Sin embargo, en la actualidad, con la explosión del uso de Internet y la llegada del concepto de calidad de servicio (QoS) y la seguridad, los routers utilizan el llamado “encaminamiento regulado�, con el que, a la hora de escribir la tabla de enrutado, se pueden utilizar los siguientes elementos:

A la hora de escribir una tabla de enrutado se pueden utilizar los siguientes elementos:

• Interfaz: interfaz de red por donde se recibe la información

• Origen / Destino: origen y destino del mensaje. Normalmente el origen y el destino de un mensaje es una dirección IP, pero algunos routers permiten utilizar como dirección origen y destino usuarios o grupos de usuarios.

• Protocolo: permitir o denegar el acceso a los puertos es importante porque las aplicaciones servidoras (que aceptan conexiones originadas en otro ordenador) deben 'escuchar' en un puerto para que un cliente (que inicia la conexión) pueda conectarse. Por ejemplo un servidor web trabaja en el puerto 80, un servidor de FTP en el puerto 21, etc.

• Seguimiento: indica si el router debe de realizar un seguimiento de los lugares por los que pasa un mensaje.

• Tiempo: espacio temporal en el que es válida la regla.

• Autentificación de usuarios: indica si el usuario debe de estar autentificado para utilizar la regla.

• Acción: especifica la acción que debe realizar el router. Un router puede realizar las siguientes acciones:

- Aceptar: dejar pasar la información

- Denegar: no deja pasar la información

- Reenviar: envía el paquete a una determinada dirección IP.

	Nota
	No es lo mismo encaminamiento regulado que regular el encaminamiento. Como se ha visto, el primer concepto hace referencia a la toma de decisiones de encaminamiento basándonos en más argumentos que sólo la dirección de destino. Sin embargo, regular el encaminamiento es establecer normas administrativas al encaminamiento, independientemente de las tablas de rutas.

Existen diferentes tipos de routers por lo que en un principio podemos caer en la tentación de pensar que el proceso de configuración para cada router es totalmente diferente a los demás. Los router más utilizados son:

• FireWall 1 de CheckPoint

• Private Internet Exchange (PIX) de Cisco System

• IOS Firewall Feature Set de Cisco System

• Firewall del núcleo de Linux, Iptables

• Enterprise Firewall de Synmatec

• Internet Security and Acelerador (ISA Server) de Microsoft

Si comparamos los elementos que utilizan los diferentes routers (ver tabla 1) podemos ver cómo los más utilizados a la hora de realizar una tabla de enrutado son la interfaz, la dirección origen y destino, el puerto y la acción que debe realizar el router.

Tabla 1. Comparativa sobre los elementos de las tablas de enrutado
						Autentificación
Modelo	Interfaz	Origen/Destino	Protocolo	Seguimiento	Tiempo	de usuarios	Acción
FireWall 1	X	X**	X	X	X		X
PIX	X	X	X*				X
IOS Firewall	X	X	X				X
Firewall Linux	X	X	X				X
Enterprise Firewall	X	X**	X		X	X	X
ISA Server	X	X**	X*		X	X	X

* Distingue entre puerto de origen y destino

** Permiten especificar como origen o destino direcciones IPs o usuarios.

A la hora de indicar la dirección de origen o la dirección de destino es importante utilizar la máscara de red para indicar un mayor o menor número de ordenadores. Así por ejemplo, si en la dirección destino utiliza la dirección de clase B 142.165.2.0/16 se hace referencia a todas las direcciones IP del tipo 142.165.x.x. Si utiliza la dirección de clase C 192.165.2.0/24, hace referencia a las direcciones del tipo 192.165.2.x. Por lo tanto, si aumentamos la máscara de red, estamos disminuyendo el número de direcciones IP a las que se hace referencia y si disminuimos la máscara de red, entonces se hace referencia a un mayor número de direcciones IP. En la tabla 2, puede ver algunas de las posibilidades más habituales.

Tabla 2. Ejemplos de utilización de la máscara de red en la configuración de routers
Ejemplo	Comentario
192.165.2.23/32	Representa a un único ordenador (p.e. servidor web)
192.165.2.0./24	Representa a todas las direcciones IP del tipo 192.165.2.X
192.165.0.0/16	Representa a todas las direcciones IP del tipo 192.165.X.X
192.0.0.0/8	Representa a todas las direcciones IP del tipo 192.X.X.X
0.0.0.0/0	Representa a todas las direcciones IP del tipo X.X.X.X

Durante el filtrado de paquetes se aplica la regla de “coincidencia total�. Todos los criterios de la regla tienen que coincidir con el paquete entrante; en caso contrario, no se aplica la regla. Esto no significa que se rechace el paquete o que se elimine, sino que la regla no entra en vigor. Normalmente, las reglas se aplican en orden secuencial, de arriba hacia abajo. Aunque hay varias estrategias para implementar filtros de paquetes, las dos que se describen a continuación son las más utilizadas por los especialistas de seguridad:

• Construir reglas desde la más específica a la más general. Esto se hace así para que una regla general no “omitaâ€� a otra más específica, pero conflictiva, que entra dentro del ámbito de la regla general.
• Las reglas deberían ordenarse de tal forma que las que más se utilizan estén en la parte superior de la lista. Esto se hace por cuestiones de rendimiento. Normalmente un router detiene el procesamiento de una lista cuando encuentra una coincidencia total.