Cortafuegos (inform�tica)

Ir a la navegaci�n

Ir a la b�squeda

Commons-emblem-issue.svg

En este art�culo sobre inform�tica se detectaron varios problemas, por favor,

ed�talo para mejorarlo:
Necesita referencias adicionales para su verificaci�n.
Las referencias no son claras o tienen un formato incorrecto.

Estas deficiencias fueron encontradas el 30 de mayo de 2019.

Puedes avisar al redactor principal pegando lo siguiente en su p�gina de discusi�n:
{{sust:Aviso PA|Cortafuegos (inform�tica)|formato de referencias|referencias}} ~~~~

�Firewall� redirige aqu�. Para la pel�cula hom�nima, v�ase Firewall (pel�cula).

Esquema de donde se localizar�a un cortafuegos en una red de ordenadores.

Un ejemplo de una interfaz de usuario para un cortafuegos en Ubuntu

En inform�tica, un cortafuegos (del t�rmino original en ingl�s firewall) es la
parte de un sistema inform�tico o una red inform�tica que est� dise�ada para
bloquear el acceso no autorizado, permitiendo al mismo tiempo comunicaciones
autorizadas.[cita requerida]

Se trata de un dispositivo o conjunto de dispositivos configurados para permitir,

limitar, cifrar o descifrar el tr�fico entre los diferentes �mbitos sobre la base
de un conjunto de normas y otros criterios.

Los cortafuegos pueden ser implementados en hardware o software, o en una

combinaci�n de ambos. Los cortafuegos se utilizan con frecuencia para evitar que
los usuarios de Internet no autorizados tengan acceso a redes privadas conectadas a
Internet, especialmente intranets. Todos los mensajes que entren o salgan de la
intranet pasan a trav�s del cortafuegos, que examina cada mensaje y bloquea
aquellos que no cumplen los criterios de seguridad especificados. Tambi�n es
frecuente conectar el cortafuegos a una tercera red, llamada zona desmilitarizada o
DMZ, en la que se ubican los servidores de la organizaci�n que deben permanecer
accesibles desde la red exterior.
Un cortafuegos correctamente configurado a�ade una protecci�n necesaria a la red,
pero que en ning�n caso debe considerarse suficiente. La seguridad inform�tica
abarca m�s �mbitos y m�s niveles de trabajo y protecci�n contra virus, malware...

�ndice [ocultar]
1 Historia del cortafuegos 1.1 Primera generaci�n � cortafuegos de red: filtrado de
paquetes
1.2 Segunda generaci�n � cortafuegos de estado
1.3 Tercera generaci�n � cortafuegos de aplicaci�n
1.4 Acontecimientos posteriores

2 Tipos de cortafuegos 2.1 Nivel de aplicaci�n de pasarela

2.2 Circuito a nivel de pasarela
2.3 Cortafuegos de capa de red o de filtrado de paquetes
2.4 Cortafuegos de capa de aplicaci�n
2.5 Cortafuegos personal
2.6 Traducci�n de direcciones de red (NAT)

3 Ventajas de un cortafuegos
4 Limitaciones de un cortafuegos
5 Pol�ticas del cortafuegos
6 V�ase tambi�n
7 Referencias
8 Enlaces externos

Historia del cortafuegos[editar]

El t�rmino ingl�s firewall significaba originalmente un muro cortafuegos, es decir,

una pared para confinar un incendio o riesgo potencial de incendio en un edificio.
M�s adelante se us� para referirse a estructuras similares de metal que separaban
el compartimiento del motor de un veh�culo o aeronave del compartimento de
pasajeros o cabina.[cita requerida] En el �rea de las redes inform�ticas el t�rmino
comenz� a usarse a finales de la d�cada de 1980, cuando Internet era a�n una
tecnolog�a bastante nueva en cuanto a su uso y conectividad a nivel global.[cita
requerida] Los predecesores de los cortafuegos inform�ticos fueron los routers
utilizados a finales de los 1980, ya que estos manten�an las distintas redes de
ordenadores separadas unas de otras, evitando que los problemas se propagaran de
unas a otras.1?:2 La visi�n de Internet como una comunidad relativamente peque�a de
usuarios con m�quinas compatibles, que valoraba la predisposici�n para el
intercambio y la colaboraci�n, termin� con una serie de importantes violaciones de
seguridad de Internet que se produjo a finales de los 80:1?:4
Clifford Stoll, que descubri� la forma de manipular el sistema de espionaje
alem�n.1?:4
Bill Cheswick, cuando en 1992 instal� una c�rcel simple electr�nica para observar a
un atacante.1?:4
En 1988, un empleado del Centro de Investigaci�n Ames de la NASA, en California,
envi� una nota por correo electr�nico a sus colegas2? que dec�a: "Estamos bajo el
ataque de un virus de Internet! Ha llegado a Berkeley, UC San Diego, Lawrence
Livermore, Stanford y la NASA Ames".
El Gusano Morris, que se extendi� a trav�s de m�ltiples vulnerabilidades en las
m�quinas de la �poca. Aunque no era malicioso, el gusano Morris fue el primer
ataque a gran escala sobre la seguridad en Internet; la red no esperaba ni estaba
preparada para hacer frente a su ataque.3?

Primera generaci�n � cortafuegos de red: filtrado de paquetes[editar]

El primer documento publicado para la tecnolog�a firewall data de 1988, cuando el

equipo de ingenieros Digital Equipment Corporation (DEC) desarroll� los sistemas de
filtro conocidos como cortafuegos de filtrado de paquetes. Este sistema, bastante
b�sico, fue la primera generaci�n de lo que se convertir�a en una caracter�stica
m�s t�cnica y evolucionada de la seguridad de Internet. En AT&T Bell, Bill Cheswick
y Steve Bellovin continuaban sus investigaciones en el filtrado de paquetes y
desarrollaron un modelo de trabajo para su propia empresa, con base en su
arquitectura original de la primera generaci�n.1?:11-12

El filtrado de paquetes act�a mediante la inspecci�n de los paquetes (que

representan la unidad b�sica de transferencia de datos entre ordenadores en
Internet). Si un paquete coincide con el conjunto de reglas del filtro, el paquete
se reducir� (descarte silencioso) o ser� rechazado (desprendi�ndose de �l y
enviando una respuesta de error al emisor). Este tipo de filtrado de paquetes no
presta atenci�n a si el paquete es parte de una secuencia existente de tr�fico. En
su lugar, se filtra cada paquete bas�ndose �nicamente en la informaci�n contenida
en el paquete en s� (por lo general utiliza una combinaci�n del emisor del paquete
y la direcci�n de destino, su protocolo, y, en el tr�fico TCP y UDP, el n�mero de
puerto).4? Los protocolos TCP y UDP comprenden la mayor parte de comunicaci�n a
trav�s de Internet, utilizando por convenci�n puertos bien conocidos para
determinados tipos de tr�fico, por lo que un filtro de paquetes puede distinguir
entre ambos tipos de tr�fico (ya sean navegaci�n web, impresi�n remota, env�o y
recepci�n de correo electr�nico, transferencia de archivos�); a menos que las
m�quinas a cada lado del filtro de paquetes est�n a la vez utilizando los mismos
puertos no est�ndar.5?

El filtrado de paquetes llevado a cabo por un cortafuegos act�a en las tres

primeras capas del modelo de referencia OSI, lo que significa que todo el trabajo
lo realiza entre la red y las capas f�sicas.6? Cuando el emisor origina un paquete
y es filtrado por el cortafuegos, este �ltimo comprueba las reglas de filtrado de
paquetes que lleva configuradas, aceptando o rechazando el paquete en consecuencia.
Cuando el paquete pasa a trav�s de cortafuegos, �ste filtra el paquete mediante un
protocolo y un n�mero de puerto base (GSS). Por ejemplo, si existe una norma en el
cortafuegos para bloquear el acceso telnet, bloquear� el protocolo TCP para el
n�mero de puerto 23.

Segunda generaci�n � cortafuegos de estado[editar]

Durante 1989 y 1990, tres colegas de los laboratorios AT&T Bell, Dave Presetto,
Janardan Sharma, y Nigam Kshitij, desarrollaron la segunda generaci�n de servidores
de seguridad. Esta segunda generaci�n de cortafuegos tiene en cuenta, adem�s, la
colocaci�n de cada paquete individual dentro de una serie de paquetes. Esta
tecnolog�a se conoce generalmente como la inspecci�n de estado de paquetes, ya que
mantiene registros de todas las conexiones que pasan por el cortafuegos, siendo
capaz de determinar si un paquete indica el inicio de una nueva conexi�n, es parte
de una conexi�n existente, o es un paquete err�neo. Este tipo de cortafuegos pueden
ayudar a prevenir ataques contra conexiones en curso o ciertos ataques de
denegaci�n de servicio.

Tercera generaci�n � cortafuegos de aplicaci�n[editar]

Son aquellos que act�an sobre la capa de aplicaci�n del Modelo OSI. La clave de un
cortafuegos de aplicaci�n es que puede entender ciertas aplicaciones y protocolos
(por ejemplo: protocolo de transferencia de ficheros, DNS o navegaci�n web), y
permite detectar si un protocolo no deseado se col� a trav�s de un puerto no
est�ndar o si se est� abusando de un protocolo de forma perjudicial.

Un cortafuegos de aplicaci�n es mucho m�s seguro y fiable cuando se compara con un

cortafuegos de filtrado de paquetes, ya que repercute en las siete capas del modelo
de referencia OSI. En esencia es similar a un cortafuegos de filtrado de paquetes,
con la diferencia de que tambi�n podemos filtrar el contenido del paquete. El mejor
ejemplo de cortafuegos de aplicaci�n es ISA (Internet Security and Acceleration).

Un cortafuegos de aplicaci�n puede filtrar protocolos de capas superiores tales

como FTP, TELNET, DNS, DHCP, HTTP, TCP, UDP y TFTP (GSS). Por ejemplo, si una
organizaci�n quiere bloquear toda la informaci�n relacionada con una palabra en
concreto, puede habilitarse el filtrado de contenido para bloquear esa palabra en
particular. No obstante, los cortafuegos de aplicaci�n resultan m�s lentos que los
de estado.

Acontecimientos posteriores[editar]

En 1992, Bob Braden y DeSchon Annette, de la Universidad del Sur de California

(USC), dan forma al concepto de cortafuegos. Su producto, conocido como "Visas",
fue el primer sistema con una interfaz gr�fica con colores e iconos, f�cilmente
implementable y compatible con sistemas operativos como Windows de Microsoft o
MacOS de Apple.[cita requerida] En 1994, una compa��a israel� llamada Check Point
Software Technologies lo patent� como software denomin�ndolo FireWall-1.

La funcionalidad existente de inspecci�n profunda de paquetes en los actuales

cortafuegos puede ser compartida por los sistemas de prevenci�n de intrusiones
(IPS).

Actualmente, el Grupo de Trabajo de comunicaci�n Middlebox de la Internet

Engineering Task Force (IETF) est� trabajando en la estandarizaci�n de protocolos
para la gesti�n de cortafuegos.[cita requerida]

Otro de los ejes de desarrollo consiste en integrar la identidad de los usuarios

dentro del conjunto de reglas del cortafuegos. Algunos cortafuegos proporcionan
caracter�sticas tales como unir a las identidades de usuario con las direcciones IP
o MAC. Otros, como el cortafuegos NuFW, proporcionan caracter�sticas de
identificaci�n real solicitando la firma del usuario para cada conexi�n.[cita
requerida]

Tipos de cortafuegos[editar]

Nivel de aplicaci�n de pasarela[editar]

Aplica mecanismos de seguridad para aplicaciones espec�ficas, tales como servidores

FTP y Telnet. Esto es muy eficaz, pero puede imponer una degradaci�n del
rendimiento.

Circuito a nivel de pasarela[editar]

Aplica mecanismos de seguridad cuando una conexi�n TCP o UDP es establecida. Una
vez que la conexi�n se ha hecho, los paquetes pueden fluir entre los anfitriones
sin m�s control. Permite el establecimiento de una sesi�n que se origine desde una
zona de mayor seguridad hacia una zona de menor seguridad.

Cortafuegos de capa de red o de filtrado de paquetes[editar]

Funciona a nivel de red (capa 3 del Modelo OSI, capa 2 del stack de protocolos
TCP/IP) como filtro de paquetes IP. A este nivel se pueden realizar filtros seg�n
los distintos campos de los paquetes IP: direcci�n IP origen, direcci�n IP destino.
A menudo en este tipo de cortafuegos se permiten filtrados seg�n campos de nivel de
transporte (capa 3 TCP/IP, capa 4 Modelo OSI), como el puerto origen y destino, o a
nivel de enlace de datos (no existe en TCP/IP, capa 2 Modelo OSI) como la direcci�n
MAC.

Cortafuegos de capa de aplicaci�n[editar]

Trabaja en el nivel de aplicaci�n (capa 7 del Modelo OSI), de manera que los
filtrados se pueden adaptar a caracter�sticas propias de los protocolos de este
nivel. Por ejemplo, si trata de tr�fico HTTP, se pueden realizar filtrados seg�n la
URL a la que se est� intentando acceder, e incluso puede aplicar reglas en funci�n
de los propios valores de los par�metros que aparezcan en un formulario web.

Un cortafuegos a nivel 7 de tr�fico HTTP suele denominarse proxy, y permite que los
ordenadores de una organizaci�n entren a Internet de una forma controlada. Un proxy
oculta de manera eficaz las verdaderas direcciones de red.

Cortafuegos personal[editar]

Es un caso particular de cortafuegos que se instala como software en un ordenador,

filtrando las comunicaciones entre dicho ordenador y el resto de la red. Se usa por
tanto, de manera personal.

Traducci�n de direcciones de red (NAT)[editar]

Art�culo principal: Traducci�n de direcciones de red

Los cortafuegos a menudo tienen funcionalidad de traducci�n de direcciones de red

(NAT) y los hosts protegidos detr�s de un cortafuegos tienen muchas direcciones en
el "rango de direcciones privadas", como se define en RFC 1918. Los cortafuegos
suelen tener esa funcionalidad para ocultar la verdadera direcci�n de la
computadora conectada a la red. Originalmente, la funci�n NAT se desarroll� para
abordar el n�mero limitado de direcciones enrutables IPv4 que podr�an usarse o
asignarse a empresas o individuos, as� como reducir tanto el monto como el costo de
obtener suficientes direcciones p�blicas para cada computadora en una organizaci�n.
Aunque NAT por s� solo no se considera una caracter�stica de seguridad, ocultar las
direcciones de los dispositivos protegidos se ha convertido en una defensa de uso
frecuente contra reconocimientos de redes.7?

Ventajas de un cortafuegos[editar]

Bloquea el acceso a personas y/o aplicaciones. Permite controlar y restringir las

comunicaciones entre las partes.

Limitaciones de un cortafuegos[editar]

Las limitaciones se desprenden de la misma definici�n del cortafuegos: filtro de

tr�fico. Cualquier tipo de ataque inform�tico que use tr�fico aceptado por el
cortafuegos (por usar puertos TCP abiertos expresamente, por ejemplo) o que
sencillamente no use la red, seguir� constituyendo una amenaza. La siguiente lista
muestra algunos de estos riesgos:
Un cortafuegos no puede proteger contra aquellos ataques cuyo tr�fico no pase a
trav�s de �l.
El cortafuegos no puede proteger de las amenazas a las que est� sometido por
ataques internos o usuarios negligentes. El cortafuegos no puede prohibir a esp�as
corporativos copiar datos sensibles en medios f�sicos de almacenamiento (discos,
memorias, etc.) y sustraerlas del edificio.
El cortafuegos no puede proteger contra los ataques de ingenier�a social.
El cortafuegos no puede proteger contra los ataques posibles a la red interna por
virus inform�ticos a trav�s de archivos y software. La soluci�n real est� en que la
organizaci�n debe ser consciente en instalar software antivirus en cada m�quina
para protegerse de los virus que llegan por cualquier medio de almacenamiento u
otra fuente.
El cortafuegos no protege de los fallos de seguridad de los servicios y protocolos
cuyo tr�fico est� permitido. Hay que configurar correctamente y cuidar la seguridad
de los servicios que se publiquen en Internet.

Pol�ticas del cortafuegos[editar]

Hay dos pol�ticas b�sicas en la configuraci�n de un cortafuegos que cambian

radicalmente la filosof�a fundamental de la seguridad en la organizaci�n:
Pol�tica restrictiva: Se deniega todo el tr�fico excepto el que est� expl�citamente
permitido. El cortafuegos obstruye todo el tr�fico y hay que habilitar expresamente
el tr�fico de los servicios que se necesiten. Esta aproximaci�n es la que suelen
utilizar las empresas y organismos gubernamentales.
Pol�tica permisiva: Se permite todo el tr�fico excepto el que est� expl�citamente
denegado. Cada servicio potencialmente peligroso necesitar� ser aislado b�sicamente
caso por caso, mientras que el resto del tr�fico no ser� filtrado. Esta
aproximaci�n la suelen utilizar universidades, centros de investigaci�n y servicios
p�blicos de acceso a Internet.

La pol�tica restrictiva es la m�s segura, ya que es m�s dif�cil permitir por error
tr�fico potencialmente peligroso, mientras que en la pol�tica permisiva es posible
que no se haya contemplado alg�n caso de tr�fico peligroso y sea permitido

V�ase tambi�n[editar]
Bastion host
Lista de control de acceso
Unified threat management
RFC 2979
Cortafuegos: Firestarter
ZoneAlarm
Uncomplicated Firewall
Gufw
ipfw
PF (software)
Forefront TMG
Shorewall

Referencias[editar]

1.? Saltar a: a b c d e Ingham, Kenneth; Forrest, Stephanie (2002). �A History and

Survey of Network Firewalls�. Technical Report 2002-37 (en ingl�s) (University of
New Mexico Computer Science Department): 42. Consultado el 25 de noviembre de 2011.

2.? [1] Firewalls by Dr. Talal Alkharobi.

3.? RFC 1135 The Helminthiasis of the Internet
4.?
https://web.archive.org/web/20130413184708/http://www.wanredundancy.org/resources/f
irewall/network-layer-firewall Network Layer Firewall
5.? http://www.skullbox.net/tcpudp.php TCP vs. UDP por Erik Rodriguez (en ingl�s)
La referencia no dice nada sobre el comportamiento de firewalls bajo uso de puertos
no est�ndar.
6.? Cheswick, William R., Steven M. Bellovin, Aviel D. Rubin (2003). "Google Books
Link". Firewalls and Internet security: repelling the wily hacker
7.? �How important is NAT as a security layer?�. security.stackexchange.com.
Consultado el 24 de junio de 2018.

Enlaces externos[editar]
Wikimedia Commons alberga una categor�a multimedia sobre Cortafuegos.
Request for Comment 2979 - Comportamiento y requerimientos para los cortafuegos de
Internet (en ingl�s)
Firewalls: Seguridad en Internet - Comparativa (PDF)
Categor�a: Cortafuegos (inform�tica)