Firewalls

Trabajo asncrono de Enginyeria de Xarxes

Autors: Albert Ruiz G !ez "icen# $ort%s &lea

1.- Introduccin.
'a seguridad (a sido el )rinci)al )re!irsa a tratar cuando una organizaci n desea conectar su red )ri*ada al +nternet, -in to!ar en cuenta el ti)o de negocios. se (a incre!entado el nu!ero de usuarios de redes )ri*adas )or la de!anda del acceso a los ser*icios de +nternet tal es el caso del /orld /ide /eb 0///1.

+nternet 2ail 0e3!ail1. Telnet. y File Trans4er 5rotocol 0FT51, Adicional!ente los cor)orati*os buscan las *entajas 6ue o4recen las )aginas en el /// y los ser*idores FT5 de acceso )ublico en el +nternet, 'os ad!inistradores de red tienen 6ue incre!entar todo lo concerniente a la seguridad de sus siste!as. debido a 6ue se ex)one la organizaci n )ri*ada de sus datos as co!o la in4raestructura de sus red a los Ex)ertos de +nternet 0+nternet $ra7ers1, 5ara su)erar estos te!ores y )ro*eer el ni*el de )rotecci n re6uerida. la organizaci n necesita seguir una )oltica de seguridad )ara )re*enir el acceso no3 autorizado de usuarios a los recursos )ro)ios de la red )ri*ada. y )rotegerse contra la ex)ortaci n )ri*ada de in4or!aci n, Toda*a. aun si una organizaci n no esta conectada al +nternet. esta debera establecer una )oltica de seguridad interna )ara ad!inistrar el acceso de usuarios a )orciones de red y )roteger sensiti*a!ente la in4or!aci n secreta,

2.- Qu es un firewall ?
8n 4irewall es un siste!a o un gru)o de siste!as 6ue decide 6ue ser*icios )ueden acceder desde el exterior 0+nternet. en este caso1 de una red )ri*ada. 6uienes )uede ejecutar estos ser*icios y ta!bi%n 6ue ser*icios )ueden utilizar los usuarios de la intranet (acia el exterior 0+nternet )or eje!)lo1, 5ara realizar esta tarea todo el tr94ico entre las dos redes tiene 6ue )asar a tra*%s de %l, En cual6uier caso el 4irewall solo deja )asar el tr94ico autorizado desde y (acia el exterior, :o se )uede con4undir un 4irewall con un router. un 4irewall no direcciona in4or!aci n 04unci n 6ue si realiza el router1. el 4irewall sola!ente 4iltra in4or!aci n, ;esde el )unto de *ista de )oltica de seguridad. el 4irewall deli!ita el )er!etro de de4ensa y seguridad de la organizaci n,

Acerca de los firewall 8n 4irewall es una barrera entre una red interna y segura y una red sin seguridad co!o )uede ser +nternet, 'a !ayora de redes )ri*adas utilizan un 4irewall )ara conectar una red interna al exterior 0casi sie!)re +nternet1 de 4or!a segura, Ta!bi%n )uede utilizar un 4irewall )ara asegurar una red interna ante otra red de una intranet, 8n 4irewall )ro)orciona un <nico )unto de contacto controlado 0deno!inado )unto de concentraci n1 entre la red interna segura y la red no de con4ianza, El 4irewall: =, 5er!ite a los usuarios de la red interna utilizar los recursos autorizados 6ue est9n ubicados en la red externa, >, +!)ide 6ue los usuarios no autorizados de la red externa utilicen recursos de la red interna, Al utilizar un 4irewall co!o 4iltro de gateway a +nternet 0o a otra red1. reducir9 considerable!ente el riesgo en la red interna, 8tilizar un 4irewall ta!bi%n 4acilita la ad!inistraci n de la seguridad de la red. dado 6ue las 4unciones del 4irewall cu!)len la !ayor )arte de la )oltica de seguridad,

3.- Objetivo de un firewall

El objeti*o )rinci)al de una 4irewall es )roteger a una red de otra, 5or lo general. la red 6ue se est9 )rotegiendo le es )ro)ietaria 0o est9 bajo su res)onsabilidad1. y la red contra la 6ue se )rotege es una red externa en la 6ue no )uede con4iarse y desde la 6ue se )ueden originar ata6ues a nuetra red, 5ara )roteger la red se debe e*itar 6ue usuarios no autorizados tengan acceso a datos con4idenciales. !ientras 6ue se )er!ite 6ue usuarios legti!os tengan acceso a los recursos de la red autorizados, -on !uc(os los 6ue utilizan 4irewall co!o t%r!ino gen%rico 6ue describe un a!)lio rango de 4unciones. ade!9s de la ar6uitectura de los dis)ositi*os 6ue )rotegen a la red, Algunos. en realidad. utilizan el t%r!ino 4irewall )ara describir casi cual6uier dis)ositi*o de seguridad de red. co!o un dis)ositi*o de encri)taci n de (ardware. un router de selecci n o un gateway a ni*el de a)licaci n, En general. una 4irewall se coloca entre la red interna con4iable y la red externa no con4iable, El 4irewall act<a co!o un )unto de cierre 6ue !onitorea y rec(aza el tr94ico de red a ni*el de a)licaci n, 'os 4irewall ta!bi%n )ueden o)erar en las ca)as de red y trans)orte en cuyo caso exa!inan los encabezados de +5 y de T$5 de )a6uetes entrantes y salientes. ? rec(azan o )asan )a6uetes en 4unci n de las reglas de 4iltraci n de )a6uetes )rogra!adas,

El 4irewall es el )rinci)al instru!ento utilizado )ara la i!)le!entaci n de una )oltica de seguridad de una red de una organizaci n, En !uc(os casos se necesitan t%cnicas de !ejora!iento de la autenti4icaci n. la seguridad y la )ri*acdad )ara au!entar la seguridad de la red o i!)le!entar otros as)ectos de la )oltica de seguridad,

.- !o"#onentes del firewall

8n 4irewall se co!)one de (ardware y so4tware 6ue. utilizado conjunta!ente. i!)ide el acceso no autorizado a )arte de una red, 8n 4irewall consta de los siguientes co!)onentes: @ardware, El (ardware del 4irewall consta nor!al!ente de un siste!a a)arte dedicado a ejecutar las 4unciones del so4tware del 4irewall, -o4tware, El so4tware del 4irewall )uede constar de todas estas a)licaciones o algunas de ellas: a, Filtros de )a6uetes b, -er*idores 5roxy c, -er*idores -&$Ad, -er*icios de $on*ersi n de direcciones de red 0:AT1 e, -o4tware de anotaciones y su)er*isi n 4, -er*icios de Red )ri*ada *irtual 0"5:1

$.- !"o funciona un firewall?

El Firewall blo6uea todos los )uertos y )rotocolos y solo deja abiertos a6uellos 6ue real!ente se *an a e!)lear. esto e*ita 6ue los )uertos abiertos sean e!)leados )ara causar )roble!as en los ser*idores o to!ar control de los !is!os 0intrusiones1, 5ara co!)render c !o 4unciona un 4irewall. lo co!)arare!os la red con un edi4icio en el 6ue 6uiere controlar el acceso, El edi4icio tiene un *estbulo co!o <nico )unto de entrada, En este *estbulo tiene rece)cionistas )ara recibir a los *isitantes. guardias de seguridad )ara controlarlos. c9!aras de *deo )ara grabar sus acciones y lectores de tarjetas identi4icadoras )ara co!)robar la identidad de los *isitantes 6ue entran en el edi4icio, Estas !edidas )ueden 4uncionar bien )ara controlar el acceso al edi4icio, 5ero si una )ersona no autorizada consigue entrar en el edi4icio. no (ay 4or!a de )roteger el edi4icio ante las acciones del intruso, -in e!bargo. si su)er*isa los !o*i!ientos del intruso. tiene la o)ortunidad de detectar las acti*idades sos)ec(osas 6ue )ueda lle*ar a cabo, Al de4inir la estrategia del 4irewall. es )osible 6ue )iense 6ue (ay su4iciente con )ro(ibir todo lo 6ue re)resente un riesgo )ara la organizaci n y )er!itir todo lo de!9s, -in e!bargo. dado 6ue los )iratas in4or!9ticos crean nue*os !%todos de ata6ue constante!ente. debe antici)arse con !%todos )ara e*itar dic(os ata6ues, $o!o en el eje!)lo del edi4icio. se deben buscar seBales de 6ue alguien (a roto las de4ensas de alguna !anera, General!ente ocasiona !uc(os !9s daBos y gastos recu)erarse de una intrusi n 6ue i!)edirla, En el caso de un 4irewall. la !ejor estrategia es )er!itir sola!ente las a)licaciones 6ue (aya )robado y 6ue le !erezcan toda con4ianza, -i se sigue esta estrategia. se debe de4inir la lista de ser*icios a ejecutar en el 4irewall de 4or!a ex(austi*a, 5uede reconocer cada ser*icio )or la direcci n de la conexi n 0de interna a externa o de externa a interna1, Ta!bi%n se debe listar los usuarios a los 6ue se autorizar9 el uso de cada ser*icio y las !96uinas 6ue )ueden e!itir una conexi n )ara el !is!o, El siguiente eje!)lo !uestra co!o 4unciona un 4irewall0corta4uegos1:

A6u tene!os C ter!inales en una red con un ser*idor a la cabeza al cu9l le (e!os i!)le!entado un Firewall y un Router, $ada ter!inal de esta 'A:. incluido el -er*idor tiene una direcci n +5 )ersonal 6ue la *a a identi4icar en la Red y s lo en la red. )ero el Firewall tendr9 otra 6ue ser9 la 6ue (aga )osible una identi4icaci n con el exterior, Al instalar el Firewall debe!os dotar al ordenador ser*idor con las dos direcciones +5: una )ara 6ue se )uedan conectar los ter!inales de la 'A: a %l y otra real de identi4icaci n con el exterior,

O#ciones %ue da un &irewall 5ri!ero: &rganizaci n, Toda la red est9 sujeta a %ste. y la red s lo )odr9 acceder a los )ar9!etros 6ue el Firewall tenga )er!itido o )osibilite !ediante su con4iguraci n, 5or eje!)lo. si una ter!inal de la red intenta en*iar un )a6uete a una direcci n +5 no autorizada. el Firewall rec(azar9 %ste en*o i!)idiendo realizar %sta trans!isi n, $on el Firewall )ode!os de4inir ta!aBos de )a6uetes. +5 con las 6ue no interesa co!unicaci n. des(abilitaci n de en*os o recogida de )a6uetes )or deter!inados )uertos. i!)osibilitar el uso del co!ando Finger. etc, !"o es el acceso desde el e'terior? -i el Firewall no *alida nuestra +5 no )odre!os conectarlo con la 'A:. aun6ue co!o la +5

)ode!os 4alsi4icarla (oy en da se i!)le!entan ta!bi%n -er*idores 5roxys. ante los cuales debere!os identi4icarnos antes. )rotegiendo as ta!bi%n al Firewall, !"o afecta un &irewall a un usuario de una intranet ()A*+? 5ara el usuario la 'A: es trans)arente. es decir. si desde cual6uier estaci n en*ia!os un )a6uete a una +5 y el Firewall nos *alida el ta!aBo. +5 de destino. )uerto. etc 0Estos )ar9!etros *aran seg<n las necesidades de seguridad cada red. y )or tanto del ni*el de con4iguraci n del Firewall1. no *ere!os )roceso alguno. seria co!o si no (ubiera nada *igilando )or nuestra seguridad. aun6ue si lo (ay, 'os Firewall son co!)lejos. ya no en si !is!os. sino en de4inici n, @oy en da a un Router 6ue cu!)la 4unciones de Firewall le dare!os esta clasi4icaci n,El conce)to de seguridad a)licado sera: Filtrar antes de re)artir. !ejor 6ue !ulti)licar )or x el trabajo de seguridad en una red,

,.- Qu #uede -acer un firewall #ara #rote.er la red?

-e instala un 4irewall entre la red y el )unto de conexi n con +nternet 0u otra red no de con4ianza1, El 4irewall l)er!ite li!itar los )untos de entrada a la red, 8n Firewall )ro)orciona un <nico )unto de contacto 0deno!inado )unto de concentraci n1 entre la red e +nternet, ;ado 6ue tiene un <nico )unto de contacto. tendr9 !9s control sobre 6u% tr94ico )er!itir9 entrar y salir de la red, El 4irewall a)arece co!o una <nica direcci n )ara el )<blico, El 4irewall )ro)orciona acceso a la red no de con4ianza a tra*%s de ser*idores )roxy o -&$A- o de la con*ersi n de direcciones de red 0:AT1 a la *ez 6ue oculta las direcciones de la red interna, 5or consiguiente. el 4irewall !antiene la con4idencialidad de la red interna, $onser*ar la in4or!aci n sobre la red en )ri*ado es una de las 4or!as en 6ue el 4irewall )uede e*itar 6ue se )roduzcan ata6ues en los 6ue el intruso se (aga )asar )or otra )ersona 0su)lantaci n 0s)oo4ing11, 8n 4irewall le )er!ite controlar el tr94ico de entrada y salida de la red )ara reducir al !ni!o el riesgo de ata6ue a la red, El 4irewall 4iltra todo el tr94ico 6ue entra en la red de 4or!a 6ue s lo )uedan entrar ti)os es)ec4icos de tr94ico )ara destinos es)ec4icos, Esto !ini!iza el riesgo de 6ue alguien utilice TE':ET o el )rotocolo de trans4erencia de arc(i*os 0FT51 )ara obtener acceso a los siste!as internos, Al.unas -erra"ientas utili/adas #or un -ac0er Es di4cil describir en gran detalle y cantidad las (erra!ientas de un (ac7er debido a 6ue cada uno tiene sus )ro)ias t%cnicas y objeti*os. algunos si!)le!ente es)an 0(ac7ers )asi*os1. el otro ti)o es de los 6ue ade!9s de es)iar causan daBos 0(ac7ers destructores1, A6u no!bra!os algunas cuyo )uede ser restringido )or el 4irewall: El )rotocolo -:25 0-i!)le :etwor7 2anager 5rotocol1 6ue )uede ser usado )ara exa!inar la tabla de ruteo 6ue usa la intranet. y conocer de esta !anera la to)ologa de la red, El )rogra!a TraceRoute 6ue )uede re*elar detalles de la red y de los enrutadores, El )rotocolo /(ois. 6ue es un ser*icio de in4or!aci n 6ue )ro*ee datos acerca del ser*idor de no!bres de la intranet, El acceso al ser*idor ;:- 6ue )odra listar los +5Ds de los di4erentes (osts de la intranet y sus corres)ondientes no!bres, El )rotocolo 4inger. 6ue )uede re*elar in4or!aci n sobre los usuarios 0co!o su login. sus n<!eros tele4 nicos. la 4ec(a y (ora de la ulti!a conexi n. etc,,1 El )rogra!a )ing. 6ue )uede ser e!)leado )ara localizar un (ost )articular. y al obtener di4erentes +5Ds construir una lista de los (ost residentes actual!ente en la red,

1.- Qu no #uede -acer un firewall #ara #rote.er la red?

8n 4irewall )ro)orciona gran )rotecci n ante ciertos ti)os de ata6ue. )ero es sola!ente una )arte de la soluci n de seguridad total, 5or eje!)lo. un 4irewall no )uede )roteger necesaria!ente datos 6ue se en*en )or +nternet !ediante a)licaciones co!o correo -2T5. FT5 y TE':ET, A !enos 6ue decida ci4rar estos datos. cual6uier )ersona )odr9 acceder a ellos en +nternet !ientras se dirigen a su destino,

'os Firewall o4recen excelente )rotecci n a )osibles a!enazas. )ero no son una soluci n co!)leta!ente segura, $iertas a!enazas est9n 4uera del control del Firewall, 2n &irewall no #uede #rote.er acciones ile.ales de los usuarios internos 8n 4irewall )uede tener un siste!a de usuarios ca)az de en*iar in4or!aci n )ri*ada 4uera de la organizaci n sobre una conexi n de redE )ero )odra si!)le!ente no tener una conexi n de red, -i el ata6ue es real!ente dentro de 4irewall. un 4irewall )uede *irtual!ente notarlo, 'os usuarios internos )ueden robar datos. daBar (ardware y so4tware y !odi4icar )rogra!as cerca del 4irewall, 'as a!enazas internas re6uieren una seguridad interna. tal co!o un (ost de seguridad y educaci n a los usuarios, 2n &irewall no #uede #rote.er las cone'iones %ue no #asan #or l 8n 4irewall )uede e4ecti*a!ente controlar el tr94ico 6ue )asa a tra*%s de %l. )ero no el 6ue no )asa, 8n 4irewall no tiene 4or!a de )re*enir intrusos 6ue se co!unican a tra*%s de un ! de!, 2n &irewall no #uede enfrentar co"#leta"ente nuevas a"ena/as 8n 4irewall est9 diseBado )ara )roteger a!enazas conocidas, -olo un buen diseBador )uede ta!bi%n )rotegerse de nue*as a!enazas, 5or lo tanto un 4irewall no )uede auto!9tica!ente de4enderse cuando sucede un nue*o ata6ue, 5eri dica!ente la gente descubre nue*as 4or!as de ata6ue, :o se )uede diseBar un 4irewall y creer 6ue se est9 )rotegido )ara sie!)re, 2n &irewall no #uede #rote.erse de los virus 'os 4irewall no )ueden !antener *irus de una 5$ 4uera de la red, Algunos 4irewall escanean todo el tr94ico 6ue )asa a tra*%s de %l a la red internaE el escaneo es al !enos de la direcci n de origen y del destino, $on so4isticados 4iltrados de )a6uetes o )roxy. la )rotecci n de *irus en 4irewall no es !uy )r9ctico, Existen si!)le!ente algunos ti)os de *irus y algunas 4or!as de *irus 6ue )ueden ocultarse en los datos, ;etectar *irus en un )a6uete al azar de un dato )asando a tra*%s del 4irewall es !uy di4icultoso. esto re6uiere: Reconocer 6ue el )a6uete es )arte de un )rogra!a ;eter!inar a 6ue )rogra!a se )arece ;eter!inar 6ue el ca!bio es debido a un *irus 'a 4or!a !9s )r9ctica de atacar el )roble!a de los *irus. es a tra*%s de la )rotecci n del so4tware 0instalaci n un buen anti*irus en cada secci n1 y de la educaci n de usuarios,

3.- I"#le"entacin 4 confi.uracin de &irewalls5

For!as de i!)le!entaci n de Firewall (ay !uc(as. de)endiendo de gustos y necesidades. co!o lo es un )roxy. siendo )osible!ente la 4or!ula !9s utilizada, 'os Firewalls son la )ri!era lnea de de4ensa 4rente a los atacantes. estos co!)onentes deben estar )ti!a!ente con4igurados )ara ser e4ecti*os. de lo contrario es )osible 6ue un atacante a)ro*ec(e las *ulnerabilidades )ara lograr entrar al (ost o a una )osible red interna, 'os Firewall )er!iten la i!)le!entaci n de Fonas ;es!ilitarizadas 0 ;2F3 ;e!ilitarized Fone1. 6ue es un gru)o de ser*idores a los cuales el Firewall )er!ite un acceso )arcial. general!ente se e!)lea )ara ser*idores ///. ser*idores FT5 y ser*idores de correo, 'a 4unci n del Firewall es e*itar 6ue existan desde el exterior conexiones di4erentes a las )er!itidas. y se establecen !enos restricciones (acia

ciertos ser*idores. (acia el interior (ay una total )rotecci n. e*itando todo ti)o de conexi n desde el exterior, &tra cualidad de algunos Firewalls es la )osibilidad de establecer canales seguros encri)tados. )unto a )unto entre los Firewalls. ta!bi%n lla!ados "5:, 8na Red 5ri*ada "irtual 0 "irtual 5ri*ate :etwor73 "5:1, 'as "5:Ds se i!)le!entan )ara el !anejo de in4or!aci n con4idencial sobre canales inseguros tales co!o +nternet,

;ecisiones de diseBo b9sicas de un 4irewall

El diseBo de un 4irewall. tiene 6ue ser el )roducto de una organizaci n consciente de los ser*icios 6ue se necesitan. ade!9s (ay 6ue tener )resentes los )untos *ulnerables de toda red. los ser*icios 6ue dis)one co!o )<blicos al exterior de ella 0///. FT5. telnet. entre otros1 y conexiones )or ! de!, @ay *arias consideraciones a tener en cuenta al !o!ento de i!)le!entar un 4irewall entre +nternet y una intranet 0red 'A:1, Algunas de estas consideraciones son: 5ostura del 4irewall o Todo lo 6ue no es es)ec4ica!ente )er!itido se niega,

o Aun6ue es una )ostura radical es la !9s segura y la !9s 49cil de i!)le!entar relati*a!ente ya 6ue no (ay necesidad de crear accesos es)eciales a los ser*icios,
o

Todo lo 6ue no es es)ec4ica!ente negado se )er!ite Esta no es la )ostura ideal. )or eso es !9s 6ue todo usado )ara subdi*idir la intranet, :o es reco!endable )ara i!)le!entar entre una 'A: e +nternet. ya 6ue es !uy *ulnerable, 5oltica de seguridad de la organizaci n: o ;e)ende !9s 6ue todo de los ser*icios 6ue esta )resta y del contexto en el cual est9, :o es lo !is!o diseBar un 4irewall )ara una +-5 o una uni*ersidad. 6ue )ara )roteger subdi*isiones dentro de una e!)resa, !oste del firewall5 El coste del 4irewall de)ende del n<!ero de ser*icios 6ue se 6uieran 4iltrar y de la tecnologa electr nica del !is!o. ade!9s se necesita 6ue continua!ente se le )reste so)orte ad!inistrati*o. !anteni!iento general. actualizaciones de so4tware y )arc(es de seguridad, 5or lo tanto. los as)ectos de diseBo de un 4irewalls son: =, G5ara 6u% 6uiero 6ue sir*aH a, -i!)le auditoria b, $ontrol de acceso al exterior c, $ontrol de acceso desde el exterior >, GA 6u% ni*el de detalleH a, Iue *ariables se controlan b, Iue recursos se controlan C, G$u9nto !e *a a costarH a, A)licaci n Ad J (oc b, -o4tware libre

Subredes seleccionadas En algunas con4iguraciones de 4irewall se )uede crear una red aislada del ti)o 6ue se !uestra en la siguiente 4igura, En esta red. tanto la red externa no 4iable co!o la red interna )uede tener acceso a la red aislada, -in e!bargo. no )uede 4luir tr94ico entre la red externa no 4iable y la red interna a tra*%s de la red

aislada. El aisla!iento de la red se desarrolla utilizando una co!binaci n de routers de selecci n 6ue se con4iguran de !anera a)ro)iada, A esa red aislada se le lla!a subred seleccionada,

Algunas subredes seleccionadas tal *ez tengan gateways a ni*el de a)licaci n 6ue act<an co!o (osts de )rotecci n y )ro)orcionan acceso interacti*o a los ser*icios exteriores , En la 4igura 6ue (ay !9s abajo. *e!os una subred seleccionada 6ue utiliza la con4iguraci n K-L=-K, -e !uestra una subred seleccionada 6ue est9 con4igurada con un (ost de )rotecci n co!o )unto de acceso central a la subred seleccionada, Este ti)o de con4iguraci n es -3L=3- o K-Ll-K, 'os routers de selecci n se utilizan )ara conectar a +nternet y a la red interna, El (ost de )rotecci n es un gateway de a)licaci n y niega el tr94ico ex)resa!ente )er!itido, ;ebido a 6ue el <nico acceso a la subred seleccionada se da a tra*%s del (ost de )rotecci n. es !uy di4cil 6ue un intruso abra una brec(a en la subred seleccionada, -i la intrusi n *iene a tra*%s de +nternet. el intruso tendra 6ue recon4igurar el enruta!iento en +nternet. la subred seleccionada y la red interna )ara tener libre acceso, Aun6ue se abra una brec(a en dic(o (ost. el intruso tendra 6ue introducirse en uno de los (osts de la red interna y luego regresar al router de selecci n )ara tener acceso a la subred seleccionada, Es di4cil (acer este ti)o de intrusi n sin desconectarse a s !is!o o acti*ar una alar!a,

Un subred seleccionada que utiliza la configuracin "SB1S". ;ebido a 6ue las subredes seleccionadas no )er!iten 6ue el tr94ico de red 4luya entre +nternet y la red interna. las direcciones +5 de los (osts en estas redes est9n ocultas entre s, Esto )er!ite 6ue una organizaci n a la 6ue el $entro de +n4or!aci n de Red 0:+$. :etwor7 +n4or!ation $enter1 a<n no le (aya asignado o4icial!ente n<!eros de red. tenga acceso a +nternet a tra*%s de ser*icios de gateway de a)licaci n )ro)orcionados )or el (ost de )rotecci n 0o basti n co!o *e!os en la i!agen1 en la subred seleccionada, 6i#os de &irewalls 5ode!os catalogar los 4irewall. seg<n su !anera de o)erar. en dos grandes gru)os : =, 4irewalls de ni*el de red, >, 4irewalls de ni*el de a)licaci n, =, Firewall de :i*el de Red, Ta!bi%n se conocen co!o 5ac7et3Filtering Gateways, Estos 4irewall son los !9s econ !icos, 'as ca)acidades de 4iltro suelen estar )resentes en el so4tware del router. y co!o )robable!ente se necesite un router )ara conectar a +nternet no (ay ning<n coste adicional, 'os networ7 4irewalls o)eran des)reciando )a6uetes en base a sus direcciones de origen o destino. o sus )uertos, En general se carece de in4or!aci n de contexto. las decisiones son to!adas s lo en base a la in4or!aci n del )a6uete en cuesti n, En 4unci n del router. el 4iltrado se )uede (acer a la entrada. a la salida o en a!bos lados, El ad!inistrador realiza una lista de !96uinas ace)tados y ser*icios. y una lista de !96uinas y ser*icios a denegar,

El )roble!a es 6ue la !ayora de )olticas de seguridad necesitan un control !9s 4ino 6ue este, 8no )uede desear 6ue la !96uina A se )ueda co!unicar con la L. )ero s lo )ara en*iar correo. otros ser*icios estaran denegados, -e )ueden de4inir reglas a este ni*el, A<n con una )er4ecta i!)le!entaci n del 4iltro. nuestra red interna no estara total!ente segura, >, Fire/all de :i*el de A)licaci n, 8n 4irewall de ni*el de a)licaci n re)resenta el extre!o o)uesto en el diseBo de un 4irewall, En *ez de usar un !ecanis!o de )ro) sito general )ara )er!itir di*ersos ti)os de tr94ico. usa c digo de )ro) sito es)eci4ico 6ue )uede utilizarse )ara cada a)licaci n deseada, Estos 4irewalls ade!9s )oseen otra caracterstica a)reciada. )ueden registrar 0log1 y controlar todo el tr94ico de entrada y salida, Estos 4irewalls tienen la res)onsabilidad de to!ar los )a6uetes de una red y lle*arlos a otra. )re*ia!ente abren el )a6uete. exa!inan el contenido. y se aseguran 6ue no tiene ning<n riesgo )otencial, 8na *ez los )a6uetes est9n c(e6ueados. y son seguros. el 4irewall construye unos nue*os con el !is!o contenido, As )ues s lo los )a6uetes )ara los cuales (ay un c digo de construcci n )ueden atra*esar el 4irewall. no se )ueden en*iar )a6uetes no autorizados )or6ue no (ay c digo )ara generarlos,

&tra clasi4icaci n 6ue se da es: Filtrado de )a6uetes 0)ac7et 4iltering1 -er*idor )roxy gen%rico 0gateway relay )roxy1 Reenca!inador de ser*icios 0soc7et redirector1 -er*idor )roxy 0a))lication gateway. )roxy ser*er. 4orwarder1

&iltrado de #a%uetes a, Rec(azo de )a6uetes en 4unci n de i, ;irecci n de origenMdestino ii, -er*icio 0)uerto1 b, ;ecisiones to!adas )a6uete a )a6uete c, 5osibilidades de 4iltrado i, A la entrada ii, A la salida d, 5roble!as: i, ;irecciones +5 49ciles de en!ascarar

ii, -er*icios en )uertos no est9ndar

7ro'4 .enrico a, Todos los ser*icios se solicitan a un <nico )uerto del )roxy a, $ontrol adicional: l!ite de tie!)o. autenticaci n, b, El )roxy conecta con el ser*icio solicitado de la +ntranet c, @abitual!ente un <nico nodo externo d, 5roble!as: a, -er*icios 6ue re6uieren un )uerto es)eci4ico, b, @ay 6ue !odi4icar los clientes: circuito *irtual a tra*%s del )roxy, c, 8suarios internos 6ue no coo)eran,

8eenca"inador a, 5rotocolo 4uente J reenca!icador )ara identi4icar destino y ser*icio a, control adicional: li!ite de tie!)o. autenticaci n b, 8na *ez *alidada. la conexi n es entre 4uente y destino c, 2<lti)les nodos sin trans)arencia, d, 5roble!as: a, @ay 6ue !odi4icar los clientes 0sus libreras1 b, 8suarios internos 6ue no coo)eran

9ervidor #ro'4 a, ;ese!)a6uetado y e!)a6uetado a, $ontrol total del tr94ico b, 5rotecci n ante *irus c, $ontrol de acceso 0(orarios. 4acturaci n1 )or ser*icio, b, ;os inter4aces de red c, -eguridad acti*a d, 5roble!as: a, $lientes es)ec4icos

:.- ;eneficios de un firewall

'os 4irewalls !anejan el acceso entre dos redes, -i no existiera. todos los (osts de la +ntranet estaran ex)uestos a ata6ues desde (osts re!otos en +nternet, Esto signi4ica 6ue la seguridad de toda la red. estara de)endiendo de cuan 49cil 4uera *iolar la seguridad local de cada !96uina interna, El 4irewall es el )unto ideal )ara !onitorear la seguridad de la red y generar alar!as de intentos de ata6ue. el ad!inistrador de la red escoger9 la decisi n de si re*isar estas alar!as o no. la decisi n to!ada )or %ste no ca!biaria la !anera de o)erar del 4irewall, &tra causa 6ue (a (ec(o 6ue el uso de 4irewalls se (aya con*ertido de uso i!)erati*o es el (ec(o 6ue en los <lti!os aBos en +nternet (an entrado en crisis el n<!ero dis)onible de direcciones +5. esto (a (ec(o 6ue las intranets ado)ten direcciones $+R; 0o direcciones sin clase1. las cuales salen a +nternet )or !edio de un :AT 0:etwor7 address traslator1. y e4ecti*a!ente el lugar ideal y seguro )ara alojar el :AT (a sido el 4irewall, 'os 4irewalls ta!bi%n (an sido i!)ortantes desde el )unto de *ista de lle*ar las estadsticas del anc(o de banda Kconsu!idoK )or el tr94ico de la red. y 6u% )rocesos (an in4luido !9s en ese tr94ico. de esta !anera el ad!inistrador de la red )uede restringir el uso de estos )rocesos y econo!izar o a)ro*ec(ar !ejor anc(o de banda, Final!ente. los 4irewalls ta!bi%n son usados )ara albergar los ser*icios /// y FT5 de la intranet. estos ser*icios se caracterizan )or tener inter4aces al exterior de la red )ri*ada y se (a de!ostrado 6ue son )untos *ulnerables )ara acceder a ella,

1<.- &irewalls en el "ercado

9ervicios #ara =edianas 4 >randes e"#resas 8no de los as)ectos !9s i!)ortantes a considerar al conectarse a +nternet es la seguridad de las redes, Es necesario crear )olticas de seguridad 6ue garanticen el la in4or!aci n y los siste!as de c !)uto de su organizaci n, En este as)ecto +ntranet o4rece una soluci n inicial basada en un Firewall est9tico 6ue se con4igura en su enrutador. )ero adicional!ente existe la )osibilidad de i!)le!entar un 4irewall din9!ico 6ue garantice aun !9s la seguridad de su red. !onitoreando los )uertos 0o conexiones1 6ue deben ser )er!itidos (acia su red. en 4unci n de las acti*idades de cada co!)utador de su red interna, Lene4icios del 5+X Firewall : :o se re6uiere desconexi n de su enlace )ara la instalaci n :o es necesario ad!inistraci n diaria :o es necesario actualizar los (osts ni los enrutadores Acceso co!)leto a +nternet )ara los (osts internos registrados :o se necesitan nue*os n<!eros +5 )ara (acer la ex)ansi n de la red 5er!ite la i!)le!entaci n de redes )ri*adas 8tiliza +nternet 0RF$ =N=O1 direcciones +5 registradas :o ocasiona i!)acto en los usuarios al no ca!biar su con4iguraci n +ntero)erati*idad con enrutadores basados en $isco +&-

$isco -ecure 5+X Firewall

7ro'4 9erver =icrosoft

G2icros4t 5roxy -er*er es un FirewallH 8n t%r!ino 6ue 4recuente!ente a)arece cuando se (abla de 4irewalls es 5roxy -er*er. una de4inici n )r9ctica sera la siguiente : 7ro'4 se de4ine en t%r!inos generales co!o Kla autoridad o )oder )ara actuar )ara otroK, En el contexto de networ7ing un ser*icio )roxy es a6uel )ro*ee un ordenador asu!iendo la autoridad de actuar )ara ordenadores a los cuales esta conectado, Este ser*icio es <til en situaciones en 6ue ordenadores de redes di4erentes no est%n conectados directa!ente )ara interca!biar in4or!aci n,

El ser*icio )roxy )er!ite el interca!bio de in4or!aci n !ientras !antiene la seguridad indi*idual de cada ordenador, ;e acuerdo a la de4inici n. 2icroso4t 5roxy -er*er es un Firewall de ni*el de A)licaci n,

El )roducto 5roxy -er*er de 2icroso4t se debe !ontar sobre un ser*idor 2icroso4t :T, Entre su )rinci)ales caractersticas se destacan: $ac(e de disco )ara acelerar la na*egaci n )or +nternet, 5er!ite co!)artir un ! de!. lnea tele4 nica o lnea +-;: y cuenta de acceso, +n4or!es generados en 4or!a auto!9tica 6ue )er!iten *er y e*aluar el uso 6ue se le est9 dando a la +ntranet al interior de la e!)resa, 7odr? controlar #or donde nave.an los usuarios. $ontrol de acceso )or usuarios,

:etwor7= )resenta su (erra!ienta Fire/all 5lus 0F/51 6ue. co!o su no!bre lo indica. es una )oderosa (erra!ienta de seguridad !ulti)rotocolo. diseBada )ara trabajar en a!bientes networ73to3networ7. client3to3client. client3to3ser*er y ser*er3 to3ser*er, Trabaja bajo cual6uier )rotocolo y con cual6uier a)licaci n en +nternet o intranets, 'a ar6uitectura de esta (erra!ienta )er!ite aBadir a las a)licaciones y a las co!unicaciones la )ro)iedad de encri)taci n. auto*eri4icaci n. "5: 0"irtual 5ri*ate :etwor71 y ad!inistraci n re!ota, 5uede correrse en )lata4or!as /indows :T. /indows NP. /in C,x y ;,&,-, F/5 trabaja en coo)eraci n con el Aernel de :T y )rotege co!)leta!ente al siste!a o)erati*o de cual6uier acceso no autorizado 0a ni*el usuario. arc(i*o. )roceso. etc,1 )ara los a!bientes descentralizados clienteMser*idor 0$M-1 en los 6ue cada da transita !9s in4or!aci n con4idencial,

Cisco IOS Firewall Feature Set 2 dulo Firewall 6ue se instala dentro de los router $isco de la serie =QRR 0o >PRR1, 5ro*ee una soluci n ideal )ara e!)resas 6ue deseen integrar. sin necesidad de !96uinas adicionales. los ser*icios de ruteo y seguridad en sus actuales routers $isco. !anteniendo as su in*ersi n,

"entajas : Control de Acceso basado en Contexto (CBAC): )ro*ee 4iltros seguros y )or a)licaci n )ara el tr94ico +5. so)ortando los <lti!os )rotocolos de a)licaciones a*anzadas, Bloqueo a!a: )rotecci n 4rente a a)licaciones Sa*a con )eligros de seguridad. )er!itiendo el acceso solo a los a))lets Sa*a de 4uentes )re*ia!ente autorizadas, "eteccin # $re!encin de Ser!icios "enegados: )rotege de los ata6ues !9s co!unes a las redes internas, Alertas en %ie&'o (eal: crea logs de los ser*icios denegados y otras condiciones 6ue )resenten riesgos de seguridad al interior de la red de la e!)resa, Control de Uso: )er!ite lle*ar un control de usuarios. tie!)o de acceso. direcciones de origen y destino. )uertas usadas y total de bytes trans!itidos, $on4iguraci n y ad!inistraci n integradas con $isco +&-,

11.- ;iblio.raf@a
(tt):MMwww,cisco,co!Muni*ercdMccMtdMdocM)roductMiaabuM)ixMindex,(t! (tt):MMwww,!icroso4t,co!Mintl7bM-5A+:ME=RMPMPQ,A-5 (tt):MMwww,gi4web,co!M4irewall,(t!l (tt):MM!axwell,uni*alle,edu,coMTcara6uinMUintro (tt):MMwww,*iared,clMser*y)roMwatc(guard,(t! (tt):MMwww,abits,co!,!xM5roductosM4irewall,(t! (tt):MMwww,tic,co!,!xM)roductosMinternetM4irewallsM4irewalls,(t! (tt):MMtallan,un),edu,)eMingindustrialMdaiin4oMsisiNO>,(t!

(tt):MMwww,soltel,co!,uyMFirewall,(t!l (tt):MMwww,!aestrosdelweb,orgMeditorialMco!)utacionM4irewall,as) (tt):MMwww,ib!,co!McoM)roductsM4ire,(t!l (tt):MMalen,ait,u*igo,esMT!anoloMnstMseguridadMsldR=V,(t! (tt):MMwww,wingate,co!,!xM (tt):MMwww,ca!(i,clMser*y)roM!s3)roxy,(t! (tt):MMwww,)enta,u4rgs,brMgeresegMunl)M=>te!aW,(t! (tt):MMwww,rdc,clM)rodser*M4irewall,(t!

12.- Andice
=,3 +ntroducci n >,3 GIu% es un 4irewallH C,3 &bjeti*o de un 4irewall W,3 $o!)onentes del 4irewall P,3 G$ !o 4unciona un 4irewallH Q,3 GIu% )uede (acer un 4irewall )ara )roteger la redH V,3 GIu% no )uede (acer un 4irewall )ara )roteger la redH O,3 +!)le!entaci n y con4iguraci n de 4irewalls N,3 Lene4icios de un 4irewall =R,3 Firewalls en el !ercado ==,3 Libliogra4a =>,3 Xndice