FIREWALL
Origen
La tecnología de los firewall
surgió a finales de 1980, cuando Internet era una tecnología bastante nueva en
cuanto a su uso global y la conectividad. Los predecesores de los firewall para
la seguridad de la red fueron los routers utilizados a finales de 1980, que
mantenían a las redes separadas unas de otras. La visión de Internet como una
comunidad relativamente pequeña de usuarios con máquinas compatibles, que
valoraba la predisposición para el intercambio y la colaboración, terminó con
una serie de importantes violaciones de seguridad de Internet.
El primer documento publicado para
la tecnología firewall data de 1988, cuando el equipo de ingenieros Digital Equipment Corporation (DEC) desarrolló los sistemas de filtro conocidos como
firewall de filtrado de paquetes. Este sistema, bastante básico, fue la primera
generación de lo que se convertiría en una característica más técnica y
evolucionada de la seguridad deInternet.
Funcionamiento del firewall
Un Firewall
funciona, en principio, denegando cualquier tráfico que se produzca cerrando
todos los puertos de nuestro PC. En el momento que un determinado servicio o
programa intente acceder al ordenador nos lo hará saber. Podremos en ese
momento aceptar o denegar dicho tráfico, pudiendo asimismo hacer permanente la respuesta hasta que no
cambiemos nuestra política de aceptación. También puedes optar por configurar
el Firewall de manera que reciba sin problemas cierto tipo de datos (FTP, chat o correo, por ejemplo) y que filtre el resto de
posibilidades. Un firewall puede ser un dispositivo software o hardware, es
decir, un aparatito que se conecta entre la red y el cable de la conexión a
Internet, o bien un programa que se instala en la máquina que tiene el modem que conecta con Internet.
Políticas
Hay dos políticas básicas en la configuración de un
firewall que cambian radicalmente la filosofía fundamental de la seguridad en
la organización:
·
Política restrictiva: Se deniega todo el tráfico excepto el que está
explícitamente permitido. El firewall obstruye todo el tráfico y hay que
habilitar expresamente el tráfico de los servicios que se necesiten. Esta
aproximación es la que suelen utilizar las empresas y organismos
gubernamentales.
·
Política permisiva: Se permite todo el tráfico excepto el que esté
explícitamente denegado. Cada servicio potencialmente peligroso necesitará ser
aislado básicamente caso por caso, mientras que el resto del tráfico no será
filtrado. Esta aproximación la suelen utilizar universidades, centros de
investigación y servicios públicos de acceso a Internet.
Tipos de firewall
Nivel de
aplicación de pasarela
Aplica mecanismos de seguridad para aplicaciones
específicas, tales como servidores FTP y Telnet. Esto es
muy eficaz, pero puede imponer una degradación del rendimiento.
Circuito a
nivel de pasarela
Aplica mecanismos de seguridad cuando una conexión TCP o UDP es
establecida. Una vez que la conexión se ha hecho, los paquetes pueden fluir
entre los anfitriones sin más control. Permite el establecimiento de una sesión
que se origine desde una zona de mayor seguridad hacia una zona de menor
seguridad.
firewall de
capa de red o de filtrado de paquetes
Funciona a nivel de red (capa 3 del modelo OSI, capa 2
del stack de protocolos TCP/IP) como filtro de paquetes IP. A este nivel se
pueden realizar filtros según los distintos campos de los paquetes IP:
dirección IP origen, dirección IP destino. A menudo en este tipo de firewall se
permiten filtrados según campos de nivel de transporte (capa 3 TCP/IP, capa 4
Modelo OSI), como el puerto origen y destino, o a nivel de enlace de datos (no
existe en TCP/IP, capa 2 Modelo OSI) como la dirección MAC.
firewall de
capa de aplicación
Trabaja en el nivel de aplicación (capa 7 del modelo OSI), de
manera que los filtrados se pueden adaptar a características propias de los
protocolos de este nivel. Por ejemplo, si trata de tráfico HTTP, se pueden
realizar filtrados según la URL a la
que se está intentando acceder, e incluso puede aplicar reglas en función de
los propios valores de los parámetros que aparezcan en un formulario web.
Un firewall a nivel 7 de tráfico HTTP suele
denominarse proxy, y permite que los ordenadores de
una organización entren a Internet de una forma controlada. Un proxy oculta de
manera eficaz las verdaderas direcciones de red.
firewall
personal
Es un caso particular de firewall que se instala como
software en un ordenador, filtrando las comunicaciones entre dicho ordenador y
el resto de la red. Se usa por tanto, a nivel personal.
Limitación
de un Firewall
Puede
únicamente autorizar el paso del tráfico, y él mismo podrá ser inmune a la
penetración. Desafortunadamente, este sistema no puede ofrecer protección
alguna una vez que el agresor lo traspasa o permanece en torno a éste.
No puede
proteger contra aquellos ataques que se efectúen fuera de su punto de
operación.
No puede
proteger de las amenazas a que está sometido por traidores o usuarios
inconscientes.
No puede
prohibir que los traidores o espías corporativos copien datos sensitivos y los
substraigan de la empresa.
No puede
proteger contra los ataques de la "Ingeniería Social", por ejemplo un Hacker que pretende ser un supervisor o un nuevo
empleado despistado.
No puede
proteger contra los ataques posibles a la red interna por virus informativos a través de archivos y software.
Beneficios
de un firewall
Administra
los accesos posibles del Internet a la red privada.
Protege a
los servidores propios del sistema de ataques de otros
servidores en Internet.
Permite
al administrador de la red definir un "choke point",
manteniendo al margen los usuarios no-autorizados, prohibiendo potencialmente
la entrada o salida al vulnerar los servicios de la red.
Ofrece un
punto donde la seguridad puede ser monitoreada.
Ofrece un
punto de reunión para la organización.
NAT
El concepto de NAT
El proceso de la traducción de
direcciones de red (NAT, por sus siglas en inglés) se
desarrolló en respuesta a la falta de direcciones de IP con el protocolo IPv4 (el protocolo IPv6 propondrá una solución a este problema).
En efecto: en la asignación de direcciones IPv4, no
hay suficientes direcciones IP enrutables (es decir, únicas en el mundo) para
permitir que todas las máquinas que necesiten conectarse a internet puedan
hacerlo.
El concepto de NAT consiste en utilizar una
dirección IP enrutable (o un número limitado de direcciones IP) para conectar
todas las máquinas a través de la traducción, en la pasarela de internet, entre
la dirección interna (no enrutable) de la máquina que se desea conectar y la
dirección IP de la pasarela.
Además, el proceso de traducción de direcciones
permite a las compañíasasegurar la red interna siempre y cuando oculte la asignación de direcciones
internas. Para un observador que se ubica fuera de la red, todos los pedidos
parecen provenir de la misma dirección IP.
Espacio para la dirección
El organismo que administra el espacio público de
direcciones (direcciones IP enrutables) es el Organismo de Asignación de Números en Internet (IANA, por sus siglas en inglés). El RFC 1918 define un
espacio para direcciones privadas que permite a organizaciones asignar
direcciones IP a sus máquinas con redes internas sin correr el riesgo de entrar
en conflicto con una dirección IP pública asignada por IANA. Estas direcciones,
conocidas como no enrutables, corresponden a los siguientes rangos de
direcciones:
·
Clase
A: va desde 10.0.0.0 hasta 10.255.255.255
·
Clase
B: va desde 172.16.0.0 hasta 172.31.255.255 va desde 10.16.0.0 hasta
172.31.255.255
·
Clase
C: va desde 192.168.0.0 hasta 192.168.255.55 va desde 192.168.0.0 hasta
172.31.255.255
Todas las máquinas de
una red interna que están conectadas a internet a través de un router y que no
poseen una dirección IP pública deben utilizar una dirección que se encuentre
dentro de uno de estos rangos. Para redes francesas pequeñas, generalmente se
utiliza el rango de direcciones que va desde 192.168.0.1 hasta 192.168.0.255.
No comments:
Post a Comment