Los routers domésticos tienen diferentes interfaces, por un lado, tenemos la interfaz LAN y WLAN, donde conectamos todos los equipos de la red local doméstica, ya sea vía cable o vía Wi-Fi respectivamente. También tenemos la interfaz WAN, que es el puerto de Internet, y que lleva asociada la dirección IP pública. Una buena manera de permanecer «oculto» en Internet, es bloqueando cualquier solicitud de tipo ICMP Request y no contestando a ella, de esta manera, si alguien hace el típico «ping» a nuestra IP, no contestará, y será necesario que hagan un escaneo de puertos para saber si el host (nuestro router) está levantado.
Debemos recordar que no es recomendable bloquear todos los ICMP, sino solamente aquellos que se corresponden con el «ping», es decir, el ICMP Echo Request (solicitud) y el ICMP Echo Reply (respuesta). Algunos tipos de ICMP son fundamentales para el buen funcionamiento de la red, sobre todo si trabajas con redes IPv6.
¿Qué ocurre si bloqueamos el ping en la WAN de Internet?
Todo seguirá funcionando como siempre, la única diferencia es que si alguien desde el exterior (desde Internet), nos hace un «ping» a nuestra dirección IP pública, el router no contestará. Dependiendo de cómo tengamos el router configurado, es posible que ni con un escaneo de puertos se pueda detectar si el host (el router) está levantado o no. Si no tenemos ningún servicio funcionando en el router de cara a la WAN, y no tenemos ningún puerto abierto en el router, por defecto todos los puertos estarán cerrados y desde el exterior no podrán hacer comunicación con nosotros, de esta manera, podríamos pasar «desapercibidos», es lo que se llama seguridad por oscuridad.
Aunque hayamos deshabilitado el ping en la WAN de Internet, nosotros vamos a poder hacer ping a hosts de Internet sin ningún problema, sin necesidad de abrir puertos ni hacer absolutamente nada, porque lo único que estamos haciendo con esto, es bloquear en el firewall del router cualquier ICMP Echo Request que nos llegue. Normalmente los routers utilizan sistema operativo Linux en su interior para funcionar, y hacen uso de iptables, la regla que ellos incorporan es la siguiente:
iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
Esta regla bloquea cualquier ICMP de tipo echo-request que vaya directamente al propio router, el -j DROP indica que directamente eliminará dicho paquete sin «decir» nada al que lo ha enviado, es decir, descartamos el paquete.
Un aspecto muy importante es que deberíamos siempre bloquear el ping en la WAN, pero no en la LAN, ya que, si bloqueamos el ping en la LAN, no podremos nosotros mismos hacer ping contra la puerta de enlace predeterminada de nuestro equipo (que es el router), para detectar cualquier posible fallo que haya.
Muchos modelos y marcas de routers soportan bloquear el ping en la WAN de Internet (ICMP Echo-request) entrando al menú de configuración del firmware del equipo y configurar el firewall de la siguiente forma (dependiendo de la marca):
- Desea habilitar el firewall: Sí
- Desea habilitar la protección DoS: Sí
- Tipo de paquetes registrados: Ninguno. Si queremos realizar un debug a todos los paquetes que pasan por el firewall, podremos hacerlo, pero no es recomendable tenerlo siempre activado porque consumirá recursos del router.
- Desea responder a la solicitud ping desde WAN: No.
Fuente º-º https://SOCIEDAD.vip
