FireWall


¿Qué es una red firewall? 
Se puede definir de una forma simple una red firewall, como aquel sistema o conjunto combinado de sistemas que crean una barrera segura entre 2 redes. 

¿Por qué utilizar una red firewall? 
El propósito de las redes firewall es mantener a los intrusos fuera del alcance de los trabajos que son propiedad de uno. Frecuentemente, una red firewall puede actuar como una empresa embajadora de Internet. Muchas empresas usan su sistema firewall como un lugar donde poder almacenar información pública acerca de los productos de la empresa, ficheros que pueden ser recuperados por personal de la empresa y otra información de interés para los miembros de la misma. Muchos de estos sistemas han llegado a ser partes importantes de la estructura de servicios de Internet (entre los ejemplos encontrados tenemos: UUnet.uu.net, whitehouse.gov, gatekeeper.dec.com).

¿Contra qué puede proteger una red firewall? 
Algunas firewall solamente permiten tráfico de correo a través de ellas, de modo que protegen de cualquier ataque sobre la red distinto de un servicio de correo electrónico. Otras firewall proporcionan menos restricciones y bloquean servicios que son conocidos por sus constantes problemas de intrusión.
Generalmente, las firewalls están configuradas para proteger contra "logins" interactivos sin autorización expresa, desde cualquier parte del mundo. Esto, ayuda principalmente, a prevenir actos de vandalismos en máquinas y software de nuestra red. Redes firewalls más elaboradas bloquean el tráfico de fuera a dentro, permitiendo a los usuarios del interior, comunicarse libremente con los usuarios del exterior. Las redes firewall, puede protegernos de cualquier tipo de ataque a la red, siempre y cuando se configuren para ello. Las redes firewall son también un buen sistema de seguridad a la hora de controlar estadísticas de usuarios que intentaron conectarse y no lo consiguieron, tráfico que atravesó la misma, etc... Esto proporciona un sistema muy cómodo de auditar la red.

¿Contra qué NO puede proteger una red firewall? 
Las redes firewall no pueden protegernos de ataques que se producen por cauces distintos de la red firewall instalada. Muchas organizaciones que están aterradas con las conexiones que se puedan producir a través de Internet no tienen coherencia política a la hora de protegerse de invasiones a través de modems con acceso vía teléfono. Es estúpido poner una puerta de acero de 6 pulgadas de espesor si se vive en una casa de madera, pero por desgracia, algunas empresas se gastan mucho dinero en comprar redes firewall caras, descuidando después las numerosas aberturas por las que se puede colar un intruso (lo que se llaman "back-doors" o "puertas traseras"). Para que una firewall tenga una efectividad completa, debe ser una parte consistente en la arquitectura de seguridad de la empresa. Por ejemplo, una organización que posea datos clasificados o de alto secreto, no necesita una red firewall: En primer lugar, ellos no deberían engancharse a Internet, o los sistemas con los datos realmente secretos deberían ser aislados del resto de la red corporativa.
Otra cosa contra la que las firewalls no pueden luchar, son contra los traidores y estúpidos que haya en la propia organización. Es evidente, que de nada sirve que se instale una firewall para proteger nuestra red, si existen personas dentro de la misma que se dedican a traspasar información a través de disquetes (por poner un ejemplo) a empresas espías.

¿Qué ocurre con los virus?
Las redes firewalls no pueden protegernos muy bien contra los virus. Hay demasiados modos de codificación binaria de ficheros para transmitirlos a través de la red y también son demasiadas las diferentes arquitecturas y virus que intentan introducirse en ellas. En el tema de los virus, la mayor responsabilidad recae como casi siempre en los usuarios de la red, los cuales deberían tener una gran control sobre los programas que ejecutan y donde se ejecutan.

¿Cuales son algunas de las decisiones básicas al adquirir una red firewall? 
Hay una serie de asuntos básicos que hay que tratar en el momento de que una persona toma la responsabilidad (o se la asignan), de diseñar, especificar e implementar o supervisar la instalación de una firewall.
El primero y más importante, es reflejar la política con la que la compañía u organización quiere trabajar con el sistema: ¿Se destina la firewall para denegar todos los servicios excepto aquellos críticos para la misión de conectarse a la red? o ¿Se destina la firewall para proporcionar un método de medición y auditoria de los accesos no autorizados a la red?
El segundo es: ¿Qué nivel de vigilancia, redundancia y control queremos? Hay que establecer una nivel de riesgo aceptable para resolver el primer asunto tratado, para ellos se pueden establecer una lista de comprobación de los que debería ser vigilado, permitido y denegado. En otras palabras, se empieza buscando una serie de objetivos y entonces se combina un análisis de necesidades con una estimación de riesgos para llegar a una lista en la que se especifique los que realmente se puede implementar.
El tercer asunto es financiero. Es importante intentar cuantificar y proponer soluciones en términos de cuanto cuesta comprar o implementar tal cosa o tal otra. Por ejemplo, un producto completo de red firewall puede costar 100.000 dólares. Pero este precio se trata de una firewall de alta resolución final. Si no se busca tanta resolución final, existen otras alternativas mucho más baratas. A veces lo realmente necesario no es gastarse mucho dinero en una firewall muy potente, sino perder tiempo en evaluar las necesidades y encontrar una firewall que se adapte a ellas.
En cuanto al asunto técnico, se debe tomar la decisión de colocar una máquina desprotegida en el exterior de la red para correr servicios proxy tales como telnet, ftp, news, etc.., o bien colocar un router cribador a modo de filtro, que permita comunicaciones con una o más máquinas internas. Hay sus ventajas e inconvenientes en ambas opciones, con una máquina proxy se proporciona un gran nivel de auditoria y seguridad en cambio se incrementan los coste de configuración y se decrementa el nivel de servicio que pueden proporcionar.

¿Cuales son los tipos básicos de redes firewall? 
Conceptualmente, hay dos tipos de firewalls:

No hay tantas diferencias entre los dos tipos como se podría pensar. Además las últimas tecnologías no aportan claridad para distinguirlas hasta el punto que no está claro cual es mejor y cual es peor. Pero en cualquier caso, se deberá prestar atención y poner mucho cuidado a la hora de instalar la que realmente se necesita en nuestra organización.
Las firewalls a nivel de red generalmente, toman las decisiones basándose en la fuente, dirección de destino y puertos, todo ello en paquetes individuales IP. Un simple router es un "tradicional" firewall a nivel de red, particularmente, desde el momento que no puede tomar decisiones sofisticadas en relación con quién está hablando un paquete ahora o desde donde está llegando en este momento. Las modernas firewall a nivel de red se han sofisticado ampliamente, y ahora mantienen información interna sobre el estado de las conexiones que están pasando a través de ellas, los contenidos de algunos datagramas y más cosas. Un aspecto importante que distingue a las firewall a nivel de red es que ellas encaminan el tráfico directamente a través de ellas, de forma que un usuario cualquiera necesita tener un bloque válido de dirección IP asignado. Las firewalls a nivel de red tienden a ser más veloces y más transparentes a los usuarios.

El futuro de las firewalls se encuentra a medio camino entre las firewalls a nivel de red y las firewalls a nivel de aplicación. El resultado final de los estudios que se hagan será un sistema rápido de protección de paquetes que conecte y audite datos que pasan a través de el. Cada vez más, las firewalls (tanto a nivel de red como de aplicación), incorporan encriptación de modo que, pueden proteger el tráfico que se produce entre ellas e Internet. Las firewalls con encriptación extremo-a-extremo (end-to-end), se puede usar por organizaciones con múltiples puntos de conexión a Internet , para conseguir utilizar Internet como una "central privada" donde no sea necesario preocuparse de que los datos o contraseñas puedan ser capturadas.

¿Qué son los servidores proxy y como trabajan? 
Un servidor proxy (algunas veces se hace referencia a el con el nombre de "gateway" - puerta de comunicación - o "forwarder" - agente de transporte -), es una aplicación que media en el tráfico que se produce entre una red protegida e Internet. Los proxies se utilizan a menudo, como sustitutos de routers controladores de tráfico, para prevenir el tráfico que pasa directamente entre las redes. Muchos proxies contienen logines auxiliares y soportan la autentificación de usuarios. Un proxy debe entender el protocolo de la aplicación que está siendo usada, aunque también pueden implementar protocolos específicos de seguridad (por ejemplo: un proxy FTP puede ser configurado para permitir FTP entrante y bloquear FTP saliente).
Los servidores proxy, son aplicaciones específicas. Un conjunto muy conocido de servidores proxy son los TIS Internet Firewall Toolkit "FWTK", que incluyen proxies para Telnet, rlogin, FTP, X-Windows, http/Web, y NNTP/Usenet news. SOCKS es un sistema proxy genéricos que puede ser compilado en una aplicación cliente para hacerla trabajar a través de una firewall.

¿Cómo podemos hacer para que trabajen la Web/http con una firewall?
Hay 3 formas de conseguirlo:

¿Cómo podemos hacer para que trabaje FTP a través de una firewall?
Generalmente, se consigue usando un servidor proxy tal como el "firewall toolkit's ftp-gw" o bien realizando alguna de las dos operaciones siguientes: 

¿Cómo podemos hacer para que trabaje Telnet a través de una firewall?
Telnet se soporta habitualmente, usando una aplicación proxy tal como "firewall toolkit's tn-gw, o simplemente configurando un router que permita las conexiones salientes usando alguna clase de reglas de protección preestablecidas. 

¿Qué ocurre con la denegación del servicio?
La denegación del servicio se produce cuanto alguien decice hacer inútil tu red o firewall por desestabilización, colisión, atasco o colapso en la misma. El problema con la denegación de servicio en Internet es que es imposible prevenirlo. La razón biene, por la distribución natural de la red: cada nodo está conectado via otra red la cual está conectada a otra red, etc... Un administrador de firewall o ISP sólo tiene control sobre unos pocos elementos locales dentro del radio de acción. 

 

Perspectiva de gestión de una firewall

Nivel de esfuerzo para mantener una firewall típica:
Las típicas firewalls, requieren requieren alrededor de 1 hora a la semana de mantenimiento. Esto es, sin contar el tiempo relativo a Internet que el administrador de una firewall gastará. La conectividad con Internet trae consigo la necesidad de que alguien actúe como administrador de correo electrónico para Email, Webmaster, gestor de FTP y gestor de noticias USENET. Estas tareas requieren tiempo y pueden llegar a ser un trabajo a tiempo completo para una única persona. 

Construirte tu propia firewall.
Hay numerosas herramientas disponibles para construirte tu propia firewall. "Trusted Information Systems", "Inc's Internet Firewall Toolkit", son un ejemplo de implementación de un conjunto de aplicaciones proxies. Si tu estás construyendo tu propio firewall usando un router o una router y su herramienta de desarrollo, tu puedes tener ventajas para la protección del router al construirla. Los libros de Brent Chapman y Elizabeth Zwicky's describen algunos métodos sobre configuración de un router protegido en una firewall. A menos que una persona se ofrezca sin cobrar para construir una firewall, tener contratada a una persona durante una semana en la construcción de una firewall es un conste inútil. Además habría que proporcionar un soporte técnico para el futuro lo cual incrementaría el coste. En años anteriores, había una gran variedad de firewalls comerciales disponibles, y muchas compañías contrataban a consultores para que les construyeran las firewalls. Hoy en dia, no es una buena opción seguir realizando esto, si tenemos en cuenta que el coste de contratar un consultor eventual que nos construya la firewall es superior al de comprar una firewall comercial terminada.

 

Conocimientos de seguridad

¿Cómo sabemos si una firewall es segura?
Es muy difícil saberlo, dado que no hay tests formales que puedan ser fácilmente aplicados a algo tan flexible como una firewall. Una moraleja dice que cuanto mayor tráfico de entrada y salida permite una firewall, menor será su resistencia contra los ataques externos. La única firewall que es absolutamente segura es aquella que está apagada. Si usted está preocupado sobre la calidad de una firewall de un vendedor particular, use el sentido común y hágale preguntas del tipo siguiente:

Un vendedor debería claramente explicarle como se diseñó la firewall en concepto de seguridad. No acepte insinuaciones acerca de que los productos de la competencia son inseguros sin habernos explicado la seguridad de producto en cuestión.
Una pregunta tópica: ¿Más caro equivale a más seguro?
Un error común en las firewalls es pensar que pagando más en una firewall cara se consigue más seguridad en la misma. Hay que pensar que si el coste de una firewall es 2 veces superior al de otra, el vendedor tendría que ser capaz de explicarnos por qué dichos producto es 2 veces mejor que el otro.

¿Cómo es una típica instalación de firewall?
La mayoría de la firewalls solía ser vendidas como paquetes de consulta. Cuando una firewall era vendida, parte de su coste se destinaba a instalación y soporte, generalmente, involucrando a un consultor que proporcionaba el vendedor, para ayudar en la instalación. En los "malos días" muchas de las empresas que estaban conectadas a Internet, no tenían expertos en TCP/IP local, de modo que los instaladores de las firewalls, a menudo tenían que dedicar tiempo a configurar los routers y correo electrónico (tareas que deberían haber sido realizadas por el administrador interno de DNS). Algunos vendedores continúan proporcionando tal nivel de servicios mientras que otros, simplemente proporcionan servicio sobre la instalación de su producto.
Típicamente, cuando se instala una firewall, la conexión a Internet debe estar realizada, pero no tiene que estar conectada a la red protegida. El instalador de la firewall, llega, testea las funciones básicas de la máquina y entonces puede dirigir una reunión en la que se detallen los pasos a seguir en la configuración de la firewall:

Una vez que el instalador tiene una buena base para la configuración de la firewall, entonces se conecta a Internet y testea que las operaciones con la red sean correctas. En ese momento se instalan y chequean las reglas para el control de acceso a la firewall y se conectan a la red protegida. Además de realizan, generalmente, algunas operaciones típicas como acceso a Web, recepción y envío de correo electrónico, etc.. Cuando todos los controles son correcto entonces ya se puede decir que uno está en Internet.

¿Qué vendedores proporcionan servicio de firewall?
Muchos vendedores, proporcionan alguna clase de soporte periódico para preguntas básicas relacionadas con las firewalls. Algunos vendedores incluso proporcionan servicio a distancia mediante la utilización del correo electrónico.
Algunas proveedores de servicios Internet ofrecen un soporte de firewall como parte del servicio de conexión a Internet. Para organizaciones que son novatas en el uso de TCP/IP o que tienen prisa, es una opción atractiva, dado que un mismo vendedor proporcionar soporte de red, de alquiler de linea y de firewall. 
Una cosa importante que proporciona un vendedor con respecto a las firewalls, es un entendimiento de como hacer una política sensata de seguridad. A menos que se sea un verdadero entendido en la materia es mejor dejarse aconsejar antes de lanzarse a la aventura. Cuando un vendedor proporcione soporte de firewall, esté podrá guiarnos a través de la configuración de la firewall para que evitemos ataques externos.
¿Qué vendedores no proporcionan servicio de firewall?
Los vendedores, típicamente, no configuran sistemas de herencia interna para trabajar con la firewall. Por ejemplo, muchas firewalls asumen que hay que hablar a Internet por un lado y a la red TCP/IP por el otro. Generalmente, es responsabilidad del cliente, tener sistemas TCP/IP aptos para interactuar con firewall. Para Email, la mayoría de las firewalls soportan solamente SMTP(Simple Mail Transfer Protocol) y es responsabilidad del cliente tener un simple compatible con SMTP en algún lugar de la red. A menos que se esté comprando una firewall desde un proveedor de servicios Internet, es responsabilidad del cliente tener una clase de direcciones de red C IP y un nombre de dominio localizado.

¿Qué preguntas han de realizarse a un vendedor de firewall?
Algunas de las preguntas que se le pueden hacer a un comprador son las siguientes:

Seguridad: 

Credenciales corporativas: 

Soporte e ingeniería: 

Documentación: 

Funcionamiento: 

Glosario de términos relacionados con firewall.

Bibliografía de interés, acerca de firewall.
En cuanto a la bibliografía que recomendamos acerca de firewall, existen 2 libros interesantes, pero que se encuentran en ingles, son los siguientes: