- Concepto . Utilización de cortafuegos.

- Historia de los cortafuegos.

- Funciones principales de un cortafuegos:
Filtrado de paquetes de datos, filtrado
por aplicación, Reglas de filtrado y
registros de sucesos de un cortafuegos.
- Listas de control de acceso (ACL).
- Ventajas y Limitaciones de los cortafuegos.
- Políticas de cortafuegos.
- Tipos de cortafuegos.
-- Clasificación por ubicación.
-- Clasificación por tecnología.
- Arquitectura de cortafuegos.
- Pruebas de funcionamiento. Sondeo.

Luis Villalta Márquez

Cortafuegos
Un cortafuegos o firewall es un sistema que previene el
uso y el acceso desautorizados a tu ordenador.
Los cortafuegos pueden ser software, hardware, o una
combinación de ambos. Se utilizan con frecuencia para
evitar que los usuarios desautorizados de Internet tengan
acceso a las redes privadas conectadas con Internet,
especialmente intranets.
Todos los mensajes que entran o salen de la Intranet pasan
a través del cortafuegos, que examina cada mensaje y
bloquea los que no cumplen los criterios de seguridad
especificados.
Es importante recordar que un cortafuegos no elimina
problemas de virus del ordenador, sino que cuando se
utiliza conjuntamente con actualizaciones regulares del
sistema operativo y un buen software antivirus, añadirá
cierta seguridad y protección adicionales para tu
ordenador o red.
Un firewall o cortafuegos es un
sistema o grupo de sistemas que
hace cumplir una política de
control de acceso entre dos
redes. De una forma más clara,
podemos definir un cortafuegos
como cualquier sistema (desde
un simple router hasta varias
redes en serie) utilizado para
separar - en cuanto a seguridad
se refiere - una máquina o
subred del resto, protegiéndola
así de servicios y protocolos que
desde el exterior puedan
suponer una amenaza a la
seguridad. El espacio protegido,
denominado perímetro de
seguridad, suele ser propiedad
de la misma organización, y la
protección se realiza contra una
red externa, no confiable,
llamada zona de riesgo.
Un cortafuegos, o 'firewall', es un dispositivo que sirve para filtrar
las comunicaciones y, dependiendo de las preconfiguraciones que
tenga, deja pasar o bloquea cada tipo de comunicación.
Los cortafuegos pueden ser usados a través de una solución de
hardware, es decir un dispositivo físico, o a través de un programa
informático instalado en el sistema operativo del ordenador que se
desea proteger.
En entornos empresariales suele ser común la utilización de
cortafuegos basados en hardware, que protegen y separan la red
interna del exterior. Sin embargo en ambientes domésticos la
utilización más extendida son las soluciones por software, bien
mediante programas informáticos existentes para tal fin o
configurando los que incorporan los sistemas operativos.
El cortafuegos se sitúa en un punto determinado de la conexión
entre la red interna y la red exterior, en el caso de redes domésticas
de más de un ordenador o redes empresariales. En los cortafuegos
personales que funcionan por software, éstos se sitúan entre el
ordenador del usuario y el resto de la red a la que pertenece. Éste
se encarga de comprobar los intentos de conexión entrantes y
salientes del ordenador o red de ordenadores, controlando el
puerto, protocolo, IP, etc.
 Primera generación – cortafuegos de red: filtrado de paquetes
El primer documento publicado para la tecnología firewall data de 1988,
cuando el equipo de ingenieros Digital Equipment Corporation (DEC)
desarrolló los sistemas de filtro conocidos como cortafuegos de filtrado
de paquetes. Este sistema, bastante básico, fue la primera generación de
lo que se convertiría en una característica más técnica y evolucionada de
la seguridad de Internet.
El filtrado de paquetes actúa mediante la inspección de los paquetes
(que representan la unidad básica de transferencia de datos entre
ordenadores en Internet). Si un paquete coincide con el conjunto de
reglas del filtro, el paquete se reducirá (descarte silencioso) o será
rechazado (desprendiéndose de él y enviando una respuesta de error al
emisor). Este tipo de filtrado de paquetes no presta atención a si el
paquete es parte de una secuencia existente de tráfico. En su lugar, se
filtra cada paquete basándose únicamente en la información contenida
en el paquete en sí (por lo general utiliza una combinación del emisor del
paquete y la dirección de destino, su protocolo, y, en el tráfico TCP y
UDP, el número de puerto). Los protocolos TCP y UDP comprenden la
mayor parte de comunicación a través de Internet, utilizando por
convención puertos bien conocidos para determinados tipos de tráfico,
por lo que un filtro de paquetes puede distinguir entre ambos tipos de
tráfico (ya sean navegación web, impresión remota, envío y recepción de
correo electrónico, transferencia de archivos…); a menos que las
máquinas a cada lado del filtro de paquetes son a la vez utilizando los
mismos puertos no estándar.
 Segunda generación – cortafuegos de estado
Durante 1989 y 1990, tres colegas de los laboratorios AT&T
Bell, Dave Presetto, Janardan Sharma, y Nigam Kshitij,
desarrollaron la tercera generación de servidores de
seguridad. Esta tercera generación cortafuegos tiene en
cuenta además la colocación de cada paquete individual
dentro de una serie de paquetes.
Esta tecnología se conoce generalmente como la
inspección de estado de paquetes, ya que mantiene
registros de todas las conexiones que pasan por el
cortafuegos, siendo capaz de determinar si un paquete
indica el inicio de una nueva conexión, es parte de una
conexión existente, o es un paquete erróneo.
Este tipo de cortafuegos pueden ayudar a prevenir ataques
contra conexiones en curso o ciertos ataques de
denegación de servicio.
 Tercera generación - cortafuegos de aplicación
Son aquellos que actúan sobre la capa de aplicación del modelo OSI. La
clave de un cortafuegos de aplicación es que puede entender ciertas
aplicaciones y protocolos (por ejemplo: protocolo de transferencia de
ficheros, DNS o navegación web), y permite detectar si un protocolo no
deseado se coló a través de un puerto no estándar o si se está abusando
de un protocolo de forma perjudicial.
Un cortafuegos de aplicación es mucho más seguro y fiable cuando se
compara con un cortafuegos de filtrado de paquetes, ya que repercute en
las siete capas del modelo de referencia OSI. En esencia es similar a un
cortafuegos de filtrado de paquetes, con la diferencia de que también
podemos filtrar el contenido del paquete. El mejor ejemplo de
cortafuegos de aplicación es ISA (Internet Security and Acceleration).
Un cortafuegos de aplicación puede filtrar protocolos de capas superiores
tales como FTP, TELNET, DNS, DHCP, HTTP, TCP, UDP y TFTP (GSS). Por
ejemplo, si una organización quiere bloquear toda la información
relacionada con una palabra en concreto, puede habilitarse el filtrado de
contenido para bloquear esa palabra en particular. No obstante, los
cortafuegos de aplicación resultan más lentos que los de estado.
Cortafuegos
El término en inglés por el que se los conoce es
Packet Filter Firewalls. Se trata del tipo más básico
de cortafuegos. Analizan el tráfico de la red
fundamentalmente en la capa 3, teniendo en cuenta
a veces algunas características del tráfico generado
en las capas 2 y/o 4 y algunas características físicas
propias de la capa 1.
Los elementos de decisión con que cuentan a la hora
de decidir si un paquete es válido o no son los
siguientes:
 La dirección de origen desde donde, supuestamente,
viene el paquete (capa 3).
 La dirección del host de destino del paquete (capa 3).

 El protocolo específico que está siendo usado para la

comunicación, frecuentemente Ethernet o IP aunque
existen cortafuegos capaces de desenvolverse con
otros protocolos como IPX, NetBios, etc (capas 2 y 3).
 El tipo de tráfico: TCP, UDP o ICMP (capas 3 y 4).

 Los puertos de origen y destino de la sesión (capa 4).

 El interfaz físico del cortafuegos a través del que el

paquete llega y por el que habría que darle salida
(capa 1), en dispositivos con 3 o más interfaces de red.
 Las principales ventajas de este tipo de cortafuegos
están en su rapidez, transparencia y flexibilidad.
Proporcionan un alto rendimiento y escalabilidad y
muy bajo coste, y son muy útiles para bloquear la
mayoría de los ataques de Denegación de Servicio,
por ello se siguen implementando como servicios
integrados en algunos routers y dispositivos hardware
de balanceo de carga de gama media-alta.
 Sus principales inconvenientes son su limitada
funcionalidad y su dificultad a la hora de
configurarlos y mantenerlos. Son fácilmente
vulnerables mediante técnicas de spoofing y no
pueden prevenir contra ataques que exploten
vulnerabilidades específicas de determinadas
aplicaciones, puesto que no examinan las capas altas
del modelo OSI.
Adicionalmente, este tipo de cortafuegos suelen prestar,
dado su emplazamiento en la capa 7, servicios de
autenticación de usuarios.
La práctica totalidad de los cortafuegos de este tipo, suelen
prestar servicios de Proxy. Tanto es así que a menudo se
identifican biunívocamente unos con otros. Un Proxy es un
servicio específico que controla el tráfico de un determinado
protocolo (como HTTP, FTP, DNS, etc.), proporcionando un
control de acceso adicional y un detallado registro de sucesos
respecto al mismo. Los servicios o agentes típicos con que
cuentan este tipo de dispositivos son: DNS, Finger, FTP, HTTP,
HTTPS, LDAP, NMTP, SMTP y Telnet. Algunos fabricantes
proporcionan agentes genéricos que, en teoría, son capaces
de inspeccionar cualquier protocolo de la red, pero
lógicamente, usarlos le resta robustez al esquema y facilita a
un intruso la labor de establecer un túnel (tunneling) a través
de él.
Los agentes o servicios Proxy están formados por dos
componentes: un servidor y un cliente. Ambos suelen
implementarse como dos procesos diferentes lanzados por
un único ejecutable. El servidor actúa como destino de las
conexiones solicitadas por un cliente de la red interna. El
cliente del servicio proxy es el que realmente encamina la
petición hacía el servidor externo y recibe la respuesta de
este.
 Las principales ventajas de este tipo de cortafuegos son sus
detallados registros de tráfico (ya que pueden examinar la
totalidad del paquete de datos). El valor añadido que supone
tener un servicio de autenticación de cara a securizar nuestra
red, y la casi nula vulnerabilidad que presentan ante ataques
de suplantación (spoofing), el aislamiento que realizan de
nuestra red, la seguridad que proporciona la ‘comprensión’ a
alto nivel de los protocolos que inspeccionan y los servicios
añadidos, como caché y filtro de URL’s, que prácticamente
todos implementan.

 Entre los inconvenientes están sus menores prestaciones (en

cuanto a velocidad de inspección se refiere) frente a los otros
modelos ya vistos, la necesidad de contar con servicios
específicos para cada tipo distinto de tráfico, la imposibilidad
de ejecutar muchos otros servicios en el (puesto que escucha
en los mismos puertos), la imposibilidad de inspeccionar
protocolos como UDP, RPC y otros servicios comunes, la
necesidad de reemplazar la pila TCP nativa en el servidor
donde se ejecutan y lo vulnerables que resultan ante ataques
directos al sistema operativo sobre el que se suelen ejecutar.
La familia de los firewalls de filtrado de paquetes sobre la
pila de protocolos TCP/IP, son llamados IPFW.
Los firewalls, son principalmente, una herramienta de
seguridad y prevención ante ataques externos. Es decir,
un IPFW funciona filtrando las comunicaciones en ambos
sentidos entre su interfaz interna (la que lo conecta a su
red) y la externa. El mecanismo de funcionamiento para
realizar este filtrado es a través de una lista de reglas.
Las reglas, pueden ser de dos tipos; de aceptación y de
rechazo, aunque en realidad, éste última se descompone
en dos “subtipos”, es decir, en términos de aceptación,
rechazo y denegación. En iptables, un IPFW se
corresponde con los argumentos ACCEPT, REJECT y DROP,
respectivamente.
La lista de reglas de entrada (del exterior hacia la red) es
totalmente independiente de la lista de reglas de filtrado
de salida (de la red hacia el exterior). Las distintas listas
de reglas se llaman cadenas (chains).
Puede habilitar el registro de
sucesos del cortafuegos como
ayuda para identificar el origen
del tráfico entrante y obtener
información detallada acerca de
qué tráfico se está bloqueando.
Normalmente el tráfico saliente
correcto no se registra. El
tráfico saliente que no está
bloqueado no se registra.
A continuación vemos un
ejemplo de algunos de los datos
que se pueden recopilar en un
registro de sucesos:
Se recopila la siguiente
información de registro por
cada paquete registrado:
Campos Descripción Ejemplo:
 Fecha Muestra el año, mes y día en que tuvo lugar la transacción
registrada. Las fechas se registran con el formato AAAA-MM-DD,
donde AAAA es el año, MM es el mes y DD es el día. 2001-01-27
 Hora Muestra la hora, minuto y segundo en que tuvo lugar la
transacción registrada. La hora se registra con el formato:
HH:MM:SS, donde HH es la hora en formato de 24 horas, MM es el
número de minutos y SS es el número de segundos. [Link]
 Action Indica el funcionamiento que observó el servidor de
seguridad. Las opciones disponibles en el servidor de seguridad
son OPEN, CLOSE, DROP e INFO-EVENTS-LOST. Una acción INFO-
EVENTS-LOST indica el número de sucesos que ocurrieron pero no
se anotaron en el registro. OPEN
 Protocolo Muestra el protocolo que se utilizó para la
comunicación. Una entrada de protocolo también puede ser un
número para los paquetes que no utilizan TCP, UDP o ICMP. TCP
 src-ip Muestra la dirección IP, o la dirección IP del equipo, que
intenta establecer comunicación. [Link]
 dst-ip Muestra la dirección IP de destino de un intento de
comunicación. [Link]
 src-port Muestra el número del puerto de origen del equipo que
realizó el envío. Una entrada src-port se registra en forma de
número entero entre 1 y 65.535. Sólo TCP y UDP muestran una
entrada src-port válida. Todos los demás protocolos muestran una
entrada src-port de guión (-). 4039
 dst-port Muestra el número del puerto del equipo de destino.
Una entrada dst-port se registra en forma de número entero
entre 1 y 65.535. Sólo TCP y UDP muestran una entrada dst-port
válida. Todos los demás protocolos muestran una entrada dst-port
de guión (-).
 tamaño Muestra el tamaño del paquete en bytes. 60
 tcpflags Muestra los indicadores de control de TCP que se
encuentran en el encabezado TCP de un paquete IP:
 Ack: confirmación de campo significativo
 Fin: no hay más datos del remitente
 Psh: función de inserción
 Rst: restablecer la conexión
 Syn: sincronizar los números de secuencia
 Urg: campo Puntero urgente significativo
Cortafuegos
Una lista de control de acceso o ACL (del inglés, access control list) es un
concepto de seguridad informática usado para fomentar la separación de
privilegios. Es una forma de determinar los permisos de acceso apropiados a
un determinado objeto, dependiendo de ciertos aspectos del proceso que
hace el pedido.
Las ACL permiten controlar el flujo del tráfico en equipos de redes, tales
como enrutadores y conmutadores. Su principal objetivo es filtrar tráfico,
permitiendo o denegando el tráfico de red de acuerdo a alguna condición.
Sin embargo, también tienen usos adicionales, como por ejemplo, distinguir
"tráfico interesante" (tráfico suficientemente importante como para activar
o mantener una conexión) en RDSI.
En redes informáticas, ACL se refiere a una lista de reglas que detallan
puertos de servicio o nombres de dominios (de redes) que están disponibles
en un terminal u otro dispositivo de capa de red, cada uno de ellos con una
lista de terminales y/o redes que tienen permiso para usar el servicio. Tanto
servidores individuales como enrutadores pueden tener ACL de redes. Las
listas de control de acceso pueden configurarse generalmente para controlar
tráfico entrante y saliente y en este contexto son similares a un
cortafuegos. Existen dos tipos de listas de control de acceso:
 Listas estándar, donde solo tenemos que especificar una dirección de
origen.
 Listas extendidas, en cuya sintaxis aparece el protocolo y una dirección
de origen y de destino.
Ventajas
 Administran los accesos provenientes de Internet hacia la red privada. Sin
un firewall, cada uno de los servidores propios del sistema se exponen al
ataque de otros servidores en el Internet. Por ello la seguridad en la red
privada depende de la "dureza" con que el firewall cuente.
 Administran los accesos provenientes de la red privada hacia el Internet.
 Permite al administrador de la red mantener fuera de la red privada a los
usuarios no-autorizados (tal, como, hackers , crakers y espías),
prohibiendo potencialmente la entrada o salida de datos.
 El firewall crea una bitácora en donde se registra el tráfico más
significativo que pasa a través él.
 Concentra la seguridad Centraliza los accesos
 Protección de información privada: Define que usuarios de la red y que
información va a obtener cada uno de ellos.
 Optimización de acceso: Define de manera directa los protocolos a
utilizarse
 Protección de intrusos: Protege de intrusos externos restringiendo los
accesos a la red.
Desventajas
 Un firewall no puede protegerse contra aquellos ataques que se efectúen
fuera de su punto de operación. Por ejemplo, si existe una conexión PPP (
POINT-TO-POINT ) al Internet.
 El firewall no puede prohibir que se copien datos corporativos en
disquetes o memorias portátiles y que estas se substraigan del edificio.
 El firewall de Internet no puede contar con un sistema preciso de SCAN
para cada tipo de virus que se puedan presentar en los archivos que
pasan a través de él, pues el firewall no es un antivirus.
 El firewall no puede ofrecer protección alguna una vez que el agresor lo
traspasa.
 No protege de ataques que no pasen a través del firewall.
 No protege amenazas y ataques de usuarios negligentes.
 No protege de la copia de datos importantes si se ha obtenido acceso a
ellos.
 No protege de ataques de ingeniería social (ataques mediante medios
legítimos. Por ejemplo el atacante contacta a la víctima haciéndose
pasar por empleado de algún banco, y solicita información confidencial,
por ejemplo, datos de la tarjeta de crédito, con el pretexto de la
renovación de dicha tarjeta).
Hay dos políticas básicas en la configuración de un cortafuegos que
cambian radicalmente la filosofía fundamental de la seguridad en la
organización:
 Política restrictiva: Se deniega todo el tráfico excepto el que
está explícitamente permitido. El cortafuegos obstruye todo el
tráfico y hay que habilitar expresamente el tráfico de los
servicios que se necesiten. Esta aproximación es la que suelen
utilizar las empresas y organismos gubernamentales.
 Política permisiva: Se permite todo el tráfico excepto el que
esté explícitamente denegado. Cada servicio potencialmente
peligroso necesitará ser aislado básicamente caso por caso,
mientras que el resto del tráfico no será filtrado. Esta
aproximación la suelen utilizar universidades, centros de
investigación y servicios públicos de acceso a internet.

La política restrictiva es la más segura, ya que es más difícil

permitir por error tráfico potencialmente peligroso, mientras que
en la política permisiva es posible que no se haya contemplado
algún caso de tráfico peligroso y sea permitido por omisión.
Cortafuegos
Existen varios tipos de
cortafuegos. En
general, las
diferencias entre ellos
son la flexibilidad y la
facilidad de
configuración, la
capacidad de manejo
de tráfico. Esta vez
vamos a clasificar los
cortafuegos por su
ubicación y por su
tecnología.
 Cortafuegos personales (para PC)
Es un caso particular de cortafuegos que se instala como
software en un ordenador, filtrando las comunicaciones
entre dicho ordenador y el resto de la red. Se usa por
tanto, a nivel personal.
Los Cortafuegos personales son programas que se instalan
de forma residente en nuestro ordenador y que permiten
filtrar y controlar la conexión a la red. En general
necesitan un conocimiento adecuado de nuestro
ordenador, pues en la actualidad son muchos los programas
que realizan conexiones a la red y que son necesarios. Es
por ello que no son recomendables para usuarios
inexpertos ya que podrían bloquear programas necesarios
(incluso hasta la propia posibilidad de navegación por
Internet), aunque siempre se tenga a mano la posibilidad
de desactivarlos.
 Cortafuegos para pequeñas oficinas (SOHO)
SOHO es el acrónimo de Small Office-Home Office (Pequeña Oficina-
Oficina en Casa). Es un término que se aplica para denominar a los
aparatos destinados a un uso profesional o semiprofesional pero que, a
diferencia de otros modelos, no están pensados para asumir un gran
volumen de trabajo. El entorno SOHO propiamente dicho se refiere a
toda la tecnología informática, a muebles funcionales, productos y
servicios destinados al armado de una oficina en un ámbito doméstico.

 Equipos hardware específicos (Appliances).

Un appliance es una caja autosuficiente diseñada para un propósito
específico. Algunos en la actualidad sirven para más de un propósito, y
estos con frecuencia son denominados como 'appliances de seguridad'
dentro de 'appliances de cortafuegos' por sus distribuidores. Muchos de
ellos incluyen funcionalidad de VPN acompañando al cortafuegos, y otros
también incluyen funcionalidades como caché web. Algunos distribuidores
venden componentes de hardware diferentes (llamados security blades)
que se conectan al chasis del cortafuegos.
Algunos appliances son básicamente PCs, con los mismos tipos de disco
duro, memoria y otros componentes como un PC estándar. Otros se les
llama "solid state" porque prácticamente no tienen partes movibles.
Utilizan memorias flash sin disco duro. Desde circuitos de alta velocidad
en lugar de discos mecánicos hacen el almacenamiento más rápido.
 Cortafuegos corporativos.
Es un tipo de cortafuego, y como su nombre lo indica, son utilizados
mayormente en sistemas interconectados de organizaciones y empresas en
donde cierta cantidad de equipos podrían estar conectados en red
compartiendo y accediendo a cientos de recursos simultáneamente.
Una de las ventajas de la utilización de estos dispositivos es que todos los
equipos de la organización estarán protegidos por un único sistema,
bloqueando o dejando pasar las comunicaciones que el administrador haya
dispuesto para toda la organización.
Este tipo de dispositivos puede ser de software o hardware y su costo
dependerá del tamaño y prestaciones brindadas.
Los principales aspectos críticos que deberá resolver la configuración del
cortafuegos en los sistemas corporativos se centrarán en las siguientes
problemáticas:
 Comunes con el usuario: usurpación de la identidad e integridad de la información.
 Accesos autorizados: permitir el acceso a las direcciones de origen validadas y autorizadas.
 Aplicaciones autorizadas: permitir el acceso a las aplicaciones en función de la identidad
validada.
 Filtrado de solicitudes de conexión desde nuestra red a Internet.
 Protección de los datos de identidad de nuestros usuarios en los accesos autorizados a
Internet.
 Protección ante “caballos de troya”, en forma de archivos Java, PostScript, etc.
 Realizar todas las funciones anteriores sin afectar a las prestaciones y funcionalidades de
Internet que los usuarios internos demandan.
 Filtros de paquetes
Son una técnica de filtrado de paquetes, que consiste
en una lista de órdenes ejecutadas secuencialmente
a la entrada/ salida de cada paquete en las
interfaces de un router, con las opciones de permitir
o bloquear. (permit o deny en Cisco, accept o drop en
Linux). Con ello permitimos o denegamos la entrada
o salida de paquetes en función de las direcciones IP
(a nivel 3) o en función del puerto (a nivel 4) o
cualquier otro campo de estas cabeceras.
Se trabaja con políticas por defecto.
Ejemplos:
 I ptables en Linux
 ACL’s y ACL’s extendidas en Cisco
 Filtros de paquetes
Ventajas:
– Disponible en casi cualquier routers y en muchos
sistemas operativos
– Ofrece un alto rendimiento para redes con una
carga de tráfico elevada

Inconvenientes:
– Al procesarse los paquetes de forma independiente,
no se guarda ninguna información de contexto (no se
almacenan históricos de cada paquete) , ni se puede
analizar a nivel de capa de aplicación, dado que está
implementado en los routers.
– Son difíciles de seguir en ejecución
 Proxy de aplicación.
Además del filtrado de paquetes, es habitual que los cortafuegos
utilicen aplicaciones software para reenviar o bloquear
conexiones a servicios como finger, telnet o FTP; a tales
aplicaciones se les denomina servicios proxy, mientras que a la
máquina donde se ejecutan se le llama pasarela de aplicación.
Los servicios proxy poseen una serie de ventajas de cara a
incrementar nuestra seguridad:
- En primer lugar, permiten únicamente la utilización de servicios
para los que existe un proxy, por lo que si en nuestra
organización la pasarela de aplicación contiene únicamente
proxies para telnet, HTTPy FTP, el resto de servicios no estarán
disponibles para nadie.
- Una segunda ventaja es que en la pasarela es posible filtrar
protocolos basándose en algo más que la cabecera de las tramas,
lo que hace posible por ejemplo tener habilitado un servicio
como FTP pero con órdenes restringidas (podríamos bloquear
todos los comandos put para que nadie pueda subir ficheros a un
servidor).
 Proxy de aplicación.
El principal inconveniente que encontramos a la hora de
instalar una pasarela de aplicación es que cada servicio
que deseemos ofrecer necesita su propio proxy; además
se trata de un elemento que frecuentemente es más
caro que un simple filtro de paquetes, y su rendimiento
es mucho menor (por ejemplo, puede llegar a limitar el
ancho de banda efectivo de la red, si el análisis de cada
trama es costoso). En el caso de protocolos cliente-
servidor (como telnet) se añade la desventaja de que
necesitamos dos pasos para
conectar hacia la zona segura
o hacia el resto de la red;
incluso algunas implementaciones
necesitan clientes modificados
para funcionar correctamente.
 Inspección de estados (statefull inspection).
En informática , un cortafuegos de estado (cualquier firewall que
realiza Stateful Packet Inspection ( SPI ) o la inspección de
estado) es un firewall que realiza un seguimiento del estado de
las conexiones de red (como TCP arroyos, UDP de comunicación)
que viajan a través de ella. El firewall está programado para
distinguir los paquetes legítimos para diferentes tipos de
conexiones. Sólo los paquetes que coincidan con una conexión
conocida activa serán permitidos por el firewall, mientras que
otros serán rechazados.

 Hibrido
Conscientes de las debilidades de los firewalls de filtrado de
paquetes y de los de nivel de aplicación, algunos proveedores han
introducido firewalls híbridos que combinan las técnicas de los
otros dos tipos.
Debido a que los firewalls híbridos siguen basándose en los
mecanismos de filtrado de paquetes para soportar ciertas
aplicaciones, aún tienen las mismas debilidades en la seguridad.
Cortafuegos
 Cortafuego de filtrado de paquetes.
El modelo de cortafuegos más antiguo consiste en un dispositivo
capaz de filtrar paquetes, lo que se denomina choke. Está basado
simplemente en aprovechar la capacidad que tienen algunos
routers para bloquear o filtrar paquetes en función de su
protocolo, su servicio o su dirección IP.
Los cortafuegos de filtrado de paquetes utilizan una técnica de
filtrado, que consiste en una lista de órdenes ejecutadas
secuencialmente a la entrada/salida de cada paquete en las
interfaces de un router, con las opciones de permitir ó bloquear,
por ejemplo: iptables en Linux y ACL en Cisco.
Esta arquitectura es la más simple de implementar y la más
utilizada en organizaciones que no precisan grandes niveles de
seguridad, donde el router actúa como de pasarela de la subred y
no hay necesidad de utilizar proxies, ya que los accesos desde la
red interna al exterior no bloqueados son directos. Resulta
recomendable bloquear todos los servicios que no se utilicen
desde el exterior, así como el acceso desde máquinas que no sean
de confianza hacia la red interna.
El filtrado de paquetes actúa mediante la inspección de los
paquetes (que representan la unidad básica de transferencia de
datos entre ordenadores en Internet). Si un paquete coincide con el
conjunto de reglas del filtro, el paquete se reducirá (descarte
silencioso) o será rechazado (desprendiéndose de él y enviando una
respuesta de error al emisor).
 Ventajas:
- Disponible en casi cualquier router y en muchos sistemas
operativos.
- Ofrece un alto rendimiento para redes con una carga de tráfico
elevada.
 Inconvenientes:
- Al procesar los paquetes de forma independiente, no se guarda
ninguna información de contexto (no se almacenan históricos de
cada paquete), ni se puede analizar a nivel de capa de
aplicación, dado que está implementado en los routers.
 Cortafuego Dual-Homed Host
Una dual-homed host architecture esta construída como un host
dual-homed, un ordenador con dos tarjetas de red. Tal host actúa
como router entre las dos redes que él conoce, es capáz de
rutear paquetes IP desde una red a otra. Pero los paquetes IP de
una red a la otra no son ruteados directamente. El sistema
interno al Firewall puede comunicarse con el dual-homed host, y
los sistemas fuera de Firewall también pueden comunicarse con
él, pero los sistemas no pueden comunicarse directamente entre
ellos.
 Screened Host
En esta arquitectura se combina un screening router con un host
bastión y el principal nivel de seguridad proviene del filtrado de
paquetes. El screening router está situado entre el host bastion y
la red externa, mientras que el host bastión está situado dentro
de la red interna.
El filtrado de paquetes en el screening router está configurado de
modo que el host bastión es el único sistema de la red interna
accesible desde la red externa. Incluso, únicamente se permiten
ciertos tipos de conexiones. Cualquier sistema externo que
intente acceder a los sistemas internos tendrán que conectar con
el host bastión. Por otra parte, el filtrado de paquetes permite al
host establecer las conexiones permitidas, de acuerdo con la
política de seguridad, a la red externa.
La configuración del filtrado de paquetes en el screening router
se puede hacer de dos formas:
 Permitir a otros hosts internos establecer conexiones a hosts
de la red exterior para ciertos servicios.
 Denegar todas las conexiones desde los hosts de la red
interna , forzando a los hosts a utilizar los servicios proxy a
través del host bastion.
 Screened Subnet (DMZ)
La arquitectura Screened Subnet también se conoce con el nombre de
red perimétrica o De-Militarized Zone (DMZ). En los modelos anteriores,
la seguridad se centraba completamente en el host bastión, de manera
que si la seguridad del mismo se veía comprometida, la amenaza se
extendía automáticamente al resto de la red. En cambio, en este modelo
se añade un nivel de seguridad en las arquitecturas de cortafuegos
situando una subred (DMZ) entre las redes externa e interna, de forma
que se consigue reducir los efectos de un ataque exitoso al host bastión.
La arquitectura DMZ intenta aislar la máquina bastión en una red
perimétrica, de forma que si un intruso accede a esta máquina no
consigue un acceso total a la subred protegida.
 Screened Subnet (DMZ)
Se trata de la arquitectura de firewalls más segura, pero también
más compleja. En este caso se emplean dos routers, exterior e
interior, ambos conectados a la red perimétrica. En dicha red
perimétrica, que constituye el sistema cortafuegos, se incluye el
host bastión. También se podrían incluir sistemas que requieran
un acceso controlado, como baterías de módems o el servidor de
correo, que serán los únicos elementos visibles desde fuera de la
red interna.
La misión del router exterior es bloquear el tráfico no deseado en
ambos sentidos, es decir, tanto hacia la red perimétrica como
hacia la red externa. En cambio, el router interior bloquea el
tráfico no deseado tanto hacia la red perimétrica como hacia la
red interna. De este modo, para atacar la red protegida se
tendría que romper la seguridad de ambos routers.
En el caso en que se desee obtener un mayor nivel de seguridad,
se pueden definir varias redes perimétricas en serie, situando los
servicios que requieran de menor fiabilidad en las redes más
externas.
 Otras arquitecturas.
Una manera de incrementar en gran medida el nivel de
seguridad de la red interna y al mismo tiempo facilitar la
administración de los cortafuegos consiste en emplear un host
bastión distinto para cada protocolo o servicio en lugar de un
único host bastión. Muchas organizaciones no pueden adoptar
esta arquitectura porque presenta el inconveniente de la
cantidad de máquinas necesarias para implementar el
cortafuegos. Una alternativa la constituye el hecho de utilizar
un único bastión pero distintos servidores proxy para cada uno
de los servicios ofrecidos.
Otra posible arquitectura se da en el caso en que se divide la
red interna en diferentes subredes, lo cual es especialmente
aplicable en organizaciones que disponen de distintas
entidades separadas. En esta situación es recomendable
incrementar los niveles de seguridad de las zonas más
comprometidas situando cortafuegos internos entre dichas
zonas y la red exterior. Aparte de incrementar la seguridad,
los firewalls internos son especialmente recomendables en
zonas de la red desde la que no se permite a priori la
conexión con Internet.
Tener un cortafuegos para navegar en Internet no es
suficiente, también es importante asegurarse de que esté
bien configurado para obtener una protección óptima. A
continuación un test que le permitirán controlar su eficacia,
y de este modo volverlo a configurar si es necesario:
Nos dirigimos a la siguiente página:
[Link] , una vez en esta
pantalla hacemos clic en proceder.
 Vemos que nuestro firewall funciona
correctamente, ya que los resultados han sido
negativos.