Vous êtes sur la page 1sur 25

Es la combinacin de diferentes componentes: dispositivos fsicos (hardware), programas (software) par aplicar una poltica de seguridad de una red,

haciendo efectiva una estrategia particular, para restringir el acceso entre sta red y la red pblica a la cual est conectada.

Se utilizan con frecuencia para evitar que los usuarios desautorizados de Internet tengan acceso a las redes privadas conectadas con Internet, especialmente intranets, para controlar las comunicaciones, permitindolas o prohibindolas segn las polticas de red que haya definido la organizacin responsable de la red.

Su funcionamiento es indicado por la recomendacin RFC 2979, que define las caractersticas de comportamiento y requerimientos de interoperabilidad. Todos los mensajes que entran o salen de la Intranet pasan a travs del cortafuegos, que examina cada mensaje y bloquea los que no cumplen los criterios de seguridad especificados. Un cortafuegos no elimina problemas de virus del ordenador, sino que cuando se utiliza conjuntamente con actualizaciones regulares del sistema operativo y un buen software antivirus, dara proteccines adicionales para tu ordenador o red.

Cortafuegos de Software y Hardware Cortafuegos de Software Cortafuegos de Hardware

Si se configuran correctamente, ambas soluciones de seguridad protegen a los usuarios frente a los hackers, los craqueadores, los ladrones cibernticos, los empleados disgustados y otros atacantes en potencia. A pesar de los aspectos comunes, los cortafuegos de hardware y software son muy diferentes. El hecho de elegir la opcin incorrecta podra hacerle gastar mucho ms dinero del pensado.

Los cortafuegos de hardware proporcionan una fuerte proteccin contra la mayora de las formas de ataque que vienen del mundo exterior y se pueden comprar como producto independiente o en routers de banda ancha. Desafortunadamente, luchando contra virus, gusanos y Troyanos, un cortafuegos de hardware puede ser menos eficaz que un cortafuegos de software, pues podra no detectar gusanos en emails. Para simplificar, imagine que un cortafuegos de hardware es una serie de cajas de red especializadas que contienen hardware y software personalizados. Si se configuran correctamente, los cortafuegos de hardware constituyen una barrera protectora que mantiene ocultos los equipos de una organizacin con respecto al mundo exterior. Tambin pueden servir de pantalla entre un departamento de una empresa (por ejemplo, el de finanzas) y otro (como pueda ser el de recursos humanos).

En muchos casos, los cortafuegos de hardware son soluciones magnficas para organizaciones que desean que un mismo paraguas de seguridad proteja varios sistemas. Entonces, cul es el aspecto negativo? Como se trata de dispositivos especializados, suelen ser caros, complejos, difciles de actualizar y algo intrincados a la hora de configurarlos. En otras palabras, estn ms pensados para administradores de TI que cuentan con la instruccin necesaria para instalar, configurar y supervisar este tipo de dispositivos. Los cortafuegos de hardware de bajo coste, que ahora se encuentran en conmutadores de red y enrutadores domsticos, tambin tienen sus limitaciones. Por ejemplo, si utiliza un porttil mientras viaja por carretera, el sistema dejar de estar protegido por el cortafuegos que tenga instalado en casa.

Al contrario que sus parientes de hardware, los cortafuegos de software estn ms pensados para los usuarios individuales o para las pequeas empresas que cuentan con conexiones de acceso telefnico o de banda ancha. En lugar de usar un aparato de hardware personalizado y caro, los cortafuegos de software se instalan en cada servidor de grupos de trabajo, porttil o equipo de sobremesa de forma individual. Incluso si una organizacin dispone de cortafuegos de hardware, es bueno que los usuarios instalen cortafuegos de software en sus propios sistemas. El motivo principal es que los cortafuegos de software son especialmente tiles para los trabajadores mviles que necesitan seguridad digital cuando trabajan fuera de la red corporativa. Esto es porque la solucin de seguridad completa es, en esencia, una nica aplicacin que se ejecuta en un nico equipo.

Otra ventaja importante es que los cortafuegos de software se activan fcilmente. Los usuarios slo tienen que descargar los parches, las soluciones, las actualizaciones y las mejoras desde el sitio Web del proveedor del cortafuegos o bien el proveedor mismo les enviar las novedades por Internet. La desventaja de los cortafuegos de software es que protegen solamente al ordenador en el que estn instalados y no protegen una red.


1)

Existen 4 tipos de Firewall o Cortafuegos


Cortafuegos de capa de red o de filtrado de paquetes . Cortafuegode Sesion o Stateful Application inspection Cortafuegos de capa de aplicacin Cortafuegos personales

2)

3)

4)

Los filtros son programas que generalmente se encuentran situados en los sistemas que proveen conectividad entre redes, es decir los puntos de acceso a la red, routers, firewalls y gateways (aunque esto no es as para todos los casos). Estos efectan un anlisis para determinar el destino del paquete completo en base a la informacin contenida en el encabezado de los paquetes que llegan a dichos sistemas y en funcin de un conjunto de reglas. De aqu podra decidir desechar el paquete, es decir, no permitir que contine viajando por la red en la direccin original (entrando o saliendo); aceptar el paquete, con lo cual continuara atravesando la red, o hacer algo ms (por ejemplo, redireccionarlo a otro punto de la red). Las reglas especifican patrones o propiedades en los datos del encabezado de un paquete asociados con la accin a tomar con dicho paquete. Cada paquete que atraviesa el filtro es comparado contra la lista de reglas tambin conocida como cadena de reglas. Para decidir el destino de un paquete, el filtro busca, a travs del conjunto de reglas, alguna que coincida con el contenido del encabezado del paquete.

Es el firewall ms sencillo, se basa en permitir o denegar el trfico basado en el encabezado de cada paquete. Como no guarda los estados de una conexin, es decir no tiene el concepto de una sesin. Por lo anterior no puede reconocer un ataque o evitar un DoS (Denial of Service). La mayora de dispositivos pequeos o enrutadores para el hogar o SOHO, incluso los enrutadores CISCO viene con la tecnologa de filtrado de paquetes.

Funciona a nivel de red (capa 3 del modelo OSI, capa 2 del stack de protocolos TCP/IP) como filtro de paquetes IP. A este nivel se pueden realizar filtros segn los distintos campos de los paquetes IP: direccin IP origen, direccin IP destino. A menudo en este tipo de cortafuegos se permiten filtrados segn campos de nivel de transporte (capa 3 TCP/IP, capa 4 Modelo OSI) como el puerto origen y destino, o a nivel de enlace de datos (NO existe en TCP/IP, capa 2 Modelo OSI) como la direccin MAC. Las reglas acerca del filtrado de paquetes a travs de un ruteador para rehusar/permitir el trafico esta basado en un servicio en especifico, desde entonces muchos servicios vierten su informacin en numerosos puertos TCP/UDP conocidos.

Por ejemplo, un servidor Telnet esta a la espera para conexiones remotas en el puerto 23 TCP y un servidor SMTP e Para bloquear todas las entradas de conexin Telnet, el ruteador simplemente descarta todos los paquetes que contengan el valor del puerto destino TCP igual a 23. Para restringir las conexiones Telnet a un limitado numero de servidores internos, el ruteador podr rehusar el paso a todos aquellos paquetes que contengan el puerto destino TCP igual a 23 y que no contengan la direccin destino IP de uno de los servidores permitidos.

Algunas caractersticas tpicas de filtrado que un administrador de redes podra solicitar en un ruteador filtra-paquetes para perfeccionar su funcionamiento serian:

Permitir la entrada de sesiones Telnet nicamente a una lista especifica de servidores internos. Permitir la entrada de sesiones FTP nicamente a los servidores internos especificados. Permitir todas las salidas para sesiones Telnet. Permitir todas las salidas para sesiones FTP. Rehusar todo el trafico UDP.

Desventajas: No ofrece autenticacin, Vulnerable a ataques


como Spoofing (cambio de direccin del remitente). Difcil de administrar en ambientes complejos.

A diferencia del anterior el Stateful Application permite abrir "Puertas" a cierto tipo de trfico basado en una conexin y volver a cerrar la puerta cuando la conexin termina. Adaptan las reglas bsicas de firewall para acomodarse a las necesidades especficas de cada protocolo. El Stateful Firewall mantiene un registro de las conexiones, las sesiones y su contexto. Este mdulo tiene su asiento entre la capa de Data Link y Network. Adicionar el seguimiento de estado (Stateful) a las conexiones incrementa la seguridad del filtrado bsico pero no tiene nada que ver con el contenido del paquete o la implicacin del trfico.

Esto significa que una vez establecida una conexin vlida puedo enviar cualquier tipo de trfico y el firewall no se dar cuenta. Es decir le doy entrada un visitante, conozco el visitante pero no se que carga lleva en la maleta o con que propsito entr al edificio. Ventajas: Alto rendimiento porque como opera solo a nivel de sesin y no de aplicacin no tiene que inspeccionar todo el paquete de datos, y por lo tanto con poco hardware maneja un buen ancho de banda. Volviendo a la analoga de la portera es fcil pues inspecciona escarapelas pero no chequea huella digital ni revisa los bolsos. Desventajas: No provee autenticacin por usuario ni revista toda la trama del paquete, solo los encabezados.

El filtrado de aplicaciones permite filtrar las comunicaciones de cada aplicacin. El filtrado de aplicaciones opera en el nivel 7 (capa de aplicaciones) del modelo OSI, a diferencia del filtrado simple de paquetes (nivel 4). El filtrado de aplicaciones implica el conocimiento de los protocolos utilizados por cada aplicacin. Como su nombre lo indica, el filtrado de aplicaciones permite filtrar las comunicaciones de cada aplicacin. El filtrado de aplicaciones implica el conocimiento de las aplicaciones en la red y un gran entendimiento de la forma en que en sta se estructuran los datos intercambiados (puertos, etc.). Tambin conocido como Application Gateway. Es un firewall que es capaz de inspeccionar hasta el nivel de aplicacin. No solo la validez de la conexin sino todo el contenido de la trama. Es considerado como el ms seguro. Todas las conexiones van a travs del firewall.

Un firewall que ejecuta un filtrado de aplicaciones se denomina generalmente "pasarela de aplicaciones" o ("proxy"), ya que acta como rel entre dos redes mediante la intervencin y la realizacin de una evaluacin completa del contenido en los paquetes intercambiados. Por ejemplo, si se trata de trfico HTTP se pueden realizar filtrados segn la URL a la que se est intentando acceder. Un cortafuegos a nivel 7 de trfico HTTP es normalmente denominado Proxy y permite que los computadores de una organizacin entren a Internet de una forma controlada. Por lo tanto, el proxy acta como intermediario entre los ordenadores de la red interna y la red externa, y es el que recibe los ataques. Adems, el filtrado de aplicaciones permite la destruccin de los encabezados que preceden los mensajes de aplicaciones, lo cual proporciona una mayor seguridad.

Un Application Firewall se distingue por el uso de los Proxies para servicios como FTP, Telnet etc. que previene el acceso directo a servicios al interior de la red. Este tipo de firewall es muy efectivo y, si se ejecuta correctamente, asegura una buena proteccin de la red. Por otra parte, el anlisis detallado de los datos de la aplicacin requiere una gran capacidad de procesamiento, lo que a menudo implica la ralentizacin de las comunicaciones, ya que cada paquete debe analizarse minuciosamente. Adems, el proxy debe interpretar una gran variedad de protocolos y conocer las vulnerabilidades relacionadas para ser efectivo. Finalmente, un sistema como este podra tener vulnerabilidades debido a que interpreta pedidos que pasan a travs de sus brechas. Por lo tanto, el firewall (dinmico o no) debera disociarse del proxy para reducir los riesgos de comprometer al sistema.

El trmino firewall personal se utiliza para los casos en que el rea protegida se limita al ordenador en el que el firewall est instalado. Es un caso particular de cortafuegos que se instala como software en un computador, filtrando las comunicaciones entre dicho computador y el resto de la red y viceversa. Un firewall personal permite controlar el acceso a la red de aplicaciones instaladas en el ordenador y prevenir notablemente los ataques de programas como los troyanos, es decir, programas dainos que penetran en el sistema para permitir que un hacker controle el ordenador en forma remota. Los firewalls personales permiten subsanar y prevenir intrusiones de aplicaciones no autorizadas a conectarse a su ordenador.

Protege de intrusiones. El acceso a ciertos segmentos de la red de una organizacin, slo se permite desde mquinas autorizadas de otros segmentos de la organizacin o de Internet. Proteccin de informacin privada. Permite definir distintos niveles de acceso a la informacin de manera que en una organizacin cada grupo de usuarios definido tendr acceso slo a los servicios y la informacin que le son estrictamente necesarios. Optimizacin de acceso.- Identifica los elementos de la red internos y optimiza que la comunicacin entre ellos sea ms directa. Esto ayuda a reconfigurar los parmetros de seguridad.

Un cortafuegos no puede proteger contra aquellos ataques cuyo trfico no pase a travs de l. El cortafuegos no puede proteger de las amenazas a las que est sometido por ataques internos o usuarios negligentes. El cortafuegos no puede prohibir a espas corporativos copiar datos sensibles en medios fsicos de almacenamiento (diskettes, memorias, etc) y sustraigan stas del edificio. El cortafuegos no puede proteger contra los ataques de Ingeniera social

El cortafuegos no puede proteger contra los ataques posibles a la red interna por virus informticos a travs de archivos y software. La solucin real est en que la organizacin debe ser consciente en instalar software antivirus en cada mquina para protegerse de los virus que llegan por cualquier medio de almacenamiento u otra fuente. El cortafuegos no protege de los fallos de seguridad de los servicios y protocolos de los cuales se permita el trfico. Hay que configurar correctamente y cuidar la seguridad de los servicios que se publiquen a Internet.