Documentos de Académico
Documentos de Profesional
Documentos de Cultura
y protocolos
asociados
Ingeniera de Protocolos
Curso 2003/2004
Al reutilizar o distribuir la obra, tienes que dejar bien claro los trminos de la
licencia de esta obra.
Alguna de estas condiciones puede no aplicarse si se obtiene el permiso del titular
de los derechos de autor
Los derechos derivados del uso legtimo, del agotamiento u otras limitaciones o
excepciones reconocidas por la ley no se ven afectados por lo anterior.
Esto es un resumen simple del texto legal. La licencia completa est disponible en:
http://creativecommons.org/licenses/by-nc-sa/2.5/legalcode
Attribution-NonCommercial-ShareAlike 2.5
Attribution. You must attribute the work in the manner specified by the
author or licensor.
Noncommercial. You may not use this work for commercial purposes.
Share Alike. If you alter, transform, or build upon this work, you may
distribute the resulting work only under a license identical to this one.
For any reuse or distribution, you must make clear to others the license terms of
this work.
Any of these conditions can be waived if you get permission from the copyright
holder.
Your fair use and other rights are in no way affected by the above.
This is a human-readable summary of the Legal Code. Read the full license at:
http://creativecommons.org/licenses/by-nc-sa/2.5/legalcode
Sumario
Introduccin
ACLs (Access Control Lists)
VLAN (Virtual LAN)
Criptografa en redes
Protocolos seguros
VPN (Virtual Private Network)
Cortafuegos
Sumario
Introduccin
ACLs (Access Control Lists)
VLAN (Virtual LAN)
Criptografa en redes
Protocolos seguros
VPN (Virtual Private Network)
Cortafuegos
Ventajas del uso de redes
Permite la comparticin de gran cantidad de
recursos (hardware y software) e informacin
Introduccin
ACLs (Access Control Lists)
VLAN (Virtual LAN)
Criptografa en redes
Protocolos seguros
VPN (Virtual Private Network)
Cortafuegos
ACL. Sumario
Definicin
ACLs estndares
Ejemplos
ACLs extendidas
Ejemplos
ACLs nombradas
Ejemplos
ACLs y protocolos
Ubicacin de las ACLs
Por qu usar las ACLs?
ACL (Access Control List)
Listas de sentencias que se aplican a una interfaz del router
Indican al router qu tipos de paquetes se deben aceptar y qu
tipos de paquetes se deben denegar
La aceptacin y rechazo se pueden basar en direccin origen,
direccin destino, protocolo de capa superior y nmero de
puerto
Se pueden crear para todos los protocolos enrutados de red (IP,
IPX) (1 ACL por cada protocolo enrutado)
Se pueden configurar en el router para controlar el acceso a
una red o subred
Filtrado de trfico entrante y saliente de interfaces
ACLs
Una ACL es un grupo de sentencias que define cmo
se procesan los paquetes:
Entran a las interfaces de entrada
Se reenvan a travs del router
Salen de las interfaces de salida del router
Ejecucin de las ACLs
El orden de las sentencias de la ACL es importante
00verificar
verificarvalor
valordel
del bit
bit
11ignorar
ignorar valor
valordel
delbit
bit
ignorarpermitir
ignorar permitirsin
sincomprobar
comprobar
ACLs estndar. Ejemplos
Ejemplo (permite acceso a todos los hosts de las 3 redes especificadas):
Son equivalentes:
red 194.23.145.0
Crear una lista de acceso IP estndar que deniegue paquetes provenientes del host
192.5.5.2 hacia cualquier host en la red 210.93.105.0 y que permita el trfico desde
todas las dems redes.
Dnde colocamos la ACL y por qu?
ACLs extendidas
Ofrecen una mayor cantidad de opciones de control que las ACLs
estndares, son ms verstiles
Verifican direcciones origen y destino de los paquetes, protocolos,
nmeros de puerto y otros parmetros especficos
Las ACLs extendidas usan un nmero dentro del intervalo del 100 al
199
Crear una ACL que bloquee todo el trfico desde la red 221.23.123.0 al
servidor 198.150.13.34 provocando la menor cantidad de trfico en la red.
Se usan si:
Se desea identificar intuitivamente las ACL utilizando un nombre
alfanumrico, o
Existen ms de 99 ACL simples y 100 extendidas que se deben
configurar en un router para un protocolo determinado
interface ethernet0
ip address 2.0.5.1
255.255.255.0 ip access-
group Internetflter out
ip access-group come-on in
ACL extendidas lo ms
cerca posible del origen del
trfico denegado
ACL estndar lo ms
cerca posible del destino
(no especifican direcciones
destino)
Verificacin de las ACLs. Comandos
Ejemplos:
pepito:~# /sbin/ipchains -A input -p tcp -j ACCEPT -d 158.42.22.41 80
pepito:~# /sbin/iptables -A INPUT -p TCP -j ACCEPT -d 158.42.22.41 --dport 80
Indica que se aada (`-A') en la chain `input' (tramas de entrada) una
regla que permita (`ACCEPT') el trfico tcp (`-p') cuyo destino (`-d') sea
el puerto 80 de la direccin 158.42.22.41 (ip del servidor web).
Por qu usar ACLs?
Limita el trfico de red, mejorando su rendimiento
Introduccin
ACLs (Access Control Lists)
VLAN (Virtual LAN)
Criptografa en redes
Protocolos seguros
VPN (Virtual Private Network)
Cortafuegos
VLAN. Sumario
La pertenencia de un
usuario a una VLAN no
depende del cableado fsico
El router permite la
comunicacin entre VLANs
Caractersticas de las VLANs
Crean una topologa virtual independiente de la fsica
Necesitan administracin
Seguridad:
un usuario slo puede ver el trfico broadcast de su VLAN
un usuario no puede conectarse a la red sin la aprobacin del
administrador
configuracin de los switches: slo desde la VLAN de gestin
los routers pueden incorporar listas de control de acceso para filtrar el
trfico entre VLANs
Sumario
Introduccin
ACLs (Access Control Lists)
VLAN (Virtual LAN)
Criptografa en redes
Protocolos seguros
VPN (Virtual Private Network)
Cortafuegos
Criptografa en redes
Conceptos
Relacin entre criptografa y redes
Mtodos bsicos de cifrado en redes
Cifrado de enlace
Cifrado extremo a extremo
Conceptos
Criptologa (del griego krypto y logos, estudio de lo
oculto, lo escondido) es la ciencia que trata los
problemas tericos relacionados con la seguridad en el
intercambio de mensajes en clave entre un emisor y un
receptor a travs de un canal de comunicaciones (en
trminos informticos, ese canal suele ser una red de
computadoras). Esta ciencia est dividida en dos
grandes ramas:
la criptografa, ocupada del cifrado de mensajes en
clave y del diseo de criptosistemas, y
el criptoanlisis, que trata de descifrar los mensajes
en clave, rompiendo as el criptosistema
Conceptos (II)
Criptosistema, formado por:
un alfabeto
un espacio de claves
un conjunto de transformaciones de cifrado
un conjunto de transformaciones de descifrado
Emisor Receptor
Canal de comunicaciones
Tipos de criptosistema:
de clave privada o secreta (simtricos): DES (Data Encryption Standard)
de clave pblica (asimtricos): RSA (Rivest-Shamir-Adleman)
Conceptos (III)
Cifrado/Descifrado asimtrico con clave pblica:
Emisor Receptor
Emisor Receptor
Cifrado 1 2 Descifrado
Mtodos bsicos de cifrado (II)
Cifrado extremo a extremo
De capa 7 de OSI
Slo se cifran los datos, las cabeceras se aaden y se transmiten
sin cifrar
El cifrado de datos se mantiene desde origen hasta destino
Origen Destino
Cifrado Descifrado
Nodo intermedio
Mtodos bsicos de cifrado (III)
Sumario
Introduccin
ACLs (Access Control Lists)
VLAN (Virtual LAN)
Criptografa en redes
Protocolos seguros
VPN (Virtual Private Network)
Cortafuegos
Protocolos seguros
Servicios de seguridad:
Manejo de claves
(negociacin y almacenamiento de claves)
Confidencialidad / Privacidad
No repudio
Integridad
Autenticacin
Autorizacin
Protocolos seguros . Niveles
Sumario
Introduccin
ACLs (Access Control Lists)
VLAN (Virtual LAN)
Criptografa en redes
Protocolos seguros
Nivel de Aplicacin
Nivel de Transporte
Nivel de Red
VPN (Virtual Private Network)
Cortafuegos
SSH (Secure SHell)
SSH es un protocolo de nivel de aplicacin para crear conexiones
seguras entre dos sistemas sobre redes no seguras (SSH2)
Alternativa a programas de acceso remoto no seguros, como telnet,
ftp, rlogin, rsh y rcp (slogin, ssh y scp)
Proporciona terminal de sesin cifrada con autenticacin fuerte del
servidor y el cliente, usando criptografa de clave pblica
Incluye caractersticas como:
una variedad de mecanismos de autenticacin de usuarios
conexiones TCP arbitrarias de tunneling a travs de la sesin SSH,
protegiendo protocolos inseguros como IMAP y permitiendo el paso
seguro a travs de cortafuegos
reenvo automtico de conexiones X windows
soporte para mtodos de autenticacin externa, inluyendo Kerberos
transferencias seguras de ficheros
SSH est basado en protocolos documentados por el IETF
SSH (Secure SHell) (II)
Otros tipos de proteccin que proporciona SSH:
Despus de la conexin inicial, el cliente puede verificar que se est
conectando al mismo servidor durante sesiones posteriores
El cliente puede transmitir su informacin de autentificacin al servidor,
como el nombre de usuario y la contrasea, en formato cifrado
El cliente tiene la posibilidad de usar X11 en aplicaciones lanzadas desde
el indicador de comandos de la shell. Esta tcnica proporciona una
interfaz grfica segura (llamada reenvo por X11)
Si el servidor usa la tcnica del reenvo de puerto, los protocolos
considerados como inseguros (POP, IMAP...), se pueden cifrar para
garantizar una comunicacin segura
1. Se crea una capa de transporte segura para que el cliente sepa que est
efectivamente comunicando con el servidor correcto. Luego se cifra la
comunicacin entre el cliente y el servidor por medio de un cdigo
simtrico
Para asignar un puerto local del cliente a un puerto remoto del servidor, primero
hay que saber los nmeros de puerto de ambas mquinas. Es posible asignar
dos puertos no estndar, diferentes el uno del otro.
ssh -L <puerto-local>:<maquina-remota>:<puerto-remoto> <nombre-usuario>@<maquina>
Configurar
certificado
Negociacin (handshake)
Arquitectura
Compresin Descompresin SSL
TCP
SSL. Funcionamiento
Su funcionamiento es el siguiente:
El cliente al hacer la conexin informa sobre los sistemas criptogrficos
que tiene disponibles, y el servidor responde con un identificador de la
conexin, su clave certificada e informacin sobre los sistemas
criptogrficos que soporta
Una vez finalizado este proceso, los protocolos toman el control de nivel
de aplicacin, de modo que SSL nos asegura que:
los mensajes que enviamos o recibimos no han sido modificados
ninguna persona sin autorizacin puede leer la informacin transmitida
efectivamente recibe la informacin quien debe recibirla
SSL Handshake Protocol
Genera los parmetros criptogrficos del estado de la sesin
Opera sobre el SSL Record Layer Protocol
Tiene dos mecanismos de negociacin de sesin:
Full Handshake (1 conexin)
Abbreviated Handshake (conexiones posteriores)
SSL Handshake Protocol (II)
1 conexin
2 conexin y sucesivas
Cliente SSL Servidor SSL (restart o resume)
Cliente SSL Servidor SSL
Client Hello
Server Hello
Client Hello V3
Certificate* Server Hello
Server Key Exchange* Change Cipher Spec
Certificate Request* Finished
Server Hello Done
Certificate* Change Cipher Spec
Client Key Exchange Finished
Certificate Verify* HTTP request
[Change Cipher Spec] HTTP response
Finished Close Notify Alert
[Change Cipher Spec] Close Notify Alert
Finished
Fin Handshake
HTTP request
HTTP response
Close Notify Alert
Close Notify Alert
* opcional
SSL. Protocolos de capa superior
Versin actual SSL 3.0
SSL es capaz de trabajar de forma transparente con todos los
protocolos que trabajan sobre TCP
Para ello el IANA tiene asignado un nmero de puerto por
defecto a cada uno de ellos:
Nota: estos puertos tambin son vlidos para las implementaciones de dichos protocolos sobre TLS
SSL. Servicios de seguridad
Confidencialidad
Cifrado y descifrado
Autenticacin
Autenticacin basada en certificado
Criptosistema de clave pblica
Integridad
Message Authentication Code (MAC)
No repudio
Certificado
Firma digital
SSL. Problemas
Slo trabaja sobre TCP (no UDP ni IPX)
crear sesin SSL sobre TCP y cifrar los paquetes UDP con el fruto
de esa negociacin. Requiere que cada paquete UDP pueda
descifrarse por separado y se cifre con claves distintas
No repudio de transacciones
SSL lo implementa si ambos extremos tienen certificados
Usar S/MIME sobre SSL
Arquitectura
Arquitecturade
deseguridad
seguridadIP
IP
Protocolo
Protocolode
de
Protocolo
ProtocoloESP
ESP gestin
gestinde
de
Protocolo
ProtocoloAH
AH
claves
claves
Algoritmo de Algoritmo
Algoritmo de Algoritmodede
cifrado autenticacin
cifrado autenticacin
DOI
DOI(Domain Of Interpretation)
(Domain Of Interpretation)
IPSec. Authentication Header
Encabezado IPSec para proveer servicios de integridad de datos,
autenticacin del origen de los datos, antireplay para IP
Para proteger la cabecera IP y los datos contra las modificaciones se
calcula un MAC en clave (Message Authentication Code) sobre la
mayora de los octetos del datagrama IP
Estndar definido en la RFC 2402
AH puede ser implementado solo o en combinacin con ESP o anidado
en modo tnel de IPSec
Los servicios de seguridad que ofrece pueden ser entre:
Dos hosts
Un host y un gateway de seguridad
Dos gateways de seguridad
Valor 51d en el campo Protocol (IPv4), o Next Header (IPv6)
Nmero de secuencia
0 16 24 31
Nmero de secuencia
mbito de la confidencialidad
mbito de la autenticacin
ESP (cifrado +
AH ESP (slo cifrado) autenticacin)
Control en el acceso
Confidencialidad
Combinaciones:
AH en modo transporte
AH en modo tnel
ESP en modo transporte
ESP en modo tnel
IPSec. Encapsulado
Internet
Internet
IPSec. Modos de funcionamiento (III)
SA bundle
Host 1 Host 2
Internet
Host Host
Host Host
Host 1 Gateway 1 Gateway 2 Host 2
Internet
Host Host
SA 1 (tnel)
Gateway Gateway
SA 2 (tnel)
Host 1 Gateway 1 Gateway 2 Host 2
Internet
Host Gateway
Host Host SA 1 (tnel)
SA 2 (tnel)
Host 1 Gateway 1 Gateway 2 Host 2
Internet
SA 1 (tnel)
SA 2 (tnel)
IPSec. Modos de funcionamiento (V)
Combinaciones: cualquiera de las propuestas anteriores puede ser
combinada con otras, generando empaquetados de SA mixtos. Hay cuatro
casos bsicos de estas combinaciones que deben ser soportados por todo
host o gateway de seguridad que implemente IPSec:
Internet
Intranet Intranet
Una o ms SA (tnel)
IPSec. Modos de funcionamiento (VI)
Combinacin de las dos anteriores
Internet
Intranet Intranet
Una o ms SA (tnel)
Internet
Intranet
Una o ms SA (tnel)
Autenticado*
IPSec. Encapsulado AH modo tnel
Antes de aplicar AH: IPv4
Cabecera IP
original TCP Datos
* Excepto para
campos mutables en
Despus de aplicar AH: nueva cabecera IP
Cabecera Cabecera IP
AH TCP Datos
IP nueva original
Autenticado*
Autenticado*
IPSec. Encapsulado EPS modo transporte
Antes de aplicar EPS: IPv4
Cabecera TCP Datos
IP original
Cifrado
Autenticado
IPSec. Encapsulado EPS modo tnel
Antes de aplicar ESP: IPv4
Cabecera IP
original TCP Datos
Cifrado
Autenticado
IPSec. Cifrado (DOI)
DES (Data Encryption Standard):
Claves de 56 bits
Rpido
No 100% seguro
Triple DES:
Ms costoso de procesar (ms lento)
100% seguro
Introduccin
ACLs (Access Control Lists)
VLAN (Virtual LAN)
Criptografa en redes
Protocolos seguros
VPN (Virtual Private Network)
Cortafuegos
VPN. Sumario
Qu es tunneling?
Protocolos de tunneling
Comparativa
Qu es una VPN?
Clasificacin general de las VPNs
Elementos de una VPN
Implementacin de una VPN
Funcionamiento bsico
Para qu sirven las VPNs?
Ventajas e inconvenientes de usar VPNs
Evolucin de los estndares de VPNs
Alternativas a las VPNs
Qu es tunneling?
La transmisin de paquetes de datos de un determinado
protocolo encapsulados en otro, de manera que el
contenido del paquete original puede llegar inalterado a su
destino, creando algo as como una conexin punto a
punto virtual a travs de una red
Ejemplos:
Tnel SNA para enviar paquetes IP
MBone: tneles multicast sobre redes unicast
6Bone: tneles IPv6 sobre redes IPv4
Tneles IPv4 para hacer enrutamiento desde el origen
Red SNA
PPTP solamente soporta un tnel simple entre dos puntos, mientras que L2TP
permite la utilizacin de mltiples tneles entre dos puntos. Adems se pueden
crear diferentes tneles para diferentes QoS
VPNs de Extranets
amplan la red de las empresas e incluyen proveedores, empresas
asociadas y/o clientes
Elementos de una VPN
Internet
Cortafuegos
con servicio VPN
IPSec sobre TCP/IP
Red interna
Servidor Servidor
web POP3/SMTP
Implementacin de una VPN
Hay que realizar las siguientes operaciones
Disear una topologa de red y firewalls
Teniendo en cuenta los costes y la proteccin
Escoger un protocolo para los tneles
Teniendo en cuenta los equipos finales
Teniendo en cuenta las aplicaciones finales
Disear una PKI (Public Key Infraestructure)
Teniendo en cuenta las necesidades del protocolo
Internet Red
Internet corporativa
Router o
Internet
Firewall
Red corporativa
Red
Servidor VPN corporativa
Red
Internet corporativa
Para qu sirven las VPNs?
Se pueden usar como una Extranet
Son ms seguras que una Extranet
Permiten conectar diferentes delegaciones de una empresa,
simulando una red local de una manera transparente y econmica
Proporcionan acceso a los diferentes recursos de la red de forma
remota a todos los usuarios de la red corporativa (clientes, socios,
consultores...)
Las VPNs seguras proporcionan:
Confidencialidad (cifrado de los datos)
Integridad (IPSec, asegura que los datos no son modificados en trnsito)
Autenticacin de usuarios (certificados X.509; identificacin de usuarios y
proteccin contra ataques de suplantacin)
Control de acceso a la red (polticas VPN)
No repudio
Ventajas de las VPNs
Ahorro en costes
No se compromete la seguridad de la red empresarial
El cliente remoto adquiere la condicin de miembro de la
LAN (permisos, directivas de seguridad)
El cliente tiene acceso a todos los recursos ofrecidos en la
LAN (impresoras, correo electrnico, base de datos, )
Acceso desde cualquier punto del mundo (siempre y
cuando se tenga acceso a Internet)
Inconvenientes de las VPNs
No se garantiza disponibilidad ( NO Internet NO VPN)
No se garantiza el caudal (red pblica)
Gestin de claves de acceso y autenticacin delicada y
laboriosa
La fiabilidad es menor que en una lnea dedicada
Mayor carga en el cliente VPN (encapsulacin y cifrado)
Mayor complejidad en la configuracin del cliente (proxy,
servidor de correo, )
Una VPN se considera segura, pero no hay que olvidar
que la informacin sigue viajando por Internet (no seguro y
expuestos a ataques)
Evolucin de los estndares de VPN
1996: Tunneling protocols
PPTP (Microsoft), L2F (Cisco)
Enfoque al tunneling forzoso
1997: VPN standardization
Estandarizacin del tunneling: L2TP
Autenticacin y cifrado: EAP, IPSEC
Incremento del desarrollo del tunneling voluntario
1998: VPN solutions
Gestin de usuario centralizada: RADIUS,LDAP
Auditora, contabilidad y aviso de alarmas: RADIUS
Gestin de red: SNMP
IP Tunneling IP
IPSec
PPP Tunneling
PPTP/L2TP
Circuit-Level Proxying
SOCKS v5
Alternativas a las VPNs
RAS (Remote Access Service)
Sistemas de acceso remoto basado en llamadas
conmutadas (RTC, RDSI)
Se produce una llamada del cliente al servidor de
RAS
El coste de esta llamada es el de una llamada
conmutada entre los dos extremos de la comunicacin
Se pueden tener tantas conexiones simultneas como
dialers (mdems) tengamos disponibles
RTCP
Alternativas a las VPNs (II)
Alquiler de lneas dedicadas:
Son seguras ya que slo circulamos nosotros
Alto coste econmico
El ancho de banda del que queramos disponer va en
proporcin a lo que se est dispuesto a pagar
Ej: lneas T1/E1, frame-relay, RDSI
WAN :
Coste muy elevado, no asumible por la mayora de
empresas
Ej: FDDI, ATM, ...
Sumario
Introduccin
ACLs (Access Control Lists)
VLAN (Virtual LAN)
Criptografa en redes
Protocolos seguros
VPN (Virtual Private Network)
Cortafuegos
Cortafuegos. Sumario
Qu es un cortafuegos?
Hasta qu nivel nos protegen?
Funciones de los cortafuegos
Componentes de los cortafuegos
Tcnicas aplicadas en los cortafuegos
Arquitecturas de los cortafuegos
Distintas clasificaciones de cortafuegos
Servicios adicionales de un cortafuegos
Qu es un cortafuegos?
Combinacin de tcnicas, polticas de seguridad y
tecnologas (hardware y software) encaminadas a
proporcionar seguridad en la red, controlando el trfico
que circula entre dos o ms redes (y ms concretamente,
entre una red privada e Internet)
Evolucin:
Cortafuegos a
Aparicin de nivel de
los primeros Aplicacin
cortafuegos Cortafuegos Filtrado
de filtrado de de inspeccin dinmico de Kernel
paquetes de estados paquetes Proxys
Internet
Cortafuegos
Red local
Hasta qu nivel nos protege un cortafuegos?
Internet
Servidor real
Red local
Cliente delegado
(proxy client)
Arquitectura de Servicios delegados
Arquitecturas de cortafuegos
La combinacin de los dos componentes bsicos, filtro y
nodo bastin, y las tcnicas de filtrado y delegacin,
permite definir mltiples arquitecturas para los
cortafuegos:
Internet
cortafuegos
Filtro
Red local
Internet
cortafuegos ext
Nodo con
doble interfaz
int
Red local
Internet
Cortafuegos
Filtro
Red local
Nodo bastin
Internet
Nodo bastin
Router exterior
Red local
Aceptar = Accept
Denegar / Rechazar = Deny o Drop
Descartar = Discard
Cortafuegos de filtrado de paquetes (III)
Ventajas:
Rapidez, transparencia, flexibilidad
Alto rendimiento y escalabilidad a bajo coste
tiles para bloquear ataques DoS
Inconvenientes:
funcionalidad limitada
complejidad de su configuracin (por expertos) susceptibles a
error en la implementacin de las reglas
fcilmente vulnerables mediante tcnicas de spoofing
no previenen contra ataques que exploten vulnerabilidades de
aplicaciones
histricos de accesos imprecisos
Inconvenientes:
limitacin a la comprobacin del protocolo TCP
imposibilidad de examinar protocolos superiores
limitacin inherente a su funcionamiento para llevar histrico de
sucesos
imposibilidad de implementar servicios adicionales (por ejemplo,
filtrado de URLs)
Cortafuegos de nivel de Aplicacin
Comprobacin a nivel de Aplicacin
Internet
Servidor externo
Agente proxy
Proceso Proceso
Anlisis
proxy cliente proxy servidor
Cliente real
Cortafuegos de nivel de Aplicacin (III)
Ventajas:
detallados registros de trfico (ya que pueden examinar la totalidad del
paquete de datos)
valor aadido del servicio de autenticacin de cara a asegurar nuestra red
casi nula vulnerabilidad ante ataques de suplantacin (spoofing)
aislamiento de la red interna
mayor flexibilidad de configuracin (seguridad a alto nivel de los
protocolos que inspeccionan y los servicios aadidos, como cach y filtro
de URLs, que prcticamente todos implementan)
Inconvenientes:
menores prestaciones (- velocidad de inspeccin)
necesidad de contar con servicios especficos para cada tipo distinto de
trfico e imposibilidad de ejecutar muchos otros servicios en l (puesto
que escucha en los mismos puertos)
imposibilidad de inspeccionar protocolos como UDP, RPC y otros
servicios comunes
vulnerables ante ataques directos al SO sobre el que se suelen ejecutar
Cortafuegos de filtrado dinmico de paquetes
Igual a filtrado de paquetes, pero proporcionan mecanismos de
seguridad sobre UDP