QUE ES Y PARA QU SIRVE UN FIREWALL

Creo sinceramente que saber que es y para que sirve un firewall es

de vital importancia para la totalidad de usuarios que disponen de un ordenador
personal en su casa. Para ello he decido crear una serie de dos post con la
siguiente temtica:
1. Qu son y para que sirven los Firewall.
2. Como configurar nuestro firewall adecuadamente.

La verdad es que hay multitud de usuarios en Linux que piensan que no es

necesario tomar medidas de seguridad usando Linux. Pues la verdad es que
segn mi humilde punto de vista estn bastante equivocados.
Es cierto que en Linux prcticamente no existen Virus, por lo tanto si que
podramos afirmar que el uso de antivirus hoy en da prcticamente no es
necesario, pero segn mi punto de vista hay precauciones que se deben
implementar en la totalidad de sistemas operativos que utilizamos. Una de
estas precauciones es disponer de un firewall activado y debidamente
configurado. Muchos de vosotros se pregunta que es un Firewall, Para que
sirve? Lo necesito? Como lo puedo activar y configurar?

QUE ES UN FIREWALL
Un firewall o cortafuegos es un dispositivo de hardware o un software que nos
permite gestionar y filtrar la totalidad de trafico entrante y saliente que hay entre
2 redes u ordenadores de una misma red.
Si el trfico entrante o saliente cumple con una serie de Reglas que nosotros
podemos especificar, entonces el trfico podr acceder o salir de nuestra red u
ordenador sin restriccin alguna. En caso de no cumplir las reglas el trfico
entrante o saliente ser bloqueado.
Por lo tanto a partir de la definicin podemos asegurar que con un firewall bien
configurado podemos evitar intrusiones no deseadas en nuestra red y
ordenador as como tambin bloquear cierto tipo de trfico saliente de nuestro
ordenador o nuestra red.

PARA QUE SIRVE UN FIREWALL

Bsicamente la funcin de un firewall es proteger los equipos individuales,
servidores o equipos conectados en red contra accesos no deseados de

intrusos que nos pueden robar datos confidenciales, hacer perder informacin
valiosa o incluso denegar servicios en nuestra red.
As por lo tanto queda claro que es altamente recomendable que todo el mundo
utilice un firewall por los siguientes motivos:
1. Preservar nuestra seguridad y privacidad.
2. Para proteger nuestra red domstica o empresarial.
3. Para tener a salvo la informacin almacenada en nuestra red, servidores u
ordenadores.
4. Para evitar intrusiones de usuarios usuarios no deseados en nuestra red y
ordenador. Los usuarios no deseados tanto pueden ser hackers como usuarios
pertenecientes a nuestra misma red.
5. Para evitar posibles ataques de denegacin de servicio.
As por lo tanto un firewall debidamente configurado nos podr proteger por ejemplo
contra ataques IP address Spoofing, Ataques Source Routing, etc.

COMO FUNCIONA UN FIREWALL

El firewall normalmente se encuentra en el punto de unin entre 2 redes. En el

caso que podis ver en la captura de pantalla se halla en el punto de unin de
una red pblica (internet) y una red privada.
As mismo tambin vemos que cada una de las subredes dentro de nuestra red
puede tener otro firewall, y cada uno de los equipos a la vez puede tener su
propio firewall por software. De esta forma, en caso de ataques podemos limitar
las consecuencias ya que podremos evitar que los daos de una subred se
propaguen a la otra.
Lo primero que tenemos que saber para conocer el funcionamiento de un
firewall es que la totalidad de informacin y trfico que pasa por nuestro router
y que se transmite entre redes es analizado por cada uno de los firewall
presentes en nuestra red.

Si el trfico cumple con las reglas que se han configurado en los firewall el
trafico podr entrar o salir de nuestra red.

Si el trfico no cumple con las reglas que se han configurado en los firewall
entonces el trfico se bloquear no pudiendo llegar a su destino.

TIPOS DE REGLAS QUE SE PUEDEN IMPLEMENTAR EN UN

FIREWALL
El tipo de reglas y funcionalidades que se pueden construir en un firewall son
las siguientes:
1. Administrar los accesos de los usuarios a los servicios privados de la red
como por ejemplo aplicaciones de un servidor.
2. Registrar todos los intentos de entrada y salida de una red. Los intentos de
entrada y salida se almacenan en logs.
3. Filtrar paquetes en funcin de su origen, destino, y nmero de puerto. Esto se
conoce como filtro de direcciones. As por lo tanto con el filtro de direcciones
podemos bloquear o aceptar el acceso a nuestro equipo de la IP 192.168.1.125
a travs del puerto 22. Recordar solo que el puerto 22 acostumbra a ser el
puerto de un servidor SSH.
4. Filtrar determinados tipos de trfico en nuestra red u ordenador personal. Esto
tambin se conoce como filtrado de protocolo. El filtro de protocolo permite
aceptar o rechazar el trfico en funcin del protocolo utilizado. Distintos tipos
de protocolos que se pueden utilizar son http, https, Telnet, TCP, UDP, SSH,
FTP, etc.
5. Controlar el numero de conexiones que se estn produciendo desde un
mismo punto y bloquearlas en el caso que superen un determinado lmite. De
este modo es posible evitar algunos ataques de denegacin de servicio.
6. Controlar las aplicaciones que pueden acceder a Internet. As por lo tanto
podemos restringir el acceso a ciertas aplicaciones, como por ejemplo dropbox,
a un determinado grupo de usuarios.

7. Deteccin de puertos que estn en escucha y en principio no deberan

estarlo. As por lo tanto el firewall nos puede advertir que una aplicacin quiere
utilizar un puerto para esperar conexiones entrantes.

LIMITACIONES DE LOS FIREWALL

Lgicamente un Firewall dispone de una serie de limitaciones. Las limitaciones
principales de un firewall son las siguientes:
1. Un firewall en principio es probable que no nos pueda proteger contra ciertas
vulnerabilidades internas. Por ejemplo cualquier usuario puede borrar el
contenido de un ordenador sin que el firewall lo evite, introducir un USB en el
ordenador y robar informacin, etc.
2. Los firewall solo nos protegen frente a los ataques que atraviesen el firewall.
Por lo tanto no puede repeler la totalidad de ataques que puede recibir nuestra
red o servidor.
3. Un firewall da una sensacin de seguridad falsa. Siempre es bueno tener
sistemas de seguridad redundantes por si el firewall falla. Adems no sirve de
nada realizar una gran inversin en un firewall descuidando otros aspectos de
nuestra red ya que el atacante siempre intentar buscar el eslabn de
seguridad ms dbil para poder acceder a nuestra red. De nada sirve poner
una puerta blindada en nuestra casa si cuando nos marchamos dejamos la
ventana abierta.

TIPOS DE FIREWALL EXISTENTES

Como hemos visto en la definicin existen 2 tipos de firewall. Existen
dispositivos de hardware firewall como por ejemplo un firewall cisco o
Routers que disponen de esta funcin.

Los dispositivos de hardware son una solucin excelente en el caso de

tengamos que proteger una red empresarial ya que el dispositivo proteger a la
totalidad de equipos de la red y adems podremos realizar la totalidad de la
configuracin en un solo punto que ser el mismo firewall.
Adems los firewall por hardware acostumbran a implementar funcionalidades
interesantes como pueden ser CFS , ofrecer tecnologas SSL o VPN, antivirus
integrados, antispam, control de carga, etc.
Los firewall por software son los ms comunes y los que acostumbran a usar
los usuarios domsticos en sus casas.

El firewall por software se instala directamente en los ordenadores o servidores

que queremos proteger y solo protegen el ordenador o servidor en el que lo
hemos instalado. Las funcionalidades que acostumbran a proporcionar los
firewall por software son ms limitadas que las anteriores, y adems una vez
instalado el software estar consumiendo recursos de nuestro ordenador.
Caractersticas de la proteccin firewall

Entre las principales caractersticas de la proteccin firewall, destacan las

siguientes:

Diferentes niveles de proteccin basados en la ubicacin del PC

Cuando tu PC se conecta a una red, la proteccin firewall aplica un nivel de
seguridad diferente en funcin del tipo de red de que se trate. Si deseas
modificar el nivel de seguridad asignado inicialmente, podrs hacerlo en
cualquier momento accediendo a las opciones de configuracin del firewall.

Proteccin de redes inalmbricas (Wi-Fi)

Bloquea eficazmente los intentos de intrusin realizadas a travs de redes
inalmbricas (Wi-Fi). Al producirse una intrusin de este tipo, aparece un aviso
emergente que te permitir bloquear la intrusin de inmediato.

Accesos a la red y accesos a Internet

Indica cules son los programas instalados en tu ordenador que podrn
acceder a la red (o a Internet).

Proteccin contra intrusos

Impide las intrusiones por parte de hackers que intentan acceder a tu
ordenador para realizar en l ciertas acciones, y no siempre con la mejor
intencin.

Bloqueos
El firewall te permite bloquear los accesos de los programas que has decidido
que no deben acceder a la red local o a Internet. Tambin bloquea los accesos
que, desde otros ordenadores, se realizan para conectarse con programas en
tu ordenador.

Definicin de Reglas
Define reglas con las que puedes indicar qu conexiones deseas autorizar y a
travs de qu puertos o zonas.

Qu es el monitoreo de redes
Es el uso de un sistema que constantemente monitoriza una red de
computadoras en busca de componentes defectuosos o lentos, para luego
informar a los administradores de redes.

Anlisis

monitoreo

de

redes

Para llevar a cabo el anlisis y monitoreo de redes es necesario una

herramienta lder en la manufactura en cuanto al anlisis, monitoreo y
resolucin de problemas de redes. Esta herramienta es conocida como
Network Instruments, que tiene como funcin es desarrollar soluciones de
software y hardware para el anlisis y la gestin de rendimiento de la red y
aplicaciones, tales como los analizadores de red. En cuanto a caractersticas
especiales
se
refiere
es
muy
flexible
y
fcil
de
utilizar.
Con Observer y sus examinadores analiza y monitorea: Ethernet, Wireless
802.11, Gigabit, Ethernet, WAN, FDDI (Fibra ptica) y Token Ring.

Productos de Network Instruments para el anlisis y monitoreo

de redes.

Con el fin de ayudar en la solucin de problemas reales de redes se ofrecen

productos y el soporte necesario que se es requiere.
Anlisis y monitoreo de redes
Observer software
Monitoreo de redes de alta velocidad
Gigabit observer
Monitoreo de redes amplias
WAN observer
Monitoreo de servicios de red
Link Analyst

Topologas que contemplan las herramientas para el anlisis y

monitoreo de redes
La deteccin oportuna de fallas y el monitoreo de los elementos que conforman
una red de computadoras son actividades de gran relevancia para brindar un
buen servicio a los usuarios. De esto se deriva la importancia de contar con un
esquema capaz de notificarnos las fallas en la red y de mostrarnos su
comportamiento mediante el anlisis y recoleccin de trfico.
Hasta hace poco hablar de sistemas de monitoreo de servicios de red en
sistemas operativos de red o desktop resultaba casi imposible, ya que no se
contaba con las herramientas necesarias para hacerlo. Bastaba con saber que
el servidor estaba operativo; y cmo se haca?, solo con ejecutar el comando
ping[1]y la direccin IP[2]del servidor.
Pero cmo conocer que los servicios tales como, proxy, correo, web y otras
computadoras dentro de la intranet estn en operacin o activos? Cmo

conocer que el usuario que usa un Sistema Operativo Windows no est

consumiendo un gran ancho de banda?
Hoy da existen diversos mecanismos para poder monitorear los diferentes
servicios y servidores. Actualmente se pueden monitorear mediante diferentes
herramientas en una pgina web, donde los elementos ms usuales que se
monitorean son:

1. Apache

2. Squid

3. MySQL

4. Routers

5. Servidores / Estaciones de trabajo (CPU, Espacio en disco, etc)

6. Swicth (ancho de banda)

Desarrollo
A continuacin se muestran los enfoques (activo y pasivo) de monitoreo, sus
tcnicas, as cmo la estrategia de monitoreo, incluyendo la definicin de
mtricas y la seleccin de las herramientas.
MONITOREO ACTIVO:
Este tipo de monitoreo se realiza introduciendo paquetes de pruebas en la red,
o enviando paquetes a determinadas aplicaciones y midiendo sus tiempos de
respuesta. Este enfoque tiene la caracterstica de agregar trfico en la red y es
empleado para medir el rendimiento de la misma.
Tcnicas de monitoreo activo:
Basado en ICMP[3]

1. Diagnosticar problemas en la red.

2. Detectar retardo, prdida de paquetes.

3. RTT[4]

4. Disponibilidad de host y redes.

Basado en TCP[5]

1. Tasa de transferencia.

2. Diagnosticar problemas a nivel de aplicacin

Basado en UDP[6]

1. Prdida de paquetes en un sentido (one way)

2. RTT (tracerroute)

MONITOREO PASIVO:
Este enfoque se basa en la obtencin de datos a partir de recolectar y analizar
el trfico que circula por la red. Se emplean diversos dispositivos como
sniffers[7]ruteadores, computadoras con software de anlisis de trfico y en
general dispositivos con soporte para SNMP[8]RMON[9]y Netflow[10]Este
enfoque no agrega trfico a la red como lo hace el activo y es utilizado para
caracterizar el trfico en la red y para contabilizar su uso.
Tcnicas de monitoreo pasivo:

1. Solicitudes remotas:

Mediante SNMP:
Esta tcnica es utilizada para obtener estadsticas sobre la utilizacin de ancho
de banda en los dispositivos de red, para ello se requiere tener acceso a dichos
dispositivos. Al mismo tiempo, este protocolo genera paquetes llamados traps
que indican que un evento inusual se ha producido.

2. Otros mtodos de acceso:

Se pueden realizar scripts[11]que tengan acceso a dispositivos remotos para

obtener informacin importante a monitorear.
Captura de trfico:
Se puede llevar a cabo de dos formas:

1) Mediante la configuracin de un puerto espejo en un dispositivo de

red, el cual har una copia del trfico que se recibe en un puerto hacia
otro donde estar conectado el equipo que realizar la captura.

2) Mediante la instalacin de un dispositivo intermedio que capture el

trfico, el cual puede ser una computadora con el software de captura o

un dispositivo extra. Esta tcnica es utilizada para contabilizar el trfico

que circula por la red.
Anlisis del trfico:
Se utiliza para caracterizar el trfico de red, es decir, para identificar el tipo de
aplicaciones que son ms utilizadas. Se puede implementar haciendo uso de
dispositivos probe que enven informacin mediante RMON o a travs de un
dispositivo intermedio con una aplicacin capaz de clasificar el trfico por
aplicacin, direcciones IP origen y destino, puertos origen y destino, etc.
Flujos:
Tambin utilizado para identificar el tipo de trfico utilizado en la red. Un flujo es
un conjunto de paquetes con:

La misma direccin

El mismo puerto TCP origen y destino

El mismo tipo de aplicacin.

Los flujos pueden ser obtenidos de ruteadores o mediante dispositivos que

sean capaces de capturar trfico y transformarlo en flujos. Tambin es usado
para tareas de facturacin.
ESTRATEGIAS DE MONITOREO:
Antes de implementar un esquema de monitoreo se deben tomar en cuenta los
elementos que se van a monitorear, as como las herramientas que se
utilizarn para esta tarea.
Qu monitorear?
Una consideracin muy importante es delimitar el espectro sobre el cual se va
a trabajar. Existen muchos aspectos que pueden ser monitoreados, los ms
comunes son los siguientes:

1. Utilizacin de ancho de banda

2. Consumo de CPU.

3. Consumo de memoria.

4. Estado fsico de las conexiones.

5. Tipo de trfico.

6. Alarmas

7. Servicios (Web, correo, bases de datos, proxy)

Es importante definir el alcance de los dispositivos que van a ser monitoreados,

el cual puede ser muy amplio y se puede dividir de la siguiente forma:

MTRICAS:
Las alarmas son consideradas como eventos con comportamiento inusual. Las
alarmas ms comunes son las que reportan cuando el estado operacional de
un dispositivo o servicio cambia. Existen otros tipos de alarmas basado en
patrones previamente definidos en nuestras mtricas, son valores mximos
conocidos como umbrales o threshold. Cuando estos patrones son superados
se produce una alarma, ya que es considerado como un comportamiento fuera
del patrn. Algunos tipos de alarmas son:

1. Alarmas de procesamiento.

2. Alarmas de conectividad.

3. Alarmas ambientales.

4. Alarmas de utilizacin.

5. Alarmas de disponibilidad.

ELECCIN DE HERRAMIENTAS:

Existe un gran nmero de herramientas para resolver el problema del

monitoreo de una red. Las hay tanto comerciales como basadas en software
libre. La eleccin depende de varios factores, tanto humanos, econmicos,
como de infraestructura:

a) El perfil de los administradores, sus conocimientos en determinados

sistemas operativos.

b) Los recursos econmicos disponibles.

c) El equipo de cmputo disponible.

En este trabajo se har nfasis en dos herramientas:

Cacti:
Es una completa solucin para el monitoreo de redes. Utiliza RRDTools para
almacenar la informacin de los dispositivos y aprovecha sus funcionalidades
de graficacin. Proporciona un esquema rpido de obtencin de datos remotos,
mltiples mtodos de obtencin de datos (snmp, scripts), un manejo avanzado
de plantillas (templates) y caractersticas de administracin de usuarios.
Adems ofrece un servicio de alarmas mediante el manejo de umbrales. Todo
ello en una sola consola de administracin de fcil manejo y configuracin.
Resulta conveniente para instalaciones del tamao de una LAN[12]as como
tambin para redes complejas con cientos de dispositivos.
Net-SNMP:
Conjunto de aplicaciones para obtener informacin va SNMP de los equipos
de interconexin. Soporta la versin 3 del protocolo, la cual ofrece mecanismos
de seguridad tanto de confidencialidad como de autenticacin. Provee de
manejo de traps para la notificacin de eventos.

Topologa del sistema de monitoreo

El sistema consiste en un servidor que hace las solicitudes mediante el
protocolo SNMP a los dispositivos de red, el cual a travs de un agente de
SNMP enva la informacin solicitada.

Tambin puede ser que el dispositivo enve mensajes trap al servidor SNMP
anunciando que un evento inusual ha sucedido.