or lo general, cuando hablamos de fire-

walls, lo primero que se nos viene a la

mente son programas como Zone Alarm o
Kerio Personal Firewall. Si bien stos son muy buenos
a la hora de realizar una configuracin de seguridad
personal o de tipo SOHO (Small Office Home Office,
redes hogareas), no son lo suficientemente verstiles
ni poderosos como para operar en entornos de gran-
des empresas, que tienen requerimientos evidentemen-
te superiores. Veamos, entonces, de qu se tratan los
firewalls de uso profesional.
SOLUCIONES CORPORATIVAS
Las redes de las grandes empresas suelen destacarse
por presentar una complejidad superior a las comu-
nes: numerosas direcciones IP (que en muchas oca-
siones no pertenecen al mismo segmento), subredes,
VPNs, DMZ (si ya estn perdidos, consulten el glosa-
rio), redes de acceso pblico, etc. Recuerden que las
IPs en una LAN suelen ser privadas, es decir, perte-
necientes a segmentos no ruteables desde Internet:
192.168.x.x, 10.x.x.x y el rango comprendido entre
172.16.0.0 a 172.31.255.255.
Existen en el mercado varias marcas que proveen de
estas soluciones a las empresas; entre ellas, Cisco
Pix (www.cisco.com), WatchGuard (www.watchguard.com),
Intel Shiva (www.shiva.com), SonicWall (www.sonicwall-
.com) y Nokia (www.nokia.com). Este ltimo firewall es
uno de los ms poderosos (y caros), ya que cuenta con mlti-
ples opciones, sin que esto signifique mayor complejidad a la
hora de realizar la configuracin. Por eso, a lo largo de esta
nota basaremos nuestros ejemplos en l.
Una pregunta que puede surgir es: entonces los firewalls corpo-
rativos son por hardware, mientras que las soluciones hogareas
son por software?. No. Todos los firewalls son por software. El
hecho de que se distribuyan en un hardware diseado para sopor-
tarlo es un agregado ms de seguridad, ya que no se utiliza nin-
guna PC del circuito de la red que se va a proteger, pero sera el
equivalente a adquirir el software e instalarlo en una mquina
que slo comparta la conexin a Internet y realice los filtros del
firewall (y, por qu no, tambin un buen antivirus). Un claro
ejemplo es el de Check Point, una empresa desarrolladora de soft-
ware que, en asociacin el Nokia (que cre un sistema operativo
especial para soportar el Check Point y hacerlo ms estable y se-
guro), distribuyen el producto en cuestin.
CHECK POINT FIREWALL-1
Si bien existe una solucin CP para cada sistema (Solaris, Li-
nux, Windows, etc.), en mi opinin el kit ideal es el provisto
por Nokia, con el hardware incluido, que dependiendo del caso,
puede llegar a ser un equipo similar a cualquier CPU como las
que tenemos en casa. Este kit consta, bsicamente, de un pro-
cesador; disco rgido; interfaces Ethernet; interfaz y puerto se-
rial; conectores para teclado, mouse y monitor, y un conector
para consola. Este ltimo elemento es de suma importancia, ya
que el nivel de proteccin es tan alto, que frente a un gran
riesgo o a una configuracin equivocada por parte del adminis-
P
PABLO D. HAUSER
SECURITY OPERATIONS CENTER, IMPSAT
pablohauser@yahoo.com.ar
56 POWERUSR
.seg
CUANDO ZONE ALARM
Y KERIO QUEDAN CHICOS...
FIREWALLS
PROFESIONALES

EL SITIO WEB DE CHECK POINT (www.checkpoint.com)

POSEE MUCHA INFORMACION SOBRE LAS HERRAMIENTAS
Y LOS FIREWALLS DESARROLLADOS POR LA COMPAIA.
A NIVEL EMPRESARIAL, UN FIREWALL
HOGAREO QUEDA MUY LIMITADO
FRENTE A SOLUCIONES DE HARDWARE
Y SOFTWARE PROVISTAS POR
FABRICANTES. EN ESTA NOTA HAREMOS
UNA INTRODUCCION AL USO Y FUNCIONES
DE LOS FIREWALLS PARA GRANDES REDES.
01
FIGURA
UN SITIO MUY UTIL DONDE ENCONTRAR AYUDA O DEJAR
APORTES DE NUESTRAS EXPERIENCIAS ES EN LOS BLOGS
DE PHONEBOY (www.phoneboy.com).
02
FIGURA
FIREWALLS.qxd 10/15/03 11:23 AM Page 56
57 POWERUSR
trador de seguridad que lo deje fuera del
circuito seguro, ser la nica manera de
poder controlar nuevamente el firewall,
notebook y cable especial mediante.
El kit viene con el CD de instalacin del sis-
tema operativo, y una vez que configuramos
correctamente todos sus parmetros, procede-
mos a la instalacin del firewall. El SO pro-
visto por Nokia es el IPSO, un FREEBSD ba-
sado en Linux y desarrollado especialmente
para Check Point. Se trata de una versin re-
ducida, para aprovechar al mximo sus ca-
ractersticas de seguridad y eliminar los de-
ms aspectos del sistema. La instalacin pue-
de ser algo engorrosa, ya que no es nada
amigable; ninguno de sus pasos es grfico,
pero basta con poner un poco de concentra-
cin durante el proceso y nunca ms debere-
mos volver a tocarlo.
LA INTERFAZ
La instalacin del firewall se realiza de la
misma manera, pero la administracin es
totalmente grfica y es ah donde se simpli-
fica el trabajo. Una de las grandes diferencias
entre Check Point y el resto del software de
seguridad es que la administracin se realiza
a travs de un cliente GUI, que nos permite
manejar todo de manera ultrasencilla; en
cambio, las dems soluciones dan acceso al
equipo por HTTP o HTTPS, o (dependiendo de
la marca elegida) a una consola centralizado-
ra en caso de que tengamos varios equipos
en produccin para administrar. Una vez ac-
tivado el motor del firewall, se puede operar
in situ o remotamente, conectndose a la IP
pblica del equipo a travs de una herra-
mienta tambin provista por CP: el Secu-
reCRT para el IPSO (conexin encriptada por
Telnet) y el GUI Client para el Firewall-1.
REGLAS
Las reglas de filtrado del firewall se ejecutan
en forma secuencial, comenzando desde la
#0 (predefinida en [Policy/Properties]), hasta
la ltima que hayamos creado. Para com-
prenderlo, es necesario que observemos la
Figura 6: las reglas que se crean van reci-
biendo un nmero secuencial dependiendo
del lugar de la tabla donde las ubicamos.
En la imagen vemos las reglas de la #1 a la
#5; sin embargo, la regla #0 no se ve, ya
que es tomada por defecto en el firewall es-
pecificando ciertos parmetros. Estos pueden
ser, por ejemplo, aceptar ping (ICMP), aceptar
resolucin de nombres (DNS) y aceptar pa-
quetes de salida desde el firewall, entre otros.
La importancia de definir un orden para las
reglas radica en que, de lo contrario, se
DENTRO DE LOS FIREWALLS DE ALTA GAMA
EXISTEN DIFERENTES OPCIONES SEGUN LAS
NECESIDADES QUE UNA RED PUEDA TENER.
LOS MODELOS DE MAYOR TAMAO SUELEN SER
FISICAMENTE VERSATILES Y PODEROSOS.

QUIENES UTILICEN LINUX ESTARAN ACOSTUMBRADOS A

INTERFACES POCO AMIGABLES, COMO LA DE IPSO A TRAVES
DE SECURECRT, QUE VEMOS EN ESTE CASO.
03
FIGURA
EL
NAVEGADOR
DE RED
VOYAGER,
VISTO DESDE
LYNX
(ARRIBA)
E INTERNET
EXPLORER
(IZQUIERDA).
04
FIGURA
05
FIGURA
FIREWALLS.qxd 10/15/03 11:23 AM Page 57
58 POWERUSR
pueden obtener resultados no deseados a causa de
conflictos entre ellas. En nuestro ejemplo, la regla #4
dice que desde cualquier origen, hacia cualquier desti-
no, mientras sea por el conjunto de puertos NBT (basu-
ra NetBios), los paquetes sean rechazados. Si al da si-
guiente, sin darnos cuenta insertamos una nueva regla
en la posicin #2 que diga exactamente lo contrario
(todos los paquetes por NBT son aceptados), la regla
anterior carecer de utilidad.
Afortunadamente, al momento de instalar las reglas,
Check Point cuenta con un compilador que nos advierte
de algunos errores de este tipo, para que podamos corre-
girlos y no surjan estas incoherencias.
Adems de la grfica para las reglas, existe tambin
una interfaz web con varias de las opciones de confi-
guracin de IPSO llamada Voyager, que nos permite
evitar la interaccin hostil con IPSO. En caso de no
poseer un navegador, un llamado Lynx incluido en el
sistema hace las veces de browser, pero obviamente, li-
mitado en su interfaz.
DMZ Y VPN
Como mencionamos al principio de la nota, una red,
adems de tener su acceso LAN y WAN, puede presen-
tar una tercera zona: la DMZ (de DeMilitarized Zone,
Zona Desmilitarizada; trmino que se usa en el campo
militar como un rea pacfica de intercambio entre ene-
migos). La DMZ actuara como una interseccin de la
red confiable o LAN y la red insegura o WAN (Internet).
Dentro de la DMZ se suelen configurar equipos de ac-
ceso pblico, pero tambin de acceso interno, como
EL EDITOR DE POLITICAS DE CHECK POINT GUI CLIENT. NOTEN EL ORDEN DE PRIORIDAD DE LAS REGLAS ESTABLECIDAS,
CON SU CORRESPONDIENTE ACCION, ORIGEN, DESTINO Y HORARIO, ENTRE OTRAS COSAS. DETERMINAR UN CORRECTO
ORDEN DE LAS REGLAS ES FUNDAMENTAL PARA NO CREAR CONFLICTOS ENTRE ELLAS.
NUMEROSAS COMPAIAS OFRECEN SOLUCIONES DE FIREWALLS CORPORATIVOS. ENTRE ELLAS, LA DE CISCO PIX,
WATCH GUARD, INTEL SHIVA, SONIC WLL Y NOKIA. AQUI VEMOS UN RACK NOKIA IP350, CON CUATRO CONECTORES
DE RED Y DOS PUERTOS SERIE EN EL FRENTE, ADEMAS DE UN SLOT PARA TARJETAS PCMCIA.
WebServers, MailServers, SQLServers, FTPServers, DNS-
Servers, etc. El router-firewall (s, CP tambin permite
la carga de rutas estticas a travs de Voyager) posibi-
lita que los accesos a la DMZ no traspasen a la LAN,
haciendo que la red confiable lo siga siendo aun con
informacin publicada en Internet.
Las VPN son, como su nombre lo indica (Virtual Private
Networks, redes privadas virtuales), extensiones de la
red privada de la empresa. Para dar un ejemplo, imagi-
nen que en su empresa los envan a una presentacin so-
bre sus productos en Europa, pero necesitan estar conti-
nuamente en conexin, para tomar los ltimos datos so-
bre los cambios en los modelos, precios, etc. Esta infor-
macin es netamente confidencial, y no sera serio ni
prudente realizar envos por mail u otros medios. Aqu es
donde entran las VPNs. Por la red no confiable (en este
caso, Internet) se realiza una comunicacin entre el clien-
te de la mquina viajante y el servidor en el firewall, pa-
ra intercambiar datos sobre el formato de encriptacin
que se utilizar (FWZ, IKE), los algoritmos (DES, 3DES,
CAST, etc.), los secretos compartidos previamente esta-
blecidos y la validacin del cliente. Si esta comunicacin
es exitosa, se crea un tnel de encriptacin por donde
circularn todos los datos sin riesgo, como si se estuviera
dentro de la LAN, hasta que finalice la sesin. Check
Piont permite un manejo de los usuarios a autenticar a
un nivel tan especfico, que si as se indicara, una perso-
na podra validar para el ingreso SOLO si se cumpliera la
peticin mediante un puerto X, desde una mquina Y, y
hacia un host Z. Para obtener ms informacin sobre
VPNs, pueden visitar el sitio http://vpn.shmoo.com.
06
FIGURA
FIREWALLS.qxd 10/15/03 11:23 AM Page 58
59
POWERUSR
LOGS
Una de las herramientas ms tiles con los que contamos a la hora de rea-
lizar debugging (seguimiento paso por paso de un procedimiento para
detectar errores y sus casusas) cuando un problema no es fcilmente
visible es el log en tiempo real que brinda Check Point, una verdadera
ventaja frente a sus competidores, ya que algunos de ellos ni siquiera con-
templan un registro en modo texto.
Mediante el log se pueden monitorear todos los accesos de los paquetes
que circulan a travs del firewall, filtrando por varios campos de los cuales
los ms utilizados son: origen, destino, accin, servicio, protocolo, usuario y
nmero de regla de filtrado.
El log tambin nos permite la resolucin de nombres de las IPs que visualiza-
mos en las columnas de origen y de destino. Por lo tanto, si tenemos esta op-
cin habilitada y realizamos, por ejemplo, un ping a la direccin 200.80.42.95,
en el log veremos como origen nuestra IP, como destino www.tectimes.com,
servicio ICMP, y si es aceptado o no.
HASTA AQUI LLEGAMOS
Para finalizar, hay que remarcar algunas de las bondades del manejo de
Check Point mediante la interfaz grfica: se pueden crear objetos y gru-
pos de objetos, como PCs, redes, dominios, servers, etc. De la misma ma-
nera se manejan los servicios (la mayora de los de uso frecuente, como
HTTP, FTP, SMTP y dems estn creados, pero es posible agregar nuevos,
como TCP, UDP, RPC, ICMP, etc.). En caso de tener un grupo de firewalls
administrados por la misma consola, se le puede indicar qu reglas se ins-
talan sobre qu firewall; permite realizar NAT de los objetos o redes con
la IP pblica del firewall para que puedan acceder correctamente a Inter-
net, y en caso de que un objeto posea una IP pblica, tambin permite
NAT esttico (como el caso de los WebServers). Por otra parte, permite au-
tenticacin de usuarios por password o por SecureID, previa creacin del
objeto servidor de sincronizacin de los Tokens; realiza anti-spoofing;
permite restringir el ancho de banda del trfico; y muchsimas opciones
ms. Lo que se dice, una herramienta bien completa I
GLOSARIO
SI ALGUN TERMINO LES SUENA UN TANTO EXTRAO,
AQUI TIENEN UNA BREVE EXPLICACION:
3DES Algoritmo de encriptacin simtrica
basado en la repeticin de DES.
Utiliza llave de 168 bits de longitud.
CAST Carlisle Adams / Stafford Tavares.
Grupo de cifrado similar al DES.
DES Data Encryption Standard
(Encriptacin Estndar de Datos).
Uno de los ms populares algoritmos
de encriptacin simtrica desarrollado
por IBM. Utiliza llave de 56 bits de longitud.
DMZ Demilitarized Zone (Zona Desmilitari-
zada). Se aplica al rea donde las redes,
tanto confiables (LAN) como no confiables
(Internet), se cruzan accediendo a un
mismo equipo.
FIREWALL (FW) Software dedicado a evitar
la intrusin o el acceso de informacin
no deseada a travs de los puertos
abiertos en la mquina. Se combina
con hardware dedicado para hacer ms
efectivo su funcionamiento.
FREEBSD SO derivado de Unix
para PC Intel y compatibles (x86).
FWZ Protocolo de encriptacin
propietario desarrollado por Checkpoint.
No puede ser enmascarado.
GUI Graphical User Interface (Interfaz
Grfica de Usuario). Se refiere a tcnicas
que utilizan ventanas grficas que
permiten un fcil manejo de aplicaciones
mediante teclado y mouse.
IKE Protocolo de encriptacin que utiliza
estndares Ipsec. Puede ser enmascarado.
IP Internet Protocol. Protocolo que junto
con TCP (Transfer Control Protocol,
Protocolo de Control de Transmisin)
se encarga de efectivizar las comunicacio-
nes en red. La direccin IP es el identifica-
dor de cada host dentro de la red.
IPSEC Conjunto de protocolos estndar
utilizados para implementar comunicacio-
nes seguras e intercambio de llaves entre
computadoras, generalmente utilizado
para establecer las VPNs.
TELNET Comando que permite accesos a
terminales o servidores a travs de una
red. Los comandos enviados por Telnet
son ejecutados en la mquina remota como
si estuviramos frente a ella.
VPN Virtual Private Networks (Redes Priva-
das Virtuales). Extensiones de la red LAN
confiable a pesar de la distancia. Se crean a
travs de la red no confiable (Internet) pero
dentro de un tnel encriptado.
TODOS LOS FIREWALLS SON POR SOFTWARE. EL HECHO
DE QUE SE DISTRIBUYAN EN UN HARDWARE DISEADO
PARA SOPORTARLO ES UN AGREGADO MAS DE SEGURIDAD,
YA QUE NO SE UTILIZA NINGUNA COMPUTADORA DEL
CIRCUITO DE LA RED QUE SE VA A PROTEGER.
*
VISTA DEL LOG EN TIEMPO REAL. PUEDE PERSONALIZARSE
PARA TENER A MANO TODAS LAS HERRAMIENTAS QUE NOS AYUDEN
A DESCUBRIR UN PROBLEMA.
07
FIGURA
FIREWALLS.qxd 10/15/03 11:23 AM Page 59