Definiciones y conceptos bsicos

Un cortafuegos o firewall es un sistema de defensa basado en el hecho de que

todo el trfico de entrada o salida a la red debe pasar obligatoriamente por un sistema de
seguridad capaz de autorizar, denegar, y tomar nota de todo aquello que ocurre, de
acuerdo con una poltica de control de acceso entre redes. Controla tanto la comunicacin
desde el exterior como el trfico generado desde la propia mquina o red interna. Acta a
base de normas que establece el administrador de seguridad o, en su defecto, el
administrador de red o el usuario final. Dichas reglas definen las acciones
correspondientes a llevar a cabo cuando se recibe un paquete que cumpla unas
determinadas caractersticas.
Apesar de que hay programas que se venden bajo la denominacin de firewall, un firewall
NO es un programa, sino que consiste en un conjunto de medidas hardware y software
destinadas a asegurar una instalacin de red. En definitiva, se trata de cualquier sistema
empleado para "separar" una mquina o una subred del resto, protegindola de servicios
y protocolos que puedan suponer una amenaza a la seguridad desde el exterior. El espacio
protegido por un cortafuego se denomina permetro de seguridad, mientras que la red
externa recibe el nombre de zona de riesgo.
Cortafuegos o Firewall:
- Sistema que implanta una poltica de control de accesos entre dos redes (p.e. Internet-
LAN)
Mecanismos que utiliza:
- Bloquea o Permite l trfico entre redes
- Hay que tener muy claro lo que se quiere permitir o denegar
Por qu necesito un Firewall?
- Permitir acceso a Internet de usuarios internos
- Permitir acceso desde Internet a usuarios autorizados
- Prohibir acceso desde Internet a los no autorizados
Contra qu protege un Cortafuegos
Contra accesos no autenticados del exterior.
Contra trfico no autorizado del exterior
Permitiendo salida desde el interior
Proporciona un nico punto para implantar una
poltica de seguridad y auditora.
Ha de protegerse a s mismo

Contra qu NO protege un Cortafuegos
Contra accesos externos que no van por el
cortafuegos (modems,...).
Contra ataques desde el interior
Contra virus, troyanos, tneles
Contra salida de info por otro medio (disketes, etc.)
Debe ser parte de una poltica global

Fabricantes existentes en el mercado
www.icsalabs.net
Productos firewall certificados por ICSA
Checkpoint Firewall-1
StoneGate
Cisco PIX
CyberGuard
NetScreen
Gaunlet
Tipos de Cortafuegos (1)
Filtros de Paquetes (nivel de red):
- Trabajan a nivel de red (IP)
- Filtran paquetes IP segn sus cabeceras y basados en los
siguientes criterios:
Direcciones IP origen y destino
Puertos TCP/UDP origen y destino
- Un router es un cortafuegos bsico a nivel de red
- Pueden utilizar filtros estticos o dinmicos
- PROS:
Independencia de las aplicaciones
Son muy rpidos y escalables
- CONS:
Menor nivel de seguridad
No examinan el trfico ni entienden el contexto
Tipos de Cortafuegos (2)
Gateways de aplicacin (nivel aplicacin):
- No permiten trfico entre las dos redes, si no es mediante
un proxy a nivel de aplicacin.
- Existe una conexin entre el exterior y el cortafuegos y
otra entre el cortafuegos y el interior
- Servidores proxy
- PROS:
Alto nivel de seguridad
Examinan informacin a nivel de aplicacin
Toman decisiones basadas en datos de cada aplicacin
- CONS:
Menor rendimiento y escalabilidad
Rompe el modelo cliente/servidor (requiere dos conexiones)
Requiere implantar un proxy por cada aplicacin
Tipos de Cortafuegos (3)
Inspeccin de estados (varios niveles)
- Realizan filtros en base a las cabeceras, el paquete se intercepta a nivel de red, pero
extrae informacin de los datos para analizar en funcin de la aplicacin.
- Mantiene una tabla dinmica de estados con informacin para las decisiones de
seguridad
- No rompe el modelo cliente/servidor
- PROS:
Alta seguridad, velocidad y escalabilidad
Inspecciona los datos a nivel aplicacin
- CONS:
No se rompe la conexin totalmente
Tipos de Cortafuegos (4)
Cortafuegos hbridos
- La mayora de los productos comerciales actuales
- Incorporan mezcla de varias tecnologas
- Pueden definirse reglas de filtros para trfico que requiere alta velocidad, y proxy para
alta seguridad
- Adaptativos (proxy durante el establecimiento y filtro de paquetes durante la
transferencia de datos)
Tipos de cortafuegos por ubicacin
Cortafuegos personales (PC):
- Novedad en el mercado. Protegen el PC controlando el stack IP e inspeccionando las
aplicaciones ms comunes
- Permiten filtros de entrada y salida.
- Utilizables en PC en LAN, Modem, ADSL...
Cortafuegos para pequeas oficinas:
- Small Office Home Office (SOHO)
- Protegen a varios usuarios en pequeas oficinas (tpicamente entre 2 y 50)
- Suelen ser pequeos equipos instalados antes del router, o incluso integrados
- Muy utilizable para el acceso con ADSL
Tipos de cortafuegos por ubicacin
Equipos hardware (Appliances):
- Utilizados en oficinas medias y sucursales
- Fciles de configurar, con funcionalidades bsicas y gestionados centralizadamente
- Utilizan sistemas operativos propios del hardware en el que estn implantados
Cortafuegos corporativos:
- El punto central de accesos a Internet de una empresa.
- Punto central donde se implanta la poltica de seguridad de la empresa
- Puede conectar mltiples redes
- Software que se instala en grandes servidores con configuraciones tolerantes a fallos
Arquitecturas de cortafuegos
Arquitectura hardware:
- Servidores estndar Windows o Unix con S.O. Seguros o reforzados
- Hardware especfico
Arquitectura de red, Mltiples interfaces:
Interface Externo: Internet
Interface Interno: LAN, Intranet
Zona Desmilitarizada (DMZ): Servidores pblicos
Alta disponibilidad:
- Arquitecturas tolerantes a fallos al ser un punto crtico de acceso Concepto de zona
desmilitarizada-DMZ
Zona desmilitarizada DMZ:
- Subred intermedia entre Internet y la Intranet
- Se instalan los servidores de acceso pblico como Web, eMail, FTP
- Los accesos a la Intranet pasan previamente por la DMZ, dando paso a la LAN solo lo
imprescindible
- Se instalan sistemas de filtrado y deteccin antivirus previo al envo a la Intranet
- Se pueden establecer zonas de cuarentena
- Los servidores de la DMZ se robustecen
Fallos comunes al implantar un firewall
Implantar un Fw sin poltica de seguridad
Aadir reglas y servicios sin distinguir entre necesidades y deseos
Concentrarse en el Fw ignorando otras medidas de seguridad Ignorar las alarmas y logs
que da el Fw
Anular las alarmas de bajo nivel y repetitivas
Permitir a demasiado personal acceder e incluso administrar parmetros del Fw
Permitir el uso de mdems independientes Clases de ataques
Averiguacin y robo de password - No es difcil hacerse Administrador o Root
Aprovechar bugs y puertas traseras:
- De los SO, software de base o aplicaciones propias
Fallos en los mecanismos de autenticacin:
- Por la utilizacin de mecanismos dbiles
Fallos en los protocolos de comunicaciones
Obtencin de informacin transmitida o almacenada en claro Denegacin de servicio
(DoS)
Ingeniera social
Tipos de cortafuegos
Clasificacin por tecnologa:
- Filtros de paquetes
- Proxy de aplicacin
- Inspeccin de estados (statefull inspection)
- Hibridos
Clasificacin por ubicacin:
- Cortafuegos personales (para PC)
- Cortafuegos para pequeas oficinas (SOHO)
- Equipos hardware especficos (Appliances)
- Cortafuegos corporativos

Comparativa GNU/Linux vs Microsoft Windows
Tecnoblogy
Aspecto GNU/Linux Windows
Filosofa Es un sistema al que
cualquiere puede acceder. Se
puede distribuir, usar y
modificar libremente
Pertenece a una compaa,
Microsoft, que es la nica
autorizada tanto de realizar
modificaciones como de
distribuirlo.
Precio Es software libre, de uso
gratuito con tantas licencias
como se deseen.
Dependiendo de las versiones,
cientos de euros por cada
licencia.
Desarrollo Mantenido por miles de
voluntarios en todo el mundo,
pertenece a una comunidad en
la que cualquiera puede
participar.
Desarrollado por Microsoft, que
vende los datos tcnicos
imprescindibles y ms
relevantes y oculta otros.
Cdigo fuente Abierto a todo el mundo. Cerrado, secreto empresarial.
Estabilidad Muy estable, siendo
relativamente difcil que el
sistema se quede colgado.
Cuando una aplicacin se
bloquea es fcil e inmediato
terminar ese proceso, sin que
afecta a la estabilidad del
resto del sistema. Puede
funcionar durante meses sin
reiniciar y con el mismo
rendimiento.
Cuelgues habituales del
sistema, para muchas tareas
administrativas es necesario
reiniciar la mquina. Cuando
una aplicacin se queda
bloqueada repercute en el
resto, llegando comprometer la
estabilidad de todo el sistema.
No es capaz de funcionar ms
de una semana sin reiniciar,
decreciendo enormemente el
rendimiento.
Comparativa GNU/Linux vs Microsoft Windows
Tecnoblogy
Seguridad Extremadamente seguro. Su
sistema de permisos hace que
los pocos virus que existen no
causen ningn dao al sistema.
Absolutamente inseguro,
existen miles de virus y la
instalacin de firewares,
antivirus, etc es
completamente necesaria.
Algunos de ellos pueden llegar a
formatear la particin
Windows.
Facilidad de uso Para tareas cotidianas, la
misma que Windows. Segn la
distribucin, ciertas tareas
administrativas pueden
suponer pequeos problemas
para los usuarios ms novatos.
Da a da mejora en este
aspecto.
Precisamente la idea de
Windows era llevar la
informtica al usuario ms
inexperto, descuidando sin
embargo otros aspectos de
suma importancia.
Controladores de Hardware Desarrollados por voluntarios.
La mayora de dispositivos
funcionan a la perfeccin,
otros no lo hacen
completamente ya que sus
fabricantes ocultan los
detalles tcnicos.
Todos los fabricantes de
dispositivos los venden junto a
controladores especficos de
Windows, que deben funcionar
en pocos minutos.
Difusin Poco extendido en hogares.
Utilizado casi por la totalidad
de servidores (los propios
server de Microsoft funcionan
bajo Linux).
Ocupa el 90% del mercado de
ordenadores domsticos.
Comparativa GNU/Linux vs Microsoft Windows
Tecnoblogy
Disponibilidad de programas Existen programas para
realizar todas las tareas,
aunque la variedad no es tan
grande como en Windows.
Millones de programas de todo
tipo.
Precio de los programas Generalmente libres y
gratuitos. No obstante,
tambin existen de pago.
La mayor parte son de pago, y
es necesario abonar cientos de
euros por las licencias.
Compatibilidad con otros
sistemas operativos
Se comunica por red con
cualquier sistema. Escribe en
todos los sistemas de archivos,
si bien el NTFS no lo controla
con total estabilidad, al no
haber proporcionado Windows
todos sus detalles.
Suele presentar
incompatibilidades con otros
sistemas operativos, e incluso
con versiones anteriores del
mismo. Slo lee y escribe sus
propios sistemas de archivos.