¿Qué es un firewall?

Un firewall es un dispositivo de seguridad de la red que monitorea el tráfico de red -

entrante y saliente- y decide si permite o bloquea tráfico específico en función de un
conjunto definido de reglas de seguridad.

Los firewalls han constituido una primera línea de defensa en seguridad de la red
durante más de 25 años. Establecen una barrera entre las redes internas protegidas
y controladas en las que se puede confiar y redes externas que no son de confianza,
como Internet.

Un firewall puede ser hardware, software o ambos.

Ver tutorial

Tipos de firewall
Firewall proxy
Un firewall proxy, uno de los primeros tipos de dispositivos de firewall, funciona
como gateway de una red a otra para una aplicación específica. Los servidores
proxy pueden brindar funcionalidad adicional, como seguridad y almacenamiento
de contenido en caché, evitando las conexiones directas desde el exterior de la red.
Sin embargo, esto también puede tener un impacto en la capacidad de
procesamiento y las aplicaciones que pueden admitir.
 Firewall de inspección activa
Un firewall de inspección activa, ahora considerado un firewall “tradicional”,
permite o bloquea el tráfico en función del estado, el puerto y el protocolo. Este
firewall monitorea toda la actividad, desde la apertura de una conexión hasta su
cierre. Las decisiones de filtrado se toman de acuerdo con las reglas definidas por el
administrador y con el contexto, lo que refiere a usar información de conexiones
anteriores y paquetes que pertenecen a la misma conexión.
Firewall de administración unificada de amenazas (UTM)
Un dispositivo UTM suele combinar en forma flexible las funciones de un firewall de
inspección activa con prevención de intrusiones y antivirus. Además, puede incluir
servicios adicionales y, a menudo, administración de la nube. Los UTM se centran en
la simplicidad y la facilidad de uso.

Vea nuestros dispositivos UTM.

Firewall de próxima generación (NGFW)
Los firewalls han evolucionado más allá de la inspección activa y el filtrado simple
de paquetes. La mayoría de las empresas están implementando firewalls de
próxima generación para bloquear las amenazas modernas, como los ataques de la
capa de aplicación y el malware avanzado.

Según la definición de Gartner, Inc., un firewall de próxima generación debe incluir

lo siguiente:
 Funcionalidades de firewall estándares, como la inspección con estado

 Prevención integrada de intrusiones

 Reconocimiento y control de aplicaciones para ver y bloquear las aplicaciones peligrosas

 Rutas de actualización para incluir fuentes de información futuras

 Técnicas para abordar las amenazas de seguridad en evolución

Si bien estas funcionalidades se están convirtiendo cada vez más en el estándar
para la mayoría de las empresas, los NGFW pueden hacer más.
NGFW centrado en amenazas
Estos firewalls incluyen todas las funcionalidades de un NGFW tradicional y
también brindan funciones de detección y corrección de amenazas avanzadas. Con
un NGFW centrado en amenazas, puede hacer lo siguiente:

 Estar al tanto de cuáles son los activos que corren mayor riesgo con reconocimiento del
contexto completo
 Reaccionar rápidamente ante los ataquescon automatización de seguridad inteligente
que establece políticas y fortalece las defensas en forma dinámica
 Detectar mejor la actividad sospechosa o evasiva con correlación de eventos de
terminales y la red
 Reducir significativamente el tiempo necesario desde la detección hasta la eliminación de
la amenaza con seguridad retrospectiva que monitorea continuamente la presencia de
actividad y comportamiento sospechosos, incluso después de la inspección inicial
 Facilitar la administración y reducir la complejidad con políticas unificadas que brindan
protección en toda la secuencia del ataque

Cortafuegos (informática)
Parte de un sistema o una red que está diseñada para bloquear el acceso no autorizado

«Firewall» redirige aquí. Para la película homónima, véase Firewall (película).

Esquema de donde se localizaría un cortafuegos en una red de ordenadores.

Un ejemplo de una interfaz de usuario para un cortafuegos en Ubuntu

Un cortafuegos (firewall) es una parte de un sistema o una red que está
diseñada para bloquear el acceso no autorizado, permitiendo al mismo tiempo
comunicaciones autorizadas.
Se trata de un dispositivo o conjunto de dispositivos configurados para permitir,
limitar, cifrar, descifrar, el tráfico entre los diferentes ámbitos sobre la base de un
conjunto de normas y otros criterios.

Los cortafuegos pueden ser implementados en hardware o software, o en una

combinación de ambos. Los cortafuegos se utilizan con frecuencia para evitar que
los usuarios de Internet no autorizados tengan acceso a redes privadas
conectadas a Internet, especialmente intranets. Todos los mensajes que entren o
salgan de la intranet pasan a través del cortafuegos, que examina cada mensaje y
bloquea aquellos que no cumplen los criterios de seguridad especificados.
También es frecuente conectar el cortafuegos a una tercera red, llamada zona
desmilitarizada o DMZ, en la que se ubican los servidores de la organización que
deben permanecer accesibles desde la red exterior.
Un cortafuegos correctamente configurado añade una protección necesaria a la
red, pero que en ningún caso debe considerarse suficiente. La seguridad
informática abarca más ámbitos y más niveles de trabajo y protección.
Un firewall ( CORFAFUEGO) es un dispositivo que funciona como cortafuegos entre redes,
permitiendo o denegando las transmisiones de una red a la otra. Un uso típico es situarlo
entre una red local y la red Internet, como dispositivo de seguridad para evitar que los
intrusos puedan acceder a información confidencial.

Un firewal es simplemente un filtro que controla todas las comunicaciones que pasan de
una red a la otra y en función de lo que sean permite o deniega su paso. Para permitir o
denegar una comunicación el firewal examina el tipo de servicio al que corresponde, como
pueden ser el web, el correo o el IRC. Dependiendo del servicio el firewall decide si lo
permite o no. Además, el firewall examina si la comunicación es entrante o saliente y
dependiendo de su dirección puede permitirla o no.
De este modo un firewall puede permitir desde una red local hacia Internet servicios de web,
correo y ftp, pero no a IRC que puede ser innecesario para nuestro trabajo.

Un firewall puede ser un dispositivo software o hardware, es decir, un aparatito que se

conecta entre la red y el cable de la conexión a Internet, o bien un programa que se instala
en la máquina que tiene el modem que conecta con Internet. Incluso podemos encontrar
ordenadores computadores muy potentes y con softwares específicos que lo único que
hacen es monitorizar las comunicaciones entre redes.

TIPOS DE CORTAFUEGOS

Nivel de aplicación de pasarela:

Aplica mecanismos de seguridad para aplicaciones específicas, tales como servidores

FTP y Telnet. Esto es muy eficaz, pero puede imponer una degradación del rendimiento.

Circuito a nivel de pasarela:

Aplica mecanismos de seguridad cuando una conexión TCP o UDP es establecida. Una
vez que la conexión se ha hecho, los paquetes pueden fluir entre los anfitriones sin más
control. Permite el establecimiento de una sesión que se origine desde una zona de
mayor seguridad hacia una zona de menor seguridad.

Cortafuegos de capa de red o de filtrado de paquetes:

Funciona a nivel de red (capa 3 del modelo OSI, capa 2 del stack de protocolos TCP/IP)
como filtro de paquetes IP. A este nivel se pueden realizar filtros según los distintos
campos de los paquetes IP: dirección IP origen, dirección IP destino. A menudo en este
tipo de cortafuegos se permiten filtrados según campos de nivel de transporte (capa 3
TCP/IP, capa 4 Modelo OSI), como el puerto origen y destino, o a nivel de enlace de
datos (no existe en TCP/IP, capa 2 Modelo OSI) como la dirección MAC.

Cortafuegos de capa de aplicación:

Trabaja en el nivel de aplicación (capa 7 del modelo OSI), de manera que los filtrados se
pueden adaptar a características propias de los protocolos de este nivel. Por ejemplo, si
se trata de tráfico HTTP, se pueden realizar filtrados según la URL a la que se está
intentando acceder.
Un cortafuegos a nivel 7 de tráfico HTTP suele denominarse proxy, y permite que los
computadores de una organización entren a Internet de una forma controlada. Un proxy
oculta de manera eficaz las verdaderas direcciones de red.

Cortafuegos personal:
Es un caso particular de cortafuegos que se instala como software en un computador,
filtrando las comunicaciones entre dicho computador y el resto de la red. Se usa por tanto,
a nivel personal.

Ventajas de un cortafuegos
Bloquea el acceso a personas no autorizadas a redes privadas

Bastion host
Para otros usos de este término, véase Bastión (desambiguación).

Un bastion host (servidor bastion o pasarela de aplicaciones) es una aplicación

que se localiza en un servidor con el fin de ofrecer seguridad a la red interna, por
lo que ha sido especialmente configurado para la recepción de ataques,
generalmente provee un solo servicio (como por ejemplo un servidor proxy).
 DefiniciónEditar
Históricamente, se le llamaba bastiones a las altas partes fortificadas de los
castillos medievales; puntos que cubrían áreas críticas de defensa en caso de
invasión, usualmente teniendo murallas muy fortificadas, salas para alojar tropas,
y armas de ataque a corta distancia como ollas de aceite hirviendo para alejar a
los invasores cuando ya estaban por penetrar al castillo. Haciendo una analogía,
un bastion host es un sistema identificado por el administrador de firewall como
un punto crítico en la seguridad de la red. Generalmente, los bastion hosts
tendrán cierto grado de atención extra para configurar y diseñar su seguridad,
pudiendo tener software modificado para asegurar su buen desempeño.[1]
DiseñoEditar
A diferencia del filtro realizado a través de un router, que permite o no el flujo
directo de paquetes desde el interior al exterior de una red, los bastion hosts
(también llamados en inglés application-level gateways) permiten un flujo de
información pero no un flujo de paquetes, lo que permite una mayor seguridad de
las aplicaciones del host. El diseño del bastión consiste en decidir qué servicios
incluirá. Se podría tener un servicio diferente por host, pero esto involucraría un
costo muy elevado, pero en caso de que se pueda abordar, se podrían llegar a
tener múltiples bastion hosts para mantener seguros múltiples puntos de ataque.
Definida la cantidad de bastion hosts, se debe ahora analizar qué se instalará en
cada uno de ellos, para esto se proponen distintas estrategias:[2]
 Que la plataforma de hardware del bastion host ejecute una versión segura de su sistema
operativo, diseñado específicamente para proteger al sistema operativo de sus
vulnerabilidades y asegurar la integridad del cortafuegos.
 Instalar sólo los servicios que se consideren esenciales. La razón de esto es que si el
servicio no está instalado, éste no puede ser atacado. En general, una limitada cantidad
de aplicaciones proxy son instaladas en un bastion host.
 El bastion host podría requerir autentificación adicional antes de que un usuario ingrese
a sus servicios.
 En caso de alojar un proxy, este puede tener variadas configuraciones que ayuden a la
seguridad del bastion host, tales como: configurados para soportar sólo un subconjunto
de aplicaciones, permitiendo el acceso a determinados hosts y/o proveyendo toda la
información de los clientes que se conecten.

Tipos de bastion hostEditar

Los bastiones pueden clasificarse en tres tipos: single-homed bastion host, dual-
homed bastion host y multihomed bastion host.[3]
Single-homed bastion hostEditar
Es un dispositivo con una interfaz única de red, frecuentemente se utiliza para
una puerta de enlace (gateway)en el nivel de aplicación. El router externo está
configurado para enviar los datos al Bastion Host y los clientes internos enviar los
datos de salida al host. Finalmente el host evaluará los datos según las directrices
de seguridad.
 Dual-homed bastión hostEditar
Es un dispositivo que tiene al menos dos interfaces de red. Sirve como puerta de
enlace al nivel de aplicación y como filtro de paquetes. La ventaja de usar este
host es crear un quiebre entre las red externa e interna, lo que permite que todo
el tráfico de entrada y salida pase por el host. Este host evitará que un atacante
intenté acceder a un dispositivo interno.

Multihomed bastión hostEditar

Un Servidor Bastión interno puede ser clasificado como multihomed. Cuando la
política de seguridad requiere que todo tráfico entrante y salida sea enviado a
través de un servidor proxy, un nuevo servidor proxy debería ser creado para la
nueva aplicación streaming. Cuando se utiliza un bastión host como interno, debe
residir dentro de una organización de la red interna, en general como puerta de
acceso para recibir toda el tráfico de un bastión host externo. Lo que agrega un
nivel mayor de seguridad.

AplicacionesEditar

El uso de bastión host puede ser extendible a variados sistemas y servicios:

 Servidor web.
 Servidor DNS.
 Servidor de correo electrónico.
 Servidor FTP.
 Servidor proxy.
 Honeypot.
 Servidor de una red privada virtual.
 Deep-secure bastion.

A continuación se expone un ejemplo de una red donde se utilizan dos bastiones

host, como se observa se forma una capa adicional de seguridad entre el Internet
y la red interna. Para tener acceso a la red interna, un atacante debe pasar por el
router externo, alguno de los bastiones y el router interno. El paso por todas estas
etapas como presenta una dificultad para el atacante, es de esperar que por el
tiempo que le demore traspasar todas las capas, el administrador de red ya
debiese haber reconocido la intrusión y haber tomado una posición defensiva.[4]
Arquitectura usando dos bastion host