1.2.- Cortafuegos.

Ocultar

Ilustración que muestra un firewall entre una LAN y una WAN
Bruno Pedrozo (CC BY-SA)

En la seguridad perimetral es común encontrar un router que actúe como firewall o cortafuegos. Los conceptos de cortafuegos y router son totalmente diferentes, pero ocurre que muchos routers incorporan un cortafuegos en su software, no siendo estrictamente necesario incorporar un cortafuegos adicional. La configuración de estos cortafuegos se puede hacer a través de la interfaz web del router, accediendo con cualquier navegador que incorpore el sistema operativo.

Ni que decir tiene que en este tipos de routers la palabra que más se repite entre las opciones del firewall es “filtrar”. Esto deja muy a las claras cuál es su principal función: el filtrado de paquetes. Para ello los routers miran la dirección origen, la dirección destino y el puerto destino. Estos filtros aceptan o deniegan los paquetes permitiendo al router eliminar o dejar pasar el paquete. Una vez que una comunicación llega al cortafuegos, por ejemplo una petición a un servidor web, ésta podrá ser aceptada o rechazada, según se hayan configurado las reglas.

Un ejemplo de este tipo de filtrado son las listas de acceso (ACL) aplicables en algunos routers. Son listados de restricciones o permisos que se aplican a un router para controlar el tráfico de entrada y de salida del mismo. 

Un ejemplo de esto se puede encontrar en los routers de Cisco. En ellos, a través de comandos como los mostrados a continuación, se pueden crear filtros:

Ocultar

SAD03(config)#access-list Nº permit|deny [dirección IP] [máscara]

Ocultar

Donde:

  • representa un número entre 0 y 99 que identifica a la lista.
  • permit o deny se emplean para permitir o denegar.
  • dirección IP” representa a las direcciones que se van a filtrar o no.
  • máscara” se utiliza para indicar al router la máscara de red, es decir, el número de bits de la dirección IP usados para identificar a la red.

Ocultar

SAD03(config-if)#ip access-group Nº in|out

Ocultar

Donde:

  • es el número que identifica a la lista anteriormente creada.
  • in|out especifican si el tráfico es de entrada o de salida.

Un ejemplo de los dos comandos es mostrado a continuación:

Ocultar

SAD03(config)#access list 2 deny 192.168.1.0 255.255.255.0

SAD03(config-if)#ip access-group 2 in

Ocultar

Ilustración de un muro que simboliza a un firewall
OpenClipart (Dominio público)

Con estas últimas órdenes se deniega el tráfico entrante a la red 192.168.1.0.


En definitiva, un firewall o cortafuegos es un dispositivo de seguridad cuya función principal es la de filtrar el tráfico de red entrante y saliente por medio de una serie de reglas, que permitirán su paso o lo rechazarán. Pueden ser tanto dispositivos específicos dedicados, o software, como el integrado por defecto en el sistema operativo Windows. Los dispositivos dedicados, por lo general, cuentan con más capacidades de procesamiento que los basados en software, ya que se han diseñado específicamente para esa tarea, aunque por el contrario, su coste económico es superior.

Ocultar

Tipos de Cortafuegos

Se pueden distinguir los siguientes tipos de cortafuegos:

Circuito a nivel de pasarela

Aplica mecanismos de seguridad cuando una conexión TCP o UDP es establecida. Una vez que la conexión se ha hecho, los paquetes pueden fluir sin que se examinen los contenidos. La función de seguridad consiste en determinar las conexiones que serán permitidas. Es usado cuando el administrador confía en los usuarios internos.

Cortafuegos de capa de red

Funciona a nivel de red como filtro de paquetes IP. A este nivel se pueden realizar filtros según los distintos campos de los paquetes IP: dirección IP origen y/o dirección IP destino. También permiten filtrados según campos de nivel de transporte como el puerto origen y/o destino.

Cortafuegos de capa de aplicación

Trabaja en el nivel de aplicación de manera que los filtrados se pueden adaptar a características propias de los protocolos de aplicación, por ejemplo HTTP, filtrando según la URL a la que se trata de acceder.

Inspección de estado

Hacen un seguimiento de si ese paquete es parte de una sesión TCP establecida. Esto ofrece más seguridad que el filtrado de paquetes o la simple monitorización de circuitos, pero genera un mayor impacto en el rendimiento de la red.