10.2.7. Cortafuegos

Un cortafuegos es la parte del sistema informático encargada de bloquear el tráfico no autorizado y permitir el autorizado. Puede implementarse tanto por hardware como por software (o por una combinación de ambos) y, por lo general, fiscalizan todo el tráfico entrante en la LAN procedente de internet con el fin de llevar a cabo su cometido. También es común que analicen el tráfico de procedente de la propia con LAN con destino a los servidores internos.

10.2.7.1. Tipos

  1. Atendiendo al soporte de implementación pueden ser:

    Hardware

    Son aquellos en que el cortafuegos es un dispositivo dedicado diseñado específicamente para ese fin. Por ejemplo, este que mostramos por cortesía de Wikimedia:

    https://upload.wikimedia.org/wikipedia/commons/thumb/6/6f/Firewall-X400.png/640px-Firewall-X400.png
    Software

    Son aquellos implementados por software que se ejecuta sobre un sistema operativo de propósito general sin estar ligado a un hardware concreto.

  2. Atendiendo al objeto de protección:

    De red

    Son aquellos cuyo propósito es proteger a una red de ataques, generalmente, externos.

    Personales

    Son aquellos cuyo propósito es defender a un equipo personal (por lo general, de escritorio).

  3. Atendiendo a su funcionamiento:

    De filtrado estático (stateless)

    También denominados cortafuegos sin inspección de estado, son aquellos que toman la decisión de filtrado atendiendo solamente a la información que pueden encontrar dentro del propio paquete (cabecera IP, cabecera UDP o TCP, etc.). No registran, pues, conexiones ni analizan el paquete como parte de su conexión.

    De filtrado dinámico (stateful)

    También denominados cortafuegos con inspección de estado, son aquellos que son capaces de analizar el paquete dentro del flujo de información (la conexión) al que pertenecen, por lo que son capaces de tomar decisiones no sólo basándose en la información contenida dentro del propio paquete. Podrías, pues, decir que la decisión se basa no sólo en el paquete, sino también en su contexto (la conexión a la que pertenece).

    Para ser capaces de llevar este filtrado dinámico, estos cortafuegos necesitan mantener un registro del estado de las conexiones.

    Nota

    Tanto este tipo como el anterior sólo analizan hasta la información de la capa de transporte.

    De capa de aplicación

    Son cortafuegos de filtrado dinámico que analizan la conexión también en la capa de aplicación, identificando cuál es el protocolo de esta capa y estableciendo sus reglas según las propiedades de dicho protocolo. Su inspección es más compleja y, en consecuencia, más lenta; y muy comúnmente se implementen como proxies, esto es, como un cortafuegos que analiza exclusivamente uno o unos pocos protocolos de capa de aplicación, de manera que para el análisis de las capas inferior se usa, además, otro cortafuegos de filtrado dinámico.

    Nota

    No es nuestro propósito analizar proxies bajo este epígrafe, porque existe otro epñígrafe dedidcado a ellos.

10.2.7.2. Estrategias de filtrado

Al configurar un cortafuegos hay dos estrategias o (políticas) de filtrado:

Lista negra

Consiste en prohibir expresamente el tráfico indeseado, de suerte que el resto estará permitido.

Lista blanca

Consiste en permitir expresamente el tráfico deseado, de suerte que el resto está prohibido.

La segunda estrategia es mucho más segura, pero es más compleja de implementar.

10.2.7.3. Estudio práctico

Los principales sistemas operativos incluyen de serie cortafuegos:

  • Las versiones modernas de Windows (tanto las de cliente como las de servidor) incluyen en Windows Defender un cortafuegos.

  • Los principales sistemas BSD modernos (FreeBSD, NetBSD) han adoptado pf, el cortafuegos desarrollado en OpenBSD.

  • En Linux se está migrando desde IPtables a su sucesor nftables.

Ver también

Para la revisión de los dos cortafuegos actuales de línux, consulte el epígrafe dedicado a ellos.