INDICE.

1. Introducción

2. Objetivo de un Firewalls

3. Beneficios de un firewall

4. Limitación de un Firewalls

5. ¿Cómo funciona?

6. ¿Qué son los servidores proxy y cómo trabajan?

7. Características de un proxy

8. Aplicaciones proxy

9. Factores que no hacen deseable un firewall

10. Practica

11. Conclusiones

12. Recomendaciones

13. Bibliografía
Introducción.
Firewall es un componente de Seguridad de la Información que es importante en nuestro
objetivo de proteger la información que como ya mencionamos es un activo de alta
importancia para las empresas en los tiempos actuales.
En este marco teórico queremos delimitar nuestro problema al componente Firewall debido a
que el mundo de la Seguridad de la información es bastante complejo y completo; para esto
daremos algunos conceptos básicos que nos ayudarán durante el resto de temas que trataremos
en este espacio.
Firewall.-
Firewall de Windows constituye una parte importante en un modelo de seguridad por niveles.
Al proveer a un equipo de un filtrado del tráfico de red bidireccional basado en host, el
servicio Firewall de Windows con seguridad avanzada bloquea el tráfico de red no autorizado
que entra y sale del equipo local. Además, Firewall de Windows con seguridad avanzada
funciona con la característica Reconocimiento de redes de forma que puede aplicar
configuraciones de seguridad acordes con los tipos de redes a las que los equipos se conectan.
Como ahora las opciones de configuración del Firewall de Windows y del protocolo de
seguridad de Internet (IPsec) están integradas en una sola consola Microsoft Management
Console (MMC) denominada Firewall de Windows, el Firewall de Windows ha pasado a
convertirse también en parte fundamental de la estrategia de aislamiento de una red.
Servidor proxy.-
Un servidor proxy de conexión a Internet es un servidor que hace de intermediario entre los
PCs de la red y el router de conexión a Internet, de forma que cuando un usuario quiere
acceder a Internet, su PC realiza la petición al servidor proxy y es el proxy quien realmente
accede a Internet. Posteriormente el proxy enviará los datos al PC del usuario para que los
muestre en su pantalla. El PC del usuario no tendrá conexión directa con el router, sino que las
peticiones irán dirigidas al proxy y este se las pasará al router. En la siguiente imagen se puede
ver un ejemplo de una red de un centro (10.0.0.0 /8) que sale a Internet a través de un proxy
que está conectado a un router usando la red 192.168.1.0/24 y el router a su vez sale a Internet
a través de la IP pública 80.58.195.100.
Aplicaciones prácticas.-
Para ayudarle a enfrentar los desafíos de seguridad de red en la organización, Firewall de
Windows con seguridad avanzada ofrece las siguientes ventajas:
1.-Reduce el riesgo de las amenazas para la seguridad de la red. Firewall de Windows con
seguridad avanzada reduce la superficie expuesta a ataques de un equipo, proporcionando una
capa adicional al modelo de defensa exhaustiva. Al reducir la superficie expuesta a ataques de
un equipo, aumenta la capacidad de administración del equipo y reduce la probabilidad de
éxito de los ataques. Protección de acceso a redes (NAP), también ayuda a garantizar que los
equipos cliente cumplan las directivas que definen el software requerido y las configuraciones
del sistema para los equipos que se conectan a la red. La integración de NAP ayuda a evitar las
comunicaciones entre equipos compatibles y no compatibles.
2.-Protege los datos confidenciales y la propiedad intelectual. Gracias a su integración con
IPsec, Firewall de Windows con seguridad avanzada proporciona una manera sencilla de
exigir comunicaciones de red de un extremo a otro autenticadas. Proporciona acceso escalable
y por niveles a recursos de red de confianza, lo que ayuda a exigir la integridad de los datos y,
de forma opcional, a proteger su confidencialidad.
3.-Amplía el valor de las inversiones existentes. Como Firewall de Windows con seguridad
avanzada es un firewall basado en host que se incluye y con sistemas operativos Windows
anteriores, y dado que está totalmente integrado con los Servicios de dominio de Active
Directory® (AD DS) y la directiva de grupo, no se requiere hardware ni software
adicional.Firewall de Windows con seguridad avanzada también se ha diseñado para
complementar las soluciones de seguridad de red existentes que no sean de Microsoft
mediante una interfaz de programación de aplicaciones (API) documentada.
Objetivo de un Firewalls
Un firewall sirve para múltiples propósitos, entre otros podemos anotar los siguientes:
- Restricción de entrada de usuarios a puntos cuidadosamente controlados de la red interna.
- Prevención ante los intrusos que tratan de ganar espacio hacia el interior de la red y los otros
esquemas de defensas establecidos.
- Restricción de uso de servicios tanto a usuarios internos como externos.
- Determinar cuáles de los servicios de red pueden ser accesados dentro de ésta por los que
están fuera, es decir, quién puede entrar a utilizar los recursos de red pertenecientes a la
organización.
Beneficios de un firewall
Administra los accesos posibles del Internet a la red privada.
Protege a los servidores propios del sistema de ataques de otros servidores en Internet.
Permite al administrador de la red definir un "choke point" (embudo), manteniendo al margen
los usuarios no-autorizados, prohibiendo potencialmente la entrada o salida al vulnerar los
servicios de la red.
Ofrece un punto donde la seguridad puede ser monitoreada.
Ofrece un punto de reunión para la organización. Si una de sus metas es proporcionar y
entregar servicios información a consumidores, el firewall es ideal para desplegar servidores
WWW y FTP.
Limitación de un Firewalls
Puede únicamente autorizar el paso del trafico, y él mismo podrá ser inmune a la penetración.
Desafortunadamente, este sistema no puede ofrecer protección alguna una vez que el agresor
lo traspasa o permanece en torno a éste.
No puede proteger contra aquellos ataques que se efectúen fuera de su punto de operación.
No puede proteger de las amenazas a que está sometido por traidores o usuarios inconscientes.
No puede prohibir que los traidores o espías corporativos copien datos sensitivos y los
substraigan de la empresa.
No puede proteger contra los ataques de la "Ingeniería Social", por ejemplo un Hacker que
pretende ser un supervisor o un nuevo empleado despistado.
¿Cómo funciona?
Un Firewall funciona, en principio, denegando cualquier tráfico que se produzca cerrando
todos los puertos de nuestro PC. En el momento que un determinado servicio o programa
intente acceder al ordenador nos lo hará saber. Podremos en ese momento aceptar o denegar
dicho tráfico, pudiendo asimismo hacer (para no tener que repetir la operación cada vez)
"permanente" la respuesta hasta que no cambiemos nuestra política de aceptación.
También puedes optar por configurar el Firewall de manera que reciba sin problemas cierto
tipo de datos (FTP, chat o correo, por ejemplo) y que filtre el resto de posibilidades. Un
firewall puede ser un dispositivo software o hardware, es decir, un aparatito que se conecta
entre la red y el cable de la conexión a Internet, o bien un programa que se instala en la
máquina que tiene el modem que conecta con Internet.
De esta forma, no te servirá de nada si tienes instalado un programa Adware que recoge datos
de tu equipo y se conecta al exterior para enviarlos. Conviene que te instales un Firewall más
completo y que te permita configurar políticas de seguridad.
Muchas compañías de seguridad disponen de vesiones shareware y freeware de sus Firewalls.
- La empresa Kerio dispone de una versión gratuita para usuarios no profesionales.
- ZoneAlarma es una de las firmas más populares en Firewalls.
- En el site de Agnitum puedes optar por una versión gratuita y una Pro, dependiendo de tus
necesidades.
¿QUÉ SON LOS SERVIDORES PROXY Y COMO TRABAJAN?
Un servidor proxy (algunas veces se hace referencia a el con el nombre de "gateway" - puerta
de comunicación - o "forwarder" - agente de transporte -), es una aplicación que media en el
tráfico que se produce entre una red protegida e Internet. Los proxies se utilizan a menudo,
como sustitutorios de routers controladores de tráfico, para prevenir el tráfico que pasa
directamente entre las redes. Muchos proxies contienen logines auxiliares y soportan la
autentificación de usuarios. Un proxy debe entender el protocolo de la aplicación que está
siendo usada, aunque también pueden implementar protocolos específicos de seguridad (por
ejemplo: un proxy FTP puede ser configurado para permitir FTP entrante y bloquear FTP
saliente).
Los servidores proxy, son aplicaciones específicas. Un conjunto muy conocido de servidores
proxy son los TIS Internet Firewall Toolkit "FWTK", que incluyen proxies para Telnet, rlogin,
FTP, X-Windows, http/Web, y NNTP/Usenet news. SOCKS es un sistema proxy genéricos
que puede ser compilado en una aplicación cliente para hacerla trabajar a través de una
Firewall.
CARACTERÍSTICAS
La palabra inglesa proxy significa procurador en español.
Comúnmente un servidor proxy, es un equipo informático que intercepta conexiones de red
hechas desde un cliente a un servidor de destino.
El más popular es el servidor proxy de web. Interviene en la navegación por la web, con
distintos fines: seguridad, rendimiento, anonimato, etc.
Existen proxys específicos para otros protocolos, como el proxy de FTP.
El proxy ARP puede hacer de enrutador en una red, ya que hace de intermediario entre
ordenadores.
Proxy (patrón de diseño) también es un patrón de diseño (programación) con el mismo
esquema que el proxy de red.
Un componente hardware también puede actuar como intermediario para otros.
Como se ve, proxy tiene un significado muy general, aunque siempre es sinónimo de
intermediario. Cuando un equipo de la red desea acceder a una información o recurso, es
realmente el proxy quien realiza la comunicación y a continuación traslada el resultado al
equipo que la solicitó.
Hay dos tipos de proxys atendiendo a quién es el que quiere implementar la política del proxy:

PROXY LOCAL: En este caso el que quiere implementar la política es el mismo que hace la
petición. Por eso se le llama local. Suelen estar en la misma máquina que el cliente que hace
las peticiones. Son muy usados para que el cliente pueda controlar el tráfico y pueda establecer
reglas de filtrado que por ejemplo pueden asegurar que no se revela información privada
(Proxys de filtrado para mejora de la privacidad).
PROXY DE RED O PROXY EXTERNO: El que quiere implementar la política del proxy
es una entidad externa. Por eso se le llama externo. Se suelen usar para implementar cacheos,
bloquear contenidos, control del tráfico, compartir IP, etc.
VENTAJAS
En general, no solamente en informática, los proxys hacen posible:

Control: solamente el intermediario hace el trabajo real, por tanto se pueden limitar y
restringir los derechos de los usuarios, y dar permisos únicamente al servidor proxy.
Ahorro: solamente uno de los usuarios (el proxy) ha de estar preparado para hacer el trabajo
real. Con estar preparado significa que es el único que necesita los recursos necesarios para
hacer esa funcionalidad. Ejemplos de recursos necesarios para hacer la función pueden ser la
capacidad y lógica de la dirección de red externa (IP).
Velocidad: si varios clientes van a pedir el mismo recurso, el proxy puede hacer caché:
guardar la respuesta de una petición para darla directamente cuando otro usuario la pida. Así
no tiene que volver a contactar con el destino, y acaba más rápido.
Filtrado: el proxy puede negarse a responder algunas peticiones si detecta que están
prohibidas.
Modificación: como intermediario que es, un proxy puede falsificar información, o
modificarla siguiendo un algoritmo.
DESVENTAJAS
En general, el uso de un intermediario puede provocar:
Anonimato: si todos los usuarios se identifican como uno solo, es difícil que el recurso
accedido pueda diferenciarlos. Pero esto puede ser malo, por ejemplo cuando hay que hacer
necesariamente la identificación.
Abuso: al estar dispuesto a recibir peticiones de muchos usuarios y responderlas, es posible
que haga algún trabajo que no toque. Por tanto, ha de controlar quién tiene acceso y quién no a
sus servicios, cosa que normalmente es muy difícil.
Carga: un proxy tiene que hacer el trabajo de muchos usuarios.
Intromisión: es un paso más entre origen y destino, y algunos usuarios pueden no querer
pasar por el proxy. Y menos si hace de caché y guarda copias de los datos.
Incoherencia: si hace de caché, es posible que se equivoque y dé una respuesta antigua
cuando hay una más reciente en el recurso de destino. En realidad este problema no existe con
los servidores proxy actuales, ya que se conectan con el servidor remoto para comprobar que
la versión que tiene en caché sigue siendo la misma que la existente en el servidor remoto.
Irregularidad: el hecho de que el proxy represente a más de un usuario da problemas en
muchos escenarios, en concreto los que presuponen una comunicación directa entre 1 emisor y
1 receptor (como TCP/IP).
APLICACIONES
El concepto de proxy es aplicado de muy distintas formas para proporcionar funcionalidades
específicas.
Proxy Caché
Conserva el contenido solicitado por el usuario para acelerar la respuesta en futuras peticiones
de la misma información de la misma máquina u otras. Habitualmente se trata de proxys
HTTP/HTTPS accediendo a contenido web. Esta función es especialmente necesaria en redes
con acceso precario a Internet, aunque los usuarios lo perciban a menudo como una
intromisión que limita su privacidad frente a conexiones individuales directas.
Proxy de Web
Se trata de un proxy para una aplicación específica: el acceso a la web con los protocolos
HTTP y HTTPS, y accesoriamente FTP. Aparte de la utilidad general de un proxy puede
proporcionar una caché compartida para las páginas web y contenidos descargados, actuando
entonces como servidor proxy-caché. Esta caché es compartida por múltiples usuarios con la
consiguiente mejora en los tiempos de acceso para consultas coincidentes y liberando de carga
a los enlaces de acceso a Internet.
FUNCIONAMIENTO:
El usuario realiza una petición (por ejemplo, en un navegador web) de un recurso de Internet
(una página web o cualquier otro archivo) especificado por una URL.
Cuando el proxy caché recibe la petición, busca la URL resultante en su caché local. Si la
encuentra, contrasta la fecha y hora de la versión de la página demanda con el servidor remoto.
Si la página no ha cambiado desde que se cargó en caché la devuelve inmediatamente,
ahorrándose mucho tráfico dado que solo envía un paquete por la red para comprobar la
versión. Si la versión es antigua o simplemente no se encuentra en la caché, lo solicita al
servidor remoto, lo devuelve al cliente que lo pidió y guarda o actualiza una copia en su caché
para futuras peticiones.
Los proxys web pueden aportar una serie de funcionalidades interesantes en distintos ámbitos:
Reducción del tráfico mediante la implementación de caché en el proxy. Las peticiones de
páginas Web se hacen al servidor Proxy y no a Internet directamente. Por lo tanto se aligera el
tráfico en la red y descarga los servidores destino, a los que llegan menos peticiones.
El caché utiliza normalmente un algoritmo configurable para determinar cuándo un
documento está obsoleto y debe ser eliminado de la caché. Como parámetros de configuración
utiliza la antigüedad, tamaño e histórico de acceso. Dos de esos algoritmos básicos son el LRU
(el usado menos recientemente, en inglés "Least Recently Used") y el LFU (el usado menos
frecuentemente, "Least Frequently Used").
Mejora de la velocidad en tiempo de respuesta mediante la implementación de caché en el
proxy. El servidor Proxy crea un caché que evita transferencias idénticas de la información
entre servidores durante un tiempo (configurado por el administrador) así que el usuario recibe
una respuesta más rápida. Por ejemplo supongamos que tenemos un ISP que tiene un servidor
Proxy con caché. Si un cliente de ese ISP manda una petición por ejemplo a Google esta
llegará al servidor Proxy que tiene este ISP y no irá directamente a la dirección IP del dominio
de Google. Esta página concreta suele ser muy solicitada por un alto porcentaje de usuarios,
por lo tanto el ISP la retiene en su Proxy por un cierto tiempo y crea una respuesta en mucho
menor tiempo. Cuando el usuario crea una búsqueda en Google el servidor Proxy ya no es
utilizado; el ISP envía su petición y el cliente recibe su respuesta ahora sí desde Google.
Los programas P2P se pueden aprovechar de la caché proporcionada por algunos proxys. Es el
llamado Webcaché. Por ejemplo es usado en Lphant y algunos Mods del Emule.
El proxy puede servir para implementar funciones de filtrado de contenidos. Para ello es
necesaria la configuración de una serie de restricciones que indiquen lo que no se permite.
Observar que esta funcionalidad puede ser aprovechada no solamente para que ciertos usuarios
no accedan a ciertos contenidos sino también para filtrar ciertos ficheros que se pueden
considerar como peligrosos como pueden ser virus y otros contenidos hostiles servidos por
servidores web remotos.
Un proxy puede permitir esconder al servidor web la identidad del que solicita cierto
contenido. El servidor web lo único que detecta es que la ip del proxy solicita cierto contenido.
Sin embargo no puede determinar la ip origen de la petición. Además, si se usa una caché,
puede darse el caso de que el contenido sea accedido muchas más veces que las detectadas por
el servidor web que aloja ese contenido.
Los proxys pueden ser aprovechados para dar un servicio web a una demanda de usuarios
superior a la que sería posible sin ellos.
El servidor proxy puede modificar los contenidos que sirven los servidores web originales.
Puede haber diferentes motivaciones para hacer esto. Veamos algunos ejemplos:
Algunos proxys pueden cambiar el formato de las páginas web para un propósito o una
audiencia específicos (Ej. mostrar una página en un teléfono móvil o una PDA) traduciendo
los contenidos.
Hay proxys que modifican el tráfico web para mejorar la privacidad del tráfico web con el
servidor. Para ello se establecen unas reglas que el proxy tiene que cumplir. Por ejemplo el
proxy puede ser configurado para bloquear direcciones y Cookies, para modificar cabeceras de
las peticiones o quitar javascript que se considere peligroso.
Es frecuente el uso de este tipo de proxys en las propias máquinas de los usuarios (proxys
locales) para implementar un paso intermedio y que las peticiones no sean liberadas/recibidas
a/de la red sin haber sido previamente limpiadas de información o contenido peligroso o
privado. Este tipo de proxys es típico en entornos donde hay mucha preocupación sobre la
privacidad y se suele usar como paso previo a la petición del contenido a través de una red que
persiga el anonimato como puede ser Tor. Los programas más frecuentes para hacer este tipo
de funcionalidad son:
Privoxy: Se centra en el contenido web. No presta servicio de caché. Analiza el tráfico
basándose en reglas predefinidas que se asocian a direcciones especificadas con expresiones
regulares y que aplica a cabeceras, contenido, etc. Es altamente configurable. Tiene extensa
documentación.
Polipo: Tiene características que lo hacen más rápido que privoxy (cacheo, pipeline, uso
inteligente de rango de peticiones). Su desventaja es que no viene configurado por defecto
para proveer anonimicidad a nivel de la capa de aplicación.
El servidor proxy proporciona un punto desde el que se puede gestionar de forma centralizada
el tráfico web de muchos usuarios. Eso puede aprovecharse para muchas funciones adicionales
a las típicas vistas anteriormente. Por ejemplo puede usarse para el establecimiento de
controlar el tráfico de web de individuos concretos, establecer cómo se va a llegar a los
servidores web de los cuales se quiere obtener los contenidos (por ejemplo, el proxy puede
configurarse para que en lugar de obtener los contenidos directamente, lo haga a través de la
red Tor).
INCONVENIENTES
Si se realiza un servicio de caché, las páginas mostradas pueden no estar actualizadas si estas
han sido modificadas desde la última carga que realizó el proxy caché.
Un diseñador de páginas web puede indicar en el contenido de su web que los navegadores no
hagan una caché de sus páginas, pero este método no funciona habitualmente para un proxy.
El hecho de acceder a Internet a través de un Proxy, en vez de mediante conexión directa,
dificulta (necesario configurar adecuadamente el proxy) realizar operaciones avanzadas a
través de algunos puertos o protocolos.
Almacenar las páginas y objetos que los usuarios solicitan puede suponer una violación de la
intimidad para algunas personas.
Aplicaciones Web Proxy
Su funcionamiento se basa en el de un proxy HTTP/HTTPS, pero en este caso el usuario
accede desde el navegador web a este servicio de forma manual a través una Aplicación Web.
Ese servidor HTTP, el intermediario, mediante una URL recibe la petición, accede al servidor
de la web solicitada y devuelve el contenido dentro una página propia.
Proxy SOCKS1
Los servidores SOCKS se diferencian de otros proxys por utilizar en vez de HTTP un
protocolo específico, el protocolo SOCKS. El programa cliente es a la vez cliente HTTP y
cliente SOCKS. El cliente negocia una conexión con el servidor proxy SOCKS usando el
protocolo SOCKS de nivel 5, capa de sesión, del modelo OSI. Una vez establecida la conexión
todas la comunicaciones entre el cliente y proxy se realizan usando el protocolo SOCKS. El
cliente le dice al proxy SOCKS qué es lo que quiere y el proxy se comunica con el servidor
web externo, obtiene los resultados y se los manda al cliente. De esta forma el servidor externo
solo tiene que estar accesible desde el proxy SOCKS que es el que se va a comunicar con él.
El cliente que se comunica con SOCKS puede estar en la propia aplicación (Ej. Firefox,
putty), o bien en la pila de protocolos TCP/IP a donde la aplicación enviará los paquetes a un
túnel SOCKS. En el proxy SOCKS es habitual implementar, como en la mayoría de proxys,
autenticación y registro de las sesiones.
En los orígenes de la web fue un protocolo de acceso a web popular, pero el rápido desarrollo
de los proxies HTTP o incluso de NAT y otras opciones de aseguramiento de las
comunicaciones TCP/IP lo hizo caer en desuso prácticamente absoluto llegado el siglo XXI.
Proxies transparentes
Muchas organizaciones (incluyendo empresas, colegios y familias) usan los proxies para
reforzar las políticas de uso de la red o para proporcionar seguridad y servicios de caché.
Normalmente, un proxy Web o NAT no es transparente a la aplicación cliente: debe ser
configurada para usar el proxy, manualmente. Por lo tanto, el usuario puede evadir el proxy
cambiando simplemente la configuración.
Un proxy transparente combina un servidor proxy con un cortafuegos de manera que las
conexiones son interceptadas y desviadas hacia el proxy sin necesidad de configuración en el
cliente, y habitualmente sin que el propio usuario conozca de su existencia. Este tipo de proxy
es habitualmente utilizado por las empresas proveedoras de acceso de Internet.
Proxy inverso (Reverse Proxy)
Un proxy inverso (reverse proxy en inglés) es un servidor proxy situado en el alojamiento de
uno o más servidores web. Todo el tráfico procedente de Internet y con destino en alguno de
esos servidores web es recibido por el servidor proxy. Hay varias razones para ello:
Seguridad: el servidor proxy es una capa adicional de defensa y por lo tanto protege a los
servidores web.
Cifrado / Aceleración SSL: cuando se crea un sitio web seguro, habitualmente el cifrado SSL
no lo hace el mismo servidor web, sino que es realizado en un equipo ajeno equipado incluso
con hardware de aceleración SSL/TLS.
Distribución de Carga: el proxy puede distribuir la carga entre varios servidores web. En ese
caso puede ser necesario reescribir la URL de cada página web (traducción de la URL externa
a la URL interna correspondiente, según en qué servidor se encuentre la información
solicitada).
Caché de contenido estático: Un proxy inverso puede descargar de trabajo a los servidores
web almacenando contenido estático como imágenes u otro contenido gráfico. También puede
almacenar contenido generado dinámicamente pero que pueda ser en alguna medida
reutilizable.
Proxy NAT (Network Address Translation)
La traducción de direcciones de red (NAT, Network Address Translation) también es conocida
como enmascaramiento de IPs. Es una técnica mediante la cual las direcciones fuente o
destino de los paquetes IP son reescritas, sustituidas por otras (de ahí el "enmascaramiento").
Esto es lo que ocurre cuando varios usuarios comparten una única conexión a Internet. Se
dispone de una única dirección IP pública, que tiene que ser compartida. Dentro de la red de
área local (LAN) los equipos emplean direcciones IP reservadas para uso privado y será el
proxy el encargado de traducir las direcciones privadas a esa única dirección pública para
realizar las peticiones, así como de distribuir las páginas recibidas a aquel usuario interno que
la solicitó. Estas direcciones privadas se suelen elegir en rangos prohibidos para su uso en
Internet como 192.168.x.x, 10.x.x.x, 172.16.x.x y 172.31.x.x
Esta situación es muy común en empresas y domicilios con varios ordenadores en red y un
acceso externo a Internet. El acceso a Internet mediante NAT proporciona una cierta
seguridad, puesto que en realidad no hay conexión directa entre el exterior y la red privada, y
así nuestros equipos no están expuestos a ataques directos desde el exterior.
Mediante NAT también se puede permitir un acceso limitado desde el exterior, y hacer que las
peticiones que llegan al proxy sean dirigidas a una máquina concreta que haya sido
determinada para tal fin en el propio proxy.
La función de NAT reside en los Cortafuegos y resulta muy cómoda porque no necesita de
ninguna configuración especial en los equipos de la red privada que pueden acceder a través
de él como si fuera un mero encaminador.
Proxy abierto
Este tipo de proxy es el que acepta peticiones desde cualquier ordenador, esté o no conectado
a su red.
En esta configuración, el proxy ejecutará cualquier petición de cualquier ordenador que pueda
conectarse a él, realizándose como si fuera una petición del proxy. Por lo que permite que este
tipo de proxy se use como pasarela para el envío masivo de correos de spam. Un proxy se usa,
normalmente, para almacenar y redirigir servicios como el DNS o la navegación Web,
mediante el cacheo de peticiones en el servidor proxy, lo que mejora la velocidad general de
los usuarios. Este uso es muy beneficioso, pero al aplicarle una configuración "abierta" a todo
internet, se convierte en una herramienta para su uso indebido.
Debido a lo anterior, muchos servidores, como los de IRC, o correo electrónicos, deniegan el
acceso a estos proxys a sus servicios, usando normalmente listas negras ("BlackList").
Teniendo esta usa seguridad más fiable.
Cross-Domain Proxy
Típicamente usado por Tecnologías web asíncronas (flash, ajax, comet, etc) que tienen
restricciones para establecer una comunicación entre elementos localizados en distintos
dominios.
En el caso de AJAX, por seguridad solamente se permite acceder al mismo dominio origen de
la página web que realiza la petición. Si se necesita acceder a otros servicios localizados en
otros dominios, se instala un Cross-Domain proxy2 en el dominio origen que recibe las
peticiones ajax y las reenvía a los dominios externos.
En el caso de flash, también han solucionado creando la revisión de archivos xml de Cross-
Domain, que permiten o no el acceso a ese dominio o subdominio.
FACTORES QUE NO HACEN DESEABLE UNA FIREWALL
INEFICIENTE: el firewall se convierte en un cuello de botella de toda la estructura y debe
poseer por lo tanto una eficiencia en la manipulación de los streams de paquetes que sea igual
o superior a la del enrutador que maneja tal enlace.
Normalmente la experiencia y conocimiento de los fabricantes de firewalls no se acerca
siquiera a la tradición y conocimiento de los fabricantes tradicionales de enrutadores, por ello
rara vez pueden cumplir el requisito anterior y lo que se consigue en la practica es un cuello de
botella, así como enrutadores sub utilizados debido a la situación anterior.
Este factor también nos conduce a que los costos para maquina de firewall que cumplan tales
requisitos sean bastante altos ya que su volumen de producción (numero de unidades
vendidas) no se acerque a la producción típica de los enrutadores correspondientes para ese
nivel de procesamiento de paquetes por segundo.
NO TAN SEGURO: los firewall son típicamente implementados en un sistema UNIX lo que
los hace bastante vulnerables para los ataques de seguridad, ya que de tal sistema existe mayor
conocimiento del público en general, y son bastante publicadas las posibles brechas de
seguridad en ese sistema operativo, por ello es el blanco típico de ataque para los programas
especializados de scanning de los hackers (estudian "pacientemente" múltiples opciones del
sistema, hasta encontrar un punto de acceso o modificación).estos programas son en un 99%
desarrollados para sistemas UNIX.
Si mi seguridad esta sustentada en una maquina cuyo núcleo está apoyada en el sistema UNIX
(el cual es precisamente el más conocido por los enemigos de mi seguridad), entonces mi
sistema no es realmente tan seguro.
MUCHAS VECES NO SON TRANSPARENTES A LA OPERACIÓN DEL USUARIO:
debido a su diseño, algunos de estos modelos no son tan transparentes a la operación del
sistema, complican la administración del sistema de comunicación (usualmente tienen
interfaces de manejo propietarias). Algunos modelos basados en "proxies" pueden ser muy
seguros, pero algunos de ellos requieren versiones modificadas de los aplicativos, llevando los
a ser poco deseables para montajes masivos.
SON INAPROPIADOS PARA MONTAJES MIXTOS: por su misma concepción el
montaje solicitado por las compañías cuenta con dos niveles de VPNs (la intranet corporativa
y luego las intranet de cada empresa), los cuales deben ser interrrelacionados de manera
armoniosa para flujo de información y control de acceso. Este tipo de montaje seria bastante
costoso, dificil de implementar y de administrar con dos niveles de firewalls.
Practica
1. Abrid el Firewall de Windows con Seguridad Avanzada

2. En la pantalla del Firewall, seleccionamos Reglas de Entrada. Por defecto los puertos
están abiertos de salida y cerrados de entrada. En las reglas de entrada hay algunas
reglas por defecto. Nosotros vamos a Añadir Nueva Regla.

3. Podemos añadir diferentes tipos de reglas. Nosotros señalamos Puertos.

4. Señalamos que se trata de una conexión TCP y señalamos el puerto específico que
deseamos (o rango de puertos como señala el ejemplo).

5. ¿Qué puede controlar la regla?

◦ Permitir completamente la conexión
◦ Permitir la conexión si es segura según parámetros específicos
◦ Bloquear la conexión
Nosotros vamos a abrir el puerto, por lo tanto vamos a Permitir la conexión.

6. Escogemos el entorno en el que esta regla se aplica. Si abrimos el puerto para una
aplicación web, como Node, debemos marcar los tres.
 7. Ponemos un nombre y una descripción. Es una buena práctica poner una descripción
para luego reconocer mejor nuestra regla entre todas.

8. Nos aseguramos de que está en la lista y de que está activada (círculo verde).

Conclusiones.-
El Firewall le proporcionará la mayoría de las herramientas para complementar su seguridad
en la red, mediante la imposición de políticas de seguridad, en el acceso a los recursos de la
red y hacia la red externa, es importante monitorear frecuentemente para poder detectar un
posible intruso y así proteger la información.
Recomendaciones.-
CÓMO MANTENER SU FIREWALL EN ÓPTIMAS CONDICIONES
Cuando no esté utilizando la conexión, apáguela.
Actualizaciones de software. Vaya al Sitio Web del vendedor de su firewall, y suscríbase para
recibir avisos de actualizaciones.
Revise las bitácoras. Esté atento de la cantidad de tráfico que está rebotando su firewall.
CÓMO PROTEGER SU COMPUTADORA ADEMÁS DEL FIREWALL
Utilice un buen antivirus.
Mantenga su software actualizado.
Cheque su configuración de seguridad.
Cree contraseñas seguras. Actualícelas con frecuencia.
Controle el acceso de su computadora a ciertos sitios Web.
Bibliografia.-
https://msdn.microsoft.com/es-es/library/hh831365(v=ws.11).aspx
http://jzamsnovlog.blogspot.mx/2015/05/instalacion-de-firewall-en-windows.html
http://adritah.es/abrir-puertos-en-el-firewall-de-windows-2008-server-r2/
http://www.monografias.com/trabajos14/firewalls/firewalls.shtml
http://recursos.cepindalo.es/mod/book/view.php?id=10166
https://es.scribd.com/doc/135332395/Servidor-Proxy
http://docs.nethserver.org/es/v7/firewall.html