Jorge Garca Delgado

1.- Cortafuegos:
1.1.- Concepto. Utilizacin de cortafuegos.
1.2.- Historia de los cortafuegos.
1.3.- Funciones principales de un cortafuegos:
o Filtrado de paquetes de datos.
o Filtrado por aplicacin.
o Reglas de filtrado.
o Registros de sucesos de un cortafuegos.

1.4.- Listas de control de acceso (ACL).
1.5.- Ventajas y Limitaciones de los cortafuegos.
1.6.- Polticas de cortafuegos.
1.7.- Tipos de cortafuegos.
o Clasificacin por ubicacin.
o Clasificacin por tecnologa.

1.8.- Arquitectura de cortafuegos.
1.9.- Pruebas de funcionamiento. Sondeo.

2.- Cortafuegos software y hardware:
2.1.- Cortafuegos software integrados en los sistemas operativos.
2.2.- Cortafuegos software libres y propietarios.
2.3.- Distribuciones libres para implementar cortafuegos en mquinas dedicadas.
2.4.- Cortafuegos hardware. Gestin Unificada de Amenazas Firewall UTM (Unified
Threat Management).
Jorge Garca Delgado





1.1.- Concepto. Utilizacin de cortafuegos.
Un cortafuegos (firewall) es una parte de un sistema o una red que est diseada para bloquear el
acceso no autorizado, permitiendo al mismo tiempo comunicaciones autorizadas.

Se trata de un dispositivo o conjunto de dispositivos configurados para permitir, limitar, cifrar,
descifrar, el trfico entre los diferentes mbitos sobre la base de un conjunto de normas y otros
criterios.

Los cortafuegos pueden ser implementados en hardware o software, o una combinacin de ambos.
Los cortafuegos se utilizan con frecuencia para evitar que los usuarios de Internet no autorizados
tengan acceso a redes privadas conectadas a Internet, especialmente intranets. Todos los mensajes
que entren o salgan de la intranet pasan a travs del cortafuegos, que examina cada mensaje y
bloquea aquellos que no cumplen los criterios de seguridad especificados.

Tambin es frecuente conectar al cortafuegos a una tercera red, llamada Zona desmilitarizada o
DMZ, en la que se ubican los servidores de la organizacin que deben permanecer accesibles desde
la red exterior.
Un cortafuegos correctamente configurado aade una proteccin necesaria a la red, pero que en
ningn caso debe considerarse suficiente. La seguridad informtica abarca ms mbitos y ms
niveles de trabajo y proteccin.


1.2.- Historia de los cortafuegos.
El trmino "firewall / fireblock" significaba originalmente una pared para confinar un incendio o
riesgo potencial de incendio en un edificio. La tecnologa de los cortafuegos surgi a finales de
1980, cuando Internet era una tecnologa bastante nueva en cuanto a su uso global y la
conectividad. Los predecesores de los cortafuegos para la seguridad de la red fueron los routers
utilizados a finales de 1980, que mantenan a las redes separadas unas de otras. La visin de
Internet como una comunidad relativamente pequea de usuarios con mquinas compatibles, que
valoraba la predisposicin para el intercambio y la colaboracin, termin con una serie de
importantes violaciones de seguridad de Internet que se produjo a finales de los 80:

Clifford Stoll, que descubri la forma de manipular el sistema de espionaje alemn.
Bill Cheswick, cuando en 1992 instal una crcel simple electrnica para observar a un
atacante.
En 1988, un empleado del Centro de Investigacin Ames de la NASA, en California, envi
una nota por correo electrnico a sus colegas que deca: Estamos bajo el ataque de un
virus de Internet! Ha llegado a Berkeley, UC San Diego, Lawrence Livermore, Stanford y la
NASA Ames."
El Gusano Morris, que se extendi a travs de mltiples vulnerabilidades en las mquinas
de la poca. Aunque no era malicioso, el gusano Morris fue el primer ataque a gran escala
sobre la seguridad en Internet; la red no esperaba ni estaba preparada para hacer frente a
su ataque.


Jorge Garca Delgado



Primera generacin cortafuegos de red: filtrado de paquetes
El primer documento publicado para la tecnologa firewall data de 1988, cuando el equipo de
ingenieros Digital Equipment Corporation (DEC) desarroll los sistemas de filtro conocidos como
cortafuegos de filtrado de paquetes. Este sistema, bastante bsico, fue la primera generacin de lo
que se convertira en una caracterstica ms tcnica y evolucionada de la seguridad de Internet. En
AT&T Bell, Bill Cheswick y Steve Bellovin, continuaban sus investigaciones en el filtrado de paquetes
y desarrollaron un modelo de trabajo para su propia empresa, con base en su arquitectura original
de la primera generacin.

El filtrado de paquetes acta mediante la inspeccin de los paquetes (que representan la unidad
bsica de transferencia de datos entre ordenadores en Internet). Si un paquete coincide con el
conjunto de reglas del filtro, el paquete se reducir (descarte silencioso) o ser rechazado
(desprendindose de l y enviando una respuesta de error al emisor).
Este tipo de filtrado de paquetes no presta atencin a si el paquete es parte de una secuencia
existente de trfico. En su lugar, se filtra cada paquete basndose nicamente en la informacin
contenida en el paquete en s (por lo general utiliza una combinacin del emisor del paquete y la
direccin de destino, su protocolo, y, en el trfico TCP y UDP, el nmero de puerto). Los protocolos
TCP y UDP comprenden la mayor parte de comunicacin a travs de Internet, utilizando por
convencin puertos bien conocidos para determinados tipos de trfico, por lo que un filtro de
paquetes puede distinguir entre ambos tipos de trfico (ya sean navegacin web, impresin
remota, envo y recepcin de correo electrnico, transferencia de archivos); a menos que las
mquinas a cada lado del filtro de paquetes son a la vez utilizando los mismos puertos no estndar.

El filtrado de paquetes llevado a cabo por un cortafuegos acta en las tres primeras capas del
modelo de referencia OSI, lo que significa que todo el trabajo lo realiza entre la red y las capas
fsicas. Cuando el emisor origina un paquete y es filtrado por el cortafuegos, ste ltimo comprueba
las reglas de filtrado de paquetes que lleva configuradas, aceptando o rechazando el paquete en
consecuencia. Cuando el paquete pasa a travs de cortafuegos, ste filtra el paquete mediante un
protocolo y un nmero de puerto base (GSS). Por ejemplo, si existe una norma en el cortafuegos
para bloquear el acceso telnet, bloquear el protocolo IP para el nmero de puerto 23.

Segunda generacin cortafuegos de estado
Durante 1989 y 1990, tres colegas de los laboratorios AT&T Bell, Dave Presetto, Janardan Sharma, y
Nigam Kshitij, desarrollaron la tercera generacin de servidores de seguridad. Esta tercera
generacin cortafuegos tiene en cuenta adems la colocacin de cada paquete individual dentro de
una serie de paquetes. Esta tecnologa se conoce generalmente como la inspeccin de estado de
paquetes, ya que mantiene registros de todas las conexiones que pasan por el cortafuegos, siendo
capaz de determinar si un paquete indica el inicio de una nueva conexin, es parte de una conexin
existente, o es un paquete errneo. Este tipo de cortafuegos pueden ayudar a prevenir ataques
contra conexiones en curso o ciertos ataques de denegacin de servicio.

Tercera generacin - cortafuegos de aplicacin
Son aquellos que actan sobre la capa de aplicacin del modelo OSI. La clave de un cortafuegos de
aplicacin es que puede entender ciertas aplicaciones y protocolos (por ejemplo: protocolo de
transferencia de ficheros, DNS o navegacin web), y permite detectar si un protocolo no deseado
se col a travs de un puerto no estndar o si se est abusando de un protocolo de forma
perjudicial.


Jorge Garca Delgado



Un cortafuegos de aplicacin es mucho ms seguro y fiable cuando se compara con un cortafuegos
de filtrado de paquetes, ya que repercute en las siete capas del modelo de referencia OSI. En
esencia es similar a un cortafuegos de filtrado de paquetes, con la diferencia de que tambin
podemos filtrar el contenido del paquete. El mejor ejemplo de cortafuegos de aplicacin es ISA
(Internet Security and Acceleration).

Un cortafuegos de aplicacin puede filtrar protocolos de capas superiores tales como FTP, TELNET,
DNS, DHCP, HTTP, TCP, UDP y TFTP (GSS). Por ejemplo, si una organizacin quiere bloquear toda la
informacin relacionada con una palabra en concreto, puede habilitarse el filtrado de contenido
para bloquear esa palabra en particular. No obstante, los cortafuegos de aplicacin resultan ms
lentos que los de estado.

Acontecimientos posteriores
En 1992, Bob Braden y DeSchon Annette, de la Universidad del Sur de California (USC), dan forma al
concepto de cortafuegos. Su producto, conocido como "Visas", fue el primer sistema con una
interfaz grfica con colores e iconos, fcilmente implementable y compatible con sistemas
operativos como Windows de Microsoft o MacOS de Apple. En 1994, una compaa israel llamada
Check Point Software Technologies lo patent como software denominndolo FireWall-1.

La funcionalidad existente de inspeccin profunda de paquetes en los actuales cortafuegos puede
ser compartida por los sistemas de prevencin de intrusiones (IPS).
Actualmente, el Grupo de Trabajo de Comunicacin Middlebox de la Internet Engineering Task
Force (IETF) est trabajando en la estandarizacin de protocolos para la gestin de cortafuegos.

Otro de los ejes de desarrollo consiste en integrar la identidad de los usuarios dentro del conjunto
de reglas del cortafuegos. Algunos cortafuegos proporcionan caractersticas tales como unir a las
identidades de usuario con las direcciones IP o MAC. Otros, como el cortafuegos NuFW,
proporcionan caractersticas de identificacin real solicitando la firma del usuario para cada
conexin.


1.3.- Funciones principales de un cortafuegos:

Filtrado de paquetes de datos.
Analizan el trfico de la red fundamentalmente en la capa 3, teniendo en cuenta a veces algunas
caractersticas del trfico generado en las capas 2 y/o 4 y algunas caractersticas fsicas propias de
la capa 1. Los elementos de decisin con que cuentan a la hora de decidir si un paquete es vlido o
no son los siguientes:
La direccin de origen desde donde, supuestamente, viene el paquete (capa 3).
La direccin del host de destino del paquete (capa 3).
El protocolo especfico que est siendo usado para la comunicacin, frecuentemente
Ethernet o IP aunque existen cortafuegos capaces de desenvolverse con otros protocolos
como IPX, NetBios, etc (capas 2 y 3).
El tipo de trfico: TCP, UDP o ICMP (capas 3 y 4).
Los puertos de origen y destino de la sesin (capa 4).
El interfaz fsico del cortafuegos a travs del que el paquete llega y por el que habra que
darle salida (capa 1), en dispositivos con 3 o ms interfaces de red.

Con todas o algunas de esta caractersticas se forman dos listas de reglas: una de permitidas y otra
de denegadas.
Jorge Garca Delgado



Filtrado por aplicacin.
Adicionalmente, este tipo de cortafuegos suelen prestar, dado su emplazamiento en la capa 7,
servicios de autenticacin de usuarios. La prctica totalidad de los cortafuegos de este tipo, suelen
prestar servicios de Proxy.

Un Proxy es un servicio especfico que controla el trfico de un determinado protocolo (como HTTP,
FTP, DNS, etc.), proporcionando un control de acceso adicional y un detallado registro de sucesos
respecto al mismo. Los servicios o agentes tpicos con que cuentan este tipo de dispositivos son:
DNS, Finger, FTP, HTTP, HTTPS, LDAP, NMTP, SMTP y Telnet.

Reglas de filtrado.
La familia de los firewalls de filtrado de paquetes sobre la pila de protocolos TCP/IP, son llamados
IPFW. Un IPFW funciona filtrando las comunicaciones en ambos sentidos entre su interfaz interna
(la que lo conecta a su red) y la externa. El mecanismo de funcionamiento para realizar este filtrado
es a travs de una lista de reglas. Las reglas, pueden ser de dos tipos; de aceptacin y de rechazo,
aunque en realidad, ste ltima se descompone en dos subtipos, es decir, en trminos de
aceptacin, rechazo y denegacin.

En iptables, un IPFW se corresponde con los argumentos ACCEPT, REJECT y DROP, respectivamente.
La lista de reglas de entrada (del exterior hacia la red) es totalmente independiente de la lista de
reglas de filtrado de salida (de la red hacia el exterior). Las distintas listas de reglas se llaman
cadenas (chains).

Hemos hablado de aceptacin, rechazo y denegacin. Las dos ltimas son bastante similares, la
diferencia radica en lo siguiente, cuando un IPFW rechaza una peticin externa, enva una
respuesta negativa diciendo que no acepta la comunicacin, por el contrario, si descarta una
peticin, no enva ningn tipo de respuesta, es decir, que el agente externo que intent establecer
contacto, no sabr siquiera si la mquina existe o est apagada.

Registros de sucesos de un cortafuegos.
Puede habilitar el registro de sucesos del cortafuegos como ayuda para identificar el origen del
trfico entrante y obtener informacin detallada acerca de qu trfico se est bloqueando.
Normalmente el trfico saliente correcto no se registra. El trfico saliente que no est bloqueado
no se registra.


1.4.- Listas de control de acceso (ACL).
Una lista de control de acceso o ACL (del ingls, access control list) es un concepto de seguridad
informtica usado para fomentar la separacin de privilegios. Es una forma de determinar los
permisos de acceso apropiados a un determinado objeto, dependiendo de ciertos aspectos del
proceso que hace el pedido.

Las ACL permiten controlar el flujo del trfico en equipos de redes, tales como enrutadores y
conmutadores. Su principal objetivo es filtrar trfico, permitiendo o denegando el trfico de red de
acuerdo a alguna condicin. Sin embargo, tambin tienen usos adicionales, como por ejemplo,
distinguir "trfico interesante" (trfico suficientemente importante como para activar o mantener
una conexin) en RDSI.


Jorge Garca Delgado



En redes informticas, ACL se refiere a una lista de reglas que detallan puertos de servicio o
nombres de dominios (de redes) que estn disponibles en un terminal u otro dispositivo de capa de
red, cada uno de ellos con una lista de terminales y/o redes que tienen permiso para usar el
servicio. Tanto servidores individuales como enrutadores pueden tener ACL de redes. Las listas de
control de acceso pueden configurarse generalmente para controlar trfico entrante y saliente y en
este contexto son similares a un cortafuegos. Existen dos tipos de listas de control de acceso:

Listas estndar, donde solo tenemos que especificar una direccin de origen;
Listas extendidas, en cuya sintaxis aparece el protocolo y una direccin de origen y de
destino.


1.5.- Ventajas y Limitaciones de los cortafuegos.

Ventajas:

Bloquea el acceso a personas y/o aplicaciones no autorizadas a redes privadas.

Administran los accesos provenientes de Internet hacia la red privada. Sin un firewall , cada uno
de los servidores propios del sistema se exponen al ataque de otros servidores en el Internet. Por
ello la seguridad en la red privada depende de la "dureza" con que el firewall cuente.

Administran los accesos provenientes de la red privada hacia el Internet .

Permite al administrador de la red mantener fuera de la red privada a los usuarios no-autorizados
(tal, como, hackers , crakers y espas), prohibiendo potencialmente la entrada o salida de datos.

El firewall crea una bitcora en donde se registra el trfico ms significativo que pasa a travs l.

Concentra la seguridad Centraliza los accesos

Limitaciones:

Un cortafuegos no puede proteger contra aquellos ataques cuyo trfico no pase a travs de
l.
El cortafuegos no puede proteger de las amenazas a las que est sometido por ataques
internos o usuarios negligentes. El cortafuegos no puede prohibir a espas corporativos
copiar datos sensibles en medios fsicos de almacenamiento (discos, memorias, etc.) y
sustraerlas del edificio.
El cortafuegos no puede proteger contra los ataques de ingeniera social.
El cortafuegos no puede proteger contra los ataques posibles a la red interna por virus
informticos a travs de archivos y software. La solucin real est en que la organizacin
debe ser consciente en instalar software antivirus en cada mquina para protegerse de los
virus que llegan por cualquier medio de almacenamiento u otra fuente.
El cortafuegos no protege de los fallos de seguridad de los servicios y protocolos cuyo
trfico est permitido. Hay que configurar correctamente y cuidar la seguridad de los
servicios que se publiquen en Internet.


Jorge Garca Delgado




1.6.- Polticas de cortafuegos.
Existen dos tipos de polticas de cortafuegos:

Poltica restrictiva: Se deniega todo el trfico excepto el que est explcitamente permitido.
El cortafuegos obstruye todo el trfico y hay que habilitar expresamente el trfico de los
servicios que se necesiten. Esta aproximacin es la que suelen utilizar la empresas y
organismos gubernamentales.

Poltica permisiva: Se permite todo el trfico excepto el que est explcitamente denegado.
Cada servicio potencialmente peligroso necesitar ser aislado bsicamente caso por caso,
mientras que el resto del trfico no ser filtrado. Esta aproximacin la suelen utilizar
universidades, centros de investigacin y servicios pblicos de acceso a internet.

La poltica restrictiva es la ms segura, ya que es ms difcil permitir por error trfico
potencialmente peligroso, mientras que en la poltica permisiva es posible que no se haya
contemplado algn caso de trfico peligroso y sea permitido por omisin.


1.7.- Tipos de cortafuegos.

Clasificacin por ubicacin.

-Cortafuegos personales (para PC).
Los Cortafuegos personales son programas que se instalan de forma residente en nuestro
ordenador y que permiten filtrar y controlar la conexin a la red.

-Cortafuegos para pequeas oficinas
Los Cortafuegos personales son programas que se instalan de forma residente en un aparato
(router) de una pequea y que permiten filtrar y controlar la conexin a la red.

-Cortafuegos corporativos.
Es un cortafuegos para sistemas interconectados de organizaciones y empresas en donde cierta
cantidad de equipos podran estar conectados en red compartiendo y accediendo a cientos de
recursos simultneamente. Estos sistemas tienen el objetivo de filtrar las comunicaciones en el
borde de la organizacin.

Este tipo de dispositivos puede ser de software o hardware y su costo depender del tamao y
prestaciones brindadas.

Los principales aspectos crticos que deber resolver la configuracin del cortafuegos en los
sistemas corporativos se centrarn en las siguientes problemticas:

Comunes con el usuario: usurpacin de la identidad e integridad de la informacin.
Accesos autorizados: permitir el acceso a las direcciones de origen validadas y autorizadas.
Aplicaciones autorizadas: permitir el acceso a las aplicaciones en funcin de la identidad
validada.
Filtrado de solicitudes de conexin desde nuestra red a Internet.
Proteccin de los datos de identidad de nuestros usuarios en los accesos autorizados a
Internet.
Proteccin ante caballos de troya, en forma de archivos Java, PostScript, etc.
Realizar todas las funciones anteriores sin afectar a las prestaciones y funcionalidades de
Internet que los usuarios internos demandan.
Jorge Garca Delgado



Clasificacin por tecnologa.

Filtros de paquetes.
Es un cortafuegos que consiste en filtrar paquetes de red, con el objetivo de que el router puedo
bloquear o permitir la comunicacin mediante las listas de control de acceso (ACL) en funcin de
las caractersticas de la tramas de los paquetes. Para determinar el filtrado se miran las direcciones
origen y destino, el protocolo, los puertos origen y destino (en el caso de TCP y UDP), el tipo de
mensaje (en el caso de ICMP) y los interfaces de entrada y salida de la trama en el router. La
desventaja de este cortafuegos es que no dispone de un sistema de monitorizacin sofisticado y el
administrador no distingue entre si el router est siendo atacado o si su seguridad se ha visto
comprometida.

Proxy de aplicacin.

Adems del filtrado de paquetes, es habitual que los cortafuegos utilicen aplicaciones software
para reenviar o bloquear conexiones a servicios como finger, telnet o FTP; a tales aplicaciones se les
denomina servicios proxy, mientras que a la mquina donde se ejecutan se le llama pasarela de
aplicacin. Los servicios proxy poseen una serie de ventajas de cara a incrementar nuestra
seguridad: En primer lugar, permiten nicamente la utilizacin de servicios para los que existe un
proxy, por lo que si en nuestra organizacin la pasarela de aplicacin contiene nicamente proxies
para telnet, HTTP y FTP, el resto de servicios no estarn disponibles para nadie.
Una segunda ventaja es que en la pasarela es posible filtrar protocolos basndose en algo ms que
la cabecera de las tramas, lo que hace posible por ejemplo tener habilitado un servicio como FTP
pero con rdenes restringidas (podramos bloquear todos los comandos put para que nadie pueda
subir ficheros a un servidor).

El principal inconveniente que encontramos a la hora de instalar una pasarela de aplicacin es que
cada servicio que deseemos ofrecer necesita su propio proxy; adems se trata de un elemento que
frecuentemente es ms caro que un simple filtro de paquetes, y su rendimiento es mucho menor
(por ejemplo, puede llegar a limitar el ancho de banda efectivo de la red, si el anlisis de cada
trama es costoso).

En el caso de protocolos cliente-servidor (como telnet) se aade la desventaja de que necesitamos
dos pasos para conectar hacia la zona segura o hacia el resto de la red; incluso algunas
implementaciones necesitan clientes modificados para funcionar correctamente. Una variante de
las pasarelas de aplicacin la constituyen las pasarelas de nivel de circuito (Circuit-level Gateways)
sistemas capaces de redirigir conexiones (reenviando tramas) pero que no pueden procesar o filtrar
paquetes en base al protocolo utilizado; se limitan simplemente a autenticar al usuario (a su
conexin) antes de establecer el circuito virtual entre sistemas.

El firewall est programado para distinguir los paquetes legtimos para diferentes tipos de
conexiones. Slo los paquetes que coincidan con una conexin conocida activa sern permitidos
por el firewall, mientras que otros sern rechazados.

Hibrido
Conscientes de las debilidades de los firewalls de filtrado de paquetes y de los de nivel de
aplicacin, algunos proveedores han introducido firewalls hbridos que combinan las tcnicas de los
otros dos tipos. Debido a que los firewalls hbridos siguen basndose en los mecanismos de filtrado
de paquetes para soportar ciertas aplicaciones, an tienen las mismas debilidades en la seguridad.


Jorge Garca Delgado



1.8.- Arquitectura de cortafuegos.

Arquitectura - Cortafuego de filtrado de paquetes.
Es un cortafuegos que consiste en filtrar paquetes de red, con el objetivo de que el router puedo
bloquear o permitir la comunicacin mediante las listas de control de acceso (ACL) en funcin de
las caractersticas de la tramas de los paquetes. Para determinar el filtrado se miran las direcciones
origen y destino, el protocolo, los puertos origen y destino (en el caso de TCP y UDP), el tipo de
mensaje (en el caso de ICMP) y los interfaces de entrada y salida de la trama en el router. La
desventaja de este cortafuegos es que no dispone de un sistema de monitorizacin sofisticado y el
administrador no distingue entre si el router est siendo atacado o si su seguridad se ha visto
comprometida.

Arquitectura - Cortafuego Dual-Homed Host.
Es un cortafuegos que se instala en un host con dos tarjetas de red que acta como router entre
dos redes. Tiene la funcin de permitir directamente la comunicacin de una red a (red privada por
ejemplo) a otra red B (red pblica por ejemplo); pero la comunicacin de la red B a la red A no se
permite directamente. El sistema interno al Firewall puede comunicarse con el dual-homed host, y
los sistemas fuera de Firewall tambin pueden comunicarse con l, pero los sistemas no pueden
comunicarse directamente entre ellos. En la estructura se implementa entre la red interna y la
externa junto a un host bastion.




Arquitectura - Screened Host.
Cortafuegos que se combina con un host bastion, situado entre la red externa y el host bastion
situado en la red interna. El cortafuegos filtra los paquetes de modo que el host bastion es el nico
sistema accesible desde la red externa, y se permite a los host de la red interna establecer
conexiones con la red externa de acuerdo con unas polticas de seguridad.


Jorge Garca Delgado



Arquitectura - Screened Subnet (DMZ).
Este cortafuegos se realiza en una estructura DMZ donde se emplean dos routers exterior e
interior, entre los router se incluye el host bastin. El router exterior bloquea el trfico no deseado
en ambos sentidos, por otro lado el router interior bloquea el trfico no deseado tanto hacia la red
DMZ como hacia la red interna. De este modo, para atacar la red protegida se tendra que romper
la seguridad de ambos routers.




Otras arquitecturas.
Una manera de incrementar en gran medida el nivel de seguridad de la red interna y al mismo
tiempo facilitar la administracin de los cortafuegos consiste en emplear un host bastin distinto
para cada protocolo o servicio en lugar de un nico host bastin. Muchas organizaciones no
pueden adoptar esta arquitectura porque presenta el inconveniente de la cantidad de mquinas
necesarias para implementar el cortafuegos. Una alternativa la constituye el hecho de utilizar un
nico bastin pero distintos servidores proxy para cada uno de los servicios ofrecidos.

Otra posible arquitectura se da en el caso en que se divide la red interna en diferentes subredes, lo
cual es especialmente aplicable en organizaciones que disponen de distintas entidades separadas.
En esta situacin es recomendable incrementar los niveles de seguridad de las zonas ms
comprometidas situando cortafuegos internos entre dichas zonas y la red exterior. Aparte de
incrementar la seguridad, los firewalls internos son especialmente recomendables en zonas de la
red desde la que no se permite a priori la conexin con Internet.

Mostramos un ejemplo de arquitectura hibrida:


Jorge Garca Delgado





2.1.- Cortafuegos software integrados en los sistemas operativos.
Un firewall gratuito es un Software que se puede instalar y utilizar libremente, o no, en el ordenador.
Son tambin llamados 'desktop firewall' o 'software firewall'. Son firewalls bsicos que monitorean y
bloquean, siempre que sea necesario, el trfico de Internet. Casi todos los ordenadores vienen con un
firewall instalado, por ejemplo; Windows XP y Windows Vista lo traen.

Los cortafuegos, por defecto, se activan siempre que se enciende el ordenador. Hay que configurarlo
con cuidado, pues puede ocurrir que no funcione el correo electrnico o no se abran pginas web en el
navegador porque el firewall no permite a estos programas acceder a Internet. Para eso concentran
todo el flujo entrante y saliente entre la PC e Internet y bloquea los pedidos de enlaces no solicitados
por el usuario potencialmente inseguros, instalaciones clandestinas de programas y algunos hasta
bloquean pop ups, publicidades, etc.


2.2.- Cortafuegos software libres y propietarios.
Posiblemente la eleccin ms difcil sea la del Firewall (ya sea libre, o uno comercial). De esta decisin
depende en gran medida la seguridad que se consiga, por lo que hay que tener gran cantidad de
factores en cuenta, desde el nivel de seguridad que se quiere alcanzar realmente, hasta el tiempo que
se puede emplear en la puesta en marcha del sistema y en el caso de poner uno de pago, tambin hay
que tener en cuenta el presupuesto disponible. En el apartado de Filtros Software es donde aparece la
distincin entre Firewall libre o de pago, puesto que todos los Firewall Hardware son propietarios.

La mayora de Firewall libres se distribuyen para Linux, y se basan en IPChains, una facilidad que
ofrece el sistema operativo para filtrar el trfico. Para poner un Firewall basado en IPChains es
necesario un extenso conocimiento de Redes, ya que las reglas hay que ponerlas basndose en
direcciones IP de destino / origen, puertos y protocolo de aplicacin.

Este tipo de Firewalls son bastante seguros y simples, porque en todo momento se tiene conocimiento
de lo que protege y de lo que no, pero requiere bastantes conocimientos, ya que no es conveniente
fiarse de lo que hace determinada aplicacin que simplifica el proceso. Ofrecen una seguridad
limitada, ya que no hacen anlisis de trafico de ningn tipo, pero son fcilmente escalables ya que usa
un sistema operativo normal (no propietario) y se pueden integrar Proxies de distintos tipos, as
como programas de IDS, anti troyanos, etc, todos ellos de libre distribucin. Son tiles para usuarios
finales de Linux, que pueden instalar un Firewall a medida sin necesidad de cambiar nada del sistema
operativo. Esta configuracin puede ser recomendable para una pequea red, con un nivel moderado
de seguridad.

El otro tipo de Firewalls libres se distribuyen para Windows, y suelen ser versiones libres de otros
comerciales (a modo de Demo). La mayora son Proxies, que integran muchos de los servicios comunes
de Internet, aunque tambin se puede encontrar alguno de filtrado clsico. Todos los Proxies
requieren un componente de creencia por parte del usuario, ya que son totalmente transparentes, y
no se sabe lo que estn haciendo (se deposita la confianza en el programador), adems, limitan el
nmero de servicios a usar a aquellos que integre el Firewall, por lo que dependiendo del tipo de uso
que se quiera dar a la red pueden ser tiles o no. Se puede instalar en el DMZ, para proporcionar
determinados servicios con un nivel de seguridad mayor.

Los filtradores de Windows siguen una estructura similar a las reglas de IPChains, por lo que requieren
un conocimiento de redes para ponerse en marcha. Son tiles para usuarios finales de Windows (con
conocimientos de redes), por razones similares a las de los de Linux, pero no son recomendables para
un Router/Firewall, ya que Windows es un sistema operativo menos seguro y estable que Linux.
Jorge Garca Delgado



Por otro lado estn los Firewall software de pago, creados por compaas de seguridad de reconocido
prestigio. Estos Firewall garantizan una aplicacin muy compacta, y con bastantes ms funcionalidades
que un simple IPChains. Algunos traen su propio sistema operativo, que puede ser propietario o una
modificacin de Unix (para hacerlo seguro), y otros funcionan sobre un sistema operativo normal.

Tienen el defecto de que si se descubre una vulnerabilidad en el (lo cual no es nada normal), tarda
bastante en resolverse, por lo que estas un tiempo al descubierto, mientras que los software libres
estn en continuo testeo y reparacin. Aun as, se puede asegurar que estos Firewall propietarios
aportan un nivel de seguridad mayor que el que puede aportar uno de libre distribucin .

La mayora de productos comerciales vienen con una configuracin bsica de funcionamiento, pero
permiten su posterior configuracin, para ajustarlo as a las necesidades especficas de cada usuario,
por lo que sern necesario conocimientos de redes suficientes para crear las reglas de filtrado. Esta
opcin es muy recomendable para empresas de tamao medio, que tengan necesidad de proteger sus
datos, pero que no estn dispuestas a gastarse el dinero que vale un Firewall de Hardware. Existe otra
opcin, los Freeware de Demostracin.

Son un hbrido entre aplicacin comercial y software libre, ya que implementan una versin
incompleta del software de pago, de forma que se puede probar indefinidamente (normalmente estas
versiones caducan pasados 15 o 30 das).


2.3.- Distribuciones libres para implementar cortafuegos en mquinas dedicadas.
Normalmente se instala una maquina dedicada en punta de lanza, con el Firewall corriendo sobre
algn sistema operativo preinstalado (normalmente Unix-Linux) y un interfaz grfico para simplificar
su administracin. Se suelen vender como un equipo completo (Firewall Box), con el servidor, el
Sistema Operativo y el Firewall instalado, principalmente para simplificarle el trabajo a aquellas
empresas que quieren tener un buen nivel de seguridad sin dedicarle muchos esfuerzos (ningn
esfuerzo ms all de la asignacin de polticas y reglas). Distribuciones de software libre para
implementar cortafuegos en mquinas con pocas prestaciones. Basadas en: GNU/Linux: ClearOS,
Gibraltar, IPCop, Zentyal, SmoothWall,... FreeBSD: m0n0wall, pfSense,...


2.4.- Cortafuegos hardware. Gestin Unificada de Amenazas Firewall UTM (Unified
Threat Management).

Cortafuegos hardware.
Los Firewalls ms caros son los filtros Hardware, que producen una conmutacin ms rpida que un
equipo software (el Hardware esta optimizado para esas tareas), y adems proporcionan un nivel de
seguridad muy alto, pudindose mejorar con nuevos y ms modernos sistemas, gracias a las continuas
actualizaciones On-Line. El avance de la tecnologa, ligado a amenazas cada vez ms complejas, ha
provocado que las soluciones de seguridad perimetral avancen a una nueva generacin, cuyo
exponente ms destacado aparece en las distintas gamas de UTM (Unified Threat Management).

Gestin unificada de amenazas (UTM) se refiere a un producto de seguridad integral que incluye la
proteccin contra amenazas mltiples. Un producto UTM normalmente incluye un firewall , software
antivirus , filtrado de contenidos y un filtro de spam en un solo paquete integrado. El trmino fue
acuado originalmente por IDC, un proveedor de datos de mercado, anlisis y servicios relacionados.
Proveedores de UTM de Fortinet incluyen, LokTek, Secure Computing Corporation y Symantec . Las
principales ventajas de la UTM son la sencillez, la instalacin y el uso racionalizado, y la capacidad de
actualizar todas las funciones de seguridad o programas simultneamente.
Jorge Garca Delgado



Como la naturaleza y la diversidad de las amenazas de Internet evolucionan y se vuelve ms complejo,
los productos UTM pueden ser adaptados para mantenerse al da con todos ellos. Esto elimina la
necesidad de que los administradores de sistemas para mantener mltiples programas de seguridad
en el tiempo.


Diferencias entre cortafuegos software y cortafuegos hardware.
Los cortafuegos de hardware puede ser comprado como un producto independiente, pero, ms
recientemente, los cortafuegos de hardware se encuentran tpicamente en routers de banda ancha, y
debe ser considerada una parte importante de su sistema y configuracin de la red, especialmente
para alguien con una conexin de banda ancha. Los cortafuegos de hardware puede ser eficaz con una
configuracin poco o nada, y pueden proteger a todas las mquinas en una red local. La mayora de los
cortafuegos de hardware tendr un mnimo de cuatro puertos de red para conectar otros equipos,
pero para las grandes redes, soluciones de firewall de red de negocios estn disponibles.

Un firewall de hardware utiliza el filtrado de paquetes para examinar la cabecera de un paquete para
determinar su origen y de destino. Esta informacin se compara con un conjunto de reglas
predefinidas o creadas por el usuario-que determinan si el paquete debe ser enviado o se ha cado.

Al igual que con cualquier equipo electrnico, un usuario de la computadora con el conocimiento
general de la computadora se puede conectar un servidor de seguridad, ajustar algunas opciones de
configuracin para que funcionen.
Para asegurarse de que su firewall est configurado para optimizar la seguridad y proteger sin
embargo, los consumidores, sin duda, tienen que aprender las caractersticas especficas de su firewall
de hardware, lo que les permita, as como a probar el servidor de seguridad para asegurarse de que lo
haga un buen trabajo de proteger su red.

No todos los firewalls son creados iguales, y para ello es importante leer el manual y la documentacin
que viene con el producto. Adems el sitio Web del fabricante suele proporcionar una base de datos o
preguntas frecuentes que le ayudarn a empezar. Si la terminologa es un poco demasiado tcnica
orientado, tambin puede utilizar la bsqueda Webopedia para ayudarle a obtener una mejor
comprensin de algunos de los trminos de tecnologa y equipo que se encontrar al configurar el
firewall de hardware.

Para probar la seguridad de su firewall de hardware, usted puede comprar el software de terceros de
prueba o buscar en Internet para una prueba gratuita en lnea basado en servicio de pruebas de
cortafuegos. Pruebas de Firewall es una parte importante de mantenimiento para asegurar que su
sistema siempre est configurado para una proteccin ptima.



Jorge Garca Delgado



Gestin Unificada de Amenazas Firewall UTM (Unified Threat Management).
La filosofa de un Unified Threat Management, es procesar y analizar todo el contenido antes de que
entre a la red corporativa. Limpiando la red corporativa de virus, gusanos, troyanos, spyware, correo
spam (correo no deseado), pginas web maliciosas mediante filtros avanzados, protegiendo la entrada
no autorizada a la red corporativa a travs de VPN y otros sistemas de intrusin. Un nico dispositivo
UTM simplifica la gestin de la estrategia de seguridad de una empresa, con un solo producto,
teniendo el lugar de mltiples capas de hardware y software. Tambin de una nica consola
centralizada, todas las soluciones de seguridad pueden ser controladas y configuradas.

En este contexto, UTM representan todo-en-uno los dispositivos de seguridad que llevan a una
variedad de capacidades de seguridad incluyendo firewall, VPN, antivirus, pasarela anti-spam,
prevencin de intrusiones, filtrado de contenidos, gestin de ancho de banda, control de aplicaciones
y la informacin centralizada caractersticas bsicas. La UTM tiene un sistema operativo personalizado
manteniendo todas las caractersticas de seguridad en un lugar, que puede conducir a una mejor
integracin y rendimiento de un conjunto de dispositivos diferentes.

Para las empresas con redes remotas u oficinas distantes ubicados, UTM son un medio para garantizar
la seguridad centralizada con control completo sobre sus redes distribuidas globalmente.


Las principales ventajas:
1. Reduccin de la complejidad: solucin de seguridad nica. Solo proveedor. Solo AMC
2. Simplicidad: Evitar la instalacin del software y el mantenimiento de mltiples
3. Gestin sencilla: Plug & Play Arquitectura, GUI basada en Web para una fcil gestin
4. Reduccin de los requisitos de capacitacin tcnica, un producto de aprender.
5. Cumplimiento de la normativa


Desventajas clave:
1. Punto nico de fallo para el trfico de red
2. nico punto de compromiso si la UTM tiene vulnerabilidades
3. Impacto potencial sobre la latencia y el ancho de banda cuando la UTM no puede mantenerse al da
con el trfico.