Reporte de exposicin:

FIREWALL
Herramientas Computacionales
Prof. Jess E. Ramrez Lpez

Contenido

Qu es un firewall?
Cmo funciona un firewall?
Historia
Tipos de firewall
Instalacin y configuracin
Ventajas y desventajas
Bibliografa

Qu es un firewall?
Un firewall es software o hardware que comprueba la informacin procedente de Internet
o de una red y, a continuacin, bloquea o permite el paso de sta al equipo, en funcin de
la configuracin del firewall.
Un firewall puede ayudar a impedir que hackers o software malintencionado (como
gusanos) obtengan acceso al equipo a travs de una red o de Internet. Un firewall
tambin puede ayudar a impedir que el equipo enve software malintencionado a otros
equipos.
Un firewall es un sistema diseado para impedir el acceso no autorizado o el acceso
desde una red privada.
Un firewall crea una barrera entre Internet y el equipo, igual que la barrera fsica que
constituira una pared de ladrillos.
Un firewall no es lo mismo que un programa antivirus. Para ayudar a proteger un equipo,
se necesita tanto un firewall como un programa antivirus y antimalware.

Cmo funciona un firewall?

Un firewall constituye una especie de barrera delante de nuestro equipo, esta barrera
examina todos y cada uno de los paquetes de informacin que tratan de atravesarlo. En
funcin de reglas previamente establecidas, el firewall decide qu paquetes deben pasar y
cules deben ser bloqueados.
Muchos tipos de firewalls son capaces de filtrar el trfico de datos que intenta salir de
nuestra red al exterior, evitando as que los diferentes tipos de cdigo malicioso como
caballos de Troya, virus y gusanos, entre otros, sean efectivos. El firewall acta de
intermediario entre nuestro equipo (o nuestra red local) e Internet, filtrando el trfico que
pasa por l.
Todas las comunicaciones de Internet se realizan mediante el intercambio de paquetes de
informacin, que son la unidad mnima de datos transmitida por la red. Para que cada
paquete pueda llegar a su destino, independientemente de donde se encuentren las
mquinas que se comunican, debe llevar anexada la informacin referente a la direccin
IP de cada mquina en comunicacin, as como el puerto a travs del que se comunican.
La direccin IP de un dispositivo lo identifica de manera nica dentro de una red. El puerto
de comunicaciones es una abstraccin lgica que podramos comparar con la frecuencia
en una emisin radiofnica: del mismo modo en que tenemos que sintonizar la frecuencia
en que se transmite una emisin deradio para poder escucharla, tenemos que utilizar el
mismo puerto de comunicaciones que el equipo al que nos queremos conectar.
Un firewall, como ya se ha descrito, intercepta todos y cada uno de los paquetes
destinados a nuestro equipo y los procedentes de l, realizando este trabajo antes de que
algn otro servicio los pueda recibir.

Historia
.La tecnologa de los cortafuegos surgi a finales de 1980, cuando Internet era una
tecnologa bastante nueva en cuanto a su uso global y la conectividad. Los predecesores
de los cortafuegos para la seguridad de la red fueron los routers utilizados a finales de
1980, que mantenan a las redes separadas unas de otras. La visin de Internet como una
comunidad relativamente pequea de usuarios con mquinas compatibles, que valoraba
la predisposicin para el intercambio y la colaboracin, termin con una serie de
importantes violaciones de seguridad de Internet que se produjo a finales de los 80.
Primera generacin
Cortafuegos de red: filtrado de paquetes
El primer documento publicado para la tecnologa firewall data de 1988, cuando el equipo
de ingenieros Digital Equipment Corporation (DEC) desarroll los sistemas de filtro
conocidos como cortafuegos de filtrado de paquetes. Este sistema, bastante bsico, fue la
primera generacin de lo que se convertira en una caracterstica ms tcnica y
evolucionada de la seguridad de Internet. En AT&T Bell, Bill Cheswick y Steve Bellovin,

continuaban sus investigaciones en el filtrado de paquetes y desarrollaron un modelo de

trabajo para su propia empresa, con base en su arquitectura original de la primera
generacin.
El filtrado de paquetes acta mediante la inspeccin de los paquetes (que representan la
unidad bsica de transferencia de datos entre ordenadores en Internet). Si un paquete
coincide con el conjunto de reglas del filtro, el paquete se reducir (descarte silencioso) o
ser rechazado (desprendindose de l y enviando una respuesta de error al emisor).
Este tipo de filtrado de paquetes no presta atencin a si el paquete es parte de una
secuencia existente de trfico. En su lugar, se filtra cada paquete basndose nicamente
en la informacin contenida en el paquete en s (por lo general utiliza una combinacin del
emisor del paquete y la direccin de destino, su protocolo, y, en el trfico TCP y UDP, el
nmero de puerto). Los protocolos TCP y UDP comprenden la mayor parte de
comunicacin a travs de Internet, utilizando por convencin puertos bien conocidos para
determinados tipos de trfico, por lo que un filtro de paquetes puede distinguir entre
ambos tipos de trfico (ya sean navegacin web, impresin remota, envo y recepcin de
correo electrnico, transferencia de archivos); a menos que las mquinas a cada lado
del filtro de paquetes estn a la vez utilizando los mismos puertos no estndar.
El filtrado de paquetes llevado a cabo por un cortafuegos acta en las tres primeras capas
del modelo de referencia OSI, lo que significa que todo el trabajo lo realiza entre la red y
las capas fsicas. Cuando el emisor origina un paquete y es filtrado por el cortafuegos,
ste ltimo comprueba las reglas de filtrado de paquetes que lleva configuradas,
aceptando o rechazando el paquete en consecuencia. Cuando el paquete pasa a travs
de cortafuegos, ste filtra el paquete mediante un protocolo y un nmero de puerto base
(GSS). Por ejemplo, si existe una norma en el cortafuegos para bloquear el acceso telnet,
bloquear el protocolo IP para el nmero de puerto 23.
Segunda generacin
Cortafuegos de estado
Durante 1989 y 1990, tres colegas de los laboratorios AT&T Bell, Dave Presetto, Janardan
Sharma, y Nigam Kshitij, desarrollaron la tercera generacin de servidores de seguridad.
Esta tercera generacin cortafuegos tiene en cuenta adems la colocacin de cada
paquete individual dentro de una serie de paquetes. Esta tecnologa se conoce
generalmente como la inspeccin de estado de paquetes, ya que mantiene registros de
todas las conexiones que pasan por el cortafuegos, siendo capaz de determinar si un
paquete indica el inicio de una nueva conexin, es parte de una conexin existente, o es
un paquete errneo. Este tipo de cortafuegos pueden ayudar a prevenir ataques contra
conexiones en curso o ciertos ataques de denegacin de servicio.
Tercera generacin
Cortafuegos de aplicacin
Son aquellos que actan sobre la capa de aplicacin del modelo OSI. La clave de un
cortafuegos de aplicacin es que puede entender ciertas aplicaciones y protocolos (por
ejemplo: protocolo de transferencia de ficheros, DNS o navegacin web), y permite
detectar si un protocolo no deseado se col a travs de un puerto no estndar o si se est
abusando de un protocolo de forma perjudicial.

Un cortafuegos de aplicacin es mucho ms seguro y fiable cuando se compara con un

cortafuegos de filtrado de paquetes, ya que repercute en las siete capas del modelo de
referencia OSI. En esencia es similar a un cortafuegos de filtrado de paquetes, con la
diferencia de que tambin podemos filtrar el contenido del paquete. El mejor ejemplo de
cortafuegos de aplicacin es ISA (Internet Security and Acceleration).
Un cortafuegos de aplicacin puede filtrar protocolos de capas superiores tales como FTP,
TELNET, DNS, DHCP, HTTP, TCP, UDP y TFTP (GSS). Por ejemplo, si una organizacin
quiere bloquear toda la informacin relacionada con una palabra en concreto, puede
habilitarse el filtrado de contenido para bloquear esa palabra en particular. No obstante,
los cortafuegos de aplicacin resultan ms lentos que los de estado.
Acontecimientos posteriores
En 1992, Bob Braden y DeSchon Annette, de la Universidad del Sur de California (USC),
dan forma al concepto de cortafuegos. Su producto, conocido como "Visas", fue el primer
sistema con una interfaz grfica con colores e iconos, fcilmente implementable y
compatible con sistemas operativos como Windows de Microsoft o MacOS de Apple. En
1994, una compaa israel llamada Check Point Software Technologies lo patent como
software denominndolo FireWall-1.
La funcionalidad existente de inspeccin profunda de paquetes en los actuales
cortafuegos puede ser compartida por los sistemas de prevencin de intrusiones (IPS).
Actualmente, el Grupo de Trabajo de Comunicacin Middlebox de la Internet Engineering
Task Force (IETF) est trabajando en la estandarizacin de protocolos para la gestin de
cortafuegos.
Otro de los ejes de desarrollo consiste en integrar la identidad de los usuarios dentro del
conjunto de reglas del cortafuegos. Algunos cortafuegos proporcionan caractersticas tales
como unir a las identidades de usuario con las direcciones IP o MAC. Otros, como el
cortafuegos NuFW, proporcionan caractersticas de identificacin real solicitando la firma
del usuario para cada conexin.

Tipos de firewall
Aunque no hay una topologa oficial, normalmente se habla de 4 tipos de cortafuegos:

Los filtros de paquetes, que suelen ser (aunque no siempre) encaminadores, que
filtran el trfico basndose en combinaciones de diferentes campos de cabeceras
IP (nivel de red), TCP y UPD (nivel de transporte) de cada mensaje.
Gateways de aplicaciones, tambin llamados servidores proxy, que suelen ser
equipos intermedios, que aceptan peticiones entrantes de servicios de red, y
realizan las llamadas adecuadas, a favor de cada cliente del servicio
correspondiente.
Cortafuegos de tipo stateful isnpection, o de filtrado dinmico de paquetes, que
son capaces de mantener el estado de cada sesin a travs del cortafuegos y
cambiar las reglas de filtrado dinmicamente, conforme a lo definido en la poltica
de seguridad.

Cortafuegos hbridos, que suelen tener unas propiedades, que son resultado de la
combinacin de las propiedades de los citados previamente

Instalacin y configuracin
Las normas de los firewalls suelen agruparse en dos polticas bsicas de configuracin:

Poltica restrictiva: se deniega todo el trfico excepto el explcitamente permitido,

se debe ir habilitando los servicios necesarios. Esta es la poltica ms aconsejada,
por ser preventiva.
Poltica permisiva: se permite todo el trfico excepto el explcitamente denegado.
Este mtodo es correctivo y necesita una continua educacin o reconfiguracin.

Los nuevos routers tienen capacidad de cortafuegos de puertos, IP o incluso direcciones

MAC. En las empresas, lo normal es usar un servidor proxy cortafuegos.
Windows tiene un firewall integrado desde su versin XP (firewall o defender de
Windows). Tambin se pueden instalar otros como el ZoneAlarm, Ashampoo, Comodo,
Sunbeit Personal, Agnitum Outposy, Sygate, PC Tools.
Otra alternativa son los suites de seguridad (Internet Security) que contienen antivirus,
cortafuegos,
antiespas,
antimalware,
antispam,
antifraude,
antimarcadores,
escaneadores de puertos, etc., lo malo es que aunque son muy buenos ralentizan los
equipos, por lo que deben usarse principalmente en servidores y proxies.
Para Linux podemos instalar: Port Scan Attack Detector, Bastion, Firestarter El mejor
cortafuegos es el que lleva integrado Linux (iptables, netfilter), ya que es el mejor filtro de
red para DMZ , de hecho, la mayora de los firewalls de Linux son entornos de
manipulacin de iptables.
Los cortafuegos, al igual que los antivirus, no deben instalarse a pares, resulta que si
instalamos ms de uno suelen bloquearse entre ellos. Si el firewall es muy bueno, puede
cortar las conexiones desde el arranque del sistema operativo, con lo que se podra
necesitar reinstalar el sistema operativo, pues no se permitira desinstalar alguno de ellos.

Ventajas y desventajas
Ventajas

Administran los accesos provenientes de Internet hacia la red privada.

Permite al administrador de la red mantener fuera de la red privada a los usuarios
no-autorizados .
El firewall crea una bitcora en donde se registra el trfico ms significativo que
pasa a travs l.
Concentra la seguridad Centraliza los accesos

Desventajas

Un firewall no puede protegerse contra aquellos ataques que se efecten fuera de

su punto de operacin. Por ejemplo, si existe una conexin PPP
( POINT-TO-POINT ) al Internet.
El firewall no puede prohibir que se copien datos corporativos en disquetes o
memorias porttiles y que estas se substraigan del edificio.
El firewall de Internet no puede contar con un sistema preciso de SCAN para cada
tipo de virus que se puedan presentar en los archivos que pasan a travs de el,
pues el firewall no es un antivirus.
El firewall no puede ofrecer proteccin alguna una vez que el agresor lo traspasa.

Bibliografa

http://windows.microsoft.com/es-mx/windows/what-is-firewall#1TC=windows-7
http://www.seguridad.unam.mx/descarga.dsc?arch=422
http://firewalle.blogspot.mx/2012/10/historia-del-firewall.html
Castro Gil, Manuel Alonso; Daz Orueta, Gabriel; Alzrriz Armendriz, Ignacio;
Sancristbal Ruiz, Elio. Procesos y Herramientas para la seguridad de redes.
Editorial UNED. Madrid. 2014.
Andreu, Joaqun. Interconexin de red (Servicios en red). Editex.
2011.http://alanjmz.bligoo.com.mx/firewall-ventajas-y-limitaciones
http://alanjmz.bligoo.com.mx/firewall-ventajas-y-limitaciones