1.

Introduccin
En todas las corporaciones existen redes de carcter privado que necesitan comunicarse con el
exterior. Cuando permitimos que los usuarios de una red privada accedan a servicios externos o
interacten con otros equipos localizados en redes pblicas debemos aplicar ciertas medidas de
seguridad.
La seguridad perimetral es la encargada de establecer la lnea de defensa entre las redes pblicas no
seguras del exterior y las redes privadas de confianza internas.

1.1 Objetivos de la seguridad perimetral

Proporcionar un nico punto de interconexin con el exterior.
Redirigir el trfico entrante a los sistemas adecuados dentro de la intranet.
Centralizar el control de acceso para mantener a los intrusos a raya, permitiendo que los usuarios
internos trabajen con normalidad.
Permitir slo ciertos tipos de trfico (p. ej. correo electrnico) o entre ciertos equipos.
Rechazar conexiones a servicios o equipos con informacin comprometedora.
Ocultar sistemas o servicios vulnerables que no son fciles de proteger.
Ocultar informacin: nombres de sistemas, topologa de la red, tipos de dispositivos de red,
cuentas de usuarios internos, etc.
Auditar el trfico entre el exterior y el interior.

1.2 Conceptos bsicos

Cortafuegos o firewall
Componente o conjunto de componentes que restringen el acceso entre una red protegida e Internet,
o entre varias de redes en general. Se encarga de controlar puertos y conexiones, permitiendo o
denegando el flujo de datos entre equipos.

Router exterior o de acceso

Router que conecta con la red pblica (Internet).

Router interior o de estrangulamiento (choke router)

Router que conecta con la red privada (Internet).

Equipo o anfitrin (host)

Equipo conectado a la red.

Equipo bastin (Bastion host)

Equipo que debe ser fuertemente asegurado por ser susceptible de recibir ataques,
fundamentalmente porque est expuesto a Internet y constituye unos de los principales puntos de
contacto para los usuarios de la red interna.
El router externo deber estar configurado para enviar los datos al bastin mientras que los clientes
de la red privada accedern al mismo internamente.

Anfitrin de dos bases (Dual-homed host)

Es un equipo que tiene al menos dos interfaces de red (o bases). Suele utilizarse cuando se quiere
dar un servicio en Internet pero, al mismo tiempo, se habilitan otros servicios administrativos
nicamente accesibles desde la red interna que, de otro modo, sera demasiado peligroso exponer a
la red pblica.

Filtrado de paquetes
Accin que toma un dispositivo para controlar de forma selectiva el flujo de datos desde y
hacia una red. Los filtros de paquetes permiten o bloquean paquetes, normalmente
mientras los encaminan entre una y otra red. Para llevar a cabo el filtrado de paquetes, se configura
un conjunto de reglas que especifican qu tipos de paquetes son permitidos y cules son
bloqueados.

Red perimetral
Red que se aade entre una red protegida y una red externa para proporcionar una capa
adicional de seguridad. A la red perimetral, en ocasiones, se le llama DMZ.

Proxy
Programa que se encarga de las conexiones con los servidores externos en representacin
de los clientes internos. Los clientes de proxy se dirigen a los servidores proxy, los cuales
retransmiten las solicitudes que son aprobadas hacia los servidores reales. Cuando el proxy
recibe la respuesta, se la devuelve a los clientes.

2. Arquitecturas de cortafuegos
2.1 Router de filtrado (screening router)
Es posible utilizar un sistema de filtrado de paquetes como cortafuegos simplemente utilizando un
router que haga de criba para proteger toda la red. Principalmente, los criterios de filtrado que se
pueden utilizar con este sistema seran:
Direcciones de origen y destino.
Puertos de origen y destino.
Tipo de paquete (TCP, UDP o ICMP).
Interfaces de entrada y salida de router.
Este tipo de cortafuegos no es muy flexible. Aunque puede permitir o bloquear ciertos protocolos
por el nmero de puerto, es complicado permitir ciertas operaciones a la vez que se bloquean otras
para un mismo protocolo. Esta arquitectura es apropiada en los siguientes casos:
La red a proteger ya tiene un alto nivel de seguridad en sus equipos.
Existe un nmero limitado de protocolos y stos son sencillos.
Los requisitos de rendimiento y redundancia son mximos.

2.2 Anfitrin de dos bases (dual-homed host)

Esta arquitectura se monta sobre un anfitrin de doble base. Un equipo que dispone de al menos dos
interfaces de red. Los anfitriones de doble base permiten el acceso a los servicios de la otra red
haciendo de proxy o intermediario, el inconveniente es que puede que ciertos protocolos de la capa
aplicacin no estn disponibles.
Este tipo de cortafuegos proporciona un nivel de control muy alto, pero necesita ms recursos y su
rendimiento es inferior al de un router de filtrado. Tambin hay que tener en cuenta que representa
un punto nico de fallo, por lo que es imprescindible fortificar su seguridad de forma impecable, de
lo contrario, cualquier atacante que comprometa el anfitrin tendr acceso a toda la red interna o
podra dejar incomunicada a la organizacin dejndolo inoperativo.
Esta arquitectura es apropiada en los siguientes casos:
No hay una gran cantidad de trfico hacia Internet.
El trfico hacia Internet no es crtico para el negocio.
No se proporcionan servicios a los usuarios de Internet.
La red a proteger no contiene datos extremadamente valiosos.

2.3 Equipos multipropsito

Sera posible conseguir un alto rendimiento para algunos protocolos usando tcnicas de filtrado
mientras aplicamos un mayor control sobre otros protocolos utilizando tcnicas de proxy. Por
contra, estaramos sujetos a posibles vulnerabilidades; por ejemplo, puede ocurrir que el filtro de
paquetes est dejando pasar directamente el trfico que pensbamos que estaba siendo
inspeccionado por el proxy.
2.4 Bastin protegido (screened host)
La arquitectura de bastin protegido proporciona acceso a servicios a travs de un anfitrin
conectado nicamente a la red privada, utilizando un router por separado. El filtrado de paquetes en
el router est configurado de modo que el bastin es el nico sistema de la red interna con el que los
equipos de Internet pueden establecer conexiones. Cualquier sistema externo que intente acceder a
los sistemas internos tendr que hacerlo a travs del bastin.
El filtrado de paquetes permite al bastin establecer las conexiones permitidas con la red externa
(de acuerdo con la poltica de seguridad). En cuanto al resto de equipos, el router de filtrado puede
configurarse de alguna de los siguientes formas:
Permitir a otros equipos de la red interna establecer conexiones con equipos de Internet para
ciertos servicios.
Bloquear todas las conexiones provenientes de los equipos internos con el exterior forzando
a que deban hacerse a travs del bastin mediante servicios de proxy.
Esta arquitectura es apropiada en los siguientes casos:
Se producen pocas conexiones entrantes desde Internet.
Los equipos de la red a proteger tiene una nivel de seguridad relativamente alto.

2.5 Subred protegida (screened subnet)

La arquitectura de subred protegida aade un nivel adicional de seguridad sobre la arquitectura de
bastin protegido aadiendo una red perimetral que asla aun ms a la red privada de Internet.
En su forma ms simple, esta arquitectura utiliza dos routers de filtrado, ambos conectados a la red
perimetral. Uno se encuentra entre la red perimetral y la red interna, y el otro se encuentra entre la
red perimetral y la red externa (usualmente Internet). Para entrar en la red interna con este tipo de
arquitectura, el atacante tendra que comprometer ambos routers. No hay ningn punto nico
vulnerable que pueda comprometer a la red interna.
A continuacin estudiaremos con ms detenimiento los elementos de la arquitectura de
subred protegida.

La red perimetral
La red perimetral es otra capa de seguridad, una red adicional entre la red externa y la red interna
protegida. Si un atacante irrumpe con xito dentro de la red perimetral no podr, por ejemplo, espiar
el trfico que circula entre los equipos de la red privada.

El equipo bastin
Con la arquitectura de subred protegida, el bastin se conecta a la red perimetral. Este equipo es el
principal punto de contacto para las conexiones entrantes desde el mundo exterior. Por ejemplo:
Para aceptar correo electrnico entrante (SMTP).
Para las conexiones entrantes hacia el servidor FTP annimo del sitio.
Para las consultas DNS sobre el dominio de la organizacin.

El router interno
El router interior, a veces llamado router estrangulador (choke router), protege la red interna, tanto
de Internet como de la red perimetral. Realiza la mayor parte del filtrado de paquetes del
cortafuegos. Permite acceder desde la red interna a los servicios de Internet que se consideren
seguros.
Debemos limitar los servicios permitidos entre el host bastin y la red interna solamente a
aquellos que realmente se necesitan.

El router externo
El router exterior (tambin llamado router de acceso) protege tanto la red perimetral y la red interna
de Internet. Las reglas de filtrado de paquetes para proteger las mquinas internas tendran que ser
esencialmente las mismas tanto en el enrutador interior como en el enrutador exterior.
Una de las tareas de seguridad que el router exterior puede llevar a cabo de manera til es el
bloqueo de todos los paquetes entrantes de Internet que han falseado las direcciones de origen. Otra
tarea que el router exterior puede realizar es evitar que los paquetes IP que contienen direcciones de
origen inapropiadas abandonen su red.

2.6 Subred protegida dividida (split-screened subnet)

La arquitectura de subred protegida dividida se diferencia a la de subred protegida en que la red
perimetral se divide en dos redes perimetrales conectadas entre s por un anfitrin de doble base.
Con esta configuracin se consigue un cortafuegos que proporciona una proteccin en profundidad.
Por un lado, los routers ofrecen proteccin contra falsificaciones y previenen de aquellos casos en
los que el anfitrin pueda fallar dejando escapar ciertos paquetes. Por otro lado, el anfitrin permite
hacer un filtrado ms minucioso del trfico que no sera posible con los routers.

3 . Clasificacin de los cortafuegos

3.1 Segn su poltica
Hay dos polticas bsicas en la configuracin de un cortafuegos:

Poltica restrictiva
Se deniega todo el trfico excepto el que est explcitamente permitido. El cortafuegos obstruye
todo el trfico y hay que habilitar expresamente el trfico de los servicios que se necesiten.

Poltica permisiva
Se permite todo el trfico excepto el que est explcitamente denegado. Cada servicio
potencialmente peligroso necesitar ser aislado bsicamente caso por caso, mientras que el resto del
trfico no ser filtrado.

3.2 Segn su ubicacin

Cortafuegos basados en servidores: aplicacin de firewall instalada y ejecutada en
un sistema operativo de red con enrutamiento activado junto a otra serie de posibles
servicios como proxy, DNS, DHCP, etc.
Cortafuegos dedicados: equipos que tienen instalado una aplicacin especfica de
cortafuegos, trabajan de forma autnoma como cortafuegos.
Cortafuegos integrados: se integran en un dispositivo hardware para ofrecer la funcionalidad
de firewall. Como ejemplos encontramos switches o routers que integran funciones de
cortafuegos.
Cortafuegos personales: se instalan en los distintos equipos de la red de forma que los
proteja individualmente de amenazas externas.. Por ejemplo en un equipo domstico el
cortafuegos preinstalado del sistema operativo Windows o tambin el cortafuegos iptables
en Linux.

4. Clasificacin de los proxies.

Podemos clasificar los proxies en los siguientes tipos:
Proxy cach web: Mantienen copias locales de los archivos ms solicitados y los sirven
bajo demanda, reduciendo la baja velocidad y coste en la comunicacin con Internet. Sirve
para los protocolos HTTP, HTTPS e incluso FTP.
Proxy NAT: integracin de los servicios de traduccin de direcciones de red y proxy.
Proxy transparente: normalmente, un proxy web o NAT no es transparente a la aplicacin
cliente debe ser configurado manualmente. Un proxy transparente combina un servidor
proxy con NAT de manera que las conexiones al puerto 80, son redirigidas al puerto del
servicio proxy (3128, 8080 o cualquier otro que se defina) de forma automtica y sin que el
usuario se de cuenta.
Proxy annimo: permiten aumentar la privacidad y el anonimato de los clientes proxy,
mediante la eliminacin activa de caractersticas identificativas (direccin IP del cliente,
 cookies, identificadores de sesin, etctera).
Proxy inverso: un reverse proxy es un servidor proxy instalado en una red con varios
servidores web, sirviendo de intermediario a las peticiones externas, suponiendo una capa de
seguridad previa, gestin y distribucin de carga de las distintas peticiones externas, gestin
de SSL o como cach de contenidos estticos.
Proxy abierto: acepta peticiones desde cualquier equipo, est o no conectado a su red.
Como consecuencia, puede ser utilizado como pasarela para llevar a cabo acciones ilegales o
perjudiciales (por ejemplo, envo masivo de spam, o incluso ataques a otros sistemas
ocultando la verdadera identidad del atacante).