PROTOCOLOS VPN

Protocolos de VPN
Han sido implementados varios protocolos de red para el uso de las VPN. Estos
protocolos intentan cerrar todos los hoyos de seguridad inherentes en VPN. Estos
protocolos continan compitiendo por la aceptacin, ya que ninguno de ellos ha sido
ms admitido que otro.
Estos protocolos son los siguientes:

Point-to-Point Tunneling Protocol (PPTP): PPTP es una especificacin de protocolo
desarrollada por varias compaas. Normalmente, se asocia PPTP con Microsoft, ya que
Windows incluye soporte para este protocolo. Los primeros inicios de PPTP para
Windows contenan caractersticas de seguridad demasiado dbiles para usos serios. Por
eso, Microsoft contina mejorando el soporte PPTP. La mejor caracterstica de PPTP
radica en su habilidad para soportar protocolos no IP. Sin embargo, el principal
inconveniente de PPTP es su fallo a elegir una nica encriptacin y autentificacin
estndar: dos productos que acceden con la especificacin PPTP pueden llegar a ser
completamente incompatibles simplemente porque la encriptacin de los datos sea
diferente.
En el escenario tpico de PPTP, el cliente establecer una conexin dial-up con
el servidor de acceso a red del proveedor del servicio, empleando para ello el protocolo
PPP. Una vez conectado, el cliente establecer una segunda conexin con el servidor
PPTP el cual estar situado en la red privada. Dicho servidor ser utilizado como
intermediario de la conexin, recibiendo los datos del cliente externo y transmitindolos
al correspondiente destino en la red privada.

PPTP encapsula los paquetes PPP en datagramas IP. Una vez que los datagramas llegan
al servidor PPTP, son desensamblados con el fin de obtener el paquete PPP y
desencriptados de acuerdo al protocolo de red transmitido. Por el momento, PPTP
nicamente soporta los protocolos de red IP, IPX, y NetBEUI. El protocolo PPTP
especifica adems una serie de mensajes de control con el fin de establecer, mantener y
destruir el tnel PPTP. Estos mensajes son transmitidos en paquetes de control en el
interior de segmentos TCP. De este modo, los paquetes de control almacenan la
cabecera IP, la cabecera TCP, el mensaje de control PPTP y los trailers apropiados.

La autenticacin PPTP est basada en el sistema de acceso de Windows NT, en el cual
todos los clientes deben proporcionar un par login/password. La autenticacin remota
de clientes PPTP es realizada empleando los mismos mtodos de autenticacin
utilizados por cualquier otro tipo de servidor de acceso remoto (RAS).


Layer Two Tunneling Protocol (L2TP): El principal competidor de PPTP en
soluciones VPN fue L2F, desarrollado por Cisco. Con el fin de mejorar L2F, se
combinaron las mejores caractersticas de PPTP y L2F para crear un nuevo estndar
llamado L2TP. L2TP existe en el nivel de enlace del modelo OSI. L2TP, al igual que
PPTP soporta clientes no IP, pero tambin da problemas al definir una encriptacin
estndar.
L2TP encapsula datos de aplicacin, datagramas de protocolos Lan e informacin de
tramas punto a punto dentro de un paquete que, adems contiene una cabecera de
entrega, una cabecera IP y una cabecera Generic Routing Encapsulation (GRE).
La cabecera de entrega mantiene la informacin de tramas necesaria para el medio a
travs del cual se establece el tnel, sea una red Frame Relay o IP. La cabecera IP
contiene, entre otros datos importantes, las direcciones IP de fuente y destino. GRE,
finalmente, incluye extensiones como, por ejemplo, la de sealizacin de llamada, que
aaden inteligencia de conexin.
Para formar un tnel, L2TP emplea dos funciones bsicas: LAC y LNS. LAC (L2TP
Concentrador de acceso) realiza funciones de servidor de lnea para el cliente, mientras
que LNS (L2TP servidor de red), como su nombre indica, acta como servidor de red en
el lado del servidor.
En un escenario en el cual L2TP resida en el concentrador de accesos de un punto de
presencia del operador, la funcin LAC iniciar un tnel cuando un usuario remoto
active una conexin PPP con un proveedor de servicios Internet. Despus de realizar la
autenticacin inicial, LAC acepta la llamada, aade las diferentes cabeceras comentadas
a la carga til (payload) de PPP, y establece un tnel hacia el dispositivo de terminacin
LNS del extremo de la red corporativa. Este dispositivo puede tratarse de un servidor de
acceso remoto, un conmutador VPN especializado o un router convencional.
Una vez establecido el tnel, un servicio de nombres de seguridad, autentifica las
identidades del usuario y del punto final. LNS acepta el tnel y establece una interfaz
virtual para el payload PPP. A las tramas entrantes se les elimina la informacin de
cabecera de L2TP y se las procesa como si fueran tramas PPP normales. Entonces se
asigna a la sesin un direccin IP corporativa local.

Internet Protocol Security (IPsec): IPsec es en realidad una coleccin de mltiples
protocolos relacionados. Puede ser usado como una solucin completa de protocolo
VPN o simplemente como un esquema de encriptacin para L2TP o PPTP. IPsec existe
en el nivel de red en OSI, para extender IP para el propsito de soportar servicios ms
seguros basados en Internet.
Una de las caractersticas ms importantes de IPSec es su compatibilidad con las redes
IP actuales.
IPSec puede dividirse bsicamente en IP Security Protocols, mecanismos de gestin de
claves, mecanismo de creacin de asociaciones seguras y algoritmos criptogrficos para
autenticacin y cifrado. Los primeros son los protocolos de seguridad propiamente
dichos que definen la informacin que se ha de aadir a la cabecera de un paquete IP
para proporcionar los servicios de seguridad requeridos. Dichos protocolos son AH
(Authentication Header) y ESP (Encapsulating Security Payload).
La gestin de claves puede ser manual o automtica.
IPSec combina mecanismos criptogrficos para ofrecer confidencialidad, integridad y
autenticidad a los datagramas IP. Es importante hacer notar que IPSec no define los
algoritmos especficos a utilizar, sino que proporciona un mecanismo para que las
entidades negocien aquellos que emplearn en su comunicacin. Por otro lado, segn
recoge el estndar, todas las implementaciones de IPSec debern soportar un conjunto
mnimo de algoritmos que garantice la interoperatividad entre fabricantes.
Paquetes IPSec




IPSec define un nuevo conjunto de cabeceras que se aaden al datagrama IP. Esas
nuevas cabeceras se colocan despus de la cabecera IP y antes de la de nivel de
transporte. Existen dos tipos de cabeceras:
Authencation Header (AH): cuando es aadida asegura la integridad y la
autenticidad de los datos que transporta el datagrama IP y de los campos
invariables de la propia cabecera IP. AH no proporciona confidencialidad.
Encapsulating Security Protocol (ESP): esta cabecera, cuando se aade al
datagrama IP, proporciona confidencialidad, integridad y autenticidad de los
datos transmitidos.
IPSec propociona dos modos de operacin:
o Modo transporte: en este modo la cabecera IP del paquete original no se
modifica. Este modo es utilizado entre dispositivos finales de una
comunicacin que cumplen el estndar IPSec.
o Modo tnel: en este caso el datagrama IP entero es encapsulado dentro
de otro datagrama IP. Este modo permite que un dispositivo acte como
proxy IPSec en beneficio de mquinas que no soporten el estndar.
Los dos sistemas comunicantes deben ponerse de acuerdo en los algoritmos a usar y en
la clave de sesin que han de compartir. Una vez realizado este proceso se puede decir
que se ha creado una asociacin segura entre las dos entidades. Durante este proceso se
crea un tnel seguro entre los dos sistemas y despus se negocia la asociacin segura
para IPSec. El proceso de crear un tnel seguro consiste en una autenticacin mutua y el
establecimiento de una clave compartida. Existen diversos mecanismos de
autenticacin, entre ellos se encuentran:
Pre-shared key: en este caso la misma clave es preinstalada en ambos
sistemas. La autenticacin se realiza basndose en este secreto
compartido.
Criptografa de clave pblica.
Firma digital

mppe (Microsoft Point-to-Point Encryption): protocolo que sirve para encriptar los
datos de las transmisiones.

mschap: tanto la versin 1 como la nmero 2, que sirve para establecer la conexin
segura y el intercambio de las claves. En la versin 1 se descubri una vulnerabilidad,
que todava no ha sido confirmada, que le oblig a evolucionar hasta la versin 2
(actual).

IPIP: protocolo de encapsulamiento de IP sobre tramas IP. Este protocolo, que puede
parecer poco til, nos sirve para hacer el tunneling que se marca como uno de los
requisitos de VPN.

IP-GRE: protocolo de encapsulamiento de otros protocolos sobre IP. En un principio el
trfico que
puede encapsular IP-GRE sera cualquiera. Es til en el sentido de que podemos tener
redes de otro tipo adems de IP (como por ejemplo IPX) y funcionar con una VPN de
igual manera. Ms adelante se ver como IPSec sirve para este mismo fin (a la vez que
proporciona otros muchos servicios).



SOCKS Networks Security Protocol: El sistema SOCKS proporciona otra alternativa
a los protocolos de VPN. SOCKS se aloja en el nivel de sesin de OSI. Como SOCKS
trabaja en un nivel OSI ms alto que los protocolos anteriores, permite a los
administradores limitar el trfico VPN.

Tunneling
El manejo del caso general de lograr la interaccin de dos redes diferentes es difcil.
Sin embargo, hay un caso especial comn que puede manejarse. Este caso es cuando el
host de origen y el de destino estn en la misma clase de red, pero hay una red diferente
en medio. Como ejemplo, piense en una empresa X con una ethernet basada en TCP /
IP, otra ethernet de una empresa Y basada igualmente en TCP / IP y una WAN PTT en
medio, como lo ilustra la figura 1.



El principio de funcionamiento para el proceso tnel es el siguiente: para enviar un
paquete IP al host 2, el host 1 construye el paquete que contiene la direccin IP del host
2, lo inserta en un marco ethernet dirigido al router multiprotocolo que enlaza la
empresa X, y lo pone en el ethernet. Cuando el router multiprotocolo recibe el marco,
retira el paquete IP, lo inserta en el campo de carga til del paquete de capa de red de la
WAN, y dirige este ltimo a la direccin de la WAN del router multiprotocolo que
enlaza con la empresa Y. Al llegar ah, el router retira el paquete IP y lo enva al host 2
en un marco ethernet.
La WAN puede visualizarse como un gran tnel que se extiende de un router
multiprotocolo al otro. El paquete IP simplemente viaja de un extremo del tnel al otro.
No tiene que preocuparse por lidiar con la WAN. Tampoco tiene que hacerlo los hosts
de cualquiera de los ethernet. Slo el router multiprotocolo tiene que entender los
paquetes IP y WAN.
Las redes privadas virtuales pueden ser relativamente nuevas, pero la tecnologa de
tneles est basada en estndares preestablecidos.
El proceso de comunicacin en las tecnologas de tneles

El tnel lleva datagramas entre PAC Y PNS. Muchas sesiones son multiplexadas sobre
un mismo tnel.
PAC: (PPTP ACCESS CONCENTRATOR) Concentrador de acceso PPTP.
Dispositivo que asocia una o mas lneas capaces de soportar PPP (point to point
protocol) y manejo del protocolo PPTP. PAC necesita solamente TCP/IP para pasar
sobre el trfico de una o mas PNS.
PNS: (PPTP Network Server) Es el servidor para red de PPTP. Sirve para operar sobre
computadoras de propsito general y plataformas de servidores. PNS dirige la parte del
servidor del protocolo PPTP mientras PPTP confa completamente TCP/IP y es
independiente de la interfaz de Hardware, el PNS puede usar cualquier combinacin de
hardware de interfaz IP, incluyendo dispositivos LAN y WAN.
PPTP est implementado para PAC y PNS. Existen actualmente relacionados muchos
PAC Y PNS, un PAC puede proveer servicio a muchos PNS. Por ejemplo un proveedor
de servicio internet puede elegir PPTP para un nmero de clientes de red privada y crear
VPNs para ellos. Cada red privada podr operar uno o mas PNSs. Un PNS podr
asociarse con muchos PACs para concentrar el trfico desde muchos sitios de diferente
ubicacin Geogrfica.
PPTP usa una forma parecida a GRE ( Generic Routing Encapsulation ) para llevar los
paquetes PPP de usuario. Permite a bajo nivel controlar la congestin y flujo que va a
llevarse a travs de los tneles usados para llevar los datos de usuario entre PAC y PNS.
Este mecanismo permite la eficiencia del uso del ancho de banda disponible para los
tneles y evita retransmisiones innecesarias y desbordamiento en los buffers.
PPTP requiere el establecimiento de un tnel para cada comunicacin PNS-PAC. Este
tnel es usado para llevar todos los paquetes PPP de sesin de usuario participando un
par determinado de PNS y PAC. Una llave est presente en el encabezado GRE
indicando a cual sesin en particular pertenece el paquete PPP. De esta manera los
paquetes PPP son multiplexados y demultiplexados sobre un tnel simple entre el PNS
y PAC dado. El valor a usar en el campo de la llave es establecido por la llamada,
estableciendo el procedimiento mediante el cual toma el control de la conexin.
El encabezado GRE tambin contiene la secuencia de informacin que ha sido usada
para desempear algn nivel de control de congestin y deteccin de errores sobre el
tnel. Luego la conexin de control es usada para determinar la tasa y los parmetros de
almacenamiento temporal que han sido usados para regular el flujo de paquetes PPP
para una sesin particular sobre el tnel.


Estructura de los paquetes IP transmitidos a travs de los tneles
Los Paquetes IP transmitidos sobre los tneles entre PAC y PNS tienen la siguiente
estructura General:




APARTADO 2

a) SSL

Secure Socket Layer (SSL)
El protocolo SSL es un sistema diseado y propuesto por Netscape Communications
Corporation. Se encuentra en la pila OSI entre los niveles de TCP/IP y de los protocolos
HTTP, FTP, SMTP, etc. Proporciona sus servicios de seguridad cifrando los datos
intercambiados entre el servidor y el cliente con un algoritmo de cifrado simtrico,
tpicamente el RC4 o IDEA, y cifrando la clave de sesin de RC4 o IDEA mediante un
algoritmo de cifrado de clave pblica, tpicamente el RSA. La clave de sesin es la que
se utiliza para cifrar los datos que vienen del y van al servidor seguro. Se genera una
clave de sesin distinta para cada transaccin, lo cual permite que aunque sea reventada
por un atacante en una transaccin dada, no sirva para descifrar futuras transacciones.
MD5 se usa como algoritmo de hash.
Proporciona cifrado de datos, autenticacin de servidores, integridad de mensajes y,
opcionalmente, autenticacin de cliente para conexiones TCP/IP.
Cuando el cliente pide al servidor seguro una comunicacin segura, el servidor abre un
puerto cifrado, gestionado por un software llamado Protocolo SSL Record, situado
encima de TCP. Ser el software de alto nivel, Protocolo SSL Handshake, quien utilice
el Protocolo SSL Record y el puerto abierto para comunicarse de forma segura con el
cliente.
El Protocolo SSL Handshake
Durante el protocolo SSL Handshake, el cliente y el servidor intercambian una serie de
mensajes para negociar las mejoras de seguridad. Este protocolo sigue las siguientes
seis fases (de manera muy resumida):
La fase Hola, usada para ponerse de acuerdo sobre el conjunto de algoritmos
para mantener la intimidad y para la autenticacin.
La fase de intercambio de claves, en la que intercambia informacin sobre las
claves, de modo que al final ambas partes comparten una clave maestra.
La fase de produccin de clave de sesin, que ser la usada para cifrar los datos
intercambiados.
La fase de verificacin del servidor, presente slo cuando se usa RSA como
algoritmo de intercambio de claves, y sirve para que el cliente autentique al
servidor.
La fase de autenticacin del cliente, en la que el servidor solicita al cliente un
certificado X.509 (si es necesaria la autenticacin de cliente).
Por ltimo, la fase de fin, que indica que ya se puede comenzar la sesin segura.

El Protocolo SSL Record
El Protocolo SSL Record especifica la forma de encapsular los datos transmitidos y
recibidos. La porcin de datos del protocolo tiene tres componentes:
MAC-DATA, el cdigo de autenticacin del mensaje.
ACTUAL-DATA, los datos de aplicacin a transmitir.
PADDING-DATA, los datos requeridos para rellenar el mensaje cuando se usa
cifrado en bloque.

b) set

El Protocolo SET (Secure Electronic Transaction o Transaccin Electrnica Segura) es
un sistema de comunicaciones que permite gestionar de una forma segura las
transacciones comerciales en la Red. Y cuando decimos de una forma segura nos
referimos a que aporta un mayor nivel de seguridad que su antecesor el SSL.
Precisamente esa fue la razn que dio origen a su nacimiento.


c) L2TP

L2TP encapsula datos de aplicacin, datagramas de protocolos Lan e informacin de
tramas punto a punto dentro de un paquete que, adems contiene una cabecera de
entrega, una cabecera IP y una cabecera Generic Routing Encapsulation (GRE).
La cabecera de entrega mantiene la informacin de tramas necesaria para el medio a
travs del cual se establece el tnel, sea una red Frame Relay o IP. La cabecera IP
contiene, entre otros datos importantes, las direcciones IP de fuente y destino. GRE,
finalmente, incluye extensiones como, por ejemplo, la de sealizacin de llamada, que
aaden inteligencia de conexin.


Internet Protocol Security (IPsec): IPsec es en realidad una coleccin de mltiples
protocolos relacionados. Puede ser usado como una solucin completa de protocolo
VPN o simplemente como un esquema de encriptacin para L2TP o PPTP. IPsec existe
en el nivel de red en OSI, para extender IP para el propsito de soportar servicios ms
seguros basados en Internet.
Vlido tanto para IPv4 como para IPv6, permite definir los protocolos de seguridad, los
algoritmos criptogrficos y las claves manejadas entre los sistemas que se comunican.
Una de las caractersticas ms importantes de IPSec es su compatibilidad con las redes
IP actuales.
IPSec puede dividirse bsicamente en IP Security Protocols, mecanismos de gestin de
claves, mecanismo de creacin de asociaciones seguras y algoritmos criptogrficos para
autenticacin y cifrado. Los primeros son los protocolos de seguridad propiamente
dichos que definen la informacin que se ha de aadir a la cabecera de un paquete IP
para proporcionar los servicios de seguridad requeridos. Dichos protocolos son AH
(Authentication Header) y ESP (Encapsulating Security Payload).
La gestin de claves puede ser manual o automtica. La gestin automtica de claves se
realiza mediante IKE (Internal Key Exchange).
Los mecanismos criptogrficos que emplea IPSec son intercambio de claves basado en
el algoritmo Diffie-Hellman, criptografa de clave pblico, algoritmos simtricos de
cifrado de datos (como DES, IDEA...), algoritmos hash con clave (HMAC, por
ejemplo), junto con otros ms tradicionales (como MD5 y SHA), para proporcionar
autenticacin de paquetes, y manejo de certificados digitales.
IPSec combina estos mecanismos criptogrficos para ofrecer confidencialidad,
integridad y autenticidad a los datagramas IP. Es importante hacer notar que IPSec no
define los algoritmos especficos a utilizar, sino que proporciona un mecanismo para
que las entidades negocien aquellos que emplearn en su comunicacin. Por otro lado,
segn recoge el estndar, todas las implementaciones de IPSec debern soportar un
conjunto mnimo de algoritmos que garantice la interoperatividad entre fabricantes.
Paquetes IPSec







IPSec define un nuevo conjunto de cabeceras que se aaden al datagrama IP. Esas
nuevas cabeceras se colocan despus de la cabecera IP y antes de la de nivel de
transporte. Existen dos tipos de cabeceras:
Authencation Header (AH): cuando es aadida asegura la integridad y la
autenticidad de los datos que transporta el datagrama IP y de los campos
invariables de la propia cabecera IP. AH no proporciona confidencialidad.
Encapsulating Security Protocol (ESP): esta cabecera, cuando se aade al
datagrama IP, proporciona confidencialidad, integridad y autenticidad de los
datos transmitidos.
IPSec propociona dos modos de operacin:
o Modo transporte: en este modo la cabecera IP del paquete original no se
modifica. Este modo es utilizado entre dispositivos finales de una
comunicacin que cumplen el estndar IPSec.
o Modo tnel: en este caso el datagrama IP entero es encapsulado dentro
de otro datagrama IP. Este modo permite que un dispositivo acte como
proxy IPSec en beneficio de mquinas que no soporten el estndar.
Los dos sistemas comunicantes deben ponerse de acuerdo en los algoritmos a usar y en
la clave de sesin que han de compartir. Una vez realizado este proceso se puede decir
que se ha creado una asociacin segura entre las dos entidades. Durante este proceso se
crea un tnel seguro entre los dos sistemas y despus se negocia la asociacin segura
para IPSec. El proceso de crear un tnel seguro consiste en una autenticacin mutua y el
establecimiento de una clave compartida. Existen diversos mecanismos de
autenticacin, entre ellos se encuentran:
Pre-shared key: en este caso la misma clave es preinstalada en ambos
sistemas. La autenticacin se realiza basndose en este secreto
compartido.
Criptografa de clave pblica.
Firma digital


Cortafuegos Windows XP

El Firewall de Windows
El sistema operativo Windows XP con Service Pack 2 (SP2), incluye un Firewall ,
llamado hasta ahora Servidor de seguridad de conexin a Internet o ICF, que est
activado de forma predeterminada. Esto significa que la mayor parte de los programas
no podrn aceptar comunicaciones de Internet que no hayan solicitado a menos que
decida catalogarlos como excepciones. Hay dos programas que, de manera
predeterminada, se agregan a la lista de excepciones y pueden aceptar comunicaciones
no solicitadas de Internet: Asistente para transferencia de archivos y configuraciones (en
ingls) y Compartir impresoras y archivos (en ingls).
Puesto que los servidores de seguridad restringen la comunicacin entre el equipo e
Internet, es posible que tenga que ajustar la configuracin de algunos programas que
funcionan mejor con una conexin abierta. Puede hacer una excepcin con estos
programas, de modo que se puedan comunicar a travs de Firewall de Windows.
Para abrir Firewall de Windows
1. Haga clic en Inicio y, a continuacin, haga clic en Panel de control.
2. En el Panel de control, haga clic en Centro de seguridad de Windows.

3. Haga clic en Firewall de Windows.
Nota No tiene que utilizar Firewall de Windows, puede instalar y ejecutar el servidor de
seguridad que desee. Evale las caractersticas de otros servidores de seguridad y decida
a continuacin cul satisface mejor sus necesidades. Si elige instalar y ejecutar otro
servidor de seguridad, desactive Firewall de Windows.















Cmo funciona Firewall de Windows
Cuando alguien en Internet o en una red intenta conectarse a un equipo, ese intento se
conoce como "solicitud no solicitada". Cuando el equipo recibe una solicitud no
solicitada, Firewall de Windows bloquea la conexin. Si utiliza un programa, por
ejemplo, de mensajera instantnea o un juego de red con varios jugadores, que tiene
que recibir informacin desde Internet o de una red, el servidor de seguridad le pregunta
si desea bloquear o desbloquear (permitir) la conexin. Ver una ventana como la que
se muestra a continuacin.



Si elige desbloquear la conexin, Firewall de Windows crea una excepcin de modo que
el servidor de seguridad no se interpondr cuando ese programa tenga que recibir
informacin en el futuro. Para aprender ms acerca de las excepciones, consulte la
seccin Excepciones de programas de esta guia.





Configuracin del Firewall
El acceso a la configuracin del Firewall tambin es directamente accesible desde el
panel de control, donde podremos encontrar un icono ocn el literal 'Firewall de
Windows', que al pulsarlo nos muestra el siguiente cuadro de dialogo:

El primer cambio consiste en el modo en el que queremos configurar el Firewall,
activado, desactivado o activado sin excepciones, este ltimo modo resulta de gran
utilidad para equipos con movilidad ya que si nos encontramos en un lugar publico
podemos, simplemente marcando esta opcin, cerrar completamente el acceso al PC en
cuestin.








Cortafuegos gratuitos

El siguiente listado contiene los cortafuegos personales (y otros programas de
seguridad) ms populares para sistemas operativos Windows de 32 bits (95, 98, Me,
NT, 2000, XP). Todos estos productos han sido probados de manera preliminar en
Alerta-Antivirus.
En general un cortafuegos es un programa que restringe las conexiones TCP/IP que
puede iniciar o recibir un ordenador conectado a una red. Hay varios tipos de
cortafuegos.
Los cortafuegos perimetrales, los ms clsicos, hacen de pasarela entre una red local de
una organizacin e Internet. Dejan entrar y salir slo el trfico que definan los
adminstradores de la red, y habitualmente hacen traduccin de direcciones de red (NAT
- tambin llamado "enmascaramiento") y escanean el trfico en busca de virus y otros
programas maliciosos.
Con la generalizacin del acceso domstico a Internet han aparecido los cortafuegos
personales. En general, estn pensado para ser instalados en un PC domstico (o de un
negocio pequeo) conectado directamente a Internet. Son especialmente recomendables
para conexiones con direccin IP fija, como el ADSL. A diferencia de uno corporativo,
comprueba qu programas son los que acceden o reciben conexiones de Internet. El
control de las conexiones salientes es interesante para evitar que programas espa o
troyanos puedan enviar informacin a Internet sin el consentimiento del usuario. El
control de las conexiones entrantes sirve para impedir que los servicios del ordenador
local sean visibles en Internet, como la comparticin de ficheros de Windows. Adems
suelen descartar todo el trfico no deseado, haciendo el PC invisible a barridos
aleatorios de hackers. Tambin es habitual que incorporen un modo de aprendizaje, en
el que preguntan al usuario cada vez que se inicia una conexin no reconocida si debe
permitirse o no.
Hay que sealar que el sistema operativo de Microsoft, Windows XP, trae un
cortafuegos incorporado. Con el SP2 el cortafuegos viene activado por defecto; ofrece
proteccin mientras el ordenador se est arrancando conectado a una red; impide slo el
trfico entrante, pero no el saliente; permite tener abiertos determinados puertos y
configurar el acceso por aplicaciones. De todos modos, recomendamos no tener ms de
un cortafuegos ejecutndose en una misma mquina, por lo que si desea utilizar el
cortafuegos de XP, no se instale ningn otro; y viceversa, si desea usar otro cortafuegos
es aconsejable que desactive el de XP.







ZoneAlarm permite bloquear trfico no deseado y restringuir el
acceso no deseado de aplicaciones a Internet. Diferencia entre
zona local y zona Internet a la hora de establecer restricciones
de accesos. Por defecto, bloquea el acceso externo a todos los
servicios del sistema (y a todos los puertos, por lo tanto)
permitiendo solamente el acceso a aquellos explcitamente
indicados. Uno de los ms famosos y probablemente el ms
fcil de usar. Si no quiere enredarse mucho es el ms
recomendable. Desde la versin 4.5 est disponible en
espaol
Nota: Si instala la versin en espaol encima de una versin en
ingls, el programa quedar en ingls. Para evitar esto, debe
desinstalar antes la versin anterior.

Outpost Firewall Free proporciona proteccin bsica para
navegar por Internet. Soporta plug-ins de modo que su
funcionalidad puede ampliarse. Gratuito para uso domstico.
Ofrece muchas posibilidades con sus plug-ins, pero se echa en
falta el que se puedan crear reglas sobre direcciones IP
exclusivamente, para definir mquinas de confianza.

AnalogX PortBlocker no es propiamente un Cortafuegos. Su
funcin es la de bloquear los puertos del sistema servidor para
protegerlos de accesos no autorizados. Mantiene un registro de
todos los intentos de conexin realizados desde otras mquinas.

MailControl tampoco tiene funciones completas de un
Cortafuegos. Constantemente monitoriza el trfico de correo
enviado desde el sistema a la red, y evita que aplicaciones no
autorizadas enven mensajes en nombre de nuestra mquina.
Solamente detecta trfico enviado mediante SMTP. Gratuito
para uso domstico.



Kerio Personal Firewall es un cortafuegos gratuito para uso
domstico muy flexible. Permite definir reglas basndose en
los criterios que se desee, en direcciones o rangos de IPs,
protocolos, puertos de origen y destino, programa que lanza o
acepta la conexin, etc. Quiz no es el ms adecuado para
usuarios con pocos conocimientos en TCP/IP por su
complejidad, pero es recomendable para usuarios avanzados.
La versin gratutia no funciona en una pasarela de Internet
(cuando se activa la conexin compartida a Internet de
Windows).

Sygate Personal Firewall es un programa muy configurable que
permite mantener control sobre las aplicaciones, direcciones IP
seguras, puertos y protocolos, de forma que se mantiene la
seguridad en la red para estos elementos. Bloquea los accesos
ilicitos a nuestro sistema as como la salida a Internet de
aplicaciones sin autorizacin. Dispone de muchas opciones de
configuracin -que pueden resultar abrumadoras para usuarios
con pocos conocimientos- y puede ejecutarse en un PC que
comparte la conexin a Internet.

Wyvernworks Firewall 2004 protege el sistema de ser atacado
por sus puertos. Permite proteger y bloquear tantos puertos
como se desee. Impide el trfico no autorizado tanto de salida
como de entrada. Frente a un intento de intrusin, alerta sobre
el hecho y muestra la direccin IP del autor del ataque.


Tabla de caractersticas de los diferentes cortafuegos
Fabricante Producto
Tamao
Descarga
Permite reglas de filtrado por:
protocolo y
puerto
aplicacin
sitios de
confianza
IP
Zone LABS ZoneAlarm 4.5 5.7 MB

Agnitum
Outpost
Firewall 1.0
2.71 MB

AnalogX
PortBlocker
1.02
229kB

Internals
MailControl
1.0
678kB


(solo
correo)

Kerio
Personal
Firewall 4
5.2 MB

Sygate
Personal
Firewall 5.5
5.03 MB

Wyvernworks Firewall 5.2 2.70 MB