3. Firewalls

Un firewall es un sistema que impone una política de seguridad entre el ordenador y la red a la que esté conectado. Sin un firewall, los ordenadores están expuestos a cualquier ataque proveniente de la red.

El firewall puede consistir en un router o en una máquina autónoma.

Técnicas

Hay dos técnicas para cumplir la misión de los firewalls:

FILTRADO DE PAQUETES

Esta técnica consiste en decidir que paquetes del protocolo TCP/IP vamos a permitir que entren y cuales no.
Todo lo que circule entre la red exterior y el ordenador pasará por el firewall y será examinado por este, con el fin de determinar si lo dejará pasar o no.

Los paquetes se distinguen unos de otros por varias características:
-A nivel de IP los paquetes llevan una IP destino y otra IP origen. Una manera de filtrar paquetes sería prohibir el paso de paquetes con una determinada IP destino u origen.
-A nivel de TCP los paquetes llevan un puerto origen y otro destino. Otra manera de filtrar paquetes sería prohibiendo el paso de paquetes con un determinado puerto destino u origen.

Para esta técnica se suelen utilizar routers, son dispositivos que pueden bloquear paquetes de determinadas características. Se les proporcionan una serie de normas que son las que determinarán que paquetes circularán por el router y cuales no.

Mediante el filtrado de paquetes tan sólo se puede decidir que tipos de paquetes se les dará paso y cuales no.

DELEGACIÓN DE SERVICIOS (PROXY)

Son aplicaciones que reciben las peticiones de servicios, las analizan, si procede las modifican, y deciden si las transmiten a su destino o no. Realizan lo que se denomina forwarding. Estas aplicaciones están en una máquina autónoma. Son intermediarios entre la red exterior (Internet) y lo que están protegiendo, que normalmente suele ser una red corporativa. Su comportamiento normalmente es transparente a las los dos nodos que comunica.
Su función es analizar el contenido de los paquetes que circulan y permitir su paso, denegar su paso o modificar su contenido para mayor seguridad.
Suelen tratar las entradas (inputs) y las salidas (outputs) por separado. Lo más importante es el control de lo que entra.
 

Administración

Se tiene que pensar primero en la política que seguirá el firewall. Que podrá ser abierta o cerrada. Luego ya se concretará más.

Las reglas del firewall se ejecutarán en el orden en el que se encuentren dentro del fichero.

En una política abierta se dejarán pasar todos los paquetes menos los que se les haya denegado el acceso, es decir se tendrá que especificar que paquetes son a los que queremos prohibir el paso. Pero tiene un peligro: si un paquete es peligroso pero lo desconocemos no se le puede prohibir el paso.

En una política cerrada todos los paquetes que no tengan permiso quedarán bloqueados, es decir se tendrá que especificar que paquetes son los que queremos que pasen. Es más costoso de implementar que una política abierta pero más segura.
 

Hay dos maneras de rechazar paquetes:

--Reget. El emisor será consciente de que el paquete ha sido rechazado y que la máquina está conectada.

--Discard. El paquete se pierde y el emisor se queda esperando y teniendo la impresión de que la máquina no está conectada.
 

Si el cortafuegos está protegiendo una red corporativa pueden darse dos casos. Que las IP de las máquinas pertenezcan a Internet, o que todas las máquinas accedan a Internet mediante la misma IP y dentro de la red cada una tenga su IP perteneciente a la red corporativa, este caso solo puede darse cuando el firewall es un proxy.