INVESTIGACIN III UNIDAD

REDES

Juan Antonio Hervert Len

UTVM Materia Optativa

Contenido
Qu es un firewall? ............................................................................................................................ 2
Evolucin de Firewall .......................................................................................................................... 3
Primera generacin cortafuegos de red: filtrado de paquetes .................................................... 3
Segunda generacin cortafuegos de estado ................................................................................ 4
Tercera generacin - cortafuegos de aplicacin ............................................................................. 4
TIPOS DE FIREWALL PARA LA INDUSTRIA............................................................................................ 5
Firewall por Software ...................................................................................................................... 5
Firewall por Hardware..................................................................................................................... 6
Firewall por Software comercial ..................................................................................................... 6
Firewalls para la vigilancia del trfico saliente ................................................................................ 6
Inspeccin del contenido de la capa de aplicacin ......................................................................... 7
Firewalls para aplicaciones web ...................................................................................................... 7
Implementaciones de firewalls virtuales ........................................................................................ 8
QUE ES UN IPS? ................................................................................................................................. 8
Clasificacion de IPS ............................................................................................................................ 10
MECANISMOS DE INTRUSION DE UNA RED ...................................................................................... 10
Objetivos ....................................................................................................................................... 11
Tipos .............................................................................................................................................. 12
Referencias ........................................................................................................................................ 13

pg. 1

Qu es un firewall?
Un firewall es software o hardware que comprueba la informacin procedente de
Internet o de una red y, a continuacin, bloquea o permite el paso de sta al equipo,
en funcin de la configuracin del firewall. Un firewall puede ayudar a impedir que
hackers o software malintencionado (como gusanos) obtengan acceso al equipo a
travs de una red o de Internet. Un firewall tambin puede ayudar a impedir que el
equipo enve software malintencionado a otros equipos.
En la siguiente ilustracin se muestra el funcionamiento de un firewall.

Ilustracin donde se muestra la barrera creada por un firewall entre Internet y el

equipoUn firewall crea una barrera entre Internet y el equipo, igual que la barrera
fsica que constituira una pared de ladrillos.Un firewall no es lo mismo que un
programa antivirus. Para ayudar a proteger su equipo, necesita tanto un firewall
como un programa antivirus y antimalware.

pg. 2

Evolucin de Firewall
El trmino firewall / fireblock significaba originalmente una pared para confinar un
incendio o riesgo potencial de incendio en un edificio. Ms adelante se usa para
referirse a las estructuras similares, como la hoja de metal que separa el
compartimiento del motor de un vehculo o una aeronave de la cabina. La tecnologa
de los cortafuegos surgi a finales de 1980, cuando Internet era una tecnologa
bastante nueva en cuanto a su uso global y la conectividad.

Primera generacin cortafuegos de red: filtrado de paquetes

El primer documento publicado para la tecnologa firewall data de 1988. El filtrado

de paquetes llevado a cabo por un cortafuegos acta en las tres primeras capas del
modelo de referencia OSI, lo que significa que todo el trabajo lo realiza entre la red
y las capas fsicas.7 Cuando el emisor origina un paquete y es filtrado por el
cortafuegos, ste ltimo comprueba las reglas de filtrado de paquetes que lleva
configuradas, aceptando o rechazando el paquete en consecuencia. Cuando el
paquete pasa a travs de cortafuegos, ste filtra el paquete mediante un protocolo
y un nmero de puerto base (GSS).

pg. 3

Segunda generacin cortafuegos de estado

Durante 1989 y 1990,

desarrollaron la segunda generacin de servidores de

seguridad. Esta segunda generacin de cortafuegos tiene en cuenta, adems, la

colocacin de cada paquete individual dentro de una serie de paquetes. Esta
tecnologa se conoce generalmente como la inspeccin de estado de paquetes, ya
que mantiene registros de todas las conexiones que pasan por el cortafuegos,
siendo capaz de determinar si un paquete indica el inicio de una nueva conexin,
es parte de una conexin existente, o es un paquete errneo. Este tipo de
cortafuegos pueden ayudar a prevenir ataques contra conexiones en curso o ciertos
ataques de denegacin de servicio.

Tercera generacin - cortafuegos de aplicacin

Son aquellos que actan sobre la capa de aplicacin del modelo OSI. La clave de
un cortafuegos de aplicacin es que puede entender ciertas aplicaciones y
protocolos (por ejemplo: protocolo de transferencia de ficheros, DNS o navegacin
web), y permite detectar si un protocolo no deseado se col a travs de un puerto
no estndar o si se est abusando de un protocolo de forma perjudicial.
Un cortafuegos de aplicacin es mucho ms seguro y fiable cuando se compara con
un cortafuegos de filtrado de paquetes, ya que repercute en las siete capas del
modelo de referencia OSI. En esencia es similar a un cortafuegos de filtrado de
paquetes, con la diferencia de que tambin podemos filtrar el contenido del paquete.

pg. 4

El mejor ejemplo de cortafuegos de aplicacin es ISA (Internet Security and

Acceleration).
Un cortafuegos de aplicacin puede filtrar protocolos de capas superiores tales
como FTP, TELNET, DNS, DHCP, HTTP, TCP, UDP y TFTP (GSS).

TIPOS DE FIREWALL PARA LA INDUSTRIA

Firewall por Software
Un firewall gratuito es un Software que se puede instalar y utilizar libremente, o no,
en la computadora. Son tambin llamados 'desktop firewall' o 'software firewall'.
Son firewalls bsicos que monitorean y bloquean, siempre que necesario, el trfico
de Internet.
Casi todas las computadoras vienen con un firewall instalado, Windows XP y
Windows Vista lo traen.
Las caractersticas de un firewall por software son:

Los gratuitos se incluyen con el sistema operativo y normalmente son para

uso personal
Pueden ser fcilmente integrados con otros productos de seguridad
No necesita de hardware para instalarlo en la computadora

pg. 5

 Es muy simple de instalar, normalmente ya viene activado y el Sistema

Operativo alerta cuando no tenemos ningn tipo de firewall en
funcionamiento.
Un firewall de este tipo es el bsico que debe existir en una computadora y
no hay razones que justifiquen la no utilizacin de, por lo menos, un desktop
firewall.
Firewall por Hardware
Una firewall por Hardware viene normalmente instalado en los routers que
utilizamos para acceder a Internet, lo que significa que todas las computadoras que
estn detrs del router estarn protegidas por un firewall que est includo en el
dispositivo. La mayora de los routers vienen con un firewall instalado.
La configuracin de un firewall por hardware es ms complicada que una instalacin
de un firewall por software y es normalmente realizada a travs del navegador que
se utiliza para acceder a Internet.
La diferencia de precio entre un router con firewall y un router sin firewall es muy
pequea, por eso es recomendable comprar un firewall con esta proteccin.
Es posible tener un firewall por hardware y un firewall por software activos
simultneamente para lograr una mayor proteccin.
Firewall por Software comercial
Un firewall comercial funciona de la misma forma que uno gratuito (como el de
Windows), pero normalmente incluye protecciones extra y mucho ms control sobre
su configuracin y funcionamiento.
Firewalls para la vigilancia del trfico saliente
En entornos corporativos, sin embargo, donde los firewalls estn diseados para
controlar acceso entrante y saliente de los entornos, el acceso web saliente es
permitido tradicionalmente sin oposicin. Esto expone a la corporacin al malware,
a travs de amenazas provenientes del cliente y dirigidas al navegador de un
usuario. Para contrarrestar esta amenaza, los productos de firewalls ms

pg. 6

tradicionales han sido ampliados con funciones de gestin de acceso a Internet (en
lnea o basados en proxy) que controlan especficamente el acceso saliente.
Esto es porque, aunque el firewall puede controlar a qu usuarios permitir acceso
dentro de una corporacin, no son suficientes para controlar el contenido al que se
accede. Puesto que los ataques provenientes del cliente son una gran amenaza en
las empresas, tal proteccin actualizada es crucial.
Inspeccin del contenido de la capa de aplicacin
Los proveedores tradicionales de firewall estn ofreciendo herramientas que
ofrecen inspeccin del contenido de la capa de aplicacin combinado con antivirus:
capacidades de deteccin de malware que coexisten con un firewall tradicional, todo
en el mismo chasis. Estos dispositivos, adems de supervisar el trfico buscando
contenido malicioso, tambin bloquean el acceso a los sitios que alojan contenido
cuestionable.

Por supuesto, estos productos no deberan considerarse como un sustituto de los

mecanismos tradicionales de proteccin basados en host, como los antivirus, el anti
spam o cualquier otra solucin de seguridad para dispositivos de destino.
Firewalls para aplicaciones web
En el entorno de host en concreto, el monitoreo de Capa-7 podra tomar la forma de
un firewall para aplicaciones de web, que se centran especficamente en los ataques
de nivel de aplicacin dirigidos a servicios web y aplicaciones.
Adems de protegerse contra los ataques de web tradicionales, como cross-site
scripting e inyeccin SQL, estos dispositivos tienen la capacidad de comprender el
comportamiento tradicional de los clientes (es decir, los usuarios que interactan
con el sitio), y puede rastrear y prevenir el comportamiento que se desva de la
norma. Los firewalls para aplicaciones web estn disponibles como mdulos
acoplables a los chasis de firewall tradicionales para compensar cualquier dficit de
rendimiento de monitoreo de trfico aadido a la Capa-7.

pg. 7

Esto no quiere decir que un firewall para aplicaciones web pueda reemplazar el
firewall tradicional en un entorno hospedado; la segmentacin tradicional de los
diferentes niveles sigue siendo crucial.
Implementaciones de firewalls virtuales
Este enfoque se puede extender tambin a plataformas virtuales hospedadas. Sin
entrar en detalles (este tema merece un artculo para l solo), la segregacin de
plataformas virtuales requiere que la separacin de los firewalls sea implementada
en el hipervisor, controlando as el acceso a diferentes instancias virtuales en la
misma plataforma fsica.
Esta implementacin de seguridad de VM a VM puede ser aumentada an ms con
una combinacin de firewalls para aplicaciones web y tradicionales. En las
implementaciones de este tipo, el firewall tradicional todava tiene un papel que
jugar, aunque a un nivel ms amplio, aplicando la separacin/proteccin entre
granjas de servidores virtuales. La proteccin de Capa-7 puede ser implementada
en los segmentos que sean considerados sensibles o crticos para el negocio.
En conclusin, dado el panorama de las amenazas, el diseo de un host seguro o
de un entorno corporativo debera incluir la ampliacin de la defensa especfica de
la red de los firewalls tradicionales con una combinacin de proteccin basada en
red y en el host que se centre en la capa de aplicacin: El tener slo un dispositivo
de capa 3 hace que la proteccin de partes crticas de la red ya no sea suficiente.

QUE ES UN IPS?
IPS(Intrusion Prevention System) Dispositivos dedicados a la prevencin de
intrusiones a partir de la identificacin y bloqueo de patrones especficos de ataque
en su transito por la red, aparatos para esta funcionalidad se denominan IPS
(Intrusion Prevention System) y estn especficamente diseados para prestar de
manera dedicada este tipo de funcionalidades, con un base amplia de firmas y
algunas detecciones basadas en mtodos relacionados con comportamiento. Esto
ha sido por largo tiempo una funcionalidad requerida en mltiples entornos.

pg. 8

Las principales funciones de los sistemas de prevencin de intrusiones de identificar

la actividad maliciosa, registro de informacin sobre dicha actividad, intento de
bloquear / parar la actividad, y el informe de actividades.
Monitoreo de operacin y soporte del dispositivo 5x8 o 7x24 segn las necesidades
del cliente. Adicin, eliminacin y ajuste de firmas 5x8 o 7x24 segn las necesidades
del cliente.
Actualizacin automtica con verificacin manual de las bases de firmas de las
funcionalidades de IPS. Actualizaciones de software(firmware) de los dispositivos
segn los liberen los fabricantes y sean homologados por nuestra rea de servicios.
Anlisis para la definicin del grupo inicial de firmas de IPS.
El dispositivo para la prestacin del servicio se incluye dentro de la tarifa mensual
por el servicio. Los dispositivos administrados pueden estar ubicados en diferentes
ubicaciones fsicas y tipolgicas. Comunicacin segura desde y hacia el SOC
(Security Operations Center) de 360 Security Group.
Soporte en sitio ante la imposibilidad del SOC para acceder remotamente al
dispositivo. Plataforma de servicios unificada y especializada para la prestacin de
servicios administrados de seguridad. Diversas formas de comunicacin con
nuestro SOC: Portal Seguro de Servicio, PBX y Lneas Celulares de Servicio.
Anlisis de logs del dispositivo y correlacin con logs de otros dispositivos
administrados que tenga contratados el cliente. Reportes de servicio con frecuencia
mensual y ante la ocurrencia de incidentes y eventos especiales.

pg. 9

Clasificacion de IPS
Los sistemas de prevencin de intrusiones se puede clasificar en cuatro tipos
diferentes:

1. Basada en la red de prevencin de intrusiones (PIN): los monitores de toda

la red para el trfico sospechoso mediante el anlisis de la actividad de
protocolo.
2. Sistemas de prevencin de intrusiones inalmbricas (WIPS): los monitores
de una red inalmbrica para el trfico sospechoso mediante el anlisis de
protocolos de redes inalmbricas.
3. Anlisis de comportamiento de la red (NBA): examina el trfico de red para
identificar las amenazas que generan flujos de trfico inusuales, como la
denegacin de servicio distribuido (DDoS), ciertas formas de malware, y
violacines de poltica.
4. Basada en el host de prevencin de intrusiones (HIPS): un paquete de
software que controla un nico host para detectar actividades sospechosas
mediante el anlisis de los acontecimientos que ocurren dentro de ese
sistema.

MECANISMOS DE INTRUSION DE UNA RED

Los sistemas informticos se apoyan en los Sistemas de Deteccin de Intrusiones
(IDS -de sus siglas en ingls) para prepararse y ocuparse del mal manejo y del uso
indebido de la informacin de una organizacin. Logran esta meta, recopilando la
informacin de una gran variedad de fuentes del sistema y de la red y analizando la
informacin que contribuye a los sntomas de los problemas de seguridad de la
misma, y permiten que el usuario especifique las respuestas en tiempo real a las
violaciones.

pg. 10

Los productos de deteccin de intrusos son aplicaciones que monitorean

activamente los sistemas operativos y el trfico de red, con el objeto de detectar
ataques y violaciones a la seguridad.
Es decir, los IDS son herramientas de seguridad en red que recopilan informacin
de una variedad de fuentes del sistema, analizan la informacin de los parmetros
que reflejan el uso errneo o la actividad inusual, responden automticamente a la
actividad detectada, y finalmente informan el resultado del proceso de la deteccin.
Objetivos
Para el buen funcionamiento de los Sistemas de Deteccin de Intrusiones, es
necesario que cumplan con los objetivos que tienen asignados, estos consisten en
el cumplimiento de los siguientes puntos:

Vigilar y analizar la actividad de los usuarios y del sistema.

Revisar las configuraciones del sistema y de las vulnerabilidades.
Evaluar la integridad de los archivos crticos del sistema y de los datos.
Reconocimiento de los modelos de la actividad que reflejan ataques
conocidos.
Anlisis estadstico para los modelos anormales de la actividad.
Gerencia del rastro de intervencin del sistema operativo, con el
reconocimiento de las violaciones de la actividad del usuario respecto a la
poltica establecida.
Vigilar el cumplimiento de polticas y procedimientos establecidos dentro de
la organizacin.
La combinacin de estas caractersticas hace que sea ms fcil para los encargados
del sistema, vigilar la intervencin y la evaluacin de sus sistemas y redes. Esta
actividad en curso de la intervencin y de la evaluacin, es una prctica necesaria
de una sana gerencia de seguridad.

pg. 11

Tipos
Es importante mencionar antes de describir el funcionamiento de un IDS, los tipos
ms comunes de estos sistemas en el mercado actual.
La meta de un IDS es proporcionar una indicacin de un potencial o de un ataque
verdadero. Un ataque o una intrusin es un acontecimiento transitorio, mientras que
una vulnerabilidad representa una exposicin, que lleva el potencial para un ataque
o una intrusin. La diferencia entre un ataque y una vulnerabilidad, entonces, es que
un ataque existe en un momento determinado, mientras que una vulnerabilidad
existe independientemente de la poca de la observacin. Otra manera de pensar
en esto es que un ataque es una tentativa de explotar una vulnerabilidad (o en
algunos casos, una vulnerabilidad percibida). Esto nos conduce a categorizar varios
tipos de IDS.
Hay cinco diversas categoras de las identificaciones. No todas estas categoras
representan la "deteccin clsica de la intrusin" pero desempean un papel en la
meta total de intrusiones de deteccin o de prevencin en una red corporativa. Las
categoras son:

IDS Network-based

IDS Host-based

IDS Hbridos

Inspector de la Integridad del Archivo

Explorador de la vulnerabilidad de la Red
Explorador de la vulnerabilidad del Host
Los tres primeros puntos son tipos de IDS y los tres puntos restantes son
herramientas de deteccin de vulnerabilidad.
Una intrusin, explota una vulnerabilidad especfica y debe ser detectada cuanto
antes, despus de que comience. Por esta razn, las herramientas de la deteccin
de la intrusin deben de ejecutarse con ms frecuencia que los exploradores de
vulnerabilidad. Los sistemas de la deteccin de la intrusin (IDS) examinan el
sistema o la actividad de la red para encontrar intrusiones o ataques posibles.

pg. 12

Como mencionamos anteriormente, hay dos tipos bsicos de sensores de IDS:

network-based y host-based. Los sensores network-based se encargan de
monitorear las conexiones de red, observar el trfico de paquetes TCP, y as poder
determinar cuando se est realizando un ataque. Los sensores host-based se
ejecutan en los sistemas -servidores, workstations o en las mquinas de usuarios y localizan alguna actividad sospechosa en el nivel del sistema. Buscan las cosas
que pueden indicar actividad sospechosa, tal como tentativas de conexin fallidas.
Los encargados de los IDS actan como un centro centralizado de vigilancia,
recibiendo datos de los sensores y accionando alarmas.
Referencias
CISCO.
(s.f.).
IPS_external_qa_clients_Spanish.pdf.
Obtenido
de
http://www.cisco.com/web/LA/productos/servicios/docs/IPS_external_qa_cli
ents_Spanish.pdf
informatica-hoy. (s.f.). Tipos de firewall. Obtenido de http://www.informaticahoy.com.ar/seguridad-informatica/Tipos-de-firewall.php
Map, M. (s.f.). Mind Map. Obtenido de Mecanismos para la deteccion de ataques e
intrusiones:
http://www.mindomo.com/es/mindmap/mecanismos-para-ladeteccion-de-ataques-e-intrusiones-baee40948b6d7c83e0f062d3b960f2a9
P06/M2107/01773, F. . (s.f.). PDF. Obtenido de PDF: FUOC P06/M2107/01773
tecnologiapyme. (s.f.). Proteccin firewall en la red de la empresa. Obtenido de
http://www.tecnologiapyme.com/productividad/ventajas-al-usar-undispositivo-de-proteccion-firewall-en-la-red-de-la-empresa

pg. 13