See discussions, stats, and author profiles for this publication at: https://www.researchgate.

net/publication/295256426

FIREWALL O CORTAFUEGOS

Article · February 2016

CITATIONS READS
0 281

1 author:

Jackson Marcelo Cuenca

Universidad Nacional de Loja (UNL)
2 PUBLICATIONS   0 CITATIONS   

SEE PROFILE

All content following this page was uploaded by Jackson Marcelo Cuenca on 20 February 2016.

The user has requested enhancement of the downloaded file.

 FIREWALL O CORTAFUEGOS
Jackson Cuenca.
UNIVERSIDAD NACIONAL DE LOJA

AREA DE LA ENERGIA LAS INDUSTRIAS Y LOS RECURSOS NATURALES NO RENOVABLES

Loja, Ecuador

jmcuencag@unl.edu.ec

Abstract— En el presente informe se habla claramente Para que un firewall sea efectivo, todo tráfico de
sobre las diferentes conceptos, teoría y clases de información a través del Internet deberá pasar a través del
firewall despejando varias dudas sobre esta técnica mismo donde podrá ser inspeccionada la información. El
utilizada mucho en la seguridad de redes perimetral. firewall podrá únicamente autorizar el paso del tráfico, y el
Es una de las técnicas más utilizadas para establecer mismo podrá ser inmune a la penetración.
Desafortunadamente, este sistema no puede ofrecer protección
seguridad en las redes. Aunque debes ser alguno de
alguna una vez que el agresor lo traspasa o permanece entorno
los sistemas a los que más se deben prestar atención, a este.
distan mucho de ser la solución final a los problemas
de seguridad. Un cortafuegos o Firewall es un
elemento de hardware o software cuya ubicación
habitual es el punto de conexión de la red interna de
la organización con la red exterior (Internet): de este
modo se protege la red interna de intentos de acceso
no autorizados desde Internet los cuales pueden
aprovechar vulnerabilidades en los sistemas de red
internos.

II. DESARROLLO DE CONTENIDOS

A. Definición
Fig.2 Implementación de un Firewall creando un Perímetro de
Un Firewall es un sistema o grupo de sistemas que impone Defensa.
una política de seguridad entre la organización de red privada y
el Internet.
B. Políticas de Diseño de Firewall

¿Qué se debe proteger?

Se deberían proteger todos los elementos de la red interna

(hardware, software, datos, etc.)

¿De quién se debe proteger?

De cualquier intento de acceso no autorizado desde el exterior,

sin embargo podemos definir niveles de confianza permitiendo
selectivamente el acceso de determinados usuarios externos a
determinados servicios o denegando cualquier tipo de acceso a
otros
Fig.1 Firewall
¿Cómo protegerse?
El firewall determina cuál de los servicios de red pueden ser
accesados dentro de esta por los que están fuera, es decir quién Está orientado a establecer el nivel de monitorización, control y
puede entrar para utilizar los recursos de red pertenecientes a la respuesta deseado en la organización. Puede optarse por alguno
organización. de los siguientes paradigmas o estrategias:
 a. Paradigmas de seguridad Este tipo de conexiones derivan la seguridad provista por firewall
construido cuidadosamente, creando una puerta de ataque. Los
- Política Permisiva: Se permite cualquier servicio usuarios pueden estar conscientes de que este tipo de conexiones
excepto aquellos expresamente prohibidos. no son permitidas como parte de integral de la arquitectura de la
- Política Restrictiva Se prohíbe cualquier servicio seguridad en la organización.
excepto aquellos expresamente permitidos.
El firewall no puede proteger contra los ataques de la "Ingeniería
b. Estrategias de Seguridad Social", por ejemplo un Hacker que pretende ser un supervisor o
un nuevo empleado despistado, persuade al menos sofisticado de
- Paranoica: Se controla todo no se permite nada los usuarios a que le permita usar su contraseña al servidor del
- Prudente: Se controla y se conoce todo lo que corporativo o que le permita el acceso "temporal" a la red.
sucede
- Promiscua: No se controla y se permite todo El firewall no puede protegerse contra los ataques posibles a la
red interna por virus informativos a través de archivos y
software. Obtenidos del Internet por sistemas operativos al
C. Beneficios de un Firewall momento de comprimir o descomprimir archivos binarios, el
firewall de Internet no puede contar con un sistema preciso de
• Los Firewalls en Internet administran los accesos posibles del SCAN para cada tipo de virus que se puedan presentar en los
Internet a la red privada. Sin un firewall, cada uno de los archivos que pasan a través de él.
servidores propios del sistema se expone al ataque de otros
servidores en el Internet. Esto significa que la seguridad en la red
privada depende de la "Dureza" con que cada uno de los
servidores cuenta y es únicamente seguro tanto como la
seguridad en la fragilidad posible del sistema.

• El firewall permite al administrador de la red definir un "Check

Point" (embudo), manteniendo al margen los usuarios no-
autorizados (tal, como., hackers, crackers, vándalos, y espías)
fuera de la red, prohibiendo potencialmente la entrada o salida al
vulnerar los servicios de la red, y proporcionar la protección para
varios tipos de ataques posibles. Uno de los beneficios clave de
un firewall en Internet es que ayuda a simplificar los trabajos de
administración, una vez que se consolida la seguridad en el
sistema firewall, es mejor que distribuirla en cada uno de los
servidores que integran nuestra red privada.
Fig. 2 Ejemplo de la limitación del firewall
• El firewall ofrece un punto donde la seguridad puede ser
monitoreada y si aparece alguna actividad sospechosa, este
generara una alarma ante la posibilidad de que ocurra un ataque, E. Tipos de Firewall
o suceda algún problema en el tránsito de los datos. Esto se podrá
notar al acceder la organización al Internet, la pregunta general es
"si" pero "cuando" ocurrirá el ataque. Esto es extremadamente 1. Firewalls de capa de red o de filtrado de paquetes
importante para que el administrador audite y lleve una bitácora
del tráfico significativo a través del firewall. También, si el Este tipo de firewall funciona a nivel de red (capa 3) de la
administrador de la red toma el tiempo para responder una pila de protocolos (TCP/IP) como filtro de paquetes IP. A
alarma y examina regularmente los registros de base. Esto es este nivel se pueden realizar filtros según los distintos
innecesario para el firewall, desde que el administrador de red
campos de los paquetes IP: dirección IP origen, dirección IP
desconoce si ha sido exitosamente atacado.
destino. A menudo en este tipo de cortafuegos se permiten
D. Limitaciones del Firewalle filtrados según campos de nivel de transporte (capa 4) como
el puerto origen y destino, o a nivel de enlace de datos (capa
Un firewall no puede protegerse contra aquellos ataques que se 2) como la dirección MAC.
efectúen fuera de su punto de operación.
Por ejemplo, si existe una conexión dial-out sin restricciones que
Se utilizan Routers con filtros y reglas basadas en
permita entrar a nuestra red protegida, el usuario puede hacer una
conexión SLIP o PPP al Internet. Los usuarios con sentido políticas de control de acceso.
común suelen "irritarse" cuando se requiere una autenticación
adicional requerida por un Firewall Proxy server (FPS) lo cual se El Router es el encargado de filtrar los paquetes (un
puede ser provocado por un sistema de seguridad circunvecino Choke) basados en cualquiera de los siguientes criterios:
que está incluido en una conexión directa SLIP o PPP del ISP.
 a. Protocolos utilizados. 4. Screened Host
b. Dirección IP de origen y de destino.
c. Puerto TCP-UDP de origen y de destino. En este caso se combina un Router con un host bastión
y el principal nivel de seguridad proviene del filtrado
Tienen la ventaja de ser económicos, tienen un alto nivel de de paquetes. En el bastión, el único sistema accesible
desempeño y son transparentes para los usuarios conectados a la desde el exterior, se ejecuta el Proxy de aplicaciones
red. y en el Choke se filtran los paquet es considerados
peligrosos y sólo se permiten un número reducido de
servicios.

5. Screened Subnet.
En este diseño se intenta aislar la máquina más atacada y
vulnerable del Firewall, el Nodo Bastión. Para ello se
establece una Zona Desmilitarizada (DMZ) de forma tal que
sin un intruso accede a esta máquina no consiga el acceso
total a la subred protegida.En este esquema se utilizan dos
Routers: uno exterior y otro interior. El Router exterior tiene
la misión de bloquear el tráfico no deseado en ambos
sentidos: hacia la red interna y hacia la red externa. El Router
interior hace lo mismo con la red interna y la DMZ (zona
entre el Router externo y el interno).

6. Inspección de Paquetes
Fig 4 Filtrado de paquetes según el modelo OSI Este tipo de Firewalls se basa en el principio de que cada
paquete que circula por la red es inspeccionado, así como
2. Firewalls de capa de aplicación o Proxy-Gateway de también su procedencia y des- tino. Se aplican desde la capa
Aplicaciones de Red hasta la de Aplicaciones. Generalmente son instalados
cuando se requiere seguridad sensible al contexto y en
Trabaja en el nivel de aplicación (capa 7) de manera que los aplicaciones muy complejas.
filtrados se pueden adaptar a características propias de los
protocolos de este nivel. Por ejemplo, si se trata de tráfico
HTTP se pueden realizar filtrados según la URL a la que se 7. Firewalls Personales
está intentando acceder. Un cortafuego en capa 7 de tráfico Estos Firewalls son aplicaciones disponibles para usuarios
HTTP es normalmente denominado Proxy y permite que los finales que desean conectarse a una red externa insegura y
computadores de una organización entren a Internet de una mantener su computadora a salvo de ataques que puedan
forma controlada.Para evitar las debilidades asociadas al ocasionarle desde un simple "cuelgue" o infección de virus
filtrado de paquetes, los desarrolladores crearon software hasta la pérdida de toda su información almacenada.
de aplicación encargados de filtrar las conexiones. Estas
aplicaciones son conocidas como Servidores Proxy y la IV. CONCLUSIONES
máquina donde se ejecuta recibe el nombre de Gateway Un cortafuegos o firewall es una parte de un sistema o una
de Aplicación El Proxy, instalado sobre el Nodo Bastión, red que está diseñada para bloquear el acceso no autorizado,
actúa de intermediario entre el cliente y el servidor real de permitiendo al mismo tiempo comunicaciones autorizadas
la aplicación, siendo transparente a ambas partes
Los cortafuegos pueden ser implementados en hardware o
software, o una combinación de ambos
3. Dual-Homed Host
RECONOCIMIENTOS
Son dispositivos que están conectados a ambos Este artículo fue diseñado a base del esfuerzo y dedicación
perímetros (interior y ex- terior) y no dejan pasar del autor.
paquetes IP (como sucede en el caso del Filtrado de REFERENCIAS
Paquetes), por lo que se dice que actúan con el "IP - [1] CALLEGARI, Osvaldo; Seguridad de la Informacion.; 8 Edición;2007.
Forwarding desactivado". [Online]Disponible: www.segu-info.com.ar

Un usuario interior que desee hacer uso de un [2] OCW CRIPTORED Enciclopedia de la Seguridad de la Información
servicio exterior, deberá conectarse primero al
[Online] Disponible: http://www.intypedia.com/
Firewall, donde el Proxy atenderá su petición, y en
función de la configuración impuesta en dicho [3]REPOSITORIO UTN Firewalls [Online] Disponible: repositorio.utn.edu.=
Firewall, se conectará al servicio exterior solicitado
y hará de puente entre éste y el usuario interior.
View publication stats