Saltar la navegación

Tipos de Cortafuegos.

Cortafuegos de nivel de red.

Aunque se llame cortafuegos de nivel de red, es capaz de examinar el nivel de transporte y de red de los paquetes que los atraviesan. Lo que hace es analizar las cabeceras TCP e IP, y extrae los parámetros más relevantes. Por ejemplo, dirección IP de origen y destino, puerto TCP de origen y destino. Con estos parámetros puede filtrar el tráfico según las reglas que en él se hayan definido.

Tipos de políticas de configuración de las reglas de los cortafuegos:

  • Permisiva: Se permite el paso de todo el tráfico excepto el que está contemplado por alguna regla. Esto se hace partiendo de una regla por defecto que se aplica cuando no hay otra regla que aplicar y que en este caso sería una regla que dejaría pasar todo el tráfico independientemente de sus parámetros. Para bloquear cierto tipo de tráfico se tendrían que definir reglas explícitas para ello.
  • Restrictiva: Se caracteriza por denegar todo el tráfico excepto el que está explícitamente permitido. Para esto se crea una regla por defecto que deniegue todo el tráfico independientemente de sus parámetros. De esta forma para permitir algún tipo de tráfico se tienen que definir reglas explícitas para ello. Es claro que este tipo de política conlleva más trabajo y que el número de reglas necesarias es más alto, pero también lo es que mejora la seguridad de la red protegida ya que impide que por una configuración incompleta se comprometa la seguridad de la red protegida.
Control de acceso.
Puerta cortafuego.

Reflexiona

En general, la política de configuración permisiva no es aceptable para la configuración de un Firewall y sólo en casos muy específicos puede ser conveniente usarla. Piensa si puede haber algún caso en que fuera conveniente esta política.

Según el lugar físico donde se ubique el Firewall en la red recibirá diferentes nombres, podemos entonces hacer otra clasificación de los cortafuegos en función de su localización:

  • Perimetrales: Se sitúan en la zona más externa de la red, y es habitual que sea el mismo router de conexión el que realiza las funciones de cortafuegos. En algunos casos es un ordenador llamado HOST bastión el que realiza esta función.
  • De sistema: Se colocan directamente sobre el ordenador que se quiere proteger. Es muy común que el cortafuegos esté integrado en el sistema operativo.

Cortafuegos de nivel de aplicación.

Los Firewalls de nivel de red tienen varias limitaciones, una muy importante es que no pueden filtrar tráfico a nivel de aplicación que es donde surgen las necesidades reales en el uso cotidiano de las aplicaciones. Por ejemplo, podrías filtrar el tráfico FTP con un Firewall de nivel de red, pero no podrías filtrar el uso de cierto comando FTP.

Para esto surgen los Firewalls de aplicación que se ocupan de analizar el tráfico de cada protocolo de aplicación y permite reglas de filtrado en función de los parámetros del protocolo de cada aplicación por separado.

El inconveniente de este tipo de Firewalls es que requiere un módulo de control para cada aplicación. Este tipo de Firewalls puede aparecer como HOST independientes o bien como módulos de software integrados en el sistema a proteger.

Para saber más

Firewall Builder, es una aplicación cliente que permite diseñar cómodamente la política de seguridad y luego aplicarla a la máquina cortafuegos de forma directa, mediante una conexión SSH. Dispone de una versión libre y funcional para Linux, así como versiones de pago, aunque con un coste muy bajo, para Windows y Mac OS X. En el enlace verás un pequeño tutorial sobre cómo utilizarla.

Firewall Builder: la GUI para tu cortafuegos.

Autoevaluación

Pregunta

¿Son los cortafuegos de nivel de red complementarios a los de nivel de aplicación? ¿Verdadero o falso?

Respuestas

Verdadero.

Falso.

Retroalimentación