El trmino firewall se refera originalmente a una pared a prueba de fuego (generalmente hecha de piedra o metal), que evitaba que

las llamas se extendieran entre las estructuras que conectaba. Luego, el trmino fue aplicado a la plancha de metal que separaba el compartimento del motor de un vehculo o aeronave del compartimento del pasajero. Eventualmente, el trmino se adapt para su uso en las redes de computadoras:

el firewall evita que trfico indeseable ingrese a reas restringidas de la red.

Beneficios del uso de un firewall en una red Puede prevenir la exposicin de hosts y aplicaciones sensibles a usuarios no confiables. Puede sanitizar el flujo de protocolos, previniendo la explotacin de fallas en los protocolos. Puede bloquearse el acceso de datos maliciosos a servidores y clientes. Puede hacer que la aplicacin de la poltica de seguridad se torne simple, escalable y robusta. Puede reducir la complejidad de la administracin de la seguridad de la red al reducir la mayora del control de acceso a la red a algunos puntos.

Limitaciones de los Firewalls Si est mal configurado, el firewall puede tener consecuencias serias (nico punto de falla). Muchas aplicaciones no pueden pasar a travs del firewall en forma segura. El rendimiento de la red puede disminuir Los usuarios pueden intentar buscar maneras de sortear el firewall para recibir material bloqueado, exponiendo la red a potenciales ataques. Puede hacerse tunneling de trfico no autorizado o puede disfrazrselo como trfico legtimo.

Tecnologas de Firewalling

En las redes corporativas es frecuente aplicar una lgica de segmentacin o separacin de diferentes sectores de la red, minimizando la interaccin entre los diferentes segmentos. El firewall es el dispositivo que controla las interacciones que puedan tener lugar entre los segmentos o dominios adyacentes.

La separacin entre dominios puede ser: Separacin Fsica: Se trata de redes fsicamente diferentes que por lo tanto se conectan al firewall a travs de diferentes interfaces fsicas. Desde la perspectiva de seguridad es el mejor mtodo de separacin de dominios, aunque el mas costoso. Separacin Lgica: Separa diferentes grupos de usuarios sobre la misma infraestructura fsica. Entre las implementaciones que permiten este tipo de separacin se cuentan las VLANs, VSANs, VPN-MPLS, etc.

Tipos de firewall Firewall de filtrado de paquetes (Packet - filtering firewall) Tpicamente consiste en un router con la capacidad de filtrar paquetes con algn tipo de contenido, como informacin de capa 3 y, en ocasiones, de capa 4. Los firewalls de filtrado de paquetes revisan una tabla simple para permitir o denegar el trfico basndose en criterios especficos: La direccin IP de origen La direccin IP de destino El protocolo de red que se est utilizando (TCP, UDP o ICMP) El puerto de origen TCP o UDP El puerto de destino TCP o UDP Si el protocolo es ICMP, el tipo de mensaje ICMP

Firewall con estados (Stateful firewall) Monitorea el estado de las conexiones, si estn en estado de iniciacin, transferencia de datos o terminacin Los firewalls con estados son la tecnologa de firewall ms verstil y comn en uso actualmente. Proporcionan filtrado de paquetes con estados utilizando la informacin de conexiones mantenida en una tabla de estados. El filtrado con estados es una arquitectura de firewall que se clasifica como de capa de Red, aunque, para algunas aplicaciones, tambin puede analizar trfico de capas 4 y 5. A diferencia del filtrado de paquetes esttico, que examina paquetes en base a la informacin del encabezado del paquete, el filtrado con estados monitorea cada conexin que pasa por las interfaces del firewall y confirma su validez.

Firewall gateway de aplicacin (proxy) (Application gateway firewall) Filtra segn informacin de las capas 3, 4, 5 y 7 del modelo de referencia OSI. La mayora del control y filtrado del firewall se hace por software.

Firewall de traduccin de direcciones (Address translation firewall) Expande el nmero de direcciones IP disponibles y esconde el diseo del direccionamiento de la red.

Cisco ASA Adaptive Security Appliances

What is the Cisco ASA? ASA Firewall

Cisco ASA licensing explained

How to configure Cisco ASA virtual firewall

Understanding the 8 basic commands

Es una solucin de fcil despliegue que integra capacidades de software, seguridad en comunicaciones unificadas Cisco (voz y video), capa de sockets seguros (SSL) y VPNs IPsec, IPS y servicios de seguridad de contenidos. Diseado como un componente clave de las redes autodefensivas de Cisco, Cisco ASA proporciona servicios inteligentes de defensa de amenazas y comunicaciones seguras que detienen los ataques antes de que afecten la continuidad de los negocios. Los ASA fueron diseados para proteger las redes de todos los tamaos y bajar los costos generales de despliegue y operacin para la empresa al proporcionar una seguridad global multicapa

Cisco Systems presenta la nueva familia de dispositivos para la defensa de amenazas en redes corporativas
Madrid, 20 de mayo de 2005, - Cisco Systems, lder mundial en soluciones de red e infraestructuras para Internet, ha anunciado la disponibilidad de su conjunto de dispositivos de seguridad ASA (Adaptive Security Appliance) 5500, una innovadora familia de terminales de seguridad que permite detener cualquier ataque antes de que se difunda a travs la red corporativa. La serie ASA 5500 de Cisco controla el trfico en aplicaciones y redes y ofrece conectividad VPN flexible, reduciendo los costes operativos y de despliegue tpicos de este tipo de instalaciones. Una de las claves en la estrategia de seguridad de

autoproteccin de redes de Cisco es precisamente la serie ASA 5500, que incluye los productos Cisco ASA 5510, Cisco ASA 5520 y Cisco ASA 5540. Esta familia de dispositivos ha sido diseada especialmente para abarcar los requerimientos de empresas de todos los tamaos, desde pequeas y medianas compaas hasta grandes corporaciones, incidiendo en las necesidades de gestin unificada y de escalabilidad de los servicios concurrentes. De esta manera, se consigue un alto rendimiento y la posibilidad de operar mltiples servicios de seguridad de forma simultnea sin aadir otras complejidades operativas. Las nuevas soluciones han sido desarrolladas manteniendo los estndares de seguridad de las familias de productos IPS 4200 y VPN 3000 Concentrator. La serie ASA 5500 tambin ofrece un potente conjunto de servicios VPN que permiten acceso remoto IPSec y capacidades VPN SSL, as como servicios IPSec de Calidad de Servicio (QoS). Estos productos presentan tambin importantes funciones de integracin IP y han sido diseados para ofrecer soporte multicast, IPv6, routing y QoS, permitiendo la integracin dentro de la red sin interrumpir el trfico por la misma ni el uso de las aplicaciones. La instalacin tpica de servicios de seguridad provoca una brecha entre la eficacia operativa y la seguridad integral dentro de las organizaciones , segn afirma Joel Conover, analista principal de infraestructura empresarial de la consultora Current Analysis. La integracin de mltiples tecnologas dentro de la familia ASA 5500 resuelve el problema de la gestin de la seguridad en dispositivos mltiples y hace tambin factible operativa y econmicamente la instalacin de servicios de seguridad completos en un mayor nmero de puestos dentro de la red.

Cisco ASA 5500 incluye defensa de amenazas

La serie ASA 5500 de Cisco ofrece servicios avanzados de defensa de amenazas, incluyendo defensas Anti-X, seguridad para las aplicaciones as como contencin y control de la red, con el objetivo de ofrecer una proteccin unificada de los recursos crticos para el negocio. Mediante esta familia de productos, Cisco ofrece a sus clientes defensa Anti-X basada en la web contra gusanos y virus, proteccin de spyware y adware, microinspeccin de trfico en la red corporativa y prevencin ante intrusos, hackers y ataques de denegacin de servicio de forma coordinada. Los servicios de seguridad disponibles en la serie ASA 5500 incluyen inspeccin avanzada de aplicaciones y control para la proteccin dinmica y fiable de las aplicaciones de negocio en Internet. Estos servicios incluyen el control de servicios P2P, como Kazaa o los programas de mensajera instantnea, accesos a URL, proteccin y validacin de la integridad de aplicaciones corporativas, como bases de datos, y otras importantes proteccionndae negocio incluidas en la red arlier in London?es" Concentratores especficas para servicios multimedia y VoIP. La serie ASA 5500 de Cisco tambin incluye servicios de contencin y control de la red para un control preciso, adems de posibilidades de segmentacin de usuarios, acceso a aplicaciones y flujos de trfico en red. Esto incluye capacidades de cortafuegos para inspeccionar el estado de las capas 2-4, lo que permite a los clientes rastrear el estado de todas las comunicaciones de la red y ayudar a la prevencin de los accesos a la red no

autorizados. La serie ASA 5500 tambin incorpora servicios de virtualizacin que hacen posible la segmentacin de redes y escalabilidad de los servicios.

Proteccin avanzada para el acceso a VPN

La serie ASA 5500 ofrece un potente conjunto de servicios SSL e IPSec que se integran con las tecnologas de defensa de amenazas ya descritas para asegurar que la conexin VPN no se convierta en una entrada para amenazas como gusanos, virus o hackers. La convergencia de IPSec y SSL-VPN dentro de la serie ASA 5500 permite una gran adaptacin a cualquier escenario de instalacin de VPN, incluyendo escritorios compartidos, acceso completo o limitado a redes corporativas y extranets o acceso de partners a la red propia. Los clientes pueden extender el acceso remoto y seguro de forma sencilla a cualquier usuario desde cualquier lugar utilizando tan solo un dispositivo y una infraestructura de gestin apropiados. La serie ASA 5500 de Cisco tambin se integra con los clusters VPN 3000 Concentration, que permiten a los clientes utilizar las inversiones en VPN existentes mientras instalan los servicios de seguridad y VPN ms avanzados del mercado.

Plataforma unificada para ampliar la funcionalidad y ofrecer importantes ahorros

La serie ASA 5500 de Cisco ofrece importantes eficiencias operativas y econmicas para la instalacin de elementos de seguridad de los clientes. Entre estos, se incluyen extensibilidad de servicios ofrecida a travs de mdulos de software y hardware, estandarizacin de plataformas en mltiples puestos, operaciones simplificadas a travs de un servicio de gestin y monitorizacin comn en mltiples servicios de seguridad y solucin de problemas simplificada y aislamiento de fallos. El perfil de servicios permite personalizar de forma especfica ciertas funciones, lo que hace posible que los clientes estandaricen la serie ASA 5500 para diferentes usos de seguridad dentro de la red, que, de otra forma, precisaran de mltiples plataformas y entornos de gestin diferentes. El enfoque un nico dispositivo, mltiples servicios reduce el nmero de plataformas que deben ser instaladas y gestionadas, mientras se ofrece una operativa comn y un entorno de gestin a lo largo de estas instalaciones. Este enfoque simplifica la configuracin, monitorizacin, solucin de problemas y formacin de staff para seguridad. Muchos de los servicios de gestin unificada disponibles en la serie ASA 5500 se incluyen en el Adaptive Security Device Manager para la gestin de dispositivos nicos y en el Cisco Security Management Suite para la gestin multidispositivos. El Adaptive Security Device Manager es un gestor integrado de dispositivos basado en web que permite la configuracin de todos los servicios de dispositivos VPN y de seguridad. Asimismo, ofrece el estado del dispositivo integrado y el monitorizado de servicios y est destinado a la instalacin de hasta diez dispositivos. Por su parte, el Cisco Management Security Suite est adaptado a instalaciones mayores y ofrece gestin multisite, multifuncin y multiservicio. Soporta entornos de plataformas hbridas que pueden incluir una mezcla de dispositivos, routers y switches, as como control de actualizaciones por departamento y capacidades de auditoria. Juntas, estas capacidades de gestin ofrecen a los clientes un conjunto de herramientas

para la gestin de dispositivos sencillos o mltiples de servicios de seguridad convergentes.

Servicios de seguridad completos a lo largo del ciclo de vida

Los clientes que elijan la serie ASA 5500 de Cisco, as como cualquier otro producto de la gama de seguridad de la compaa, pueden beneficiarse de las ventajas de los servicios de Preparacin y Respuesta ante Incidentes de Cisco, que ayudan a controlar el estado de preparacin ante amenazas y adems disean los procesos para detectar, contener y minimizar los ataques a la red. Cisco ha anunciado asimismo MySDN , un recurso gratuito en la web que estar disponible a finales de mayo y que ofrece inteligencia sobre vulnerabilidades, amenazas, firmas y estrategias de mitigacin. Como parte de los servicios de seguridad del ciclo de vida del portfolio de Cisco, estos nuevos servicios, junto al conjunto de productos de seguridad de Cisco, ofrecen un enfoque global para asegurar la red.