Make your own free website on Tripod.com

Firewalls(cortafuegos)

 

¿Qué es un cortafuegos?

Un cortafuegos es un sistema para intentar impedir la diseminación del fuego, normalmente consistente en un área franca resistente al fuego. Del mismo modo, un cortafuegos de red (firewall) es un sistema de contención que intenta impedir la diseminación de daños a través suyo.

Materialmente, un cortafuegos de Internet es un sistema o grupo de sistemas informáticos situados en el perímetro de una red para proteger todas sus vías de acceso estableciendo un control del tráfico de entrada y salida. Puede pensar en ello mas bien como una aduana, que vigila todo lo que la atraviesa, decidiendo qué puede o no atravesarla y bajo qué condiciones. En consecuencia, un cortafuegos solamente protege contra la diseminación de los ataques, es decir un cortafuegos solo puede controlar el tráfico que pasa a través de él.

Considerando esto, resulta obvio que es preciso establecer una política de control de acceso adecuada a las necesidades del contorno protegido, y que su eficacia depende de la medida en que se aplique correctamente. Corolario: para establecer un cortafuegos es preciso contar con un especialista en sistemas de protección que entienda perfectamente las necesidades del sistema.

El funcionamiento de éste tipo de programas se basa en el "filtrado de paquetes". Todo dato o información que circule  entre nuestro PC y la Red es analizado por el programa (firewall) con la misión de permitir o denegar su paso en ambas direcciones (Internet-->PC ó PC--->Internet).

Ejemplo 1 Firewall

Ejemplo 2 Firewall

Tipos de cortafuegos

Existen distintos tipos de cortafuegos:

Filtros de paquetes

Los filtros de paquetes actúan en el nivel de red dentro de la arquitectura OSI..
Un cortafuegos de este tipo acepta o rechaza el tráfico de la red dependiendo de la información de las cabeceras de los paquetes de los protocolos TCP e IP. Este tipo de solución es más económica pero aporta un grado menor de protección que los otros tipos. Tiene la ventaja de afectar muy poco al rendimiento de la red.

 Puntos débiles de los filtros de paquetes

1.      Debido a que los filtros de paquetes no analizan los datos propios de los niveles superiores OSI, no se puede impedir ataques que utilizan las vulnerabilidades de las aplicaciones y otras funciones, por ejemplo los mandatos a nivel de aplicación.

2. Debido a la escasa información que dispone el cortafuegos, su funcionalidad de archivo de eventos queda muy limitada. Esta información se limita a la que permite aceptar o rechazar paquetes, es decir las direcciones de origen, de destino y tipo de paquetes.
3. La mayor parte de los filtros de paquetes no permiten esquemas de identificación de usuario. Esta limitación se asocia a la escasez de funciones a nivel superior del cortafuegos
4. Estos cortafuegos son vulnerables a ataques que utilizan las particularidades del TCP/IP. Muchos cortafuegos de filtros de paquetes no pueden detectar paquetes en los que la información de direcciones a nivel 3 del OSI ha sido modificada. Este tipo de ataques son utilizados por intrusos para soslayar los controles de seguridad existentes en los cortafuegos.
5. Debido al escaso número de variables utilizadas para las decisiones de control, estos cortafuegos están sometidos a las debilidades causadas por configuraciones incorrectas. Por ejemplo, frecuentemente se da el caso de configurar un cortafuegos de este tipo que permite tipos de paquetes, con origenes y destinos que deberían ser bloqueados basandose en la política de seguridad establecida.

Dispositivo de acceso a nivel de circuitos

Un sistema de control de acceso a nivel de circuito controla la fase de conexión entre clientes y servidores conocidos y otros sistemas para determinar la seguridad y autorización de la sesión requerida. Estos tipos de cortafuegos utilizan unos indicadores (SYN y ACK) y unos números de secuencia para identificar la sesión lógica. Este tipo de cortafuegos funciona a nivel sesión del modelo OSI (dos niveles por encima del nivel de red utilizado en el caso anterior)


Dispositivo de acceso a nivel de aplicación

Un cortafuegos que actúa como dispositivo de acceso a nivel de aplicación, es equivalente al de nivel de circuitos con dos diferencias fundamentales: Los Proxies son específicos de la aplicación y los proxies filtran a nivel aplicación dentro del modelo OSI.

Cortafuegos de inspección de condiciones

Este tipo de cortafuegos reune características de los tres tipos anteriores. Filtra paquetes según las direcciones de origen y de destino y los números de puerto. También controla los indicadores SYN y ACK y los números de secuencia de forma análoga a los dispositivos de acceso a nivel de circuito y por último cataloga el contenido de los paquetes a nivel de aplicación. Frecuentemente ofrece mejor rendimiento que los cortafuegos de los dos tipos mencionados anteriormente. Este tipo de cortafuegos actúa a nivel de red en el modelo OSI.

Basándonos en el mecanismo de funcionamiento, podemos distinguir dos tipos de cortafuegos según a qué nivel actúen:

Nivel de red: El control de tráfico a nivel de red consiste en analizar todos los paquetes que llegan a un interfaz de red, y decidir si se les deja pasar o no en base al contenido de los mismos: protocolo, dirección de origen y dirección de destino fundamentalmente. Puesto que analizar esta información es muy sencillo, este tipo de cortafuegos suelen ser muy rápidos y transparentes al usuario.

Nivel de aplicación: el control se hace interceptando las comunicaciones a nivel del protocolo de comunicaciones propio de cada servicio, que es modificado para incluir medidas adicionales de seguridad. En este caso el cortafuegos debe conocer los detalles del protocolo de comunicaciones de cada servicio que intercepta, analizar su correcto funcionamiento y añadir los pasos de control precisos a los mismos. El cortafuegos es por tanto mucho mas inteligente y posee un control fino de todo el proceso de comunicación de los servicios habilitados, aunque esto supone una mayor carga de trabajo y la consecuente penalización en eficiencia. Además, las modificaciones de seguridad añadidas pueden aflorar hasta el usuario forzándole a ser conciente de las mismas.

Tipos de cortafuegos segun al nivel que actuan