Podcast: Reproducir en una nueva ventana | Descargar
En el trigésimo capítulo de un podcast de seguridad informática aún no he dedicado un capítulo específico a unos de los sistemas de seguridad más clásicos y aún más usados: el firewall.
En general, ya digo que hay otras posibilidades de comunicación, una conexión por Internet tiene esta tupla de valores: dirección IP y puerto de origen; dirección IP y puerto de destino; y el identificador del protocolo usado.
Los firewalls tradicionales utilizan estos 5 valores para determinar si una conexión es legítima o no y actuar en consecuencia. Cuando llegue un nuevo paquete a nuestro cortafuegos comprobará si se cumplen las 5 características y en tal caso, y sólo en tal caso, permitirá que el tráfico siga su camino hasta el servidor. Si alguna de los cinco valores no se cumple simplemente se eliminaría ese paquete.
Las reglas de funcionamiento del firewall tradicional deben usar cualquier combinación de estos 5 parámetros: pueden fijarse los 5, o sólo 3 dejando los otros 2 abiertos a cualquier opción, etc.
Así pues, habiendo explicado, grosso modo, el funcionamiento de un cortafuegos de red tradicional veamos cómo ha evolucionado y se ha perfeccionado el concepto:
Tras el primer sistema de filtrado de paquetes, el siguiente paso en los firewall fue el conocido como “cortafuegos de estado”. En este punto el sistema ha evolucionado para, además de ver si el tráfico cumple con las cinco condiciones, además tiene sentido. Cuando se realiza una conexión TCP se establece una negociación de parámetros previa. Así un firewall de estado puede revisar si el tráfico recibido, que sí cumple las cinco condiciones de acceso, además tiene sentido en el flujo de tráfico: si se trata de un paquete de tráfico, pero no se ha negociado antes la conexión entonces lo descarta. Este sistema de control de estado permitiría una primera protección frente a ataques de denegación de servicio.
El siguiente paso en la evolución de los sistemas cortafuegos analizaría no solo el estado de la conexión sino el funcionamiento de la aplicación. Aquí el sistema analiza el tráfico y comprueba que siga las reglas del protocolo de aplicación. Así pues, si para enviar un correo electrónico existe un orden específico en las instrucciones a ejecutar para que el envío funcione: es de suponer que el tráfico legítimo seguirá las reglas marcadas por el propio protocolo por lo que cualquier tráfico que no las siga puede ser descartado. Hay que aclarar que no se trata de un IPS: Aquí el firewall analiza el correcto seguimiento del protocolo de comunicaciones pero no analiza las peticiones específicas en busca de patrones, como sí haría un IPS, como explicamos en el capítulo 4.