Cortafuegos
INDICE
-¿Qué es un cortafuegos?
-Historia del cortafuegos.
-Generaciones del
cortafuegos.
-Tipos de cortafuegos.
-Ventajas del cortafuegos.
-Limitaciones del
cortafuegos.
-Políticas del cortafuegos.
¿Qué es un cortafuegos?
Un cortafuegos (firewall en ingles)
es una parte de un sistema o una red que está diseñada para bloquear el acceso
no autorizado, permitiendo al mismo tiempo comunicaciones autorizadas.
Se trata de un dispositivo o conjunto de
dispositivos configurados para permitir, limitar, cifrar, descifrar, el tráfico
entre los diferentes ámbitos sobre la base de un conjunto de normas y otros
criterios.
Los cortafuegos pueden ser implementados en
hardware o software, o una combinación de ambos. Los cortafuegos se utilizan
con frecuencia para evitar que los usuarios de Internet no autorizados tengan
acceso a redes privadas conectadas a Internet, especialmente intranets. Todos
los mensajes que entren o salgan de la intranet pasan a través del cortafuegos,
que examina cada mensaje y bloquea aquellos que no cumplen los criterios de
seguridad especificados. También es frecuente conectar al cortafuegos a una
tercera red, llamada o DMZ, en la que se ubican los
servidores de la organización que deben permanecer accesibles desde la red
exterior.
Un cortafuegos correctamente
configurado añade una protección necesaria a la red, pero que en ningún caso
debe considerarse suficiente. La seguridad
informática abarca más ámbitos y más
niveles de trabajo y protección.
ORDENADOR
POSIBLES VIRUS
CORTAFUEGOS
Historia
del cortafuegos.
La tecnología de los cortafuegos surgió a
finales de 1980, cuando Internet era una tecnología bastante nueva en cuanto a
su uso global y la conectividad. Los predecesores de los cortafuegos para la
seguridad de la red fueron los routers utilizados a finales de 1980, que
mantenían a las redes separadas unas de otras. La visión de Internet como una
comunidad relativamente pequeña de usuarios con máquinas compatibles, que
valoraba la predisposición para el intercambio y la colaboración, terminó con
una serie de importantes violaciones de seguridad de Internet que se produjo a
finales de los 80:
§
Clifford Stoll, que descubrió la forma de manipular el sistema de
espionaje alemán.
§
Bill Cheswick, cuando en 1992 instaló una cárcel simple
electrónica para observar a un atacante.
§
En 1988, un empleado del Centro de Investigación Ames de la N.A.S.A., en California, envió
una nota por correo electrónico a sus colegas que decía:
¡Estamos bajo el ataque de un virus de
Internet! Ha llegado a Berkeley, UC San Diego, Lawrence Livermore, Stanford y la N.A.S.A."
§
El Gusano Morris, que se extendió a través de múltiples
vulnerabilidades en las máquinas de la época. Aunque no era malicioso, el
gusano Morris fue el primer ataque a gran escala sobre la seguridad en
Internet; la red no esperaba ni estaba preparada para hacer frente a su ataque.
GENERACIONES DEL CORTAFUEGOS.
Primera generación – cortafuegos de red: filtrado de paquetes
El primer documento publicado para la tecnología
firewall data de 1988, cuando el equipo de ingenieros Digital Equipment
Corporation (DEC) desarrolló los sistemas de filtro conocidos como cortafuegos
de filtrado de paquetes. Este sistema, bastante básico, fue la primera
generación de lo que se convertiría en una característica más técnica y
evolucionada de la seguridad de Internet. En AT&T Bell, Bill Cheswick y
Steve Bellovin, continuaban sus investigaciones en el filtrado de paquetes y
desarrollaron un modelo de trabajo para su propia empresa, con base en su
arquitectura original de la primera generación.
Segunda generación – cortafuegos de estado
Durante 1989 y 1990, tres colegas de los laboratorios
AT&T Bell, Dave Presetto, Janardan Sharma, y Nigam Kshitij, desarrollaron
la tercera generación de servidores de seguridad. Esta tercera generación
cortafuegos tiene en cuenta además la colocación de cada paquete individual
dentro de una serie de paquetes. Esta tecnología se conoce generalmente como la
inspección de estado de paquetes, ya que mantiene registros de todas las
conexiones que pasan por el cortafuegos, siendo capaz de determinar si un
paquete indica el inicio de una nueva conexión, es parte de una conexión
existente, o es un paquete erróneo. Este tipo de cortafuegos pueden ayudar a
prevenir ataques contra conexiones en curso o ciertos ataques de denegación de
servicio.
Tercera generación - cortafuegos de aplicación
Son aquellos que actúan sobre la capa de
aplicación del modelo OSI. La clave de un cortafuegos de aplicación es que
puede entender ciertas aplicaciones y protocolos (por ejemplo: protocolo de
transferencia de ficheros, DNS o navegación web), y permite detectar si un
protocolo no deseado se coló a través de un puerto no estándar o si se está
abusando de un protocolo de forma perjudicial.
Un cortafuegos de aplicación es mucho más seguro
y fiable cuando se compara con un cortafuegos de filtrado de paquetes, ya que
repercute en las siete capas del modelo de referencia OSI. En esencia es
similar a un cortafuegos de filtrado de paquetes, con la diferencia de que
también podemos filtrar el contenido del paquete. El mejor ejemplo de
cortafuegos de aplicación es ISA (Internet Security and Acceleration).
TIPOS DE CORTAFUEGOS.
Nivel de aplicación de pasarela
Aplica mecanismos de seguridad para aplicaciones
específicas, tales como servidores FTP y Telnet.
Esto es muy eficaz, pero puede imponer una degradación del rendimiento.
Circuito a nivel de pasarela
Aplica mecanismos de seguridad cuando una
conexión TCP o UDPP es establecida. Una vez que la
conexión se ha hecho, los paquetes pueden fluir entre los anfitriones sin más
control. Permite el establecimiento de una sesión que se origine desde una zona
de mayor seguridad hacia una zona de menor seguridad.
Cortafuegos de capa de red o de filtrado de paquetes
Funciona a nivel de red (capa 3 del modelo OSI,
capa 2 del stack de protocolos TCP/IP) como filtro de paquetes IP. A este nivel
se pueden realizar filtros según los distintos campos de los paquetes IP:
dirección IP origen, dirección IP destino. A menudo en este tipo de cortafuegos
se permiten filtrados según campos de nivel de transporte (capa 3 TCP/IP, capa
4 Modelo OSI), como el puerto origen y destino, o a nivel de enlace de datos
(no existe en TCP/IP, capa 2 Modelo OSI) como la dirección MAC.
Cortafuegos de capa de aplicación
Trabaja en el nivel
de aplicación (capa 7 del modelo
OSI), de manera que los filtrados se pueden adaptar a características propias
de los protocolos de este nivel. Por ejemplo, si se trata de tráfico HTTP, se pueden realizar filtrados
según la URL a la que se está intentando acceder.
Un cortafuegos a nivel 7 de tráfico HTTP suele
denominarse proxy, y permite que
los computadores de una organización entren a Internet de una forma controlada.
Un proxy oculta de manera eficaz las verdaderas direcciones de red.
Cortafuegos personal
Es un caso particular de cortafuegos que se
instala como software en un computador, filtrando las comunicaciones entre
dicho computador y el resto de la red. Se usa por tanto, a nivel personal.
VENTAJAS DEL CORTAFUEGOS.
Bloquea el acceso a personas y/o aplicaciones no autorizadas
a redes privadas.
.
LOMITACIONES DEL CORTAFUEGOS.
Las limitaciones se desprenden de la misma
definición del cortafuegos: filtro de tráfico. Cualquier tipo de ataque
informático que use tráfico aceptado por el cortafuegos (por usar puertos TCP
abiertos expresamente, por ejemplo) o que sencillamente no use la red, seguirá
constituyendo una amenaza. La siguiente lista muestra algunos de estos riesgos:
§
Un cortafuegos no puede proteger contra aquellos ataques cuyo
tráfico no pase a través de él.
§
El cortafuegos no puede proteger de las amenazas a las que está
sometido por ataques internos o usuarios negligentes. El cortafuegos no puede
prohibir a espías corporativos copiar datos sensibles en medios físicos de
almacenamiento (discos, memorias, etc.) y sustraerlas del edificio.
§
El cortafuegos no puede proteger contra los ataques de ingeniería social
§
El cortafuego no puede proteger contra los ataques posibles a la
red interna por virus
informáticos a través de archivos
y software. La solución real está en que la organización debe ser consciente en
instalar software antivirus en cada máquina para protegerse de los virus que
llegan por cualquier medio de almacenamiento u otra fuente.
§
El cortafuego no protege de los fallos de seguridad de los
servicios y protocolos cuyo tráfico esté permitido. Hay que configurar
correctamente y cuidar la seguridad de los servicios que se publiquen en
Internet.
POLITICAS DEL CORTAFUEGOS.
Hay dos políticas básicas en la configuración de
un cortafuegos que cambian radicalmente la filosofía fundamental de la
seguridad en la organización:
§
Política restrictiva: Se deniega todo el tráfico excepto el que está
explícitamente permitido. El cortafuegos obstruye todo el tráfico y hay que
habilitar expresamente el tráfico de los servicios que se necesiten. Esta
aproximación es la que suelen utilizar la empresas y organismos
gubernamentales.
§
Política permisiva: Se permite todo el tráfico excepto el que esté
explícitamente denegado. Cada servicio potencialmente peligroso necesitará ser
aislado básicamente caso por caso, mientras que el resto del tráfico no será
filtrado. Esta aproximación la suelen utilizar universidades, centros de
investigación y servicios públicos de acceso a internet.