud a un servidor en Internet, la puerta de enlace de la red sustituye la dirección de red privada escrita en esas comunicaciones con una dirección de Internet única. Cuando finaliza la sesión, esa dirección privada se devuelve al grupo y se asignará a otra computadora. Por lo tanto, las direcciones de Internet en la red privada están ocultas y nadie afuera puede estar seguro exactamente qué computadora en la red envió la solicitud. La puerta de enlace lo sabe porque tiene un registro en su tabla de traducción de direcciones de red.

Al final de la conexión, cuando la dirección asignada se devuelve al grupo, la puerta de enlace elimina la entrada NAT para esa dirección de su tabla de traducción.

Otros beneficios de NAT

Originalmente, NAT no estaba destinado a ser utilizado como firewall. Fue inventado para hacer que las redes sean más portátiles, de modo que no todos los dispositivos tendrían que ser redirigidos si la red se moviera. Solo el dispositivo NAT, como un enrutador, requeriría una nueva dirección IP pública, mientras que todos los dispositivos conectados a él podrían continuar usando las mismas direcciones IP privadas.

NAT ahora es esencial cuando se trata de conservar el espacio global de direcciones. El protocolo IPv4, que determina cómo se comunican todos los dispositivos en Internet, tiene un número limitado de direcciones IP disponibles. Si cada dispositivo que se conecta a Internet requiere una dirección IP única, pronto nos quedaríamos sin batería. La conexión de muchos dispositivos en una red privada a través de una única puerta de enlace NAT solo usa una dirección IPv4.

IPv6 se inventó para reemplazar eventualmente IPv4 con un espacio de direcciones mucho más grande, pero la adopción ha sido lenta, por lo que NAT es una herramienta muy necesaria para mantener Internet en funcionamiento.

Créditos de imagen:

• “CPT-NAT” [derivado de] Miles J Pool, CC BY 4.0
• Yangliy en Wikilibros en inglés [Dominio público], a través de Wikimedia Commons (1), (2)