Tema 8

8. NAT, PAT, port forwarding, publicación segura de servicios y exposición controlada

Publicar un servicio no significa abrir toda la red. NAT, PAT y port forwarding permiten traducir direcciones y puertos, pero deben combinarse con reglas estrictas, segmentación, monitoreo y hardening.

Objetivo Entender cómo publicar servicios con menor exposición
Enfoque NAT, PAT, port forwarding, DMZ y control de acceso
Resultado Distinguir traducción de direcciones de autorización de tráfico

8.1 Introducción

Muchas organizaciones necesitan que ciertos servicios sean accesibles desde internet, desde una sede remota, desde proveedores o desde usuarios externos. Ejemplos comunes son aplicaciones web, VPN, correo, DNS público, APIs o portales de clientes.

Para lograrlo se usan mecanismos como NAT, PAT y port forwarding. Estos mecanismos modifican direcciones o puertos para que una comunicación pueda llegar al destino correcto. Sin embargo, traducir una dirección no equivale a proteger el servicio.

En este tema veremos cómo funcionan estas técnicas y cómo usarlas de forma defensiva, evitando exposiciones innecesarias.

8.2 Qué es NAT

NAT significa Network Address Translation, o traducción de direcciones de red. Es una técnica que modifica direcciones IP en los paquetes cuando atraviesan un dispositivo, normalmente un firewall o router.

El uso más conocido de NAT es permitir que muchos equipos con direcciones privadas salgan a internet usando una o más direcciones públicas. También puede usarse para publicar servicios internos mediante una dirección pública.

NAT ayuda a resolver problemas de direccionamiento, pero no debe confundirse con una política de seguridad completa.

NAT cambia direcciones. El firewall decide si el tráfico se permite o se bloquea. Son funciones relacionadas, pero no son lo mismo.

8.3 Direcciones privadas y públicas

Las direcciones privadas se usan dentro de redes internas y no son enrutables directamente en internet. Las direcciones públicas son visibles y alcanzables desde internet si existen rutas y reglas que lo permitan.

Tipo Ejemplos Uso común
Privada 10.0.0.0/8 Redes internas corporativas.
Privada 172.16.0.0/12 Servidores, usuarios, redes internas o laboratorio.
Privada 192.168.0.0/16 Redes pequeñas, hogares, oficinas y segmentos internos.
Pública Asignada por ISP o proveedor cloud Servicios accesibles desde internet o salida hacia internet.

8.4 NAT de origen

El NAT de origen modifica la dirección IP de origen. Se usa normalmente cuando equipos internos salen hacia internet y el firewall reemplaza sus direcciones privadas por una dirección pública.

Ejemplo:

  • Equipo interno: 10.10.20.15.
  • Destino: sitio web en internet.
  • El firewall traduce el origen a una IP pública, por ejemplo 203.0.113.10.
  • La respuesta vuelve a la IP pública y el firewall la asocia con el equipo interno correcto.

Desde el punto de vista defensivo, conviene registrar estas traducciones para poder investigar qué equipo interno generó una conexión externa.

8.5 NAT de destino

El NAT de destino modifica la dirección IP de destino. Se usa cuando una dirección pública representa un servicio ubicado en una red interna o DMZ.

Ejemplo:

  • Cliente externo accede a 203.0.113.20 por HTTPS.
  • El firewall traduce el destino hacia 172.16.50.10 en la DMZ.
  • El servidor real responde y el firewall mantiene la traducción para que la comunicación funcione.

Esta técnica permite publicar servicios, pero debe combinarse con reglas de acceso específicas. No se debe publicar más de lo necesario.

8.6 Qué es PAT

PAT significa Port Address Translation, o traducción de direcciones y puertos. También se lo conoce como NAT overload.

PAT permite que muchos equipos internos compartan una misma dirección pública diferenciando las conexiones por puertos. Es muy común para navegación de usuarios hacia internet.

Ejemplo simplificado:

Equipo interno Traducción pública Destino
10.10.20.15:51000 203.0.113.10:40001 198.51.100.50:443
10.10.20.16:51000 203.0.113.10:40002 198.51.100.50:443

8.7 Port forwarding

El port forwarding, o reenvío de puertos, permite que una conexión recibida en una IP y puerto sea enviada a otra IP y puerto interno.

Ejemplo: publicar el puerto TCP 443 de una IP pública y reenviarlo al puerto TCP 443 de un servidor web en DMZ.

El port forwarding puede ser útil, pero también es una fuente frecuente de exposición peligrosa cuando se usa para publicar administración remota, bases de datos o servicios que deberían permanecer internos.

Si un servicio no debe ser accesible desde internet, no debería resolverse con port forwarding. Debe usarse VPN, bastión, acceso privado o rediseño de arquitectura.

8.8 Publicación segura de servicios

Publicar un servicio de forma segura implica mucho más que crear una traducción NAT. Debe existir una decisión defensiva completa.

Antes de publicar, conviene responder:

  • ¿El servicio realmente necesita ser accesible desde internet?
  • ¿Puede ubicarse en una DMZ o detrás de un reverse proxy?
  • ¿Qué puerto exacto debe exponerse?
  • ¿Qué orígenes deben poder acceder?
  • ¿El servidor está endurecido y actualizado?
  • ¿Hay WAF, IDS/IPS o monitoreo adecuado?
  • ¿Se registran accesos permitidos y bloqueados?
  • ¿Existe un responsable del servicio?

8.9 Exposición controlada

La exposición controlada consiste en publicar solo lo necesario, con límites claros y controles adicionales. No se trata de ocultar todo, sino de reducir el área visible y monitorear lo que queda expuesto.

Decisión Exposición débil Exposición controlada
Aplicación web Servidor interno publicado directamente. Servicio en DMZ o detrás de reverse proxy y WAF.
Administración remota RDP o SSH abierto a internet. VPN, bastión, MFA y restricción por origen.
Base de datos Puerto de base de datos publicado. Acceso solo desde aplicación autorizada en red privada.
DNS Resolver interno abierto a internet. DNS público separado y resolutores internos restringidos.

8.10 DMZ y publicación

La DMZ es una zona adecuada para ubicar servicios que deben recibir conexiones desde redes externas. Su función principal es evitar que un servicio expuesto quede directamente dentro de la red interna más sensible.

Una publicación defensiva típica podría tener este flujo:

  1. Internet llega a una IP pública del firewall.
  2. El firewall aplica NAT de destino hacia un servidor o proxy en DMZ.
  3. Solo se permite el puerto necesario, por ejemplo HTTPS.
  4. El servidor en DMZ solo puede comunicarse con sistemas internos específicos.
  5. Los logs se envían a una plataforma central.
  6. IDS/IPS o WAF inspeccionan tráfico relevante.

8.11 Reverse proxy y balanceadores

Un reverse proxy recibe solicitudes externas y las reenvía a servidores internos o de backend. Puede ayudar a centralizar certificados TLS, aplicar controles, ocultar servidores reales y distribuir carga.

Un balanceador de carga puede repartir tráfico entre varios servidores. En algunos casos también integra funciones de seguridad, terminación TLS, monitoreo de salud y reglas de aplicación.

Estos componentes no reemplazan el hardening ni las reglas de firewall, pero ayudan a publicar servicios con mayor control.

8.12 Hairpin NAT

Hairpin NAT, también llamado NAT loopback, ocurre cuando un cliente interno accede a un servicio interno usando la dirección pública del servicio. El tráfico sale hacia el firewall y vuelve hacia adentro mediante la traducción.

Puede ser útil en ciertos diseños, pero también puede complicar logs, resolución de nombres y diagnóstico. Muchas veces conviene usar DNS interno para que los clientes internos resuelvan la dirección privada del servicio.

La decisión depende del entorno, pero debe documentarse para evitar confusiones durante incidentes.

8.13 NAT no reemplaza filtrado

Un error común es creer que, por usar NAT, un servicio queda protegido automáticamente. NAT puede ocultar direcciones internas, pero si existe una traducción y una regla permisiva, el servicio queda alcanzable.

Una publicación segura necesita al menos:

  • Traducción limitada al servicio necesario.
  • Regla de firewall específica.
  • Logging de accesos.
  • Hardening del servidor publicado.
  • Monitoreo de vulnerabilidades y parches.
  • Controles adicionales como WAF o IPS cuando corresponda.

8.14 Riesgos al publicar servicios

Cada servicio publicado aumenta la superficie de ataque. Esto no significa que nunca debamos publicar servicios, sino que cada publicación debe estar justificada y protegida.

Riesgos frecuentes:

  • Exposición de interfaces administrativas.
  • Servicios desactualizados con vulnerabilidades conocidas.
  • Reglas demasiado amplias desde internet.
  • Falta de logs para investigar intentos de acceso.
  • Publicación directa de bases de datos.
  • Credenciales débiles en servicios expuestos.
  • Falta de segmentación entre DMZ y red interna.

8.15 Logging de NAT y publicación

Cuando hay NAT o PAT, los logs son fundamentales para entender qué ocurrió. En una investigación puede ser necesario saber qué equipo interno usó una dirección pública y un puerto en un momento específico.

Conviene registrar:

  • IP y puerto originales.
  • IP y puerto traducidos.
  • Destino final.
  • Hora de inicio y fin de la conexión.
  • Regla de firewall aplicada.
  • Acción: permitido, bloqueado o inspeccionado.
  • Usuario o dispositivo, si está disponible.

8.16 Ejemplo práctico: publicar una aplicación web

Supongamos que una empresa necesita publicar una aplicación web para clientes. Una configuración defensiva podría ser:

Elemento Decisión
IP pública 203.0.113.20
NAT de destino 203.0.113.20:443 hacia reverse proxy en DMZ 172.16.50.10:443
Regla de firewall Permitir internet hacia DMZ solo por HTTPS.
Backend Reverse proxy hacia servidores internos por puertos específicos.
Controles WAF, IDS/IPS, hardening, parches y monitoreo de logs.
Bloqueo Todo otro tráfico desde internet queda bloqueado.

8.17 Ejemplo de mala publicación

Un diseño riesgoso sería publicar varios puertos de un servidor interno directamente a internet: HTTPS, SSH, RDP, base de datos y panel de administración. Aunque funcione, expone demasiada superficie.

Problemas de ese enfoque:

  • El servidor interno queda demasiado visible.
  • Los servicios administrativos reciben ataques directos.
  • Un compromiso puede facilitar acceso a la red interna.
  • La investigación se complica si no hay logs adecuados.
  • Se mezclan funciones públicas y administrativas en el mismo activo.

8.18 Errores frecuentes

  • Confundir NAT con seguridad: NAT traduce direcciones, pero no reemplaza filtrado ni hardening.
  • Publicar administración remota: SSH, RDP o paneles web no deberían exponerse libremente a internet.
  • Usar reglas any-any: una publicación debe limitar origen, destino y puerto.
  • No registrar traducciones: dificulta investigar qué equipo inició una conexión.
  • Publicar servidores internos directamente: conviene usar DMZ, proxy o controles intermedios.
  • Olvidar la salida: un servidor publicado también debe tener control sobre conexiones salientes.

8.19 Lista de verificación inicial

  • Confirmar que el servicio realmente necesita publicación externa.
  • Ubicar servicios publicados en DMZ o detrás de proxy cuando sea posible.
  • Usar NAT o port forwarding solo para puertos necesarios.
  • Evitar exposición directa de administración remota.
  • Aplicar reglas específicas de firewall junto con NAT.
  • Activar logging de traducciones y accesos.
  • Endurecer y actualizar el servidor publicado.
  • Agregar WAF o IDS/IPS cuando el riesgo lo justifique.
  • Controlar también el tráfico saliente del servicio publicado.
  • Documentar responsable, objetivo y fecha de revisión.

8.20 Ideas clave para recordar

  • NAT traduce direcciones IP; PAT traduce direcciones y puertos.
  • Port forwarding publica un puerto hacia un destino interno o de DMZ.
  • Publicar un servicio aumenta superficie de ataque y requiere controles.
  • NAT no reemplaza reglas de firewall, hardening, monitoreo ni segmentación.
  • La DMZ, reverse proxy y WAF ayudan a controlar exposición.
  • Los logs de NAT son esenciales para investigar conexiones traducidas.

8.21 Conclusión

NAT, PAT y port forwarding son herramientas necesarias para conectar redes y publicar servicios, pero deben usarse con criterio defensivo. La pregunta importante no es solo cómo hacer que una conexión funcione, sino cómo permitirla con el menor riesgo posible.

En el próximo tema estudiaremos segmentación defensiva: VLAN, zonas de seguridad, microsegmentación y Zero Trust. Allí veremos cómo dividir la infraestructura para limitar movimiento lateral y reducir el impacto de incidentes.

Volver al índice