Hay muchas cosas sobre la conectividad de red en las que la persona promedio no piensa dos veces: una de ellas es la puerta de enlace predeterminada del sistema. Garantiza que los dispositivos puedan comunicarse. Es especialmente importante cuando los puntos finales están fuera de su red: dentro o fuera, las transmisiones deben llegar a sus destinos para que las comunicaciones funcionen. Suena básico, pero hay mucho sucediendo detrás de escena. Esto es lo que necesita saber. 1. Cómo funciona una puerta de enlace predeterminada Cuando se comunica a través de Internet, sus datos se dividen en pequeños paquetes (llamados paquetes de datos). Estos se envían a su destino y se vuelven a ensamblar una vez que llegan. Una puerta de enlace predeterminada actúa como intermediario entre su red de área local (LAN), como su Wi-Fi en casa, e Internet. En la mayoría de los hogares, un enrutador es la puerta de enlace predeterminada. Es lo mismo en un entorno empresarial. Sin embargo, las puertas de enlace corporativas suelen ser más avanzadas, con características adicionales como firewalls complejos y servidores proxy. Cuando una computadora o teléfono intenta acceder a un sitio web o algún tipo de datos fuera de la red local, las puertas de enlace predeterminadas se aseguran de que sus paquetes de datos se envíen en la dirección correcta. Permiten que la información entre y salga. Cada paquete de datos pasa por su puerta de enlace predeterminada al menos una vez, a menos que se esté conectando a algo dentro de la red. A continuación, se muestran algunos ejemplos de diferentes tipos de puertas de enlace predeterminadas en acción: Oficina en casa: su enrutador es una puerta de enlace predeterminada que conecta dispositivos a Internet. Redes internas: en entornos comerciales, una puerta de enlace predeterminada conecta servidores internos y subredes a redes externas. Enruta el tráfico entre diferentes partes de la red y el mundo exterior. Sitios web: cuando visita un sitio web, su puerta de enlace predeterminada enruta su solicitud a su proveedor de servicios de Internet (ISP). Su ISP reenvía la solicitud a un servidor que contiene los datos del sitio web. Luego le permite ver esos datos en forma de sitio web. Firewalls de aplicaciones web (WAF): se trata de una puerta de enlace de aplicación especializada que evita que el tráfico potencialmente dañino acceda a sus servidores y aplicaciones. Puerta de enlace troncal SIP: este tipo de puerta de enlace permite a las empresas integrar la tecnología VoIP con sus sistemas telefónicos heredados, actuando como un puente entre los sistemas telefónicos tradicionales y basados en Internet. VER: Conozca las diferencias entre VoIP y los sistemas telefónicos de línea fija. 2. Cómo encontrar la dirección IP de tu puerta de enlace predeterminada La dirección IP de tu puerta de enlace predeterminada suele ser la misma que la dirección IP de tu enrutador. Pero, ¿por qué necesitarías saber esto? Para solucionar problemas. Es posible que lo necesites al configurar los ajustes del enrutador y cambiar a un nuevo enrutador, pero también puede ayudarte a identificar problemas de red, como si un problema está en tu enrutador o en tu proveedor de servicios de Internet. Del mismo modo, también es bueno saber la dirección IP de tu puerta de enlace por razones de seguridad. Si bien cambiarla no es una forma infalible de proteger tu red, actualizar regularmente la configuración y las contraseñas de tu enrutador dificulta que terceros adivinen el punto de acceso de tu enrutador. A continuación, se muestra cómo encontrar la dirección IP de tu puerta de enlace predeterminada en diferentes dispositivos: Windows (los pasos pueden variar para las diferentes versiones del sistema operativo): Abre el menú Inicio o el cuadro de búsqueda. Ve a Configuración (o Panel de control) y haz clic en Red e Internet. Haz clic en Configuración de red avanzada. Abre el Centro de redes y recursos compartidos. Encontrarás tu puerta de enlace predeterminada en la sección IPv4 o IPv6. Alternativamente, puedes usar el símbolo del sistema: Escribe cmd en la barra de búsqueda para abrirlo. Escriba ipconfig y presione enter. Busque la entrada Puerta de enlace predeterminada en Conexión de área local del adaptador Ethernet. Busque su puerta de enlace predeterminada en un sistema operativo Windows. Imagen: Eze Onukwube. Sistemas Linux: Abra una ventana de terminal. Escriba ifconfig para mostrar la información de la red. Si recibe un error, escriba sudo ifconfig para ejecutarlo con permisos administrativos. Usuarios de MacOS: Abra el Menú Apple y vaya a Preferencias del sistema. Haga clic en Red. Seleccione su red actual y haga clic en Detalles. En la pestaña TCP/IP, busque su puerta de enlace predeterminada junto a Enrutador. Alternativamente, puede usar una terminal: Abra una aplicación de terminal. Escriba route get default | grep gateway para mostrarla. 3. Cómo configurar una puerta de enlace predeterminada La mayoría de los enrutadores asignan automáticamente una puerta de enlace predeterminada. En la mayoría de los casos, no necesita hacer nada en absoluto; normalmente funciona como debería sin tocar nada. Sin embargo, configurarlo manualmente puede ayudar con la resolución de problemas o la configuración de una dirección IP estática. Primero, busque la dirección IP de su puerta de enlace predeterminada utilizando uno de los métodos de la última sección. Español: Entonces: Mac y Linux: Abra Preferencias de red e ingrese manualmente la dirección IP de su puerta de enlace predeterminada en el campo correspondiente. Windows: Vaya a la configuración TCP/IPv4 e ingrese manualmente su dirección IP. Una vez que haya hecho esto, su enrutador usará esta puerta de enlace como su ruta fija para conectarse a Internet. Esto se llama asignación estática: ya no cambiará automáticamente. 4. La diferencia entre una puerta de enlace y un enrutador Los enrutadores y las puertas de enlace comparten muchas similitudes: un enrutador generalmente actúa como su puerta de enlace predeterminada. La dirección IP de los dos también suele ser la misma, lo que lo hace aún más confuso. Sin embargo, hay una ligera diferencia entre los dos. Puerta de enlace es un término general para cualquier dispositivo que actúa como punto de entrada y salida entre dos redes. Un enrutador, por otro lado, es un tipo específico de puerta de enlace que dirige datos entre diferentes redes, como su red doméstica e Internet. Los enrutadores se enfocan en administrar el tráfico entre su red local y todas las demás redes que existen. La puerta de enlace predeterminada enruta el tráfico a un destino específico que ha solicitado. 5. Importancia de la dirección IP predeterminada del enrutador (192.168.1.1) Muchos enrutadores y módems utilizan esta dirección IP de forma predeterminada. Es parte del rango IPv4 reservado para redes privadas, que crean un flujo de datos unidireccional: puede conectarse a Internet, pero Internet no puede conectarse a su dispositivo. Conocer este número significa que puede acceder a la configuración de su enrutador y configurar cosas como su contraseña de Wi-Fi, configuraciones de seguridad y más. También puede escribir 192.168.1.1 en un navegador web para iniciar sesión en su navegador. Los fabricantes usan esta dirección IP para simplificar y mantener la coherencia. Facilita el trabajo tanto para los usuarios como para el personal de soporte. Sin embargo, puede cambiarla si experimenta conflictos de direcciones IP con otros dispositivos o si desea personalizar su configuración de red. 6. Las puertas de enlace predeterminadas pueden ayudarlo a solucionar problemas de conectividad, redes y VPN Además de dirigir el tráfico, desempeñan un papel clave en la resolución de diversos problemas, especialmente cuando su enrutador actúa como su puerta de enlace predeterminada. Problemas de red: una puerta de enlace predeterminada es crucial cuando su dispositivo no sabe cómo llegar a su destino. La puerta de enlace enruta su solicitud, lo que le ayuda a evitar problemas cuando su dispositivo envía datos fuera de su red local. Servidores DNS: si está utilizando una VPN y tiene problemas para cargar sitios web, su puerta de enlace predeterminada puede reenviar solicitudes a servidores DNS. Si hay un problema, su puerta de enlace predeterminada puede ayudar a identificar qué está causando el problema. Protección de la seguridad en línea: debido a que es el principal punto de entrada y salida para el tráfico de red, las puertas de enlace predeterminadas fortalecen la seguridad al filtrar el acceso no autorizado. Cuando se hacen bien, bloquean la entrada de datos dañinos a su red. Mantenimiento de la comunicación entre dispositivos: una puerta de enlace predeterminada garantiza que los dispositivos de su red puedan comunicarse entre sí. También garantiza que pueda acceder de manera fácil y confiable a cosas fuera de su red. Hace un trabajo tan bueno que la mayoría de las personas ni siquiera saben que está funcionando detrás de escena.
Etiqueta: enrutador
Los investigadores de seguridad cibernética han expuesto una vulnerabilidad en el protocolo RADIUS, denominada BlastRADIUS. Si bien no hay evidencia de que los actores de amenazas la estén explotando activamente, el equipo solicita que se actualicen todos los servidores RADIUS. ¿Qué es el protocolo RADIUS? RADIUS, o Remote Authentication Dial-In User Service, es un protocolo de red que proporciona autenticación, autorización y contabilidad centralizadas para los usuarios que se conectan a un servicio de red. Es ampliamente utilizado por proveedores de servicios de Internet y empresas para conmutadores, enrutadores, servidores de acceso, firewalls y productos VPN. ¿Qué es un ataque BlastRADIUS? Un ataque BlastRADIUS implica que el atacante intercepte el tráfico de red entre un cliente, como un enrutador, y el servidor RADIUS. Luego, el atacante debe manipular el algoritmo hash MD5 de modo que un paquete de red de acceso denegado se lea como acceso aceptado. Ahora, el atacante puede obtener acceso al dispositivo cliente sin las credenciales de inicio de sesión correctas. Aunque es bien sabido que MD5 tiene debilidades que permiten a los atacantes generar colisiones o invertir el hash, los investigadores afirman que el ataque BlastRADIUS «es más complejo que simplemente aplicar un antiguo ataque de colisión MD5» y más avanzado en términos de velocidad y escala. Esta es la primera vez que se ha demostrado prácticamente un ataque MD5 contra el protocolo RADIUS. ¿Quién descubrió la vulnerabilidad BlastFLARE? Un equipo de investigadores de la Universidad de Boston, Cloudflare, BastionZero, Microsoft Research, Centrum Wiskunde & Informatica y la Universidad de California en San Diego descubrió por primera vez la vulnerabilidad BlastRADIUS en febrero y notificó a Alan DeKok, director ejecutivo de InkBridge Networks y experto en RADIUS. La falla BlastRADIUS, ahora rastreada como CVE-2024-3596 y VU#456537, se debe a una «falla de diseño fundamental del protocolo RADIUS», según un anuncio de seguridad del servidor RADIUS FreeRADIUS, mantenido por DeKok. Por lo tanto, no se limita a un solo producto o proveedor. Español:VER: Cómo usar FreeRADIUS para la autenticación SSH “Los técnicos de red tendrán que instalar una actualización de firmware y reconfigurar esencialmente cada conmutador, enrutador, GGSN, BNG y concentrador VPN en todo el mundo”, dijo DeKok en un comunicado de prensa. “Esperamos ver mucha conversación y actividad relacionada con la seguridad RADIUS en las próximas semanas”. ¿Quién se ve afectado por la falla de BlastRADIUS? Los investigadores descubrieron que las implementaciones de RADIUS que usan PAP, CHAP, MS-CHAP y RADIUS/UDP a través de Internet se verán afectadas por la falla de BlastRADIUS. Esto significa que los ISP, los proveedores de identidad en la nube, las compañías de telecomunicaciones y las empresas con redes internas están en riesgo y deben tomar medidas rápidas, especialmente si se usa RADIUS para inicios de sesión de administrador. Las personas que usan Internet desde casa no son directamente vulnerables, pero dependen de que su ISP resuelva la falla de BlastRADIUS, o de lo contrario su tráfico podría dirigirse a un sistema bajo el control del atacante. Las empresas que utilizan protocolos PSEC, TLS o 802.1X, así como servicios como eduroam u OpenRoaming, se consideran seguras. Cobertura de seguridad de lectura obligada ¿Cómo funciona un ataque BlastRADIUS? La explotación de la vulnerabilidad aprovecha un ataque de intermediario en el proceso de autenticación RADIUS. Se basa en el hecho de que, en el protocolo RADIUS, algunos paquetes de solicitud de acceso no están autenticados y carecen de comprobaciones de integridad. Un atacante comenzará por intentar iniciar sesión en el cliente con credenciales incorrectas, lo que generará un mensaje de solicitud de acceso que se envía al servidor. El mensaje se envía con un valor de 16 bytes llamado autenticador de solicitud, generado a través del hash MD5. El autenticador de solicitud está destinado a ser utilizado por el servidor destinatario para calcular su respuesta junto con un llamado «secreto compartido» que solo conocen el cliente y el servidor. Entonces, cuando el cliente recibe la respuesta, puede descifrar el paquete utilizando su autenticador de solicitud y el secreto compartido, y verificar que fue enviado por el servidor de confianza. Pero, en un ataque BlastRADIUS, el atacante intercepta y manipula el mensaje de solicitud de acceso antes de que llegue al servidor en un ataque de colisión MD5. El atacante agrega datos «basura» al mensaje de solicitud de acceso, lo que garantiza que la respuesta de acceso denegado del servidor también incluya estos datos. Luego, manipula esta respuesta de acceso denegado de modo que el cliente la lea como un mensaje de aceptación de acceso válido, lo que le otorga acceso no autorizado. Descripción general del ataque BlastRADIUS. Imagen: Cloudflare Los investigadores de Cloudflare realizaron el ataque en dispositivos RADIUS con un período de tiempo de espera de cinco minutos. Sin embargo, existe la posibilidad de que los atacantes con recursos informáticos sofisticados lo realicen en un tiempo significativamente menor, potencialmente entre 30 y 60 segundos, que es el período de tiempo de espera predeterminado para muchos dispositivos RADIUS. «La clave del ataque es que, en muchos casos, los paquetes de solicitud de acceso no tienen verificación de autenticación o integridad», se lee en la documentación de InkBridge Networks. “Un atacante puede entonces realizar un ataque de prefijo elegido, que permite modificar la solicitud de acceso para reemplazar una respuesta válida con una elegida por el atacante. “Aunque la respuesta está autenticada y se verifica su integridad, la vulnerabilidad del prefijo elegido permite al atacante modificar el paquete de respuesta, casi a voluntad”. Puede leer una descripción técnica completa y una prueba de concepto de un ataque BlastRADIUS en este PDF. ¿Qué tan fácil es para un atacante explotar la vulnerabilidad BlastRADIUS? Si bien la falla BlastRADIUS es generalizada, explotarla no es trivial; el atacante debe poder leer, interceptar, bloquear y modificar los paquetes de red entrantes y salientes, y no hay ningún exploit disponible públicamente al que pueda referirse. El atacante también debe tener acceso a la red existente, que podría adquirirse aprovechando una organización que envía RADIUS/UDP a través de Internet abierta o comprometiendo parte de la red empresarial. “Incluso si el tráfico RADIUS se limita a una parte protegida de una red interna, los errores de configuración o enrutamiento pueden exponer involuntariamente este tráfico”, dijeron los investigadores en un sitio web dedicado a BlastRADIUS. “Un atacante con acceso parcial a la red puede ser capaz de explotar DHCP u otros mecanismos para hacer que los dispositivos de la víctima envíen tráfico fuera de una VPN dedicada”. Además, el atacante debe estar bien financiado, ya que se requiere una cantidad significativa de potencia de computación en la nube para llevar a cabo cada ataque BlastRADIUS. InkBridge Networks afirma en sus preguntas frecuentes sobre BlastRADIUS que tales costos serían una “gota de agua en el océano para los estados-nación que desean apuntar a usuarios particulares”. Cómo pueden protegerse las organizaciones de un ataque BlastRADIUS Los investigadores de seguridad han proporcionado las siguientes recomendaciones para las organizaciones que utilizan el protocolo RADIUS: Instale las últimas actualizaciones en todos los clientes y servidores RADIUS puestos a disposición por el proveedor. Se han implementado parches para garantizar que los atributos Message-Authenticator siempre se envíen y sean necesarios para las solicitudes y respuestas. Hay una versión actualizada de FreeRADIUS. No intente actualizar todos los equipos RADIUS a la vez, ya que podrían cometerse errores. Lo ideal es concentrarse primero en actualizar los servidores RADIUS. Considere utilizar las herramientas de verificación de InkBridge Networks que evalúan la exposición de un sistema a BlastRADIUS y otros problemas de infraestructura de red. Puede encontrar instrucciones más detalladas para administradores de sistemas en el sitio web de FreeRADIUS.