Cortafuegos (informtica)

Firewall (pelcula)


Esquema de una red de computadorasque utiliza un cortafuegos.
Un cortafuegos (firewall en ingls) es una parte de un sistema o una red que est
diseada para bloquear el acceso no autorizado, permitiendo al mismo tiempo
comunicaciones autorizadas.
Se trata de un dispositivo o conjunto de dispositivos configurados para permitir,
limitar, cifrar, descifrar, el trfico entre los diferentes mbitos sobre la base de un
conjunto de normas y otros criterios.
Los cortafuegos pueden ser implementados en hardware o software, o una
combinacin de ambos. Los cortafuegos se utilizan con frecuencia para evitar que
los usuarios de Internet no autorizados tengan acceso a redes privadas conectadas
a Internet, especialmente intranets. Todos los mensajes que entren o salgan de la
intranet pasan a travs del cortafuegos, que examina cada mensaje y bloquea
aquellos que no cumplen los criterios de seguridad especificados. Tambin es
frecuente conectar al cortafuegos a una tercera red, llamada zona
desmilitarizada o DMZ, en la que se ubican los servidores de la organizacin que
deben permanecer accesibles desde la red exterior.
Un cortafuegos correctamente configurado aade una proteccin necesaria a la
red, pero que en ningn caso debe considerarse suficiente. Laseguridad
informtica abarca ms mbitos y ms niveles de trabajo y proteccin.
Tipos de cortafuegos
Nivel de aplicacin de pasarela
Aplica mecanismos de seguridad para aplicaciones especficas, tales como
servidores FTP y Telnet. Esto es muy eficaz, pero puede imponer una degradacin
del rendimiento.
Circuito a nivel de pasarela
Aplica mecanismos de seguridad cuando una conexin TCP o UDP es establecida.
Una vez que la conexin se ha hecho, los paquetes pueden fluir entre los
anfitriones sin ms control. Permite el establecimiento de una sesin que se
origine desde una zona de mayor seguridad hacia una zona de menor seguridad.
Cortafuegos de capa de red o de filtrado de paquetes
Funciona a nivel de red (capa 3 del modelo OSI, capa 2 del stack de protocolos
TCP/IP) como filtro de paquetes IP. A este nivel se pueden realizar filtros segn los
distintos campos de los paquetes IP: direccin IP origen, direccin IP destino. A
menudo en este tipo de cortafuegos se permiten filtrados segn campos de nivel de
transporte (capa 3 TCP/IP, capa 4 Modelo OSI), como el puerto origen y destino, o
a nivel de enlace de datos (no existe en TCP/IP, capa 2 Modelo OSI) como la
direccin MAC.
Cortafuegos de capa de aplicacin
Trabaja en el nivel de aplicacin (capa 7 del modelo OSI), de manera que los
filtrados se pueden adaptar a caractersticas propias de los protocolos de este
nivel. Por ejemplo, si trata de trficoHTTP, se pueden realizar filtrados segn
la URL a la que se est intentando acceder.
Un cortafuegos a nivel 7 de trfico HTTP suele denominarse proxy, y permite que
los computadores de una organizacin entren a Internet de una forma controlada.
Un proxy oculta de manera eficaz las verdaderas direcciones de red.
Cortafuegos personal
Es un caso particular de cortafuegos que se instala como software en un
computador, filtrando las comunicaciones entre dicho computador y el resto de la
red. Se usa por tanto, a nivel personal.
Ventajas de un cortafuegos
Bloquea el acceso a personas y/o aplicaciones no autorizadas a redes privadas.
Limitaciones de un cortafuegos
Las limitaciones se desprenden de la misma definicin del cortafuegos: filtro de
trfico. Cualquier tipo de ataque informtico que use trfico aceptado por el
cortafuegos (por usar puertos TCP abiertos expresamente, por ejemplo) o que
sencillamente no use la red, seguir constituyendo una amenaza. La siguiente lista
muestra algunos de estos riesgos:
Un cortafuegos no puede proteger contra aquellos ataques cuyo trfico no pase
a travs de l.
El cortafuegos no puede proteger de las amenazas a las que est sometido por
ataques internos o usuarios negligentes. El cortafuegos no puede prohibir a
espas corporativos copiar datos sensibles en medios fsicos de
almacenamiento (discos, memorias, etc.) y sustraerlas del edificio.
El cortafuegos no puede proteger contra los ataques de ingeniera social.
El cortafuegos no puede proteger contra los ataques posibles a la red interna
por virus informticos a travs de archivos y software. La solucin real est en
que la organizacin debe ser consciente en instalar software antivirus en cada
mquina para protegerse de los virus que llegan por cualquier medio de
almacenamiento u otra fuente.
El cortafuegos no protege de los fallos de seguridad de los servicios y
protocolos cuyo trfico est permitido. Hay que configurar correctamente y
cuidar la seguridad de los servicios que se publiquen en Internet.
Polticas del cortafuegos
Hay dos polticas bsicas en la configuracin de un cortafuegos que cambian
radicalmente la filosofa fundamental de la seguridad en la organizacin:
Poltica restrictiva: Se deniega todo el trfico excepto el que est
explcitamente permitido. El cortafuegos obstruye todo el trfico y hay que
habilitar expresamente el trfico de los servicios que se necesiten. Esta
aproximacin es la que suelen utilizar la empresas y organismos
gubernamentales.
Poltica permisiva: Se permite todo el trfico excepto el que est
explcitamente denegado. Cada servicio potencialmente peligroso necesitar
ser aislado bsicamente caso por caso, mientras que el resto del trfico no ser
filtrado. Esta aproximacin la suelen utilizar universidades, centros de
investigacin y servicios pblicos de acceso a internet.
La poltica restrictiva es la ms segura, ya que es ms difcil permitir por error
trfico potencialmente peligroso, mientras que en la poltica permisiva es posible
que no se haya contemplado algn caso de trfico peligroso y sea permitido por
omisin. ingenieria informatica

Firewall
Cada ordenador que se conecta a internet (y, bsicamente, a cualquier red de
ordenadores) puede ser vctima del ataque de un hacker. La metodologa que
generalmente usan los hackers consiste en analizar la red (mediante el envo
aleatorio de paquetes de datos) en busca de un ordenador conectado. Una vez que
encuentra un ordenador, el hacker busca un punto dbil en el sistema de seguridad
para explotarlo y tener acceso a los datos de la mquina.
Por muchas razones, esta amenaza es an mayor cuando la mquina est
permanente conectada a internet:
Es probable que la mquina elegida est conectada pero no controlada.
Generalmente, la mquina conectada que se elige posee un ancho de banda ms
elevado.
La mquina elegida no cambia las direcciones IP o lo hace muy ocasionalmente.
Por lo tanto, es necesario que tanto las redes de las compaas como los usuarios
de internet con conexiones por cable o ADSL se protejan contra intrusiones en la
red instalando un dispositivo de proteccin.
Qu es un Firewall?
Un firewall es un sistema que protege a un ordenador o a una red de ordenadores
contra intrusiones provenientes de redes de terceros (generalmente desde
internet). Un sistema de firewall filtra paquetes de datos que se intercambian a
travs de internet. Por lo tanto, se trata de una pasarela de filtrado que comprende
al menos las siguientes interfaces de red:
una interfaz para la red protegida (red interna)
una interfaz para la red externa.

El sistema firewall es un sistema de software, a menudo sustentado por un
hardware de red dedicada, que acta como intermediario entre la red local (u
ordenador local) y una o ms redes externas. Un sistema de firewall puede
instalarse en ordenadores que utilicen cualquier sistema siempre y cuando:
La mquina tenga capacidad suficiente como para procesar el trfico
El sistema sea seguro
No se ejecute ningn otro servicio ms que el servicio de filtrado de paquetes en
el servidor
En caso de que el sistema de firewall venga en una caja negra (llave en mano), se
aplica el trmino "aparato".
Cmo funciona un sistema Firewall
Un sistema firewall contiene un conjunto de reglas predeterminadas que le
permiten al sistema:
Autorizar la conexin (permitir)
Bloquear la conexin (denegar)
Rechazar el pedido de conexin sin informar al que lo envi (negar)
Todas estas reglas implementan un mtodo de filtrado que depende de la poltica
de seguridadadoptada por la organizacin. Las polticas de seguridad se dividen
generalmente en dos tipos que permiten:
la autorizacin de slo aquellas comunicaciones que se autorizaron
explcitamente:
"Todo lo que no se ha autorizado explcitamente est prohibido"
el rechazo de intercambios que fueron prohibidos explcitamente
El primer mtodo es sin duda el ms seguro. Sin embargo, impone una definicin
precisa y restrictiva de las necesidades de comunicacin.
Filtrado de paquetes Stateless
Un sistema de firewall opera segn el principio del filtrado simple de paquetes,
o filtrado de paquetes stateless. Analiza el encabezado de cada paquete de
datos (datagrama) que se ha intercambiado entre un ordenador de red interna y
un ordenador externo.
As, los paquetes de datos que se han intercambiado entre un ordenador con red
externa y uno con red interna pasan por el firewall y contienen los siguientes
encabezados, los cuales son analizados sistemticamente por el firewall:
La direccin IP del ordenador que enva los paquetes
La direccin IP del ordenador que recibe los paquetes
El tipo de paquete (TCP, UDP, etc.)
El nmero de puerto (recordatorio: un puerto es un nmero asociado a un
servicio o a una aplicacin de red).
Las direcciones IP que los paquetes contienen permiten identificar el ordenador
que enva los paquetes y el ordenador de destino, mientras que el tipo de paquete y
el nmero de puerto indican el tipo de servicio que se utiliza.
La siguiente tabla proporciona ejemplos de reglas del firewall:
Regl
a
Accin IP fuente IP destino
Protocol
o
Puerto
fuente
Puerto
destino
1
Acepta
r
192.168.10.20
194.154.192.
3
tcp
cualquier
a
25
2
Acepta
r
cualquiera 192.168.10.3 tcp
cualquier
a
80
3
Acepta
r
192.168.10.0/2
4
cualquiera tcp
cualquier
a
80
4 Negar cualquiera cualquiera
cualquier
a
cualquier
a
cualquier
a
Los puertos reconocidos (cuyos nmeros van del 0 al 1023) estn asociados con
servicios ordinarios (por ejemplo, los puertos 25 y 110 estn asociados con el
correo electrnico y el puerto 80 con la Web). La mayora de los dispositivos de
firewall se configuran al menos para filtrar comunicaciones de acuerdo con el
puerto que se usa. Normalmente, se recomienda bloquear todos los puertos que no
son fundamentales (segn la poltica de seguridad vigente).
Por ejemplo, el puerto 23 a menudo se bloquea en forma predeterminada
mediante dispositivos de firewall, ya que corresponde al protocolo TELNET, el cual
permite a una persona emular el acceso terminal a una mquina remota para
ejecutar comandos a distancia. Los datos que se intercambian a travs de TELNET
no estn codificados. Esto significa que es probable que un hacker observe la
actividad de la red y robe cualquier contrasea que no est codificada.
Generalmente, los administradores prefieren el protocolo SSH, el cual tiene la
reputacin de ser seguro y brinda las mismas funciones que TELNET.
Filtrado Dinmico
El Filtrado de paquetes Stateless slo intenta examinar los paquetes IP
independientemente, lo cual corresponde al nivel 3 del modelo OSI (Interconexin
de sistemas abiertos). Sin embargo, la mayora de las conexiones son admitidas por
el protocolo TCP, el cual administra sesiones, para tener la seguridad de que todos
los intercambios se lleven a cabo en forma correcta. Asimismo, muchos servicios
(por ejemplo, FTP) inician una conexin en un puerto esttico. Sin embargo, abren
un puerto en forma dinmica (es decir, aleatoria) para establecer una sesin entre
la mquina que acta como servidor y la mquina cliente.
De esta manera, con un filtrado de paquetes stateless, es imposible prever cules
puertos deberan autorizarse y cules deberan prohibirse Para solucionar este
problema, el sistema de filtrado dinmico de paquetes se basa en la inspeccin
de las capas 3 y 4 del modelo OSI, lo que permite controlar la totalidad de las
transacciones entre el cliente y el servidor. El trmino que se usa para denominar
este proceso es "inspeccin stateful" o "filtrado de paquetes stateful".
Un dispositivo de firewall con "inspeccin stateful" puede asegurar el control de
los intercambios. Esto significa que toma en cuenta el estado de paquetes previos
cuando se definen reglas de filtrado. De esta manera, desde el momento en que una
mquina autorizada inicia una conexin con una mquina ubicada al otro lado del
firewall, todos los paquetes que pasen por esta conexin sern aceptados
implcitamente por el firewall.
El hecho de que el filtrado dinmico sea ms efectivo que el filtrado bsico de
paquetes no implica que el primero proteger el ordenador contra los hackers que
se aprovechan de las vulnerabilidades de las aplicaciones. An as, estas
vulnerabilidades representan la mayor parte de los riesgos de seguridad.
Filtrado de aplicaciones
El filtrado de aplicaciones permite filtrar las comunicaciones de cada aplicacin. El
filtrado de aplicaciones opera en el nivel 7 (capa de aplicaciones) del modelo OSI, a
diferencia del filtrado simple de paquetes (nivel 4). El filtrado de aplicaciones
implica el conocimiento de los protocolos utilizados por cada aplicacin.
Como su nombre lo indica, el filtrado de aplicaciones permite filtrar las
comunicaciones de cada aplicacin. El filtrado de aplicaciones implica el
conocimiento de las aplicaciones en la red y un gran entendimiento de la forma en
que en sta se estructuran los datos intercambiados (puertos, etc.).
Un firewall que ejecuta un filtrado de aplicaciones se denomina generalmente
"pasarela de aplicaciones" o ("proxy"), ya que acta como rel entre dos redes
mediante la intervencin y la realizacin de una evaluacin completa del contenido
en los paquetes intercambiados. Por lo tanto, el proxy acta como intermediario
entre los ordenadores de la red interna y la red externa, y es el que recibe los
ataques. Adems, el filtrado de aplicaciones permite la destruccin de los
encabezados que preceden los mensajes de aplicaciones, lo cual proporciona una
mayor seguridad.
Este tipo de firewall es muy efectivo y, si se ejecuta correctamente, asegura una
buena proteccin de la red. Por otra parte, el anlisis detallado de los datos de la
aplicacin requiere una gran capacidad de procesamiento, lo que a menudo implica
la ralentizacin de las comunicaciones, ya que cada paquete debe analizarse
minuciosamente.
Adems, el proxy debe interpretar una gran variedad de protocolos y conocer las
vulnerabilidades relacionadas para ser efectivo.
Finalmente, un sistema como este podra tener vulnerabilidades debido a que
interpreta pedidos que pasan a travs de sus brechas. Por lo tanto, el firewall
(dinmico o no) debera disociarse del proxy para reducir los riesgos de
comprometer al sistema.
El concepto de Firewall personal
El trmino firewall personal se utiliza para los casos en que el rea protegida se
limita al ordenador en el que el firewall est instalado.
Un firewall personal permite controlar el acceso a la red de aplicaciones instaladas
en el ordenador y prevenir notablemente los ataques de programas como
los troyanos, es decir, programas dainos que penetran en el sistema para permitir
que un hacker controle el ordenador en forma remota. Los firewalls personales
permiten subsanar y prevenir intrusiones de aplicaciones no autorizadas a
conectarse a su ordenador.
Limitaciones del Firewall
Por supuesto que los sistemas firewall no brindan seguridad absoluta; todo lo
contrario. Los firewalls slo ofrecen proteccin en tanto todas las comunicaciones
salientes pasen sistemticamente a travs de stos y estn configuradas
correctamente. Los accesos a la red externa que sortean el firewall tambin son
puntos dbiles en la seguridad. Claramente, ste es el caso de las conexiones que se
realizan desde la red interna mediante un mdem o cualquier otro medio de
conexin que evite el firewall.
Asimismo, la adicin de medios externos de almacenamiento a los ordenadores de
sobremesa o porttiles de red interna puede daar enormemente la poltica de
seguridad general.
Para garantizar un nivel mximo de proteccin, debe ejecutarse un firewall en el
ordenador y su registro de actividad debe controlarse para poder detectar intentos
de intrusin o anomalas. Adems, se recomienda controlar la seguridad (por
ejemplo, inscribindose para recibir alertas de seguridad de CERT) a fin de
modificar los parmetros del dispositivo de firewall en funcin de las alertas
publicadas.
La instalacin de un firewall debe llevarse a cabo de la mano de una poltica de
seguridad real.
Firewall / Cortafuegos


Quizs uno de los elementos ms publicitados a la hora de establecer seguridad,
sean estos elementos. Aunque deben ser uno de los sistemas a los que ms se
debe prestar atencin, distan mucho de ser la solucin final a los problemas de
seguridad.
De hecho, los Firewalls no tienen nada que hacer contra tcnicas como la
Ingeniera Social y el ataque de Insiders.
Un Firewall es un sistema (o conjunto de ellos) ubicado entre dos redes y que
ejerce la una poltica de seguridad establecida. Es el mecanismo encargado de
proteger una red confiable de una que no lo es (por ejemplo Internet).
Puede consistir en distintos dispositivos, tendientes a los siguientes objetivos:
1. Todo el trfico desde dentro hacia fuera, y viceversa, debe pasar a travs de
l.
2. Slo el trfico autorizado, definido por la poltica local de seguridad, es
permitido.

Como puede observarse, el Muro Cortafuegos, slo sirven de defensa perimetral
de las redes, no defienden de ataques o errores provenientes del interior, como
tampoco puede ofrecer proteccin una vez que el intruso lo traspasa.
Algunos Firewalls aprovechan esta capacidad de que toda la informacin
entrante y saliente debe pasar a travs de ellos para proveer servicios de
seguridad adicionales como la encriptacin del trfico de la red. Se entiende que
si dos Firewalls estn conectados, ambos deben "hablar" el mismo mtodo de
encriptacin-desencriptacin para entablar la comunicacin.


Routers y Bridges
Cuando los paquetes de informacin viajan entre su destino y origen, va TCP/IP,
estos pasan por diferentes Routers (enrutadores a nivel de Red).
Los Routers son dispositivos electrnicos encargados de establecer
comunicaciones externas y de convertir los protocolos utilizados en las LAN en
protocolos de WAN y viceversa.
En cambio, si se conectan dos redes del tipo LAN se utilizan Bridges, los cuales
son puentes que operan a nivel de Enlace.
La evolucin tecnolgica les ha permitido transformarse en computadoras muy
especializadas capaz de determinar, si el paquete tiene un destino externo y el
camino ms corto y ms descongestionado hacia el Router de la red destino. En
caso de que el paquete provenga de afuera, determina el destino en la red interna
y lo deriva a la mquina correspondiente o devuelve el paquete a su origen en
caso de que l no sea el destinatario del mismo.
Los Routers "toman decisiones" en base a un conjunto de datos, regla, filtros y
excepciones que le indican que rutas son las ms apropiadas para enviar los
paquetes.


Tipos de Firewall
1. Filtrado de Paquetes
2. Proxy-Gateways de Aplicaciones
3. Dual-Homed Host
4. Screened Host
5. Screened Subnet
6. Inspeccin de Paquetes

Este tipo de Firewalls se basa en el principio de que cada paquete que
circula por la red es inspeccionado, as como tambin su procedencia y
destino. Se aplican desde la capa de Red hasta la de Aplicaciones.
Generalmente son instalados cuando se requiere seguridad sensible al
contexto y en aplicaciones muy complejas.
7. Firewalls Personales
Estos Firewalls son aplicaciones disponibles para usuarios finales que
desean conectarse a una red externa insegura y mantener su computadora
a salvo de ataques que puedan ocasionarle desde un simple "cuelgue" o
infccin de virus hasta la prdida de toda su informacin almacenada.
Polticas de Diseo de Firewalls
Las polticas de accesos en un Firewalls se deben disear poniendo principal
atencin en sus limitaciones y capacidades pero tambin pensando en las
amenazas y vulnerabilidades presentes en una red externa insegura.
Conocer los puntos a proteger es el primer paso a la hora de establecer normas
de seguridad. Tambin es importante definir los usuarios contra los que se debe
proteger cada recurso, ya que las medidas diferirn notablemente en funcin de
esos usuarios.
Generalmente se plantean algunas preguntas fundamentales que debe responder
cualquier poltica de seguridad:
Qu se debe proteger?. Se deberan proteger todos los elementos de la red
interna (hardware, software, datos, etc.).
De quin protegerse?. De cualquier intento de acceso no autorizado desde
el exterior y contra ciertos ataques desde el interior que puedan preverse y
prevenir.
Sin embargo, podemos definir niveles de confianza, permitiendo selectivamente
el acceso de determinados usuarios externos a determinados servicios o
denegando cualquier tipo de acceso a otros.
Cmo protegerse?. Esta es la pregunta ms difcil y est orientada a
establecer el nivel de monitorizacin, control y respuesta deseado en la
organizacin. Puede optarse por alguno de los siguientes paradigmas o
estrategias:
a. Paradigmas de seguridad
Se permite cualquier servicio excepto aquellos expresamente
prohibidos.
Se prohbe cualquier servicio excepto aquellos expresamente
permitidos. La ms recomendada y utilizada aunque algunas
veces suele acarrear problemas por usuarios descontentos
que no pueden acceder a tal cual servicio.
b. Estrategias de seguridad
Paranoica: se controla todo, no se permite nada.
Prudente: se controla y se conoce todo lo que sucede.
Permisiva: se controla pero se permite demasiado.
Promiscua: no se controla (o se hace poco) y se permite todo.
Cunto costar?. Estimando en funcin de lo que se desea proteger se debe
decidir cuanto es conveniente invertir.
Restricciones en el Firewall
La parte ms importante de las tareas que realizan los Firewalls, la de permitir o
denegar determinados servicios, se hacen en funcin de los distintos usuarios y
su ubicacin:
1. Usuarios internos con permiso de salida para servicios
restringidos: permite especificar una serie de redes y direcciones a los que
denomina Trusted (validados) . Estos usuarios, cuando provengan del
interior, van a poder acceder a determinados servicios externos que se han
definido.
2. Usuarios externos con permiso de entrada desde el exterior: este es el
caso ms sensible a la hora de vigilarse. Suele tratarse de usuarios externos
que por algn motivo deben acceder para consultar servicios de la red
interna.
Tambin es habitual utilizar estos accesos por parte de terceros para prestar
servicios al permetro interior de la red. Sera conveniente que estas cuentas sean
activadas y desactivadas bajo demanda y nicamente el tiempo que sean
necesarias.


Beneficios de un Firewall
Los Firewalls manejan el acceso entre dos redes, y si no existiera, todos las
computadoras de la red estaran expuestos a ataques desde el exterior. Esto
significa que la seguridad de toda la red, estara dependiendo de que tan fcil
fuera violar la seguridad local de cada maquina interna.
El Firewall es el punto ideal para monitorear la seguridad de la red y generar
alarmas de intentos de ataque, el administrador ser el responsable de la revisin
de estos monitoreos.
Otra causa que ha hecho que el uso de Firewalls se halla convertido en uso casi
imperativo es el hecho que en los ltimos aos en Internet han entrado en crisis
el nmero disponible de direcciones IP, esto ha hecho que las intranets adopten
direcciones sin clase, las cuales salen a Internet por medio de un "traductor de
direcciones", el cual puede alojarse en el Firewall.
Los Firewalls tambin son importantes desde el punto de vista de llevar las
estadsticas del ancho de banda "consumido" por el trafico de la red, y que
procesos han influido ms en ese trafico, de esta manera el administrador de la
red puede restringir el uso de estos procesos y economizar o aprovechar mejor el
ancho de banda disponible.
Los Firewalls tambin tienen otros usos. Por ejemplo, se pueden usar para dividir
partes de un sitio que tienen distintas necesidades de seguridad o para albergar
los servicios WWW y FTP brindados.


Limitaciones de un Firewall
La limitacin ms grande que tiene un Firewall sencillamente es el hueco que no
se tapa y que coincidentemente o no, es descubierto por un intruso. Los Firewalls
no son sistemas inteligentes, ellos actan de acuerdo a parmetros introducidos
por su diseador, por ende si un paquete de informacin no se encuentra dentro
de estos parmetros como una amenaza de peligro simplemente lo deja pasar.
Ms peligroso an es que ese intruso deje Back Doors, abriendo un hueco
diferente y borre las pruebas o indicios del ataque original.
Otra limitacin es que el Firewall "NO es contra humanos", es decir que si un
intruso logra entrar a la organizacin y descubrir passwords o los huecos del
Firewall y difunde esta informacin, el Firewall no se dar cuenta.
El Firewall tampoco provee de herramientas contra la filtracin de software o
archivos infectados con virus, aunque es posible dotar a la mquina, donde se
aloja el Firewall, de antivirus apropiados.
Finalmente, un Firewall es vulnerable, l NO protege de la gente que est dentro
de la red interna. El Firewall trabaja mejor si se complementa con una defensa
interna. Como moraleja: "cuanto mayor sea el trfico de entrada y salida
permitido por el Firewall, menor ser la resistencia contra los paquetes externos.
El nico Firewall seguro (100%) es aquel que se mantiene apagado"
Existen distintos tipos de firewalls, que pueden ser clasificados de diversas
maneras en:
Firewalls en Hardware o Software:
1. Hardware: este tipo de sistema es colocado sobre los dispositivos usados para
ingresar a Internet, los llamados routers. Frecuentemente la instalacin ya se
encuentra realizada cuando compramos el router. En caso contrario es
muy recomendable realizar la instalacin. La colocacin del firewall en este
caso es muy compleja, es hecha gracias a un navegador que tiene acceso a
Internet.
2. Software: pueden ser distinguidos dos tipos de estos firewalls, el primero es
el gratuito: tambin conocido bajo el nombre de software firewall, que puede
ser usado con total libertad y de manera totalmente gratuita como su nombre
indica. Su objetivo es rastrear y no permitir acceso a ciertos datos a las
computadoras personales. Hoy en da la mayora de las PC ya tienen el firewall
colocado.
Este sistema es caracterizado por su fcil instalacin, al que pueden ser
sumados otros sistemas para asegurar la computadora, cuando deja de
funcionar, es la misma PC quien se encarga de avisarlo, no es requerido un
sistema de Hardware para colocarlo y generalmente son utilizado en una sola
computadora.

TIPOS DE FIREWALL
FILTRO DE PAQUETES

Caractersticas
Por cortafuegos vamos a entender un filtro de paquetes en una determinada
mquina. Un filtro de paquetes es un componente de software con la capacidad
para examinar las cabeceras de los paquetes que lo atraviesan y de tomar
decisiones, segn esas cabecera, sobre el destino de cada uno de los paquetes.
Un filtro puede tomar tres decisiones sobre un paquete, aceptarlo, rechazarlo o
descartarlo. Adems el cortafuegos puede realizar cierto tipo de manipulacin de
paquetes. Esto tendremos que especificarlo en cada regla.
El trfico sobre el que puede actuar un cortafuegos puede ser el propio trfico que
llega o sale de la propia mquina y el trfico de "paso", el que la mquina tiene que
enrutar, cuando acta como pasarela o gateway entre redes.
Como un gateway recoge todo el trfico entre redes otra posibilidad que nos
brinda es poder modificar el ancho de banda que puede utilizar cada cliente. Para
que la red sea justa con todos podemos prevenir el caso de que unos pocos saturen
el ancho de banda disponible, lo que en s puede constituir un ataque DOS (Denial
Of Service) involuntario.
En este captulo tratamos de describir que se puede hacer con un paquete que llega
a un equipo destino o que atraviesa una mquina que acta como gateway entre
redes.
Motivos de un filtro
Los motivos bsicos para establecer un filtro son la regulacin y control del trfico
de de una mquin o red.
La regulacin se entiende como la decisin del trfico que se permite y el que se
prohbe en funcin de los orgenes y destinos de los paquetes circulantes,
informacin que figura en las cabeceras de los paquetes y que como indicamos
anteriormente, el filtro se encarga de analizar. Por ejemplo podremos pertir todo el
trfico para sel servidor web y sin embargo restringir el envo de correo
electrnico. O tambin impedir el acceso a unas determinadas mquinas de la red,
locales o sobre internet.
El control lo entendemos como la posibilidad de analizar y manipular las cabeceras
de los paquetes para que se adapten a nuestras necesidades. Por ejemplo, este
control nos permite el enmascaramiento de paquetes lo que permite que varias
mquinas en una red local con direcciones privadas puedan acceder a internet con
una nica direccin IP vlida. Para hacer esto tendremos que manipular el paquete
y sustituir la direccin privada por una direccin pblica. La manipulacin de
paquetes permite otras posibilidades como mantener servidores pblicos con
direcciones IP privadas que estn detrs del cortafuegos.
Los objetivos de la regulacin y control se pueden resumir en dos caractersticas
bsica: seguridad y rendimiento. Seguridad porque podemos decidir todo sobre el
acceso a los servicios y rendimiento porque podremos mejorar ciertas
prestaciones de la red y reducir trfico innecesario.
S hay que tener en cuenta que la configuracin de un cortafuegos no es una tarea
trivial. Una regla de filtrado mal puesta puede inhabilitar las conexiones de red de
una mquina. Es necesario conocer en detalle las caractersticas de los paquetes IP,
los mecanismos para establecer una conexin TCP, el significado de cada
protocolo, las caractersticas de cada servicio, el esquema de filtrado y otras ms.
Digo esto porque con las prisas por empezar a introducir rdenes, son muchos los
que se saltan la parte de "literatura" del documento si darse cuenta de que puede
perder detalles importantes y despus las cosas no funcionen como se esperaba.
No olvidemos que las computadoras son mquinas que hacen lo que le decimos no
lo que queremos.


PROXY-GATEWAYS DE APLICACIONES

Para evitar las debilidades asociadas al filtrado de paquetes, los desarrolladores crearon
software de aplicacin encargados de filtrar las conexiones. Estas aplicaciones son
conocidas como Servidores Proxy y la mquina donde se ejecuta recibe el nombre de
Gateway de Aplicacin o Bastion Host.
El Proxy, instalado sobre el Nodo Bastin, acta de intermediario entre el cliente y el
servidor real de la aplicacin, siendo transparente a ambas partes.
Cuando un usuario desea un servicio, lo hace a travs del Proxy. Este, realiza el pedido al
servidor real devuelve los resultados al cliente. Su funcin fue la de analizar el trfico de
red en busca de contenido que viole la seguridad de la misma.

DUAL HOMMED HOST

Son dispositivos que estn conectados a ambos permetros (interior y exterior) y no dejan
pasar paquetes IP (como sucede en el caso del Filtrado de Paquetes), por lo que se dice que
actan con el "IP-Forwarding desactivado".
Un usuario interior que desee hacer uso de un servicio exterior, deber conectarse primero
al Firewall, donde el Proxy atender su peticin, y en funcin de la configuracin impuesta
en dicho Firewall, se conectar al servicio exterior solicitado y har de puente entre este y
el usuario interior.
Es decir que se utilizan dos conexiones. Uno desde la mquina interior hasta el Firewall y el
otro desde este hasta la mquina que albergue el servicio exterior.

SCREENED HOST