Interconexión de equipos y redes: Cortafuegos.

Cumplen una misión sencilla, pero esencial: aislar la red interna de la red externa formada por Internet realizando dos funciones: por un lado, trasladan todas las direcciones IP internas a una sola dirección de salida. Por otra, actúan como filtro de entrada y salida.

Con la primera función se asegura que nadie desde el exterior puede acceder a recursos de un ordenador perteneciente a la red. Con ello se evita que, por falta de prudencia o de pericia al configurar un ordenador, un extraño sea capaz de entrar en la red.

Con la segunda función es posible configurar de forma selectiva direcciones IP, así como puertos, que están disponibles para entrada y/o salida de datos. Gracias a esta función podremos inhibir el acceso a ciertas direcciones, o impedir que los mensajes provenientes de un determinado servidor lleguen a nuestra red informática.

Una de las funciones más básicas de un firewall es la de filtrar paquetes. La parte de filtrado de paquetes examina las direcciones IP (así como los puertos de E/S) de procedencia y destino de cada paquete, examinando su cabecera. Mediante una serie de reglas, denominada la lista de control de acceso, el filtro determina si aceptar o rechazar los paquetes IP individuales.

Las reglas de filtrado permiten restringir los paquetes que provengan o se dirijan a un determinado puerto o dirección IP. En general, estas reglas se aplican para cerrar el tráfico hacia ciertos puertos y dejar abiertos sólo los realmente necesarios para los servicios que se emplean.

 

El filtrado de paquetes es una buena primera línea de defensa y funciona bien a nivel general, pero no es capaz de evitar un aspecto importante: dejará pasar cualquier paquete IP que no viole ninguna de sus reglas asignadas. Es decir, que es un filtro que impide determinadas cosas, las que así se programan, pero deja pasar TODO el resto. El problema es que no todos los paquetes son lo que parecen. En particular, el filtrado de paquetes no impide la llegada y aceptación de paquetes IP malformados.

 

Hay toda una serie de herramientas conocidas por los hackers para crear paquetes que aprovechan ciertos fallos de seguridad y debilidades de los sistemas operativos, clientes de correo y aplicaciones o protocolos de red. Con estas herramientas se crean paquetes cuya cabecera, el único elemento que filtra inicialmente un firewall, parece correcta, pero cuyos datos en el interior presentan algún tipo de error.

En general, un cortafuegos tiene que proporcionar tanto seguridad en los accesos como transparencia en los envíos de daos.

Se pueden implementar en el propio servidor o en una máquina a parte. Además, hay cortafuegos que operan en muy distintos niveles de la arquitectura OSI.

Por defecto, un cortafuegos cierra toda comunicación. Es el administrador de la red quien debe ir abriendo los diferentes puertos de comunicación y habilitando los flujos de transporte permitidos. En toda red corporativa debe haber al menos un cortafuegos que le proteja del intrusismo externo.

Muchos de los cortafuegos comerciales incorporan la posibilidad de creación de redes privadas virtuales, de modo que los usuarios externos con derechos de acceso al interior de la red puedan pasar el cortafuegos creándose un túnel seguro entre el cortafuegos y el cliente a través de internet.