Un cortafuegos es una barrera para evitar que el fuego se expanda. Los edificios disponen de cortafuegos, muros de ladrillos que dividen las diferentes secciones del edificio. En un coche, un cortafuegos es la plancha de metal que separa al motor del compartimento de los pasajeros.
La misión de los cortafuegos de Internet es garantizar la seguridad de nuestro equipo ante los peligros cibernéticos de la red de área local (LAN) o bien, mantener a los miembros de esa LAN al margen de las malignas intenciones de Internet.
El primer cortafuegos en un ordenador fue una máquina Unix que no realizaba tareas de encaminamiento con conexiones a dos redes distintas.Una tarjeta de red conectada a Internet y la otra al LAN privado. Si quería acceder a Internet desde la red privada, tenía que registrarse en un servidor (Unix) de cortafuegos. Por lo tanto, se utilizaban los recursos del sistema para acceder a Internet. Por ejemplo, podría utilizar X-windows para ejecutar el navegador de Netscape con el sistema de cortafuegos y poder usarlo en una estación de trabajo. Con el navegador ejecutado en el cortafuegos se tiene acceso a dos redes.
Este tipo de sistema de origen dual (un sistema con dos conexiones de red) es muy bueno si tiene PLENA CONFIANZA en todos sus usuarios. Se puede instalar un sistema Linux y darle una cuenta a todo aquel que quiera tener acceso a Internet. Con esta instalación, el único computador de su red privada que conoce todo sobre el mundo exterior es el cortafuegos. Nadie puede descargar en su computador directamente. Primero deberá descargar el fichero al cortafuegos y después descargarlo del cortafuegos a sus estación de trabajo.
IMPORTANTE: El 99% de las instrusiones comienza con el acceso al sistema que se va a atacar. Por esta razón, no se recomienda este tipo de cortafuegos, además de que es muy limitado.
No crea que lo único que necesita es una máquina de cortafuegos. Establezca las políticas primero.
Los cortafuegos se utilizan con dos objetivos:
para denegar el acceso a los piratas y gusanos
para permitir el acceso a empleados, niños, etc.
Cuando empecé a trabajar con los cortafuegos, me llamó la atención ver que la empresa estaba más interesada en espiar a sus empleados que en denegar a su red el acceso a los piratas.
Al menos en el estado de Oklahoma, los empresarios tienen derecho a hacer llamadas telefónicas y acceder a Internet siempre y cuando se informa de ello a los empleados.
El Gran Hermano no es el gobierno. Gran Hermano = Gran Negocio.
No me malinterpreten. La gente debe trabajar, y no dedicarse a jugar durante las horas de trabajo. En mi opinión, se está dejando a un lado cada vez más la ética del trabajo. No obstante, también he observado que son los mismos encargados los primeros que no cumplen las normas. He visto trabajadores por hora que han sido reprendidos por utilizar Internet para buscar el recorrido del autobus del trabajo a casa, mientras que los mismos directores durante horas de trabajo se dedicaban a buscar buenos restaurantes y salas de fiesta para llevar a sus futuros clientes.
Mi error antes este tipo de abusos es publicar un acceso a cortafuegos en una página web para que todo el mundo lo pueda leer.
La cuestión de la seguridad puede ser escalofriante. Si es usted un administrador de cortafuegos, cúbrase las espaldas.
Hay muchos artículos en los que se explica cómo crear una política de seguridad. Después de muchos años de experiencia, les puedo recomendar que no se fíen en absoluto. Crear una política de seguridad es algo muy simple:
describa para qué es el servicio
describa el grupo de personas a las que va dirigido el servicio
describa a qué servicio necesita acceder cada grupo
describa, para cada grupo de servicio, cómo se puede mantener seguro el servicio
redacte un informe en el que se considere violación cualquier otro tipo de acceso
Esta política se irá haciendo cada vez más compleja, no intente abarcar demasiado en este punto. Procure que sea sencilla y clara.
Hay dos tipos de cortafuegos.
Cortafuegos de filtrado - que evitará el acceso no autorizado a determinados paquetes de la red.
Sevidores Proxies (a veces llamados cortafuegos) - encargados de establecer las conexiones a la red.
El Filtrado de Paquetes es el tipo de cortafuegos integrado en el núcleo de Linux.
Un cortafuegos de filtrado trabaja a nivel de red. Los datos salen del sistema sólo si las reglas del cortafuegos se lo permiten. Cuando los paquetes llegan son filtrados atendiendo al protocolo utilizado, la dirección fuente y destino, y la información que sobre el puerto viene contenida en cada paquete.
Muchos encaminadores o routers de red tienen la posibilidad de desarrollar servicios cortafuegos. Los cortafuegos de filtrado nos los podemos imaginar como un tipo de encaminador. Por este motivo Usted necesitará tener un profundo conocimiento de la estructura de los paquetes IP para trabajar con uno.
Puesto que son muy pocos los datos que se analizan y registran, los cortafuegos de filtrado de paquetes requieren menos CPU y crean menos latencia en su red.
Los cortafuegos de filtrado no prevén los controles mediante el uso de contraseña. Los usuarios no pueden identificarse. Lo único que identifica a un usuario es el número IP asignado a su estación de trabajo. Esto puede convertirse en un problema is usted tiene la intención de usar DHCP (Dynamic IP assignments). Esto se debe a que las reglas se basan en los números IP que tendrá que ajustar a las reglas cuando se asignen los nuevos números IP. Desconozco la forma de automatizar este proceso.
Los cortafuegos de filtrado resultan más transparentes para el usuario, que no tiene que establecer reglas en sus aplicaciones para acceder a Internet. No sucede los mismo con la mayoría de los servidores proxy.
Este tipo de servidores se usa principalmente para controlar, o supervisar, el tráfico hacia el exterior. Algunos proxy de aplicación almacenan en una memoria de almacenamiento intermedio una copia local de los datos solicitados. Esto reduce el ancho de banda preciso y acelera el acceso a los mismos datos para el siguiente usuario. Ofrece una inequívoca prueba de lo que fue transferido.
Existen dos tipos de servidores proxy
Servidores proxy de aplicación - son los que hacen el trabajo por Usted.
Servidores proxy SOCKS - establecen conexiones entre puertos.
El mejor ejemplo es el de una persona que se comunica con otro computador y, desde allí, establece contacto con el mundo exterior. Con un servidor proxy de aplicación el proceso se automatiza. Cuando usted se comunica con el mundo exterior el cliente le envía a Usted primero al servidor proxy. El servidor proxy establece la comunicación con el servidor que ha solicitado (el mundo exterior) y le devuelve los datos.
Los servidores proxy se encargan de manejar todas las comunicaciones, característica que le permite registrar todo lo que ellos (usted) haga. Los servidores proxy HTTP (web) tienen muy en cuenta las URL que ellos o usted visiten. Los proxy FTP incluyen cada fichero que usted descargue. Incluso pueden filtrar las palabras «inapropiadas» de los sitios que visite o escanear esos lugares en busca de virus.
Los servidores proxy de aplicación pueden autenticar a los usuarios. Antes de establecer una conexión con el exterior, el servidor le puede pedir que se identifique primero. A un usuario de la red le pediría una identificación para cada sitio que visite.
Un servidor proxy SOCKS se parece bastante a un panel de conmutación. Tan sólo establece la conexión entre su sistema y otro sistema externo.
La mayoría de los servidores SOCKS presentan el inconveniente de que sólo trabajan con conexiones del tipo TCP y como cortafuegos no suministran autenticación para los usuarios. Sin embargo, su ventaja es que registran los sitios a los que cada usuario se ha conectado.