Cortafuegos Esquema de una red de computadoras que utiliza un Cortafuegos.

Un cortafuegos (firewall en ingls) es una parte de un sistema o una red que est diseada para bloquear el acceso no autorizado, permitiendo al mismo tiempo comunicaciones autorizadas. Se trata de un dispositivo o conjunto de dispositivos configurados para permitir, limitar, cifrar, descifrar, el trfico entre los diferentes mbitos sobre la base de un conjunto de normas y otros criterios. Los cortafuegos pueden ser implementados en hardware o software, o una combinacin de ambos. Los cortafuegos se utilizan con frecuencia para evitar que los usuarios de Internet no autorizados tengan acceso a redes privadas conectadas a Internet, especialmente intranets. Todos los mensajes que entren o salgan de la intranet pasan a travs del cortafuegos, que examina cada mensaje y bloquea aquellos que no cumplen los criterios de seguridad especificados. Tambin es frecuente conectar al cortafuegos a una tercera red, llamada Zona desmilitarizada o DMZ, en la que se ubican los servidores de la organizacin que deben permanecer accesibles desde la red exterior. Un cortafuegos correctamente configurado aade una proteccin necesaria a la red, pero que en ningn caso debe considerarse suficiente. Laseguridad informtica abarca ms mbitos y ms niveles de trabajo y proteccin. una zona desmilitarizada (DMZ, demilitarized zone) o red perimetral es una red local que se ubica entre la red interna de una organizacin y una red externa, generalmente Internet. Un cortafuegos o firewall, es un elemento de software o hardware utilizado en una red para prevenir algunos tipos de comunicaciones prohibidos segn las polticas de red que se hayan definido en funcin de las necesidades de la organizacin responsable de la red. La idea principal de un firewall es crear un punto de control de la entrada y salida de trfico de una red. Un firewall correctamente configurado es un sistema adecuado para tener una proteccin a una instalacin informtica, pero en ningn caso debe considerarse como suficiente. LaSeguridad informtica abarca ms mbitos y ms niveles de trabajo y proteccin. Su modo de funcionar es definido por la recomendacin RFC 2979, la cual define las caractersticas de comportamiento y requerimientos de interoperabilidad. Ventajas de un firewall Protege de intrusiones: El acceso a los servidores en la red slo se hace desde mquinas autorizadas. Proteccin de informacin privada: Permite definir distintos niveles de acceso a la informacin de manera que en una organizacin cada grupo de usuarios definido tendr acceso slo a los servicios y la informacin que le son estrictamente necesarios. ORIGEN DE LA PALABRA FIREWALLS El concepto de firewall proviene de la mecnica automotriz, donde se lo considera una lmina protectora / separadora entre el habitculo de un vehculo y las partes combustibles del motor, que protege a sus pasajeros en caso de incendio. Anlogamente, un firewall, en un sentido ms informtico, es un sistema capaz de separar el habitculo de nuestra red, o sea, el rea interna de la misma, del posible incendio de crackers que se producira en ese gran motor que es internet. Por qu un firewall? Bsicamente la razn para la instalacin de un firewall es casi siempre la misma: proteger una red privada contra intrusos dentro de un esquema de conectividad a Internet. En la mayora de los casos, el propsito es prevenir el acceso de usuarios no autorizados a los recursos computacionales en una red privada y a menudo prevenir el trfico no autorizado de informacin propietaria hacia el exterior. Objetivo de un Firewalls Un firewall sirve para mltiples propsitos, entre otros podemos anotar los siguientes:

- Restriccin de entrada de usuarios a puntos cuidadosamente controlados de la red interna. - Prevencin ante los intrusos que tratan de ganar espacio hacia el interior de la red y los otros esquemas de defensas establecidos. - Restriccin de uso de servicios tanto a usuarios internos como externos. - Determinar cules de los servicios de red pueden ser accesados dentro de sta por los que estn fuera, es decir, quin puede entrar a utilizar los recursos de red pertenecientes a la organizacin. Todo el trfico que viene de la Internet o sale de la red corporativa interna pasa por el firewall de tal forma que l decide si es aceptable o no. Beneficios de un firewall Administra los accesos posibles del Internet a la red privada. Protege a los servidores propios del sistema de ataques de otros servidores en Internet. Permite al administrador de la red definir un "choke point" (embudo), manteniendo al margen los usuarios noautorizados, prohibiendo potencialmente la entrada o salida al vulnerar los servicios de la red. Ofrece un punto donde la seguridad puede ser monitoreada. Ofrece un punto de reunin para la organizacin. Si una de sus metas es proporcionar y entregar servicios informacin a consumidores, el firewall es ideal para desplegar servidores WWW y FTP. Limitacin de un Firewalls Puede nicamente autorizar el paso del trafico, y l mismo podr ser inmune a la penetracin. Desafortunadamente, este sistema no puede ofrecer proteccin alguna una vez que el agresor lo traspasa o permanece en torno a ste. No puede proteger contra aquellos ataques que se efecten fuera de su punto de operacin. No puede proteger de las amenazas a que est sometido por traidores o usuarios inconscientes. No puede prohibir que los traidores o espas corporativos copien datos sensitivos y los substraigan de la empresa. No puede proteger contra los ataques de la "Ingeniera Social", por ejemplo un Hacker que pretende ser un supervisor o un nuevo empleado despistado. No puede proteger contra los ataques posibles a la red interna por virus informativos a travs de archivos y software. QUE ES UN FIREWALL Y CUAL ES SU FUNCION. Vamos a ver en este tutorial qu es realmente un Firewall y para que sirve exactamente: - Un Firewall, tambin llamado Cortafuegos es un programa que sirve para filtrar las comunicaciones de un ordenador o de una red, tanto entrantes como salientes, permitiendo o denegando estas comunicaciones en funcin de una serie de criterios, llamados Reglas. Un Firewall puede ser de dos tipos diferentes: Firewall por hardware: Se trata de un tipo de Firewall instalado en un perifrico de aspecto parecido a un router. Es una muy buena solucin cuando hablamos de una red, ya que nos permite hacer toda la configuracin de Firewall en un solo punto al que se conectan los ordenadores. Algunos router incorporan funciones de Firewall. Firewall por software: Es el ms comn y utilizado. Se trata de un software que instalamos en nuestro ordenador, por lo que slo va a proteger al ordenador en el que est instalado.

Tal como vimos en la definicin, un Firewall tiene la misin de filtrar el trfico de nuestra red, ya sea de entrada o de salida, para evitar intrusiones no deseadas en nuestro ordenador o bien la salida de datos del mismo. En el mercado hay una gran variedad de programas de este tipo, tanto independientes como formando parte de un paquete junto a un antivirus. El propio Windows XP (a partir del SP2) incorpora un Firewall que es bastante bueno, y especialmente el que incorpora el nuevo Windows Vista, cuya configuracin hemos podido ver en los tutoriales Firewall de Windows Vista: Configuracin Bsica y Firewall de Windows Vista: Configuracin Avanzada. Pero... Es un Firewall una proteccin contra malware?. La respuesta es simple. Un Firewall NO es una proteccin contra malware es una proteccin contra el trfico no deseado. Va a impedir que un intruso entre en nuestro ordenador o que este deje salir al exterior datos, pero NO va a impedir que nos infecte un virus, programa espa o adware, ni tampoco que tengamos una infeccin por troyanos. Esto es algo que debemos tener muy claro, ya que el instalar un Firewall es slo parte de la solucin, pero no lo es todo. Como funciona un Firewall?. Como ya hemos dicho, un Firewall funciona definiendo una serie de autorizaciones para la comunicacin, tanto de entrada como de salida, mediante Reglas. Estas reglas se pueden hacer teniendo en cuenta los puertos de comunicacin, los programas o las IP de conexin. Estas reglas pueden ser tanto restrictivas como permisivas, es decir, pueden ser reglas que denieguen o autoricen las comunicaciones (de entrada, de salida o ambas) a un determinado puerto, un determinado programa o una determinada IP. Son fciles de configurar los Firewall?. Bien, aqu hay que distinguir dos tipos de configuracin, la configuracin bsica y la configuracin avanzada. La configuracin bsica suele ser bastante fcil de realizar, eso si, en unos Firewall ms que en otros, ya que algunos incluyen en este tipo de configuracin ms parmetros que otros. Tambin va a haber diferencias en tipo de parmetros que podemos controlar en este tipo de configuracin de un Firewall a otro, pero por lo general se va a tratar siempre de una configuracin bastante sencilla. En cambio una configuracin avanzada no es que sea fcil ni difcil, es que precisa de unos conocimientos avanzados por parte de la persona que vaya a realizar esta configuracin, ya que se trata de conocer no solo el elemento sobre el que se va a establecer una determinada regla, sino que tambin hay que saber el orden exacto que deben seguir estas reglas para que funcionen correctamente y el efecto que van a tener en nuestras comunicaciones. Son ms fciles de configurar los Firewall por software o los Firewall por hardware?. Pues, salvo el acceso a la configuracin, depende del Firewall, no de que sea por software o por hardware. En realidad todos los Firewall son por software, en un firewall por hardware slo cambia la ubicacin de este. Son ms seguros los Firewall por software o los Firewall por hardware?.

Pues no depende tanto del tipo de soporte como de la calidad del mismo. Al fin y al cabo, lo nico que cambia es el espacio fsico en el que se ejecuta el Firewall, no el funcionamiento de este. Es conveniente tener instalado un Firewall?. Pues la respuesta es obvia. No solo es conveniente sino que es muy recomendable, ya que con un Firewall correctamente configurado vamos a impedir las intrusiones en nuestro sistema Cmo funciona? Un Firewall funciona, en principio, denegando cualquier trfico que se produzca cerrando todos los puertos de nuestro PC. En el momento que un determinado servicio o programa intente acceder al ordenador nos lo har saber. Podremos en ese momento aceptar o denegar dicho trfico, pudiendo asimismo hacer (para no tener que repetir la operacin cada vez) "permanente" la respuesta hasta que no cambiemos nuestra poltica de aceptacin. Tambin puedes optar por configurar el Firewall de manera que reciba sin problemas cierto tipo de datos (FTP, chat o correo, por ejemplo) y que filtre el resto de posibilidades. Un firewall puede ser un dispositivo software o hardware, es decir, un aparatito que se conecta entre la red y el cable de la conexin a Internet, o bien un programa que se instala en la mquina que tiene el modem que conecta con Internet. Windows XP cuenta con un Firewall, aunque muy sencillo. Slo te permite filtrar la informacin que entra en tu ordenador, no la que sale. De esta forma, no te servir de nada si tienes instalado un programa Adware que recoge datos de tu equipo y se conecta al exterior para enviarlos. Conviene que te instales un Firewall ms completo y que te permita configurar polticas de seguridad. Muchas compaas de seguridad disponen de vesiones shareware y freeware de sus Firewalls. - La empresa Kerio dispone de una versin gratuita para usuarios no profesionales. - ZoneAlarma es una de las firmas ms populares en Firewalls. - En el site de Agnitum puedes optar por una versin gratuita y una Pro, dependiendo de tus necesidades. FACTORES QUE NO HACEN DESEABLE UNA FIREWALL INEFICIENTE: el firewall se convierte en un cuello de botella de toda la estructura y debe poseer por lo tanto una eficiencia en la manipulacin de los streams de paquetes que sea igual o superior a la del enrutador que maneja tal enlace. Normalmente la experiencia y conocimiento de los fabricantes de firewalls no se acerca siquiera a la tradicin y conocimiento de los fabricantes tradicionales de enrutadores, por ello rara vez pueden cumplir el requisito anterior y lo que se consigue en la practica es un cuello de botella, as como enrutadores sub utilizados debido a la situacin anterior. Este factor tambin nos conduce a que los costos para maquina de firewall que cumplan tales requisitos sean bastante altos ya que su volumen deproduccin (numero de unidades vendidas) no se acerque a la produccin tpica de los enrutadores correspondientes para ese nivel de procesamiento de paquetes por segundo. NO TAN SEGURO: los firewall son tpicamente implementados en un sistema UNIX lo que los hace bastante vulnerables para los ataques de seguridad, ya que de tal sistema existe mayor conocimiento del pblico en general, y son bastante publicadas las posibles brechas de seguridad en ese sistema operativo, por ello es el blanco tpico de ataque para los programas especializados de scanning de los hackers (estudian "pacientemente" mltiples opciones del sistema, hasta encontrar un punto de acceso o modificacin).estos programas son en un 99% desarrollados para sistemas UNIX. Si mi seguridad esta sustentada en una maquina cuyo ncleo est apoyada en el sistema UNIX (el cual es precisamente el ms conocido por los enemigos de mi seguridad), entonces mi sistema no es realmente tan seguro.

MUCHAS VECES NO SON TRANSPARENTES A LA OPERACIN DEL USUARIO: debido a su diseo, algunos de estos modelos no son tan transparentes a la operacin del sistema, complican la administracin del sistema de comunicacin (usualmente tienen interfaces de manejo propietarias). Algunos modelos basados en "proxies" pueden ser muy seguros, pero algunos de ellos requieren versiones modificadas de los aplicativos, llevando los a ser poco deseables para montajes masivos. SON INAPROPIADOS PARA MONTAJES MIXTOS: por su misma concepcin el montaje solicitado por las compaas cuenta con dos niveles de VPNs (la intranet corporativa y luego las intranet de cada empresa), los cuales deben ser interrrelacionados de manera armoniosa para flujo de informacin y control de acceso. Este tipo de montaje seria bastante costoso, dificil de implementar y de administrar con dos niveles de firewalls.

Grfico esquemtico del funcionamiento bsico de un firewall. En este caso hay un firewall por hardware y por firewall que filtran la informacin de ingreso y egreso a las computadoras. Los ataques externos Los firewalls tambin nos informan sobre los "ataques" que recibimos desde afuera. Estos programas suelen monitorear tambin la entrada de datos desde Internet (u otra red), pudiendo detectar posibles intentos de ingresos no autorizados o ataques externos. Tambin suelen crear registros o "logs", guardando toda la informacin importante sobre los ataques y su procedencia (la direccin IP por ejemplo). Claro, ahora uno se pregunta, "Y de qu me sirve a m tener el nmero IP?" Con una direccin IP, en general, podremos saber quin es el equipo atacante y su ubicacin. Si los daos que generan esos ataques te perjudican de alguna manera, podras iniciar acciones legales. En todos los pases hay leyes que sancionan la violacin de la privacidad, el robo de informacin personal, etc. Un programa firewall o tambin llamado cortafuegos puede ayudar a proteger sucomputadora, sin embargo, al mismo tiempo, puede causar problemas con su red o con tareas relacionadas a internet. Por ejemplo, es posible que no pueda acceder a otros equipos de la red, o los dems equipos no sern capaces de navegar en su ordenador, o puede no ser capaz de imprimir en una impresora de la red a causa del cortafuegos.

Cmo desactivar un cortafuegos, depender del programa cortafuegos o del antivirus -con firewall- que hayamos instalado. A continuacin algunas recomendaciones para desactivar el cortafuegos instalado en su computadora. Desactivar el Firewall de Windows Para desactivar el firewall de Windows XP, vaya a Inicio - Configuracin - Panel de Control. Una vez all ingrese en Windows Firewall y desactvelo. Existen tres tipos de firewalls: Firewalls de software: Tienen un costo pequeo y son una buena eleccin cuando slo se utiliza una PC. Su instalacin y actualizacin es sencilla, pues se trata de una aplicacin de seguridad, como lo sera un antivirus; de hecho, muchos antivirus e incluso el propio Windows poseen firewalls para utilizar. Enrutadores de hardware: Su principal funcin es la de disfrazar la direccin y puertos de la PC a los intrusos. Suelen tener cuatro puertos de red para conexin mediante cableado. Firewalls de hardware: Son ms caros y complejos de manejar en el mantenimiento y actualizacin. Los firewalls de hardware son ms indicados en empresas y grandes corporaciones que tienen mltiples computadoras conectadas. Tambin suelen utilizarse en aquellas empresas que prestan servicios de hosting y necesitan seguridad en los servidores. Riesgos que pueden controlar los firwalls Uso oculto de los servicios de WWW y FTP desde dentro de la computadora. O riesgos externos desde la WWW. Aplicaciones ActiveX o JavaScript instaladas clandestinamente, que son capaces de transferir datos personales del usuario a otros. Elementos de seguimiento como las cookies. Troyanos: aplicaciones ocultas que se descargan de la red y que pueden ser usadas por terceros, en forma remota, para extraer datos personales. Reduccin del ancho de banda disponible por el trfico de banners, pop up, sitios no solicitados, y otro tipo de datos innecesarios que ralentizan la conexin. Spyware: pequeos programas que se instalan con el fin de robar nuestros datos y espiar nuestros movimientos en la red. Dialers: programas que cortan la actual conexin y utilizan la lnea para llamadas de larga distancia utilizadas por terceros Las Fases La fase I consiste en presentar el funcionamiento del Firewall como sistema de seguridad de una red, la fase II comprende los componentes del sistema Firewall, la fase III relaciona las caractersticas y ventajas del Firewall, la fase IV es el diseo de decisin de un Firewall de Internet y el ultimo tema Limitaciones del Firewall. FASE I Funcionamiento del Firewall como sistema de seguridad de una red.

Figura 1 Un Firewall se conecta entre la red interna confiable y la red externa no confiable, (ver figura.1).Los Firewalls en Internet administran los accesos posibles del internet a la red privada. Si no contamos con un Firewall, cada uno de los servidores de nuestro sistema se exponen al ataque de otros servidores en internet. El sistema Firewall opera en las capas superiores del modelo OSI y tienen informacin sobre las- funciones de la aplicacin en la que basan sus decisiones. Los Firewalls tambin operan en las capas de red y transporte en cuyo caso examinan los encabezados IP y TCP, (paquetes entrantes y salientes), y rechazan o pasan paquetes con base a reglas de filtracin de paquetes programadas.

Figura 2 El firewall acta como un punto de cierre que monitorea y rechaza el trafico de red a nivel de aplicacin, (Ver Figura. 2). Los Firewall son filtros que bloquean o permiten conexiones transmisiones de informacin por internet, los filtros estn diseados para evitar que un usuario irreconocible ataque nuestro equipo por internet y al mismo tiempo podr ser inmune a la penetracin. FASE II. Los componentes del sistema Firewall.

Un Firewall tpico se compone de uno, o una combinacin, de: Ruteador Filtra-paquetes. Gateway a nivel-aplicacin. Gateway a nivel-circuito. El ruteador toma las decisiones de rehusar y permitir el paso de cada uno de los paquetes que son recibidos. Este sistema se basa en el examen de cada datagrama enviado y cuenta con una regla de revisin de informacin de los encabezados IP, si estos no corresponden a las reglas, se descarta o desplaza el paquete.(Ver figura. 3)

Figura 3 Gateways a nivel-aplicacin Los gateways nivel-aplicacin permiten al administrador de red la implementacin de una poltica de seguridad estricta que la que permite un ruteador filtra-paquetes. Mucho mejor que depender de una herramienta genrica de filtra-paquetes para administrar la circulacin de los servicios de Internet a travs del firewall, se instala en el gateway un cdigo de propsito-especial (un servicio Proxy) para cada aplicacin deseada. Gateway a nivel-circuito Un Gateway a nivel-circuito es en si una funcin que puede ser perfeccionada en un Gateway a nivelaplicacin. A nivel-circuito simplemente trasmite las conexiones TCP sin cumplir cualquier proceso adicional en filtrado de paquetes.

Figura 4 La figura 4 .- Muestra la operacin de una conexin tpica Telnet a travs de un gateway a nivel-circuito. Tal como se menciono anteriormente, este gateway simplemente trasmite la conexin a travs del firewall sin

examinarlo adicionalmente, filtrarlo, o dirigiendo el protocolo de Telnet. El gateway a nivel-circuito acciona como una cable copiando los bytes antes y despus entre la conexin interna y la conexin externa. FASE III. Caractersticas y ventajas del Firewall. Proteccin de la Red Mantiene alejados a los piratas informaticos (crakers) de su red al mismo tiempo que permite acceder a todo el personal de la oficina. Control de acceso a los recursos de la red Al encargarse de filtrar, en primer nivel antes que lleguen los paquetes al resto de las computadoras de la red, el firewall es idneo para implementar en el los controles de acceso. Control de uso de internet Permite bloquear el material no- adecuado, determinar que sitios que puede visitar el usuario de la red interna y llevar un registro. Concentra la seguridad.- El firewall facilita la labor a los responsables de seguridad, dado que su mxima preocupacin de encarar los ataques externos y vigilar, mantener un monitoreo. Control y estadsticas.- Permite controlar el uso de internet en el mbito interno y conocer los intentos de conexiones desde el exterior y detectar actividades sospechosas. Choke-Point Permite al administrador de la red definir un (embudo) manteniendo al margen los usuarios noautorizados fuera de la red, prohibiendo potencialmente la entrada o salida al vulnerar los servicios de la red, y proporcionar la proteccin para varios tipos de ataques. Genera Alarmas de Seguridad.- El administrador del firewall puede tomar el tiempo para responder una alarma y examina regularmente los registros de base. Audita y registra internet Permite al administrador de red justificar el gasto que implica la conexin a internet, localizando con precisin los cuellos de botella potenciales del ancho de banda. FASE IV. Diseo de decisin de un Firewall de Internet. Cuando se disea un firewall de internet, se toma algunas decisiones que pueden ser asignadas por el administrador de red: Las polticas que propone el Firewall Posturas de la polticas No todo lo especficamente permitido esta prohibido y Ni todo lo especficamente prohibido esta permitido. La primera postura asume que un firewall puede obstruir todo el trafico y cada uno de los servicios o aplicaciones deseadas necesariamente y ser aplicadas caso por caso. La segunda propuesta asume que el firewall puede desplazar todo el trafico y que cada servicio potencialmente peligroso necesitara ser aislado bsicamente caso por caso. La Poltica interna propia de la organizacin para la seguridad total La poltica de seguridad se basara en una conduccin cuidadosa analizando la seguridad, la asesoria en caso de riesgo. El costo Financiero del proyecto Firewall Es el precio que puede ofrecer una organizacin por su seguridad, un simple paquete filtrado firewall puede tener un costo mnimo ya que la organizacin necesita un ruteador- conectado al internet, y dicho paquete ya esta incluido como estndar del equipo. FASE IV Diseo de decisin de un Firewall de Internet. Cuando se disea un firewall de internet, se toma algunas decisiones que pueden ser asignadas por el administrador de red: Las polticas que propone el Firewall Posturas de la polticas No todo lo especficamente permitido esta prohibido y Ni todo lo especficamente prohibido esta permitido.

La primera postura asume que un firewall puede obstruir todo el trafico y cada uno de los servicios o aplicaciones deseadas necesariamente y ser aplicadas caso por caso. La segunda propuesta asume que el firewall puede desplazar todo el trafico y que cada servicio potencialmente peligroso necesitara ser aislado bsicamente caso por caso. La Poltica interna propia de la organizacin para la seguridad total La poltica de seguridad se basara en una conduccin cuidadosa analizando la seguridad, la asesoria en caso de riesgo. El costo Financiero del proyecto Firewall Es el precio que puede ofrecer una organizacin por su seguridad, un simple paquete filtrado firewall puede tener un costo mnimo ya que la organizacin necesita un ruteador- conectado al internet, y dicho paquete ya esta incluido como estndar del equipo. FASE V. Limitaciones de un Firewall Un firewall no puede protegerse contra aquellos ataques que se efecten fuera de su punto de operacin, en este caso: Conexin dial-out sin restricciones que permita entrar a nuestra red protegida, el usuario puede hacer una conexin SLIP o PPP al internet. Este tipo de conexiones derivan de la seguridad provista por firewall construido cuidadosamente, creando una puerta de ataque. El firewall no puede protegerse de las amenazas a que esta sometido por traidores o usuarios inconscientes. El firewall no puede protegerse contra los ataques de la ingeniera social, en este caso, un craker que quiera ser un supervisor o aquel que persuade a los usuarios menos sofisticados. El firewall no puede protegerse de los ataques posibles a la red interna por virus informativos a travs de archivos y software. Tampoco puede protegerse contra los ataques en la transferencia de datos, estos ocurren cuando aparentemente datos inocuos son enviados o copiados a un servidor interno y son ejecutados despachando el ataque. Conclusiones Un firewall es un filtro que controla todas las comunicaciones que atraviesan una red,en funcin de lo que se permite o deniega.Algunos programas de firewalls permiten llevar las estadsticas del ancho de bandaconsumido por los usuarios (trafico de la red) y de los procesos que han influido ms enese trfico, con esta informacin el administrador de la red puede restringir el uso deestos procesos y economizar o aprovechar mejor el ancho de banda disponible paraotras aplicaciones.El Firewall tampoco provee de herramientas contra la filtracin de software comofiltrado de contenido (texto, imagen, video) o archivos