Una firewall es una
barrera que controla el flujo del tráfico entre los host, los sistemas de
redes, y los dominios. Existen diferentes clases, las más débiles; y las más
seguras, que deberían bloquear el traspaso de cualquier tipo de datos.
Un Firewall es un tipo de tecnología que ayuda a prevenir el acceso de intrusos a una computadora, ya sea por medio de Internet o por medio de una Red Interna; además de controlar la entrada o salida de datos, no autorizada, a tu sistema.
Un Firewall es un tipo de tecnología que ayuda a prevenir el acceso de intrusos a una computadora, ya sea por medio de Internet o por medio de una Red Interna; además de controlar la entrada o salida de datos, no autorizada, a tu sistema.
.jpg)
Firewall: Elemento basado en
Hardware, Software o en una combinación de ambos, que controla el flujo de
datos que entra y sale de una red.
El firewall es un sistema que refuerza las políticas
de control de acceso. Estas políticas regulan el tráfico entre una red interna
(de confianza) y otra red externa (de dudosa confianza). Normalmente, los
firewall se utilizan para proteger a las redes internas del acceso no
autorizado vía Internet o mediante otra red externa.
Es un elemento de
hardware o software utilizado en las redes para prevenir algunos tipos de
comunicaciones prohibidas por las políticas de red, las cuales se fundamentan
en las necesidades del usuario. La configuración correcta de cortafuegos se
basa en conocimientos considerables de los protocolos de red y de la seguridad
de la computadora. Errores pequeños pueden dejar a un cortafuego sin valor como
herramienta de seguridad.
Un cortafuegos (firewall en inglés)
es una parte de un sistema o una red que está diseñada para bloquear el acceso
no autorizado, permitiendo al mismo tiempo comunicaciones autorizadas.
Se trata de un dispositivo o conjunto de dispositivos
configurados para permitir, limitar, cifrar, descifrar, el tráfico entre los
diferentes ámbitos sobre la base de un conjunto de normas y otros criterios.
Un cortafuegos correctamente configurado añade una
protección necesaria a la red, pero que en ningún caso debe considerarse
suficiente. La seguridad informática abarca más ámbitos y más niveles de trabajo y
protección.
Algunos conceptos importantes:
- Un Firewall puede impedir que un usuario no autorizado
acceda a tu PC, independientemente de donde provenga él, es decir, puede
provenir de la Web o de la red local.
- Bloquea algunos programas troyanos y otras aplicaciones que quieren dañar el sistema.
Mientras te mantienes
conectado a la Web, constantemente estás enviando y recibiendo información en
pequeñas unidades llamadas paquetes. Un paquete contiene la dirección de quien
envía el mensaje, y del receptor, junto con una porción de información, una petición,
y un comando. Pero al igual que con los mail, no siempre recibes en tu
computadora todos los paquetes de información que quisieras, ya que a veces,
algunos son completamente innecesarios.
Un firewall examina
cada paquete enviado desde o hacia tu máquina, para analizar si cumple con una
serie de criterios; así, luego puede decidir si permite o no el paso del
paquete de información.
Historia.
Primera
generación – cortafuegos de red: filtrado de paquetes
El
primer documento publicado para la tecnología firewall data de 1988, cuando el
equipo de ingenieros Digital Equipment Corporation (DEC) desarrolló los
sistemas de filtro conocidos como cortafuegos de filtrado de paquetes. Este sistema, bastante básico, fue la primera generación de
lo que se convertiría en una característica más técnica y evolucionada de la
seguridad de Internet. En AT&T Bell, Bill Cheswick y Steve Bellovin,
continuaban sus investigaciones en el filtrado de paquetes y desarrollaron un
modelo de trabajo para su propia empresa, con base en su arquitectura original
de la primera generación.
El
filtrado de paquetes actúa mediante la inspección de los paquetes (que
representan la unidad básica de transferencia de datos entre ordenadores en
Internet). Si un paquete coincide con el conjunto de reglas del filtro, el
paquete se reducirá (descarte silencioso) o será rechazado (desprendiéndose de
él y enviando una respuesta de error al emisor). Este tipo de filtrado de
paquetes no presta atención a si el paquete es parte de una secuencia existente
de tráfico. En su lugar, se filtra cada paquete basándose únicamente en la
información contenida en el paquete en sí (por lo general utiliza una
combinación del emisor del paquete y la dirección de destino, su protocolo, y,
en el tráfico TCP y UDP, el número de puerto). Los protocolos TCP y UDP
comprenden la mayor parte de comunicación a través de Internet, utilizando por
convención puertos bien conocidos para determinados tipos de tráfico, por lo
que un filtro de paquetes puede distinguir entre ambos tipos de tráfico (ya
sean navegación web, impresión remota, envío y recepción de correo electrónico,
transferencia de archivos…); a menos que las máquinas a cada lado del filtro de
paquetes son a la vez utilizando los mismos puertos no estándar.
El
filtrado de paquetes llevado a cabo por un cortafuegos actúa en las tres
primeras capas del modelo de referencia OSI, lo que significa que todo el
trabajo lo realiza entre la red y las capas físicas. Cuando el
emisor origina un paquete y es filtrado por el cortafuegos, éste último
comprueba las reglas de filtrado de paquetes que lleva configuradas, aceptando
o rechazando el paquete en consecuencia. Cuando el paquete pasa a través de
cortafuegos, éste filtra el paquete mediante un protocolo y un número de puerto
base (GSS). Por ejemplo, si existe una norma en el cortafuegos para bloquear el
acceso telnet, bloqueará el protocolo IP para el número de puerto 23.
Segunda
generación – cortafuegos de estado
Durante
1989 y 1990, tres colegas de los laboratorios AT&T Bell, Dave Presetto,
Janardan Sharma, y Nigam Kshitij, desarrollaron la tercera generación de
servidores de seguridad. Esta tercera generación cortafuegos tiene en cuenta
además la colocación de cada paquete individual dentro de una serie de paquetes.
Esta tecnología se conoce generalmente como la
inspección de estado de paquetes, ya que mantiene registros de todas las
conexiones que pasan por el cortafuegos, siendo capaz de determinar si
un paquete indica el inicio de una nueva conexión, es parte de una conexión
existente, o es un paquete erróneo. Este tipo de cortafuegos pueden ayudar a
prevenir ataques contra conexiones en curso o ciertos ataques de denegación de
servicio.
A
diferencia del anterior el Stateful Application permite abrir
"Puertas" a cierto tipo de tráfico basado en una conexión y volver a
cerrar la puerta cuando la conexión termina.
Adaptan
las reglas básicas de firewall para acomodarse a las necesidades específicas de
cada protocolo. El Stateful Firewall mantiene un registro de las conexiones,
las sesiones y su contexto. Este módulo tiene su asiento entre la capa de Data
Link y Network.
Adicionar
el seguimiento de estado (Stateful) a las conexiones incrementa la seguridad
del filtrado básico pero no tiene nada que ver con el contenido del paquete o
la implicación del tráfico.
Esto
significa que una vez establecida una conexión válida puedo enviar cualquier
tipo de tráfico y el firewall no se dará cuenta. Es decir le doy entrada un
visitante, conozco el visitante pero no se que carga lleva en la maleta o con
que propósito entró al edificio.
Tercera
generación - cortafuegos de aplicación
Son
aquellos que actúan sobre la capa de aplicación del modelo OSI. La clave de un
cortafuegos de aplicación es que puede entender ciertas aplicaciones y protocolos
(por ejemplo: protocolo de transferencia de ficheros, DNS o navegación web), y
permite detectar si un protocolo no deseado se coló a través de un puerto no
estándar o si se está abusando de un protocolo de forma perjudicial.
Un cortafuegos de aplicación es mucho más seguro y fiable cuando se
compara con un cortafuegos de filtrado de paquetes, ya que repercute en las
siete capas del modelo de referencia OSI.
En esencia es similar a un cortafuegos de filtrado de paquetes, con la
diferencia de que también podemos filtrar el contenido del paquete. El mejor
ejemplo de cortafuegos de aplicación es ISA (Internet Security and
Acceleration).
Un
cortafuego de aplicación puede filtrar protocolos de capas superiores tales
como FTP, TELNET, DNS, DHCP, HTTP, TCP, UDP y TFTP (GSS). Por ejemplo, si una
organización quiere bloquear toda la información relacionada con una palabra en
concreto, puede habilitarse el filtrado de contenido para bloquear esa palabra
en particular. No obstante, los cortafuegos de aplicación resultan más lentos
que los de estado.
También
conocido como Application Gateway. Es un firewall que es capaz de inspeccionar
hasta el nivel de aplicación. No solo la validez de la conexión sino todo el
contenido de la trama. Es considerado como el más seguro. Todas las conexiones
van a través del firewall.
Un
Application Firewall se distingue por el uso de los Proxies para servicios como
FTP, Telnet etc. que previene el acceso directo a servicios al interior de la
red.
.jpg)
Beneficios de un Firewall
Los Firewalls manejan el
acceso entre dos redes, y si no existiera, todos las computadoras de la red
estarían expuestos a ataques desde el exterior. Esto significa que la seguridad
de toda la red, estaría dependiendo de que tan fácil fuera violar la seguridad
local de cada maquina interna.
El Firewall es el punto
ideal para monitorear la seguridad de la red y generar alarmas de intentos de
ataque, el administrador será el responsable de la revisión de estos
monitoreos.
Otra causa que ha hecho
que el uso de Firewalls se halla convertido en uso casi imperativo es el hecho
que en los últimos años en Internet han entrado en crisis el número disponible
de direcciones IP, esto ha hecho que las intranets adopten direcciones sin
clase, las cuales salen a Internet por medio de un "traductor de
direcciones", el cual puede alojarse en el Firewall.
Los Firewalls también son
importantes desde el punto de vista de llevar las estadísticas del ancho de
banda "consumido" por el trafico de la red, y que procesos han
influido más en ese trafico, de esta manera el administrador de la red puede
restringir el uso de estos procesos y economizar o aprovechar mejor el ancho de
banda disponible.
Los Firewalls también
tienen otros usos. Por ejemplo, se pueden usar para dividir partes de un sitio
que tienen distintas necesidades de seguridad o para albergar los servicios WWW
y FTP brindados.
Limitaciones
de un cortafuegos
Las
limitaciones se desprenden de la misma definición de los cortafuegos: filtro de
tráfico. Cualquier tipo de ataque informático que use tráfico aceptado por los
cortafuegos (por usar puertos TCP abiertos expresamente, por ejemplo) o que
sencillamente no use la red, seguirá constituyendo una amenaza. La siguiente
lista muestra algunos de estos riesgos:
- Un cortafuegos no puede proteger contra aquellos ataques cuyo tráfico no pase a través de él.
- El cortafuegos no puede proteger de las amenazas a las que está sometido por ataques internos o usuarios negligentes. El cortafuegos no puede prohibir a espías corporativos copiar datos sensibles en medios físicos de almacenamiento (discos, memorias, etc.) y sustraerlas del edificio.
- El cortafuegos no puede proteger contra los ataques de ingeniería social.
- El cortafuegos no puede proteger contra los ataques posibles a la red interna por virus informáticos a través de archivos y software. La solución real está en que la organización debe ser consciente en instalar software antivirus en cada máquina para protegerse de los virus que llegan por cualquier medio de almacenamiento u otra fuente.
- El cortafuegos no protege de los fallos de seguridad de los servicios y protocolos cuyo tráfico esté permitido. Hay que configurar correctamente y cuidar la seguridad de los servicios que se publiquen en Internet.
Políticas
del cortafuegos
Hay
dos políticas básicas en la configuración de un cortafuegos que cambian
radicalmente la filosofía fundamental de la seguridad en la organización:
- Política restrictiva:
Se deniega todo el tráfico excepto el que está explícitamente permitido.
El cortafuegos obstruye todo el tráfico y hay que habilitar expresamente
el tráfico de los servicios que se necesiten. Esta aproximación es la que
suelen utilizar la empresas y organismos gubernamentales.
- Política permisiva: Se permite
todo el tráfico excepto el que esté explícitamente denegado. Cada servicio
potencialmente peligroso necesitará ser aislado básicamente caso por caso,
mientras que el resto del tráfico no será filtrado. Esta aproximación la
suelen utilizar universidades, centros de investigación y servicios públicos
de acceso a internet.
La
política restrictiva es la más segura, ya que es más difícil permitir por error
tráfico potencialmente peligroso, mientras que en la política permisiva es
posible que no se haya contemplado algún caso de tráfico peligroso y sea
permitido por omisión.
Características:
- Administra los accesos
- Protege de intrusiones
- Protección de información privada
- Optimización de acceso
- Permite al administrador de la red definir un choke point
- La seguridad puede ser monitoreada.
Restricciones en el Firewall
La parte más importante de las tareas que realizan los Firewalls, la de permitir o denegar determinados servicios, se hacen en función de los distintos usuarios y su ubicación:
- Usuarios internos con permiso de
salida para servicios restringidos: permite
especificar una serie de redes y direcciones a los que denomina Trusted (validados) . Estos usuarios, cuando
provengan del interior, van a poder acceder a determinados servicios
externos que se han definido.
- Usuarios externos con permiso de
entrada desde el exterior: este
es el caso más sensible a la hora de vigilarse. Suele tratarse de usuarios
externos que por algún motivo deben acceder para consultar servicios de la
red interna.
También es habitual utilizar estos accesos por parte de terceros
para prestar servicios al perímetro interior de la red. Sería conveniente que
estas cuentas sean activadas y desactivadas bajo demanda y únicamente el tiempo
que sean necesarias.
Tipos de firewalls
1.- Firewall de capa
de red.
Funciona al nivel de
la red de la pila de protocolos ( TCP/IP ) como filtro de paquetes IP , no
permitiendo que estos pasen el cortafuego a menos que se atengan a las reglas
definidas por el administrador del cortafuego o aplicadas por defecto como en
algunos sistemas inflexibles de cortafuego. Una disposición más permisiva
podría permitir que cualquier paquete pase el filtro mientras que no cumpla con
ninguna regla negativa de rechazo.
2.- Firewall de capa
de aplicación.
Trabaja
en el nivel de aplicación. Analizando todo el tráfico de HTTP , (u otro
protocolo), puede interceptar todos los paquetes que llegan o salen desde y
hacia las aplicaciones que corren en la red. Este tipo de cortafuegos usa ese
conocimiento sobre la información transferida para proveer un bloqueo más
selectivo y para permitir que ciertas aplicaciones autorizadas funcionen
adecuadamente. A menudo tienen la capacidad de modificar la información
transferida sobre la marcha, de modo de engañar a las aplicaciones y hacerles
creer que el cortafuegos no existe. Otros también tienen adosado software para
revisar por virus el correo electrónico.
Ventajas:
- Protección de información privada: Define que usuarios de la red y que información va a obtener cada uno de ellos.
- Optimización de acceso: Define de manera directa los protocolos a utilizarse.
- Protección de intrusos: Protege de intrusos externos restringiendo los accesos a la red.
- No protege de ataques que no pasen a través del firewall.
- No protege amenazas y ataques de usuarios negligentes.
- No protege de la copia de datos importantes si se ha obtenido acceso a ellos.
- No protege de ataques de ingeniería social (ataques mediante medios legítimos. Por ejemplo el atacante contacta a la víctima haciéndose pasar por empleado de algún banco, y solicita información confidencial, por ejemplo, datos de la tarjeta de crédito, con el pretexto de la renovación de dicha tarjeta)
Permisos del Programa
- Cuando un programa intenta tener acceso a Internet la primera vez , ZoneAlarm preguntará si desea permitirle el acceso a Internet. Al seleccionar “sí” permite que el programa acceda a Internet hasta que salga del programa; Al seleccionar “no” niega al programa el acceso a Internet hasta que cierre el programa y lo abra otra vez.
- El modo de acceso por defecto a Internet para todas las aplicaciones es pedir permiso cada vez que ejecuta el programa. Puede utilizar el panel de programas para cambiar los permisos de acceso a los programas que han tenido acceso a Internet.
- Marcando la opción (recordar la pregunta cada ves que use este programa) permitirá que en un futuro ZoneAlarm no le pregunte al abrir la aplicación. Esto es útil para programas, como su navegador, que siempre necesitara permiso para acceder a Internet.
Firewall a nivel de software
Estos programas son los más comunes en los hogares, ya que a parte de resultar
mucho más económicos que el hardware, su instalación y actualización es más
sencilla. Eso sí, presentan algunos problemas inherentes a su condición:
consumen recursos del ordenador, algunas veces no se ejecutan correctamente o
pueden ocasionar errores de compatibilidad con otro software instalado.
Actualmente, los sistemas operativos más modernos como Windows XP y Linux
integran soluciones básicas de firewall, en algunos casos, como en el software
libre, son muy potentes y flexibles, pero requieren una gran conocimiento en
redes y puertos necesarios para las aplicaciones. Para no tener problemas,
existen una serie de herramientas externas que facilitan este trabajo de
protección, como el Kit Seguridad de
Terra, una solución que junta firewall y antivirus.
Firewall a nivel de hardware
Los firewall de hardware se utilizan más en empresas y grandes corporaciones.
Normalmente son dispositivos que se colocan entre el router y la conexión
telefónica. Como ventajas, podemos destacar, que al ser independientes del PC,
no es necesario configurarlos cada vez que reinstalamos el sistema operativo, y
no consumen recursos del sistema.
Su mayor inconveniente es el mantenimiento, ya que son difíciles de actualizar
y de configurar correctamente.
Excelente Informacion!
ResponderEliminarEste comentario ha sido eliminado por el autor.
EliminarExcelente articulo compañera
ResponderEliminarEste comentario ha sido eliminado por el autor.
ResponderEliminarbuena información me sirvió bastante
ResponderEliminarque interesante esta su tema compañerita :)
ResponderEliminarQue interesante este tema compañera
ResponderEliminarMuy buen trabajo..Gracias por la información!!!!
ResponderEliminarExcelente Información, me ha servido de mucho
ResponderEliminar