1.- Cortafuegos: 2.- Cortafuegos software y hardware: Jorge García Delgado

Transcripción

1 1.- Cortafuegos: Concepto. Utilización de cortafuegos Historia de los cortafuegos Funciones principales de un cortafuegos: o Filtrado de paquetes de datos. o Filtrado por aplicación. o Reglas de filtrado. o Registros de sucesos de un cortafuegos Listas de control de acceso (ACL) Ventajas y Limitaciones de los cortafuegos Políticas de cortafuegos Tipos de cortafuegos. o Clasificación por ubicación. o Clasificación por tecnología Arquitectura de cortafuegos Pruebas de funcionamiento. Sondeo. 2.- Cortafuegos software y hardware: Cortafuegos software integrados en los sistemas operativos Cortafuegos software libres y propietarios Distribuciones libres para implementar cortafuegos en máquinas dedicadas Cortafuegos hardware. Gestión Unificada de Amenazas Firewall UTM (Unified Threat Management).

2 1.1.- Concepto. Utilización de cortafuegos. Un cortafuegos (firewall) es una parte de un sistema o una red que está diseñada para bloquear el acceso no autorizado, permitiendo al mismo tiempo comunicaciones autorizadas. Se trata de un dispositivo o conjunto de dispositivos configurados para permitir, limitar, cifrar, descifrar, el tráfico entre los diferentes ámbitos sobre la base de un conjunto de normas y otros criterios. Los cortafuegos pueden ser implementados en hardware o software, o una combinación de ambos. Los cortafuegos se utilizan con frecuencia para evitar que los usuarios de Internet no autorizados tengan acceso a redes privadas conectadas a Internet, especialmente intranets. Todos los mensajes que entren o salgan de la intranet pasan a través del cortafuegos, que examina cada mensaje y bloquea aquellos que no cumplen los criterios de seguridad especificados. También es frecuente conectar al cortafuegos a una tercera red, llamada Zona desmilitarizada o DMZ, en la que se ubican los servidores de la organización que deben permanecer accesibles desde la red exterior. Un cortafuegos correctamente configurado añade una protección necesaria a la red, pero que en ningún caso debe considerarse suficiente. La seguridad informática abarca más ámbitos y más niveles de trabajo y protección Historia de los cortafuegos. El término "firewall / fireblock" significaba originalmente una pared para confinar un incendio o riesgo potencial de incendio en un edificio. La tecnología de los cortafuegos surgió a finales de 1980, cuando Internet era una tecnología bastante nueva en cuanto a su uso global y la conectividad. Los predecesores de los cortafuegos para la seguridad de la red fueron los routers utilizados a finales de 1980, que mantenían a las redes separadas unas de otras. La visión de Internet como una comunidad relativamente pequeña de usuarios con máquinas compatibles, que valoraba la predisposición para el intercambio y la colaboración, terminó con una serie de importantes violaciones de seguridad de Internet que se produjo a finales de los 80: Clifford Stoll, que descubrió la forma de manipular el sistema de espionaje alemán. Bill Cheswick, cuando en 1992 instaló una cárcel simple electrónica para observar a un atacante. En 1988, un empleado del Centro de Investigación Ames de la NASA, en California, envió una nota por correo electrónico a sus colegas que decía: Estamos bajo el ataque de un virus de Internet! Ha llegado a Berkeley, UC San Diego, Lawrence Livermore, Stanford y la NASA Ames." El Gusano Morris, que se extendió a través de múltiples vulnerabilidades en las máquinas de la época. Aunque no era malicioso, el gusano Morris fue el primer ataque a gran escala sobre la seguridad en Internet; la red no esperaba ni estaba preparada para hacer frente a su ataque.

3 Primera generación cortafuegos de red: filtrado de paquetes El primer documento publicado para la tecnología firewall data de 1988, cuando el equipo de ingenieros Digital Equipment Corporation (DEC) desarrolló los sistemas de filtro conocidos como cortafuegos de filtrado de paquetes. Este sistema, bastante básico, fue la primera generación de lo que se convertiría en una característica más técnica y evolucionada de la seguridad de Internet. En AT&T Bell, Bill Cheswick y Steve Bellovin, continuaban sus investigaciones en el filtrado de paquetes y desarrollaron un modelo de trabajo para su propia empresa, con base en su arquitectura original de la primera generación. El filtrado de paquetes actúa mediante la inspección de los paquetes (que representan la unidad básica de transferencia de datos entre ordenadores en Internet). Si un paquete coincide con el conjunto de reglas del filtro, el paquete se reducirá (descarte silencioso) o será rechazado (desprendiéndose de él y enviando una respuesta de error al emisor). Este tipo de filtrado de paquetes no presta atención a si el paquete es parte de una secuencia existente de tráfico. En su lugar, se filtra cada paquete basándose únicamente en la información contenida en el paquete en sí (por lo general utiliza una combinación del emisor del paquete y la dirección de destino, su protocolo, y, en el tráfico TCP y UDP, el número de puerto). Los protocolos TCP y UDP comprenden la mayor parte de comunicación a través de Internet, utilizando por convención puertos bien conocidos para determinados tipos de tráfico, por lo que un filtro de paquetes puede distinguir entre ambos tipos de tráfico (ya sean navegación web, impresión remota, envío y recepción de correo electrónico, transferencia de archivos ); a menos que las máquinas a cada lado del filtro de paquetes son a la vez utilizando los mismos puertos no estándar. El filtrado de paquetes llevado a cabo por un cortafuegos actúa en las tres primeras capas del modelo de referencia OSI, lo que significa que todo el trabajo lo realiza entre la red y las capas físicas. Cuando el emisor origina un paquete y es filtrado por el cortafuegos, éste último comprueba las reglas de filtrado de paquetes que lleva configuradas, aceptando o rechazando el paquete en consecuencia. Cuando el paquete pasa a través de cortafuegos, éste filtra el paquete mediante un protocolo y un número de puerto base (GSS). Por ejemplo, si existe una norma en el cortafuegos para bloquear el acceso telnet, bloqueará el protocolo IP para el número de puerto 23. Segunda generación cortafuegos de estado Durante 1989 y 1990, tres colegas de los laboratorios AT&T Bell, Dave Presetto, Janardan Sharma, y Nigam Kshitij, desarrollaron la tercera generación de servidores de seguridad. Esta tercera generación cortafuegos tiene en cuenta además la colocación de cada paquete individual dentro de una serie de paquetes. Esta tecnología se conoce generalmente como la inspección de estado de paquetes, ya que mantiene registros de todas las conexiones que pasan por el cortafuegos, siendo capaz de determinar si un paquete indica el inicio de una nueva conexión, es parte de una conexión existente, o es un paquete erróneo. Este tipo de cortafuegos pueden ayudar a prevenir ataques contra conexiones en curso o ciertos ataques de denegación de servicio. Tercera generación - cortafuegos de aplicación Son aquellos que actúan sobre la capa de aplicación del modelo OSI. La clave de un cortafuegos de aplicación es que puede entender ciertas aplicaciones y protocolos (por ejemplo: protocolo de transferencia de ficheros, DNS o navegación web), y permite detectar si un protocolo no deseado se coló a través de un puerto no estándar o si se está abusando de un protocolo de forma perjudicial.

4 Un cortafuegos de aplicación es mucho más seguro y fiable cuando se compara con un cortafuegos de filtrado de paquetes, ya que repercute en las siete capas del modelo de referencia OSI. En esencia es similar a un cortafuegos de filtrado de paquetes, con la diferencia de que también podemos filtrar el contenido del paquete. El mejor ejemplo de cortafuegos de aplicación es ISA (Internet Security and Acceleration). Un cortafuegos de aplicación puede filtrar protocolos de capas superiores tales como FTP, TELNET, DNS, DHCP, HTTP, TCP, UDP y TFTP (GSS). Por ejemplo, si una organización quiere bloquear toda la información relacionada con una palabra en concreto, puede habilitarse el filtrado de contenido para bloquear esa palabra en particular. No obstante, los cortafuegos de aplicación resultan más lentos que los de estado. Acontecimientos posteriores En 1992, Bob Braden y DeSchon Annette, de la Universidad del Sur de California (USC), dan forma al concepto de cortafuegos. Su producto, conocido como "Visas", fue el primer sistema con una interfaz gráfica con colores e iconos, fácilmente implementable y compatible con sistemas operativos como Windows de Microsoft o MacOS de Apple. En 1994, una compañía israelí llamada Check Point Software Technologies lo patentó como software denominándolo FireWall-1. La funcionalidad existente de inspección profunda de paquetes en los actuales cortafuegos puede ser compartida por los sistemas de prevención de intrusiones (IPS). Actualmente, el Grupo de Trabajo de Comunicación Middlebox de la Internet Engineering Task Force (IETF) está trabajando en la estandarización de protocolos para la gestión de cortafuegos. Otro de los ejes de desarrollo consiste en integrar la identidad de los usuarios dentro del conjunto de reglas del cortafuegos. Algunos cortafuegos proporcionan características tales como unir a las identidades de usuario con las direcciones IP o MAC. Otros, como el cortafuegos NuFW, proporcionan características de identificación real solicitando la firma del usuario para cada conexión Funciones principales de un cortafuegos: Filtrado de paquetes de datos. Analizan el tráfico de la red fundamentalmente en la capa 3, teniendo en cuenta a veces algunas características del tráfico generado en las capas 2 y/o 4 y algunas características físicas propias de la capa 1. Los elementos de decisión con que cuentan a la hora de decidir si un paquete es válido o no son los siguientes: La dirección de origen desde donde, supuestamente, viene el paquete (capa 3). La dirección del host de destino del paquete (capa 3). El protocolo específico que está siendo usado para la comunicación, frecuentemente Ethernet o IP aunque existen cortafuegos capaces de desenvolverse con otros protocolos como IPX, NetBios, etc (capas 2 y 3). El tipo de tráfico: TCP, UDP o ICMP (capas 3 y 4). Los puertos de origen y destino de la sesión (capa 4). El interfaz físico del cortafuegos a través del que el paquete llega y por el que habría que darle salida (capa 1), en dispositivos con 3 o más interfaces de red. Con todas o algunas de esta características se forman dos listas de reglas: una de permitidas y otra de denegadas.

5 Filtrado por aplicación. Adicionalmente, este tipo de cortafuegos suelen prestar, dado su emplazamiento en la capa 7, servicios de autenticación de usuarios. La práctica totalidad de los cortafuegos de este tipo, suelen prestar servicios de Proxy. Un Proxy es un servicio específico que controla el tráfico de un determinado protocolo (como HTTP, FTP, DNS, etc.), proporcionando un control de acceso adicional y un detallado registro de sucesos respecto al mismo. Los servicios o agentes típicos con que cuentan este tipo de dispositivos son: DNS, Finger, FTP, HTTP, HTTPS, LDAP, NMTP, SMTP y Telnet. Reglas de filtrado. La familia de los firewalls de filtrado de paquetes sobre la pila de protocolos TCP/IP, son llamados IPFW. Un IPFW funciona filtrando las comunicaciones en ambos sentidos entre su interfaz interna (la que lo conecta a su red) y la externa. El mecanismo de funcionamiento para realizar este filtrado es a través de una lista de reglas. Las reglas, pueden ser de dos tipos; de aceptación y de rechazo, aunque en realidad, éste última se descompone en dos subtipos, es decir, en términos de aceptación, rechazo y denegación. En iptables, un IPFW se corresponde con los argumentos ACCEPT, REJECT y DROP, respectivamente. La lista de reglas de entrada (del exterior hacia la red) es totalmente independiente de la lista de reglas de filtrado de salida (de la red hacia el exterior). Las distintas listas de reglas se llaman cadenas (chains). Hemos hablado de aceptación, rechazo y denegación. Las dos últimas son bastante similares, la diferencia radica en lo siguiente, cuando un IPFW rechaza una petición externa, envía una respuesta negativa diciendo que no acepta la comunicación, por el contrario, si descarta una petición, no envía ningún tipo de respuesta, es decir, que el agente externo que intentó establecer contacto, no sabrá siquiera si la máquina existe o está apagada. Registros de sucesos de un cortafuegos. Puede habilitar el registro de sucesos del cortafuegos como ayuda para identificar el origen del tráfico entrante y obtener información detallada acerca de qué tráfico se está bloqueando. Normalmente el tráfico saliente correcto no se registra. El tráfico saliente que no está bloqueado no se registra Listas de control de acceso (ACL). Una lista de control de acceso o ACL (del inglés, access control list) es un concepto de seguridad informática usado para fomentar la separación de privilegios. Es una forma de determinar los permisos de acceso apropiados a un determinado objeto, dependiendo de ciertos aspectos del proceso que hace el pedido. Las ACL permiten controlar el flujo del tráfico en equipos de redes, tales como enrutadores y conmutadores. Su principal objetivo es filtrar tráfico, permitiendo o denegando el tráfico de red de acuerdo a alguna condición. Sin embargo, también tienen usos adicionales, como por ejemplo, distinguir "tráfico interesante" (tráfico suficientemente importante como para activar o mantener una conexión) en RDSI.

6 En redes informáticas, ACL se refiere a una lista de reglas que detallan puertos de servicio o nombres de dominios (de redes) que están disponibles en un terminal u otro dispositivo de capa de red, cada uno de ellos con una lista de terminales y/o redes que tienen permiso para usar el servicio. Tanto servidores individuales como enrutadores pueden tener ACL de redes. Las listas de control de acceso pueden configurarse generalmente para controlar tráfico entrante y saliente y en este contexto son similares a un cortafuegos. Existen dos tipos de listas de control de acceso: Listas estándar, donde solo tenemos que especificar una dirección de origen; Listas extendidas, en cuya sintaxis aparece el protocolo y una dirección de origen y de destino Ventajas y Limitaciones de los cortafuegos. Ventajas: Bloquea el acceso a personas y/o aplicaciones no autorizadas a redes privadas. Administran los accesos provenientes de Internet hacia la red privada. Sin un firewall, cada uno de los servidores propios del sistema se exponen al ataque de otros servidores en el Internet. Por ello la seguridad en la red privada depende de la "dureza" con que el firewall cuente. Administran los accesos provenientes de la red privada hacia el Internet. Permite al administrador de la red mantener fuera de la red privada a los usuarios no-autorizados (tal, como, hackers, crakers y espías), prohibiendo potencialmente la entrada o salida de datos. El firewall crea una bitácora en donde se registra el tráfico más significativo que pasa a través él. Concentra la seguridad Centraliza los accesos Limitaciones: Un cortafuegos no puede proteger contra aquellos ataques cuyo tráfico no pase a través de él. El cortafuegos no puede proteger de las amenazas a las que está sometido por ataques internos o usuarios negligentes. El cortafuegos no puede prohibir a espías corporativos copiar datos sensibles en medios físicos de almacenamiento (discos, memorias, etc.) y sustraerlas del edificio. El cortafuegos no puede proteger contra los ataques de ingeniería social. El cortafuegos no puede proteger contra los ataques posibles a la red interna por virus informáticos a través de archivos y software. La solución real está en que la organización debe ser consciente en instalar software antivirus en cada máquina para protegerse de los virus que llegan por cualquier medio de almacenamiento u otra fuente. El cortafuegos no protege de los fallos de seguridad de los servicios y protocolos cuyo tráfico esté permitido. Hay que configurar correctamente y cuidar la seguridad de los servicios que se publiquen en Internet.

7 1.6.- Políticas de cortafuegos. Existen dos tipos de políticas de cortafuegos: Política restrictiva: Se deniega todo el tráfico excepto el que está explícitamente permitido. El cortafuegos obstruye todo el tráfico y hay que habilitar expresamente el tráfico de los servicios que se necesiten. Esta aproximación es la que suelen utilizar la empresas y organismos gubernamentales. Política permisiva: Se permite todo el tráfico excepto el que esté explícitamente denegado. Cada servicio potencialmente peligroso necesitará ser aislado básicamente caso por caso, mientras que el resto del tráfico no será filtrado. Esta aproximación la suelen utilizar universidades, centros de investigación y servicios públicos de acceso a internet. La política restrictiva es la más segura, ya que es más difícil permitir por error tráfico potencialmente peligroso, mientras que en la política permisiva es posible que no se haya contemplado algún caso de tráfico peligroso y sea permitido por omisión Tipos de cortafuegos. Clasificación por ubicación. -Cortafuegos personales (para PC). Los Cortafuegos personales son programas que se instalan de forma residente en nuestro ordenador y que permiten filtrar y controlar la conexión a la red. -Cortafuegos para pequeñas oficinas Los Cortafuegos personales son programas que se instalan de forma residente en un aparato (router) de una pequeña y que permiten filtrar y controlar la conexión a la red. -Cortafuegos corporativos. Es un cortafuegos para sistemas interconectados de organizaciones y empresas en donde cierta cantidad de equipos podrían estar conectados en red compartiendo y accediendo a cientos de recursos simultáneamente. Estos sistemas tienen el objetivo de filtrar las comunicaciones en el borde de la organización. Este tipo de dispositivos puede ser de software o hardware y su costo dependerá del tamaño y prestaciones brindadas. Los principales aspectos críticos que deberá resolver la configuración del cortafuegos en los sistemas corporativos se centrarán en las siguientes problemáticas: Comunes con el usuario: usurpación de la identidad e integridad de la información. Accesos autorizados: permitir el acceso a las direcciones de origen validadas y autorizadas. Aplicaciones autorizadas: permitir el acceso a las aplicaciones en función de la identidad validada. Filtrado de solicitudes de conexión desde nuestra red a Internet. Protección de los datos de identidad de nuestros usuarios en los accesos autorizados a Internet. Protección ante caballos de troya, en forma de archivos Java, PostScript, etc. Realizar todas las funciones anteriores sin afectar a las prestaciones y funcionalidades de Internet que los usuarios internos demandan.

8 Clasificación por tecnología. Filtros de paquetes. Es un cortafuegos que consiste en filtrar paquetes de red, con el objetivo de que el router puedo bloquear o permitir la comunicación mediante las listas de control de acceso (ACL) en función de las características de la tramas de los paquetes. Para determinar el filtrado se miran las direcciones origen y destino, el protocolo, los puertos origen y destino (en el caso de TCP y UDP), el tipo de mensaje (en el caso de ICMP) y los interfaces de entrada y salida de la trama en el router. La desventaja de este cortafuegos es que no dispone de un sistema de monitorización sofisticado y el administrador no distingue entre si el router está siendo atacado o si su seguridad se ha visto comprometida. Proxy de aplicación. Además del filtrado de paquetes, es habitual que los cortafuegos utilicen aplicaciones software para reenviar o bloquear conexiones a servicios como finger, telnet o FTP; a tales aplicaciones se les denomina servicios proxy, mientras que a la máquina donde se ejecutan se le llama pasarela de aplicación. Los servicios proxy poseen una serie de ventajas de cara a incrementar nuestra seguridad: En primer lugar, permiten únicamente la utilización de servicios para los que existe un proxy, por lo que si en nuestra organización la pasarela de aplicación contiene únicamente proxies para telnet, HTTP y FTP, el resto de servicios no estarán disponibles para nadie. Una segunda ventaja es que en la pasarela es posible filtrar protocolos basándose en algo más que la cabecera de las tramas, lo que hace posible por ejemplo tener habilitado un servicio como FTP pero con órdenes restringidas (podríamos bloquear todos los comandos put para que nadie pueda subir ficheros a un servidor). El principal inconveniente que encontramos a la hora de instalar una pasarela de aplicación es que cada servicio que deseemos ofrecer necesita su propio proxy; además se trata de un elemento que frecuentemente es más caro que un simple filtro de paquetes, y su rendimiento es mucho menor (por ejemplo, puede llegar a limitar el ancho de banda efectivo de la red, si el análisis de cada trama es costoso). En el caso de protocolos cliente-servidor (como telnet) se añade la desventaja de que necesitamos dos pasos para conectar hacia la zona segura o hacia el resto de la red; incluso algunas implementaciones necesitan clientes modificados para funcionar correctamente. Una variante de las pasarelas de aplicación la constituyen las pasarelas de nivel de circuito (Circuit-level Gateways) sistemas capaces de redirigir conexiones (reenviando tramas) pero que no pueden procesar o filtrar paquetes en base al protocolo utilizado; se limitan simplemente a autenticar al usuario (a su conexión) antes de establecer el circuito virtual entre sistemas. El firewall está programado para distinguir los paquetes legítimos para diferentes tipos de conexiones. Sólo los paquetes que coincidan con una conexión conocida activa serán permitidos por el firewall, mientras que otros serán rechazados. Hibrido Conscientes de las debilidades de los firewalls de filtrado de paquetes y de los de nivel de aplicación, algunos proveedores han introducido firewalls híbridos que combinan las técnicas de los otros dos tipos. Debido a que los firewalls híbridos siguen basándose en los mecanismos de filtrado de paquetes para soportar ciertas aplicaciones, aún tienen las mismas debilidades en la seguridad.

9 1.8.- Arquitectura de cortafuegos. Arquitectura - Cortafuego de filtrado de paquetes. Es un cortafuegos que consiste en filtrar paquetes de red, con el objetivo de que el router puedo bloquear o permitir la comunicación mediante las listas de control de acceso (ACL) en función de las características de la tramas de los paquetes. Para determinar el filtrado se miran las direcciones origen y destino, el protocolo, los puertos origen y destino (en el caso de TCP y UDP), el tipo de mensaje (en el caso de ICMP) y los interfaces de entrada y salida de la trama en el router. La desventaja de este cortafuegos es que no dispone de un sistema de monitorización sofisticado y el administrador no distingue entre si el router está siendo atacado o si su seguridad se ha visto comprometida. Arquitectura - Cortafuego Dual-Homed Host. Es un cortafuegos que se instala en un host con dos tarjetas de red que actúa como router entre dos redes. Tiene la función de permitir directamente la comunicación de una red a (red privada por ejemplo) a otra red B (red pública por ejemplo); pero la comunicación de la red B a la red A no se permite directamente. El sistema interno al Firewall puede comunicarse con el dual-homed host, y los sistemas fuera de Firewall también pueden comunicarse con él, pero los sistemas no pueden comunicarse directamente entre ellos. En la estructura se implementa entre la red interna y la externa junto a un host bastion. Arquitectura - Screened Host. Cortafuegos que se combina con un host bastion, situado entre la red externa y el host bastion situado en la red interna. El cortafuegos filtra los paquetes de modo que el host bastion es el único sistema accesible desde la red externa, y se permite a los host de la red interna establecer conexiones con la red externa de acuerdo con unas políticas de seguridad.

10 Arquitectura - Screened Subnet (DMZ). Este cortafuegos se realiza en una estructura DMZ donde se emplean dos routers exterior e interior, entre los router se incluye el host bastión. El router exterior bloquea el tráfico no deseado en ambos sentidos, por otro lado el router interior bloquea el tráfico no deseado tanto hacia la red DMZ como hacia la red interna. De este modo, para atacar la red protegida se tendría que romper la seguridad de ambos routers. Otras arquitecturas. Una manera de incrementar en gran medida el nivel de seguridad de la red interna y al mismo tiempo facilitar la administración de los cortafuegos consiste en emplear un host bastión distinto para cada protocolo o servicio en lugar de un único host bastión. Muchas organizaciones no pueden adoptar esta arquitectura porque presenta el inconveniente de la cantidad de máquinas necesarias para implementar el cortafuegos. Una alternativa la constituye el hecho de utilizar un único bastión pero distintos servidores proxy para cada uno de los servicios ofrecidos. Otra posible arquitectura se da en el caso en que se divide la red interna en diferentes subredes, lo cual es especialmente aplicable en organizaciones que disponen de distintas entidades separadas. En esta situación es recomendable incrementar los niveles de seguridad de las zonas más comprometidas situando cortafuegos internos entre dichas zonas y la red exterior. Aparte de incrementar la seguridad, los firewalls internos son especialmente recomendables en zonas de la red desde la que no se permite a priori la conexión con Internet. Mostramos un ejemplo de arquitectura hibrida:

11 2.1.- Cortafuegos software integrados en los sistemas operativos. Un firewall gratuito es un Software que se puede instalar y utilizar libremente, o no, en el ordenador. Son también llamados 'desktop firewall' o 'software firewall'. Son firewalls básicos que monitorean y bloquean, siempre que sea necesario, el tráfico de Internet. Casi todos los ordenadores vienen con un firewall instalado, por ejemplo; Windows XP y Windows Vista lo traen. Los cortafuegos, por defecto, se activan siempre que se enciende el ordenador. Hay que configurarlo con cuidado, pues puede ocurrir que no funcione el correo electrónico o no se abran páginas web en el navegador porque el firewall no permite a estos programas acceder a Internet. Para eso concentran todo el flujo entrante y saliente entre la PC e Internet y bloquea los pedidos de enlaces no solicitados por el usuario potencialmente inseguros, instalaciones clandestinas de programas y algunos hasta bloquean pop ups, publicidades, etc Cortafuegos software libres y propietarios. Posiblemente la elección más difícil sea la del Firewall (ya sea libre, o uno comercial). De esta decisión depende en gran medida la seguridad que se consiga, por lo que hay que tener gran cantidad de factores en cuenta, desde el nivel de seguridad que se quiere alcanzar realmente, hasta el tiempo que se puede emplear en la puesta en marcha del sistema y en el caso de poner uno de pago, también hay que tener en cuenta el presupuesto disponible. En el apartado de Filtros Software es donde aparece la distinción entre Firewall libre o de pago, puesto que todos los Firewall Hardware son propietarios. La mayoría de Firewall libres se distribuyen para Linux, y se basan en IPChains, una facilidad que ofrece el sistema operativo para filtrar el tráfico. Para poner un Firewall basado en IPChains es necesario un extenso conocimiento de Redes, ya que las reglas hay que ponerlas basándose en direcciones IP de destino / origen, puertos y protocolo de aplicación. Este tipo de Firewalls son bastante seguros y simples, porque en todo momento se tiene conocimiento de lo que protege y de lo que no, pero requiere bastantes conocimientos, ya que no es conveniente fiarse de lo que hace determinada aplicación que simplifica el proceso. Ofrecen una seguridad limitada, ya que no hacen análisis de trafico de ningún tipo, pero son fácilmente escalables ya que usa un sistema operativo normal (no propietario) y se pueden integrar Proxies de distintos tipos, así como programas de IDS, anti troyanos, etc, todos ellos de libre distribución. Son útiles para usuarios finales de Linux, que pueden instalar un Firewall a medida sin necesidad de cambiar nada del sistema operativo. Esta configuración puede ser recomendable para una pequeña red, con un nivel moderado de seguridad. El otro tipo de Firewalls libres se distribuyen para Windows, y suelen ser versiones libres de otros comerciales (a modo de Demo). La mayoría son Proxies, que integran muchos de los servicios comunes de Internet, aunque también se puede encontrar alguno de filtrado clásico. Todos los Proxies requieren un componente de creencia por parte del usuario, ya que son totalmente transparentes, y no se sabe lo que están haciendo (se deposita la confianza en el programador), además, limitan el número de servicios a usar a aquellos que integre el Firewall, por lo que dependiendo del tipo de uso que se quiera dar a la red pueden ser útiles o no. Se puede instalar en el DMZ, para proporcionar determinados servicios con un nivel de seguridad mayor. Los filtradores de Windows siguen una estructura similar a las reglas de IPChains, por lo que requieren un conocimiento de redes para ponerse en marcha. Son útiles para usuarios finales de Windows (con conocimientos de redes), por razones similares a las de los de Linux, pero no son recomendables para un Router/Firewall, ya que Windows es un sistema operativo menos seguro y estable que Linux.

12 Por otro lado están los Firewall software de pago, creados por compañías de seguridad de reconocido prestigio. Estos Firewall garantizan una aplicación muy compacta, y con bastantes más funcionalidades que un simple IPChains. Algunos traen su propio sistema operativo, que puede ser propietario o una modificación de Unix (para hacerlo seguro), y otros funcionan sobre un sistema operativo normal. Tienen el defecto de que si se descubre una vulnerabilidad en el (lo cual no es nada normal), tarda bastante en resolverse, por lo que estas un tiempo al descubierto, mientras que los software libres están en continuo testeo y reparación. Aun así, se puede asegurar que estos Firewall propietarios aportan un nivel de seguridad mayor que el que puede aportar uno de libre distribución. La mayoría de productos comerciales vienen con una configuración básica de funcionamiento, pero permiten su posterior configuración, para ajustarlo así a las necesidades específicas de cada usuario, por lo que serán necesario conocimientos de redes suficientes para crear las reglas de filtrado. Esta opción es muy recomendable para empresas de tamaño medio, que tengan necesidad de proteger sus datos, pero que no estén dispuestas a gastarse el dinero que vale un Firewall de Hardware. Existe otra opción, los Freeware de Demostración. Son un híbrido entre aplicación comercial y software libre, ya que implementan una versión incompleta del software de pago, de forma que se puede probar indefinidamente (normalmente estas versiones caducan pasados 15 o 30 días) Distribuciones libres para implementar cortafuegos en máquinas dedicadas. Normalmente se instala una maquina dedicada en punta de lanza, con el Firewall corriendo sobre algún sistema operativo preinstalado (normalmente Unix-Linux) y un interfaz gráfico para simplificar su administración. Se suelen vender como un equipo completo (Firewall Box), con el servidor, el Sistema Operativo y el Firewall instalado, principalmente para simplificarle el trabajo a aquellas empresas que quieren tener un buen nivel de seguridad sin dedicarle muchos esfuerzos (ningún esfuerzo más allá de la asignación de políticas y reglas). Distribuciones de software libre para implementar cortafuegos en máquinas con pocas prestaciones. Basadas en: GNU/Linux: ClearOS, Gibraltar, IPCop, Zentyal, SmoothWall,... FreeBSD: m0n0wall, pfsense, Cortafuegos hardware. Gestión Unificada de Amenazas Firewall UTM (Unified Threat Management). Cortafuegos hardware. Los Firewalls más caros son los filtros Hardware, que producen una conmutación más rápida que un equipo software (el Hardware esta optimizado para esas tareas), y además proporcionan un nivel de seguridad muy alto, pudiéndose mejorar con nuevos y más modernos sistemas, gracias a las continuas actualizaciones On-Line. El avance de la tecnología, ligado a amenazas cada vez más complejas, ha provocado que las soluciones de seguridad perimetral avancen a una nueva generación, cuyo exponente más destacado aparece en las distintas gamas de UTM (Unified Threat Management). Gestión unificada de amenazas (UTM) se refiere a un producto de seguridad integral que incluye la protección contra amenazas múltiples. Un producto UTM normalmente incluye un firewall, software antivirus, filtrado de contenidos y un filtro de spam en un solo paquete integrado. El término fue acuñado originalmente por IDC, un proveedor de datos de mercado, análisis y servicios relacionados. Proveedores de UTM de Fortinet incluyen, LokTek, Secure Computing Corporation y Symantec. Las principales ventajas de la UTM son la sencillez, la instalación y el uso racionalizado, y la capacidad de actualizar todas las funciones de seguridad o programas simultáneamente.

13 Como la naturaleza y la diversidad de las amenazas de Internet evolucionan y se vuelve más complejo, los productos UTM pueden ser adaptados para mantenerse al día con todos ellos. Esto elimina la necesidad de que los administradores de sistemas para mantener múltiples programas de seguridad en el tiempo. Diferencias entre cortafuegos software y cortafuegos hardware. Los cortafuegos de hardware puede ser comprado como un producto independiente, pero, más recientemente, los cortafuegos de hardware se encuentran típicamente en routers de banda ancha, y debe ser considerada una parte importante de su sistema y configuración de la red, especialmente para alguien con una conexión de banda ancha. Los cortafuegos de hardware puede ser eficaz con una configuración poco o nada, y pueden proteger a todas las máquinas en una red local. La mayoría de los cortafuegos de hardware tendrá un mínimo de cuatro puertos de red para conectar otros equipos, pero para las grandes redes, soluciones de firewall de red de negocios están disponibles. Un firewall de hardware utiliza el filtrado de paquetes para examinar la cabecera de un paquete para determinar su origen y de destino. Esta información se compara con un conjunto de reglas predefinidas o creadas por el usuario-que determinan si el paquete debe ser enviado o se ha caído. Al igual que con cualquier equipo electrónico, un usuario de la computadora con el conocimiento general de la computadora se puede conectar un servidor de seguridad, ajustar algunas opciones de configuración para que funcionen. Para asegurarse de que su firewall está configurado para optimizar la seguridad y proteger sin embargo, los consumidores, sin duda, tienen que aprender las características específicas de su firewall de hardware, lo que les permita, así como a probar el servidor de seguridad para asegurarse de que lo haga un buen trabajo de proteger su red. No todos los firewalls son creados iguales, y para ello es importante leer el manual y la documentación que viene con el producto. Además el sitio Web del fabricante suele proporcionar una base de datos o preguntas frecuentes que le ayudarán a empezar. Si la terminología es un poco demasiado técnica orientado, también puede utilizar la búsqueda Webopedia para ayudarle a obtener una mejor comprensión de algunos de los términos de tecnología y equipo que se encontrará al configurar el firewall de hardware. Para probar la seguridad de su firewall de hardware, usted puede comprar el software de terceros de prueba o buscar en Internet para una prueba gratuita en línea basado en servicio de pruebas de cortafuegos. Pruebas de Firewall es una parte importante de mantenimiento para asegurar que su sistema siempre está configurado para una protección óptima.

14 Gestión Unificada de Amenazas Firewall UTM (Unified Threat Management). La filosofía de un Unified Threat Management, es procesar y analizar todo el contenido antes de que entre a la red corporativa. Limpiando la red corporativa de virus, gusanos, troyanos, spyware, correo spam (correo no deseado), páginas web maliciosas mediante filtros avanzados, protegiendo la entrada no autorizada a la red corporativa a través de VPN y otros sistemas de intrusión. Un único dispositivo UTM simplifica la gestión de la estrategia de seguridad de una empresa, con un solo producto, teniendo el lugar de múltiples capas de hardware y software. También de una única consola centralizada, todas las soluciones de seguridad pueden ser controladas y configuradas. En este contexto, UTM representan todo-en-uno los dispositivos de seguridad que llevan a una variedad de capacidades de seguridad incluyendo firewall, VPN, antivirus, pasarela anti-spam, prevención de intrusiones, filtrado de contenidos, gestión de ancho de banda, control de aplicaciones y la información centralizada características básicas. La UTM tiene un sistema operativo personalizado manteniendo todas las características de seguridad en un lugar, que puede conducir a una mejor integración y rendimiento de un conjunto de dispositivos diferentes. Para las empresas con redes remotas u oficinas distantes ubicados, UTM son un medio para garantizar la seguridad centralizada con control completo sobre sus redes distribuidas globalmente. Las principales ventajas: 1. Reducción de la complejidad: solución de seguridad única. Solo proveedor. Solo AMC 2. Simplicidad: Evitar la instalación del software y el mantenimiento de múltiples 3. Gestión sencilla: Plug & Play Arquitectura, GUI basada en Web para una fácil gestión 4. Reducción de los requisitos de capacitación técnica, un producto de aprender. 5. Cumplimiento de la normativa Desventajas clave: 1. Punto único de fallo para el tráfico de red 2. Único punto de compromiso si la UTM tiene vulnerabilidades 3. Impacto potencial sobre la latencia y el ancho de banda cuando la UTM no puede mantenerse al día con el tráfico.