Archivo de la etiqueta: perimetral

Podcast – 30 – Firewall

Podcast: Reproducir en una nueva ventana | Descargar

Suscríbete: Spotify | RSS

En el trigésimo capítulo de un podcast de seguridad informática aún no he dedicado un capítulo específico a unos de los sistemas de seguridad más clásicos y aún más usados: el firewall.

Micro con feed

Fuente imagen:PerfectYourPodcast

En general, ya digo que hay otras posibilidades de comunicación, una conexión por Internet tiene esta tupla de valores: dirección IP y puerto de origen; dirección IP y puerto de destino; y el identificador del protocolo usado.

Los firewalls tradicionales utilizan estos 5 valores para determinar si una conexión es legítima o no y actuar en consecuencia. Cuando llegue un nuevo paquete a nuestro cortafuegos comprobará si se cumplen las 5 características y en tal caso, y sólo en tal caso, permitirá que el tráfico siga su camino hasta el servidor. Si alguna de los cinco valores no se cumple simplemente se eliminaría ese paquete.

Las reglas de funcionamiento del firewall tradicional deben usar cualquier combinación de estos 5 parámetros: pueden fijarse los 5, o sólo 3 dejando los otros 2 abiertos a cualquier opción, etc.

Así pues, habiendo explicado, grosso modo, el funcionamiento de un cortafuegos de red tradicional veamos cómo ha evolucionado y se ha perfeccionado el concepto:

Tras el primer sistema de filtrado de paquetes, el siguiente paso en los firewall fue el conocido como “cortafuegos de estado”. En este punto el sistema ha evolucionado para, además de ver si el tráfico cumple con las cinco condiciones, además tiene sentido. Cuando se realiza una conexión TCP se establece una negociación de parámetros previa. Así un firewall de estado puede revisar si el tráfico recibido, que sí cumple las cinco condiciones de acceso, además tiene sentido en el flujo de tráfico: si se trata de un paquete de tráfico, pero no se ha negociado antes la conexión entonces lo descarta. Este sistema de control de estado permitiría una primera protección frente a ataques de denegación de servicio.

El siguiente paso en la evolución de los sistemas cortafuegos analizaría no solo el estado de la conexión sino el funcionamiento de la aplicación. Aquí el sistema analiza el tráfico y comprueba que siga las reglas del protocolo de aplicación. Así pues, si para enviar un correo electrónico existe un orden específico en las instrucciones a ejecutar para que el envío funcione: es de suponer que el tráfico legítimo seguirá las reglas marcadas por el propio protocolo por lo que cualquier tráfico que no las siga puede ser descartado. Hay que aclarar que no se trata de un IPS: Aquí el firewall analiza el correcto seguimiento del protocolo de comunicaciones pero no analiza las peticiones específicas en busca de patrones, como sí haría un IPS, como explicamos en el capítulo 4.

Podcast – 30 – Firewall

Tipos de firewall

3 respuestas

La definición de cortafuegos, aunque el anglicismo firewall sea más usado, sería todo aquel sistema diseñado para bloquear los accesos no autorizados en una red mientras se mantienen operativas las comunicaciones autorizadas. Veamos algunas categorizaciones utilizadas y su significado, si bien estas categorías no son excluyentes entre sí y podemos encontrar sistemas híbridos.

Firewall hardware o software

Esta quizás sea la distinción más obsoleta de las que veremos ya que hoy en día ha dejado de tener el sentido inicial. Hace años se denominaban firewall hardware cuando el sistema completo estaba implementado por el mismo fabricante: los usuarios simplemente conectaban un equipo a su red y lo gestionaban según las instrucciones del fabricante. Por el contrario los firewall software eran programas que se instalaban en un equipo del usuario y funcionaban como cualquier otra aplicación sobre ese servidor.

Actualmente los fabricantes y desarrolladores pueden vender tanto sistemas cerrados completos como sólo software, pero siempre habrá un programa corriendo el servicio de firewall analizando y bloqueando tráfico. El que este programa esté en una caja cerrada por el fabricante o funcione sobre un sistema operativo propiedad del usuario es irrelevante.

Firewall perimetrales o de núcleo

En este caso la distinción no es tanto de cómo es el firewall sino de qué función está realizando. Los cortafuegos perimetrales son los responsables de gestionar las conexiones entrantes y salientes de una red (típicamente la conexión a Internet de una empresa) mientras que los de núcleo realizan un trabajo de control de las conexiones dentro de una misma red corporativa (accesos a redes DMZ, separación entre red cableada y Wifi, etc.).

La funcionalidad es la misma: proteger la conexión entre diferentes redes. El hecho de que una red sea interna o externa a la empresa es una distinción funcional pero no afecta al trabajo del firewall.

Firewall de red o de aplicación

Esta categorización sí tiene implicaciones importantes en el funcionamiento del cortafuegos y es uno de los puntos a tener en cuenta.

Los firewall de red únicamente trabajan con información de direcciones IP y puertos. El usuario configura qué comunicaciones quiere permitir de tal forma que indica las direcciones IP y puertos tanto del origen del tráfico como del receptor. Aplicando estas políticas permitirá o no la comunicación.

Los cortafuegos de aplicación son equipos más avanzados, necesitan más potencia de cálculo que los de red, que lo que evalúan es que la comunicación se establezca, y mantenga, según el protocolo estándar.

Podemos ejemplarizar el diferente funcionamiento si pensamos que un firewall de red (los más comunes) se permiten todas las conexiones de cualquier usuario de Internet al puerto 80 de nuestro servidor web (así puedes ver está página) mientras que un cortafuegos de aplicación revisará el tráfico y confirmará que realmente se esté siguiendo el protocolo http y en caso contrario bloqueará la comunicación.

Los firewall de aplicación tienen una gran parte de coincidencia con los sistemas de detección e protección de intrusos (IDS, IPS) si bien no es exactamente lo mismo.

Lista blanca o lista negra

Más que al tipo de firewall aquí se indica la política de accesos que se ha configurado. Las listas blancas facilitan el control de accesos si sabemos las conexiones que queremos permitir mientras que las de listas blancas son preferibles cuando no podemos saber el origen de todas las comunicaciones y sólo queremos bloquear el acceso a partes específicas.

Un ejemplo de lista blanca en la vida real sería una fiesta privada donde el personal de seguridad (que haría de cortafuegos) sólo deja pasar a las personas que están en su lista de invitados y a nadie más. En el lado opuesto tenemos los casinos donde se permite el paso a cualquier persona mayor edad y sólo se deniega a aquellos que están el Registro de personas con acceso prohibido a los salones de juego (este registro sería nuestra lista negra).