Firewall Complete

FACULTAD DE INFORMATICA Y CIENCIAS APLICADAS
ESCUELA DE INFORMATICA
DESARROLLO DE REDES IV
ETS4 -T CICLO 01/2012

CATEDRATICO: ING.RODRIGO TORRES
SECCION: 01
ALUMNOS:
CARNET:
DALIA MARINA CAMPOS MARIN

RENE JONATHAN QUINTANILLA LANDAVERDE
XIOMARA CAROLINA TORRES ALFARO
25-0082-1999
25-1801-2007
25-3527-2004
SAN SALVADOR, 18 DE MARZO DE 2011
FIREWALL
UTEC
ETS4-T
INDICE
ndice
Introduccin...........4
Objetivos......... 5
Historia de los firewalls............................ 6
Primera generacin.
Segunda generacin.
Tercera generacin.
Acontecimientos posteriores
Firewalls.................................................................................................................8
Como trabaja el firewall........................................................................................10
Firewalls de software............................................................................................12
Firewalls de hardware..........................................................................................15
Tipos Firewalls.16
Nivel de aplicacin de pasarela.17
Circuito a nivel de pasarela...18
Cortafuegos de capa de red o de filtrado de paquetes
Cortafuegos de capa de aplicacin
Cortafuegos personales
Arquitecturas19
Filtrado de paquetes
Dual-Homed Host (de dos bases)
35Screened Host (Firewall como servidor bastin).
FIREWALL
UTEC
ETS4-T
Screened Subnet (Firewall como servidor de bastin con dos interfaces de red).
Dos firewalls y dos DMZ
Subredes Seleccionadas
Proxy y Gateways de Aplicaciones (Compuertas a nivel de aplicacin).
Inspeccin de Paquetes
Firewalls personales
Capas del modelo OSI en que trabajan los firewalls
Beneficios de un firewall.30
Limitaciones de un firewall31
Estado actual en el mercado..31
Principales fabricantes de firewall SOFTWARE Y HARDWARE33
Check Point Software Technologies Ltd33
Karspersky..35
McAfee, Inc. .36
Symantec Corporation38
Panda Security39
CLAVISTER....... 43
ALPHASHIELD. 48
Cisco51
CheckPoint58
Conclusin. 59
Bibliografa... 60
FIREWALL
UTEC
ETS4-T
INTRODUCCION
La seguridad ha sido el principal problema a tratar cuando una organizacin
desea conectar su red privada al Internet. Sin tomar en cuenta el tipo de
negocios, se ha incrementado el numero de usuarios de redes privadas por la
demanda del acceso a los servicios de Internet tal es el caso del World Wide
Web (WWW), Internet Mail (e-mail), Telnet, y File Transfer Protocol (FTP).
Adicionalmente los corporativos buscan las ventajas que ofrecen las paginas en
el WWW y los servidores FTP de acceso publico en el Internet.
Los administradores de red tienen que incrementar todo lo concerniente a la
seguridad de sus sistemas, debido a que se expone la organizacin privada de
sus datos as como la infraestructura de sus redes a los Expertos de Internet
(Internet Crakers). Para superar estos temores y proveer el nivel de proteccin
requerida, las organizaciones necesitan seguir una poltica de seguridad para
prevenir el acceso no-autorizado de usuarios a los recursos propios de la red
privada, y protegerse contra la exportacin privada de informacin. Todava,
aun si una organizacin no esta conectada al Internet, esta debera establecer
una poltica de seguridad interna para administrar el acceso de usuarios a
porciones de red y proteger sensitivamente la informacin secreta.
Quizs uno de los elementos ms publicitados a la hora de establecer
seguridad, sean estos elementos llamados firewall. Aunque deben ser uno de
los sistemas a los que ms se debe prestar atencin, pues distan mucho de ser
la solucin final a los problemas de seguridad.
Antes de definir o entrar en detalle sobre firewall, debemos hacer nfasis en las
diferencias que presenta comparado con un antivirus. El antivirus es una
aplicacin que funciona escudriando la computadora para ubicar y erradicar
malware, Spyware, troyanos, y otros programas maliciosos que actan en
contra de sistemas informticos. Por otro lado, el Firewall es una herramienta
que funciona nicamente como mecanismo de defensa, su caracterstica
principal es evitar el acceso de sistemas malignos desde Internet.
FIREWALL
UTEC
ETS4-T
El firewall es un sistema de seguridad diseado especficamente para bloquear

el acceso no autorizado a comunicaciones malignas. En este reporte les
explicaremos un poco sobre que son, su funcionamiento, sus diferentes
caractersticas, tipos de firewall existentes, en que capa del modelo OSI
trabajan y como lo hacen, sus principales fabricantes a nivel comercial.
OBJETIVOS
GENERAL
Introducirnos en el concepto de firewalls. Esto incluye entender como
funciona y para que sirven. Tomando conciencia de la necesidad en lo
que a seguridad respecta del uso de barreras de proteccin a partir de
que todas las redes corporativas de una organizacin hoy por hoy se
encuentran conectadas al mundo exterior a travs de Internet, y por
ende expuestas a mltiples intentos de accesos no autorizados.
ESPECIFICOS
Reconocer los diferentes tipos de firewalls en cuanto al nivel que
protegen.
Informar de las diferentes configuraciones y arquitecturas que se pueden
establecer mediante el uso de los firewalls, como as tambin mostrarle
ventajas y desventajas de cada una de ellas.
Introducir una idea de en que capa del modelo OSI trabajan y como lo
hacen.
Dar una breve idea del estado de los firewalls como producto en el
mercado y sus principales fabricantes.
FIREWALL
UTEC
ETS4-T
HISTORIA DE LOS FIREWALLS.

El trmino "firewall / fireblock" significaba originalmente una pared para
confinar un incendio o riesgo potencial de incendio en un edificio. La tecnologa
de los cortafuegos surgi a finales de 1980, cuando Internet era una tecnologa
bastante nueva en cuanto a su uso global y la conectividad. Los predecesores de
los cortafuegos para la seguridad de la red fueron los routers utilizados a
finales de 1980, que mantenan a las redes separadas unas de otras. La visin
de Internet como una comunidad relativamente pequea de usuarios con
mquinas compatibles, que valoraba la predisposicin para el intercambio y la
colaboracin, termin con una serie de importantes violaciones de seguridad de
Internet que se produjo a finales de los 80.
Primera generacin cortafuegos de red: filtrado de paquetes

El primer documento publicado para la tecnologa firewall data de 1988, cuando el equipo
de ingenieros Digital Equipment Corporation (DEC) desarroll los sistemas de filtro
conocidos como cortafuegos de filtrado de paquetes. Este sistema, bastante bsico, fue la
primera generacin de lo que se convertira en una caracterstica ms tcnica y
evolucionada de la seguridad de Internet. En AT&T Bell, Bill Cheswick y Steve Bellovin,
continuaban sus investigaciones en el filtrado de paquetes y desarrollaron un modelo de
trabajo para su propia empresa, con base en su arquitectura original de la primera
generacin. El filtrado de paquetes acta mediante la inspeccin de los paquetes (que
representan la unidad bsica de transferencia de datos entre ordenadores en Internet). Si un
paquete coincide con el conjunto de reglas del filtro, el paquete se reducir (descarte
silencioso) o ser rechazado (desprendindose de l y enviando una respuesta de error al
emisor). Este tipo de filtrado de paquetes no presta atencin a si el paquete es parte de una
secuencia existente de trfico. En su lugar, se filtra cada paquete basndose nicamente en
la informacin contenida en el paquete en s (por lo general utiliza una combinacin del
emisor del paquete y la direccin de destino, su protocolo, y, en el trfico TCP y UDP, el
nmero de puerto).
Segunda generacin - cortafuegos de aplicacin
Son aquellos que actan sobre la capa de aplicacin del modelo OSI. La clave
de un cortafuegos de aplicacin es que puede entender ciertas aplicaciones y
protocolos (por ejemplo: protocolo de transferencia de ficheros, DNS o
FIREWALL
UTEC
ETS4-T
navegacin web), y permite detectar si un protocolo no deseado se col a travs

de un puerto no estndar o si se est abusando de un protocolo de forma
perjudicial.
Un cortafuegos de aplicacin es mucho ms seguro y fiable cuando se compara
con un cortafuegos de filtrado de paquetes, ya que repercute en las siete capas
del modelo de referencia OSI. En esencia es similar a un cortafuegos de filtrado
de paquetes, con la diferencia de que tambin podemos filtrar el contenido del
paquete. El mejor ejemplo de cortafuegos de aplicacin es ISA (Internet
Security and Acceleration).
Un cortafuego de aplicacin puede filtrar protocolos de capas superiores tales
como FTP, TELNET, DNS, DHCP, HTTP, TCP, UDP y TFTP (GSS). Por
ejemplo, si una organizacin quiere bloquear toda la informacin relacionada
con una palabra en concreto, puede habilitarse el filtrado de contenido para
bloquear esa palabra en particular. No obstante, los cortafuegos de aplicacin
resultan ms lentos que los de estado.
Tercera generacin cortafuegos de estado
Esta tercera generacin cortafuegos tiene en cuenta adems la colocacin de
cada paquete individual dentro de una serie de paquetes. Esta tecnologa se
conoce generalmente como la inspeccin de estado de paquetes, ya que
mantiene registros de todas las conexiones que pasan por el cortafuego, siendo
capaz de determinar si un paquete indica el inicio de una nueva conexin, es
parte de una conexin existente, o es un paquete errneo. Este tipo de
cortafuegos pueden ayudar a prevenir ataques contra conexiones en ya
establecidas o en ataques de denegacin de servicio.
Acontecimientos posteriores
En 1992, Bob Braden y DeSchon Annette, de la Universidad del Sur de
California (USC), dan forma al concepto de cortafuegos. Su producto, conocido
como "Visas", fue el primer sistema con una interfaz grfica con colores e
iconos, fcilmente implementable y compatible con sistemas operativos como
Windows de Microsoft o MacOS de Apple. En 1994, una compaa israel
llamada Check Point Software Technologies lo patent como software
denominndolo FireWall.
FIREWALL
UTEC
ETS4-T
La funcionalidad existente de inspeccin profunda de paquetes en los actuales

cortafuegos puede ser compartida por los sistemas de prevencin de intrusiones
(IPS).
Actualmente, el Grupo de Trabajo de Comunicacin Middlebox de la Internet
Engineering Task Force (IETF) est trabajando en la estandarizacin de
protocolos para la gestin de cortafuegos.
Otro de los ejes de desarrollo consiste en integrar la identidad de los usuarios
dentro del conjunto de reglas de los cortafuegos. Algunos cortafuegos
proporcionan caractersticas tales como unir a las identidades de usuario con
las direcciones IP o MAC. Otros, como el cortafuego NuFW, proporcionan
caractersticas de identificacin real solicitando la firma del usuario para cada
conexin.
FIREWALL
Un cortafuegos (firewall en ingls) es una parte de un sistema o una red que
est diseada para bloquear el acceso no autorizado, permitiendo al mismo
tiempo comunicaciones autorizadas. Se trata de un dispositivo o conjunto de
dispositivos configurados para permitir, limitar, cifrar, descifrar, el trfico
entre los diferentes mbitos sobre la base de un conjunto de normas y otros
criterios.
Los cortafuegos pueden ser implementados en hardware o software, o una
combinacin de ambos. Los cortafuegos se utilizan con frecuencia para evitar
que los usuarios de Internet no autorizados tengan acceso a redes privadas
conectadas a Internet, especialmente intranets. Todos los mensajes que entren
o salgan de la intranet pasan a travs del cortafuegos, que examina cada
mensaje y bloquea aquellos que no cumplen los criterios de seguridad
especificados. Tambin es frecuente conectar al cortafuegos a una tercera red,
llamada Zona desmilitarizada o DMZ, en la que se ubican los servidores de la
organizacin que deben permanecer accesibles desde la red exterior. Un
cortafuegos correctamente configurado aade una proteccin necesaria a la red,
pero que en ningn caso debe considerarse suficiente. La seguridad informtica
abarca ms mbitos y ms niveles de trabajo y proteccin.
FIREWALL
UTEC
ETS4-T
Un firewall es un componente de la red cuyo objetivo es impedir el acceso no

autorizado desde internet (ingreso de mensajes no autorizados) y por la tanto
proteger la red de intrusos o amenazas desconocidas.
Dibujo conceptual de un Firewall para su computador personal.
Esquema de Firewall que protege a una red de una oficina
FIREWALL
UTEC
ETS4-T
COMO TRABAJA EL FIREWALL

Un sistema firewall contiene un conjunto de reglas predeterminadas que le
permiten al sistema:
Autorizar la conexin (permitir)
Bloquear la conexin (denegar)
Rechazar el pedido de conexin sin informar al que lo envi (negar)
Todas estas reglas implementan un mtodo de filtrado que depende de la
poltica de seguridad adoptada por la organizacin. Las polticas de seguridad
se dividen generalmente en tres tipos que permiten:
la autorizacin de slo aquellas comunicaciones que se autorizaron
explcitamente:
"Todo lo que no se ha autorizado explcitamente est prohibido"
el rechazo de intercambios que fueron prohibidos explcitamente
El Firewall usa uno o ms de tres mtodos para controlar el trfico en la red:
Filtrado de paquetes: Los paquetes son analizados contra una serie de filtros,
all son analizados y aquellos paquetes que son retenidos por los filtros son
descartados de inmediato.
Servicio Proxy: La informacin proveniente de Internet es analizada por el
firewall y enviada hacia el computador destino y vice versa. Las peticiones no
autorizadas por el firewall son descartadas.
Inspeccin de estado: Es un nuevo mtodo, el cual no revisa el contenido de
cada paquete como los mtodos anteriores, pero compara ciertas partes claves
del paquete contra una base de datos de informacin de confianza. La
informacin que viaja desde dentro del firewall hacia fuera del firewall es
10
FIREWALL
UTEC
ETS4-T
monitoreada, las caractersticas especficas de cada paquete estn definidas y

la informacin entrante es comparada contra esas caractersticas. Si la
comparacin calza razonablemente la informacin es permitida, de lo contrario
ser descartada.
El Firewall es configurable, por lo que se puede agregar o eliminar el filtrado
mediante algunas condiciones, como las siguientes:
Filtrado por direccin IP: El firewall puede negar o permitir el trfico de
informacin desde una direccin IP especfica o bien desde un rango de
direcciones IP especficas.
Filtrado por dominios: El firewall puede tambin realizar los bloqueos o
desbloqueos por nombres de dominio, denegando o permitiendo el trfico
de informacin proveniente de todo el dominio especificado.
Filtrado por Protocolos: El firewall puede negar o permitir el trfico por
protocolo, los protocolos mas usados son:
IP (Internet Protocol)
TCP (Transmission Control Protocol)
HTTP (Hyper Text Transfer Protocol)
FTP (File Transfer Protocol)
UDP (User Datagram Protocol)
ICMP (Internet Control Message Protocol
SMTP (Simple Mail Transport Protocol)
SNMP (Simple Network Management Protocol)
Telnet
Filtrado por Puertos: Especificando el nmero de puerto se deniega o
permite el trfico.
Filtrado por palabras o frases especficas: El firewall analizar cada
paquete de informacin identificando lo que coincida en la lista de frases
o palabras para denegar o permitir el trfico del paquete.
11
FIREWALL
UTEC
ETS4-T
Esquema del funcionamiento de un firewall por hardware y por software.
Existen tres formas de firewalls:

Firewalls de software: Tienen un costo pequeo y son una buena eleccin
cuando slo se utiliza una PC. Su instalacin y actualizacin es sencilla,
pues se trata de una aplicacin de seguridad, como lo sera un antivirus;
de hecho, muchos antivirus e incluso el propio Windows poseen firewalls
para utilizar.
Un firewall gratuito es un Software que se puede instalar y utilizar libremente, o
no, en la computadora. Son tambin llamados 'desktop firewall' o 'software
firewall'. Son firewalls bsicos que monitorean y bloquean, siempre que es
necesario, el trfico de Internet. Casi todas las computadoras vienen con un
firewall instalado, Windows XP y Windows Vista lo traen.
Las caractersticas de un firewall por software son:
- Los gratuitos se incluyen con el sistema operativo y normalmente son para uso
personal
- Pueden ser fcilmente integrados con otros productos de seguridad
- No necesita de hardware para instalarlo en la computadora
- Es muy simple de instalar, normalmente ya viene activado y el Sistema
Operativo alerta cuando no tenemos ningn tipo de firewall en funcionamiento.
- Un firewall de este tipo es el bsico que debe existir en una computadora y no
12
FIREWALL
UTEC
ETS4-T
hay razones que justifiquen la no utilizacin de, por lo menos, un desktop

firewall.
Firewall de Windows XP
Ha sido muy mejorado con el Service Pack 2 (SP2). Las anteriores
versiones de Windows XP e incluso creo que Windows 2000 traan un
firewall muy simple y que realmente no tiene ninguna utilidad. El
firewall que viene con el SP2 es un firewall simple, pero efectivo.
Una limitacin importante de este firewall es que solo controla los
paquetes que llegan a nuestro ordenador y no los que se envan. Esto
supone que por ejemplo si tenemos un spyware enviado datos de a un
servidor externo el firewall de Windows no har nada para impedirlo. Es
decir, desde Microsoft han supuesto que es posible y suficiente evitar la
entrada de intrusiones y no merece la pena controlar el trfico que sale
del ordenador. Quiz sea para que los usuarios no se alarmen que
Windows enva datos de algn tipo cuando, por ejemplo, simplemente
entramos en la Ayuda y Soporte Tcnico de Windows.
Es importante saber que por defecto todos los programas estn
bloqueados. Es decir todos los programas que quieran recibir datos
debern tener el permiso del firewall.
13
FIREWALL
UTEC
ETS4-T
Cuando ejecutamos un programa y este va a recibir datos desde Internet,

el firewall nos pide inmediatamente autorizacin, entonces, podemos
optar por 'Desbloquear' o 'Continuar Bloqueo'. Ver imagen:
Si le damos a Continuar bloqueo el Firewall impedir el trfico hacia ese programa y por tanto
este no funcionara correctamente. Debemos elegir esta opcin cuando el programa que esta
pidiendo permiso es de nuestra confianza y realmente queremos que reciba datos de Internet.
Si le damos a Desbloquear el Firewall permitir al programa recibir datos con total libertad
desde Internet. El programa funcionara correctamente tal como si no hubiera firewall.
Sus ventajas son:

Es gratuito ya que viene con el SP2
Lo tendrn instalado casi todos los usuarios de Windows
Es muy sencillo de manejar
Conoce por defecto los programas de Windows que se comunican a
Internet por lo que no nos molestar con este aspecto.
OTROS FIREWALLS:
Norton personal firewall

Symantec personal / enterprise firewall
Mcafee personal firewall
Zone alarm firewall
Router
14
FIREWALL
UTEC
ETS4-T
Linux firewall
Enrutadores de hardware: Su principal funcin es la de disfrazar la

direccin y puertos de la PC a los intrusos. Suelen tener cuatro puertos
de red para conexin mediante cableado.
Una firewall por Hardware viene normalmente instalado en los routers
que utilizamos para acceder a Internet, lo que significa que todas las
computadoras que estn detrs del router estarn protegidas por un
firewall que est incluido en el dispositivo. La mayora de los routers
vienen con un firewall instalado. La configuracin de un firewall por
hardware es ms complicada que una instalacin de un firewall por
software y es normalmente realizada a travs del navegador que se
utiliza para acceder a Internet.
La diferencia de precio entre un router con firewall y un router sin
firewall es muy pequea, por eso es recomendable comprar un router con
esta proteccin.
Es posible tener un firewall por hardware y un firewall por software
activos simultneamente para lograr una mayor proteccin.
Firewalls de hardware: Son ms caros y complejos de manejar en el
mantenimiento y actualizacin. Los firewalls de hardware son ms
indicados en empresas y grandes corporaciones que tienen mltiples
computadoras conectadas. Tambin suelen utilizarse en aquellas
empresas que prestan servicios de hosting y necesitan seguridad en los
servidores.
Firewall por hardware
15
FIREWALL
UTEC
ETS4-T
TIPOS DE FIREWALLS.
Conceptualmente hay dos tipos de firewalls, nivel de red y nivel de aplicacin.
Los firewalls de nivel de red toman sus acciones en funcin del origen, la
direccin de destino y el port en cada paquete IP. Los modernos firewalls de
este tipo se han sofisticado y mantienen informacin respecto del estado de las
conexiones que estn activas a travs de l, etc. Este tipo de firewall tiende a
ser muy rpidos y son transparentes al usuario.
Los firewalls de nivel de aplicacin por lo general son hosts corriendo proxy
servers, que no permiten el trfico directo entre redes, manteniendo una
elaborada auditoria y logeo del trfico que pasa a travs de l. Este tipo de
firewall puede ser utilizado para realizar las tareas relativas al NAT, debido a
que como las comunicaciones van de un lado hacia el otro se puede enmascarar
la ubicacin original. Este tipo tiende a proveer una auditora ms detallada y
un mayor grado de seguridad que los de nivel de red.
Los routers de filtro de paquetes, que corresponden al primer grupo, realizan
una decisin del tipo pasa no pasa para cada paquete que recibe. El router
examina cada datagrama para determinar si se aplican sus reglas de filtrado.
Las reglas de filtrado se basan en la informacin contenida en el encabezado
del paquete. Esta informacin consiste en el IP de origen, la IP de destino, el
protocolo encapsulado (TCP, UDP, ICMP), el port TCP/UDP de origen y de
destino, etc. Toda esta informacin es controlada contra las reglas de filtrado
definidas, pudiendo ser enrutada si existe una regla que lo permite, descartada
si una regla as lo indica y si no existe regla comparable un parmetro
previamente configurado determinar si el paquete pasa o no.
Dentro de este tipo estn los que filtran en funcin del servicio involucrado.
Esto es posible pues hay muchos servicios para los cuales estn normalizados
los ports en los que escuchan, por lo cual se pueden definir reglas que
involucren el port, definiendo la aceptacin o el rechazo.
Por otro lado frente a diferentes ataques que se fueron produciendo surgieron
otros firewalls cuyas reglas son independientes del servicio; estas reglas exigen
un anlisis ms detallado que involucra el ruteo, las opciones de IP,
verificacin de los fragmentos de desplazamiento y puntos por el estilo.
La mayora de los firewalls implementados sobre Internet estn desarrollados
sobre el concepto de filtrado de paquetes. Este tipo de firewalls no son difciles
16
FIREWALL
UTEC
ETS4-T
de configurar debido a que su software contiene una serie de reglas

previamente configuradas y fundamentalmente son transparentes al usuario y
no exigen instalar ningn software adicional en los hosts.
Por otro lado cuando se debe customizar de manera tal de adaptarlo a
aplicaciones especficas de cada empresa la tarea se puede hacer algo compleja
pues exige una figura de administrador que debe conocer los servicios de
Internet, los distintos encabezados de los paquetes, los distintos valores que se
espera encontrar en los campos a analizar. Si se requiere un filtrado complejo,
las reglas pueden volverse demasiado largas con la consecuencia de una difcil
administracin y seguimiento.
Como dijimos los filtros a nivel de aplicacin permiten aplicar un esquema de
seguridad ms estricto. En estos firewalls se instala un software especfico para
cada aplicacin a controlar (un proxy server); de hecho si no se instala los
servicios relativos a la aplicacin las comunicaciones no podrn ser enrutadas,
punto que no se convierte en trivial pues de esta forma estamos garantizando
que todas aquellas nuevas aplicaciones desconocidas no podrn acceder a
nuestra red. Otro ventaja que trae el uso de este tipo de firewall es que permite
el filtrado del protocolo, por ejemplo se podra configurar el proxy server que
atiende el FTP para que pueda aceptar conexiones pero denegar el uso del
comando put asegurando de esta forma que no nos puedan escribir ningn
archivo o que impida navegar por el FS; esto es lo que hay se conoce como un
FTP annimo
Este tipo de configuracin incrementa los costos de la plataforma sobre la cual
funcionar el filtro.
Algunos reconocen otro nivel de aplicacin de firewall que es nivel de circuito,
que en realidad no procesa ni filtra el protocolo, sino que simplemente establece
un circuito entre origen y destino.
TIPOS BSICOS:
Nivel de aplicacin de pasarela
Aplica mecanismos de seguridad para aplicaciones especficas, tales como
servidores FTP y Telnet. Esto es muy eficaz, pero puede imponer una
degradacin del rendimiento.
17
FIREWALL
UTEC
ETS4-T
Circuito a nivel de pasarela

Aplica mecanismos de seguridad cuando una conexin TCP o UDP es
establecida. Una vez que la conexin se ha hecho, los paquetes pueden fluir
entre los anfitriones sin ms control. Permite el establecimiento de una sesin
que se origine desde una zona de mayor seguridad hacia una zona de menor
seguridad.
Cortafuegos de capa de red o de filtrado de paquetes
Funciona a nivel de red (capa 3 del modelo OSI, capa 2 del stack de protocolos
TCP/IP) como filtro de paquetes IP. A este nivel se pueden realizar filtros
segn los distintos campos de los paquetes IP: direccin IP origen, direccin IP
destino. A menudo en este tipo de cortafuegos se permiten filtrados segn
campos de nivel de transporte (capa 3 TCP/IP, capa 4 Modelo OSI), como el
puerto origen y destino, o a nivel de enlace de datos (no existe en TCP/IP, capa
2 Modelo OSI) como la direccin MAC.
Cortafuegos de capa de aplicacin
Trabaja en el nivel de aplicacin (capa 7 del modelo OSI), de manera que los
filtrados se pueden adaptar a caractersticas propias de los protocolos de este
nivel. Por ejemplo, si se trata de trfico HTTP, se pueden realizar filtrados
segn la URL a la que se est intentando acceder.
Un cortafuegos a nivel 7 de trfico HTTP suele denominarse proxy, y permite
que los computadores de una organizacin entren a Internet de una forma
controlada. Un proxy oculta de manera eficaz las verdaderas direcciones de red.
Cortafuegos personales
Es un caso particular de cortafuegos que se instala como software en un
computador, filtrando las comunicaciones entre dicho computador y el resto de
la red. Se usa por tanto, a nivel personal.
18
FIREWALL
UTEC
ETS4-T
ARQUITECTURAS
Filtrado de paquetes
Las tecnologas de filtrado de paquetes que se emplean en los firewalls
constituyen una manera eficaz y general para controlar el trfico en la red.
Tales tecnologas tienen la ventaja de no realizar ningn cambio en las
aplicaciones del cliente y el servidor, pues operan en las capas IP y TCP, las
cuales son independientes de los niveles de aplicacin segn se establece en el
modelo OSI. Por otro lado, los enfoques de la filtracin de paquetes no han
declarado muchos requerimientos de seguridad, por la informacin incompleta
con la que trabajan. Slo la informacin de las capas de transporte y red, como
las direcciones IP, los nmeros de puerto y las banderas TCP estn disponibles
para las decisiones de filtracin. En muchas implementaciones de los filtros de
paquete, el nmero de reglas puede ser limitado; adems, mientras mayor sea
este nmero, habr una alta penalizacin en el desempeo, a causa del proceso
adicional necesario para las reglas complementarias.
En vista de la falta de informacin de contexto, ciertos protocolos como el UDP
y RPC no pueden filtrarse con efectividad. Adems, en muchas
implementaciones, faltan los mecanismos de intervencin y alerta. Muchas de
estas implementaciones de filtros pueden requerir un alto nivel de comprensin
de los protocolos de comunicacin y su comportamiento, cuando se utilizan por
diferentes aplicaciones.
Los dispositivos de filtracin de paquetes, casi siempre se mejoran mediante
otros tipos dispositivos llamados barreras de proteccin. Las barreras de
proteccin se llaman as porque operan en las capas superiores del modelo OSI
y tienen informacin completa sobre las funciones de la aplicacin en la cual
basan sus decisiones. Estos constituyen la mayora de los firewalls tal cual hoy
los conocemos.
Existen varios mtodos para construir una barrera de proteccin. Las
organizaciones con talento en la programacin y recursos financieros
suficientes, en general prefieren usar un mtodo personalizado de barreras de
proteccin para proteger la red de la organizacin. Si se ejecuta de manera
adecuada, tal vez ste sea el mtodo ms eficaz y por supuesto el ms costoso.
19
FIREWALL
UTEC
ETS4-T
Otras organizaciones prefieren usar los productos comerciales existentes, as

como personalizarlos y configurarlos para cumplir la poltica de seguridad de
red de esas organizaciones.
De aqu en adelante iremos describiendo las distintas arquitecturas con las
cuales se puede implementar una barrera de proteccin para nuestra red
Dual-Homed Host (de dos bases)

Un firewall de dos bases no es nada ms y nada menos que un firewall con dos
interfaces de red, que permite asilar una red interna de una red externa no
confiable. Como este anfitrin no enva ningn trfico TCP/IP, bloquea por
completo cualquier trfico IP entre las redes no confiables interna y externa.
Muchos servicios Internet son en esencia de almacenaje y envo. Si estos
servicios se ejecutan en el anfitrin, pueden configurarse para transmitir
servicios de aplicacin desde una red hacia la otra. Si los datos de aplicacin
deben cruzar la barrera, es factible configurar los agentes emisores de
aplicacin para hacer la ejecucin en el anfitrin. Estos agentes son programas
especiales, utilizados para enviar solicitudes de aplicacin entre dos redes
conectadas. Otro mtodo es permitir que los usuarios se conecten al anfitrin
de dos bases y despus tengan accesos a los servicios externos desde la interfaz
de red externa del anfitrin.
Si se usan los emisores de aplicacin, el trfico de la aplicacin no puede cruzar
la barrera, a menos que el emisor de aplicacin se ejecute y se configure en el
servidor de barrera de proteccin. Esta accin es la implementacin de la
poltica si no est permitido de manera expresa, est prohibido. Si se autoriza
a los usuarios conectarse en forma directa a la barrera de proteccin, puede
comprometerse la seguridad de sta porque la barrera es el punto central de la
conexin entre la red externa y la interna. Por definicin, la barrera de este
tipo est en zona de riesgo. Si el usuario selecciona una contrasea dbil o
compromete su cuenta de usuario (al proporcionar la contrasea), la zona de
riesgo quiz se extienda a la red interna y por lo tanto eliminar el objetivo de
la barrera.
Si se mantienen registros adecuados de las conexiones de usuarios, es posible
rastrear las conexiones no autorizadas a la barrera, en el momento que se
descubra una brecha de seguridad. En cambio si se impide que los usuarios se
20
FIREWALL
UTEC
ETS4-T
conecten en forma directa a la barrera, cualquier intento de conexin directa se

registrar como algo notorio y como una brecha potencial de seguridad.
Este tipo de firewall, con una interfaz mirando a cada red, es la configuracin
bsica usada en las barreras de proteccin. Los aspectos delicados son que el
enrutamiento se encuentra inhabilitado y que la nica ruta entre los segmentos
de red es a travs de una funcin de capa de aplicacin. Si el enrutamiento se
ha configurado de manera errnea por accidente (o por diseo) para
permanecer activo, se ignorarn las funciones de la capa de aplicacin de las
barreras de proteccin.
La mayora de estas configuraciones estn montadas sobre mquinas UNIX.
En algunas implementaciones de este sistema operativo, las funciones de
enrutamiento se activan de manera predeterminada, por lo cual es importante
verificar que dichas funciones estn inhabilitadas.
Screened Host (Firewall como servidor bastin).

Un firewall es un servidor de barrera de proteccin que es determinante para
la seguridad en la red. Es el servidor central para la seguridad en la red de una
organizacin y, por su funcin, debe estar en una buena fortaleza. Esto
significa que el firewall lo monitorean con detenimiento los administradores de
la red. La seguridad del sistema y del software del servidor debe revisarse con
regularidad. Asimismo, es preciso observar los registros de acceso en busca de
cualquier brecha potencial de seguridad y de un intento de asalto al servidor.
21
FIREWALL
UTEC
ETS4-T
La configuracin antes comentada es un caso especial del firewall. Como los

firewalls actan como un punto de interfaz para una red externa no confiable,
casi siempre estn sujetos a invasiones. La distribucin ms simple es aquella
en la que el servidor constituye el primer y nico punto de entrada para el
trfico de una red externa.
En vista de que el firewall es determinante para la seguridad de la red interna,
por lo regular se coloca otra primera lnea de defensa entre la red externa no
confiable y la red interna. Esta lnea casi siempre la proporciona un router de
seleccin. En este esquema el firewall tiene una sola interfaz de red conectada
a la red interna y el enrutador de seleccin tiene dos, una a Internet y la otra a
la red interna enrutando todo el trfico hacia el bastin.
Se debe configurar el router para que enve primero hacia el firewall todo el
trfico recibido de las redes externas para la red interna. Antes de enviar el
trfico hacia este servidor, el router aplicar sus reglas de filtro en el trfico del
paquete. Slo el trfico de red que pase tales reglas ser dirigido hacia el
firewall; el resto del trfico ser rechazado. Esta arquitectura da un mayor
nivel de confianza en la seguridad de la red. Un intruso necesita penetrar
primero en el router de seleccin y, si lo logra, debe enfrentarse con el firewall.
El firewall utiliza funciones a nivel de aplicacin para determinar si las
solicitudes hacia y desde la red externa se aceptarn o negarn. Si la solicitud
pasa el escrutinio del firewall, se enviar a la red interna para el trfico de
entrada. Para el trfico de salida (trfico hacia la red externa), las solicitudes
se enviarn al router de seleccin.
Algunas organizaciones prefieren que su proveedor de acceso a Internet, IAP,
proporcione las reglas de los filtros de paquetes para el trfico en red enviado a
la red de dicha organizacin. El filtro de paquetes an acta como la primera
lnea de defensa, pero se debe confiar al IAP el mantenimiento adecuado de las
reglas del filtro de paquetes.
Otro punto a tener en cuenta es la seguridad del router de seleccin. Sus tablas
de enrutamiento deben configurarse para enviar el trfico externo al firewall.
Dichas tablas necesitan estar protegidas contra las invasiones y los cambios no
autorizados. Si la entrada a las tablas se cambia para que el trfico no se enve
al firewall sino en forma directa a la red conectada localmente, el firewall se
ignorar.
22
FIREWALL
UTEC
ETS4-T
Adems si el router responde a los mensajes ICMP (protocolo Internet de

mensajes de control) de redireccin, ser vulnerable a los falsos mensajes ICMP
que enve el intruso. Por lo tanto, debe inhabilitarse la respuesta a los
mensajes ICMP de redireccin. Se deben eliminar los servicios de red
innecesarios y utilizar el enrutamiento esttico. En especial, asegurarse que los
demonios routed y gated no se encuentren en ejecucin; de lo contrario, las
rutas sern anunciadas al mundo exterior. Por otro lado, realizar entradas
permanentes en la tabla de cach ARP para sealar al firewall.
Entre los servicios a inhabilitar se encuentran: ARP, redirecciones ICMP, ARP
apoderado, MOP y mensajes ICMP no alcanzables, TELNET. En una operacin
ARP normal, las tablas ARP de entrada se construyen de manera dinmica y
expiran despus de un tiempo determinado. Inicializar en forma manual la
tabla cache ARP para el router y el firewall. Las entradas ARP realizadas en
forma manual nunca expiran y actan como entradas estticas. Con el
procesamiento ARP inhabilitado en el router, ste no proporcionar su
direccin de hardware.
Screened Subnet (Firewall como servidor de bastin con dos interfaces de red).
Bajo esta configuracin una interfaz est conectada a la red exterior y la otra
interfaz lo est a la red interior. Uno de los puertos del router (el de la
primera lnea de defensa) est conectado a la red interior y el otro lo est a
Internet. Ntese que hablamos de red interior, exterior e Internet; aqu
23
FIREWALL
UTEC
ETS4-T
surge el nuevo concepto de red exterior que es la que se ubica entre el firewall y
el router.
De nuevo el router debe configurarse para enviar todo el trfico recibido de las
redes externas para la red interna hacia la interfaz de red interior del
bastin. Antes de enviar el trfico, el router aplicar sus reglas de filtro de
paquetes. Slo el trfico de red que pase estas reglas se dirigir hacia el
firewall; el resto habr de rechazarse. Un intruso debe penetrar primero en el
router y, si lo logra, se enfrentar al firewall.
No existen servidores en la red exterior ms que el router y una de las
interfaces de red del firewall. La red exterior forma una zona desmilitarizada
DMZ. Ya que la DMZ slo tiene dos conexiones de red, puede reemplazarla un
enlace dedicado punto a punto. Este hecho dificultar ms conectarse con este
enlace mediante analizadores de protocolos. Si se utiliza una red Ethernet o
token ring para la DMZ, una estacin de trabajo que coloque su interfaz de red
en el modo promiscuo puede capturar el trfico de la red y tener acceso a los
datos delicados. Por lo general, las interfaces de red slo leen el paquete que se
le dirija en forma directa. En el modo promiscuo, sin embargo, dichas interfaces
leen todos los paquetes que ve la interface de red. Todos los servidores de la
organizacin (excepto el firewall) estn conectados a la red interior.
Esta configuracin tiene otra ventaja sobre esa configuracin de red en la cual
slo se empleaba una interface de red del firewall. Esta ventaja es que el
firewall no se puede ignorar al atacar las tablas de enrutamiento de los routers.
El trfico de la red debe pasar por este firewall para llegar a la red interior.
24
FIREWALL
UTEC
ETS4-T
Dos firewalls y dos DMZ

En este caso ambas interfaces de los firewalls se encuentran configuradas. Tres
zonas de red estn formadas en la red interna: la red exterior, la red privada y
la red interior.
Existe una red privada entre los firewalls interior y exterior. Una organizacin
puede colocar algunos servidores en la red privada y mantener los ms
delicados detrs del firewall interior. Por otra parte, una organizacin quiz
desee una seguridad mxima y usar la red privada como una segunda zona de
buffer o DMZ interior, adems de mantener todos los servidores en la red
interior.
Si una empresa quiere proporcionar acceso completo a una gran variedad de
servicios, como FTP annimo (protocolo de transferencia de archivos), Gopher y
WWW (World Wide Web), puede proveer ciertos servidores de sacrificio en la
DMZ exterior. Los firewalls no deben confiar en ningn trfico generado desde
estos servidores de sacrificio.
El router de seleccin debe estar configurado para enviar todo el trfico
recibido desde las redes externas para la red interna hacia el firewall interior.
Antes de mandar el trfico, el router aplicar las reglas de filtro de paquetes.
Slo el trfico de la red que pasa esas reglas se dirigir al firewall exterior; el
25
FIREWALL
UTEC
ETS4-T
resto ser rechazado. Un intruso debe penetrar primero el router y, si lo hace,

se enfrentar al firewall exterior.
Sin que le importe violar las defensas de la red exterior, el intruso penetra en
le firewall interior. Por ello, si los recursos lo permiten, tal vez se desee dar a
cada firewall la responsabilidad de un grupo administrativo diferente. Esto
asegura que los errores de un grupo de administradores no los repitan los
dems administradores. Tambin se debe garantizar que los dos grupos
compartan informacin acerca de debilidades descubiertas en los firewalls.
Otro tipo de configuracin de red se obtiene al utilizar dos firewalls, pero slo
una interfaz de red de cada anfitrin. Un segundo router llamado elahogador
se agrega entre la DMZ y las redes interiores. Se debe asegurar que los
firewalls no se ignoren y que los routers usen rutas estticas.
A partir de estos elementos, firewalls con una o dos interfaces de red y routers,
se pueden lograr diferentes configuraciones que surgen de la combinacin de
ellos. Cuando slo est en uso una interfaz de red del firewall, se deben utilizar
rutas estticas en los routers y configurar bien las entradas de las tablas de
enrutamiento para asegurar que los firewalls no se ignoren.
Subredes Seleccionadas
En algunas configuraciones de barreras de proteccin, tanto la red externa no
confiable como la red interna pueden tener acceso a una red aislada; sin
embargo, ningn trfico de red puede fluir entre ambas redes a travs de la red
aislada. El aislamiento de la red se lleva a cabo mediante una combinacin de
routers de seleccin configurados de manera adecuada. Dicha red se conoce
como red seleccionada.
Algunas redes seleccionadas pueden tener compuertas a nivel de aplicacin,
que actan como firewalls y permiten el acceso interactivo a los servicios
exteriores. Los routers se utilizan para conectar a Internet con la red interna.
El firewall es una compuerta de aplicacin y rechaza todo el trfico que no se
acepte de manera expresa.
26
FIREWALL
UTEC
ETS4-T
Como la nica manera de tener acceso a la subred seleccionada es mediante el

firewall, es bastante difcil que el intruso viole esta subred. Si la invasin viene
por Internet, el intruso debe volver a configurar el enrutamiento en Internet, la
subred seleccionada y la red interna para tener libre acceso (lo cual se logra con
dificultad si los routers permiten el acceso slo a los servidores especficos). Si
alguien violara al firewall, el intruso forzara su entrada hacia uno de los
anfitriones en la red interna y despus el router, para tener acceso a la subred
seleccionada. Este tipo de invasin de tipo aislamiento es difcil de lograr sin
desconectarse o sin activar alguna alarma.
Como las redes seleccionadas no permiten que el trfico de red fluya entre
Internet y la red interna, las direcciones IP de los anfitriones en dichas redes se
ocultan unas de otras. Esto permite que una organizacin a la que el NIC
(Centro de Informacin de red) an no le haya asignado oficialmente nmeros
de red, tenga acceso a Internet mediante servicios de compuertas de aplicacin,
proporcionados por el firewall en la subred seleccionada. Si estos servicios
usados con la compuerta de aplicacin estn restringidos, estas limitantes
pueden estimular que la red interna asigne nmeros de red de manera oficial.
Proxy y Gateways de Aplicaciones (Compuertas a nivel de aplicacin).

Las compuertas a nivel de aplicacin pueden manejar trfico de almacenaje y
envo, as como trfico interactivo. Dichas compuertas estn programadas para
comprender trfico al nivel de aplicacin del usuario (capa 7 del modelo OSI);
por lo tanto, pueden proporcionar controles de acceso a niveles de usuario y de
protocolos de aplicacin. Adems, es factible utilizarlas para mantener un
registro inteligente de todos los usos de las aplicaciones. La habilidad para
registrar y controlar todo el trfico de entrada y de salida es una de las
caractersticas principales de las compuertas a nivel de aplicacin. Las
compuertas por s mismas pueden integrar, si es necesario, seguridad
adicional.
Para cada aplicacin que se transmita, las compuertas a nivel de aplicacin
utilizan un cdigo de propsito especial. Gracias a este cdigo, las compuertas
de aplicacin proporcionan un alto nivel de seguridad. Para cada nuevo tipo de
aplicacin que se agregue a la red y que requiera proteccin, tiene que
escribirse un nuevo cdigo de propsito especial; por lo tanto, la mayora de
27
FIREWALL
UTEC
ETS4-T
este tipo de compuertas provee un subgrupo limitado de aplicaciones y servicios

bsicos.
Para utilizar las compuertas a nivel de aplicacin, los usuarios deben
conectarse a la mquina de la compuerta de aplicacin o implementar un
servicio especfico para la aplicacin de cliente para cada servidor que emplear
el servicio. Cada mdulo de compuerta especfica para la aplicacin puede tener
su propio grupo de herramientas de administracin y lenguaje de comandos.
Una desventaja de muchas compuertas es que debe escribirse un programa
personalizado para cada aplicacin. Sin embargo, este hecho tambin es una
ventaja en seguridad, pues no se pueden pasar las barreras de proteccin a
menos que haya estipulado una compuerta explcita a nivel de aplicacin.
El programa personalizado de aplicacin acta como un apoderado que acepta
las llamadas entrantes y las verifica con la lista de acceso de los tipos de
solicitudes permitidas. En este caso, se trata de un servidor apoderado de
aplicacin. Al recibir la llamada y verificar que sea permitida, el apoderado
enva la solicitud al servidor correspondiente; por lo tanto, acta como un
servidor y como cliente. Trabaja como un servidor para recibir la solicitud
entrante y como un cliente al enviarla. Despus de establecer la sesin, el
apoderado de aplicacin funciona como un relevo y copia los datos existentes
entre el cliente que inici la aplicacin y el servidor. Dado que todos los datos
ente el cliente y el servidor los intercepta el apoderado de la aplicacin, ste
tiene control total sobre la sesin y puede hacer un registro tan detallado como
usted lo requiera.
28
FIREWALL
UTEC
ETS4-T
Inspeccin de Paquetes
Este tipo de Firewalls se basa en el principio de que cada paquete que circula
por la red es inspeccionado, as como tambin su procedencia y destino. Se
aplican desde la capa de Red hasta la de Aplicaciones. Generalmente son
instalados cuando se requiere seguridad sensible al contexto y en aplicaciones
muy complejas.
Firewalls Personales
Estos Firewalls son aplicaciones disponibles para usuarios finales que desean
conectarse a una red externa insegura y mantener su computadora a salvo de
ataques que puedan ocasionarle desde un simple "cuelgue" o infeccin de virus
hasta la prdida de toda su informacin almacenada.
CAPAS DEL MODELO OSI EN QUE TRABAJAN LOS FIREWALLS.

Existen muchos tipos de cortafuegos, no obstante la clasificacin ms clara
quizs sera la que los diferencia segn la forma de implementar la poltica de
seguridad de la empresa atendiendo al nivel de la capa OSI en la que se
implementa dicha poltica de seguridad.
En un primer lugar existen los cortafuegos de nivel 3 de la capa OSI, esto es, de
nivel de red o lo que es lo mismo, nivel IP en redes TCP/IP como Internet. Estos
cortafuegos pueden ser considerados como filtros de paquetes ya que lo que
realizan a fin de cuentas es un filtrado de los intentos de conexin atendiendo a
direcciones IP origen y destino y puerto de destino de los paquetes IP. Esto
quiere decir que en la poltica de seguridad de la empresa podremos indicar que
slo dejaremos pasar paquetes destinados al puerto 25 (puerto de SMTP para
correo electrnico) de nuestro servidor corporativo. Tambin podremos
especificar desde qu direcciones IP origen dejaremos acceso a nuestros
servidores pblicos. Este tipo de cortafuegos vienen implementados en la
mayora de routers comerciales.
Otra posibilidad de implementacin de cortafuegos es a nivel 4 de OSI, esto es
a nivel de transporte o de TCP en redes TCP/IP. En este nivel ya se puede
atender a aspectos de s los paquetes son de inicio de conexin o se
corresponden con paquetes cuyas conexiones estn ya establecidas.
29
FIREWALL
UTEC
ETS4-T
A grandes rasgos los cortafuegos a nivel de circuitos ya tratan con nmeros de

secuencias de paquetes TCP/IP. Si los paquetes pertenecen a una conexin o si
no se corresponden con ninguna conexin establecida.
Por ltimo nos quedan los cortafuegos a nivel 7 de la capa OSI, esto es, a nivel
de aplicacin.
Estos cortafuegos actan a modo de proxy para las distintas aplicaciones que
van a controlar.
Por de pronto ya se ve que con estos cortafuegos no ser posible dejar pasar
todos los protocolos (al menos de manera segura, esto es, no es frecuente ver
cortafuegos a nivel de), pero lo que s es cierto es que podremos llegar al detalle
en cuanto a la posibilidad de implementar polticas de seguridad para estos
protocolos.
La implantacin de cortafuegos de distintos niveles de aplicacin no tiene que
ser excluyentes sino complementarias.
BENEFICIOS DE UN FIREWALL
Los Firewalls manejan el acceso entre dos redes, y si no existiera, todas las
computadoras de la red estaran expuestas a ataques desde el exterior. Esto
significa que la seguridad de toda la red, estara dependiendo de que tan fcil
fuera violar la seguridad local de cada maquina interna.
El Firewall es el punto ideal para monitorear la seguridad de la red y generar
alarmas de intentos de ataque, el administrador ser el responsable de la
revisin de estos monitoreos.
Otra causa que ha hecho que el uso de Firewalls se halla convertido en uso casi
imperativo es el hecho que en los ltimos aos en Internet han entrado en
crisis el nmero disponible de direcciones IP, esto ha hecho que las intranets
adopten direcciones sin clase, las cuales salen a Internet por medio de un
"traductor de direcciones", el cual puede alojarse en el Firewall.
Los Firewalls tambin son importantes desde el punto de vista de llevar las
estadsticas del ancho de banda "consumido" por el trfico de la red, y que
procesos han influido ms en ese trfico, de esta manera el administrador de la
red puede restringir el uso de estos procesos y economizar o aprovechar mejor
el ancho de banda disponible.
30
FIREWALL
UTEC
ETS4-T
Los Firewalls tambin tienen otros usos. Por ejemplo, se pueden usar para
dividir partes de un sitio que tienen distintas necesidades de seguridad o para
albergar los servicios WWW y FTP brindados.
LIMITACIONES DE UN FIREWALL
La limitacin ms grande que tiene un Firewall sencillamente es el hueco que
no se tapa y que coincidentemente o no, es descubierto por un intruso. Los
Firewalls no son sistemas inteligentes, ellos actan de acuerdo a parmetros
introducidos por su diseador, por ende si un paquete de informacin no se
encuentra dentro de estos parmetros como una amenaza de peligro
simplemente lo deja pasar. Ms peligroso an es que ese intruso deje Back
Doors, abriendo un hueco diferente y borre las pruebas o indicios del ataque
original.
Otra limitacin es que el Firewall "NO es contra humanos", es decir que si un
intruso logra entrar a la organizacin y descubrir passwords o los huecos del
Firewall y difunde esta informacin, el Firewall no se dar cuenta.
El Firewall tampoco provee de herramientas contra la filtracin de software o
archivos infectados con virus, aunque es posible dotar a la mquina, donde se
aloja el Firewall, de antivirus apropiados.
Finalmente, un Firewall es vulnerable, l NO protege de la gente que est
dentro de la red interna. El Firewall trabaja mejor si se complementa con una
defensa interna. Como moraleja: "cuanto mayor sea el trfico de entrada y
salida permitido por el Firewall, menor ser la resistencia contra los paquetes
externos. El nico Firewall seguro (100%) es aquel que se mantiene apagado".
ESTADO ACTUAL EN EL MERCADO
Hoy por hoy en el mercado existen infinidad de proveedores de aplicaciones de
firewalls, que estn complementadas con los esfuerzos por elevar el nivel de
seguridad de los distintos sistemas operativos.
Estas aplicaciones de firewalls estn disponibles para los distintos sistemas
operativos y si bien en lneas generales todos cumplen bsicamente las mismas
funciones, cada proveedor tiene sus caractersticas particulares que se van
igualando de uno a otro con el correr del tiempo y el desarrollo de los distintos
releases.
31
FIREWALL
UTEC
ETS4-T
Entre los productos ms utilizados se encuentran Firewall-1, Pix y Raptor, de

las empresas Chekpoint, Cisco y HP respectivamente.
Indagando un poco en el mercado local se puede comprobar que el producto de
Cisco esta siendo muy utilizado, debido a su integracin nativo en todas
aquellas organizaciones que estn utilizando routers Cisco
Adems de verificar las caractersticas particulares de cada uno se pueden
bajar de Internet versiones de evaluacin para corroborar las distintas
facilidades como as tambin observar como se adapta a la organizacin donde
se implementar.
32
FIREWALL
UTEC
ETS4-T
En el mercado existe una gran variedad de distribuidores de firewalls. Algunos

de los ms importantes son los siguientes:
FIREWALL SOFTWARE.
Check Point Software Technologies Ltd.
Proveedor global de soluciones de seguridad IT. Conocido por sus productos

Firewall y VPN.
Check Point fue el pionero en la industria con el FireWall-1 y su tecnologa
patentada de inspeccin de estado. Hoy en da la compaa desarrolla,
comercializa y soporta una amplia gama de software y hardware combinados y
productos de software que cubren todos los aspectos de seguridad de IT ,
incluyendo seguridad de red, seguridad endpoint, seguridad de datos y gestin
de seguridad.
Fundada en 1993 en Ramat-Gan, Israel, Check Point cuenta hoy con
aproximadamente 2.200 empleados en todo el mundo. Los Centros de
desarrollo de la compaa se encuentran en Israel, California (ZoneAlarm),
Suecia (ex centro de desarrollo de Proteccin de Datos) y en Bielorrusia. La
empresa tambin tiene oficinas en los Estados Unidos, en Redwood City,
California y en Dallas, Texas, as como en Canad en Ottawa, Ontario.
Check Point fue creada en 1993, por el Presidente actual de la compaa y CEO
Gil Shwed, a la edad de 25 aos, y dos de sus amigos, Marius Nacht
(actualmente Vice-Presidente) y Shlomo Kramer ( en el 2003 dej Check Point
para crear una nueva empresa - Imperva, donde se desempea como Presidente
y Director General). Gil tuvo la idea inicial de la tecnologa base de la empresa
que se conoce como inspeccin de estado, siendo esta la raz para el primer
33
FIREWALL
UTEC
ETS4-T
producto de la compaa (llamado simplemente FireWall-1), poco despus

desarrollaron uno de los primeros productos VPN del mundo (VPN-1).
La financiacin inicial de 600.000 dlares fue proporcionada por BRM Group,
una financier de capital riesgo creado por los hermanos Eli y Nir Barkat (quien
el 11 de noviembre de 2008 fue elegido alcalde de Jerusaln).
La empresa tuvo su primer xito comercial en 1994, cuando Check Point firma
un acuerdo OEM con Sun Microsystems, seguido por un acuerdo de
distribucin con HP en 1995. El mismo ao, se abre la oficina central de
EE.UU. establecida en Redwood City, California.
Para febrero de 1996, la compaa es nombrada lder del mercado mundial en
Firewall por IDC, con un 40% del Mercado. En junio de 1996 Check Point
recauda $ 67 millones de su oferta pblica inicial de acciones en el NASDAQ.
En 1998, Check Point establece una exitosa alianza con Nokia, que combina el
software de Check Point con los accesorios de seguridad de red para
ordenadores de Nokia, para el 2000 la empresa se convirti en el principal
proveedor mundial de soluciones de VPN (en trminos de cuota de mercado).
Durante la dcada del 2000, Check Point adquiere otras empresas de seguridad
IT, culminando con la adquisicin de la unidad de negocio de Nokia en
seguridad de red en el ao 2009, poco ms de 10 aos despus de la primera
asociacin con Nokia.
Los Productos de Check Point se dividen en las siguientes categoras

principales:
Security Gateway - negocio de Check Point bsico, con productos como

accesorios Power-1, dispositivos UTM-1, accesorios IP , VSX-1,
Connectra, Safe@Office y Hojas de software tales como Firewall, IPS y
VPN IPSEC
Endpoint Security - Integridad Check Point, Agente de seguridad

individual que combina firewall, antivirus, antispyware, cifrado
completo del disco, cifrado de los medios de comunicacin con proteccin
de puertos, control de acceso a redes (NAC), control de programa y VPN
en endpoint.
34
FIREWALL
UTEC
ETS4-T
Gestin de Seguridad - Permite a los administradores gestionar eventos,

establecer normas y aplicar
Proteccin a toda la infraestructura de seguridad desde una nica interfaz. Las

soluciones estn basadas en la arquitectura de Software Blade, con una cartera
de 10 hojas de software de gestin incluyendo anlisis de caso, correlacin y
dispositivo de aprovisionamiento.
Karspersky
Empresa especializada en productos para la seguridad informtica, que ofrece

firewall, anti-spam y en particular antivirus. Es fabricante de una amplia
gama de productos software para la seguridad de los datos y aporta soluciones
para la proteccin de equipos y redes contra todo tipo de programa nocivo,
correo no solicitado o indeseable y ataques de red. La empresa fue fundada en
1997 por Yevgeny Kaspersky en Mosc (Rusia). Kaspersky Lab es una
organizacin internacional. Con sede en Rusia, la organizacin cuenta con
delegaciones en el Reino Unido, Francia, Alemania, Japn, Estados Unidos y
Canad, pases del Benelux, China, Polonia, Rumana, Portugal y Espaa. El
Centro europeo de investigacin antivirus, fue constituido en Francia. La red
de colaboradores de Kaspersky Lab incluye ms de 500 organizaciones a lo
largo del mundo.
Un anlisis avanzado de la actividad virolgica le permite a Kaspersky ofrecer
una proteccin completa contra amenazas actuales e incluso futuras.
Kaspersky Lab fue una de las primeras empresas de este tipo en desarrollar
estndares para la defensa antivirus. Numerosos fabricantes conocidos utilizan
el ncleo de Kaspersky Anti-Virus: Nokia ICG (EEUU), F-Secure (Finlandia),
Aladdin (Israel), Sybari (EEUU), Deerfield (EEUU), Alt-N (EEUU), Microworld
(India) y BorderWare (Canad), ZyXEL (Taiwan).
35
FIREWALL
UTEC
ETS4-T
La base antivirus de Kaspersky Lab se actualiza cada hora. La organizacin

ofrece a sus usuarios servicio de asistencia tcnica de 24 horas, disponible en
numerosos idiomas.
La lnea actual de productos Kaspersky para el usuario domstico consiste en
Kaspersky Pure, Kaspersky Internet Security (KIS) 2012, Kaspersky AntiVirus (KAV) 2012, Kaspersky Mobile Security (KMS), Kaspersky Anti-Virus
para Mac, Kaspersky Password Manager y Kaspersky Small Office. En 2010
lanz una suite de seguridad para sus consumidores llamado Kaspersky Pure.
Los productos de Kaspersky son ampliamente utilizados en Europa y Asia. En
los Estados Unidos, Kaspersky Lab fue clasificado como el software de
seguridad de Internet de ms rpido crecimiento, sobre la base de datos de
ventas de NPD.
Adems de los productos de consumo de la compaa, Kaspersky Lab ofrece
una variedad de aplicaciones de seguridad diseadas para empresas. Estas
incluyen el software de seguridad para proteger estaciones de trabajo,
servidores de archivos, servidores de correo electrnico, dispositivos mviles,
cortafuegos y pasarelas de Internet, gestionado a travs de un kit de
administracin centralizada.
McAfee, Inc.
36
FIREWALL
UTEC
ETS4-T
Compaa de software relacionado con la seguridad informtica cuya sede se

encuentra en Santa Clara, California. Su producto ms conocido es el antivirus
McAfee VirusScan.
La empresa fue fundada en 1987 con el nombre de McAfee Associates, en honor
a su fundador, John McAfee. En 1997, como consecuencia de la fusin entre
McAfee Associates y Network General, el nombre fue reemplazado por el de
Network Associates.1 2 3 En 2004 la compaa sufri una profunda
reestructuracin. Durante la primavera de ese ao, la filial Magic Solutions fue
vendida a Remedy, una subsidiaria de BMC Software.4 Durante el verano, la
filial Sniffer Technologies sigui el mismo camino, siendo adquirida por la
firma llamada Network General (el mismo nombre del propietario original).
Asimismo, la compaa volvi a cambiar el nombre a McAfee para reflejar su
poltica centrada en tecnologas relacionadas con la seguridad.5 6
Entre las empresas que ha comprado o vendido McAfee se encuentra Trusted
Information Systems,7 8 la cual se encarg del desarrollo del Firewall Toolkit,
que fueron los cimientos de software libre para el software comercial Gauntlet
Firewall, ms tarde vendido a Secure Computing Corporation. A consecuencia
del control sobre TIS Labs/NAI Labs/Network Associates Laboratories/McAfee
Research, la influencia de Network Associates en el mundo del software de
cdigo abierto fue bastante alto, llegando a producir partes de diversos
sistemas operativos como Linux, FreeBSD o Darwin, as como varias
aportaciones al servidor de nombres BIND y al protocolo SNMP en su versin
3.
Precediendo a la adquisicin de TIS Labs, McAfee compr la FSA Corporation,
localizada en Calgary, lo cual ayud a la diversificacin de sus productos,
aadiendo a su oferta software antivirus productos de seguridad de redes y
tecnologas de cifrado.9 El equipo de FSA supervis la creacin de una serie de
tecnologas punteras en la poca, como firewalls, cifrado de ficheros y productos
de infraestructura de clave pblica. Aunque estas nuevas lneas de producto
tuvieron su xito, el antivirus sigui siendo el producto emblemtico de la
empresa, y el que presentaba mayor crecimiento.
El 9 de junio de 1998, Network Associates acord la adquisicin de Dr
Solomon's Group P.L.C., empresa lder en Europa en el desarrollo de software
antivirus.10 11 12
El 2 de abril de 2003, se hicieron con IntruVert Networks, empresa dedicada al
desarrollo de tecnologa de prevencin de ataques de intrusin.13
37
FIREWALL
UTEC
ETS4-T
El 5 de abril de 2006, McAfee se anticip a Symantec en la compra de

SiteAdvisor, un servicio que advierte a los usuarios sobre los riesgos de
malware o spam al descargar software o rellenar formularios.
Symantec Corporation
Corporacin internacional que desarrolla y comercializa software para

computadoras, particularmente en el dominio de la seguridad informtica. Con
la sede central en Mountain View, California, Symantec opera en ms de
cuarenta pases.
Fue fundada en 1982 por Gary Hendrix con un aval de la National Science
Foundation. Symantec se centra inicialmente en proyectos relacionados con
inteligencia artificial, incluyendo un gestor de base de datos. Hendrix contrata
a varios investigadores en procesamiento de lenguajes naturales de la
Universidad de Stanford como los primeros empleados de la compaa. En 1984
Symantec es adquirida por otra, incluso ms pequea, compaa startup de
software, C&E Software, fundada por Dennis Coleman y Gordon E. Eubanks,
Jr., y dirigida por Eubanks. La compaa resultante retiene el nombre de
Symantec, y Eubanks se convierte en su director ejecutivo. Su primer producto,
Q&A, se lanza en 1985. Q&A proporciona un gestor de base de datos y viene
con un procesador de textos.
Esta temprana adquisicin marca a la empresa, que en adelante no duda en
comprar o fusionarse con otras empresas para as adquirir mayor cuota de
mercado, habiendo llevado a cabo ms de 60 operaciones de este tipo. Del
mismo modo, si decide dejar de lado una de sus ramas de negocio, normalmente
la vende a un tercero o la segrega en un filial independiente. Puede verse una
lista en el Anexo: fusiones y compras de Symantec
38
FIREWALL
UTEC
ETS4-T
Symantec tuvo tambin una rama de compiladores y paquetes de desarrollo

provenientes de la compra en 1987 de Think Technologies: THINK Pascal,
THINK C (posteriormente evoluciona a Symantec C++), y Visual Caf fueron
populares sobre todo en los Apple Macintosh (en los compatible IBM PC slo la
herramienta del lenguaje de programacin Java alcanza notoriedad). Abandona
el negocio a finales de los aos noventa cuando competidores como Metrowerks,
Microsoft y Borland se hicieron con la cuota significativa del mercado.
En agosto de 1990, Symantec compra Peter Norton Computing, la compaa
creadora de las clebres Norton Utilities (un compendio de utilidades para
DOS). Desde esta compra Peter Norton pasa a ser la marca de todas las
utilidades para usuarios finales de Symantec, incluyendo antivirus, y figurando
una imagen de Peter Norton en la caja de los productos durante mucho tiempo.
Con el tiempo devendr lder del segmento de utilidades para usuario final,
comprando o absorbiendo a muchos de sus competidores. Entre los productos
Norton AntiVirus, Norton Commander, Norton Internet Security, Norton 360,
Norton Personal Firewall, Norton SystemWorks (que ahora contiene las Norton
Utilities), Norton Antispam, Norton GoBack (anteriormente WildFile GoBack,
Adaptec GoBack, y Roxio GoBack), y Norton Ghost (originalmente publicado
por Binary Research).
En 2003 adquiere PowerQuest y todos sus productos. PartitionMagic pasa a ser
Norton PartitionMagic. Lo mismo ocurre con su homlogo para servidores,
ServerMagic. PowerQuest DriveImage que fue reemplazada por Norton Ghost.
Sin embargo no ha seguido adelante con su desarrollo, y PartitionMagic es
incompatible con las particiones de Windows Vista
Symantec es tambin un lder de industria en la seguridad electrnica
completa de mensajera, ofreciendo las soluciones para la mensajera
instantnea, antispam y antivirus.
La organizacin Symantec Security Response (anteriormente Symantec
Antivirus Research Center) es uno de los principales antivirus y grupos de
investigacin en la industria de seguridad informtica con ms de 400
empleados a tiempo completo.
El 16 de diciembre de 2004, Veritas Software y Symantec anunciaron sus
planes para una fusin. Veritas se valora en 13.520 millones de dlares, lo que
la convirti en la fusin ms grande de la industria del software hasta el
momento. Los accionistas de Symantec votaron el 24 de junio de 2005 para
aprobar la fusin, y el trato cerr exitosamente el 2 de julio. El 5 de julio de
2005 fue el primer da de negocio para las oficinas de Estados Unidos de la
empresa resultante.
39
FIREWALL
UTEC
ETS4-T
Panda Security
Empresa informtica espaola con sede en Bilbao especializada en la creacin

de soluciones de seguridad informtica. Centrada inicialmente en la produccin
de software antivirus, la compaa ha expandido su lnea de aplicaciones para
incluir cortafuegos, aplicaciones para la deteccin de spam y spyware,
tecnologa para la prevencin del cibercrimen, aplicaciones de seguridad y otras
herramientas de seguridad y gestin para empresas y usuarios domsticos.
Los productos de Panda incluyen herramientas de seguridad para usuarios
domsticos y empresas, incluyendo proteccin contra el cibercrimen y tipos de
malware que pueden daar sistemas de informacin, como spam, hackers,
spyware, dialers y contenido web no deseado, as como deteccin de intrusiones
en redes WiFi. Sus tecnologas patentadas, llamadas TruPrevent, son un
conjunto de capacidades proactivas encaminadas a bloquear virus desconocidos
e intrusos; que si bien logran su propsito, ralentizan enormemente cualquier
mquina.
En 2009 lanz Panda Cloud Antivirus, ofreciendo seguridad desde la nube
gracias a su sistema propietario Inteligencia Colectiva, un sistema automtico
de anlisis, clasificacin y desinfeccin automtica contra nuevas amenazas
informticas.
Descripcin general
Panda Security es el cuarto mayor vendedor de antivirus en todo el mundo. La
compaa, cuyas acciones eran al 100% de Urizarbarrena, anunci el 24 de
abril de 2007 la venta del 75% de sus acciones al fondo de inversin sudeuropeo
Investindustrial, la firma de capital privado Gala Capital, y los fondos
norteamericanos HarbourVest y Atlantic Bridge. El 30 de julio de 2007 la
compaa cambi su nombre de Panda Software a Panda Security y
40
FIREWALL
UTEC
ETS4-T
Urizarbarrena fue reemplazado por Jorge Dinars. Casi un ao despus, el 3 de

junio de 2008, el Consejo de Accionistas sustituy a Dinars y lo reemplaz por
Juan Santana, hasta entonces CFO.El 21 de septiembre de 2011 dimite Juan
Santana y es sustituido por Jos Sancho.
La empresa ha sido clasificada entre las 500 de ms rpido crecimiento entre
las empresas europeas desde 1997. Panda Security es lder de mercado en
Espaa y en 1998, la compaa se convirti en lder europeo del sector
desarrollador de software antivirus. En 2003, Panda Security experiment un
1000% de crecimiento en los ingresos en todo el mundo. Panda Security,
adems, encabeza el ranking de empresas de software espaolas segn el
ndice Truffle 100
Panda Security ha sido considerada por analistas como Gartner como una
empresa innovadora a nivel de tecnologa.Entre sus hitos tecnolgicos destacan
el haber sido pionera en el lanzamiento de sistemas de seguridad como el
concepto de SaaS (Security as a Service) o de antivirus que permiten la
proteccin desde la nube (cloud computing y que estn basados en lo que Panda
denomin Inteligencia Colectiva, un modelo de seguridad que Panda present
al mercado en 2007
El principal beneficio de este modelo de seguridad es, segn explica su CEO,
que permite un anlisis automtico de las amenazas, frente al anlisis manual
del malware que realizan otras empresas, lo que permite ser ms rpido y
eficiente en la deteccin del malware.
Panda Security tiene oficinas filiales, o propias, en Estados Unidos, Alemania,
Austria, Blgica, Holanda, Francia, Reino Unido, Suecia, Finlandia, Espaa y
Japn, a las que se unen franquicias en otros 44 pases y tiene clientes en ms
de 200.
Productos para usuarios domsticos
Panda Antivirus Pro 2012 (incluye: antivirus, antispyware, antiphishing,

antirootkit, firewall) Versin Prueba de 31 Das
Panda Internet Security 2012 (incluye: antivirus, antispyware,
antiphishing, antirootkit, firewall, control parental, copia de seguridad)
Versin Prueba de 31 Das
Panda Global Protection 2012 (incluye: antivirus, antispyware,
antiphishing, antirootkit, firewall, control parental, copia de seguridad,
optimizacin del PC) Versin Prueba de 31 Das
Panda Antivirus for Netbooks (incluye: antivirus, antispyware,
antiphishing, antirootkit, firewall)
Panda Cloud Antivirus (versin gratuita)
41
FIREWALL
UTEC
ETS4-T
FIREWALL HARDWARE
Los cortafuegos por hardware, es un dispositivo especfico instalado en una red
para levantar una defensa y proteger a la red del exterior.
En este trabajo expondremos empresas y sus respectivos productos,
detallaremos cada producto y sus caractersticas.
Tambin entraremos en las nuevas soluciones perimetrales que han
evolucionado de los firewalls de hardware, cubriendo las deficiencias que tienen
los firewalls por hardware, sencillamente, no se disearon para analizar y
procesar los contenidos de las aplicaciones del trfico de red.
Estas soluciones son los UTM (unified threat management) o Gestin Unificada
de Amenazas, que son los UTM, cual es el funcionamiento de los UTM, que
proteccin ofrece respecto a otras soluciones perimetrales.
EMPRESAS DEL
HARDWARE
SECTOR
FIREWALLS
CORTAFUEGOS
POR
CLAVISTER
La solucin Extended Unified Threat Management (xUTM)
de Clavister incorpora un valor aadido al galardonado
Clavister Security Gateway, eliminando por completo de la red trafico
malicioso como gusanos, virus, troyanos, spyware, uso inadecuado de recursos y
otro trafico no deseado.
Adicionalmente, la solucin Extended Unified Threat Management de Clavister
proporciona el TCO (Coste Total de Propiedad) mas bajo, reduciendo los costes
operativos y de despliegue.
El sistema de Deteccin y Prevencin de Intrusismo (IDP) de Clavister
proporciona una proteccin completa y de facil uso contra las amenazas
actuales y emergentes, tanto en capa de red como de aplicacin.
42
FIREWALL
UTEC
ETS4-T
La solucin Antivirus de Clavister proporciona proteccin de alta velocidad

contra los virus ms propagados y peligrosos y spyware, con una latencia mnima y rendimiento acelerado.
El Filtro de Contenidos de Clavister proporciona control granular, basado en
polticas para administrar acceso a contenido inapropiado, improductivo y
potencialmente ilegal.
El Sistema de Control de Aplicaciones de Clavister (ACS) proporciona anlisis
en profundidad avanzado y control de datos de aplicacin.
Con ACS es posible, por ejemplo, reconocer aplicaciones de mensajera y de
Peer-to-Peer y controlar el uso de aplicaciones no deseadas.
MODELOS CLAVISTER
Clavister Security Gateway 50 series
Las series 50 de Clavister Security Gateway han sido diseadas para pequeas
y medianas empresas que necesitan alta seguridad y amplia funcionalidad pero
en un formato reducido y con un precio atractivo.
Las series 50 de Clavister Security Gateway constan actualmente de cuatro
productos, Clavister Security Gateway 51, 53, 55 y 57.
Estn equipados con diez interfaces Ethernet 10/100 Mbps e incorporan un
rendimiento de hasta 200 Mega bits por segundo (SG57).
Todos los productos Clavister han sido creados para proporcionar seguridad
suprema y de alto rendimiento, con una relacin precio / rendimiento sin igual.
Soluciones de Seguridad Verstiles
Incluye un gran conjunto de funcionalidades, tales como La Administracin del
Ancho de Banda, Office-to-Office VPN, Autenticacin de Usuario, Deteccin y
Prevencin de Intrusismo, Reconocimiento de Aplicacin de Capa 7, Filtro de
contenidos y posibilidades de enrutamiento avanzadas.
43
FIREWALL
UTEC
ETS4-T
La filosofa es no slo ver nuestros productos como pasarelas en redes

complejas sino tambin como plataformas de negocio que crecen en funcin de
sus necesidades.
Administrar el ancho de banda para reducir los costes.
Por este motivo, hemos decidido incluir la caracterstica avanzada de
Administracin de Ancho de Banda incluso en nuestros modelos mas pequeos.
Y como puede administrar el ancho de banda para trafico que fluye a travs de
sus tneles VPN, as como para el trafico no cifrado, puede estar seguro que el
trafico de red crtico para su negocio siempre recibe el ancho de banda que
merece.
Suea con un mantemiento global de todas sus pasarelas remotas, desde una
ubicacin central?
Todos los productos Clavister, incluyendo los productos de las Series 50, se han
construido para minimizar su coste total de la propiedad.
Por ello permitimos administrar todos nuestros productos desde una
herramienta administrativa individual, independiente del modelo de producto o
de si administra uno o miles de productos.
Gracias a la nica funcionalidad fail-safe, no importa si los productos que
administra estn ubicados en la sala de servidores anexa o a 1000 quilmetros
de distancia.
Las series 3100 de Clavister Security Gateway son un conjunto de productos de

seguridad basados en hardware, diseados para pequeas y medianas
empresas y organizaciones similares con iguales necesidades y demandas.
44
FIREWALL
UTEC
ETS4-T
Las series 3100 estn basadas en la misma tecnologa galardonada de todos los
productos Clavister, lo que en otras palabras significa seguridad extrema, alto
rendimiento y un conjunto verstil de funcionalidades.
Todos los productos Clavister han sido creados para proporcionar seguridad
suprema y de alto rendimiento con una relacin precio /rendimiento sin igual.
sus necesidades.
La funcionalidad VPN compatible IPsec es una caracterstica integral de todos
los productos Clavister Security Gateway.
Las series 3100 de Clavister son capaces de habilitar cualquier solucin VPN
compleja, permitiendo hasta 600 tneles VPN de manera simultanea y 130
Mbit/s de rendimiento VPN.
Proteger su confidencialidad
Las series 3100 de Clavister Security Gateway han sido diseadas para
comunicacin. Comunicacin segura suprema.
Las Series 4200 de Clavister Security Gateway combinan el rendimiento

extremo, diseo de espacio eficiente, tan solo 1 unidad enracable y el coste total
de la propiedad ms econmico.
45
FIREWALL
UTEC
ETS4-T
Estas series has sido desarrolladas especficamente para grandes empresas,

redes con alta carga de VPN, data centers, proveedores de servicio u
organizaciones similares que necesitan soluciones de seguridad supremas.
Las Series 4200 de Clavister Security Gateway constan de tres modelos de
producto, el Clavister Security Gateway 4210, 4230 y 4250, diferenciados por
rendimiento y capacidad.
sus necesidades.
La grandeza no tiene que ver con el tamao
Sabemos que el secreto de producir productos seguros, de alto rendimiento,
reside en la compactacin y optimizacin.
Este es el motivo por el que las Series 4200 pertenecen a la clase de pasarelas
de seguridad de red de mas alto rendimiento del mundo.
Las Series 4200 de Clavister Security Gateway 4200 incorporan un
sorprendente rendimiento de hasta 2 Gigabits en texto plano y 1 Gigabit de
rendimiento VPN por segundo.
Todava, los productos no requieren ms espacio de rack que una unidad de
altura.
46
FIREWALL
UTEC
ETS4-T
Los productos de las Series 4400 de Clavister Security Gateway, han sido
diseados principalmente para ser utilizados como pasarelas centrales en redes
de empresa de alta carga, o en data centers, donde el rendimiento extremo en
texto plano y VPN , as como un rico juego de funcionalidades en combinacin
con alta resistencia, se consideran factores crticos.
Las Series 4400 se componen de cuatro modelos, Clavister Security Gateway
4410, 4430, 4450 y 4470, diferenciados por rendimiento.
Resistencia sin igual
La causa mas comn de interrupciones de funcionamiento en hardware
informtico es fallo en disco duro.
Por esta razn, ninguno de nuestros productos utilizan discos duros.
La segunda causa mas importante de fallo de hardware es la prdida de
alimentacin debida a una fuente de alimentacin averiada.
Por este motivo, todos los productos de las Series 4400 estn equipados con
fuentes de alimentacin y ventiladores hot-swappable (de intercambio en
caliente).
La Serie Clavister Security Gateway 4400 esta diseada sencillamente para
permitir mxima disponibilidad.
Rendimiento VPN Superior
Aparte del impresionante rendimiento en texto plano, donde las Series de
Clavister Security Gateway 4400 rinden hasta 4 Gigabits por segundo, los
productos de estas series has sido creados para administrar trafico VPN de alto
nivel.
Las series 4400 proporcionan un rendimiento de hasta un gigabit VPN,
utilizando ya sea algoritmo de cifrado AES o 3DES.
47
FIREWALL
UTEC
ETS4-T
El soporte de varios miles de tneles VPN simultneos en combinacin con el

alto porcentaje de datos, hace de las Series 4400 de Clavister una solucin muy
adecuada para incorporar en pasarelas centrales VPN.
ALPHASHIELD
AlphaShield es un dispositivo revolucionario que se conecta
entre su computadora y el modem o router de alta velocidad.
El conectar con el Internet sin AlphaShield es como dejar la puerta de tu
hogar abierta.
Los Hackers y los intrusos indeseados pueden incorporar fcilmente tu sistema,
roban tu informacin e incluso control valiosos de la toma de tu computadora
para enganchar a ataques del Internet.
Una vez activo, AlphaShield supervisa toda la actividad de Internet y protege
con eficacia tu sistema contra todos los intrusos no autorizados.
AlphaShield es la solucin mas rentable de proteccin de todas las amenazas
que conlleva tener una conexin a Internet.
PRODUCTOS ALPHASHIELD
AlphaShield Home Edition
Imagine que la prxima vez que navegue por Internet puede hacerlo con total
privacidad.
En su ordenador slo entrara la informacin solicitada.
48
FIREWALL
UTEC
ETS4-T
El ordenador estar seguro incluso cuando lo deje desatendido. Pero para la

mayora, la privacidad en Internet es slo eso, un sueo.
Qu puede hacer usted al respecto?
Utilizar el protector de privacidad ms potente del mercado. El AlphaShield le
proporciona una gran ventaja sobre los perjudiciales hackers.
Las herramientas de exploracin, las preferidas de los hackers, son ahora
ineficaces. La tecnologa Stealth IP trabaja para usted.
Las exploraciones aleatorias pasan de largo. Su ordenador esta mejor
camuflado que un bombardero clandestino. Se acab la comunicacin no
autorizada con su ordenador.
Con la tecnologa RPA, slo se permite la entrada de informacin solicitada. Es
su guardin particular y permanente, que nunca se cansa y nunca ralentiza el
proceso.
Aunque el ordenador est inactivo durante un largo perodo de tiempo, el
AlphaShield establece el nivel de seguridad para usted.
AlphaGAP entra en accin, deteniendo todo lo que se enve.
Bloquea el ordenador con mas seguridad que Fort Knox.
Su sueo de privacidad se convierte en realidad con AlphaShield.
AlphaShield Professional Edition
Porque el AlphaShield Professional?

100% INHACKEABLE
Quiere dar soporte tcnico on-line a sus clientes?
49
FIREWALL
UTEC
ETS4-T
Quiere su cliente tener un acceso a su sistema desde el exterior?

Necesita configurar una VPN?
Es aficionado a los juegos y necesita unos puertos abiertos?
Aparte de todas las virtudes del AlphaShield Home Edition, este, con la aplicacin acu
(AlphaShield Configuration Utility) lo podr configurar para todo lo que necesite....
configure unos puertos o rangos de puertos.

configure unos puertos asociados a unas IP concretas y acceda
slo desde estas.
AlphaShield Router Wireless
Servidor enracable 19" 1U, 150 Usuarios, VIA C3 1000 MHz, 256MB RAM,
20GB Disco duro, tarjeta RDSI 1 x S0, 5 x 10/100 Ethernet, 1 x Puerto de
Consola, Cable null modem, Cable de Alimentacin, Fuente de Alimentacin
180W AT.
50
FIREWALL
UTEC
ETS4-T
Cisco
Empresa multinacional con sede en San Jos (California, Estados Unidos),

principalmente dedicada a la fabricacin, venta, mantenimiento y consultora
de equipos de telecomunicaciones tales como:
dispositivos de conexin para redes informticas: routers (enrutadores,

encaminadores o ruteadores), switches (conmutadores) y hubs
(concentradores);
dispositivos de seguridad como Cortafuegos y Concentradores para VPN;
productos de telefona IP como telfonos y el CallManager (una PBX IP);
software de gestin de red como CiscoWorks, y
equipos para redes de rea de almacenamiento.
Hasta el 8 de junio de 2009, era considerada una de las grandes empresas del
sector tecnolgico y un importante miembro del mercado del NASDAQ o
mercado accionario de tecnologa. Posterior a esa fecha y gracias a su solidez,
ingresa en el ndice de industriales Dow Jones.
La empresa fue fundada en 1984 por el matrimonio de Leonard Bosack y
Sandra Lerner, quienes formaban parte del personal de computacin de la
Universidad de Stanford. El nombre de la compaa viene de la palabra "San
Francisco"; al mirar por la ventana haba al frente un cartel que deca "San
Francisco" y un rbol se interpona entre la palabra separando San Fran Cisco,
de ah proviene el nombre de la empresa. All comenz su despliegue como
empresa multinacional.
Bosack adapt el software para enrutadores multiprotocolo originalmente
escrito por William Yeager, otro empleado de informtica en esa universidad.
Cisco Systems cre el primer router comercialmente exitoso.
51
FIREWALL
UTEC
ETS4-T
Hoy en da, otro gigante que le est intentando hacer sombra es la

multinacional Juniper Networks, a la venta de routers para enlaces backbone
(columna vertebral).
Adems de desarrollar el hardware de sus equipos, Cisco Systems tambin se
ocupa de desarrollar su propio software de gestin y configuracin de los
mismos. Dicho software es conocido como IOS de cdigo actualmente cerrado y
totalmente propietario.
A travs del IOS se consigue configurar los equipos Cisco mediante la
denominada "Command Line Interface" (Interfaz de Lnea de Comandos, por su
nombre en espaol) que sirve de intrprete entre el usuario y el equipo.
PRODUCTOS SISCO
Dispositivo de Seguridad Adaptativo de Cisco ASA Serie 5500
Cualquier empresa que dependa de su red, necesita una seguridad slida. Los
Dispositivos de Seguridad Adaptativos de Cisco ASA Serie 5500 ofrecen una
seguridad de ltima generacin con la flexibilidad necesaria para satisfacer las
necesidades de su compaa a medida que sta crece y cambia.
Caractersticas destacadas
Los Dispositivos de Seguridad Adaptativos de Cisco ASA Serie 5500 soportan:
Personalizacin: Personalice la seguridad segn sus necesidades de
acceso especficas y sus polticas comerciales.
Flexibilidad: Conforme su negocio crezca y necesite cambios, podr
agregar fcilmente capacidades o actualizar de un dispositivo a otro.
Seguridad avanzada: Aproveche los ltimos avances en seguridad de
contenidos, cifrado, autenticacin de identidad, autorizacin y
prevencin de intrusiones.
Simplicidad: Utilice un dispositivo diseado para ser fcil de instalar,
gestionar y supervisar.
52
FIREWALL
UTEC
ETS4-T
Redes avanzadas: Configure redes privadas virtuales (VPN) que

proporcionen a los trabajadores remotos y mviles un acceso seguro a los
recursos de la compaa o establezca VPN entre partners, otras oficinas
o empleados basadas en roles.
Al mantener su red segura y protegida, los empleados podrn acceder siempre
a ella desde su ubicacin. Los Dispositivos de Seguridad Adaptativos de la ASA
Serie 5500 de Cisco son su primera y mejor lnea de defensa.
MODELOS
Caractersticas comunes
Le ayuda a proteger su negocio de gusanos, robo de datos y ataques a la
red
Aade valor a su negocio al incrementar la eficiencia y la productividad
Funciona en conjunto con los Routers de Servicios Integrados de Cisco
Fcil de usar y gestionar
ASA
Serie
5500 de
Cisco
ASA
5505 de
Cisco
Entor
no
ideal
Pequeas
empresas u
oficinas en
casa
Especificaciones clave
Caractersticas
seguridad
Rendimiento
del
cortafuegos de 150
Mbps
25
sesiones
de
usuario de VPN
Admite un mximo
de
3
(conexin
desactivada)/20
(conexin
activada)
de
interfaces
virtuales (VLAN)
Cortafuegos
Servicios VPN
de
ASA
5510 de
Cisco
Pequeas
empresas
Rendimiento del
cortafuegos
de
300 Mbps
250 sesiones de
usuario de VPN
50/100 VLAN
Cortafuegos
Seguridad
de
contenidos
Prevencin
de
intrusiones
Servicios VPN
ASA
5520 de
Cisco
Pequeas
empresas
Rendimiento del
cortafuegos
de
450 Mbps
750 sesiones de
usuario de VPN
150 VLAN
Cortafuegos
Seguridad
contenidos
Prevencin
intrusiones
53
de
de
FIREWALL
UTEC
ETS4-T
Servicios VPN
Routers Cisco Small Business
Routers Cisco Small Business: Descripcin general

Conectar a su pequea empresa con el mundo exterior es tan importante como
conectar los dispositivos de la red interna entre s. Realice todos estos
intercambios en condiciones seguras con los routers Cisco para pequeas
empresas.
Los routers Cisco Small Business ofrecen:
VPN: la tecnologa de red privada virtual permite a sus empleados
remotos conectarse a la red de su organizacin mediante una va segura
de Internet. Pueden acceder al correo electrnico y los archivos como si
estuvieran en la oficina.
Seguridad: los cortafuegos integrados, el cifrado avanzado y las
funciones de autenticacin protegen la red contra las amenazas externas,
manteniendo seguros los recursos de su empresa.
Conectividad: todos los routers Cisco Small Business vienen con varias
opciones de conexin para ofrecer la mxima capacidad de ampliacin de
la red. Ya sea para utilizarlos con un nmero mayor de puertos fsicos o
para conectividad inalmbrica, estos routers se han diseado para
facilitar el uso compartido y avanzado de conexiones.
54
FIREWALL
UTEC
ETS4-T
Dispositivo de seguridad de la serie SA 500 de Cisco
Dispositivo de seguridad de la serie SA 500 de Cisco: Descripcin general

Estas soluciones de seguridad "todo en uno" estn diseadas para empresas con
menos de 100 empleados. Combinan cortafuegos, VPN y un sistema de
prevencin de intrusiones (IPS) opcional, funciones de correo electrnico y de
seguridad. Tanto si se encuentran en la oficina como si trabajan de forma
remota, sus empleados podrn acceder con seguridad a los recursos que
necesitan, mientras que su empresa est protegida del acceso no autorizado y
las amenazas por Internet.
Dispositivo "todo en uno": combina cortafuegos, IPS, seguridad en el correo
electrnico y en la Web y acceso seguro en un mismo dispositivo
Acceso remoto e inalmbrico seguro: permite a los trabajadores mviles y a las
oficinas de sucursales un acceso seguro y a distancia con VPN integradas
flexibles y fciles de usar
Gastos generales reducidos: reduce los costes asociados a la implementacin y
la gestin y supervisin contina de la solucin de seguridad
Cobertura de servicios asequible: ofrece valor de servicios y tranquilidad a un
precio que usted se puede permitir
Funciones de correo electrnico y seguridad en la Web opcionales:
Cisco ProtectLink Gateway: servicio basado en la nube que proporciona una
seguridad robusta en el correo electrnico y en la Web que se actualiza
automticamente
55
FIREWALL
UTEC
ETS4-T
Proteccin de identidad de VeriSign (VIP): un segundo nivel de autenticacin

sencillo y eficaz
Sistema de prevencin de intrusiones (IPS): identifique y tome medidas para
detener las posibles intrusiones en la red empresarial
Bloqueo de trfico de mensajera instantnea y entre punto y punto, e
inspeccin de protocolo que ayuda a aumentar la seguridad, la productividad de
los empleados y la disponibilidad de la red para el trfico de la empresa
MODELOS
Funciones comunes:
Combinacin de cortafuegos, VPN y funciones de seguridad para el
correo electrnico y la Web opcionales
Fcil gestin y configuracin con la funcionalidad de configuracin de
dispositivos de seguridad
Compatibilidad del sistema de prevencin de intrusiones (IPS) opcional
para la serie SA 500 de Cisco para ofrecer prevencin de intrusiones,
inspeccin de protocolo y bloqueo del trfico de mensajera instantnea y
entre punto y punto
Compatibilidad con la opcin Cisco ProtectLink Gateway para la
seguridad del correo electrnico y la Web
Compatibilidad con la opcin de Proteccin de identidad VeriSign (VIP)
para obtener una autenticacin de dos factores
Modelos y mximo rendimiento*
SA 520
Escalabilidad
Cortafuegos: 200
Mbps
VPN IPsec: 65
Mbps
56
4 puertos de LAN
2 emplazamientos de VPN SSL
ampliables
a
25
emplazamientos como mximo
con licencia
50 tneles de VPN IPsec
FIREWALL
UTEC
ETS4-T
SA 520W
Cortafuegos: 200
Mbps
VPN IPsec: 65
Mbps
4 puertos de LAN
2 emplazamientos de VPN SSL
ampliables
a
25
emplazamientos como mximo
con licencia
802.11 b/g/n inalmbrica
SA 540
Cortafuegos: 300
Mbps
VPN IPsec: 85
Mbps
8 puertos de LAN
50 emplazamientos de VPN
SSL (incluidos)
Routers seguros de la serie 500 de Cisco
Los routers seguros de de la serie 500 de Cisco ofrecen una amplia gama de
funciones y caractersticas, incluyendo:
Alto rendimiento para el acceso de banda ancha en pequeas oficinas
Defensa contra las amenazas integrada incluyendo un cortafuegos y el
sistema de prevencin de intrusiones (IPS) para minimizar las amenazas
y protegerse contra ataques, gusanos y virus.
Conectividad segura, VPN IPsec (seguridad IP) y SSL (Secure Sockets
Layer), entre ubicaciones y acceso para empleados remotos
Switch gestionado de 4 puertos compatible con VLAN para interconectar
los dispositivos entre ubicaciones como ordenadores, servidores o
impresoras
Red inalmbrica segura opcional para conectar a los empleados mviles
en el lugar de trabajo
57
FIREWALL
UTEC
ETS4-T
Despliegue, gestin y solucin de problemas sencilla con Cisco

Configuration Assistant
CHECKPOINT
Ofrece potentes sistemas para la implementacin y administracin de

adjudicacin de CheckPoint para hacer frente a prcticamente cualquier
necesidad de seguridad para empresas de todos los tamaos. Todos los aparatos
de CheckPoint se construyen alrededor de la arquitectura de Software Blade
unificada, permitiendo a las organizaciones para proteger contra amenazas que
evolucionan rpidamente y llevar a cabo todos los aspectos de gestin de la
seguridad a travs de una consola nica y unificada. Fuerte y probado, los
aparatos de seguridad de CheckPoint proporcionan servicios confiables para
miles de empresas alrededor del mundo.
58
FIREWALL
UTEC
ETS4-T
CONCLUSIN
A lo largo de este trabajo ha quedado demostrado que nuestros problemas no
estn solucionados simplemente con la implementacin de un esquema de
firewall; de hecho si en realidad no forma parte de una poltica de seguridad
integral de la organizacin de nada servir tener la configuracin ms segura
en lo que a firewall respecta.
Con el Firewall podemos definir tamaos de paquetes, direcciones IP,
deshabilitacin de envos o recepcin de paquetes por determinados puertos,
imposibilitar el uso del comando Finger, etc. Con respecto al acceso desde el
interior de una LAN hacia el exterior, podemos decir que, si desde cualquier
estacin enviamos un paquete a una IP y el Firewall nos valida el tamao, IP
de destino, puerto, etc. (estos parmetros varan segn las necesidades de
seguridad de cada red, y por ende, del nivel de configuracin del Firewall),
nosotros no notaremos ninguna diferencia entre la existencia o no de la
barrera.
A partir del hecho ya consumado que constituye la interconectividad a travs
de Internet, es fundamental la utilizacin de filtros debido a que seguramente
la empresa o el usuario estarn tambin accediendo a los servicios que Internet
nos ofrece. Qu arquitectura es la ms apropiada tendr que ver seguramente
con la criticidad de nuestros servicios, lo valioso de nuestra informacin, los
servicios que ofreceremos y obtendremos de Internet, y de los recursos con los
cuales contemos para llevar adelante este desafo.
Y por ltimo, debemos tener en cuenta que este tema no consiste solo en
implementar un firewall y problema resuelto. La importancia operativa es tal
que debemos estar constantemente revisando las polticas, los logs, etc. para
poder determinar si estamos siendo vulnerables en algn aspecto. Por otro lado
un firewall, debe asemejarse a un antivirus, el cual si no se actualiza
constantemente deja de ser seguro. Tengamos en cuenta que el firewall
constituye la puerta de acceso a nuestra informacin vital, por ende a nuestro
negocio y por ltimo a nuestro dinero.
59
FIREWALL
UTEC
ETS4-T
BIBLIOGRAFA
Internet y Seguridad en Redes,
Karanjit Siyan y Chris Hare,
ed. Prentice Hall
Internet (URL)
www.3com.com
www.scrc.ncsl.nist.gov
www.interhack.com
www.icsa.com
www.cisco.com
www.hp.com
ftp.tis.com
www.netresearch.com
http://es.wikipedia.org/wiki/Cortafuegos_(inform%C3%A1tica)
www.monografias.com
www.segu-info.com.ar/firewall/firewall.htm
www.desarrolloweb.com
60

Firewall Complete

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Firewall Complete

Uploaded by

Copyright:

Available Formats

FACULTAD DE INFORMATICA Y CIENCIAS APLICADAS

ETS4 -T CICLO 01/2012

DALIA MARINA CAMPOS MARIN

SAN SALVADOR, 18 DE MARZO DE 2011

El firewall es un sistema de seguridad diseado especficamente para bloquear

HISTORIA DE LOS FIREWALLS.

Primera generacin cortafuegos de red: filtrado de paquetes

navegacin web), y permite detectar si un protocolo no deseado se col a travs

La funcionalidad existente de inspeccin profunda de paquetes en los actuales

Un firewall es un componente de la red cuyo objetivo es impedir el acceso no

Dibujo conceptual de un Firewall para su computador personal.

Esquema de Firewall que protege a una red de una oficina

COMO TRABAJA EL FIREWALL

monitoreada, las caractersticas especficas de cada paquete estn definidas y

Esquema del funcionamiento de un firewall por hardware y por software.

Existen tres formas de firewalls:

hay razones que justifiquen la no utilizacin de, por lo menos, un desktop

Cuando ejecutamos un programa y este va a recibir datos desde Internet,

Sus ventajas son:

Norton personal firewall

Enrutadores de hardware: Su principal funcin es la de disfrazar la

de configurar debido a que su software contiene una serie de reglas

Circuito a nivel de pasarela

Otras organizaciones prefieren usar los productos comerciales existentes, as

Dual-Homed Host (de dos bases)

conecten en forma directa a la barrera, cualquier intento de conexin directa se

Screened Host (Firewall como servidor bastin).

La configuracin antes comentada es un caso especial del firewall. Como los

Adems si el router responde a los mensajes ICMP (protocolo Internet de

Dos firewalls y dos DMZ

resto ser rechazado. Un intruso debe penetrar primero el router y, si lo hace,

Como la nica manera de tener acceso a la subred seleccionada es mediante el

Proxy y Gateways de Aplicaciones (Compuertas a nivel de aplicacin).

este tipo de compuertas provee un subgrupo limitado de aplicaciones y servicios

CAPAS DEL MODELO OSI EN QUE TRABAJAN LOS FIREWALLS.

A grandes rasgos los cortafuegos a nivel de circuitos ya tratan con nmeros de

Entre los productos ms utilizados se encuentran Firewall-1, Pix y Raptor, de

En el mercado existe una gran variedad de distribuidores de firewalls. Algunos

Proveedor global de soluciones de seguridad IT. Conocido por sus productos

producto de la compaa (llamado simplemente FireWall-1), poco despus

Los Productos de Check Point se dividen en las siguientes categoras

Security Gateway - negocio de Check Point bsico, con productos como

Endpoint Security - Integridad Check Point, Agente de seguridad

Gestin de Seguridad - Permite a los administradores gestionar eventos,

Proteccin a toda la infraestructura de seguridad desde una nica interfaz. Las

Empresa especializada en productos para la seguridad informtica, que ofrece

La base antivirus de Kaspersky Lab se actualiza cada hora. La organizacin

Compaa de software relacionado con la seguridad informtica cuya sede se

El 5 de abril de 2006, McAfee se anticip a Symantec en la compra de

Corporacin internacional que desarrolla y comercializa software para

Symantec tuvo tambin una rama de compiladores y paquetes de desarrollo

Empresa informtica espaola con sede en Bilbao especializada en la creacin

Urizarbarrena fue reemplazado por Jorge Dinars. Casi un ao despus, el 3 de

Panda Antivirus Pro 2012 (incluye: antivirus, antispyware, antiphishing,

La solucin Antivirus de Clavister proporciona proteccin de alta velocidad

La filosofa es no slo ver nuestros productos como pasarelas en redes

Clavister Security Gateway 3100 series

Las series 3100 de Clavister Security Gateway son un conjunto de productos de

Clavister Security Gateway 4200 series

Las Series 4200 de Clavister Security Gateway combinan el rendimiento

Estas series has sido desarrolladas especficamente para grandes empresas,

Clavister Security Gateway 4400 series

El soporte de varios miles de tneles VPN simultneos en combinacin con el

El ordenador estar seguro incluso cuando lo deje desatendido. Pero para la