CIERRE ESTA VENTANA PARA VOLVER A LA PAGINA ANTERIOR
Informaci�n General sobre Firewall
Esta es una clase de contenido global dirigida a usuarios de computadora con alguna experiencia y conocimientos t�cnicos, no para usuarios con conocimientos avanzados o administradores de sistema.
Como poco, deber�as conocer los t�rminos inform�ticos b�sicos, tales como red (network), cliente (client), y servidor (server). Se pretende ofrecer una visi�n global de los cortafuegos (firewall), sistemas de seguridad para computadoras de red y para PC individuales; y no entraremos en la discusi�n de las diferentes marcas productoras de los programas firewall que pudieras adquirir e instalar en tu m�quina.
Si no tienes clara la terminolog�a inform�tica b�sica, te convendr� repasar las clases "Introducci�n a IRC 1 y 2". TCP/IP es el protocolo que le permite a las computadoras hablar entre ellas sin importar el sistema operativo y programas que utilicen. ICP/IP permite a las personas con Windows 95 comunicarse con otras personas con sistemas operativos UNIX o Macintosh.
Los paquetes de informaci�n llegan a tu computadora a trav�s de TCP/IP. En sistemas operativos Windows, Winsock gestiona estos menesteres. Despu�s Winsock env�a los paquetes a otras aplicaciones, incluy�ndo el firewall (cortafuegos) si tu sistema tuviera uno instalado. (Es una explicaci�n muy abreviada de c�mo funciona).
El firewall es un sistema que refuerza las pol�ticas de control de acceso. Estas pol�ticas (o criterios) regulan el tr�fico entre una red interna (de confianza) y otra red externa (de dudosa confianza). Normalmente, los firewall se utilizan para proteger a las redes internas del acceso no autorizado v�a Internet o mediante otra red externa.
La funci�n del firewall es bloquear el tr�fico no autorizado entre un sistema de confianza y un sistema de dudosa confianza. Este proceso se denomina habitualmente como "filtrado". Imaginemos el filtrado como el permiso o denegaci�n de acceso a una red.
Se puede denominar firewall a todo dispositivo que controle el tr�fico de la red por razones de seguridad. Hay tres grandes tipos de firewall, cada uno de ello utiliza diferentes estrat�gias para proteger los recursos de la red.
Los dispositivos firewall m�s elementales est�n constru�dos en enrutadores. Trabajan en los niveles m�s bajos del protocolo de la red (Winsock). Filtran los paquetes (a estos firewall se les llama "screening routers").
Los portales de servidor Proxy funcionen en los niveles altos del protocolo, y proporcionan servicios proxy en redes externas para clientes internos y monitorizan y controlan el tr�fico mediante el rastreo de cierta informaci�n dentro de los paquetes.
El tercer tipo de firewall utiliza t�cnicas de inspecci�n establecidas para comparar los patrones bit de los paquetes respecto de un paquete que se considere conocido y de entera confianza.
El filtrado de paquetes puede configurarse para aceptar o denegar ciertos tipos de paquetes o fragmentos de paquete que puedan pasar a trav�s del Servidor Proxy (Proxy Server).
El filtrado tambi�n puede configurarse para bloquear paquetes que provengan de un host de Internet espec�fico.
El filtrado din�mico (dynamic) de paquetes permite la apertura autom�tica para transmitir y/o recibir datos, despu�s cierra inmediatamente, para minimizar el n�mero de puertos abiertos en todo momento.
El filtrado est�tico (static) de paquetes permite la configuraci�n manuel de los paquetes a los que se les permite o deniega el acceso.
El firewall puede registrar (log) la siguiente informaci�n:
- Service Information - fecha, y hora
- Remote Information - Direcci�n IP del presunto Intruso (intruder), puerto y protocolo utilizado
- Local Information - Direcci�n IP de destino y puerto
- Filter Information - actuaci�n del filtro y qu� adaptador de red lo hizo
- Packet Information - encabezamiento e informaci�n del paquete (normalmente en hexadecimal)
Los firewall de nivel de red filtran el tr�fico bas�ndose en cualquier combinaci�n de la Fuente (Source) e IP de Destino (Destination), asignaci�n de Puerto TCP y Tipo de Paquete.
Los firewall de nivel de red, normalmente son enrutadores IP especializados. Son r�pidos y eficientes, y los usuarios de la red no se percatan de la actividad del firewall. Pueden guardar informaci�n interna sobre los paquetes que pasan por ellos, incluso los contenidos de ciertos datos.
Este tipo de programa puede darte ventaja contra un atacante que solo busque aprovechar (exploit) alg�n programa algo m�s com�n o normal (por ejemplo: Winsock).
Hay una diferencia entre una red (network) y el nivel de red (network level) del sistema operativo.
Un PC no es una red--no hay red que proteja un solo PC.
El programa firewall de nivel de red para un solo PC no es un firewall de red, ya que el programa no protege a una red. El t�rmino "network level firewall" (firewall de nivel de red) hace referencia al programa que trabaja en un nivel de red del sistema operativo de la computadora.
El t�rmino "network firewall" (firewall de red), se refiere a la organizaci�n de computadoras en la red, como ser�a una configuraci�n host baluarte (bastion host).
Probablemente, los hosts Baluartes (Bastion hosts) son los tipos de firewall m�s comunes. Este t�rmino proviene de los castillos Europeos, es una analog�a que describe el funcionamiento del firewal, por lo del foso y el modelo de puente levadizo. El firewall es el foso, o el puente levadizo...y la red es el castillo.
El Bastion host es una computadora con, al menos, una interface con la red de confianza y otra interface con la red de dudosa confianza. Cuando el bastion host le permite el acceso al host desde la red de dudosa confianza, podr� pasar todo el tr�fico desde ese host. Generalmente forma parte de un firewall m�s complejo.
Los firewall "screened host" utilizan un enrutador con, al menos, una conexi�n a la red de confianza y otra conexi�n con el bastion host. El enrutador act�a como una pantalla previa, para el filtrado de paquetes. Despu�s env�a todo el tr�fico IP al bastion host.
El enrutador se configura con normas de filtrado donde se especifican las direcciones IP a las que se les permite conectarse y las que tienen denegado el acceso. El enrutador disminuye la cantidad de tr�fico que se env�a al bastion host y hace que el trabajo del bastion host sea menos complicado.
Los firewall de nivel de aplicaci�n (application level) son programas interpuestos entre la red a proteger y la red externa.
Los firewall "application level" no permiten que pase el tr�fico directamente entre las dos redes. Y pueden proporcionar informes de intervenci�n m�s detallados. El firewall de nivel de aplicaci�n es un programa que se ejecuta en la m�quina. Si la m�quina es susceptible de ser atacada, es que el firewall no funciona (crashed).
Un servidor proxy puede realizar an�lisis de paquetes. Los paquetes se examinan seg�n una pol�tica (criterio) de seguridad. El servidor eval�a las direcciones IP y rastrea los datos contenidos en el paquete.
Uno de los problemas de los proxy es que tienen que evaluar gran cantidad de informaci�n en una gran cantidad de paquetes. Deber�s tener un proxy para cada aplicaci�n. Esto afecta al rendimiento e incrementa los costes.
Puede que desees utilizar un firewall de nivel de aplicaci�n como complemento de firewall de red y as� disfrutar de una seguridad m�s genralizada.
Si un intruso pudiera encontrar una fisura en tu firewall, significar� que tu firewall ha fallado, sin importar si estaba funcionando un firewall de nivel de aplicaci�n o un firewall de nivel de red. Es el "todo o nada" - no hay t�rmino medio. Una vez que entra un hacker o un intruso, todo el sistema est� en sus manos.
Los firewall solo bloquean lo que se les configure que bloqueen. Esta configuraci�n se denomina pol�tica (criterio) de control. Tu pol�tica de control determina el �xito o fracaso de tu firewall.
Puede que establecer las normas sea inc�modo y es f�cil cometer fallos. Y esos fallos en la pol�tica de control de acceso podr�an potenciar la aparici�n de fisuras en la seguridad.
El firewall y la pol�tica del firewall son dos cosas diferentes. La fragilidad de la pol�tica o la incapacidad para reforzar la pol�tica, hacen que se derive hacia la total inutilidad del firewall.
Si tus criterios son demasiado restrictivos, puede que te tiente el obviarlos. En este caso, el firewall ser� in�til, ya que su vigilancia no ser� efectiva.
La imagen popular del hacker es la de un joven inexperto, con mucho tiempo disponible, intentando meterse en un sistema por la emoci�n que eso le representa.
�Pero qu� pasa con un hacker que sabe y est� a la �ltima sobre los riesgos de la seguridad y tiene las m�s novedosas herramientas de cracking? Los hay que se dise�an sus propios ataques espec�ficos. Los hay que se hacen sus propios programas. Los hay que no aprovechan las fisuras de seguridad conocidas, sino que descubren otras nuevas.
Si surgen nuevas amenazas, tu firewall no ser�a capaz de protegerte contra ellas. Cont�nuamente se descubren nuevas fisuras.
Tambi�n son riesgos los virus y el uso incorrecto de los dispositivos de seguridad.
Si tienes funcionando un programa firewall de cualquier tipo, no lo dejes todo en sus manos para proteger tu sistema, la seguridad total es imposible. Si tu computadora est� conectada con el exterior por cualquier medio que no sea la electricidad, es vulnerable.
Como ya hemos dicho, los paquetes de informaci�n llegan a tu computadora mediante ICP/IP. Despu�s TCP/IP env�a los paquetes a otro firewall de nivel de aplicaci�n, y hacia otras aplicaciones.
La configuraci�n del firewall determina qu� paquete tiene el tama�o incorrecto para un determinado puerto, o que el paquete ven�a de una fuente no autorizada.
Nota, el paquete ya lleg� a tu computadora. El firewall simplemente determina si el puerto seguir� abierto para recibir otros paquetes de TCP/IP, y si el paquete se usar� en otras aplicaciones.
Imagina que el puerto que protege el firewall es un tubo, El firewall tapa uno de los extremos del tubo, el extremo va de tu TCP/IP a otras aplicaciones en tu m�quina.
Cuando los paquetes llegan a tu m�quina, van al OTRO extremo del tubo - el extremo TCP/IP. Si el prop�sito del paquete es da�ar el extremo que lo recibe, es in�til cerrar el puerto hacia la aplicaci�n. M�s aun, es imposible protegerse contra todos los tipos de ataque.
Compara esto con la seguridad dom�stica. Est� bien lo de cerrar la puerta principal, pero si un intruso puede acceder por la puerta trasera, tendremos un serio problema.
En cierta medida, todos los sistemas de seguridad son vulnerables, pero no todos de la misma forma.
Aprovechar una fisura contra Winsock puede que no funcione contra un firewall cuya funci�n es sustituir Winsock, pero aprovechar un fallo (exploit) contra ese firewall en concreto, s� que puede.
En el momento que los programas de seguridad llegan al mercado, los hacker los desmenuzan hasta encontrar errores. Si en primeras instancias no encuentran ninguno, solo ser� cuesti�n de tiempo. Aseg�rate de no dejar la protecci�n de tus datos a cargo de una aplicaci�n, como si fuera la panacea de la seguridad.
La �nica forma de garantizar una total seguridad es no estar conectado a nada, excepto a la electricidad...aunque llegue el d�a en que tambi�n esa seguridad sea cuestionable. :)
No queremos decir que no se empleen programas firewall. Pero tengamos muy presente lo que pueden hacer y lo que no. Deber�s ser astuto y no dormirte en los laureles, y mantenerse al d�a de toda la informaci�n sobre seguridad.
Ahora que sabemos c�mo funcionan los firewall, y lo m�s importante, lo que no pueden hacer, �c�mo puedo proteger una computadora conectada a la red?
Actualiza el sistema operativo y los parches de seguridad de las aplicaciones.
Haz copia de respaldo (backup) de todos los datos esenciales, y guarda esa copia de respaldo ALEJADA de la red.
Borra los datos de tu m�quina si quieres que estos est�n totalmente seguros.
Actualiza frecuentemente el programa de protecci�n contra virus.
No aceptes programas de origen desconocido.
Y no ejecutes programas sin pasarles previamente por programa detector anti-virus.
Lo m�s importante, no te conviertas en un objetivo. Sigue las normas de la seguridad En-linea. No des informaci�n personal ni contrase�as. No te metas en peleas o seas provocativo. No aceptes ni ejecutes programas de gente extra�a.
CIERRE ESTA VENTANA PARA VOLVER A LA PAGINA ANTERIOR