TIPOS DE FIREWALL Por su arquitectura o forma de implementacin, los firewalls se pueden clasificar de las siguientes formas: Filtrado de paquetes,

Screen Router o de capa de red: Este tipo de firewalls posee uno de los modelos ms sencillos y antiguos en la capacidad realizar un enrutado selectivo, trabajan a nivel de Transporte y de Red del modelo OSI y se encuentran conectados en ambos permetos de la red. A este nivel se pueden realizar filtros segn los campos de los paquetes IP (direccin IP de origen y direccin IP destino), a nivel cuatro (puerto origen y puerto destino) y anivel de enlace de datos o capa de dos (direccin MAC).

Presenta limitaciones en cuanto a la proteccin de capas superiores a nivel OSI y soporte de polticas de seguridad complejas como autentificacin de usuarios o listas de control de acceso. Como contraparte la gran ventaja es que suelen ser econmicos, transparente para los usuarios y poseen un alto nivel de desempeo.

Proxy-Gateway o capa de aplicacin: Este tipo de firewall trabaja a nivel de aplicacin o capa 7 del modelos OSI de manera que se puede implementar filtrados especficos aprovechando caractersticas del protocolo de este nivel. La utilizacin de este servidor intermediario entre el cliente y entre el cliente y el servidor real sigue siendo transparente para el usuario. Como por ejemplo, un servidor de proxy cache permite un conjunto de computadoras establecer una conexin web limitando el trfico HTTP mediante su anlisis, restringiendo los accesos segn URLs y o contenido que violen las reglas de seguridad. Una buena implementacin de un proxy cache es la utilizacin de la herramienta open source Squid, disponible en http://www.squid-cache.org en su versin 3.0 (estable desde diciembre de 2007), o desde los repositorios oficiales de Ubuntu en su versin 2.6-14. Squid permite aadir seguridad a nivel filtrado de trfico, estableciendo reglas de control de acceso a partir de los archivos de configuracin (generalmente ubicados en /etc/squid/squid.conf). Squid

se puede combinar con la aplicacin SquidGuard para facilitar el manejo de prohibicin de acceso a las pginas mediante el uso de listas negras simplemente modificando una lnea en el archivo de configuracin de Squid.

redirect_program/usr/bin/squidGuard c /etc/squid/squidGuard.conf Una vez obtenida la lista negra, se deber copier en el directorio especificado en el archive de configuracin de squidguard (generalmente ubicaco en etc/squid/squidGuard.conf) que por defecto posee las siguientes lneas definidas: dbhome logdir /var/lib/squidguard/db /var/log/squid

Donde se definen en primer lugar la ubicacin de las listas de pginas prohibidas y en segundo lugar donde sern escritos los mensajes del Squid. Otro ejemplo no tan divulgado como el anterior pero no por eso menos importante es la implementacin de un servidor de mail relay para actuar en forma similar al proxy web pro con el trfico SMTP para de esta manera eliminar los mails denominados SPAM entrantes mediante diversas reglas antes de que sean entregados a los mailbox finales.

Dual Homed Host Esta arquitectura consiste en un nico equipo que implementa funciones de filtrado a nivel de red como de aplicacin, mediante el uso de dos interfaces conectadas lgica y fsicamente a ambos segmentos de red distintos (la red interna o privada y la red externa o interne). Al igual que la plataforma anterior, la clave de seguridad se encuentra en bloquear el ruteo de paquetes de forma directa obligando establecer las conexiones siempre usando este proxy o host bastion intermediario (es por eso que el sistema debe ejecutar por lo menos un servidor proxy por servicio). Esta arquitectura es mucho ms segura que la anterior aunque igualmente presenta grandes desventajas ya que si el servidor es traspasado la totalidad de la red interna queda sin proteccin.

Screened Host Para escalar un nivel ms en trminos de seguridad, se presenta la arquitectura de screened host, donde son combinadas dos de las alternativas anteriores (Screening Router y Dual Homed Host) donde en una primera instancia se filtran paquetes mediante el router y en la segunda lnea de defensa se sita el host bastion con un reducido nmero de servicios publicados hacia el exterior. Entonces, el router se encuentra configurado para dirigir todo el trfico de la red externa al host bastion (lo nico que se puede acceder desde el exterior, y este mismo dirige todo el trfico de la red interna hacia el router (nico vnculo con el exterior).

Ahora, existen dos alternativas para situar e router: Antes o despus del host bastion. Muchos autores recomiendan ubicar el router como se indica en la figura anterior (entre la red externa y el host bastion, pero otros autores defienden exactamente la idea contraria sosteniendo que el router en medio no provoca una degradacin en la seguridad del sistema. De todas maneras es ms fcil para el administrador del sistema instalar y administrar un router del lado externo que mantener un host en esa primera lnea (por ms que se intente, es muy difcil ofrecer menos servicios en un host mnimamente configurado que en un IOS de algn router Cisco). Screened Subnet La arquitectura de Screened Subnet, o ms conocida como De-militarized Zone, zona desmilitarizada o simplemente DMZ, es actualmente la ms utilizada e implementada ya que incrementa el nivel de seguridad agregando una subred intermedia entre las redes externa e interna, donde se ubican los servidores y servicios pblicos (como http,ftp, correo, etc.) y se evita tener un nico punto dbil como en el caso del host bastion. Para este caso es necesario aumentar la complejidad de la configuracin anterior ubicando dos router (uno en cada lado de los servidores pblicos). El router conectado al exterior (generalmente internet) es el encargado de bloquear el trfico no deseado entre la red perimetral y la DMZ, mientras que el router interior tiene el mismo objetivo pero entre DMZ y la red interna. De esta forma, el atacante debe romper la seguridad de ambos routers para acceder a la red privada. Tambin se puede aumentar los niveles de seguridad (a un modo paranoico) donde se definen varias redes perimtricas en serie desde los servicios que requieren menos fiabilidad y hacia la red interna.

Firewall Personal Un caso particular de firewall es el que se instala como software (diseado para usuarios finaes) en una mquina, donde se filtran las comunicaciones entre dicha computadora y el resto de la red. Varias aplicaciones son conocidas y probadas, generalmente interfaces

grficas que utilizan el sistema de Iptables-Netfilter incluido en el Kernel Linux. Sin entrar en detalle de su instalacin y uso, el Firestarter es una herramienta de firewall personal y el cdigo abierto que usa este tipo de sistemas y posee una aplicacin grfica de fcil configuracin para definir reglas de loqueo y otras opciones, adems de permitir el monitoreo de todo trfico de red de sistema, eventos generados por ejemplo, por intentos de intrusin, redireccionamiento de puertos, comparticin de conexiones de internet y el servicio DHCP.

Libro http://books.google.com.mx/books?id=o3war7zFg8C&pg=PA72&dq=tipos+de+cortafuegos&hl=es&sa=X&ei=Z67HT4meHoSu8QSlkWQDw&ved=0CD0Q6AEwAg#v=onepage&q&f=true Seguridad Informtica Tcnicas de defensa comunes bajo variantes del sitema operativo Unix Autor: Juan Pablo Sarubbi Director: Javier Blanqu Universidad Nacional de Lujn Int. Ruta 5 y 7 6700 Lujn, Buenos Aires Repb lica Argentina Ao 2008