PDF de programación - Cortafuegos. Comparativa entre las Distintas Generaciones y Funcionalidades Adicionales

Cortafuegos. Comparativa entre las Distintas
Generaciones y Funcionalidades Adicionales



José María Morales Vázquez

Versión 1.1

Puedes recoger la última versión de este documento en:

http://jo.morales0002.eresmas.net/fencasa.html



Programa de Postgrado UNED – Curso 2001/2002

Departamento de Ingeniería Eléctrica, Electrónica y de Control E.T.S.

de Ingenieros Industriales de la UNED

Curso de Experto Universitario en Seguridad y Comercio Electrónico

e-mail: [email protected]

Resumen: TCP/IP es, a pesar de sus orígenes seudo-militares, un protocolo
inseguro. Hoy por hoy, la mejor forma de protección contra las vulnerabilidades
derivadas de este protocolo es el uso de un dispositivo Cortafuegos. Además,
un Cortafuegos ayuda a mitigar otros problemas asociados a sistemas inseguros
y vulnerables proporcionando robustez y una forma ideal de implementar una
férrea Política de Seguridad y de Auditoría que controle los accesos a nuestros
sistemas. Existen diversos tipos de Cortafuegos y esquemas de protección
derivados que son asociados a distintas generaciones que han ido apareciendo a
medida que la tecnología de los mismos ha ido evolucionando. En este
documento se pretende realizar una clasificación de los mismos atendiendo,
fundamentalmente, a su forma de integrarse en el modelo OSI y, en particular,
en la pila de protocolos TCP/IP.



Cortafuegos. Comparativa y Funcionalidades. 2



0 Índice.



1 Introducción..........................................................................................................................3

2 Seguridad en la Familia de Protocolos TCP/IP. .............................................................5
2.1 ¿De que Puede Protegernos un Cortafuegos?..........................................................5
2.2 ¿De que no Puede Protegernos un Cortafuegos?....................................................6

3 Cortafuegos. Generalidades, Tipos y Tecnologías Usadas por Estos.........................7
3.1 Cortafuegos de Filtrado de Paquetes.......................................................................10
3.2 Cortafuegos con Inspección de Estado...................................................................12
3.3 Cortafuegos a Nivel de Aplicación.........................................................................14
3.4 Cortafuegos de Filtrado Dinámico de Paquetes....................................................16
3.5 Cortafuegos Híbridos.................................................................................................16

4 Servicios Adicionales Proporcionados por los Cortafuegos.......................................18
4.1. Translación de Direcciones de Red (NAT). .........................................................18
4.1.1 Translación de Direcciones de Red Estática...............................................18

4.1.2 Translación de Direcciones de Red Oculta. ...............................................18


4.1.3 Translación de Puertos...................................................................................18
4.2 Protocolo de Configuración Dinámica de Hosts (DHCP)...................................19
4.3 Redes Privadas Virtuales (VPN). ............................................................................19
4.4 Modeladores del Ancho de Banda o Reguladores................................................20
4.5 Inspección de Contenidos.........................................................................................21
4.6 Autenticación de Usuarios........................................................................................21
4.7 Alta Disponibilidad y Balanceo de Carga..............................................................22
4.8 Integración con Sistemas de Detección de Intrusos (IDS’s)...............................22

5 Un Vistazo al Futuro de los Cortafuegos.......................................................................23

6 Conclusiones.......................................................................................................................24

7 Bibliografía. ........................................................................................................................25
7.1 RFC’s. ..........................................................................................................................25
7.2 URL’s...........................................................................................................................26
7.3 Libros...........................................................................................................................27

Curso de Experto Universitario en Seguridad y Comercio Electrónico



Cortafuegos. Comparativa y Funcionalidades. 3



1 Introducción.

Los primeros dispositivos cortafuegos aparecieron en la mitad de la década de los 80.
Desde esos primeros Cortafuegos que implementaban simples y rudimentarios filtros
de paquetes hasta los actuales dispositivos capaces de analizar simultáneamente la
actividad en múltiples capas de la red, la tecnología ha evolucionado mucho creando
herramientas más sofisticadas y más seguras. La popularización de Internet ha
originado múltiples problemas de seguridad hasta el punto en que, hoy por hoy, esta
inseguridad inherente a la red es, según todos los expertos, el principal obstáculo para
el éxito de las actividades de Comercio Electrónico. El Cortafuegos se ha convertido,
de esta forma, en un dispositivo indispensable dentro de la arquitectura de cualquier
red de ordenadores que tenga acceso a Internet.



Aparición de
los primeros
Cortafuegos
de filtrado
de paquetes

Cortafuegos
a nivel de
aplicación

Cortafuegos
de Inspección
de estados

Filtrado
Dinámico
de Paquetes

Kernel
Proxys

1980

1990

2000



Fig. 1. Eje Cronológico de la Evolución de los Cortafuegos.


Este documento presenta información sobre los distintos esquemas usados por los
dispositivos cortafuegos en la actualidad. Nos centramos en el, sobre todo, en la
integración que realizan dentro del modelo OSI y la forma en que interactúan con los
protocolos de la familia TCP/IP. Su propósito es informativo y la finalidad perseguida
es tratar de aclarar la forma de actúar de los distintos modelos para que conozcamos
en que pueden ayudarnos y cual es el Cortafuegos ideal de acuerdo a nuestras
necesidades.


Aunque en algunas ocasiones es bastante difícil traducir términos que no son
habituales, se ha tratado en todo momento de utilizar nominativos en castellano para
los dispositivos y tecnologías comentados en este documento. No obstante, para evitar
la dificultad que supone, en muchas ocasiones, identificar términos que estamos tan
acostumbrados a ve en inglés, se cita siempre al menos una vez el término anglosajón
más comúnmente usado. Las siglas se utilizan siempre en su terminología inglesa
(VPN en lugar de RPV para referirnos a las Redes privadas Virtuales o IDS en lugar
de SDI para los Sistemas de Detección de Intrusos).


La organización del documento es como sigue:

En el capítulo 2 se hace una breve semblanza para tomar conciencia de las
debilidades inherentes a TCP/IP y de cuales de ellas puede defendernos un
cortafuegos.



Curso de Experto Universitario en Seguridad y Comercio Electrónico



Cortafuegos. Comparativa y Funcionalidades. 4


El capítulo 3, corazón de este documento, está dedicado a discutir las diferencias

existentes entre los principales tipos de cortafuegos existentes en el mercado.


El capítulo 4 enumera y describe brevemente algunos de los servicios adicionales
que incluyen los modernos cortafuegos y que nos pueden proporcionar evidentes
ventajas en la protección y administración de nuestra red.


El capítulo 5 pretende mirar hacia el futuro de los cortafuegos: si su principal razón
de ser es la debilidad de TCP/IP en su versión actúal ¿ desaparecerá su razón de ser
cuando se generalice el uso de IPSec e IPv6 ?


Por último, el capítulo 6 recoge las conclusiones que hemos tratado de sumarizar
en este documento y el capítulo 7 ofrece multitud de documentación, en su mayor
parte disponible libre y gratuitamente en la red, para quien desee ampliar los temas
aquí tratados.


Curso de Experto Universitario en Seguridad y Comercio Electrónico



Cortafuegos. Comparativa y Funcionalidades. 5



2 Seguridad en la Familia de Protocolos TCP/IP.

A pesar de que la familia de protocolos TCP/IP fue desarrollada inicialmente para el
Departamento de Defensa de los Estados Unidos, existen en ella un número
considerable de graves problemas de seguridad que son inherentes al protocolo e
independientes del nivel de corrección de cualquier implementación. El hecho de que
un host confíe en algo tan vulnerable como la dirección IP que viene escrita en un
paquete como única autenticación de la procedencia de dichos datos, los casi
inexistentes mecanismos de autenticación asociados a los protocolos de rutado o la
falta de mecanismos que garanticen la confidencialidad y la integridad de los datos
que viajan a través de una red son claros ejemplos de ello.


Algunos de estos problemas pueden ser solventados mediante el uso de un
cortafuegos. Los cortafuegos, junto con los antivirus, constituyen hoy en día la
herramienta de seguridad más efectiva y ampliamente extendida a nivel corporativo (y
crece poco a poco a nivel doméstico gracias a la proliferación de cortafuegos
personales) y se revela como el único mecanismo de seguridad verdaderamente
efectivo para protegernos de est