Redes de comunicaciones
12. ANEXO I – Cortafuegos
12. ANEXO I – Cortafuegos
Un cortafuegos es un elemento de monitorización y control del tráfico entre redes. Para poder realizar su función, todo el tráfico de entrada o salida debe de atravesarlo. La función más básica y fundamental de un cortafuegos es determinar qué tramas deben transitar de una red a otra. El filtrado se basa en un conjunto de reglas ordenadas y políticas definidas por el administrador. Las acciones más generales son: aceptar la trama, rechazarla, registrarla, reenviarla o invocar tareas de autenticación. Además la mayoría de los cortafuegos permite realizar funciones de NAT y de pasarela IP. El orden de aplicación de las reglas es fundamental. Las políticas principales indican si las tramas que no encajan en ningún regla de aceptación o rechazo deben ser aceptadas o rechazadas. La política más segura, y más difícil de configurar, es la de rechazar todo lo que no sea aceptado expresamente. El reenvío de tramas permite la instalación en la red de servidores intermediarios transparentes. Así por ejemplo se pueden redirigir todas las peticiones web a un intermediario web (Web Proxy) o filtrar todo el correo con herramientas antivirus y/o antispam, sin necesidad de configurar nada en los clientes e incluso sin que éstos se enteren. Los cortafuegos más básicos filtran paquetes a nivel 3 y a nivel 4 (existen encaminadores con capacidades de filtrado a nivel 3, pero no se pueden considerar cortafuegos). También existen cortafuegos extendidos que trabajan a nivel de aplicación (nivel 7) y pueden añadir cifrado, autenticación y traducción de direcciones. Estos cortafuegos extendidos utilizan más información para posibilitar un mayor refinamiento en la definición de los objetos a proteger. Esta nueva información se divide en: ● Información relativa al paquete en niveles superiores de la arquitectura; niveles del 4 al 7 (OSI). ● Información del estado actual y pasado de la comunicación. ● Información del estado actual y pasado de las aplicaciones. Como ejemplo de filtrado basado en información de niveles superiores podríamos hablar de protección de URLs, recursos, ficheros, usuarios, etc. O dentro de la gestión del estado puede supervisarse el orden en el que se realizan los diferentes comandos de una conexión ftp: autenticación, apertura de canales, transferencias, etc. Se puede ver un ejemplo de configuración de un servidor que actúa de pasarela y cortafuegos (iptables) con intermediario pop3 (P3Scan), antispam (SpamAssassin), antivirus (ClamAV) e intermediario web (Squid) en: http://www.guimi.net/index.php?pag_id=tec-docs/firewall/fw-instalacion.html
http://guimi.net
86 / 99