Firewalls

Introduccin
Los primeros dispositivos del tipo Firewall (o cortafuegos) aparecieron en la mitad de la dcada de los
80. Desde esos primeros Cortafuegos que implementaron simples y rudimentarios filtros de paquetes hasta
los actuales dispositivos capaces de analizar simultneamente la actividad en mltiples capas de la red, la
tecnologa ha evolucionado mucho creando herramientas ms sofisticadas y ms seguras.
La popularizacin de Internet ha originado mltiples problemas de seguridad hasta el punto en que, hoy
por hoy, esta inseguridad inherente a la red es, segn todos los expertos, el principal obstculo para el
xito de las actividades de Comercio Electrnico.
El Cortafuegos se ha convertido, de esta forma, en un dispositivo indispensable dentro de la arquitectura
de cualquier red de ordenadores que tenga acceso a Internet.

Seguridad en TCP/IP
A pesar de que la familia de protocolos TCP/IP fue desarrollada inicialmente para el Departamento de
Defensa de los Estados Unidos, existen en ella un nmero considerable de graves problemas de seguridad
que son inherentes al protocolo e independientes del nivel de correccin de cualquier implementacin. El
hecho de que un host confe en algo tan vulnerable como la direccin IP que viene escrita en un paquete
como nica autenticacin de la procedencia de dichos datos, los casi inexistentes mecanismos de
autenticacin asociados a los protocolos de enrutamiento o la falta de mecanismos que garanticen la
confidencialidad y la integridad de los datos que viajan a travs de una red son claros ejemplos de ello.
Algunos de estos problemas pueden ser solventados mediante el uso de un cortafuegos. Los cortafuegos,
junto con los antivirus, constituyen hoy en da la herramienta de seguridad ms efectiva y ampliame nte
extendida a nivel corporativo (y crece poco a poco a nivel domstico gracias a la proliferacin de
cortafuegos personales) y se revela como el nico mecanismo de seguridad verdaderamente efectivo para
protegernos de estas vulnerabilidades intrnsecas al protocolo TCP/IP.
Los principales riesgos de una organizacin con salida a Internet son los mismos que debemos tener en
cuenta a la hora de proteger un sistema cualquiera: confidencia lidad, integridad y disponibilidad. Los
siguientes son los ataque ms frecuentes y populares que vulneran estos principios:
o
o
o
o
o
o
o
o

Sniffers.
Suplantacin de IP o Spoofing.
Ataques de contraseas
Control de salida ilegal informacin sensible desde una fuente interna.
Ataques de Hombre en el medio (o man-in-the- middle attacks).
Ataques de Denegacin de Servicio, Denial of Service o ataques DoS.
Ataques a nivel de aplicacin para explotar vulnerabilidades conocidas.
Caballos de Troya (Trojan Horses), Virus y otros cdigos maliciosos.

De que puede protegernos?

El nivel de proteccin que puede darnos un cortafuegos depende en gran medida, de nuestras necesidades.
Imaginemos, por ejemplo, que nuestra nica necesidad es recibir y entregar correos electrnicos. Un
cortafuegos puede defendernos efectivamente de cualquier ataque que no vaya dirigido a este servicio.
Generalmente, los cortafuegos se configuran para protegernos contra cualquier intento de acceso
desautorizado o no correctamente autenticado desde el exterior hacia el interior de nuestra red, o viceversa.
Pero, adicionalmente, uno de los puntos ms importantes a tener en cuenta es que un cortafuegos nos
proporciona un punto nico e ineludible de acceso a nuestra red donde podemos centralizar las medidas
de seguridad y auditora sobre la misma.

De que NO puede protegernos?

Son tres las principales amenazas sobre las cuales un cortafuegos no puede
protegernos. Las dos primeras son evidentes.
Un cortafuegos no puede protegernos contra amenazas que no pasan a travs de l.
Como decamos en el punto anterior, el cortafuegos debe de ser el punto nico e ineludible de acceso a
nuestra red. Si esto no es as su efectividad es slo parcial.
Tampoco pueden protegernos, generalmente, contra amenazas que proceden del interior de nuestra red.
Un empleado malicioso, un troyano o algunos tipos de virus pueden usar mecanismos vlidos desde
dentro para realizar acciones maliciosas.
Por ltimo, los cortafuegos no pueden protegernos contra clientes o servicios que admitimos como vlidos
pero que son vulnerables.
Tampoco puede protegernos contra mecanismos de tunneling sobre HTTP, SMTP u otros protocolos. No
son muy efectivos, a pesar de que algunos fabricantes as lo anuncian, contra los virus. Los cortafuegos
no pueden ni deben sustituir otros mecanismos de seguridad que reconozcan la naturaleza y efectos de los
datos y aplicaciones que se estn manejando y acten en consecuencia.

Generalidades, Tipos y Tecnologas

Los cortafuegos son dispositivos o sistemas que controlan el flujo de trfico entre dos o ms redes
empleando ciertas polticas de seguridad. Bsicamente son dispositivos cuya funcionalidad se limita a
permitir o bloquear el trfico entre dos redes en base a una serie de reglas. Su complejidad reside en las
reglas que admiten y en como realizan la toma de decisiones en base a dichas reglas.
La tecnologa empleada en los cortafuegos ha ido madurando a medida que la industria especializada
avanzaba y ahora tenemos una amplia variedad de dispositivos que realizan esta funcin de distintas
formas. Una forma prctica y sencilla de comparar las bondades de cada plataforma es examinando las
capas del modelo OSI donde el cortafuegos interacta.
La clasificacin conceptual ms simple divide los cortafuegos en slo dos tipos:
o

Cortafuegos a nivel de red (trabajan en las capas 2, 3 y/o 4).

Cortafuegos a nivel de aplicacin (trabajan en las capas 5, 6 y/o 7).

Representacin del Modelo OSI

Como regla general, podemos afirmar que cuanto ms bajas sean las capas en las que el cortafuegos
trabaja, su evaluacin ser ms rpida y transparente pero su capacidad de accin ante ataques complejos
es menor.
La industria, sin embargo, suele hacer una clasificacin generacional ms amplia: las dos primeras
generaciones estn formadas por cortafuegos de red con una diferencia fundamental entre ellas: que tengan
en cuenta o no informacin del estado de la conexin a la hora de evaluar las reglas. La tercera generacin
est orientada a filtrados a nivel de aplicacin y, por ltimo, la cuarta generacin vuelve al nivel de red y
est orientada al filtrado dinmico de paquetes. Incluimos un quinto apartado dedicado a los cortafuegos
hbridos, ltima tendencia de la industria, los cuales pueden situarse simultneamente en ms de una de
estas categoras.
Tenemos an otra clasificacin dependiendo del, por llamarlo de algn modo, acabado externo del
producto. As, tenemos cortafuegos que son meros servicios que se ejecutan sobre sistemas operativos
robustos (como IPFilter o IPTables en el mundo Linux o CISCO Centri Firewall para tecnologa NT),
complejas herramientas modulares que pueden instalarse en varias mquinas (como es el caso de Firewall1 de Central Point que posee dos mdulos separados: inspeccin y gestin), o puede tratarse de sistemas
dedicados que incluyen dentro de una caja compacta el hardware, el sistema operativo y el software
especfico, todo ello completamente listo para trabajar (es el caso del CISCO PIX Firewall).

Frente de un Firewall Juniper SSG350M

Frente de uno de los Modelos de Firewall CheckPoint

Cortafuegos de Filtrado de Paquetes

El trmino en ingls por el que se los conoce es Packet Filter Firewalls. Se trata del tipo ms bsico de
cortafuegos. Analizan el trfico de la red fundamentalmente en la capa 3, teniendo en cuenta a veces
algunas caractersticas del trfico generado en las capas 2 y/o 4 y algunas caractersticas fsicas propias
de la capa 1. Los elementos de decisin con que cuentan a la hora de decidir si un paquete es vlido o no
son los siguientes:
o
o
o

o
o
o

La direccin de origen desde donde, supuestamente, viene el paquete (capa 3).

La direccin del host de destino del paquete (capa 3).
El protocolo especfico que est siendo usado para la comunicacin, frecuentemente Ethernet o IP
aunque existen cortafuegos capaz de desenvolverse con otros protocolos como IPX, NetBios, etc
(capas 2 y 3).
El tipo de trfico: TCP, UDP o ICMP (capas 3 y 4).
Los puertos de origen y destino de la sesin (capa 4).
El interface fsico del cortafuegos a travs del que el paquete llega y por el que habra que darle
salida (capa 1), en dispositivos con 3 o ms interfaces de red.

Con todas o algunas de esta caractersticas se forman dos listas de reglas: una de permitidas y otra de
denegadas. La forma en que un paquete recibido se procesa en funcin de estas dos listas difiere segn el
modelo, el fabricante o el modo de actuacin configurado y define en gran medida la permisividad del
cortafuegos.
Los ms restrictivos exigen que el paquete pase con xito por ambas listas, es decir, que no sea
expresamente denegado en la una y sea expresamente autorizado en la segunda. Otras veces existe una
nica lista de reglas y el paquete es procesado segn la primera regla que encontramos en la tabla y define
como tratarlo. Otros cortafuegos usan la ltima regla que encuentran como accin a efectuar.
Por ltimo, tambin encontramos diferencias en cuanto a que hacer cuando no se encuentra ninguna regla
vlida: algunos productos aceptan el paquete y otros lo rechazan. Es, pues, fundamental conocer
perfectamente el modo de trabajo del equipo que nos ocupa en cada momento.
Aparte de Aceptar (Accept) o Rechazar (Reject o Deny), la mayora de los cortafuegos de este tipo poseen
un tercer tipo de accin: Descartar (Discard o Drop). Cuando un paquete es procesado por una regla que
define esta accin, este se elimina silenciosamente sin devolverse error alguno al originario del mismo
creando un efecto de agujero negro y evitando as el cortafuegos revelar su presencia.
Las principales bondades de este tipo de cortafuegos estn en su rapidez, transparencia y flexibilidad.
Proporcionan un alto rendimiento y escalabilidad y muy bajo coste, y son muy tiles para bloquear la
mayora de los ataques de Denegacin de Servicio, por ello se siguen implementando como servicios
integrados en algunos routers y dispositivos hardware de balanceo de carga de gama media-alta.

Sus principales inconvenientes son su limitada funcionalidad y su dificultad a la hora de configurarlos y

mantenerlos. Son fcilmente vulnerables mediante tcnicas de spoofing y no pueden prevenir contra
ataques que exploten vulnerabilidades especficas de determinadas aplicaciones, puesto que no examina n
las capas altas del modelo OSI. La informacin almacenada en los logs de accesos es tan imprecisa como
los parmetros usados en la configuracin de su lista de reglas (direcciones de origen, de destino, puertos,
protocolos, interfaces de red, etc.) y la complejidad en la construccin de reglas hace que deban de ser
configurados por expertos conocedores del protocolo y que sean muy susceptibles a los errores.
No son, pues, efectivos como medida nica de seguridad, pero si muy prcticos como primera barrera, en
la que se bloquean ciertos ataques, se filtran protocolos no deseados y se pasan los paquetes restantes a
otro cortafuegos que examine las capas ms altas del protocolo.

Cortafuegos con Inspeccin de Estado

Los cortafuegos de segunda generacin, llamados cortafuegos con inspeccin de estado, o Stateful
Inspection Firewalls o Circuit Level Firewalls, son bsicamente cortafuegos de filtrado de paquetes en los
que, adems, se valida a la hora de aceptar o rechazar un paquete el hecho de que este sea una peticin de
nueva conexin o pertenezca a un circuito virtual (o sesin) ya establecido entre un host externo y otro
interno.
Cuando una aplicacin crea una sesin TCP con un host remoto, se establece un puerto en el sistema
originario de la conexin con objeto de recibir all los datos provenientes del sistema remoto. De acuerdo
a las especificaciones de TCP, este puerto del host cliente estar comprendido entre el 1023 y el 16.384.
En el sistema remoto se establecer, asimismo, un puerto que ser siempre menor al 1024.
Los cortafuegos por filtrado de paquetes deben de permitir trfico entrante en todos los puertos superiores
(1023 hasta 16.384) para permitir los datos de retorno de las conexiones salientes. Esto crea un gran riesgo
de intrusiones. Los cortafuegos con inspeccin de estado resuelven eficazmente este problema
construyendo una tabla con informacin correspondiente a todas las sesiones TCP abiertas y los puertos
que utilizan para recibir los datos y no permitiendo el trfico entrante a ningn paquete que no corresponda
con ninguna de estas sesiones y puertos.
Para hacer esto, los cortafuegos de este tipo examinan rigurosamente el establecimiento de cada conexin
(en la capa 4 del modelo OSI) para asegurarse de que esta es legtima y est permitida. Los paquetes no
son remitidos a su destino hasta que el establecimiento de la conexin ha sido correctamente completado
y verificado.
El cortafuegos mantiene una tabla de conexiones vlidas (en la que se incluye informacin del estado de
cada sesin) y deja pasar los paquetes que contienen informacin correspondiente a una entrada vlida en
dicha tabla de circuitos virtuales. Una vez que la conexin finaliza la entrada en la tabla es eliminada y el
circuito virtual entre los dos hosts es cerrado.
Las tablas de estado de circuitos virtuales suelen contener, por cada conexin, la siguiente informacin:
o
o
o
o
o
o
o

Un identificador de sesin nico asignado por el cortafuegos a cada conexin establecida.

El estado de la conexin: negocindose, establecida o cerrndose. (capa 4)
El nmero de secuencia del ltimo paquete (capa 4).
La direccin IP origen de los datos (capa 3).
La direccin IP destino de los datos (capa 3).
La interfaz fsica de red, a travs de la que los paquetes llegan (capa 1).
La interfaz fsica de red, a travs de la que los paquetes salen (capa 1).

Usando esta informacin y con un ligero escrutinio de las cabeceras de los paquetes, el cortafuegos es
capaz de determinar cuando un paquete es vlido y cuando no lo es. Una vez que la conexin es
establecida, el resto de los paquetes asociados con ella son rutados sin ms comprobaciones. Esto los hara,
de base, tremendamente vulnerables a ciertos tipos de ataques, pero muy pocos cortafuegos de este tipo
son tan rudimentarios. Sobre esta base, y aprovechando la gran velocidad y consistencia que supone la
misma, se realizan otro tipo de verificaciones para, por ejemplo, asegurarnos que no ha habido
suplantamiento (spoofing), que no existen paquetes malformados, etc.
Tambin son comunes en ellos la implantacin de sistemas de translacin de direcciones, NAT, que
ocultan eficazmente el interior de nuestra red a intrusos externos.
Las principales ventajas de este esquema de salvaguardas son la velocidad de filtrado, la solidez de sus
principios de cara a establecer una poltica de seguridad y, en conjunto con un esquema de traslacin de
direcciones, la slida proteccin adicional a las direcciones IP internas.
Sus principales debilidades residen en su limitacin estrictamente al escrutinio del protocolo TCP, la
imposibilidad de chequear protocolos de niveles altos, las limitaciones inherentes a su mecnica de
actuacin a la hora de llevar un registro de sucesos y la imposibilidad de implementar algunos servicios
de valor aadido, como realizar cacheado de objetos http o filtrado de URLs (puesto que no entiende n
estos protocolos).

Cortafuegos a Nivel de Aplicacin

Como su nombre indica, esta generacin de cortafuegos evala los paquetes realizando una validacin en
la capa de aplicacin (capa 7) antes de permitir una conexin manteniendo, al igual que hacen los
cortafuegos de inspeccin de estado, un riguroso control del estado de todas las conexiones y el nmero
de secuencia de los paquetes. Adicionalmente, este tipo de cortafuegos suelen prestar, dado su
emplazamiento en la capa 7, servicios de autenticacin de usuarios.
La prctica totalidad de los cortafuegos de este tipo, suelen prestar servicios de Proxy. Tanto es as que a
menudo se identifican biunvocamente unos con otros. Un Proxy es un servicio especfico que controla el
trfico de un determinado protocolo (como HTTP, FTP, DNS, etc.), proporcionando un control de acceso
adicional y un detallado registro de sucesos respecto al mismo. Los servicios o agentes tpicos con que
cuentan este tipo de dispositivos son: DNS, FTP, HTTP, HTTPS, LDAP, y SMTP. Algunos fabricantes
proporcionan agentes genricos que, en teora, son capaces de inspeccionar cualquier protocolo de la red,
pero lgicamente, usarlos le resta robustez al esquema y facilita a un intruso la labor de establecer un tnel
(tunneling) a travs de l.
Los agentes o servicios Proxy estn formados por dos componentes: un servidor y un cliente. Ambos
suelen implementarse como dos procesos diferentes lanzados por un nico ejecutable. El servidor acta
como destino de las conexiones solicitadas por un cliente de la red interna. El cliente del servicio proxy
es el que realmente encamina la peticin hacia el servidor externo y recibe la respuesta de este.
Posteriormente, el servidor proxy remite dicha respuesta al cliente de la red interna. De esta forma estamos
creando un aislamiento absoluto impidiendo una comunicacin directa entre la red interna y la externa.
En el dilogo entre cliente y servidor proxy se evalan las peticiones de los clientes de la red interna y se
decide aceptarlas o rechazarlas en base a un conjunto de reglas, examinando meticulosamente que los
paquetes de datos sean en todo momento correctos. Puesto que son servicios hechos a medida para el
protocolo que inspeccionan, tenemos un control total y un registro de sucesos al ms alto detalle.
En el siguiente grfico podemos ver un ejemplo de cmo se desarrolla la comunicacin antes descrita:

Las principales ventajas de este tipo de cortafuegos son sus detallados registros de trfico (ya que pueden
examinar la totalidad del paquete de datos), el valor aadido que supone tener un servicio de autenticac i n
de cara a securizar nuestra red, y la casi nula vulnerabilidad que presentan ante ataques de suplantac i n
(spoofing), el aislamiento que realizan de nuestra red, la seguridad que proporciona la comprensin a
alto nivel de los protocolos que inspeccionan y los servicios aadidos, como cach y filtro de URLs, que
prcticamente todos implementan.
Entre los inconvenientes estn sus menores prestaciones (en cuanto a velocidad de inspeccin se refiere)
frente a los otros modelos ya vistos, la necesidad de contar con servicios especficos para cada tipo distinto
de trfico, la imposibilidad de ejecutar muchos otros servicios en el (puesto que se escucha en los mismos
puertos), la imposibilidad de inspeccionar protocolos como UDP, RPC y otros servicios comunes, la
necesidad de reemplazar la pila TCP nativa en el servidor donde se ejecutan y lo vulnerables que resultan
ante ataques directos al sistema operativo sobre el que se suelen ejecutar.

Cortafuegos de Filtrado Dinmico de Paquetes

Las tcnicas de filtrado dinmico de paquetes surgen como necesidad de proporcionar mecanis mos
efectivos de seguridad sobre el trfico UDP. Este tipo de cortafuegos asocian el trfico UDP con
conexiones virtuales. Si un paquete de respuesta se genera y enva de vuelta al peticionario original, se
establece una conexin virtual y se permite al futuro paquete de respuesta atravesar el cortafuegos. La

informacin asociada a una conexin virtual se guarda durante un periodo de tiempo muy corto y si no se
recibe dicho paquete de respuesta durante este, la conexin es invalidada. Algunos modelos de este tipo
de cortafuegos pueden realizan controles similares a ste sobre el protocolo ICMP.
Por lo dems, estos cortafuegos se comportan exactamente igual que los de filtrado simple de paquetes,
con sus mismas ventajas e idnticos inconvenientes

Cortafuegos Hbridos
En los ltimos aos las fronteras entre las distintas generaciones de cortafuegos aqu expuestas se han
difuminado y, cada vez en mayor medida, aparecen en el mercado productos comerciales que combinan
las mejores caractersticas de dos o ms de estas plataformas. As, por ejemplo, podemos encontrar con
facilidad cortafuegos a nivel de aplicacin con servicios de proxy que incluyen filtrado de paquetes para
inspeccionar las tramas UDP que antes le estaban restringidas.
En definitiva, la hibridacin de tecnologas y la amalgama de caractersticas de los actuales productos ha
potenciado las ventajas de estos equipos pero tambin ha complicado en gran medida la tarea de elegir
cual es el cortafuegos ms adecuado a nuestras necesidades.

Translacin de Direcciones (NAT)

Un valor aadido sobre los cortafuegos actuales son los servicios adicionales de que disponen y que
facilitan las labores de proteccin y administracin de la red. Se trata de servicios en algunos casos hechos
a medida y en otros habituales de otros dispositivos pero que, en cualquier caso, representan un punto
importante a la hora de decidirnos por una u otra implementacin. En este apartado veremos brevemente
algunos de ellos.
Los servicios de NAT (Network Address Translation) resuelven dos de los principales problemas de
seguridad e infraestructura de las redes actuales. En primer lugar, constituyen una herramienta muy
efectiva para esconder las direcciones de red reales de nuestra red interna. En segundo lugar, y debido a
la reduccin del espacio de direcciones IP disponibles, muchas organizaciones usan NAT para permitir la
salida a Internet de sus equipos de la red interna con un mnimo de direcciones legalmente vlidas (ver
RFC 1918).
Existen tres estrategias diferentes a la hora de implementar NAT que veremos brevemente a continuac i n.

Translacin de Direcciones de Red Esttica

En este esquema de NAT cada sistema interno de la red privada tiene su propia direccin IP exterior. Con
este sistema se logra esconder el esquema interno de nuestra red, pero no la reduccin de direcciones IP
vlidas de acceso al exterior. Los cortafuegos que incluyen esta caracterstica usan para ello una simple
tabla de correspondencia entre unas direcciones y otras.

Translacin de Direcciones de Red Oculta

Con este esquema todos los sistemas de la red interna comparten la misma direccin IP externa. Reviste
dos importantes inconvenientes: es imposible poner a disposicin de los usuarios externos ningn recurso
de la red interna, y obliga al Cortafuegos a usar su propia direccin externa como sustituta de la direccin
de todos los equipos que protege, con lo cual implcitamente estamos revelando la direccin del mismo y
lo hacemos susceptible de ser atacado directamente, adems de restarle flexibilidad al sistema.

Translacin de Puertos
El sistema de translacin de puertos (PAT) resuelve los dos problemas vistos en el esquema anterior,
convirtindolo en la mejor forma de implementar NAT. En primer lugar no es necesario usar la direccin
externa del Cortafuegos, sino que podemos crear otra direccin virtual para este propsito. En segundo
lugar, es posible hacer accesibles recursos internos a los usuarios del exterior.
El cortafuegos usa el puerto del cliente para identificar cada conexin entrante y construye a tal efecto una
tabla de traslaciones como la mostrada a continuacin:
La translacin de puertos se realiza de forma secuencial en algunos sistemas (como el de la tabla del
ejemplo anterior) y aleatoria, dentro de un rango de puertos vlidos, en otros.
Se trata, de los tres esquemas vistos, del ms conveniente, flexible, seguro y por tanto el ms ampliame nte
usado en la actualidad.

Redes Privadas Virtuales (VPN)

Uno de los servicios adicionales ms valorados de los Cortafuegos actuales es la posibilidad d
construccin de Redes privadas Virtuales (VPN o Virtual Private Networks) que permiten extender a las
comunicaciones externas la seguridad del interior de nuestra red.
Una VPN se construye en la cspide de la pila de protocolos ya existentes en la red usando protocolos
adicionales y fuertes cifrados y mecanismos de control de integridad, sustitucin o repeticin de la
informacin transmitida.
Existen diferentes formas de construir una VPN. Quizs la forma ms lgica y comnmente usada es
utilizar para ello el estndar IPSec., consistente en una porcin de las caractersticas de seguridad de IPv6
separadas y portadas para ser usadas en IPv4. Otras opciones son el estndar propuesto por Microsoft
llamado PPTP (Point to Point Tunneling Protocol) o L2TP (Layer 2 Tunneling Protocol), propuesto por
la IETF (Internet Engineering Task Force).
El motivo por el que se coloca el servidor de VPN en el cortafuegos es evidente: colocarlo detrs de l
hara que el trfico cifrado entrante y saliente generado por el servidor VPN no pudiese ser inspeccionado
totalmente y hubiera que obviar funciones como las de autenticacin, logging, escaneo de virus etc. sobre
todo este trfico. Colocando el servidor VPN detrs del cortafuegos lo hacemos vulnerable a ataques
directos.
El principal problema de las VPN es el elevado coste de recursos que supone el cifrado completo de las
comunicaciones lo cual reduce considerablemente el ancho de banda efectivo que somos capaces de tratar.
Una solucin para mitigar este problema es usar una tarjeta cifradora por hardware, las cuales suelen
reducir en aproximadamente un 50% el tiempo necesario en realizar la encriptacin.

Cisco VPN 3000 - Equipo Concentrator de VPN Dedicado

Reguladores de Ancho de Banda

Estos dispositivos, denominados Bandwidth Shapers o Throttlers, estn adquiriendo un auge asombroso
en los ltimos tiempos y son ya muchas las formas en las que nos los encontramos: programas o elementos
especficos o servicios de valor aadido en routers o cortafuegos.
Un modelador del ancho de banda se emplaza entre la red interna y la salida a Internet (el mismo lugar
del cortafuegos, de ah su inclusin en los mismos) y puede ser comparado con un guardia del trfico.
Mediante reglas, se definen distintas colas, cada una de las cuales alberga un tipo distinto de trfico: emails, transferencias de ficheros, trfico http, archivos musicales o de video, etc. Cada una de las colas de
trfico posee una prioridad distinta, de forma que podemos poner en primer lugar aquellas que
correspondan al trfico ms crtico para nuestra organizacin.
El modelador realiza la distincin entre los distintos tipos de trfico de formas muy diferentes :
inspeccionando directamente las cabeceras en busca de identificar un determinado protocolo, en funci n
de los puertos a los que son dirigidos los paquetes, etc. A veces esto no es suficiente. Un sistema bien
conocido para intercambio de ficheros como edonkey usa el puerto 80 para asemejar trfico web. Otros,
como KaZaa, desobedece los estndares y usa ms de un puerto simultneamente. Para estos casos los
Shapers usan mtodos similares a los de los antivirus y buscan patrones (signatures) que identifican estos
trficos.
Aunque pueda parecer que estos mtodos introducen ms retardo que desahogo en el trfico de la red no
es as en absoluto: los shapers analizan, al igual que los cortafuegos con inspeccin de estado, slo los
primeros paquetes de una conexin y una vez que esta es identificada la asignan a una cola de trfico en
particular hasta que esta finaliza.

Interfaz de Gestin de un Regulador de Ancho de Banda BlueCoat

Inspeccin de Contenidos
Es uno de los servicios adicionales ms interesantes que ofrecen los Cortafuegos a Nivel de Aplicaci n:
realizar una inspeccin de contenidos en el trfico HTTP y SMTP incluyendo los siguientes elementos:
o
o
o
o
o
o

Applets de Java
Cdigo ActiveX, JavaScript o CGI.
Inspeccin de virus (binarios y de macro).
Inspeccin del contenido de ciertos formatos (.zip, .doc, .xls, .ppt, etc.)
Bloqueo de contenidos en base a URLs, direcciones IP y/o palabras clave.
Bloqueo de comandos especficos de determinadas aplicaciones.

Autenticacin de Usuarios
Otro servicio bsico en los cortafuegos a nivel de aplicacin es la autenticacin de usuarios que en los
dispositivos a nivel de red debe limitarse a la direccin IP de procedencia de la peticin, con el
consiguiente riesgo de suplantacin, mientras que en estos pueden habilitarse servicios clsicos de
combinacin login / password.

Alta Disponibilidad y Balanceo de Carga

Como hemos visto en las descripciones anteriores, uno de los principales inconvenientes de los
cortafuegos es la disminucin del rendimiento que provocan, efecto que se ve agravado en algunos
esquemas ms que en otros. Los cortafuegos empresariales de gama alta suelen ofrecer una solucin para
paliar este problema al mismo tiempo que ofrecen redundancia mediante el balanceo de carga entre dos o
ms dispositivos cortafuegos. Logramos, de esta forma, mejorar el problema del rendimiento y ofrecer
alta disponibilidad y tolerancia a fallos en nuestra poltica de seguridad.

Interfaz de Gestin Web de un Firewall Sophos UTM

Firewall de Windows
Firewall de Windows viene con Windows (a partir de Windows XP SP1) y est activado de manera
predeterminada.
La siguiente es una imagen que muestra cmo funciona el firewall:

Se recomienda utilizar estos parmetros de configuracin de firewall:

o
o
o

El firewall est activado para todas las conexiones de red.

El firewall bloquea todas las conexiones entrantes, excepto las que se hayan permitido
especficamente.
El firewall est activado para todos los tipos de red (privada, pblica o dominio).

Activar y desactivar Firewall de Windows

1. Para abrir el Firewall de Windows, hacemos click en Buscar dentro del men Inicio, escribimos
firewall en el cuadro de bsqueda y despus hacemos clic en Firewall de Windows.
2. Hacemos clic en Activar o desactivar Firewall de Windows. Es posible que se nos solicite una
contrasea de administrador o que confirmemos nuestra eleccin.
3. Realizamos una de las acciones siguientes:
o Clic en Activar Firewall de Windows en cada tipo de red que deseemos proteger y despus
hacemos clic en Aceptar.
o Clic en Desactivar Firewall de Windows (no recomendado) en cada tipo de red que deseemos dejar
de proteger y, a continuacin, clic en Aceptar.

Descripcin de la configuracin de Firewall de Windows

Podemos personalizar cuatro opciones de configuracin para cada tipo de red (pblica, privada o dominio).
Para buscar estas opciones de configuracin, seguimos estos pasos:
A continuacin explicamos qu hace cada parmetro de configuracin y cundo debemos usarlo:
o

Activar Firewall de Windows . Esta configuracin est activada de forma predeterminada. Cuando
Firewall de Windows est activado, se bloquea la recepcin de informacin a travs del firewall

para la mayora de las aplicaciones. Si queremos permitir que una aplicacin reciba informac i n,
seguimos los pasos de la siguiente seccin para agregarla a la lista de aplicaciones permitidas.
Bloquear todas las conexiones entrantes, incluidas las de la lista de aplicaciones permitidas Con
esta opcin se bloquean todos los intentos de conexin al equipo no solicitados. Podemos utiliza r la
cuando necesitemos mxima proteccin para el equipo, como cuando estemos conectados con una
red pblica en un hotel o aeropuerto. Si bloqueamos todas las conexiones entrantes, an puedremos
ver la mayora de las pginas web, as como enviar y recibir mensajes de correo electrnico y
mensajes instantneos.
Notificarme cuando Firewall de Windows bloquee una nueva aplicacin . Si activamos esta casilla,
Firewall de Windows nos informar cada vez que bloquee una aplicacin nueva y nos ofrecer la
opcin de desbloquearla.
Desactivar Firewall de Windows (no recomendado). No deberamos utilizar esta opcin a menos
que se ejecutemos otro firewall en el equipo.

Permitir que una aplicacin reciba informacin a travs del

firewall
De manera predeterminada, Firewall de Windows bloquea la mayora de las aplicaciones para ayudar a
hacer que nuestro equipo sea ms seguro. Para funcionar correctamente, algunas aplicacio nes
probablemente requieran que les permitamos recibir informacin a travs del firewall.
1. Clic en Permitir una aplicacin o una caracterstica a travs de Firewall de Windows .
2. Clic en Cambiar configuracin. Es posible que se nos solicite una contrasea de administrador o
que confirmemos nuestra eleccin.
3. Activamos la casilla situada junto a la aplicacin que deseamos permitir, seleccionando los tipos
de red en los que deseamos permitir la comunicacin y, a continuacin, hacemos clic en Aceptar.

Abrir un puerto en Firewall de Windows

Si Firewall de Windows est bloqueando una aplicacin y deseamos permitir que esa aplicacin reciba
informacin a travs del firewall, normalmente podremos hacerlo seleccionando la aplicacin en la lista
de aplicaciones permitidas, como se describe en la seccin anterior.
No obstante, si la aplicacin no est incluida en la lista, probablemente debamos abrir un puerto (una
manera en que las aplicaciones reciben informacin a travs del firewall).
Por ejemplo, si deseamos jugar en red, es posible que debamos abrir un puerto para el programa de juego,
de manera que el firewall permita que la informacin del juego llegue a nuestro equipo. Los puertos
permanecen abiertos todo el tiempo, por lo que deberemos cerrarlos cuando ya no los necesitemos.
1. Clic en Configuracin avanzada. Es posible que se nos solicite una contrasea de administrador o
que confirmemos nuestra eleccin.
2. En el cuadro de dilogo Firewall de Windows con seguridad avanzada , en el panel de la izquierda,
clic en Reglas de entrada y, en el panel de la derecha, clic en Nueva regla.
3. Seguimos las instrucciones en pantalla.

Deteccin y Prevencin de Intrusos

Cmo todas las vulnerabilidades no son conocidas, as como tampoco son conocidos los posibles ataques,
se han desarrollado productos para detectar tanto las posibles vulnerabilidades de los programas instalados
en los ordenadores, del sistema operativo como de servicios de red, como los posibles ataques que se
pueden perpetrar.
Han surgido detectores de ataques, que actan como centinelas, esperando desde cambios en los permisos
de los ficheros y accesos no permitidos en los sistemas, hasta ataques conocidos en el flujo de datos que
circula por las redes.

Cortafuegos vs IDS
Es entonces cuando hablamos de los Intrusion Detection Systems (IDS) e Intrusion Prevention Systems
(IPS). De ahora en adelante, ambos sern referenciados como IDS.
Un IDS es un sistema que intenta detectar y alertar sobre las intrusiones intentadas en un sistema o en una
red, considerando intrusin a toda actividad no autorizada o que no debera ocurrir en ese sistema. Segn
esta definicin, muchos podran pensar que ese trabajo ya se realiza mediante los cortafuegos o firewa lls.
Pero ahora veremos las diferencias entre los dos componentes y como un IDS es un buen compleme nto
de los cortafuegos.
La principal diferencia, es que un cortafuegos es una herramienta basada en la aplicacin de un sistema
de restricciones y excepciones sujeta a muchos tipos de ataques, desde los ataques tunneling(saltos de
barrera) a los ataques basados en las aplicaciones. Los cortafuegos filtran los paquetes y permiten su paso
o los bloquean por medio de una tabla de decisiones basadas en el protocolo de red utilizado.
Las reglas verifican contra una base de datos que determina si est permitido un protocolo determinado y
permite o no el paso del paquete basndose en atributos tales como las direcciones de origen y de destino,
el nmero de puerto, etc... Esto se convierte en un problema cuando un atacante enmascara el trfico que
debera ser analizado por el cortafuegos o utilizar un programa para comunicarse directamente con una
aplicacin remota. Estos aspectos se escapan a las funcionalidades previstas en el diseo inicial de los
cortafuegos. Es aqu donde entran los IDS, ya que estos son capaces de detectar cuando ocurren estos
fallos.

Definiciones
Como se ha descrito en el apartado anterior, un IDS es un software que monitorea el trfico de una red y
los sistemas de una organizacin en busca de seales de intrusin, actividades de usuarios no autorizados
y la ocurrencia de malas prcticas, como en el caso de los usuarios autorizados que intentan sobrepasar
sus lmites de restriccin de acceso a la informacin.
Algunas de las caractersticas deseables para un IDS son:
o
o
o
o
o
o

Deben estar continuamente en ejecucin con un mnimo de supervisin.

Se deben recuperar de las posibles cadas o problemas con la red.
Debe poderse analizar l mismo y detectar si ha sido modificado por un atacante.
Debe utilizar los mnimos recursos posibles.
Debe estar configurado acorde con la poltica de seguridad seguida por la organizacin.
Debe de adaptarse a los cambios de sistemas y usuarios y ser fcilmente actualizable.

Tipos de IDS

Existen varios tipos de IDS, clasificados segn el tipo de situacin fsica, del tipo de deteccin que posee
o de su naturaleza y reaccin cuando detecta un posible ataque.

Por situacin
Segn la funcin del software IDS, estos pueden ser:
o
o

NIDS (Network Intrusion Detection System)

HIDS (Host Intrusion Detection System)

Los NIDS analizan el trfico de la red completa, examinando los paquetes individualme nte,
comprendiendo todas las diferentes opciones que pueden coexistir dentro de un paquete de red y
detectando paquetes armados maliciosamente y diseados para no ser detectados por los cortafuegos.
Pueden buscar cual es el programa en particular del servidor web al que se est accediendo y con qu
opciones y producir alertas cuando un atacante intenta explotar algn fallo en este programa. Los NIDS
tienen dos componentes:
o
o

Un sensor: situado en un segmento de la red, la monitoriza en busca de trfico sospechoso

Una consola: recibe las alarmas del sensor o sensores y dependiendo de la configuracin reacciona
a las alarmas recibidas.

Las principales ventajas del NIDS son:

o
o
o

Detectan accesos no deseados a la red.

No necesitan instalar software adicional en los servidores en produccin.
Fcil instalacin y actualizacin por que se ejecutan en un sistema dedicado.

Como principales desventajas se encuentran:

o
o
o

Examinan el trfico de la red en el segmento en el cual se conecta, pero no puede detectar un ataque
en diferentes segmentos de la red. La solucin ms sencilla es colocar diversos sensores.
Pueden generar trfico en la red.
Ataques con sesiones encriptadas son difciles de detectar.

En cambio, los HIDS analizan el trfico sobre un servidor o una PC, se preocupan de lo que est
sucediendo en cada host y son capaces de detectar situaciones como los intentos fallidos de acceso o
modificaciones en archivos considerados crticos. Las ventajas que aporta el HIDS son:
o
o
o
o
o
o

Herramienta potente, registra comandos utilizados, ficheros abiertos,...

Tiende a tener menor nmero de falsos-positivos que los NIDS, entendiendo falsos-positivos a los
paquetes etiquetados como posibles ataques cuando no lo son.
Menor riesgo en las respuestas activas que los IDS de red.
Los inconvenientes son:
Requiere instalacin en la mquina local que se quiere proteger, lo que supone una carga adicional
para el sistema.
Tienden a confiar en las capacidades de auditora y logging de la mquina en s.

Segn los modelos de deteccin

Los dos tipos de detecciones que pueden realizar los IDS son:

o
o

Deteccin del mal uso.

Deteccin del uso anmalo.

La deteccin del mal uso involucra la verificacin sobre tipos ilegales de trfico de red, por ejemplo,
combinaciones dentro de un paquete que no se podran dar legtimamente. Este tipo de deteccin puede
incluir los intentos de un usuario por ejecutar programas sin permiso (por ejemplo, sniffers). Los
modelos de deteccin basado en el mal uso se implementan observando cmo se pueden explotar los
puntos dbiles de los sistemas, describiendolos mediante unos patrones o una secuencia de eventos o datos
(firma) que sern interpretados por el IDS.
La deteccin de actividades anmalas se apoya en estadsticas tras comprender cual es el trfico normal
en la red del que no lo es. Un claro ejemplo de actividad anmala sera la deteccin de trfico fuera de
horario de oficina o el acceso repetitivo desde una mquina remota (rastreo de puertos). Este modelo de
deteccin se realiza detectando cambios en los patrones de utilizacin o comportamiento del sistema. Esto
se consigue realizando un modelo estadstico que contenga una mtrica definida y compararlo con los
datos reales analizados en busca de desviaciones estadsticas significantes.

Segn su naturaleza
Un tercer y ltimo tipo bsico de clasificacin sera respecto a la reaccin del IDS frente a un posible
ataque:
o
o

Pasivos.
Reactivos.

Los IDS pasivos detectan una posible violacin de la seguridad, registran la informacin y genera una
alerta.
Los IDS reactivos estn diseados para responder ante una actividad ilegal, por ejemplo, sacando al
usuario del sistema o mediante la reprogramacin del cortafuegos para impedir el trfico desde una fuente
hostil. A este tipo de sistemas se los suele llamar Intrusion Prevention System (IPS), o Sistema de
Prevencin de Intrusiones.

Topologas de IDS
Existen muchas formas de aadir las herramientas IDS a nuestra red, cada una de ellas tiene su ventaja y
su desventaja. La mejor opcin debera ser un compendio entre coste econmico y propiedades deseadas,
manteniendo un alto nivel de ventajas y un nmero controlado de desventajas, todo ello de acuerdo con
las necesidades de la organizacin.
Por este motivo, las posiciones de los IDS dentro de una red son varias y aportan diferentes caractersticas.
A continuacin vamos a ver diferentes posibilidades en una misma red. Imaginemos que tenemos una red
donde un cortafuegos nos divide la Internet de la zona desmilitarizada (DMZ Demilitarized Zone), y
otro que divide la DMZ de la intranet de la organizacin como se muestra en el dibujo 1. Por zona
desmilitarizada entendemos la zona que debemos mostrar al exterior, la zona desde la cual mostramos
nuestros servicios o productos:

Red con IDS simple

Si situamos un IDS antes del cortafuegos exterior permitira detectar el rastreo de puertos de
reconocimiento que seala el comienzo de una actividad maliciosa, y obtendramos como ventaja un aviso
prematuro. Sin embargo, si los rastreos no son seguidos por un ataque real, se generar un numeroso
nmero de alertas innecesarias con el peligro de comenzar a ignorarlas.
Si optamos por colocar el IDS en la zona desmilitarizada (DMZ) tendramos como ventaja la posibilidad
de adecuar la base de datos de atacantes del NIDS para considerar aquellos ataques dirigidos a los sistemas
que estn en la DMZ (servidor web y servidor de correo) y configurar el cortafuegos para bloquear ese
trfico.
As mismo, un NIDS dentro de la red, por ejemplo, de Recursos Humanos podra monitorear todo el trfico
para fuera y dentro de esa red. Este NIDS no debera ser tan poderoso como los comentados anteriorme nte,
puesto que el volumen y el tipo de trfico es ms reducido. El resultado lo podemos visualizar el segundo
dibujo:

HoneyPots
Como se analiz anteriormente, existen varias tcnicas para detectar que existe un ataque en curso, y
reaccionar adecuadamente a l.
Pero existe un enfoque mucho ms sencillo para detectar a la mayora de los atacantes y malware que
puede estar funcionando en nuestra red.
Se basa en la premisa de que, si disponemos de un dispositivo que no tiene absolutamente ninguna funci n
real para la infraestructura, es decir, que no cumple ninguna funcin, ni como cliente, ni como servidor...
cualquier intento de conexin hacia l podra considerarse como un intento de ataque. Por qu? Porque
si ese equipo no brinda ningn servicio a nuestra red, el hecho de que alguien est intentando conectarse
debe significar que esa persona est buscando posibles vctimas para un ataque.
Tambin podra tratarse de un malware, que ya ha infectado alguno de nuestros dispositivos, y ahora se
encuentra en proceso de replicacin hacia otros dispositivos de la misma red.

Este mtodo de deteccin de intrusos es relativamente fcil de implementar, y se conoce como

HoneyPot, porque lo que estamos instalando es una especie de Tarro de Miel (en ingls, HoneyPot)
para atraer a posibles atacantes.
Tambin podramos configurar este dispositivo para que parezca ser un sistema muy vulnerable, por
ejemplo, que simule tener instalado un sistema operativo Microsoft Windows 2000, sin parches de
seguridad, y con el servidor web Internet Information Server (IIS) en su versin 4.
Una vez hecho esto, podremos registrar cualquier intento de conexin a nuestro HoneyPot como un intento
de ataque, y reaccionar adecuadamente.

Implementacin de Mejoras
Por otra parte, el registro de la actividad del atacante que interacta con el honeypot muestra nuevas
tcnicas o tendencias de ataques de los que podemos aprender, y por lo tanto, permite planificar e
implantar las medidas de seguridad oportunas a corto, medio e incluso a largo plazo para paliar posibles
futuros ataques sobre los sistemas productivos de la empresa.

Clasificacin
Existen diversas formas de clasificar los honeypots. Aqu lo haremos basndonos en dos de sus
propiedades principales: la localizacin concreta dentro de una red y la interaccin que permite con el
atacante.

Segn la Localizacin
Pueden situarse en un entorno de:
Produccin
El objetivo que se pretende alcanzar al implantar un honeypot en una red en produccin no es otro que la
obtencin de informacin sobre las tcnicas empleadas para tratar de vulnerar los sistemas que componen
dicha infraestructura.
El abanico de posibilidades que nos ofrece un honeypot en una red en produccin es muy amplio. Desde
la posibilidad de ubicar el honeypot en el segmento de la red de servidores internos de la compaa, con
el objetivo de detectar posibles accesos por parte de usuarios internos a recursos crticos de la organizac i n
(por ejemplo al fichero de nminas), hasta la publicacin de un servicio web con idntica configuracin y
diseo que el mismo servicio que est en produccin o preproduccin.
El mayor inconveniente que supone esta eleccin es el peligro que supone para los sistemas organizativos
el permitir (incluso provocar) que el trfico malintencionado conviva con el legtimo.
Investigacin
En este caso, el principal objetivo es la recopilacin de la mayor cantidad de informacin que permita al
investigador poder analizar las nuevas tendencias en los mtodos de ataque, as como los principa les
objetivos perseguidos y los distintos orgenes de los ataques. El resultado de este anlisis es recogido en
informes cuyo objetivo es respaldar la toma de decisiones en la implantacin de las medidas de seguridad
preventivas.

La principal ventaja de situar el honeypot en una red independiente, dedicada nicamente a la

investigacin, es la separacin del sistema vulnerable del resto de sistemas productivos y evitar as la
posibilidad de sufrir un ataque a travs del propio honeypot. Por el contrario, el inconveniente es la
cantidad de recursos necesarios. Sobre la arquitectura a emplear profundizaremos en prximos posts.

Segn la Interaccin
Otro mtodo de clasificacin de los tarros de miel es el que define la INTERACCIN con el atacante.
En este caso, los honeypots se agrupan en dos tipos:
Baja Interaccin
El honeypot emula un servicio, una aplicacin o un sistema vulnerable. Sus caractersticas principales son
su sencilla instalacin y configuracin, junto con lo limitado de su capacidad para obtener diferentes tipos
de datos. Unos ejemplos de honeypots de este tipo son:
Honeyd: Quizs uno de los honeypots ms sencillos y populares. Es un demonio que crea hosts virtua les
en una red. Los anfitriones pueden ser configurados para ejecutar servicios arbitrarios, y su
comportamiento puede ser adaptado para que simule estar en ejecucin en ciertos sistemas operativos.
HoneyC: El objetivo de este honeypot es la identificacin de servidores web maliciosos en la red. Para
ello emula varios clientes y recaba la mayor cantidad posible de informacin de las respuestas de los
servidores cuando stos contestan a sus solicitudes de conexin. HoneyC es ampliable de diversas formas:
pueden utilizarse diferentes clientes, sistemas de bsqueda y algoritmos de anlisis.
Nephentes: Honeypot de baja interaccin que pretende emular vulnerabilidades conocidas para recopilar
informacin sobre posibles ataques. Nepenthes est diseado para emular vulnerabilidades que los
gusanos utilizan para propagarse y cuando estos intentan aprovecharlas, captura su cdigo para su
posterior anlisis.
Honeytrap: Este honeypot est destinado a la observacin de ataques contra servicios de red. En contraste
con otros honeypots, que se suelen centrar en la recogida de malware, el objetivo de Honeytrap es la
captura de exploits.
Glastopf: Emula miles de vulnerabilidades para recopilar datos de los ataques contra aplicaciones web. La
base para la recoleccin de informacin es la respuesta correcta que se le ofrece al atacante cuando intenta
explotar la aplicacin web. Es fcil de configurar y una vez indexado por los buscadores, los intentos de
explotacin de sus vulnerabilidades se multiplican.
Alta Interaccin
En este caso el honeypot es una aplicacin con la cual se puede interactuar y que responde como se espera,
con la diferencia de que su diseo est orientado a realizar un registro exhaustivo de la actividad que se
lleva a cabo sobre ella y de que la informacin que contiene no es relevante en ningn caso.
HI-HAT (High Interaction Honeypot Analysis Toolkit): Herramienta que transforma aplicaciones php en
aplicaciones honeypot de alta interaccin. Adems ofrece una interfaz web que permite consultar y
monitorizar los datos registrados.
HoneyBow: Herramienta de recopilacin de malware que puede integrarse con el honeypot de baja
interaccin Nephentes para crear una herramienta de recoleccin mucho ms completa.

Sebek: Funciona como un HIDS (Host-based Intrusion Detection System) permitiendo capturar una gran
variedad de informacin sobre la actividad en un sistema ya que acta a muy bajo nivel. Es una
arquitectura cliente-servidor, con capacidad multiplataforma, que permite desplegar honeypots cliente en
sistemas Windows, Linux, Solaris, *BSD, etc., que se encargan de la captura y el envo de la actividad
recopilada hacia el servidor Sebek. Podramos decir que forma parte de una tercera generacin de
honeypots.
Capture-HPC: Del tipo cliente, como HoneyC, identifica servidores potencialmente maliciosos
interactuando con ellos, utilizando una mquina virtual dedicada y observando cambios de sistema no
previstos o autorizados.

Bibliografa
Este texto est basado en Cortafuegos. Comparativa entre las Distintas Generaciones y Funcionalidades
Adicionales (Versin 1.1), escrito por Jos Mara Morales Vzquez