Saltar a contenido

Cortafuegos

Conceptos fundamentales

Un cortafuegos (o firewall) es un sistema (o conjunto de ellos) ubicado entre dos redes (O MÁS ¿???) y que ejerce una política de seguridad establecida. Se encarga de proteger una red confiable de otra que no lo es (por ejemplo Internet).

El host bastión es un sistema especialmente asegurado, pero en principio vulnerable a todo tipo de ataques por estar abierto a Internet, que tiene como función ser el punto de contacto de los usuarios de la red interna de una organización con otro tipos de redes. El host bastión filtra tráfico de entrada y salida, y también esconde la configuración de la red hacia fuera.

Por filtrado de paquetes se entiende la acción de denegar o permitir el flujo de tramas entre dos redes de acuerdo a unas normas predefinidas. El filtrado también se conoce como screening, y a los dispositivos que lo implementan se les denomina chokes; el choke puede ser la máquina bastión o un elemento diferente.

Un proxy es un programa (trabajando en el nivel de aplicación OSI) que permite o niega el acceso a una aplicación determinada entre dos redes. Los clientes proxy se comunican sólo con los servidores proxy, que autorizan las peticiones y las envían a los servidores reales, o las deniegan y las devuelven a quien las solicitó.

La red perimetral o zona desmilitarizada (DMZ) es un segmento de red entre un cortafuegos y los servicios de internet que una organización requiere que sean accesibles al público, sin que se exponga a toda la red. También puede ser definida como otra capa de seguridad o una red adicional entre la red externa y la red interna protegida.

Tipos de diseño de cortafuegos

A la hora de configurar un cortafuegos hay dos políticas de seguridad fundamentales:

  • Aquello que no esté expresamente permitido está prohibido.
  • Aquello que no esté expresamente prohibido está permitido.

Tipos de cortafuegos

Existen dos tipos de cortafuegos:

  • Cortafuegos a nivel de red (filtros).
  • Cortafuegos a nivel de aplicación (proxys).

Cortafuegos a nivel de red

Actúan en los niveles de red (3) y de transporte (4) de OSI. Se llaman routers de selección.

Un cortafuegos a nivel de red consiste en un filtrado de paquetes, que puede ser según:

  • La dirección IP origen.
  • La dirección IP destino.
  • Campo de opciones IP.
  • El protocolo a nivel de transporte.
  • El puerto origen y destino.
  • Banderas SYN/ACK (sólo TCP)

Las cuatro primeras utilizan la cabecera IP y las dos últimas la cabecera TCP/UDP.

Cortafuegos a nivel de aplicación

En este caso se utiliza un servidor proxy.

Arquitecturas de cortafuegos

  • Cortafuegos a nivel de red:

    • Dual Homed Host
    • Screened host Firewall (cortafuegos mediante filtrado de host).
    • Screened subnet Firewall (cortafuegos mediante filtrado de subred).

  • Cortafuegos a nivel de aplicación:

    • Dual homed gateway (cortafuegos mediante host de doble conexión o pasarela de dos dominios).

Screened host Firewall

Sib dispositivos que están conectados ambas redes (interior y exterior) y no dejan pasar paquetes IP. Si se desea acceder desde el interior al exterior es necesario tener instalado un servicio Proxy

Screened host Firewall

Posiblemente sea la arquitectura de cortafuegos más utilizada. El host bastión se encuentra en la red privada, y el screening router está configurado de forma que el host bastión sea el único sistema de la red privada accesible desde Internet.

Además, el screening router está configurado para bloquear el tráfico al bastión que no vaya a unos puertos específicos.

En esta arquitectura, la seguridad primaria es proporcionada por el filtrado de paquetes. El bastión debe tener un alto nivel de seguridad.

Screened subnet Firewall

Agrega una capa extra de seguridad a la arquitectura Screened Host añadiendo una red adicional, que además aísla la red interna de Internet. El bastión se encuentra dentro de la red perimetral (DMZ).

Última actualización: August 15, 2021