19 de julio de 2008

Tips para la instalación de routers broadband

El avance de la disponibilidad de acceso a Internet de banda ancha (ADSL, cable módem, etc.) conlleva la implementación cada día más extendida de los conocidos routers de banda ancha o broadband.

Estos dispositivos, originalmente diseñados para facilitar el desarrollo de redes hogareñas o de pequeñas oficinas, ofrecen un conjunto de facilidades importantes para el desarrollo de pequeñas redes LAN IP/Ethernet sin requerir mayores conocimientos técnicos. Sin embargo, el aprovechamiento integral de las posibilidades que brindan requiere considerar algunos puntos, y como siempre, quien más sabe más puede aprovechar lo que tiene.

Prestaciones disponibles

Hay una gran variedad de marcas y modelos disponibles en el mercado actual, con lo que las prestaciones y características disponibles en cada caso son muy variables. Por este motivo es importante analizar antes de realizar la compra, cuál es el dispositivo más conveniente en función de los requerimientos de aplicación, a fin de obtener la mayor prestación costo / beneficio.

Entre las prestaciones habitualmente ofrecidas, encontramos:

  • Servidor DHCP.
    Estos dispositivos ofrecen un servicio de asignación dinámica de direcciones IP que facilita la configuración de las terminales. Este servicio DHCP generalmente está preconfigurado para asignar un pool de hasta 50 direcciones IP de la red 192.168.1.0/24. Para que esto opere adecuadamente debe asegurarse que la placa Ethernet de las terminales conectadas al router estén configuradas para operar con direcciones IP dinámicas: entorno de redes > propiedades > conexión de área local > propiedades > Protocolo de Internet (TCP/IP) > obtener una dirección IP automáticamente.
    En la mayoría de los casos la dirección de red, la máscara de subred y la cantidad de direcciones que puede asignar son configurables.
  • Servidor NAT.
    NAT es el servicio de traducción de direcciones IP que nos permite que múltiples direcciones IP de nuestra red interna utilicen la única dirección IP pública que nos proporciona el ISP.
    Estos dispositivos tienen integrado un servicio de NAT overload, habitualmente designado como PAT. Esto permite que todas las terminales de la red interna naveguen Internet utilizando solamente la dirección IP que el ISP ha asignado dinámica o estáticamente a nuestra conexión.
    Muchos de los routers actualmente en el mercado permiten adicionalmente configurar un servicio denominado "port forwarding" que permite la definición de traducción de puertos específicos para poder dar lugar a conexiones especiales hacia la red interna desde Internet.
  • Routing.
    La mayoría de los productos comerciales disponibles utilizan una ruta por defecto al service provider. Algunos modelos ofrecen además la posibilidad de configurar rutas estáticas o enrutamiento dinámico con RIPv1 y v2.
  • Switch integrado.
    Muchos routers de banda ancha tienen incorporado un switch LAN Ethernet FastEthernet (100 Mbps) y en algunos casos de GigabitEthernet (1Gbps), normalmente de 4 puertos. Este switch interno permite conectar hasta 4 terminales o en su defecto, conectar un switch o hub a uno de esos puertos para poder conectar mayor cantidad de terminales.
    Este switch no suele requerir ninguna configuración adicional.
  • VLANs.
    Una VLAN es una LAN virtual, es decir, una red separada de las demás.
    Los routers broadband de gama más alta permiten configurar VLANs por puerto, lo que permite mejorar la seguridad de la red interna y la performance general de la red.
  • Módem ADSL integrado.
    Algunos de estos dispositivos cuentan con un módem ADSL integrado, en cuyo caso se puede obviar el módem ADSL provisto por el ISP y conectar diretamente el par telefónico al router de banda ancha. En este caso se deberá contar con la información necesaria para configurar el enlace ADSL, la que deberá requerirse al ISP.
  • Access point Wi-fi.
    Entre las opciones de hardware disponibles se presenta la posibilidad de contar con un access-point wireless 802.11b/g/n. Asociada a la funcionalidad de acceso inalámbrico se brindan opciones de seguridad con autenticación y encriptación utilizando al menos WEP y WPA-PSK. Adicionalmente los modelos más avanzados ofrecen WPA2-PSK, WPA con 802.1x y WPA2 con 802.1x.
    Estos dispositivos operan en la banda de 2.4 GHz, por lo que es preciso considerar la posibilidad de conflictos con teléfonos inalábricos que operan en la misma frecuencia.
  • Calidad de Servicio (QoS).
    Entre las prestaciones adicionales de muchos routers de banda ancha, se encuentra calidad de servicio. Esto permite la clasificación y priorización de tráfico, dando lugar al trato diferenciado de diferente tipo de protocolos o aplicaciones. En términos generales este feature está disponible solamente para priorización por puerto.
  • Seguridad.
    Más allá de las implementaciones de seguridad en la red wireless, pueden encontrarse diferentes técnicas de seguridad para nuestra red: filtrado de direcciones MAC, filtrado por direcciones IP, firewall statefull, filtrado de tráfico por URL, IPS (Intrusion Prevention System), acceso utilizando https, implementación de autenticación de usuarios utilizando RADIUS (802.1x), posibilidad de implementación de una DMZ.
    Adicionalmente, diferentes modelos pueden actuar como clientes o servidores VPN, utilizando IPSec u otras formas propietarias. La opción más frecuente es que actúen como VPN passthrough para posibilitar utilizar clientes VPNs desde las terminales de la red.
  • Managment.
    Estos dispositivos cuenta con una interfaz gráfica de acceso web, sobre la que se puede operar utilizando un navegador de Internet direccionado a la dirección IP que nuestra terminal tiene como default gateway.
    Adicionalmente encontramos modelos que brindan opciones de managment avanzado utilizando SNMP (Simple Network Management Protocol), registro de eventos (syslog), alerta de incidentes utilizando correo electrónico, etc.
Algunos tips de configuración

Más allá de características particulares de la interfaz o prestación de cada dispositivo, hay algunos tips de configuración básica que debieran ser tenidos en cuenta en todos los casos.

  • Actualice el firmware del dispositivo.
    Verifique que su router cuenta con la última versión de firmware proporcionada por el fabricante, y si no es así actualícela siguiendo las indicación del mismo.
  • Asegure el acceso del Administrador del dispositivo.
    Todos los dispositivos posibilitan la administración web, utilizando un usuario y clave predefinidos que son indicados en la documentación que el fabricante suministra con el router. Cambie la clave de acceso utilizando una clave fuerte: al menos 8 caracteres, utilizando letras y números, que no sean una palabra de diccionario. Por ejemplo: r0ut3r08.
    Si está disponible, habilite el acceso utilizando https y desabilite el acceso por http.
  • Reconfigure el servidor DHCP.
    Modifique la dirección de red que se utiliza por defecto y utilice otra dirección de red privada. Por ejemplo: 192.168.200.0/24. Verifique si es necesario modificar entonces la dirección IP del puerto LAN del router.
    limite la cantidad de direcciones IP que suministrará el servidor (por defecto 50), de acuerdo a la cantidad de terminales de la red. Por ejemplo, si tiene 5 terminales, limite la cantidad de direcciones a 5 o 6 para permitir el acceso de un visitante.
  • En el access point Wi-Fi:
    * Cambie el SSID por defecto por uno propio.
    * Desabilite el broadcast de SSID.
    * Seleccione Open Authentication o que no autentique.
    * Habilite alguna forma de encriptación. Al menos WEP con clave de 128 bits o WPA-PSK.

Luego que el router está operando adecuadamente y se verifica que todas las terminales pueden acceder a Internet y tienen conectividad entre si, analice e implemente los features que considere necesarios: VPN passthrough, clientes VPNs, autenticación 802.1x u otra, port forwarding, calidad de servicio, etc.

Es conveniente que cada vez que modifique la configuración, y antes de implementar nuevos features, verifique la conectividad y acceso de todas las terminales de modo de asegurarse que la red opera adecuadamente de acuerdo a lo previsto.

Concluida la configuración del dispositivo, si cuenta con la opción, realice una copia de resguardo de la configuración y documéntela: direcciones IP, usuarios y claves, etc. La revisión periódica de la operación de la red y el cambio periódica de claves (por ejemplo cada 45 o 60 días) es conveniente para asegurar la operación de la red y tener un management proactivo de la misma.

¿Tenés alguna información o referencia adicional para aportar en este tema....?
Perfecto!!!! agregá un comentario con el detalle.Muchas gracias.
Oscar Gerometta

2 comentarios:

  1. Hola Oscar!

    en verdad tiene gran contenido tu blog, es muy util para los CCNA.

    ResponderEliminar
  2. en verdad tiene gran contenido tu blog, es muy util para los CCNA.

    ResponderEliminar

Gracias por tu comentario.
En este blog los comentarios están moderados, por lo que su publicación está pendiente hasta la revisión del mismo.