Características de seguridad de Conexión compartida a Internet

Seleccione idioma Seleccione idioma
Id. de artículo: 241570 - Ver los productos a los que se aplica este artículo
Este artículo se publicó anteriormente con el número E241570
Expandir todo | Contraer todo

Resumen

En este artículo se describen las características de seguridad de Conexión compartida a Internet (ICS). Aunque ICS no debe considerarse un servidor con fines de seguridad, puede utilizarlo para crear un entorno razonablemente seguro al tiempo que se proporciona conectividad a Internet completa.

Más información

ICS utiliza la tecnología Traducción de direcciones de red (NAT) para enrutar paquetes TCP/IP entre dos redes. ICS conecta una red interna (normalmente una pequeña red local doméstica) y una red externa (normalmente Internet). ICS asocia un número de puerto TCP/UDP con una determinada dirección del Protocolo de Internet (IP) de la red interna. El número de puerto asociado a la dirección IP se anota en una tabla.

Por ejemplo, la dirección IP del adaptador interno de ICS es 192.168.0.1 y el adaptador ICS externo tiene una dirección IP de 156.59.23.100, que está asignada por el proveedor de servicios Internet (ISP). El cliente envía un paquete TCP/IP a una página Web en la dirección 131.125.13.1 de Internet en el puerto 80. El paquete contiene la siguiente información:
Dirección IP de destino = 131.125.13.1 (dirección del destino de Internet)
Dirección IP de origen = 192.168.0.2
Puerto de destino = 80
Puerto de origen = 2000 (configurado por el programa)
Como 131.125.13.1 no es local en el intervalo de direcciones 192.168.0.x, el paquete va al equipo con ICS que actúa como puerta de enlace predeterminada. El equipo con ICS genera un paquete nuevo para enviar a la página Web en 131.125.13.1. El paquete contiene la siguiente información:
Dirección IP de destino = 131.125.13.1
Dirección IP de origen = 156.59.23.100. (Ésta es una dirección IP asignada por el ISP al adaptador externo de ICS)
Puerto de destino = 80
Puerto de origen = 3000
Observe que los valores de la dirección IP de origen y el puerto de origen han cambiado. Es decir, el puerto 3000 está asignado a la dirección IP 192.168.0.2 hasta que se cierra la conexión. La asignación del puerto se graba en una tabla. Cuando la página Web responde, el equipo con ICS recibe un paquete que contiene la siguiente información:
Dirección IP de destino = 156.59.23.100
Dirección IP de origen = 131.125.13.1
Puerto de destino = 3000
Puerto de origen = 80
El equipo con ICS traduce entonces el paquete y entrega un paquete nuevo a la dirección IP 192.168.0.2 del cliente donde se originó el paquete original. ICS detecta que el puerto 3000 está asignado a la dirección IP porque la información se graba en la tabla de asignación de puertos. El paquete enviado al cliente contiene la información siguiente:
Dirección IP de destino = 192.168.0.2
Dirección IP de origen = 131.125.13.1
Puerto de destino = 2000
Puerto de origen = 80
Observe que el puerto y la dirección IP de destino han cambiado a la dirección IP y el número de puerto utilizados por el cliente donde se originó el paquete. Debido a este proceso de traducción, Internet detecta la red de área local (todos los clientes) que hay detrás del equipo con ICS (incluyendo el equipo con ICS) como una dirección IP.

Sólo hay dos formas para que un paquete de Internet pueda llegar a un cliente que está detrás de un equipo con ICS:
  • El equipo con ICS traduce un paquete entrante y envía un paquete nuevo al equipo cliente basándose en la tabla de traducción. Un cliente debe enviar un paquete primero (estableciendo una asignación de puertos) antes de que pueda recibir un paquete de Internet a través de un equipo con ICS.
  • El equipo con ICS está configurado para dirigir todo el tráfico entrante de un puerto determinado a un equipo cliente específico. Este método requiere cambiar la configuración predeterminada. Para obtener información adicional, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
    E231162 Cómo asignar un puerto en ICS mediante un archivo .inf
    Para obtener información adicional acerca de la Traducción de direcciones de red, consulte RFC 1631.
En el equipo con ICS, los puertos 1-1024 no están bloqueados específicamente, a excepción del puerto TCP 135 y el puerto UDP 139. El bloqueo de estos puertos impide que las solicitudes de Compartir impresoras y archivos (solicitudes SMB) funcionen en el adaptador externo. Esto afecta a los paquetes TCP/IP entrantes y salientes del equipo con ICS de las maneras siguientes:
  • Cualquier paquete enviado por el equipo con ICS o recibido de Internet a través de un puerto cuyo número es mayor que 1024 requiere la traducción como cualquier otro equipo cliente que esté detrás del equipo con ICS. Por ejemplo, un paquete que se origine en el equipo con ICS y el correspondiente paquete de respuesta del puerto 5000 deben pasar por el proceso de traducción descrito anteriormente en este artículo.
  • Cualquier paquete enviado por el equipo con ICS o recibido de Internet a través del puerto 1024 o menor se envía directamente a Internet o al programa del equipo con ICS sin traducir. Por ejemplo, cuando abre la página principal de un equipo con ICS se envía un paquete en el puerto 80 y va directamente a Internet sin traducir. Además, un paquete recibido por el equipo con ICS en el puerto 80 se envía directamente al programa del equipo con ICS que está escuchando activamente en el puerto 80 (por ejemplo, un servidor Web). Para que el equipo con ICS responda directamente a una solicitud del puerto 1024 o menor, un programa debe estar escuchando paquetes en el mismo puerto que la solicitud. De manera predeterminada, el equipo con ICS no responde a las solicitudes de Bloque de mensajes del servidor (SMB) en los puertos 135 y 139 porque están bloqueados.
ICS no desenlaza Compartir impresoras y archivos del adaptador externo en el equipo con ICS. Acceso telefónico a redes (DUN) desenlaza Compartir impresoras y archivos del adaptador de acceso telefónico, mientras que los adaptadores Ethernet (para conexiones DSL y de módem por cable) no desenlazan Compartir impresoras y archivos de manera predeterminada. Los puertos 135 y 139 del equipo con ICS están bloqueados de manera predeterminada en el adaptador externo para evitar que los equipos remotos de Internet tengan acceso a recursos compartidos e impresoras de la red local. El bloqueo de estos puertos no afecta a la capacidad del equipo con ICS de compartir archivos e impresoras en otros equipos de la red de área local (LAN). El desbloqueo de estos puertos expone las impresoras y los recursos compartidos de red en Internet, y no se recomienda hacerlo.

Propiedades

Id. de artículo: 241570 - Última revisión: lunes, 04 de octubre de 2004 - Versión: 1.2
La información de este artículo se refiere a:
  • Microsoft Windows 98 Second Edition
  • Microsoft Windows Millennium Edition
Palabras clave: 
kbenv kbinfo kbwinme win98se KB241570
Renuncia a responsabilidad de los contenidos de la KB sobre productos a los que ya no se ofrece asistencia alguna
El presente artículo se escribió para productos para los que Microsoft ya no ofrece soporte técnico. Por tanto, el presente artículo se ofrece "tal cual" y no será actualizado.

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com