Qu es un cortafuegos y cmo

funciona?
Intentaremos explicarte qu es un cortafuegos - firewall
Un cortafuegos ( o firewall en ingls) se trata de un software que controla
las conexiones que se realizan a internet desde o hasta tu ordenador.
Para explicarlo haremos una similitud entre las puertas de una habitacin y
los puertos de un ordenador. Las conexiones a tu ordenador se hacen a
travs de puertos. Los puertos son como puertas de acceso a tu
ordenador; un firewall lo que hace es cerrar con llave esa puerta para que
nadie pueda entrar ni salir por ah. Esto es, ningn programa podr enviar
datos a travs de ese puerto ya que est cerrado. Las conexiones pueden
ser de entrada o salida, lo que implica que la puerta puede utilizarse para
entrar o para salir, es decir si un programa de tu ordenador enva datos a
Internet la estar usando para salir, pero si est recibiendo datos desde
Internet est usando la puerta para entrar. El firewall, podra cerrar la puerta
solo en un sentido (imagina una puerta sin picaporte por uno de los lados),
de forma que solo se pueda entrar, o bien solo salir.
Te proporciona un gran nivel de seguridad y te protege de posibles ataques,
pero tiene 2 inconvenientes. Si usas un programa que necesita
comunicarse con Internet, como el eMule, este necesitar que los puertos
que usa para comunicarse no estn cerrados, ya que funcionara mal.
Entonces debers indicarle al firewall cules son los programas a los que
les permites que enven datos desde tu ordenador. Normalmente el firewall
detecta que el programa quiere comunicarse a travs de un determinado
puerto, y te pregunta a ver si quieres permitrselo o no. Por lo tanto, eres t
el que tienes la ltima palabra, presentando esto los dos inconvenientes
que presenta un firewall:
Es responsabilidad del usuario (tuya) el decidir qu programas se
permiten que se comuniquen y cules no: pequeo mantenimiento y
esfuerzo por tu parte. Estamos evitando muchos posibles problemas de

seguridad. En caso de que en tu ordenador hubiera algn virus o

troyano, a ste no le sera posible comunicarse con el exterior. A no ser
que hayas sido descuidados y le hayas dicho al firewall que se lo
permita.
Al permitirle a un programa usar un puerto, recae sobre este
programa la responsabilidad de evitar cualquier ataque de
seguridad a travs de l. Tener un firewall no quiere decir que ests
seguro un 100%. Por ejemplo, todos tenemos un navegador instalado, y
debemos darle permiso para comunicarse con Internet. Esto implica un
factor de riesgo, ya que podra darse el caso de que un hacker
encontrara algn agujero de seguridad en el navegador, y lograra
colarse en nuestro PC. Por lo tanto da igual que tengamos instalado
nuestro super Firewall si los programas que se conectan a Internet son
un autntico coladero. Buen ejemplo de esto es el Internet Explorer, que
ha tenido fallos de seguridad muy graves
Debido a todo lo anterior, un 'Firewall' + 'Actualizaciones peridicas del
software' + 'Responsabilidad' hace que en conjunto hagan una gran
defensa.

Ms ideas sobre cortafuegos

Qu puede evitar? Es fcil de configurar y usar?

Requiere paciencia al principio

Al principio tendrs muchas preguntas que contestar, hasta que el
sistema haya sido configurado. Las preguntas suelen ser confusas ya que
puede ser que no reconozcas el nombre de tu cliente de correo u otros
componentes de Windows que acceden a internet.
Lo mejor es partir de un sistema lo ms limpio posible. Teniendo
un antivirus ACTUALIZADO y habiendo comprobado que no tienes
ningn virus en tu ordenador antes de instalar el firewall; esto debera
cazar cualquier troyano que haya podido colarse en el ordenador. Entonces
puedes contestar Si a las peticiones de acceso de la primera vez que
enciendas el ordenador.
Para sucesivas peticiones de acceso, mira en la definicin del programa. Si
no lo reconoces, piensa en lo que estabas haciendo antes de que te saliera
la pantalla de peticin de permiso. Si acabas de instalar software o
seleccionado un comando que requiera comunicacin, la peticin ser
seguramente vlida. Si no ests seguro, dile al firewall que lo bloquee pero
que te vuelva a decir cuando el programa en s requiera de nuevo acceso.
Si diciendo No bloqueas algo que queras hacer, dile Si la prxima vez que
te pregunte.
Ten paciencia, y resiste la tentacin de abrir un agujero en tu pared. Vete
abriendo agujeros del tamao de una aguja que te mantendrn el ordenador
seguro

Es tan importante como un antivirus

Para qu quiero un firewall si ya tengo un antivirus? Casi todo el
mundo ve necesario el uso de un software antivirus, pero no de un firewall.
Ambos deben de apoyarse. Los firewall usan reglas para proteger el
ordenador de ataques, mientras que el software antivirus revisa tu sistema
de ficheros buscando malware conocido que se ha introducido sin que el
firewall lo haya conseguido impedirlo, y cuando lo encuentra lo elimina.
El gusano MS-Blaster es un buen ejemplo de cmo firewalls pueden
protegerte donde antivirus no pueden hacerlo. Este gusano entra en el
ordenador a travs del puerto 135. Tras aparecer este virus, las casas de
antivirus actualizaron sus firmas para detectarlo, pero ya haba infectado
muchsimos ordenadores. En cambio si hubiramos tenido un firewall con el
puerto 135 cerrado, no nos hubiramos infectado.
Si tienes que dejar el puerto 135 abierto para un servicio que realmente es
vlido, existen sistemas que adems ofrecen un Sistema de Deteccin de
Intrusiones (ofrece una monitorizacin basada en firmas).IDS

TIPOS DE PELIGROS QUE PUEDE EVITAR

Instalacin y ejecucin de programas instalados clandestinamente

desde Internet, por ejemplo va aplicaciones ActiveX o Java que pueden
llegar a transferir datos personales del usuario a sitios.

Acceso de terceros por fallas o errores de configuracin de Windows

(por ejemplo de NetBIOS).
Instalacin de publicidad (advertisers) o elementos de seguimiento
(track) como las cookies.

Troyanos: aplicaciones ocultas que se descargan de la red y que

pueden ser usadas por terceros para extraer datos personales. A
diferencia del virus, estos troyanos son activados en forma remota por
un tercero.

Reduccin del ancho de banda disponible por el trfico de banners,

pop us, sitios no solicitados, y otro tipo de datos innecesarios que
ralentizan la conexin.
Spyware (ver que son los spyware)
Utilizacin de la lnea telefnica por terceros por medio de Dialers
(programas que cortan la actual conexin y utilizan la lnea para
llamadas de larga distancia)

Un cortafuegos (firewall en ingls) es una parte de un sistema o una red que

est diseada para bloquear el acceso no autorizado, permitiendo al mismo
tiempo comunicaciones autorizadas.
Se trata de un dispositivo o conjunto de dispositivos configurados para permitir,
limitar, cifrar, descifrar, el trfico entre los diferentes mbitos sobre la base de un
conjunto de normas y otros criterios.
Los cortafuegos pueden ser implementados en hardware o software, o una
combinacin de ambos. Los cortafuegos se utilizan con frecuencia para evitar que
los usuarios de Internet no autorizados tengan acceso a redes privadas
conectadas a Internet, especialmente intranets. Todos los mensajes que entren o
salgan de la intranet pasan a travs del cortafuegos, que examina cada mensaje y
bloquea aquellos que no cumplen los criterios de seguridad especificados.
Tambin es frecuente conectar al cortafuegos a una tercera red, llamada zona
desmilitarizada o DMZ, en la que se ubican los servidores de la organizacin que
deben permanecer accesibles desde la red exterior.
Un cortafuegos correctamente configurado aade una proteccin necesaria a la
red, pero que en ningn caso debe considerarse suficiente. La seguridad
informtica abarca ms mbitos y ms niveles de trabajo y proteccin.
ndice
[ocultar]

1 Historia del cortafuegos

o

1.1 Primera generacin cortafuegos de red: filtrado de paquetes

1.2 Segunda generacin cortafuegos de estado

1.3 Tercera generacin - cortafuegos de aplicacin

1.4 Acontecimientos posteriores

2 Tipos de cortafuegos

2.1 Nivel de aplicacin de pasarela

2.2 Circuito a nivel de pasarela

2.3 Cortafuegos de capa de red o de filtrado de paquetes

2.4 Cortafuegos de capa de aplicacin

2.5 Cortafuegos personal

3 Ventajas de un cortafuegos

4 Limitaciones de un cortafuegos

5 Polticas del cortafuegos

6 Vase tambin

7 Referencias

8 Enlaces externos

Historia del cortafuegos[editar]

El trmino firewall / fireblock significaba originalmente una pared para confinar un
incendio o riesgo potencial de incendio en un edificio. Ms adelante se usa para
referirse a las estructuras similares, como la hoja de metal que separa el
compartimiento del motor de un vehculo o una aeronave de la cabina. La
tecnologa de los cortafuegos surgi a finales de 1980, cuando Internet era una
tecnologa bastante nueva en cuanto a su uso global y la conectividad. Los
predecesores de los cortafuegos para la seguridad de la red fueron los routers
utilizados a finales de 1980, que mantenan a las redes separadas unas de otras.
La visin de Internet como una comunidad relativamente pequea de usuarios con
mquinas compatibles, que valoraba la predisposicin para el intercambio y la
colaboracin, termin con una serie de importantes violaciones de seguridad de
Internet que se produjo a finales de los 80:1

Clifford Stoll, que descubri la forma de manipular el sistema de espionaje

alemn.1

Bill Cheswick, cuando en 1992 instal una crcel simple electrnica para observar
a un atacante.1

En 1988, un empleado del Centro de Investigacin Ames de la NASA, en

California, envi una nota por correo electrnico a sus colegas2 que deca:
"Estamos bajo el ataque de un virus de Internet! Ha llegado a Berkeley, UC San
Diego, Lawrence Livermore, Stanford y la NASA Ames."

El Gusano Morris, que se extendi a travs de mltiples vulnerabilidades en las

mquinas de la poca. Aunque no era malicioso, el gusano Morris fue el primer ataque
a gran escala sobre la seguridad en Internet; la red no esperaba ni estaba preparada
para hacer frente a su ataque.3

Primera generacin cortafuegos de red: filtrado de

paquetes[editar]
El primer documento publicado para la tecnologa firewall data de 1988, cuando el
equipo de ingenieros Digital Equipment Corporation (DEC) desarroll los sistemas
de filtro conocidos como cortafuegos de filtrado de paquetes. Este sistema,
bastante bsico, fue la primera generacin de lo que se convertira en una
caracterstica ms tcnica y evolucionada de la seguridad deInternet.
En AT&T Bell, Bill Cheswick y Steve Bellovin, continuaban sus investigaciones en
el filtrado de paquetes y desarrollaron un modelo de trabajo para su propia
empresa, con base en su arquitectura original de la primera generacin. 4
El filtrado de paquetes acta mediante la inspeccin de los paquetes (que
representan la unidad bsica de transferencia de datos entre ordenadores en
Internet). Si un paquete coincide con el conjunto de reglas del filtro, el paquete se
reducir (descarte silencioso) o ser rechazado (desprendindose de l y
enviando una respuesta de error al emisor). Este tipo de filtrado de paquetes no
presta atencin a si el paquete es parte de una secuencia existente de trfico. En
su lugar, se filtra cada paquete basndose nicamente en la informacin contenida
en el paquete en s (por lo general utiliza una combinacin del emisor del paquete
y la direccin de destino, su protocolo, y, en el trfico TCP y UDP, el nmero de
puerto).5 Los protocolos TCP y UDP comprenden la mayor parte de comunicacin
a travs de Internet, utilizando por convencin puertos bien conocidos para
determinados tipos de trfico, por lo que un filtro de paquetes puede distinguir
entre ambos tipos de trfico (ya sean navegacin web, impresin remota, envo y

recepcin de correo electrnico, transferencia de archivos); a menos que las

mquinas a cada lado del filtro de paquetes estn a la vez utilizando los mismos
puertos no estndar.6
El filtrado de paquetes llevado a cabo por un cortafuegos acta en las tres
primeras capas del modelo de referencia OSI, lo que significa que todo el trabajo
lo realiza entre la red y las capas fsicas.7 Cuando el emisor origina un paquete y
es filtrado por el cortafuegos, ste ltimo comprueba las reglas de filtrado de
paquetes que lleva configuradas, aceptando o rechazando el paquete en
consecuencia. Cuando el paquete pasa a travs de cortafuegos, ste filtra el
paquete mediante un protocolo y un nmero de puerto base (GSS). Por ejemplo, si
existe una norma en el cortafuegos para bloquear el acceso telnet, bloquear el
protocolo IP para el nmero de puerto 23.

Segunda generacin cortafuegos de estado[editar]

Durante 1989 y 1990, tres colegas de los laboratorios AT&T Bell, Dave Presetto,
Janardan Sharma, y Nigam Kshitij, desarrollaron la segunda generacin de
servidores de seguridad. Esta segunda generacin de cortafuegos tiene en
cuenta, adems, la colocacin de cada paquete individual dentro de una serie de
paquetes. Esta tecnologa se conoce generalmente como la inspeccin de estado
de paquetes, ya que mantiene registros de todas las conexiones que pasan por el
cortafuegos, siendo capaz de determinar si un paquete indica el inicio de una
nuevaconexin, es parte de una conexin existente, o es un paquete errneo. Este
tipo de cortafuegos pueden ayudar a prevenir ataques contra conexiones en curso
o ciertos ataques de denegacin de servicio.

Tercera generacin - cortafuegos de aplicacin[editar]

Son aquellos que actan sobre la capa de aplicacin del modelo OSI. La clave de
un cortafuegos de aplicacin es que puede entender ciertas aplicaciones y
protocolos (por ejemplo: protocolo de transferencia de ficheros, DNS o navegacin
web), y permite detectar si un protocolo no deseado se col a travs de un puerto
no estndar o si se est abusando de un protocolo de forma perjudicial.
Un cortafuegos de aplicacin es mucho ms seguro y fiable cuando se compara
con un cortafuegos de filtrado de paquetes, ya que repercute en las siete capas

del modelo de referencia OSI. En esencia es similar a un cortafuegos de filtrado de

paquetes, con la diferencia de que tambin podemos filtrar el contenido del
paquete. El mejor ejemplo de cortafuegos de aplicacin es ISA (Internet Security
and Acceleration).
Un cortafuegos de aplicacin puede filtrar protocolos de capas superiores tales
como FTP, TELNET, DNS, DHCP, HTTP, TCP, UDP y TFTP (GSS). Por ejemplo,
si una organizacin quiere bloquear toda la informacin relacionada con una
palabra en concreto, puede habilitarse el filtrado de contenido para bloquear esa
palabra en particular. No obstante, los cortafuegos de aplicacin resultan ms
lentos que los de estado.

Acontecimientos posteriores[editar]
En 1992, Bob Braden y DeSchon Annette, de la Universidad del Sur de
California (USC), dan forma al concepto de cortafuegos. Su producto, conocido
como "Visas", fue el primer sistema con una interfaz grfica con colores e iconos,
fcilmente implementable y compatible con sistemas operativos como Windows
de Microsoft o MacOS de Apple.[cita requerida] En 1994, una compaa israel
llamada Check Point Software Technologies lo patent como software
denominndolo FireWall-1.
La funcionalidad existente de inspeccin profunda de paquetes en los actuales
cortafuegos puede ser compartida por los sistemas de prevencin de
intrusiones (IPS).
Actualmente, el Grupo de Trabajo de Comunicacin Middlebox de la Internet
Engineering Task Force (IETF) est trabajando en la estandarizacin de protocolos
para la gestin de cortafuegos.[cita requerida]
Otro de los ejes de desarrollo consiste en integrar la identidad de los usuarios
dentro del conjunto de reglas del cortafuegos. Algunos cortafuegos proporcionan
caractersticas tales como unir a las identidades de usuario con las direcciones IP
o MAC. Otros, como el cortafuegos NuFW, proporcionan caractersticas de
identificacin real solicitando la firma del usuario para cada conexin. [cita requerida]

Tipos de cortafuegos[editar]

Nivel de aplicacin de pasarela[editar]

Aplica mecanismos de seguridad para aplicaciones especficas, tales como
servidores FTP y Telnet. Esto es muy eficaz, pero puede imponer una degradacin
del rendimiento.

Circuito a nivel de pasarela[editar]

Aplica mecanismos de seguridad cuando una conexin TCP o UDP es
establecida. Una vez que la conexin se ha hecho, los paquetes pueden fluir entre
los anfitriones sin ms control. Permite el establecimiento de una sesin que se
origine desde una zona de mayor seguridad hacia una zona de menor seguridad.

Cortafuegos de capa de red o de filtrado de paquetes[editar]

Funciona a nivel de red (capa 3 del modelo OSI, capa 2 del stack de protocolos
TCP/IP) como filtro de paquetes IP. A este nivel se pueden realizar filtros segn los
distintos campos de los paquetes IP: direccin IP origen, direccin IP destino. A
menudo en este tipo de cortafuegos se permiten filtrados segn campos de nivel
de transporte (capa 3 TCP/IP, capa 4 Modelo OSI), como el puerto origen y
destino, o a nivel de enlace de datos (no existe en TCP/IP, capa 2 Modelo OSI)
como la direccin MAC.

Cortafuegos de capa de aplicacin[editar]

Trabaja en el nivel de aplicacin (capa 7 del modelo OSI), de manera que los
filtrados se pueden adaptar a caractersticas propias de los protocolos de este
nivel. Por ejemplo, si trata de trficoHTTP, se pueden realizar filtrados segn
la URL a la que se est intentando acceder, e incluso puede aplicar reglas en
funcin de los propios valores de los parmetros que aparezcan en un formulario
web.
Un cortafuegos a nivel 7 de trfico HTTP suele denominarse proxy, y permite que
los ordenadores de una organizacin entren a Internet de una forma controlada.
Un proxy oculta de manera eficaz las verdaderas direcciones de red.

Cortafuegos personal[editar]
Es un caso particular de cortafuegos que se instala como software en un
ordenador, filtrando las comunicaciones entre dicho ordenador y el resto de la red.
Se usa por tanto, a nivel personal.

Ventajas de un cortafuegos[editar]
Bloquea el acceso a personas y/o aplicaciones no autorizadas a redes privadas.

Limitaciones de un cortafuegos[editar]
Las limitaciones se desprenden de la misma definicin del cortafuegos: filtro de
trfico. Cualquier tipo de ataque informtico que use trfico aceptado por el
cortafuegos (por usar puertos TCP abiertos expresamente, por ejemplo) o que
sencillamente no use la red, seguir constituyendo una amenaza. La siguiente lista
muestra algunos de estos riesgos:

Un cortafuegos no puede proteger contra aquellos ataques cuyo trfico no pase a

travs de l.

El cortafuegos no puede proteger de las amenazas a las que est sometido por
ataques internos o usuarios negligentes. El cortafuegos no puede prohibir a espas
corporativos copiar datos sensibles en medios fsicos de almacenamiento (discos,
memorias, etc.) y sustraerlas del edificio.

El cortafuegos no puede proteger contra los ataques de ingeniera social.

El cortafuegos no puede proteger contra los ataques posibles a la red interna

por virus informticos a travs de archivos y software. La solucin real est en que la
organizacin debe ser consciente en instalar software antivirus en cada mquina para
protegerse de los virus que llegan por cualquier medio de almacenamiento u otra
fuente.

El cortafuegos no protege de los fallos de seguridad de los servicios y protocolos

cuyo trfico est permitido. Hay que configurar correctamente y cuidar la seguridad de
los servicios que se publiquen en Internet.

Polticas del cortafuegos[editar]

Hay dos polticas bsicas en la configuracin de un cortafuegos que cambian
radicalmente la filosofa fundamental de la seguridad en la organizacin:

Poltica restrictiva: Se deniega todo el trfico excepto el que est explcitamente

permitido. El cortafuegos obstruye todo el trfico y hay que habilitar expresamente el
trfico de los servicios que se necesiten. Esta aproximacin es la que suelen utilizar la
empresas y organismos gubernamentales.

Poltica permisiva: Se permite todo el trfico excepto el que est explcitamente

denegado. Cada servicio potencialmente peligroso necesitar ser aislado bsicamente
caso por caso, mientras que el resto del trfico no ser filtrado. Esta aproximacin la
suelen utilizar universidades, centros de investigacin y servicios pblicos de acceso a
Internet.

La poltica restrictiva es la ms segura, ya que es ms difcil permitir por error

trfico potencialmente peligroso, mientras que en la poltica permisiva es posible
que no se haya contemplado algn caso de trfico peligroso y sea permitido por
omisin.

Vase tambin[editar]