Contenido

Introduccin........................................................................................................ 2
Definiciones preliminares:................................................................................... 3
Objetivos de diseo de un cortafuegos...............................................................3
Problemas bsicos de seguridad.........................................................................3
Decisiones bsicas.............................................................................................. 4
Componentes de un cortafuegos........................................................................4
Filtrado de paquetes........................................................................................ 4
Ventajas........................................................................................................... 5
Inconvenientes................................................................................................. 5
Proxy de aplicacin............................................................................................. 5
Ventajas........................................................................................................... 6
Inconvenientes................................................................................................. 6
Arquitecturas de cortafuegos.............................................................................. 6
Screening Router o de Filtrado de paquetes....................................................6
Dual-Homed Host............................................................................................. 6
Screened Host.................................................................................................. 7
Screened Subnet o DMZ.................................................................................. 7
Conclusin.......................................................................................................... 8

Introduccin

Un cortafuegos es un Sistema o grupo de sistemas que hace cumplir una

poltica de control de acceso entre dos redes, cualquier sistema (desde
un router hasta varias redes) utilizado para separar, en cuanto a
seguridad se refiere, una mquina o subred del resto, protegindola as
de servicios y protocolos que desde el exterior puedan suponer una
amenaza a la seguridad.

Ejemplo de un Cortafuegos

Definiciones preliminares:
El espacio protegido se denomina permetro de seguridad.
Este permetro de seguridad se protege de una red externa
denominada zona de riesgo.
Mquina o host bastin (gates): Sistema especialmente asegurado,
pero vulnerable a ataques al estar abierto a Internet. Filtra el
trfico de entrada y salida, y esconde la configuracin de la red
hacia afuera.
Filtrado de paquetes (screening): Accin de denegar o permitir el
flujo de tramas entre dos redes de acuerdo a unas normas
predefinidas. A los dispositivos que llevan a cabo la funcin de
filtrado se les denomina chokes (router).
Proxy: Programa que permite o niega el acceso a una aplicacin
determinada entre dos redes. Los clientes proxy slo se comunican
Arquitectura de Cortafuegos

Pgina 2

con los servidores proxy. Estos autorizan las peticiones re

direccionndolas a los servidores reales, o las deniegan
devolviendo mensaje de error.

Objetivos de diseo de un
cortafuegos
+ Todo el trfico de dentro a fuera de la organizacin, y viceversa, ha
de pasar a travs del cortafuego.
+ Slo se permitir el paso al trfico autorizado por la poltica de
seguridad establecida
+ El cortafuegos ha de ser inmune a los ataques (utilizar un sistema
fiable)

Problemas bsicos de seguridad

-

Centralizacin de todas las medidas de seguridad en una mquina.

Si un atacante logra vulnerar dicha mquina, tendr acceso a toda
la subred.
Sensacin falsa de seguridad. Al instalar un cortafuegos nos
creemos seguros y se descuida la seguridad del resto de
mquinas.
No puede prevenir de ataques internos
No puede prevenir de transferencias de programas o ficheros
infectados de virus

Decisiones bsicas
1) Poltica de seguridad de la organizacin propietaria del cortafuegos

Arquitectura de Cortafuegos

Pgina 3

2) Nivel de monitorizacin, redundancia y control deseado en la

organizacin. Es decir, hay que definir cmo implementar en el
cortafuegos, lo que se permite y lo que se deniega
La ms restrictiva
La ms permisiva
3) Econmica. Cunto se va a invertir en la instalacin, puesta a
punto y mantenimiento de un cortafuegos para proteger lo que se
quiere proteger
4) Dnde se va a instalar el cortafuegos
Si se aprovecha un elemento de la red (router) no hay ms
remedio que dejarlo donde est
Una mquina UNIX con un cortafuegos brinda ms
posibilidades
5) Qu mquina actuar como mquina Bastin basndonos en los
principios de mnima complejidad y mxima seguridad (servidor
con UNIX).
6) Elegir la mquina que actuar como choke (router con capacidad
de filtrado de paquetes)

Componentes de un cortafuegos
Filtrado de paquetes
Router IP utiliza reglas de filtrado para reducir la carga (descartar
paquetes cuyo TTL ha llegado a cero, paquetes con un control de errores
errneos, o simplemente tramas de broadcast) analizando las cabeceras
conforme a diferentes criterios
El objetivo principal de todas las polticas de seguridad implementadas
mediante filtrado suele ser evitar el acceso no autorizado entre dos
redes, pero manteniendo intactos los accesos autorizados

Ventajas
Simplicidad
Transparente al usuario
Rapidez

Arquitectura de Cortafuegos

Pgina 4

Inconvenientes
El filtrado de paquetes no examina datos de capa superiores, y por
tanto no puede prevenir ataques que emplea vulnerabilidades o
funciones de la capa de aplicacin. Ataques por capas superiores
de TCP/IP.
Funcionalidad de histrico (generar ficheros log) es muy limitada
por lo limitado de la informacin: direcciones fuente y destino, tipo
de trfico
Complejidad en el establecimiento de reglas

Proxy de aplicacin
Proxy de Aplicacin: Software capaz de filtrar (enviar o bloquear) las
conexiones a servicios (finger, telnet, etc.)
Los proxies de aplicacin se ejecutan en una mquina denominada
pasarela de la aplicacin, gateways o servidor de proxies

Ventajas
Arquitectura de Cortafuegos

Pgina 5

+ Slo se permite la utilizacin de servicios para los que existe un

proxy
+ Se pueden implementar mecanismos de filtrado ms potentes,
simplificando las reglas de filtrado implementadas en el router
Inconvenientes
-

Se necesita un proxy por aplicacin

Es ms costoso que un simple filtro de paquetes
Rendimiento mucho menor limitando el ancho de banda efectivo
de la red si resulta ser costoso el anlisis de una trama

Arquitecturas de cortafuegos
Screening Router o de Filtrado de paquetes
Es la manera ms sencilla de implementar un cortafuegos. Se basa en
aprovechar la capacidad de algunos routers para bloquear o filtrar
paquetes en funcin de su protocolo, su servicio o la direccin IP, de
manera que el router acta como pasarela de la subred Se aplica en
entornos cuyos requerimientos de seguridad no sean muy exigentes
(carece de mecanismos de monitorizacin y las reglas de acceso pueden
ser difciles de establecer)

Dual-Homed Host
Consiste en un host con dos tarjetas de red. El host no realiza tareas de
encaminamiento aislando la red interna de la externa. Los servicios se
proporcionan mediante las mismas cuentas de los usuarios en el host.

Arquitectura de Cortafuegos

Pgina 6

Screened Host
Consta de un router para el filtrado de paquetes y de host para filtrado
en otras capas ISO/OSI. Se prestan servicios proxy en el host bastin o
bien el router puede enviar a host internos

Screened Subnet o DMZ

Consta de dos routers y un host, delimitando red externa, red perimetral
y red interna.

Arquitectura de Cortafuegos

Pgina 7

Conclusin
Un cortafuegos es cualquier sistema utilizado para separar una mquina
o una subred del resto de la red para protegerla de intrusiones externas
que puedan suponer una amenaza a la seguridad. La zona protegida se
llama "permetro de seguridad" y la proteccin se realiza separndola de
una zona externa, no protegida, llamada zona de riesgo.
Los cortafuegos son cada vez ms necesarios en nuestras redes, pero
todos los expertos recomiendan que la seguridad no se limite a su uso.
Deben por tanto ser considerados un "complemento" importante, una
pieza necesaria, pero no suficiente, de los sistemas de seguridad.
Cualquier cortafuegos, desde el ms simple al ms avanzado, presenta
dos gravsimos problemas de seguridad:

Arquitectura de Cortafuegos

Pgina 8