PDF de programación - Cortafuegos (firewalls): qué son y para qué sirven

Cuaderno de notas del
OBSERVATORIO



Instituto Nacional
de Tecnologías
de la Comunicación


CORTAFUEGOS (FIREWALLS): QUÉ SON Y PARA QUÉ SIRVEN


Los firewalls o cortafuegos son una de las herramientas básicas de la seguridad
informática. Permiten controlar las conexiones de red que acepta o emite un dispositivo,
ya sean conexiones a través de Internet o de otro sistema.

Existen infinidad de variantes de cortafuegos (dedicados, de tipo appliance, gestionados,
etc.). Este artículo se centrará exclusivamente en los cortafuegos personales (también
conocidos como firewalls) y cómo sacarles el mayor provecho.

Los cortafuegos personales son habitualmente programas que, o bien están integrados
en el sistema operativo, o bien son aplicaciones de terceros que pueden ser instaladas en
ellos.

I

Datos preliminares

Todos los sistemas conectados en una red (y estos entre sí, en Internet) tienen una
dirección que los identifica, ya sean ordenadores o servidores. Esto es lo que se conoce
como la dirección IP. En la versión actual del protocolo está formada por cuatro grupos de
números menores de 256 separados por puntos (por ejemplo: 123.123.123.123). Esta
dirección es única para cada uno de los dispositivos conectados directamente a Internet,
y permite que sea encontrado a través de los diferentes routers y que pueda comunicarse
con cualquier dispositivo también conectado.

A su vez, cada sistema operativo posee unos puertos lógicos. Esto quiere decir que, al
contrario que los puertos físicos (USB, HDMI, etc.) solo existen virtualmente para el
ordenador. Los sistemas operativos tienen más de 65.000 puertos virtuales disponibles
para abrir conexiones y se las ceden a los programas para que vuelquen sus datos en la
red. Los programas los solicitan y el sistema operativo los gestiona para poder utilizarlos
y establecer una conexión lógica. Esto permite que puedan comunicarse con otro
ordenador "punto a punto". Al final, toda comunicación entre dos dispositivos en Internet
se traduce en un flujo de datos entre dos puertos virtuales abiertos por algún programa.

Si unimos todo, nos queda que una comunicación en Internet, se establece entre un
cliente y un servidor, por ejemplo, de manera similar a la prevista en la tabla siguiente.

OBSERVATORIO DE LA SEGURIDAD DE LA INFORMACIÓN
Cortafuegos (firewalls): qué son y para qué sirven
Observatorio de la Seguridad de la Información

http://observatorio.inteco.es

Página 1 de 12



Tabla 1: Ejemplo de conexión entre dos sistemas con IPv41


CLIENTE
Programa
111.111.111.111 Navegador

IP

Puerto
5698

IP

222.222.222.222

SERVIDOR
Programa
Servidor
Web

Puerto
80

Fuente: INTECO

En este ejemplo, la comunicación se realiza entre el puerto 5698 del ordenador con IP
111.111.111.111 y el puerto 80 de la máquina 222.222.222.222 y viceversa. Estos
puertos dentro del ordenador son reservados temporal o permanentemente por
programas como el navegador, el cliente de correo, etc. Cuando se termina la
comunicación (por ejemplo cuando se deja de visitar una web o se cierra una aplicación)
los puertos del sistema que ha iniciado la comunicación quedan disponibles para ser
usados por otro programa que se lo solicite al sistema operativo. Aunque en el ejemplo se
utilicen el navegador y el servidor web, este tipo de conexiones se establecen entre todos
los programas que utilicen conexión a Internet: cliente de correo hacia su servidor,
sistema operativo hacia su servidor de actualizaciones, etc.

Clientes y servidores

Los programas que comienzan la comunicación en un puerto se llaman "clientes" y los
programas que están siempre usando un puerto esperando que los clientes se conecten
a él, se llaman "servidores".

Por ejemplo, una página web, está siempre esperando que un cliente (el navegador) se
conecte para mostrarle su contenido. El servidor web suele utilizar permanente el puerto
80 para esperar conexiones entrantes y los navegadores suelen usar (solo mientras lo
necesitan) un puerto cualquiera de los 65.000 para establecer el flujo de comunicación. El
hecho de que se utilice el puerto 80 para ofrecer páginas web es una convención
histórica, pero en realidad podría utilizarse cualquier otro. Para enviar y recibir correo, por
ejemplo, se utiliza el 25.

Supongamos que tenemos un caso en el que el servidor web está "escuchando" en el
puerto 80, en la IP 222.222.222.222, esperando que los clientes se conecten a él para
mostrarle una página web.

En un momento dado, el cliente (un usuario en su casa), con dirección IP
111.111.111.111, utiliza el puerto 5698 para acudir al servidor web en 222.222.222.222 y
ver la web. Se establecería un flujo de datos de esta manera:


1IPv4 es la versión del protocolo IP más usada. Actualmente está en marcha un proceso de migración a IPv6, que permite
un número mayor de dispositivos conectados a Internet, cada uno con su propia dirección IP.

Cortafuegos (firewalls): qué son y para qué sirven
Observatorio de la Seguridad de la Información

Página 2 de 12



Tabla 2: Ejemplo de conexión a una página web

CLIENTE
Programa
111.111.111.111 Navegador

IP

Puerto
5698

IP

SERVIDOR
Programa

222.222.222.222 Servidor Web

Puerto
80

Fuente: INTECO

Este intercambio de información fluye por Internet según un protocolo que puede variar
en función del programa que se esté usando. Para la navegación web se utiliza HTTP.
Esta tabla de información (dos direcciones IP y dos puertos) es única en todo Internet.
Habrá otros usuarios, (quizás con la 123.123.123.123) desde otro puerto (puede que
6781) accediendo también a 222.222.222.222:80 y viendo la página web. Incluso el
mismo usuario en 111.111.111.111 podría usar otro puerto diferente para conectarse al
servidor. Pero la combinación "IP Cliente:puerto + IP Servidor:puerto" será siempre única
en el mundo.

Ilustración 1: Ejemplo de conexión entre cliente y servidor


Fuente: INTECO

Un ordenador puede ser cliente y servidor al mismo tiempo, puesto que puede estar a la
vez conectándose a un sistema y atendiendo a otro que quiere conectarse a él.

II

Qué hace un cortafuegos

El cortafuegos se encarga de controlar puertos y conexiones, es decir, de permitir el paso
y el flujo de datos entre los puertos, ya sean clientes o servidores. Es como un semáforo
que, en función de la dirección IP y el puerto (entre otras opciones), dejará establecer la
conexión o no siguiendo unas reglas establecidas.

Cortafuegos (firewalls): qué son y para qué sirven
Observatorio de la Seguridad de la Información

Página 3 de 12



De este modo, el firewall controla qué combinaciones "IP Cliente:puerto + IP
Servidor:puerto" son válidas o no. Por ejemplo, si el administrador del servidor
222.222.222.222 decide que no quiere que el cliente con dirección IP 111.111.111.111
vea su página web desde casa, podría indicarle a su cortafuegos en el servidor que
bloquee esa dirección IP y no le permita acceder a su puerto 80.

Básicamente, el cortafuegos personal es un programa que se interpone entre el sistema
operativo y las aplicaciones en la red, y comprueba una serie de parámetros antes de
permitir que se establezca una conexión. Cuando se instala un firewall, el sistema
operativo le cede el control de la gestión de esos puertos virtuales y de las conexiones de
red en general, y hará lo que tenga definido como reglas. Las comprobaciones del
cortafuegos están asociadas a unas reglas (que le indican qué debe hacer con esas
conexiones). Estas
"ignorar".
Básicamente, cuando un programa quiere establecer una conexión o reservar un puerto
para volcar datos en la red, el firewall pregunta:

reglas son normalmente

"bloquear",

"permitir" o

• ¿De qué IP proviene este intento de conexión?

• ¿Desde qué puerto proviene?

• ¿A qué IP va destinada este intento de conexión?

• ¿A qué puerto?

• ¿Qué debo hacer con ella? (Bloquear, permitir o ignorar)

Ilustración 2: Ejemplo de conexión entre cliente y servidor con cortafuegos

Cortafuegos (firewalls): qué son y para qué sirven
Observatorio de la Seguridad de la Información


Fuente: INTECO

Página 4 de 12



Desde el punto de vista de un servidor

Un servidor suele tener programas "oyendo" en los puertos, y permanentemente
ocupados con esos programas, esperando que los clientes se conecten. Así, por ejemplo,
los servidores web normalmente tienen el puerto 80 ocupado con el servidor web
esperando que clientes se conecten. Pero también puede que ofrezcan otros servicios
además de una página. Por ejemplo también pueden ser servidores de correo. En este
caso tendrán el puerto 25 ocupado con un servidor de correo (Postfix, Exchange, etc.)
esperando que los clientes se conecten para enviar o recibir un correo.

Si alguien desde la IP 111.111.111.111 quiere ver la web, se establecerá esta conexión:

Tabla 3: Ejemplo de conexión a un servidor web

CLIENTE
Programa
111.111.111.111 Navegador

IP

Puerto
31201

IP

222.222.222.222

SERVIDOR
Programa
Servidor
Web

Puerto
80

Fuente: INTECO

Y ese mismo usuario quiere enviar un correo:

Tabla 4: Ejemplo de conexión a un servidor de correo

CLIENTE
Programa
111.111.111.111 Cliente de
correo

IP

Puerto
54681

IP

222.222.222.222

SERVIDOR
Programa
Postfix

Puerto
25

Fuente: INTECO

En las dos tablas anteriores, los puertos de origen son meros ejemplos. El cortafuegos
del servidor puede decidir que no quiere que se conecte el usuario 111.111.111.111 a su
sistema de correo e impedir