4.

INSTALACIN Y CONFIGURACION DE CORTAFUEGOS

1.
2.
3.
4.
5.

UTILIZACION DE CORTAFUEGOS
FILTRADO DE PAQUETES DE DATOS
TIPOS DE CORTAFUEGOS
INSTALACION DE CORTAFUEGOS
REGLAS DE PILTRADO DE CORTAFUEGOS

1. UTILIZACIN DE CORTAFUEGOS O FIREWALL

Cortafuegos: mecanismo encargado de proteger una red segura de otra que no

lo es, siguiendo una poltica de seguridad establecida.

Los objetivos principales de un cortafuegos son:

Filtrar el trfico que entra y sale de la red corporativa.
Permitir solamente el trfico definido por la poltica de seguridad.

El firewall solo sirve como defensa perimetral de la red, no puede combatir los
ataques de un usuario que ya est dentro de la red que se quiere proteger o de
conexiones que no pasen por l.

2. FILTRADO DE PAQUETES DE DATOS.

El trfico a travs de una red viaja en forma de paquetes de datos, cada paquete
con la informacin para que la red, sea capaz de encontrar la mejor ruta para
ellos, conociendo de donde vienen y a donde quieren llegar.
Un filtro de paquetes software: analiza la parte de los paquetes con informacin
sobre el origen, el destino, y el tipo de protocolo usado por cada paquete.
En base al anlisis, el firewall puede adoptar 3 posturas respecto al paso del
paquete por el filtro:
Aceptar.
Denegar.
Rechazar.
Se acepta: el paquete pasar por el software de filtro sin problemas.
Se deniega: no podr atravesar el filtro y no emite ningn mensaje informativo.
Se rechaza: no atraviesa el filtro y adems se informa al emisor del rechazo.

3. TIPOS DE CORTAFUEGOS.

Los cortafuegos tienen como objetivos a cumplir que:

El trfico de la red interna que salga a Internet debe pasar por el firewall.
Solo el trfico permitido en la poltica de seguridad debe atravesar el cortafuegos.
El control de accesos se hace mediante el control de servicios, direcciones y usuarios.
Los cortafuegos se pueden clasificar segn la tecnologa utilizada en los siguientes:
De filtrado de paquetes (nivel 3 OSI): se basan en filtrar los paquetes segn sus
encabezados (IP origen y destino). Ejemplo: un router bsico.
De nivel de aplicacin se ayudan de un proxy para gestionar el trfico.
Hbridos usan las 2 tecnologas, proxy para el establecimiento y filtro de paquetes en
la transferencia de datos.
De inspeccin de estado comprueban las IPs origen y destino, los puertos, el
protocolo utilizado, el estado de la conexin y la cantidad de trfico.
Si se toma como criterio el rea de influencia, los cortafuegos se pueden clasificar en:
Personales (para PC): incluidos por los PC en sus SOs en forma de software.
SOHO: para pequeas LAN e incorporan herramientas adicionales como antivirus,
filtrado IP, filtrado de contenidos web, o deteccin de intrusos.
Cortafuegos corporativos: son los encargados de controlar las conexiones de la red
de una organizacin, por lo que deben soportar miles de conexiones.

CARACTERISTICAS

Los tipos de firewall se clasifican segn su tecnologa y su rea de influencia en

diferentes grupos. Todos ellos se podran dividir en:
De nivel de red.
De nivel de aplicacin.
Las caractersticas de un cortafuegos de nivel de red son (ms transparente al
usuario, ms fcil de usar y menos seguro):
Trabaja con IPs origen y destino.
Identifica los puertos origen y destino de la comunicacin.
Analizarla cabecera IP a nivel 3 en los protocolos TCP, UDP e ICMP.
Reconoce si el paquete es de inicio de una peticin de conexin o no.
Las caractersticas de un cortafuegos de nivel de aplicacin son (menos
transparente al usuario, menos fcil de usar y ms seguro):
Inspecciona datos que usan los protocolos FTP, HTTP y SMTP.
Ejecuta software de servidor proxy.

FUNCIONES PRINCIPALES

Tarea principal de un firewall: controlar el trfico de datos entre la red local e

Internet. El control sobre el trfico permite decidir qu tipo de trfico se permite
o se deniega de acuerdo a la poltica de seguridad existente.
Funciones de un firewall:
Establecer una proteccin basada en normas, bloquea el trfico no deseado
por la poltica de seguridad.
Filtrar el trfico de entrada a travs de sistemas ms confiables.
Establecer mecanismos de autenticacin ms fuertes.
Ocultar informacin sobre la red que se quiere proteger.
Crear registros LOG de informacin.
Un archivo de tipo LOG de un cortafuegos almacena las incdcencias ocurridas
como IPs accedidas, conexiones rechazadas, etc.

4. INSTALACIN DE CORTAFUEGOS

La instalacin de un cortafuegos con exito:

Tener toda la informacin posible sobre la red.
Tener claros los objetivos planteados por la poltica de seguridad.
Conocer el sitio donde se alojarn los servicios accesibles desde el exterior.
La informacin sobre la red nos debe aportar:
Los requisitos necesarios de hardware, software y de perfil de usuario.
Saber en que sitio estar los servicios accesibles desde el exterior (servidor web,
correo o ftp). En general se suelen situar fuera de la red interna y detrs del firewall.
Con est informacin, se analizar la viabilidad de la poltica de seguridad a seguir. Tras el
anlisis se determinar el tipo de firewall, modo de instalacin y ubicacin del mismo.
Linux ofrece la funcionalidad de cortafuegos con herramientas como iptables, pero
tambin existe software descargable con interfaz grfico y un entorno ms amigable.
Ejemplos de software grfico:
Firestarter
- Jetico Personal Firewall
PC Tools Firewall
- Zorp GPL
Turtle
LutelWall

UBICACIN

Las distintas opciones de ubicacin de un firewall respecto a los permetros

interior y exterior, hace que sean posibles diferentes arquitecturas:
Dual Homed-Host: Anfitrin de dos bases. Se usa para referirse a equipos
cortafuegos que utilizan 2 tarjetas de red y funcionan como un proxy.
Screened Host.
Screened-Subnet.
a) Dual Homed-Host: el firewall (Host Bastin) se interpone entre la red exterior y
la red interior, de forma que todas las conexiones deben pasar por el mismo. El
firewall acta de proxy entre la red interna y la red externa.

b) Screened host o Choke-gate

Screenned Host: Cortafuegos que combina la funcin proxy con el filtrado de

paquetes.
En la combinacin Screened Host, se utiliza un equipo que se encarga de hacer
las funciones de proxy (Host Bastin) y otro equipo que se encarga de filtrar los
paquetes (router o choke).

c) Screened-Subnet

Screenet Subnet: Topologa de cortafuegos que incluye un Host Bastin, routers

de filtrado y una zona DMZ o red intermedia.
Se utilizan 2 routers, uno interior y otro exterior.
El exterior filtra el trfico entre la red interna y la red externa.
El interior filtra el trfico entre la red interna y la DMZ.
La utilizacin de esta tcnica descarga de responsabilidades al Host Bastin,
puesto que si un atacante se salta su seguridad tendr todava que atravesar la
red interna o se meter en la DMZ que es de acceso pblico.

REGLAS DE FILTRADO DE CORTAFUEGOS

Un cortafuegos es un conjunto de reglas de filtrado que actan sobre el trfico de

paquetes que lo atraviesan, modificando o no su trayectoria en base al resultado de
aplicar dichas reglas sobre los datos incluidos en la cabecera de los mismos. Estas reglas
se pueden implementar por hardware o en software.
El filtrado de un paquete a travs de un firewall est sujeto a 3 tipos de reglas:
Las reglas INPUT (de entrada) filtran paquetes que llegan al firewall,
Las reglas OUTPUT (de salida) filtran paquetes que salen de nuestro dispositivo.
Las reglas FORWARD (de reenvo) filtran paquetes dirigidos a otro dispositivo.
Al entrar al firewall, el paquete experimenta un filtrado con reglas de entrada
(PREROUTING) que permite modificar datos como la IP de destino o el puerto. Una vez
que el paquete pasa el prefiltro, se le pregunta si va dirigido al propio equipo (pasara a
las reglas INPUT) o si va dirigido a otra mquina (reglas FORWARD).
Las reglas de salida (POSTROUTING) pueden cambiar los datos del origen, y hacer que el
paquete salga con datos relativos a su direccin de origen diferentes.