1

Firewall (o cortafuegos)
Redes I
Licenciatura en Ciencias Informticas
Facultad Politcnica
Universidad Nacional de Asuncin
2
Datos de Transporte

Segmento TCP (protocolo de control de transmisin)
Se dise especficamente para proporcionar un flujo de bytes
confiable de extremo a extremo a travs de una interred no
confiable.
Algunos usos !TT"# S$T"# "%"# &$A"# D'S.
Datagrama UDP (protocolo de datagramas de usuario)
(l conjunto de protocolos de &nternet soporta un protocolo de
transporte no orientado a la conexin. (ste protocolo
proporciona una forma para )ue las aplicaciones enven
datagramas &" encapsulados sin tener una conexin.
Algunos usos D'S# D!*"# 'T"# Transmisin de audio y
+deo en tiempo real.
3
Datos de *apa de ,(D

IP -!TT"# .T"# S$"T# D'S# .../
OSPF (Open Shortest Path First): "rotocolo de enrutamiento din0mico.
RIP (Routing Inormation Protocol): "rotocolo de enrutamiento din0mico.
IC!P (Protocolo de !ensa"es de Control de Internet):
Reerencias adicionales:
&" 1ttp22tools.ietf.org21tml2rfc345
%S". 1ttp22666.ietf.org2rfc2rfc7879.txt
,&" 1ttp22tools.ietf.org21tml2rfc5:;9
&*$" 1ttp22tools.ietf.org21tml2rfc347
4
.ire6all

<n cortafuegos -fire6all en ingls/ es una parte de un
sistema o una red )ue est0 diseada para blo)uear el
acceso no autori=ado# permitiendo al mismo tiempo
comunicaciones autori=adas.
5
Tipos de cortafuegos

Cortauegos de capa de red o de iltrado de
pa#uetes
.unciona a nivel de red -capa 8 del modelo %S&# capa 7 del
stac> de protocolos T*"2&"/ como filtro de pa)uetes &". A este
nivel se pueden reali=ar filtros seg?n los distintos campos de los
pa)uetes &" direccin &" origen# direccin &" destino. A menudo
en este tipo de cortafuegos se permiten filtrados seg?n campos
de nivel de transporte -capa 8 T*"2&"# capa @ $odelo %S&/#
como el puerto origen y destino# o a nivel de enlace de datos -no
existe en T*"2&"# capa 7 $odelo %S&/ como la direccin $A*.
6
Tipos de cortafuegos

Cortauegos de capa de red o de iltrado de
pa#uetes
.unciona a nivel de red -capa 8 del modelo %S&# capa 7 del
stac> de protocolos T*"2&"/ como filtro de pa)uetes &".
A este nivel se pueden reali=ar filtros seg?n los distintos campos
de los pa)uetes &" direccin &" origen# direccin &" destino.
A menudo en este tipo de cortafuegos se permiten filtrados
seg?n campos de nivel de transporte -capa 8 T*"2&"# capa @
$odelo %S&/# como el puerto origen y destino# o a nivel de
enlace de datos -no existe en T*"2&"# capa 7 $odelo %S&/ como
la direccin $A*.
7
Tipos de cortafuegos

Cortauegos de capa de aplicacin
Trabaja en el nivel de aplicacin -capa 3 del modelo %S&/# de
manera )ue los filtrados se pueden adaptar a caractersticas
propias de los protocolos de este nivel. "or ejemplo# si trata de
tr0fico !TT"# se pueden reali=ar filtrados seg?n la <,A a la )ue
se est0 intentando acceder# e incluso puede aplicar reglas en
funcin de los propios valores de los par0metros )ue apare=can
en un formulario 6eb.
<n cortafuegos a nivel 3 de tr0fico !TT" suele denominarse
pro$%# y permite )ue los ordenadores de una organi=acin
entren a &nternet de una forma controlada. <n proxy oculta de
manera efica= las verdaderas direcciones de red.
8
Tipos de cortafuegos

Cortauegos personal
(s un caso particular de cortafuegos )ue se instala como
soft6are en un ordenador# filtrando las comunicaciones
entre dic1o ordenador y el resto de la red. Se usa por tanto#
a nivel personal.
9
"oltica de cortafuegos

Pol&tica restricti'a: Se deniega todo el tr0fico excepto el )ue
est0 explcitamente permitido. (l cortafuegos obstruye todo el
tr0fico y 1ay )ue 1abilitar expresamente el tr0fico de los
servicios )ue se necesiten. (sta aproximacin es la )ue suelen
utili=ar la empresas y organismos gubernamentales.
Pol&tica permisi'a: Se permite todo el tr0fico excepto
el )ue est explcitamente denegado. *ada servicio
potencialmente peligroso necesitar0 ser aislado
b0sicamente caso por caso# mientras )ue el resto del
tr0fico no ser0 filtrado. (sta aproximacin la suelen
utili=ar universidades# centros de investigacin y
servicios p?blicos de acceso a &nternet.
10

(RO I( OUT RU)*
::::5 834B7 B7;3@:8 allo6 ip from 7::.5:.779.8B to any
::::8 5B@99 78B8@:: allo6 tcp from 7::.5:.779.:277#5:.:.:.:29#537.5B.:.:25B to 5:.5.B.5:: dstCport ;777
::::8 5B57 5@474B allo6 tcp from any to 5:.5.B.57:
::::8 4;: 5:7;B9: allo6 tcp from 5:.5.B.57: to any
::::8 : : allo6 tcp from any to 5:.5.;.555
::::8 : : allo6 tcp from 5:.5.;.555 to any
::::8 @349@ @7947:7 allo6 tcp from 5:.5.;.5;8 to any
::::8 8BB@7 @9478@7 allo6 ip from 5:.58.:.:25B to 5:.5.;.9:#5:.5.;.95#5:.5.;.97#5:.5.;.9@
::::8 ;845@ ;;B3399: allo6 ip from 5:.5.;.9:#5:.5.;.95#5:.5.;.97#5:.5.;.9@ to 5:.58.:.:25B
B;::: 9B98:7 @37:;398 deny ip from any to any
(jemplo de cortafuegos de filtrado
11

.ragmentos de configuracin de S)uid -squid.conf/
D (xample rule allo6ing access from your local net6or>s.
D Adapt to list your -internal/ &" net6or>s from 61ere bro6sing
D s1ould be allo6ed
acl SSAEports port @@8 ;4:: ;B8 938 9@@8 7:98
acl SafeEports port 9: D 1ttp
acl SafeEports port 99 D 1ttp !$T
acl SafeEports port 7: 75 D ftp
acl SafeEports port @@8 D 1ttps
acl SafeEports port 3: D gop1er
...
D
D "ut 1ere your o6n A*As
D
acl blac>urls dstdomain F2etc2s)uid2acl2blac>urlsF
acl cliCinnova src F2etc2s)uid2acl2innovaF
acl cliCpolnop6 src F2etc2s)uid2acl2polCnop6F
acl cliCpol src F2etc2s)uid2acl2polF
acl cliCcnc src F2etc2s)uid2acl2cncF
acl pedirCpass6d proxyEaut1 ,(G<&,(D
...
D
D &'S(,T H%<, %I' ,<A(-S/ !(,( T% AAA%I A**(SS .,%$ H%<, *A&('TS
D
1ttpEaccess deny blac>urls J61iteusers all
1ttpEaccess deny varios
1ttpEaccess deny "%ST msgEurl
1ttpEaccess allo6 cliCinnova
1ttpEaccess allo6 cliCpolnop6
1ttpEaccess allo6 cliCcnc
1ttpEaccess allo6 cliCpol pedirCpass6d
"roxy
12

(RO I( OUT RU)*
::::5 834B7 B7;3@:8 allo6 ip from 7::.5:.779.8B to any
::::8 5B@99 78B8@:: allo6 tcp from 7::.5:.779.:277#5:.:.:.:29#537.5B.:.:25B to 5:.5.B.5:: dstCport ;777
::::8 5B57 5@474B allo6 tcp from any to 5:.5.B.57:
::::8 4;: 5:7;B9: allo6 tcp from 5:.5.B.57: to any
::::8 : : allo6 tcp from any to 5:.5.;.555
::::8 : : allo6 tcp from 5:.5.;.555 to any
::::8 @349@ @7947:7 allo6 tcp from 5:.5.;.5;8 to any
::::8 8BB@7 @9478@7 allo6 ip from 5:.58.:.:25B to 5:.5.;.9:#5:.5.;.95#5:.5.;.97#5:.5.;.9@
::::8 ;845@ ;;B3399: allo6 ip from 5:.5.;.9:#5:.5.;.95#5:.5.;.97#5:.5.;.9@ to 5:.58.:.:25B
B;::: 9B98:7 @37:;398 deny ip from any to any
*ortafuegos por filtrado
.ragmentos de reglas IPFW
13

DD (stablecemos politica por defecto
iptables C" &'"<T A**("T
iptables C" %<T"<T A**("T
iptables C" .%,IA,D A**("T
iptables Ct nat C" ",(,%<T&'K A**("T
iptables Ct nat C" "%ST,%<T&'K A**("T
DD (mpe=amos a filtrar
D (l local1ost se deja -por ejemplo conexiones locales a mys)l/
2sbin2iptables CA &'"<T Ci lo Cj A**("T
D A nuestra &" le dejamos todo
iptables CA &'"<T Cs 54;.B;.8@.78@ Cj A**("T
D A un colega le dejamos entrar al mys)l para )ue mantenga la LLDD
iptables CA &'"<T Cs 785.@;.58@.78 Cp tcp CCdport 88:B Cj A**("T
D A un diseador le dejamos usar el .T"
iptables CA &'"<T Cs 9:.83.@;.54@ Cp tcp Cdport 7:75 Cj A**("T
D (l puerto 9: de 666 debe estar abierto# es un servidor 6eb.
iptables CA &'"<T Cp tcp CCdport 9: Cj A**("T
D *erramos rango de los puertos privilegiados. *uidado con este tipo de
D barreras# antes 1ay )ue abrir a los )ue si tienen acceso.
iptables CA &'"<T Cp tcp CCdport 55:7@
iptables CA &'"<T Cp udp CCdport 55:7@
D *erramos otros puertos )ue estan abiertos
iptables CA &'"<T Cp tcp CCdport 88:B Cj D,%"
iptables CA &'"<T Cp tcp CCdport 5:::: Cj D,%"
iptables CA &'"<T Cp udp CCdport 5:::: Cj D,%"
*ortafuegos personal
(jemplo de reglas con &"TALA(S