Un cortafuegos (firewall en inglés) es una parte de un sistema o una
red que está diseñada para bloquear el acceso no autorizado,
permitiendo al mismo tiempo comunicaciones autorizadas, para
permitir, limitar, cifrar, descifrar, el tráfico entre los diferentes
ámbitos sobre la base de un conjunto de normas y otros criterios.
Los cortafuegos pueden ser implementados en hardware o software,
o una combinación de ambos. Los cortafuegos se utilizan con
frecuencia para evitar que los usuarios de Internet no autorizados
tengan acceso a redes privadas conectadas a Internet, especialmente intranets.
También es frecuente conectar al cortafuegos a una tercera red, llamada «zona desmilitarizada» o DMZ, en la
que se ubican los servidores de la organización que deben permanecer accesibles desde la red exterior.
En seguridad informática, una zona
desmilitarizada (conocida también como DMZ,
sigla en inglés de demilitarized zone) o red
perimetral es una red local que se ubica entre la
red interna de una organización y una red
externa, generalmente en Internet. El objetivo
de una DMZ es que las conexiones desde la red
interna y la externa a la DMZ estén permitidas,
mientras que en general las conexiones desde
la DMZ solo se permitan a la red externa -- los
equipos (hosts) en la DMZ no pueden conectar
con la red interna. Esto permite que los equipos
(hosts) de la DMZ puedan dar servicios a la red
externa a la vez que protegen la red interna en el caso de que intrusos comprometan la seguridad de los
equipos (host) situados en la zona desmilitarizada. Para cualquiera de la red externa que quiera conectarse
ilegalmente a la red interna, la zona desmilitarizada se convierte en un callejón sin salida.
La DMZ se usa habitualmente para ubicar servidores que es necesario que sean accedidos desde fuera, como
servidores de correo electrónico, Web y DNS. Y es precisamente estos servicios alojados en estos servidores
los únicos que pueden establecer tráfico de datos entre el DMZ y la red interna, por ejemplo, una conexión de
datos entre el servidor web y una base de datos protegida situada en la red interna.
Las conexiones que se realizan desde la red externa hacia la DMZ se controlan generalmente utilizando port
address translation (PAT).
Una DMZ se crea a menudo a través de las opciones de configuración del cortafuegos, donde cada red se
conecta a un puerto distinto de éste. Esta configuración se llama cortafuegos en trípode (three-legged
firewall).
Obsérvese que los enrutadores domésticos son llamados DMZ host, aunque no es una definición correcta de
zona desmilitarizada.
VPN
Una red privada virtual, RPV, o VPN de las siglas en inglés de Virtual Private Network, es una tecnología
de red que permite una extensión segura de la red local (LAN) sobre una red pública o no controlada
como Internet. Permite que la computadora en la red envíe y reciba datos sobre redes compartidas o públicas
como si fuera una red privada con toda la funcionalidad, seguridad y políticas de gestión de una red
privada. Esto se realiza estableciendo una conexión virtual punto a punto mediante el uso de conexiones
dedicadas, cifrado o la combinación de ambos métodos.
Ejemplos comunes son la posibilidad de conectar dos o más sucursales de una empresa utilizando como
vínculo Internet, permitir a los miembros del equipo de soporte técnico la conexión desde su casa al centro de
�cómputo, o que un usuario pueda acceder a su equipo doméstico desde un sitio remoto, como por ejemplo un
hotel. Todo ello utilizando la infraestructura de Internet.
La conexión VPN a través de Internet es técnicamente una unión wide area network (WAN) entre los sitios
pero al usuario le parece como si fuera un enlace privado— de allí la designación "virtual private network".
El balance o balanceo de carga es un concepto usado en informática que se refiere a la técnica usada para
compartir el trabajo a realizar entre varios procesos, ordenadores, discos u otros recursos. Está íntimamente
ligado a los sistemas de multiprocesamiento, o que hacen uso de más de una unidad de procesamiento para
realizar labores útiles.
El balance de carga se mantiene gracias a un algoritmo que divide de la manera más equitativa posible el
trabajo, para evitar los así denominados cuellos de botella.
Uno de los principales problemas de los mayores sitios web en Internet es cómo gestionar las solicitudes de un
gran número de usuarios. Se trata de un problema de escalabilidad que surge con el continuo crecimiento del
número de usuarios activos en el sistema.
Este servicio se puede brindar tanto con un enrutador como con una computadora con dos placas de red y
software específico.
Hay balanceadores de carga tipo round-robin (uno a uno) y por pesos (que son capaces de saber cuál de los
nodos está más libre y lanzarle la petición). El más conocido es LVS, sin embargo hay otros, como el Red
Hat Piranha.
Y en la plataforma para Windows Server se tiene al ISA Server (Microsoft Internet Security and Acceleration
Server).
Existen softwares para el balance de carga, como "Wingate" en donde se pueden añadir dos redes y no es tan
difícil de configurar.
Configuración inicial de pfSense
Una vez instalada la Compact Flash en el FX5620 (con el equipo sin alimentación) lo ponemos en marcha con
un monitor, teclado y cable de red conectados. El cable de red lo pondremos en ETH6 (interfase a 1 Gbit/s y
que pfSense reconoce como re0).
Una vez en marcha el sistema, tenemos que indicar como mínimo la LAN y la WAN:
Do you want to set up VLANs now [y|n]? n
Enter the LAN interface name or 'a' for auto-detection: re0
Enter the WAN interface name or 'a' for auto-detection: rl0
Enter the Optional 1 interface name or 'a' for auto-detection
(or nothing is finished): _
Y confirmar la operación:
LAN -> re0
WAN -> rl0
Do you want to proceed [y|n]? y
El sistema carga su configuración por defecto y presenta al final la indicación de que la LAN es [Link]
y su menú de consola.
Seleccionaremos la opción 2)
Set LAN IP address de la consola para cambiar de [Link] a [Link].1
Enter the new LAN IP address: [Link].1
Subnet masks are entered as bit counts (as in CIDR notation) in pfSense.
e.g. [Link] = 24
[Link] = 16
[Link] = 8
�Enter the new LAN subnet bit count: 24
Do you want to enable the DHCP server on LAN [y|n]? n
Confirmando la operación se nos informará de la nueva dirección.
A partir de aquí, normalmente emplearemos el configurador web, yendo a [Link]
El acceso directo a la consola del cortafuegos tiene la pega de estar configurado con el teclado inglés. En caso
de querer acceder al cortafuegos vía consola siempre será más cómodo hacerlo por SSH. Este acceso sí que
nos reconocerá nuestro teclado (empleando, por ejemplo, el cliente PuTTY). En [ Configuración base ] explico
cómo activar el acceso por SSH.
Embedded {adj.} (también: ingrained) incrustado {adj. m}
El objeto gráfico incrustado o vinculado al archivo actual no se modifica, sólo lo hace la vista del objeto.
Por lo general, este contenido de terceros se muestra sin inconvenientes, como en un vídeo incrustado o una
imagen. Haga doble clic para activar el incrustado
Sí, algunas aplicaciones de spyware se instalan desde sitios web mediante un programa o script incrustado en
una página web.
Sí, algunas aplicaciones de spyware se instalan desde sitios web mediante un programa o script incrustado en
una página web.
Un portal cautivo es una aplicación que vigila el trafico http y hace que los usuarios primero pasen por una
página inicial la cual requiere una autenticación especial si requieren salida a internet. Aunque realmente
depende de los criterios de la seguridad que se necesiten implementar, en ocasiones se puede dejar sin
autenticación únicamente mostrando las normal de uso y la duración de la navegación. Este servicio es muy
implementado en aeropuertos, centros de negocios hoteles y proveedores de internet inalámbrico.
