República Bolivariana de Venezuela

Ministerio del Poder Popular para la Educación Universitaria

Universidad Alejandro de Humboldt
Asignatura: Teleproceso y Teleinformática
Sección: DCN1001II

FIREWALL

Profesor(a): Integrantes:
Ing. Ewlin Chirinos

Caracas, 15 de Septiembre de 2016

 Índice

Introducción ......................................................................................................................... 1
Firewall (Cortafuegos) ......................................................................................................... 2
Principios ......................................................................................................................... 2
Características ................................................................................................................ 3
Ventajas .......................................................................................................................... 4
Políticas del Cortafuegos .................................................................................................... 5
Política restrictiva: ................................................................................................... 5
Política permisiva: ................................................................................................... 5
Clasificación y tipos de Cortafuegos ................................................................................... 5
Filtrado de paquetes en el nivel de red (nivel 3): ............................................................ 6
Sistema intermediario (pasarelas o gateways) en el nivel de aplicación (nivel 7): ......... 8
Gateways o Pasarelas a nivel de circuitería: .................................................................. 9
Otros casos: .................................................................................................................. 10
Configuraciones de Firewalls ............................................................................................ 11
Firewall con un Bastion Host (single-homed bastion host): .................................. 11
Firewall con screened host (dual-homed bastion host): ....................................... 12
Firewall con screened-subnet (DMZ o zona desmilitarizada): .............................. 12
Sistemas Confiables ......................................................................................................... 13
Control de Acceso a Datos ........................................................................................... 13
Modelos Generales de Control de Acceso ....................................................................... 14
Matriz de Accesos ......................................................................................................... 14
Lista de Control de Acceso ........................................................................................... 15
Lista de Capacidades .................................................................................................... 15
Sistemas Confiables (Trusted) .......................................................................................... 16
Seguridad contra Troyanos ............................................................................................... 18
Seguridad de Información ................................................................................................. 19
Aspectos Principales: .................................................................................................... 19
Tipos de Contramedidas ............................................................................................... 20
Mecanismos de Seguridad................................................................................................ 21
Mecanismos Preventivos: ..................................................................................... 21
Mecanismos Detectores: ....................................................................................... 21
Mecanismos Correctivos: ...................................................................................... 21
Mecanismos Disuasivos: ....................................................................................... 22
Simulación: Escenario Firewall de Filtrado de Paquetes Capa (3)................................... 22
Conclusión......................................................................................................................... 32
Referencias ....................................................................................................................... 33
 Introducción

Desde la llegada del año 2000, las redes informáticas y el Internet se

han expandido rápida y masivamente alrededor del mundo, permitiendo a
millones de usuarios conectados, independientemente de sus posiciones
(particulares u organizacionales) el acceso a información, la posibilidad de
compartir recursos y múltiples servicios digitales que brinda la web como
el correo electrónico.

Con la posibilidad de compartir información en tiempo real y debido a

la gran complejidad de las redes, el tráfico de millones de datos diarios a
través de medios digitales interconectados ha dado lugar a
vulnerabilidades que ponen en riesgo la integridad de datos masivos y de
acceso limitado en grandes organizaciones que manejan información
confidencial y transacciones diarias importantes, por ejemplo.

Es exactamente el incremento en el número de usuarios involucrados

permitió este auge en el compartimiento de recursos a través de la red y
por lo tanto, el aumento en el número de atacantes potenciales.

Desde estos inicios y el crecimiento rápido de las redes, hubo un gran

interés por desarrollar técnicas y herramientas que permitieran proteger a
las empresas que trabajan con redes grandes, e inclusive a usuarios de
computadores personales, de ataques que involucren accesos no
autorizados, amenazas y ataques potencialmente peligrosos.

El mundo de la seguridad informática es uno de los tópicos más

importantes en la Informática moderna, permitiendo estudiar y desarrollar
mecanismos para evitar dichos ataques como lo son la criptografía y uno
de los más importantes en la actualidad, el firewall o cortafuegos.

1
 Firewall (Cortafuegos)

Se denomina cortafuegos a un sistema de seguridad desarrollado

para ubicarse entre una red pública (como WAN’s o Internet) y una red
interna o privada que le pertenece a una organización, o bien puede
ubicarse entre diferentes secciones de una red interna.

Un firewall o cortafuegos está compuesto de una colección de

elementos (equipos, programas o una combinación de ambos) que
proveen de servicios para controlar el tráfico entre las dos redes,
autorizando o impidiendo su tránsito de una a otra, dependiendo de la
serie de criterios de seguridad que se hayan definido.

Principios
 Un Firewall es ubicado entre una red local o privada y una red
pública como el Internet.
 Establece un control de tráfico entre el punto interior y el punto
exterior.
 Proteger las redes privadas de ataques provenientes del Internet.

2
Características
Los cortafuegos también suelen ser utilizados para evitar que
usuarios de redes públicas no autorizados puedan tener acceso a redes
privadas, o bien, intranets.

Todos los mensajes que entren o salgan de la intranet pasan a

través del firewall que se encarga de examinar cada uno de ellos y
bloquea los que no cumplen con los criterios de seguridad especificados.

En general, el tráfico de que va desde el interior de la red hacia el

exterior debe pasar por el firewall bloqueando todos los accesos físicos a
la red exterior según el firewall (exceptuando él mismo).

Por lo tanto, solo al tráfico exterior autorizado por el cortafuego

tiene permitido pasar a la red interna de acuerdo con las políticas de
seguridad definidas por la organización. Deben ser inmunes a
penetraciones a través del uso de software y sistemas operativos
confiables.

Por otra parte, los cortafuegos son conectados con frecuencia a

una tercera red, denominada zona desmilitarizada o DMZ (demilitarized
zone) que habitualmente se utiliza para ubicar servidores que es
necesario que sean accedidos desde afuera, como servidores de correo
electrónico, web y servidores DNS.

Existen varios aspectos referidos al tipo de control que los cortafuegos

pueden ejercer sobre una red:

 Control de Servicios: en donde determina el tipo de servicios red

que son accesibles desde el interior y el exterior.
 Control de Usuarios: controles de acceso a servicios en base al
usuario que pretende acceder. Suele restringirse el acceso a
usuarios locales dentro de zonas protegidas.
 Control de Direcciones: se determina que direcciones pueden
solicitar servicios y hacia cuales se les permite su paso a través del
cortafuego.

3
  Control de Comportamiento: controlando como son utilizados cada
uno de los servicios particularmente (como servicios web, filtrado
de correo electrónico, entre otros).

Existen varias alternativas al control de servicios, que en general

tienen que ver con algunas funciones de los cortafuegos como la filtración
de tráfico a los servicios basándose en direcciones IP y cantidad de
puertos o la asignación de software Proxy para cada servicio a controlar,
como se explicará más adelante.

Ventajas
Los cortafuegos proveen de un solo punto de protección frente
ataques a la red y tiene muchas ventajas que permiten asegurar la
integridad y la seguridad en las organizaciones:

 Establece perímetros confiables, manteniendo a usuarios no

autorizados fuera de la red protegida.
 Prohíbe la entrada o salida de servicios potencialmente
vulnerables.
 Permite el acceso a ciertos segmentos de la red desde maquinas
autorizadas de otros segmentos de la organización o del exterior.
 Protege a la red frente ataques de suplantación de direcciones IP
(IP spoofing).
 Supervisa y sigue eventos de seguridad como: registro de accesos,
intentos de intrusión, gestión de alarmas de seguridad y auditorias.
 Asegura la protección de la información privada definiendo distintos
niveles de acceso a la información, de manera que cada grupo de
usuarios tenga acceso solo a los servicios y recursos que le son
estrictamente necesarios.
 El firewall identifica los elementos internos de la red y optimiza la
comunicación entre ellos, haciendo que sea más directa. Esto
ayuda a reconfigurar los parámetros de seguridad.

4
 Políticas del Cortafuegos
Existen dos políticas básicas en la configuración de un cortafuego.
El objetivo es mejorar radicalmente la filosofía fundamental de la
seguridad en las organizaciones.

 Política restrictiva: En primer lugar, se deniega cualquier tráfico

entrante exceptuando el que esta explícitamente permitido de
acuerdo con las especificaciones de seguridad. Por defecto, el
cortafuego obstruye todo el tráfico y hay que habilitar
expresamente el tráfico de los servicios que se necesiten.
 Política permisiva: Se permite todo el tráfico entrante
exceptuando el que este explícitamente denegado según las
especificaciones de seguridad establecidas. Todo servicio que sea
potencialmente peligroso deberá ser aislado básicamente caso por
caso, mientras que el resto del tráfico no será filtrado.

En todo caso, se considera que la política restrictiva es la más

segura, ya que se asegura que todo el tráfico este restringido, evitando el
paso de tráfico potencialmente peligroso por error. Por su parte, en la
política permisiva existe el riesgo de que no se contemple algún caso de
tráfico peligroso y sea permitido por omisión.

Clasificación y tipos de Cortafuegos

Para la construcción de cortafuegos existen, básicamente, tres
posibilidades:

 Realizar el filtrado de paquetes en el nivel de red: inspeccionando

los paquetes recibidos/enviados y comprobando si encajan en las
reglas.
 Utilizar un sistema intermediario (pasarelas o gateways) en el nivel
de aplicación: basado en el uso de proxies del nivel de aplicación
bloqueando aplicaciones no permitidas.

5
  Filtros “con estado” o utilizando pasarelas o gateways o a nivel de
circuitería: llevando un registro de las conexiones que pasan a
través del cortafuego.

Filtrado de paquetes en el nivel de red (nivel 3):

Esta modalidad de cortafuegos suele localizarse en los dispositivos

de encaminamiento. Consiste en un filtro que examina cada paquete que
llega al dispositivo y dictamina sin consentir o no su paso hacia uno de los
puertos de salida, en función de si cumple ciertas reglas especificadas en
una base de datos. Trabaja también en la capa de Transporte (Nivel 4).

Cada paquete se inspecciona y se autoriza de forma aislada.

Consiste en un filtro “sin estado”. No tiene en cuenta si los paquetes son
parte de una conexión específica.

El filtrado de los paquetes emplea la información contenida en cada

paquete analizado que entra a la red:

- Dirección IP de origen (nivel de red)

- Dirección IP de destino (nivel de red)
- Puerto de destino (nivel de transporte)
- Puerto de destino (nivel de transporte)
- Tipo de protocolo: TCP, UDP, IMCP, etc.
- Interfaz de entrada o salida (en cortafuegos con tres o más
conexiones).

6
 El filtrado de paquetes se configura como una lista de reglas
estáticas cuyas acciones se basan en: descartar, rechazar, retransmitir…
Reglas que deben ser comprobadas secuencialmente una a una.

Cuando entra un paquete, se invoca la regla: aceptar o denegar. Si

ninguna regla encaja, se aplica la acción predeterminada: denegar por
defecto, según la política restrictiva: todo está bloqueado, por lo que los
servicios permitidos deben añadirse explícitamente.

También se puede aceptar por defecto: lo que no está

explícitamente prohibido, está permitido, por lo que servicios
vulnerables/peligrosos deben bloquearse.

Ventajas:

- Simplicidad: maneja información mínima y la especificación de

reglas es simple.
- Alta velocidad: toma las decisiones sobre los paquetes en un
proceso mínimo (coste reducido).
- Transparente a los usuarios.

Desventajas:

- La información tratada es de bajo nivel, así que no examina datos a

nivel de aplicación.
- No puede evitar ataques que se aprovechen de vulnerabilidades o
funcionalidades específicas de las aplicaciones.
- Requiere información de niveles más altos en la arquitectura de la
red para admitir esquemas de autentificación/control de usuarios.
- Existe una dificultad para la configuración de las reglas de filtrado
de paquetes.

7
Sistema intermediario (pasarelas o gateways) en el nivel de
aplicación (nivel 7):
Esta modalidad de cortafuegos también conocidos como servidores
Proxy actúa en el nivel de aplicación, generalmente intermediando la
comunicación entre un proceso cliente y un proceso servidor, uno de los
cuales pertenece a la red que se desea proteger y el otro a una red
externa.

Por lo tanto, existen dos conexiones: cliente-internto-Proxy (el

proxy hace el papel de servidor) y Proxy-servidor-externo (el proxy hace el
papel de cliente). Para ambas aplicaciones son conexiones transparentes:
cliente y servidor tienen la sensación de una conexión directa.

Se trata de dispositivos repetidores de tráfico a nivel de aplicación.

El proxy separa completamente la red interna de la red externa actuando
como servidor intermediario, ofreciendo un número limitado de servicios a
nivel de aplicación.

A diferencia del filtrado de paquetes, es posible controlar a un nivel

más alto: analiza las conexiones a nivel de cada aplicación concreta y
permite la autentificación de usuarios.

Por ejemplo, al tratarse de trafico HTTP, se pueden realizar

filtrados según la URL a la que se está intentando acceder, e incluso se
pueden aplicar reglas en función de los propios parámetros que
aparezcan en el formulario web.

8
 Un cortafuegos a nivel de aplicación de trafico HTTP suele
denominarse proxy y permite que los ordenadores de una organización
entren a Internet o redes públicas de una forma controlada. Un proxy
puede ocultar las verdaderas direcciones de red eficazmente.

Este tipo de cortafuegos tiene ventajas como:

- Mayor seguridad que en el filtrado de paquetes a nivel de red.

- Centraliza la información de cada protocolo del nivel de aplicación.
- Evita una comunicación directa con el servidor de destino.
- Al ejecutarse en el nivel de aplicación, permite mayores
posibilidades de control y por lo tanto mayor flexibilidad: por
ejemplo, bloqueo de contenidos o servidores web.
- Autentificación de usuarios a alto nivel.
- Servicios añadidos como cache y gestión/compartición de
conexiones.

Limitaciones:

- Se debe instalar un proxy para cada aplicación a controlar.

- No son totalmente transparentes a los usuarios, pues requieren de
cierta intervención por parte de los mismos.
- Mantener o bien, controlar las conexiones tiene un alto coste de
procesamiento.
- La cantidad de servicios con Proxy está limitada por los recursos
del equipo del cortafuego.

Gateways o Pasarelas a nivel de circuitería:

9
 Se trata de un mecanismo de seguridad hibrido entre filtros de
paquetes y proxies de aplicación. Este cortafuegos puede tratarse de un
sistema autónomo o bien una función complementaria realizada por un
proxy para ciertas aplicaciones.

Aplica mecanismos de seguridad cuando una conexión TCP o UDP

es establecida, desde ese momento los paquetes pueden fluir entre los
anfitriones sin más control o sin analizar sus contenidos.

Funciona como intermediario (proxy) de conexiones. La pasarela

de circuitos establece dos conexiones TCP de la forma: pasarela-equipo
interno, pasarela-equipo externo.

Este mecanismo se diferencia del uso de proxies de aplicación

debido a que no analiza el trafico (no maneja información del protocolo de
aplicación) y existe menos necesidad de procesamiento, retransmitiendo
paquetes TCP entre dos conexiones ya abiertas.

Cuando se establecen las dos conexiones, la pasarela o Gateway

de circuitos tiene un funcionamiento análogo al de un filtro de paquetes.
Este tipo de cortafuegos suele utilizarse cuando un administrador confía
en los usuarios de la red interna.

Otros casos:
Existen otro tipo de cortafuegos como el Firewall Personal que se
instala como software en computadores personales filtrando las
comunicaciones entre dichos computadores y otras redes, especialmente
Internet.

También se destaca el Bastión Host (servidor bastión o pasarela de

aplicaciones) que sirve como plataforma para un 10estrin a nivel de
aplicación o de circuito ubicada en un servidor con el fin de ofrecer
seguridad a la red interna

10
 Configuraciones de Firewalls
Existen varias configuraciones o bien, topologías más complejas de
cortafuegos además de una configuración simple utilizando un solo
sistema (un solo filtrador de paquetes o un solo Gateway):

 Firewall con un Bastion Host (single-homed bastion host):

Consta de dos sistemas: un filtrador de paquetes y un

bastión host. Solo a los paquetes desde o hacia el bastión host se
les permite pasar. El bastión desempeña funciones de
autentificación y proxy.

La utilización de este tipo de configuración permite una

mayor seguridad a diferencia de configuraciones simples. Es capaz
de implementar tanto filtrado a nivel de paquetes como a nivel de
aplicación (lo que permite flexibilidad para elegir políticas de
privacidad).

Un intruso deberá atravesar dos barreras (dos sistemas por

separado) lo que dificulta los ataques. Por otra parte, permite a los
usuarios la posibilidad de proveer acceso directo a Internet o
servidores públicos de información.

11
 Firewall con screened host (dual-homed bastion host):

En este caso, intervienen dos placas de red. Evita que el

trafico pase directamente a la red interna si el router con filtrado de
paquetes se encuentra comprometido. Mantiene dos capas de
seguridad, que se pueden conectar con el router, según las
políticas de seguridad.

 Firewall con screened-subnet (DMZ o zona desmilitarizada):

En esta configuración de aíslan los servicios al exterior para

evitar acceso a la red protegida y posee tres niveles de defensa
ante intrusos con dos routers: interno y externo con filtrado de
paquetes.
En este caso, el router externo solo declara la existencia de la
subred protegida hacia la Internet, por lo que la red interna es
invisible para Internet. Por su parte, el router interno solo declara

12
 hacia la red interna la existencia de la subred protegida, por lo que
la misma no puede construir rutas directas hacia Internet.

Se crea una subred aislada DMZ (zona desmilitarizada) que

puede consistir de un simple host bastión o de más servidores
públicos. Por lo tanto, los routers solo permiten tráfico a/desde la
red DMZ. La zona DMZ tiene cierto control, deja que algunas
aplicaciones puedan ser accedidas como servicios externos:
servidores web o servidores DNS. Normalmente se implementa
NAT (Network Address Translation) que oculta direcciones reales y
dificulta o impide accesos.

Sistemas Confiables

Una forma de mejorar la habilidad de un sistema de defensa contra

intrusos y programas maliciosos, es implementar tecnología de Sistemas
Confiables. (Trusted Systems).

Control de Acceso a Datos

 Por medio del procedimiento de control de acceso de usuarios

(login) un usuario puede ser identificado por el sistema.

 Asociado a cada usuario, puede haber un perfil que especifique las

operaciones permitidas y los accesos a archivos.

 El sistema operativo puede aplicar reglas basadas en el perfil del

usuario.

 Los modelos generales de control de Acceso pueden se:

- Matriz de Accesos.
- Lista de Control de Acceso.

13
 - Lista de Capacidades.

Modelos Generales de Control de Acceso

Matriz de Accesos

Los elementos básicos del modelo de Matriz de Acceso son:

 Sujeto: Una entidad capaz de accesar objetos, el concepto de
sujeto corresponde al de proceso.

 Objeto: Cualquier cosa que tiene acceso controlado (por ejemplo:

archivos, programas).

 Derechos: La manera en la cual un objeto es accesado por un

sujeto (por ejemplo: lectura, escritura y ejecución).

 Un eje de la matriz (Y) consiste de los sujetos identificados que

pueden intentar acceder a los datos.

 El otro eje (X) lista los objetos que pueden ser accedidos.

 Cada entrada en la matriz indica los derechos de acceso de cada

sujeto para cada objeto.

14
Lista de Control de Acceso
Descomposición de la matriz por columnas. Lista los sujetos
(usuarios) y sus derechos (permisos) de accesos permitidos. La lista
puede contener una entrada pública o por default.

Lista de Capacidades
Descomposición de la matriz por filas (ticket de capacidad). Los
tickets de capacidad especifican objetos autorizados y las operaciones
para cada sujeto (usuario). Cada sujeto tiene un número de ticket.

15
 Sistemas Confiables (Trusted)

Los sistemas confiables (Trusted) presentan las siguientes

características:

 Protección de datos y recursos en base a niveles de seguridad,

como en lo militar, donde la información se categoriza como U
(unclassified), C (confidential), S (secret) y TS (top secret).
 Los usuarios pueden obtener permisos para acceder a ciertas
categorías de datos.

 Seguridad Multinivel: definición cuando hay múltiples categorías o

niveles de datos.

 Los sistemas de seguridad multinivel deben aplicar las siguientes

reglas:

- No Read Up: un sujeto solo puede leer un objeto de nivel de

seguridad igual o menor (Simple Security Property).

- No Write Down: un sujeto sólo puede escribir en un objeto de

nivel de seguridad igual o mayor (*.Property).

16
  Concepto de Monitor de Referencia: aproximación de seguridad
multinivel para un sistema de procesamiento de datos.

Los monitores de referencia cuentan con las siguientes características:

 Elemento de control en el hardware y sistema operativo de una

computadora que regula el acceso de sujetos a objetos en base a
parámetros de seguridad.

 El monito tiene acceso a un archivo (Security Kernel Database).

 Aplica las reglas de seguridad (no read up, no write down).

Algunas propiedades que tiene un monitor son:

 Mediación Completa: reglas de seguridad se aplican en todo

acceso.

17
  Aislación: el monitor de referencia y la DB están protegidos de
medicaciones no autorizadas.

 Correctitud: la exactitud del monitor de referencia debe ser

comprobable (matemáticamente).

Un sistema que pueda proveer tales verificaciones (o propiedades), se

puede referir como un Sistema Confiable.

Seguridad contra Troyanos

Se denomina troyano a un virus informático o programa malicioso

capaz de alojarse en computadoras y permitir acceso a usuarios externos,
a través de una red local o de internet, con el fin de recabar información.

Suele ser un programa pequeño alojado dentro de una aplicación,

imagen, archivo de música u otro elemento de apariencia inocente, que se
instala en el sistema al ejecutar el archivo que lo contiene.
Una vez instalado parece realizar una función útil (aunque cierto
tipo de troyanos permanecen ocultos y por tal motivo los antivirus o anti-
troyanos no los eliminan). Pero internamente realiza otras tareas de las
que el usuario no es consiente, de igual forma que el Caballo de Troya
que los griegos regalaron a los troyanos.

Habitualmente se utiliza para espiar, usando la técnica de instalar

un software de acceso remoto que permite monitorizar lo que el usuario
legítimo de la computadora hace y, por ejemplo, capturar las pulsaciones
del teclado con el fin de obtener contraseñas u otra información sensible.

La mejor defensa contra los troyanos es no ejecutar nada de lo cual

se desconozca el origen y mantener software antivirus actualizado y
dotado de buena heurística. Es recomendable también instalar algún

18
software anti-troyano, una manera de detectarlos es inspeccionando
frecuentemente la lista de procesos activos en memoria en busca de
elementos extraños, vigilar accesos a discos innecesarios, etc.

Es por esta razón que se recomienda para prevenir estos ataques,

bloquear cualquier puerto plug & play que pueda contener los hosts en la
capa de acceso de una red empresarial, también se utilizan firewalls a
nivel de aplicación que funcionen como proxies y mantengan un registro
constante y bloqueo preventivo de las páginas web no confiables, que
suelen visitar recurrentemente el personal que labora en una empresa. Al
mantener un log o registro de todas las actividades realizadas por cada
usuario en la capa de acceso, se puede hacer una detección prematura
de cualquier archivo o información descargada de la web que pudiese
alterar el rendimiento normal de la computadora, y comprometer la
información a la que acceso el usuario legítimo de la misma.

Seguridad de Información

Es una disciplina que trata de asegurar la integridad y la privacidad

de los sistemas de información. Cubre todos los componentes que forma
un sistema de información: datos, software, hardware, redes, usuarios,
etc.

Aspectos Principales:

 Confidencialidad
 Autenticidad
 Integridad
 Disponibilidad

19
 La política de seguridad es un documento donde se analizan las
debilidades del sistema informático, así como los mecanismos que se van
a seguir para conseguir un máximo alcance de cada uno de los aspectos
anteriores. No siempre es posible llegar a alcanzar un alto grado de
consecución en todos los aspectos puesto que algunos son excluyentes
entre sí (por ejemplo: Disponibilidad – Autenticidad), por lo que hay que
conseguir un equilibrio ideal.

Tipos de Contramedidas

 Físicas: soluciones hardware que aseguren la disponibilidad (por

ejemplo: SAI) y la integridad (por ejemplo: RAID).

 Lógicas (informáticas): métodos algorítmicos que aseguran la

autenticidad (por ejemplo: firma electrónica) y confidencialidad.

 Administrativas: conjunto de reglas que marcan el uso del

sistema informático y que son de obligado cumplimiento.

 Legales: sistema de medidas o normas que define la ley y cuya

principal cualidad es el ser de carácter represiva.

20
 Mecanismos de Seguridad

Los mecanismos de seguridad son todos aquellos que garantizan

la protección de los bienes y servicios informáticos dispuestos en un lugar
específico. Estos mecanismos pueden ser algún dispositivo o herramienta
que permita resguardad un bien, software o sistema que de igual manera
ayude de algún modo a proteger un activo y que no precisamente es algo
tangible, o una medida de seguridad que se implemente, por ejemplo: las
políticas de seguridad.

Los mecanismos también reciben el nombre de controles ya que

dentro de sus funciones se encuentran el indicar la manera en que se
deben ejecutar las acciones que permitan resguardar la seguridad y se
eviten vulnerabilidades en la misma. Los mecanismos se dividen en:

 Mecanismos Preventivos:
Son aquellos cuya finalidad consiste en prevenir la ocurrencia de
un ataque informático. Básicamente se concentran en el monitoreo
de la información y de los bienes, registro de las actividades que se
realizan en la organización y control de todos los activos y de
quienes acceden a ellos.
 Mecanismos Detectores:
Son aquellos que tienen como objetivo detectar todo aquello que
pueda ser una amenaza para los bienes. Ejemplos de estos son las
personas y equipos de monitoreo, quienes pueden detectar
cualquier intruso o anomalía en la organización.

 Mecanismos Correctivos:
Se encargan de reparar los errores cometidos o daños causados
una vez que se ha cometido un ataque, o en otras palabras,
modifican el estado del sistema de modo que vuelva a su estado
original y adecuado.

21
  Mecanismos Disuasivos:
Se encargan de desalentar a los perpetradores de que cometan su
ataque para minimizar los daños que puedan tener los bienes.

Simulación: Escenario Firewall de Filtrado de Paquetes Capa (3)

En la imagen anterior se hace la simulación en packet tracer del

funcionamiento de un Firewall configurado en un Router Cisco, la red
consta de un Servidor HTTP-DNS el cual hospeda una página web cuyo
dominio es www.firewall.com, también se cuenta con un Router Cisco
(R0) quien presta el servicio DHCP a los 3 hosts que se encuentran
conectados al Switch (S0) e incorpora el servicio de Firewall de filtrado de
paquetes. El objetivo es permitir a través de las reglas especificadas en
la imagen que solo los hosts pertinentes tengan acceso a la página web
alojada en el Servidor antes mencionado. Sin embargo en vista de que no
solo está pasando trafico HTTP por la red, es requerido que se tenga en
cuenta el resto de tráfico (DNS, DHCP, ICMP, TELNET, SSH).

Para ello se procedió a configurar las interfaces del router (R0)

entrando en CLI y pulsando enter seguido de la siguiente configuración:

22
Router>en
Router#conf t

//configuramos la linea de consola

Router(config)#line con 0 //entramos a la linea de consola 0
Router(config-line)#exec-timeout 0 0 //asignamos intervalo de tiempo por conexión ilimitado
Router(config-line)#logging syn //impide desfasar la linea de consola cada que sucede un cambio
Router(config-line)#password qwerty //asignamos qwerty como clave a la línea de consola
Router(config-line)#login //asignamos qwerty como clave a la línea de consola
Router(config-line)#exit //salimos de la línea de configuración actual

//configuramos la linea virtual de la 0 a la 4 que funcionaran con telnet

Router(config)#line vty 0 4 //entramos a las líneas virtuales del 0 – 4
Router(config-line)#exec-timeout 0 0
Router(config-line)#logging syn
Router(config-line)#password qwerty
Router(config-line)#login
Router(config-line)#exit

Al configurar las líneas vty de la 0 a la 4 como se vio en el script

anterior logramos habilitar 5 líneas virtuales para que puedan ser
accedidas a través de telnet de manera remota por los hosts de la LAN de
ser necesario.

//configuramos la linea virtual 5 que funcionara con ssh

Router(config)#username dagoner priv 15 pass qwerty //crea el user dagoner con privilegio max.
Router(config)#hostname FIREWALL //cambia el nombre del equipo a FIREWALL
FIREWALL(config)#ip domain-name seguridad.com //indica un nombre de dominio para ssh
FIREWALL(config)#crypto key gene rsa 1024 //genera la clave rsa con tamaño de 1024 bits
FIREWALL(config)#line vty 5 //entramos a la linea virtual 5
FIREWALL(config-line)#transport input ssh //activa solo ssh para la linea virtual 5
FIREWALL(config-line)#login local //para que lo use el usuario dagoner
FIREWALL(config-line)#exit

Al configurar la linea vty 5 como se vio en el script anterior

logramos habilitar una linea virtual a la que podrá accederse remotamente
con ssh.

//configuramos la interfaz fa0/0

FIREWALL(config)#int fa0/0 //entramos al Puerto fastethernet0/0 del router
FIREWALL(config-if)#ip add 192.168.1.1 255.255.255.248 //asignamos la ip para el puerto
FIREWALL(config-if)#no sh //levantamos el puerto

//configuramos la interfaz fa0/1

FIREWALL(config)#int fa0/1
FIREWALL(config-if)#ip add 10.10.10.1 255.255.255.252
FIREWALL(config-if)#no sh
FIREWALL(config-if)#exit

Configuramos ahora el Puerto del Servidor HTTP-DNS SERVER

como se muestra a continuación:

23
 Su ip debe ser la siguiente dirección dentro de la red 10.10.10.0 /30
es decir la 10.10.10.2 ya que la .1 la ocupamos para asignársela al puerto
del router que está conectado al servidor, su default gateway será la ip de
la interfaz del router y el DNS es el servidor mismo. Ahora procedemos a
configurar el servidor DNS ingresando en la pestaña de servicios y luego
DNS, dentro del servidor como se muestra a continuación:

Como se muestra en la imagen anterior hemos añadido el nombre

de dominio www.firewall.com y en address colocamos evidentemente la ip
del servidor que contiene el servicio DNS es decir la 10.10.10.2, antes de
salir de esta pestaña se debe salvar la configuración. Ahora pasaremos al
servicio HTTP en el que modificaremos algunos elementos que se
mostraran a continuación:

24
 Acá eliminamos todos los archivos que se encuentran marcados y
nos quedamos solo con el index.html, luego lo que se hizo es buscar en
google una imagen de firewall la que escogimos para esta simulación es
la siguiente:

Luego haciendo click en el botón import subimos dicha imagen al

File Manager debería quedar dos archivos el index.html y el .jpg o .png
que hayas escogido subir. Ahora editaremos el archivo index.html dando
click sobre edit en dicho archivo, se nos abrirá la siguiente pestaña:

25
 Aquí deberá modificarse la página como se muestra en la imagen
anterior y luego debemos salvar de esta manera ya tendríamos listo el
DNS y la Pagina Web. Ahora pasaremos a configurar el Servicio DHCP en
el router retomando la linea de configuración en la que nos quedamos
anteriormente en el router.

//configuramos el servicio DHCP en el router (R0)

FIREWALL(config)#ip dhcp pool LAN_01 //creamon el pool dhcp y lo nombramos lan_01
FIREWALL(dhcp-config)#network 192.168.1.0 255.255.255.248 //indicamos la red del pool
FIREWALL(dhcp-config)#default-router 192.168.1.1 //indicamos el default gateway de la red
FIREWALL(dhcp-config)#default-router 10.10.10.2 //indicamos quien es el dns
FIREWALL(dhcp-config)#exit
FIREWALL(config)#ip dhcp excluded-add 192.168.1.1 255.255.255.248 //excluimos la ip
FIREWALL(config)#ip dhcp excluded-add 192.168.1.5 255.255.255.248 //excluimos la ip
FIREWALL(config)#ip dhcp excluded-add 192.168.1.6 255.255.255.248 //excluimos la ip

La razón por la que excluimos la ip 192.168.1.1 es porque esa

dirección es la del default-gateway por lo que no queremos que DHCP
entregue esta dirección que se encuentra ya reservada, en el caso de la
192.168.1.5 y la .6, se excluyen porque sabemos que la red 192.168.1.0
/29 otorga 6 direcciones ip válidas y nosotros para esta simulación solo
ocuparemos las 4 primeros que son una para el default y las otras 3 para
los hosts, la intención de hacer esto es generar mayor seguridad de esta
manera impedimos que DHCP entregara direcciones validas a usuarios
que pudieran infiltrarse en la red y conectarse al Switch (S0).

26
 En este punto nos queda configurar el switch (S0), los hosts y el
servicio de Firewall en el router (R0). Configuraremos ahora seguridad de
puertos en el switch (S0), para ello tendremos en cuenta que los puertos
fastethernet del switch que están conectados a los hosts son los
mostrados en la siguiente imagen:

La Fa0/1 está conectada a la PC-ADMIN, la 0/3 a la PC-USUARIO

y por último la 0/4 a la PC-CEO, empezaremos por configurar la fa0/1.

//configuramos seguridad de puerto en la fastethernet0/1 del switch

Switch>en
Switch#conf t
Switch(config)#int fa0/1 //entramos al Puerto fastethernet0/1 del switch
Switch(config-if)#switchport mode access //habilitamos el modo de acceso en el puerto
Switch(config-if)#switchport port-security //habilitamos seguridad de puerto
Switch(config-if)#switchport port-security violation restrict //27estring en caso de violación
Switch(config-if)#switchport port-security mac-address 000C.CF22.5E57 // mac de pc-admin

En este puerto se configura la acción de restringir todo el tráfico

que pasa por el puerto si la mac-address conectada al mismo es diferente
a 000.CF22.5E57, la cual pertenece única y exclusivamente al PC-
ADMIN, la razón de esto es que así garantizamos que ningún intruso, sea
capaz de conectarse al puerto desconectando al host legítimo y
conectando una laptop con la que tenga intenciones de atacar la red.

//configuramos seguridad de puerto en la fastethernet0/3 del switch

Switch(config)#int fa0/3
Switch(config-if)#switchport mode access
Switch(config-if)#switchport port-security
Switch(config-if)#switchport port-security violation shutdown //apaga en caso de violación
Switch(config-if)#switchport port-security mac-address 0030.F295.6083// mac de pc-usuario

En este puerto se configura la acción de apagar el puerto si la mac-

address conectada al mismo es diferente a 0030.F295.6038, la cual
pertenece única y exclusivamente al PC-USUARIO, al igual que el caso
anterior esta acción se programa para garantizar que solo se conecte el

27
host legitimo al puerto, sin embargo esta configuración provoca que cada
que se active la violación abra que entrar en la interfaz y hacer un
apagado y encendido nuevamente del puerto después de conectar
nuevamente el usuario legítimo.

//configuramos seguridad de puerto en la fastethernet0/4 del switch

Switch(config)#int fa0/4
Switch(config-if)#switchport mode access
Switch(config-if)#switchport port-security
Switch(config-if)#switchport port-security violation protect //protege en caso de violación

En este puerto se configura la acción de proteger el puerto si la

mac-address conectada al mismo es diferente a las mac-address
añadidas antes de esta configuración en el mac-address table, en caso de
que ocurra la violación no se admite ningún tipo de trafico proveniente del
equipo intruso. Para acceder a la tabla de direcciones mac, debe hacerse
lo siguiente.

//para mostrar la tabla de direcciones mac

Switch(config-if)#exit
Switch(config)#do sh mac-address-table //muestra la tabla de direcciones mac

De esta manera podemos asumir que la mac 0090.2114.a1c4 es la

dirección mac de la PC-CEO. Ya llegados a este punto para culminar con
el switch (S0), lo que haremos es apagar todos los puertos del switch que
no estemos ocupando y eso lo podemos hacer de la siguiente manera.

//para mostrar la tabla de direcciones mac

Switch(config)#int range fa0/5 – 24 // rango de puertos que incluya todos los que no usamos
Switch(config-if)#sh //apagamos los puertos

28
 De este modo impedimos que se pueda conectar cualquier intruso
al switch de manera no autorizada.
Ahora procedemos a configurar las ACL’s (Listas de Control de
Acceso), las listas de control de acceso permiten convertir nuestro router
(R0) en un Firewall, en este caso uno de filtrado de paquetes en capa 3,
para ello tendremos que tener muy en cuenta todos los protocolos que
están en este momento operando en la red, repasémosla los protocolos
hasta ahora involucrados en el tráfico de la red y que se tiene la intención
de mantener operativos son:
 DNS  TELNET
 HTTP  SSH
 DHCP  ICMP

Luego de identificar los protocolos que se quieren conservar debe

determinarse las reglas del Firewall, las cuales especifican que hosts o
usuarios, bajo cual protocolo tendrá acceso a los elementos dispuestos en
la red. De manera que para esta simulación se pretende aplicar las
siguientes reglas:

Para PC-ADMIN

 No puede hacer ping a al servidor.

 Puede acceder a la pág. Web: www.firewall.com
 Puede acceder a líneas vty por telnet y ssh

Para PC-USUARIO
 No puede hacer ping al servidor.
 No puede acceder a la pág. Web. www.firewall.com
 No puede acceder a líneas vty ni por telnet, ni por ssh

Para PC-CEO
 No puede hacer ping al servidor.

29
  Puede acceder a la pág. Web. www.firewall.com
 No puede acceder a líneas vty ni por telnet, ni por ssh
Ya explicado esto ahora procedemos a ir a (R0) y hacer lo siguiente:
FIREWALL>en
FIREWALL#conf t
FIREWALL(config)#access-list 101 deny icmp any host 10.10.10.2
//la sentencia anterior permite denegar cualquier ping producido por cualquier hosts, con destino a
la ip del servidor

FIREWALL(config)#access-list 101 deny tcp host 192.168.1.3 any eq www

//la sentencia anterior permite denegar solicitudes http provenientes solo del host pc-usuario

FIREWALL(config)#access-list 101 permit ip any any

FIREWALL(config)#access-list 101 permit udp any any eq bootpc
FIREWALL(config)#access-list 101 permit udp any any eq bootps

//la primera de tres permite cualquier trafico ip producido por cualquier origen a cualquier destino

//la segunda permite solicitudes de cualquier origen a cualquier servidor en este caso haciendo
alusión al servidor dhcp en el router y al servidor dns que monta http-dns server

//la tercera permite responder a cualquier solicitud hecha por clientes a cualquier servidor en este
caso haciendo alusión a los 3 hosts

FIREWALL(config)#int fa0/0
FIREWALL(config-if)#ip access-group 101 in
//permite que la lista de control 101 se aplique a la int fa0/0, es decir las reglas en la lista 101 se
aplicaran para el tráfico entrante por dicho puerto

FIREWALL(config-if)#exit
FIREWALL(config)#access-list 1 permit host 192.168.1.2
//permite conexiones provenientes de la ip de pc-admin

FIREWALL(config)#access-list 2 permit host 192.168.1.2

//permite conexiones provenientes de la ip de pc-admin

FIREWALL(config)#line vty 0 4
FIREWALL(config-if)#access-class 1 in
//permite que la lista de control 1 se aplique a las líneas virtuales de la 0-4, es decir las reglas en la
lista 1 se aplicaran para el tráfico entrante por estas líneas virtuales

FIREWALL(config-if)#exit
FIREWALL(config)#line vty 5
FIREWALL(config-if)#access-class 2 in
//permite que la lista de control 2 se aplique a la línea virtual 5, es decir las reglas en la lista 2 se
aplicaran para el tráfico entrante por estas líneas virtuales

Se debe tener en cuenta 2 cosas, primero que por defecto hay una
denegación implícita en las listas de control de acceso, es decir que
después de leer todas las reglas el Firewall denegara el resto de aquello
que no fue permitido. Segundo que como existe un denegación implícita

30
no se puede crear una lista de control de acceso que contenga solo una
denegación de algún protocolo o trafico especifico ya que si solo se tiene
denegaciones al final la denegación explicita terminara por negar todo, es
por ello que se acostumbra siempre si se requiere negar algo colocarlo al
principio de la lista y luego se permita al menos alguna cosa.

Ya habiendo hecho esto solo queda realizar las pruebas

pertinentes, hacer pings, solicitudes telnet, ssh, dhcp, intentar acceder a
la página web, y el resto de pruebas para garantizar que las reglas fueron
cumplidas a cabalidad.

31
 Conclusión

Los Firewalls son una vital herramienta de seguridad informática

que trabajan bajo un conjunto de reglas y políticas que cambian conforme
mayor sea la necesidad de garantizar la confidencialidad, autenticidad,
disponibilidad e integridad del tráfico de datos suscitado en una red, la
intención de utilizar un Firewall es brindar la oportunidad de incrementar la
seguridad en la red, sin embargo hay que tener en cuenta que cualquier
extremo es malo, no es óptimo tener seguridad máxima a costa de
perjudicar la velocidad en la transferencia de datos, y tampoco sirve de
nada tener una red que converge a grandes velocidades si esta está
totalmente expuesta a cualquier ataque.

Es importante a la hora de instalar un Firewall en la red, conocer la

topología lógica que presenta la misma, tener un conocimiento cercano al
cien de la cantidad de protocolos y tráfico que fluye en ella, saber la
cantidad de hosts, de routers, switchs y servidores presentes, así como
tener en cuenta que el Firewall por sí solo no aumentara la seguridad si
no se ha hecho uso adecuada de las diferentes configuraciones de
seguridad que se pueden hacer en la red sin la presencia del Firewall. El
cortafuego es un dispositivo que funciona mejor si se integra a un
conjunto de normas y reglas de seguridad que deben ser empleados en la
configuración básica inicial de toda red.

La aplicación de un router dedicado como Firewall requiere de

mucho cuidado y tiempo de estudio, amerita un conocimiento elevado y
asistencia de expertos en el área, ya que el mínimo error en la
configuración de una lista de control de acceso podría provocar aquello
por lo que se está implementando el Cortafuegos en la red, un ataque
Dos. Esto se pudo evidenciar en el montaje de la Simulación del Firewall
de filtrado de paquetes capa 3.

32
 Referencias

- España, M. (2003). Servicios avanzados de telecomunicación.

Ediciones Díaz de Santos.
- Stalling, W. (2004). Fundamentos de seguridad en redes:
aplicaciones y estándares. Pearson Educación. Capítulo 11:
Cortafuegos.
- Sistemas Confiables:
Ing. Gallardo, J. Seguridad en Redes Firewalls. Universidad
Nacional Patagonia “S.J. BOSCO”.

Referencias electrónicas
- Seguridad contra Troyanos:
http://www.segu-info.com.ar/malware/troyano.htm

- Seguridad Informática:
https://danielpecos.com/documents/seguridad-informatica/

- Mecanismos de Seguridad:
http://redyseguridad.fi-
p.unam.mx/proyectos/buenaspracticas/mecanismos%20de%20seg
uridad.html

33