1.

Introducción
Muchos de los problemas de seguridad que aparecieron con la interconexión de redes
en el surgimiento de Internet pueden ser remediados o atenuados mediante el uso de
determinadas técnicas y controles. Con un firewall podemos implementar un nivel de
seguridad apropiado permitiendo al mismo tiempo el acceso a los vitales servicios de
Internet. Un firewall es un sistema o un grupo de sistemas que implementan una
política de control de acceso entre dos o más redes. Podemos imaginarlo como
compuesto por dos grandes módulos; uno destinado a bloquear los accesos y el otro a
permitirlos. El firewall constituye la herramienta pero se desprende que debemos tener
muy claro que tipo de control de acceso debemos implementar, y a su vez esto
constituye un subconjunto de la política de seguridad de la compañía.

El firewall proporciona un único check-point que preserva a la intranet del ataque de

intrusos que pudieran accederla. Nos permite monitorear la seguridad a través de sus
alarmas y logs, los cuales deben ser revisados periódicamente pues debemos poder
determinar hipotéticos intentos de acceso ya que el mismo firewall puede ser violado y
una vez que esto sucede estamos sin protección. Como agregados a su función
primordial los firewalls proveen dos funciones extras; el servicio de NAT-Network
Address Translator que permite que un servidor de mi intranet se presente en Internet
con un número de IP válido sin necesidad de reconfigurarlo, y por otro lado ofrece un
punto de logeo y monitoreo del uso de Internet en cuanto a requerimientos para poder
determinar anchos de bandas, problemas de saturación del vínculo, etc..

Como se dijo un firewall es parte de una política y no podemos dejarle librada toda la
responsabilidad cuando tenemos accesos de tipo PPP por ejemplo, o un empleado
divulga la información; este tipo de casos están denotando la existencia de back-doors
evidentemente muy apetecibles como objetivo de cualquier ataque. Otro punto
importante es que a pesar de que la información pase por un firewall este no nos
puede garantizar 100% la ausencia de virus, pues su inmensa variedad hace imposible
que se pueda analizar cada uno de los paquetes que pasan a través de él. Por último,
si bien en la actualidad el tema está lo suficientemente pulido, existen aplicaciones que
pueden estar mal diseñadas y que permiten que se puedan transmitir paquetes no
deseados encapsulados dentro de los mensajes que trafican; este era el caso de
viejas versiones del sendmail, por ejemplo. Por todo esto la utilización de un firewall no
constituye la panacea para resolver todos los problemas de seguridad de Internet.

Podemos citar algunos ejemplos de usos más comunes de firewalls. La protección

ante la utilización de servicios vulnerables; expusimos la vulnerabilidad de algunas

1
aplicaciones, entre las cuales podemos encontrar en la actualidad el NFS y NIS, por
dar un ejemplo. Este tipo de servicios son vulnerables a los ataques; no podemos
optar por deshabilitarlos pues son muy útiles en la intranet con lo cual con la utilización
de un firewall estaríamos filtrando todos los accesos externos a este tipo de servicios.
Por otro lado se puede administrar un control de acceso; esto se traduce en
implementar políticas que permitan el acceso a algunos servidores y a otros no.
Además la utilización de un firewall nos permite perfeccionar el control de la seguridad
en cuanto a su centralización, pues además de todo el subsistema de auditoria
podríamos concentrar todos los add-on de software de seguridad en un punto central
en lugar de implementarlo en cada hosts ( sumando a esto el mantenimiento que ello
implica ). Otras soluciones de este tipo como por ejemplo Kerberos obligan a hacer
actualizaciones hosts por hosts y si bien en algunos casos son las soluciones más
adecuadas los firewalls tienden a simplificar esta tarea. Como una actividad
secundaria podemos citar el hecho de que si todo el tráfico hacia Internet pasa por un
firewall esto me permite a partir de su accounting determinar el grado de uso del
vínculo de red y proyectar crecimiento; este último punto debe estar soportado por
otras herramientas.

2
2.Tipos y diseños de Firewalls

2.1.Usos frecuentes, problemas y diseños básicos

La desventaja más obvia del uso de firewalls es que puede bloquear servicios que los
usuarios quieran usar, tal como TELNET, FTP, X WINDOWS, NFS, etc.. De todas
maneras este tipo de restricciones no son atribuciones solo aplicables en los firewalls
pues puede ser implementada en los hosts localmente. En realidad se debe intentar
conseguir un balance que satisfaga los requerimientos de seguridad como las
necesidades de los usuarios.

Otro punto ha tener muy en cuenta y que más de una vez se deja de lado es que la
configuración de un firewall si bien tiene muchísimas ventajas del lado de un único
punto de control de la seguridad, ese punto puede constituir un cuello de botella para
el tráfico de red.

Cuando se decide instalar un firewall el primer y más importante punto tiene que ver
con la decisión política de cómo se quiere operar el sistema: todo aquellos no
especificado se bloquea; este política pretende que el firewall bloquee todo el tráfico, y
las aplicaciones que se deseen “dejar pasar” deberán ser especificadas una por una y
con el razonable fundamento del caso. Este tipo de decisión es altamente
recomendada, pues crea un ambiente muy seguro en el cual solo algunos servicios
“selectos” son soportados. Por el otro lado y totalmente opuesta a la primera se
encuentra la política de permitir todo aquello que no este negado. Esta política supone
que el firewall dejará pasar todo el tráfico salvo aquellos servicios que se han
considerado “peligrosos” y que se configurarán caso por caso. Este tipo de decisión
crea un ambiente más flexible, con más servicios disponibles para los usuarios.

Probablemente la decisión tenga más que ver con cuestiones políticas que con un
diseño técnico.
El segundo punto es determinar el nivel de auditoria y control a implementar y por
último el tema financiero. En este aspecto, el financiero, podemos encontrar
soluciones que no nos costarán nada en cuestión de dinero y aquellas que rondan los
U$S 100000, pero no solo debemos tener en cuenta este costo inicial sino el costo de
mantenimiento.

3
2.2.Tipos básicos

Conceptualmente hay dos tipos de firewalls, nivel de red y nivel de aplicación.

Los firewalls de nivel de red toman sus acciones en función del origen, la dirección de
destino y el port en cada paquete IP. Los modernos firewalls de este tipo se han
sofisticado y mantienen información respecto del estado de las conexiones que están
activas a través de él, etc.. Este tipo de firewall tienden a ser muy rápidos y son
transparentes al usuario.

Los firewalls de nivel de aplicación por lo general son hosts corriendo proxy servers,
que no permiten el tráfico directo entre redes, manteniendo una elaborada auditoria y
logeo del tráfico que pasa a través de él. Este tipo de firewall puede ser utilizado para
realizar las tareas relativas al NAT, debido a que como las comunicaciones van de un
lado hacia el otro se puede enmascarar la ubicación original. Este tipo tiende a proveer
una auditoría más detallada y un mayor grado de seguridad que los de nivel de red.

Los routers de filtro de paquetes, que corresponden al primer grupo, realizan una
decisión del tipo pasa no pasa para cada paquete que recibe. El router examina cada
datagrama para determinar si se aplican sus reglas de filtrado. Las reglas de filtrado se
basan en la información contenida en el header del paquete. Esta información consiste
en el IP de origen, la IP de destino, el protocolo encapsulado ( TCP, UDP, ICMP ), el
port TCP/UDP de origen y de destino, etc. Toda esta información es controlada contra
las reglas de filtrado definidas, pudiendo ser enrutada si existe una regla que lo
permite, descartada si una regla así lo indica y si no existe regla comparable un
parámetro previamente configurado determinará si el paquete pasa o no.

Dentro de este tipo están los que filtran en función del servicio involucrado. Esto es
posible pues hay muchos servicios para los cuales están normalizados los ports en los
que escuchan, por lo cual se pueden definir reglas que involucren el port, definiendo la
aceptación o el rechazo.

Por otro lado frente a diferentes ataques que se fueron produciendo surgieron otros
firewalls cuyas reglas son independientes del servicio; estas reglas exigen un análisis
más detallado que involucra el ruteo, las opciones de IP, verificación de los fragmentos
de desplazamiento y puntos por el estilo.

La mayoría de los firewalls implementados sobre Internet están desarrollados sobre el

concepto de filtrado de paquetes. Este tipo de firewalls no son difíciles de configurar
debido a que su software contiene una serie de reglas previamente configuradas y
fundamentalmente son transparentes al usuario y no exigen instalar ningún software
adicional en los hosts.

Por otro lado cuando se debe customizar de manera tal de adaptarlo a aplicaciones
específicas de cada empresa la tarea se puede hacer algo compleja pues exige una
figura de administrador que debe conocer los servicios de Internet, los distintos
encabezados de los paquetes, los distintos valores que se espera encontrar en los
campos a analizar. Si se requiere un filtrado complejo, las reglas pueden volverse
demasiado largas con la consecuencia de una difícil administración y seguimiento.

Como dijimos los filtros a nivel de aplicación permiten aplicar un esquema de

4
seguridad más estricto. En estos firewalls se instala un software específico para cada
aplicación a controlar ( un proxy server ); de hecho si no se instala los servicios
relativos a la aplicación las comunicaciones no podrán ser enrutadas, punto que no se
convierte en trivial pues de esta forma estamos garantizando que todas aquellas
nuevas aplicaciones desconocidas no podrán acceder a nuestra red. Otro ventaja que
trae el uso de este tipo de firewall es que permite el filtrado del protocolo, por ejemplo
se podría configurar el proxy server que atiende el FTP para que pueda aceptar
conexiones pero denegar el uso del comando put asegurando de esta forma que no
nos puedan escribir ningún archivo o que impida navegar por el FS; esto es lo que hay
se conoce como un FTP anónimo

Este tipo de configuración incrementa los costos de la plataforma sobre la cual

funcionará el filtro.

Algunos autores reconocen otro nivel de aplicación de firewall que es nivel de circuito,
que en realidad no procesa ni filtra el protocolo, sino que simplemente establece un
circuito entre origen y destino.

5
2.3.Arquitectura
Las tecnologías de filtrado de paquetes que se emplean en los firewalls constituyen
una manera eficaz y general para controlar el tráfico en la red. Tales tecnologías
tienen la ventaja de no realizar ningún cambio en las aplicaciones del cliente y el
servidor, pues operan en las capas IP y TCP, las cuales son independientes de los
niveles de aplicación según se establece en el modelo OSI. Por otro lado, los enfoques
de la filtración de paquetes no han declarado muchos requerimientos de seguridad,
por la información incompleta con la que trabajan. Sólo la información de las capas de
transporte y red, como las direcciones IP, los números de puerto y las banderas TCP
están disponibles para las decisiones de filtración. En muchas implementaciones de
los filtros de paquete, el número de reglas puede ser limitado; además, mientras mayor
sea este número, habrá una alta penalización en el desempeño, a causa del proceso
adicional necesario para las reglas complementarias.

En vista de la falta de información de contexto, ciertos protocolos como el UDP y RPC

no pueden filtrarse con efectividad. Además, en muchas implemetaciones, faltan los
mecanismos de intervención y alerta. Muchas de estas implementaciones de filtros
pueden requerir un alto nivel de comprensión de los protocolos de comunicación y su
comportamiento, cuando se utilizan por diferentes aplicaciones.

Los dispositivos de filtración de paquetes, casi siempre se mejoran mediante otros

tipos dispositivos llamados barreras de protección. Las barreras de protección se
llaman así porque operan en las capas superiores del modelo OSI y tienen información
completa sobre las funciones de la aplicación en la cual basan sus decisiones. Estos
constituyen la mayoría de los firewalls tal cual hoy los conocemos.

Existen varios métodos para construir una barrera de protección. Las organizaciones
con talento en la programación y recursos financieros suficientes, en general prefieren
usar un método personalizado de barreras de protección para proteger la red de la
organización. Si se ejecuta de manera adecuada, tal vez éste sea el método más
eficaz y por supuesto el más costoso.

Otras organizaciones prefieren usar los productos comerciales existentes, así como
personalizarlos y configurarlos para cumplir la política de seguridad de red de esas
organizaciones.

De aquí en adelante iremos describiendo las distintas arquitecturas con las cuales se
puede implementar una barrera de protección para nuestra red

6
2.3.1.De dos bases

Un firewall de dos bases no es nada más y nada menos que un firewall con dos
interfaces de red, que permite asilar una red interna de una red externa no confiable.
Como este anfitrión no envía ningún tráfico TCP/IP, bloquea por completo cualquier
tráfico IP entre las redes no confiables interna y externa.

Muchos servicios Internet son en esencia de almacenaje y envío. Si estos servicios se

ejecutan en el anfitrión, pueden configurarse para transmitir servicios de aplicación
desde una red hacia la otra. Si los datos de aplicación deben cruzar la barrera, es
factible configurar los agentes emisores de aplicación para hacer la ejecución en el
anfitrión. Estos agentes son programas especiales, utilizados para enviar solicitudes
de aplicación entre dos redes conectadas. Otro método es permitir que los usuarios se
conecten al anfitrión de dos bases y después tengan accesos a los servicios externos
desde la interfaz de red externa del anfitrión.

Si se usan los emisores de aplicación, el tráfico de la aplicación no puede cruzar la

barrera, a menos que el emisor de aplicación se ejecute y se configure en el servidor
de barrera de protección. Esta acción es la implementación de la política “si no está
permitido de manera expresa, está prohibido”. Si se autoriza a los usuarios conectarse
en forma directa a la barrera de protección, puede comprometerse la seguridad de
ésta porque la barrera es el punto central de la conexión entre la red externa y la
interna. Por definición, la barrera de este tipo está en zona de riesgo. Si el usuario
selecciona una contraseña débil o compromete su cuenta de usuario ( al proporcionar
la contraseña ), la zona de riesgo quizá se extienda a la red interna y por lo tanto
eliminará el objetivo de la barrera.

Si se mantienen registros adecuados de la conexiones de usuarios, es posible rastrear

las conexiones no autorizadas a la barrera, en el momento que se descubra una
brecha de seguridad. En cambio si se impide que los usuarios se conecten en forma
directa a la barrera, cualquier intento de conexión directa se registrará como algo
notorio y como una brecha potencial de seguridad.

Este tipo de firewall, con una interfaz mirando a cada red, es la configuración básica
usada en las barreras de protección. Los aspectos delicados son que el enrutamiento
se encuentra inhabilitado y que la única ruta entre los segmentos de red es a través de
una función de capa de aplicación. Si el enrutamiento se ha configurado de manera
errónea por accidente ( o por diseño ) para permanecer activo, se ignorarán las
funciones de la capa de aplicación de las barreras de protección.

La mayoría de estas configuraciones están montadas sobre máquinas UNIX. En

algunos implementaciones de este sistema operativo, las funciones de enrutamiento
se activan de manera predeterminada, por lo cual es importante verificar que dichas
funciones están inhabilitadas.

7
2.3.2.Cómo se compromete la seguridad en esta configuración

La mayor amenaza ocurre cuando el intruso obtiene el acceso directo de conexión al

firewall. La conexión siempre se da mediante una aplicación apoderada del servidor.
Las conexiones desde redes externa requieren una autenticación más rigurosa.

Si el usuario obtiene acceso al servidor, la red interna puede ser inválida. Estas
invasiones pueden tener cualquiera de las siguientes fuentes:

 Autorizaciones débiles en el sistema de archivos

 Volúmenes montados en NFS en la red interna
 Programas de respaldo de red que puedan restituir autorizaciones excesivas
 El uso de scripts administrativos que no se hayan asegurado de manera adecuada
 Comprensión del sistema a partir de antiguos niveles de revisión del software y
notas que no se hayan asegurado de manera adecuada
 La instalación de antiguos kernels de sistema operativo que activen el envío IP o la
instalación de versiones de antiguos kernels de sistema operativo con problemas
de seguridad conocidos
 El uso de facilidades de Berkeley tal como el .rhosts o el hosts.equiv que definen
equivalencia entre servidores o usuarios de distintos servidores, por lo cual se
inhabilita el sistema de autenticación.

Si el servidor firewall falla, la red interna no tendrá defensa ante futuros intrusos, a
menos que el problema se detecte y corrija con rapidez.

Como se mencionó antes, la variable ipforwarding del kernel de UNIX controla el

desempeño del enrutamiento IP. Si el intruso obtiene suficiente privilegios del sistema,
podrá cambiar el valor de esta variable y habilitar el envío IP, con lo cual se ignorará el
mecanismo de la barrera.

8
2.3.3.Servicios
Además de inhabilitar el envío de IP, se debe eliminar todos los programas y servicios
que puedan ser peligrosos en las manos de un intruso. Algunos de las precauciones a
tomar son las siguientes:

 Eliminar las herramientas de programación: compiladores, enlazadores, etc..

 Eliminar los programas con autorizaciones de SUID y SGID que no se necesiten o
no se comprendan. Si los programas no funcionan, siempre es factible colocar de
nuevo aquellos que son esenciales.
 Utilizar particiones en el disco para que, en caso de haber una invasión para llenar
todo el espacio del disco en la partición, la invasión queda confinada en dicho
espacio.
 Eliminar todas las cuentas especiales y del sistema que no necesite
 Eliminar los servicios de red que no se requieran. Utilizar el comando netstat –a
para verificar que solo tiene los servicios precisos. Editar los archivos de servicio
/etc/inetd.conf para eliminar las definiciones de servicio innecesarias.

9
2.3.4.Firewall como servidor bastión

Un firewall es un servidor de barrera de protección que es determinante para la

seguridad en la red. Es el servidor central para la seguridad en la red de una
organización y, por su función, debe estar en una buena fortaleza. Esto significa que el
firewall lo monitorean con detenimiento los administradores de la red. La seguridad del
sistema y del software del servidor debe revisarse con regularidad. Asimismo, es
preciso observar los registros de acceso en busca de cualquier brecha potencial de
seguridad y de un intento de asalto al servidor.

La configuración antes comentada es un caso especial del firewall. Como los firewalls
actúan como un punto de interfaz para una red externa no confiable, casi siempre
están sujetos a invasiones. La distribución más simple es aquella en la que el servidor
constituye el primer y único punto de entrada para el tráfico de una red externa.

En vista de que el firewall es determinante para la seguridad de la red interna, por lo

regular se coloca otra primera línea de defensa entre la red externa no confiable y la
red interna. Esta línea casi siempre la proporciona un router de selección. En este
esquema el firewall tiene una sola interfaz de red conectada a la red interna y el
enrutador de selección tiene dos, una a Internet y la otra a la red interna enrutando
todo el tráfico hacia el bastión.
Se debe configurar el router para que envíe primero hacia el firewall todo el tráfico
recibido de las redes externas para la red interna. Antes de enviar el tráfico hacia este
servidor, el router aplicará sus reglas de filtro en el tráfico del paquete. Sólo el tráfico
de red que pase tales reglas será dirigido hacia el firewall; el resto del tráfico será
rechazado. Esta arquitectura da un mayor nivel de confianza en la seguridad de la red.
Un intruso necesita penetrar primero en el router de selección y, si lo logra, debe
enfrentarse con el firewall.

El firewall utiliza funciones a nivel de aplicación para determinar si las solicitudes hacia
y desde la red externa se aceptarán o negarán. Si la solicitud pasa el escrutinio del
firewall, se enviará a la red interna para el tráfico de entrada. Para el tráfico de salida (
tráfico hacia la red externa ), las solicitudes se enviarán al router de selección.

Algunas organizaciones prefieren que su proveedor de acceso a Internet, IAP,

proporcione las reglas de los filtros de paquetes para el tráfico en red enviado a la red
de dicha organización. El filtro de paquetes aún actúa como la primera línea de
defensa, pero se debe confiar al IAP el mantenimiento adecuado de las reglas del filtro
de paquetes.

Otro punto a tener en cuenta es la seguridad del router de selección. Sus tablas de
enrutamiento deben configurarse para enviar el tráfico externo al firewall. Dichas tablas
necesitan estar protegidas contra las invasiones y los cambios no autorizados. Si la
entrada a las tablas se cambia para que el tráfico no se envíe al firewall sino en forma
directa a la red conectada localmente, el firewall se ignorará.

Además si el router responde a los mensajes ICMP (protocolo Internet de mensajes de

control) de redirección, será vulnerable a los falsos mensajes ICMP que envíe el
intruso. Por lo tanto, debe inhabilitarse la respuesta a los mensajes ICMP de
redirección. Se deben eliminar los servicios de red innecesarios y utilizar el
enrutamiento estático. En especial, asegurarse que los demonios “routed” y “gated” no

10
se encuentren en ejecución; de lo contrario, las rutas serán anunciadas al mundo
exterior. Por otro lado, realizar entradas permanentes en la tabla de caché ARP para
señalar al firewall.

Entre los servicios a inhabilitar se encuentran: ARP, redirecciones ICMP, ARP

apoderado, MOP y mensajes ICMP no alcanzables, TELNET. En una operación ARP
normal, las tablas ARP de entrada se construyen de manera dinámica y expiran
después de un tiempo determinado. Incializar en forma manual la tabla cache ARP
para el router y el firewall. Las entradas ARP realizadas en forma manual nunca
expiran y actúan como entradas “estáticas”. Con el procesamiento ARP inhabilitado en
el router, éste no proporcionará su dirección de hardware.

2.3.5.Firewall como servidor de bastión con dos interfaces de red

Bajo esta configuración una interfaz está conectada a la red “exterior” y la otra interfaz
lo está a la red “interior”. Uno de los puertos del router ( el de la primera línea de
defensa ) está conectado a la red “interior” y el otro lo está a Internet. Nótese que
hablamos de red “interior”, “exterior” e Internet; aquí surge el nuevo concepto de red
exterior que es la que se ubica entre el firewall y el router.

De nuevo el router debe configurarse para enviar todo el tráfico recibido de las redes
externas para la red interna hacia la interfaz de red “interior” del bastión. Antes de
enviar el tráfico, el router aplicará sus reglas de filtro de paquetes. Sólo el tráfico de
red que pase estas reglas se dirigirá hacia el firewall; el resto habrá de rechazarse. Un
intruso debe penetrar primero en el router y, si lo logra, se enfrentará al firewall.

No existen servidores en la red exterior más que el router y una de las interfaces de
red del firewall. La red exterior forma una zona desmilitarizada DMZ. Ya que la DMZ
sólo tiene dos conexiones de red, puede reemplazarla un enlace dedicado punto a
punto. Este hecho dificultará más conectarse con este enlace mediante analizadores
de protocolos. Si se utiliza una red Ethernet o token ring para la DMZ, una estación de
trabajo que coloque su interfaz de red en el modo promiscuo puede capturar el tráfico
de la red y tener acceso a los datos delicados. Por lo general, las interfaces de red
sólo leen el paquete que se le dirija en forma directa. En el modo promiscuo, sin
embargo, dichas interfaces leen todos los paquetes que ve la interface de red. Todos
los servidores de la organización ( excepto el firewall ) están conectados a la red
interior.

Esta configuración tiene otra ventaja sobre esa configuración de red en la cual sólo se
empleaba una interface de red del firewall. Esta ventaja es que el firewall no se puede
ignorar al atacar las tablas de enrutamiento de los routers. El tráfico de la red debe
pasar por este firewall para llegar a la red interior.

11
2.3.6.Dos firewalls y dos DMZ

En este caso ambas interfaces de los firewalls se encuentran configuradas. Tres zonas
de red están formadas en la red interna: la red exterior, la red privada y la red interior.

Existe una red privada entre los firewalls interior y exterior. Una organización puede
colocar algunos servidores en la red privada y mantener los más delicados detrás del
firewall interior. Por otra parte, una organización quizá desee una seguridad máxima y
usar la red privada como una segunda zona de buffer o DMZ interior, además de
mantener todos los servidores en la red interior.

Si una empresa quiere proporcionar acceso completo a una gran variedad de

servicios, como FTP anónimo ( protocolo de transferencia de archivos ), Gopher y
WWW ( World Wide Web ), puede proveer ciertos servidores de sacrificio en la DMZ
exterior. Los firewalls no deben confiar en ningún tráfico generado desde estos
servidores de sacrificio.

El router de selección debe estar configurado para enviar todo el tráfico recibido desde
las redes externas para la red interna hacia el firewall interior. Antes de mandar el
tráfico, el router aplicará las reglas de filtro de paquetes. Sólo el tráfico de la red que
pasa esas reglas se dirigirá al firewall exterior; el resto será rechazado. Un intruso
debe penetrar primero el router y, si lo hace, se enfrentará al firewall exterior.

Sin que le importe violar las defensas de la red exterior, el intruso penetra en le firewall
interior. Por ello, si los recursos lo permiten, tal vez se desee dar a cada firewall la
responsabilidad de un grupo administrativo diferente. Esto asegura que los errores de
un grupo de administradores no los repitan los demás administradores. También se
debe garantizar que los dos grupos compartan información acerca de debilidades
descubiertas en los firewalls.

Otro tipo de configuración de red se obtiene al utilizar dos firewalls, pero sólo una
interfaz de red de cada anfitrión. Un segundo router llamado el ”ahogador” se agrega
entre la DMZ y las redes interiores. Se debe asegurar que los firewalls no se ignoren y
que los routers usen rutas estáticas.

A partir de estos elementos, firewalls con una o dos interfaces de red y routers, se
pueden lograr diferentes configuraciones que surgen de la combinación de ellos.
Cuando sólo esté en uso una interfaz de red del firewall, se deben utilizar rutas
estáticas en los routers y configurar bien las entradas de las tablas de enrutamiento
para asegurar que los firewalls no se ignoren.

12
2.3.7.Subredes Seleccionadas

En algunas configuraciones de barreras de protección, tanto la red externa no

confiable como la red interna pueden tener acceso a una red aislada; sin embargo,
ningún tráfico de red puede fluir entre ambas redes a través de la red aislada. El
aislamiento de la red se lleva a cabo mediante una combinación de routers de
selección configurados de manera adecuada. Dicha red se conoce como red
seleccionada.

Algunas redes seleccionadas pueden tener compuertas a nivel de aplicación, que

actúan como firewalls y permiten el acceso interactivo a los servicios exteriores. Los
routers se utilizan para conectar a Internet con la red interna. El firewall es una
compuerta de aplicación y rechaza todo el tráfico que no se acepte de manera
expresa.

Como la única manera de tener acceso a la subred seleccionada es mediante el

firewall, es bastante difícil que el intruso viole esta subred. Si la invasión viene por
Internet, el intruso debe volver a configurar el enrutamiento en Internet, la subred
seleccionada y la red interna para tener libre acceso ( lo cual se logra con dificultad si
los routers permiten el acceso sólo a los servidores específicos ). Si alguien violara al
firewall , el intruso forzaría su entrada hacia uno de los anfitriones en la red interna y
después el router, para tener acceso a la subred seleccionada. Este tipo de invasión
de tipo aislamiento es difícil de lograr sin desconectarse o sin activar alguna alarma.

Como las redes seleccionadas no permiten que el tráfico de red fluya entre Internet y
la red interna, las direcciones IP de los anfitriones en dichas redes se ocultan unas de
otras. Esto permite que una organización a la que el NIC ( Centro de Información de
red ) aún no le haya asignado oficialmente números de red, tenga acceso a Internet
mediante servicios de compuertas de aplicación, proporcionados por el firewall en la
subred seleccionada. Si estos servicios usados con la compuerta de aplicación están
restringidos, estas limitantes pueden estimular que la red interna asigne números de
red de manera oficial.

13
2.3.8.Compuertas a nivel de aplicación

Las compuertas a nivel de aplicación pueden manejar tráfico de almacenaje y envío,

así como tráfico interactivo. Dichas compuertas están programadas para comprender
tráfico al nivel de aplicación del usuario ( capa 7 del modelo OSI ); por lo tanto, pueden
proporcionar controles de acceso a niveles de usuario y de protocolos de aplicación.
Además, es factible utilizarlas para mantener un registro inteligente de todos los usos
de las aplicaciones. La habilidad para registrar y controlar todo el tráfico de entrada y
de salida es una de las características principales de las compuertas a nivel de
aplicación. Las compuertas por sí mismas pueden integrar, si es necesario, seguridad
adicional.

Para cada aplicación que se transmita, las compuertas a nivel de aplicación utilizan un
código de propósito especial. Gracias a este código, las compuertas de aplicación
proporcionan un alto nivel de seguridad. Para cada nuevo tipo de aplicación que se
agregue a la red y que requiera protección, tiene que escribirse un nuevo código de
propósito especial; por lo tanto, la mayoría de este tipo de compuertas provee un
subgrupo limitado de aplicaciones y servicios básicos.

Para utilizar las compuertas a nivel de aplicación, los usuarios deben conectarse a la
máquina de la compuerta de aplicación o implementar un servicio específico para la
aplicación de cliente para cada servidor que empleará el servicio. Cada módulo de
compuerta específica para la aplicación puede tener su propio grupo de herramientas
de administración y lenguaje de comandos.

Una desventaja de muchas compuertas es que debe escribirse un programa

personalizado para cada aplicación. Sin embargo, este hecho también es una ventaja
en seguridad, pues no se pueden pasar las barreras de protección a menos que haya
estipulado una compuerta explícita a nivel de aplicación.

El programa personalizado de aplicación actúa como un “apoderado” que acepta las

llamadas entrantes y las verifica con la lista de acceso de los tipos de solicitudes
permitidas. En este caso, se trata de un servidor apoderado de aplicación. Al recibir la
llamada y verificar que sea permitida, el apoderado envía la solicitud al servidor
correspondiente; por lo tanto, actúa como un servidor y como cliente. Trabaja como un
servidor para recibir la solicitud entrante y como un cliente al enviarla. Después de
establecer la sesión, el apoderado de aplicación funciona como un relevo y copia los
datos existentes entre el cliente que inició la aplicación y el servidor. Dado que todos
los datos ente el cliente y el servidor los intercepta el apoderado de la aplicación, éste
tiene control total sobre la sesión y puede hacer un registro tan detallado como usted
lo requiera.

14
3.Arquitecturas no recomendadas
En realidad la mayoría de los autores y los administradores con experiencia de campo
en el tema de la utilización de firewalls como parte de una política general de
seguridad de una organización establecen una serie de consejos en cuanto a la
configuración tanto de los firewalls como de los routers de manera tal de no dejar back
doors que permitan el ingreso no autorizado y que no podamos rastrear.

Para hablar de arquitecturas no recomendadas seguramente estaremos situados en la

deformación de alguna de las expuestas anteriormente.

Entre ellas encontramos por ejemplo la utilización de DMZ con servidores con más de
una interfaz de red, de las cuales una apunta a la red interna, o servidores que
contengan pools de módems para conexiones dial-up y pertenezcan a la red interna.

El primero de los casos se da cuando por razones de nuestro negocio debemos

ofrecer servicios a la red externa, con lo cual podemos pensar en ubicar el servidor en
una DMZ. Hasta aquí no hay problema, pero si por alguna razón pensáramos en
agregar otra tarjeta de red apunta a la red interna, para servicios de backup
centralizado o lo que fuere, estamos generando un back door, que permite el acceso
directo a nuestra red interna obviando el filtrado del firewall.

El segundo paso, constituye un punto crucial en la protección de nuestra red. Hoy por
hoy son necesarias las conexiones dial-up para todo lo que constituye el acceso
remoto de nuestro empleados, para tares de mantenimiento, por ejemplo, pero este
tipo de acceso debe estar correctamente administrado y centralizado, de manera tal
que podamos asegurarnos que todo el tráfico que se genere a partir de esos
servidores sea controlado. En el ejemplo planteado basta con franquear al servidor
dedicado a las conexiones dial-up, que por cierto no tiene por que tener todas las
medidas de protección que puede tener un firewall, para tener acceso a toda la red
interna sin someterse a los filtros de los firewalls.

En realidad se debe considerar como arquitecturas no recomendadas a aquellas que

de alguna u otra forma evitan que el tráfico de red se someta al análisis de un firewall.

15
4.Estado actual en el mercado

Hoy por hoy en el mercado existen infinidad de proveedores de aplicaciones de

firewalls, que están complementadas con los esfuerzos por elevar el nivel de
seguridad de los distintos sistemas operativos.

Estas aplicaciones de firewalls están disponibles para los distintos sistemas operativos
y si bien en líneas generales todos cumplen básicamente las mismas funciones, cada
proveedor tiene sus características particulares que se van igualando de uno a otro
con el correr del tiempo y el desarrollo de los distintos releases.

Entre los productos más utilizados se encuentran Firewall-1, Pix y Raptor, de las
empresas Chekpoint, Cisco y HP respectivamente.

Indagando un poco en el mercado local se puede comprobar que el producto de Cisco

esta siendo muy utilizado, debido a su integración “nativo” en todas aquellas
organizaciones que están utilizando routers Cisco
Además de verificar las características particulares de cada uno se pueden bajar de
Internet versiones de evaluación para corroborar las distintas facilidades como así
también observar como se adapta a la organización donde se implementará.

5.Conclusiones

Creo que a lo largo de este trabajo ha quedado demostrado que nuestros problemas
no están solucionados simplemente con la implementación de un esquema de firewall;
de hecho si en realidad no forma parte de una política de seguridad integral de la
organización de nada servirá tener la configuración más segura en lo que a firewall
respecta.

Una vez superado este punto, es decir existe la voluntad política dentro de la
organización de implementar una política de seguridad seria, todo el personal de la
misma esta concientizado de ello y fundamentalmente la más alta dirección esta
impulsando este desafío, es conveniente pensar en la implementación de un esquema
de firewall.

A partir del hecho ya consumado que constituye la interconectividad a través de

Internet, es fundamental la utilización de filtros debido a que seguramente nuestra
organización estará también accediendo a los servicios que Internet nos ofrece. Qué
arquitectura es la más apropiada tendrá que ver seguramente con la criticidad de
nuestros servicios, lo valioso de nuestra información, los servicios que ofreceremos y
obtendremos de Internet, y de los recursos con los cuales contemos para llevar
adelante este desafío.

Y por último, debemos tener en cuenta que este tema no consiste solo en implementar
un firewall y problema resuelto. La importancia operativa es tal que debemos estar
constantemente revisando las políticas, los logs, etc. para poder determinar si estamos
siendo vulnerables en algún aspecto. Por otro lado un firewall, en mi opinión personal
debe asemejarse a un antivirus, el cual si no se actualiza constantemente deja de ser
seguro. Tengamos en cuenta que el firewall constituye la puerta de acceso a nuestra

16
información vital, por ende a nuestro negocio y por último a nuestro dinero.

6.Bibliografía y fuentes de Información

Bibliografía

Internet y Seguridad en Redes, Karanjit Siyan y Chris Hare, ed. Prentice Hall

Internet ( URL )

www.3com.com
www.scrc.ncsl.nist.gov
www.interhack.com
www.icsa.com
www.cisco.com
www.hp.com
ftp.tis.com
www.netresearch.com

17