SEMANA 4 – REDES Y SEGURIDAD

REDES Y SEGURIDAD
SEMANA 4
Implementación de
Firewall

IACC-2019
1
SEMANA 4 – REDES Y SEGURIDAD

APRENDIZAJE ESPERADO
 Configurar las diferentes etapas para
la implementación de ZPF.

IACC-2019
2
SEMANA 4 – REDES Y SEGURIDAD

INTRODUCCIÓN ................................................................................................................................... 4
1. LISTAS DE CONTROL DE ACCESO ..................................................................................................... 5
1.1 LISTAS DE CONTROL DE ACCESO ESTÁNDAR......................................................................... 5
1.2 LISTAS DE CONTROL DE ACCESO EXTENDIDAS...................................................................... 6
2. TECNOLOGÍAS DE FIREWALL ........................................................................................................... 7
2.1 TIPOS DE FIREWALL ............................................................................................................... 8
2.1.1 FIREWALL CON ESTADO ..................................................................................................... 8
2.1.2 FIREWALL DE NUEVA GENERACIÓN ................................................................................... 9
3. FIREWALL BASADOS EN ZONAS ..................................................................................................... 10
3.1 VISIÓN GENERAL DE LOS FIREWALL BASADOS EN ZONA .................................................... 10
3.2 OPERACIÓN DE LOS FIREWALL BASADOS EN ZONA ............................................................ 11
3.3 CONFIGURACIÓN DE LOS FIREWALL BASADOS EN ZONA ................................................... 12
COMENTARIO FINAL.......................................................................................................................... 14
REFERENCIAS ..................................................................................................................................... 15

IACC-2019
3
SEMANA 4 – REDES Y SEGURIDAD

INTRODUCCIÓN
En el presente contenido se explicará que los
firewall o cortafuegos son sistemas
diseñados para evitar el acceso no
autorizado hacia o desde una red privada y
se pueden implementar en forma de
hardware o software, o una combinación de
ambos. Los firewalls evitan que usuarios no
autorizados de internet accedan a redes
privadas conectadas a internet,
especialmente a las intranets. Todos los
mensajes que ingresan o salen de la intranet
(la red local a la que está conectado) deben Figura 1. Cortafuegos o Firewall.
pasar a través del firewall, que examina cada
mensaje y bloquea aquellos que no cumplen
con los criterios de seguridad especificados.

“El cortafuegos es una barrera entre una red interna segura y una red que no sea de confianza,
como internet”.
IBM - https://ibm.co/2IPKTHx

IACC-2019
4
SEMANA 4 – REDES Y SEGURIDAD

1. LISTAS DE CONTROL DE ACCESO

Según Hernández y Salazar (2017), una Lista de Control de Acceso o ACL (Access Control List) “es
una configuración de router que permite o deniega paquetes según el criterio encontrado en el
encabezado del mismo, comúnmente utilizadas (…) para seleccionar los tipos de tráfico para
analizar, reenviar o procesar”.

1.1 LISTAS DE CONTROL DE ACCESO ESTÁNDAR

Según Ariganello (2016), las listas de acceso IP estándar “verifican solo la dirección de origen de la
cabecera del paquete IP. Las ACL estándar llevan un número que las identifica según sus
características”. El rango numérico de las listas de acceso es de 1 a 99 y el rango extendido es de
1300 a 1999.

Donde:

 1-99: Identifica el número de lista

 Permit – deny: Indica si esta entrada permitirá o bloqueará el tráfico a partir de la
dirección de origen.
 Source-address: Identifica la dirección IP de origen.
 Source-wildcard: Identifica los bits del campo de la dirección que serán comprobados.

Finalmente, el autor indica que la lista de acceso estándar puede eliminarse anteponiendo un “no”
al comando:

IACC-2019
5
SEMANA 4 – REDES Y SEGURIDAD

1.2 LISTAS DE CONTROL DE ACCESO EXTENDIDAS

Según Ariganello (2016), las listas de acceso IP extendidas “pueden verificar otros muchos
elementos, incluidas opciones de la cabecera del segmento de la capa 4, como los números de
puerto”. También es posible que las ACL extendidas sean más granulares y se configuren para
filtrar el tráfico por criterios, como:

 Protocolo.
 Números de puerto.
 Valor de punto de código de servicios diferenciados (DSCP).
 Valor de precedencia.
 Estado del bit de número de secuencia de sincronización (SYN).

Además, el autor indica que “las ACL extendidas llevan un número que las identifica según sus
características. El rango numérico de las listas de acceso extendidas es de 100 a 199 y el rango
extendido es de 2.000 a 2.699”.

Donde:

 100-199: Identifica el rango y número de lista.

 Permit – deny: Indica si esta entrada permitirá o bloqueará el tráfico a partir de la dirección
de origen.
 Protocol: Como por ejemplo IP, TCP, UDP, ICMP.
 Source-address: Identifica la dirección IP de origen.
 Source-wildcard: Identifica los bits del campo de la dirección que serán comprobados.
 Operator port: Compara los puertos de origen o de destino. Operados posibles son It
(menor que), gt (mayor que), eq (igual), neq (no igual) y range (rango).
 Established: Se usa solo para TCP de entrada. Esto permite que el tráfico TCP pase si el
paquete utiliza una conexión ya establecida (si, por ejemplo, posee un conjunto de bits
ACK).

La lista de acceso extendida puede eliminarse anteponiendo un “no” al comando:

IACC-2019
6
SEMANA 4 – REDES Y SEGURIDAD

2. TECNOLOGÍAS DE FIREWALL
Según Cisco (s. f.) “un firewall es un dispositivo de seguridad de la red que controla el tráfico de la
red entrante y saliente y decide si permite o bloquea el tráfico específico en función de un conjunto
definido de reglas de seguridad”.

En tanto, Symentec (2018) indica que un firewall realiza las siguientes tareas:

 Evita que cualquier usuario no autorizado acceda a los equipos y las redes en su
organización que se conectan a internet.
 Supervisa la comunicación entre sus equipos y otros equipos en internet.
 Crea un escudo que permite o bloquea intentos para acceder a la información en su
equipo.
 Advierte intentos de conexión desde otros equipos.
 Advierte intentos de conexión mediante las aplicaciones en su equipo que se conectan a
otros equipos.

El firewall normalmente se encuentra en el punto de unión entre 2 redes. En la figura 2 se puede

ver cómo está instalado en el punto de unión entre la red pública (internet) y una red privada.
Algunos autores los denominan firewall perimetral, ya que marca el perímetro entre la red privada
y otras redes.

Figura 2. Función del firewall en la red

Fuente: http://bit.ly/2J9B2wx

IACC-2019
7
SEMANA 4 – REDES Y SEGURIDAD

2.1 TIPOS DE FIREWALL

2.1.1 FIREWALL CON ESTADO

Según Symantec (2018), los firewall que trabajan con estados

realizan un seguimiento de las direcciones IP de origen y destino, los puertos, las aplicaciones,

etc. Antes de que el cliente examine las normas de firewall, toma decisiones sobre el flujo de

tráfico que se basa en la información de conexión.

Por ejemplo, si una norma de firewall permite que un equipo se conecte a un servidor web, el
firewall registra información sobre la conexión. Cuando el servidor contesta, el firewall detecta
que se espera una respuesta del servidor web al equipo.

Entonces:

 Se permite que el tráfico del servidor web fluya al equipo de iniciación sin la inspección de
la base de la reglas.
 La inspección de estado elimina la necesidad de crear nuevas reglas.
 Los equipos cliente inician este tráfico saliente; se crea una regla que permita el tráfico
saliente para estos protocolos.
 Todos los paquetes que pertenecen a una conexión permitida se permiten implícitamente,
como una parte integral de esa misma conexión.

Figura 3. Firewall con inspección de estado

Fuente: http://bit.ly/2UNhMvI

IACC-2019
8
SEMANA 4 – REDES Y SEGURIDAD

2.1.2 FIREWALL DE NUEVA GENERACIÓN

Según Geovanny (2016)

Un firewall de nueva generación (NGFW por sus siglas en inglés), además de poseer

metodologías de revisión y protección de información, han de mantener el rendimiento

elevado y la baja latencia para que las redes con alto tráfico sigan funcionando óptimamente.

Además proporcionan un único punto de control para diferentes características:

 Dirección IP: De origen o de destino.

 Número de Puerto: De origen o de destino.
 Dominio: Integración con el servicio de nombres de dominio (DNS), para simplificar el
acceso a recursos que resultarían más difíciles de definir por otros medios.
 Tipo de aplicación: Con técnicas de inspección profunda de paquetes, para controlar el
funcionamiento de las aplicaciones web.
 Traducción de direcciones IPv4 por NAT: En sentido de salida, y acceso IPv6 nativo a
internet. Control del acceso remoto a redes corporativas.
 Control del acceso: Control de acceso remoto a redes corporativas.

Figura 4. Comparativa de proveedores top de NGFW

Recuperado de: http://bit.ly/2DrlwIt

IACC-2019
9
SEMANA 4 – REDES Y SEGURIDAD

Figura 5. Características Firewall Fortinet - NGFW .

Fuente: http://bit.ly/2UNRcCB

3. FIREWALL BASADOS EN ZONAS

3.1 VISIÓN GENERAL DE LOS FIREWALL BASADOS EN ZONA
Comúnmente, la división se realiza en 3 zonas distintas:

Inside: La zona inside o zona verde corresponde a la zona donde se encuentran los equipos
corporativos, es decir, la red LAN. Es donde se encuentran las estaciones de trabajo y los
servidores locales.

Outside: La zona outside o zona roja, es la conexión hacia redes externar (como Internet), es decir
la red WAN.

DMZ: Es el acrónimo de “Demilitarized Zone” y se conoce como la zona naranja, donde se

encuentran los servicios como la extranet, correo, sitios web, etc.

Colomés (2015) indica lo siguiente:

La DMZ es una subred independiente, separada de la LAN y de Internet (que en el mundo

de firewalls se conoce como “outside”). Al crear una DMZ se puede configurar el firewall

IACC-2019
10
SEMANA 4 – REDES Y SEGURIDAD

para crear reglas específicas de seguridad y NAT que permitan el tráfico proveniente de

Internet solamente hacia esa zona. Así, si un hacker vulnera la seguridad de uno de los

servidores, este no tendría acceso a la red LAN corporativa. Para eso es clave entender

cómo se deben crear las reglas de tráfico y cómo se deben definir los perfiles de seguridad

entre las zonas outside, LAN (o inside) y DMZ.

Figura 6. Firewall basado en zonas (Inside, Outside, Dmz)

Fuente: http://bit.ly/2VVSpEq

3.2 OPERACIÓN DE LOS FIREWALL BASADOS EN ZONA

Según Cisco (s. f.), “el cortafuegos de políticas basado en zonas (también conocido como Zone-
Policy Firewall o ZPF) cambia el cortafuegos del antiguo modelo basado en interfaz a un modelo de
configuración basado en zonas más flexible y más fácil de entender”. Las interfaces se asignan a las
zonas, y se aplica una política de inspección al tráfico que se mueve entre las zonas.

Por su parte, Innovando-me (2014) indica que este es

un tipo de Firewall cuya diferencia con el Firewall de Control de Acceso basado en

Contexto es el empleo de zonas, quedando en un router distintas zonas, en las que

podemos declarar a una de ellas como origen y otra como destino.

IACC-2019
11
SEMANA 4 – REDES Y SEGURIDAD

Las zonas establecen las fronteras de seguridad de su red. Una zona define un límite donde el
tráfico está sujeto a restricciones de políticas cuando cruza a otra región de su red. La política
predeterminada de ZFW entre zonas es negar todo. Si no se configura explícitamente ninguna
política, se bloquea todo el tráfico que se mueve entre zonas. Esta es una desviación significativa
del modelo de inspección de estado en el que el tráfico se permitía implícitamente hasta que se
bloquea de forma explícita con una lista de control de acceso (ACL).

3.3 CONFIGURACIÓN DE LOS FIREWALL BASADOS EN ZONA

Un ejemplo de este tipo de firewall sería la siguiente práctica:

CONFIGURACIÓN DE ZPF

Figura 7. Configuración de ZPF

Fuente: http://bit.ly/2KWwlso

CREACIÓN DE ZONAS

Para declarar las zonas que serán la de dentro y la de fuera del tráfico en el router:
R3(config)# zone security ZONADENTRO

R3(config)# zone security ZONAFUERA

IDENTIFICACIÓN DE TRÁFICO

Ahora se crea una lista de acceso para permitir o denegar el tráfico que se quiere que
pase. En este caso: desde la red 192.168.3.0 se requiere que vaya a cualquier destino:
R3(config)# Access-list 101 permit 192.168.3.0 0.0.0.255 any

IACC-2019
12
SEMANA 4 – REDES Y SEGURIDAD

DEFINICIÓN DE ACCIONES A TOMAR

A continuación, se declara un mapa donde se debe que incluir la lista de control de acceso
previamente hecha:

R3(config)# class-map type inspect match-all MIMAPA

R3(config-cmap)# match access-group 101

R3(config-cmap)# exit

Una vez configurado el mapa con el nombre de MIMAPA (todo lo que está en mayúsculas son
nombres identificativos), ahora se realizará una política basada en nuestro mapa:

R3(config)# police-map type inspect MIPOLITICA

R3(config-pmap)# class type inspect MIMAPA

R3(config-pmap-c)# inspect

Ahora vamos a crear un par de zonas donde diremos qué zona (hechas al principio) serán la del
origen y cuál la del destino. Además de aplicar la política que acabamos de realizar a nuestro par
de zonas:

R3(config)# zone-pair security MIPARDEZONAS source ZONADENTRO destination ZONAFUERA

R3(config-sec-zone-pair)# service-policy type inspect MIPOLITICA

R3(config-sec-zone-pair)#exit

ASIGNACIÓN DE ZONAS A LAS INTERFACES

Y, por último, solo queda poner a cada interfaz la zona a la que pertenece:

R3(config)# interface fastEthernet0/0

R3(config-if)# zona-member security ZONADENTRO

R3(config-if)# exit

R3(config)# interface serial0/0

R3(config-if)# zona-member security ZONAFUERA

R3(config-if)# exit

IACC-2019
13
SEMANA 4 – REDES Y SEGURIDAD

COMENTARIO FINAL
Los firewall son un mecanismo de seguridad de las redes de datos que por más de 25 años se ha
mantenido vigente y es fundamental para la gestión de la seguridad y cuidado de los datos de las
organizaciones. Un detalle que no se debe dejar de lado respecto a los firewall es que es solo una
de varias capas de seguridad que se recomienda implementar en las redes de las organizaciones.

Como complemento al trabajo de las firewall, se recomienda implementar los “Sistemas de

detección de Intrusiones (IDS)” o IPS. También se recomienda evaluar distintas capas de seguridad,
como por ejemplo, doble autentificación, antivirus, antispam y políticas de respaldo, incluyendo
dispositivos móviles que se utilicen en la red de datos. (Mendoza, 2014).

IACC-2019
14
SEMANA 4 – REDES Y SEGURIDAD

REFERENCIAS
Ariganello E. (2016). REDES CISCO. Guía de estudio para la certificación CCNA Routing y Switching.

Cuarta edición. Madrid: Editorial: Ra-ma.

Cisco (s. f.). What Is a Firewall?. Recuperado de: http://bit.ly/2KVP0Vc.

Colomés, P. (2015). ¿Qué es la DMZ?. Redescisco.net. Recuperado de: http://bit.ly/2XFFAid.

Geovanny, D. (2016). Firewalls de nueva generación: la seguridad informática vanguardista.

Recuperado de: http://bit.ly/2W11Dz8.

Hernández, T. y Salazar, P. (2017). Sistema inteligente para validar una lista de control de acceso

(ACL) en una red de comunicaciones. Revista de Simulación Computacional, vol.1 (2), pp.

24-31. Recuperado de: http://bit.ly/2W3vPtC.

Innovando-me (2014). Firewall y usos en redes. Recuperado de: http://bit.ly/2viNpOE.

Mendoza, M. (2014). ¿Por qué es necesario el firewall en entornos corporativos?.

Welivesecurity.com. Recuperado de: http://bit.ly/2KWks5z.

Symantec (2018). Cómo el firewall usa la inspección de estado. Recuperado de:

https://symc.ly/2XGyUQX.

PARA REFERENCIAR ESTE DOCUMENTO, CONSIDERE:

IACC (2019). Implementación de Firewall. Redes y Seguridad. Semana 4.

IACC-2019
15
SEMANA 4 – REDES Y SEGURIDAD

IACC-2019
16