El firewall puede consistir en un router o en una máquina autónoma.
Técnicas
Hay dos técnicas para cumplir la misión de los firewalls:
FILTRADO DE PAQUETES
Esta técnica consiste en decidir
que paquetes del protocolo TCP/IP vamos a permitir que entren y cuales
no.
Todo lo que circule entre la red exterior
y el ordenador pasará por el firewall y será examinado por
este, con el fin de determinar si lo dejará pasar o no.
Los paquetes se distinguen unos de otros
por varias características:
-A nivel de IP los paquetes llevan una
IP destino y otra IP origen. Una manera de filtrar paquetes sería
prohibir el paso de paquetes con una determinada IP destino u origen.
-A nivel de TCP los paquetes llevan un
puerto origen y otro destino. Otra manera de filtrar paquetes sería
prohibiendo el paso de paquetes con un determinado puerto destino u origen.
Para esta técnica se suelen utilizar routers, son dispositivos que pueden bloquear paquetes de determinadas características. Se les proporcionan una serie de normas que son las que determinarán que paquetes circularán por el router y cuales no.
Mediante el filtrado de paquetes tan sólo se puede decidir que tipos de paquetes se les dará paso y cuales no.
DELEGACIÓN DE SERVICIOS (PROXY)
Son aplicaciones que reciben las peticiones
de servicios, las analizan, si procede las modifican, y deciden si las
transmiten a su destino o no. Realizan lo que se denomina forwarding. Estas
aplicaciones están en una máquina autónoma. Son intermediarios
entre la red exterior (Internet) y lo que están protegiendo, que
normalmente suele ser una red corporativa. Su comportamiento normalmente
es transparente a las los dos nodos que comunica.
Su función es analizar el contenido
de los paquetes que circulan y permitir su paso, denegar su paso o modificar
su contenido para mayor seguridad.
Suelen tratar las entradas (inputs) y
las salidas (outputs) por separado. Lo más importante es el control
de lo que entra.
Administración
Se tiene que pensar primero en la política que seguirá el firewall. Que podrá ser abierta o cerrada. Luego ya se concretará más.
Las reglas del firewall se ejecutarán en el orden en el que se encuentren dentro del fichero.
En una política abierta se dejarán pasar todos los paquetes menos los que se les haya denegado el acceso, es decir se tendrá que especificar que paquetes son a los que queremos prohibir el paso. Pero tiene un peligro: si un paquete es peligroso pero lo desconocemos no se le puede prohibir el paso.
En una política cerrada todos los
paquetes que no tengan permiso quedarán bloqueados, es decir se
tendrá que especificar que paquetes son los que queremos que pasen.
Es más costoso de implementar que una política abierta pero
más segura.
Hay dos maneras de rechazar paquetes:
--Reget. El emisor será consciente de que el paquete ha sido rechazado y que la máquina está conectada.
--Discard. El paquete se pierde y el emisor
se queda esperando y teniendo la impresión de que la máquina
no está conectada.
Si el cortafuegos está protegiendo una red corporativa pueden darse dos casos. Que las IP de las máquinas pertenezcan a Internet, o que todas las máquinas accedan a Internet mediante la misma IP y dentro de la red cada una tenga su IP perteneciente a la red corporativa, este caso solo puede darse cuando el firewall es un proxy.