TCP/IP es el protocolo que le permite a las computadoras hablar entre ellas
sin importar el sistema operativo y programas que utilicen. ICP/IP permite a las
personas con Windows 95 comunicarse con otras personas con sistemas operativos
UNIX o Macintosh.
Los paquetes de información llegan a tu computadora a través de TCP/IP. En
sistemas operativos Windows, Winsock gestiona estos menesteres. Después Winsock
envía los paquetes a otras aplicaciones, incluyéndo el firewall (cortafuegos)
si tu sistema tuviera uno instalado. (Es una explicación muy abreviada de cómo
funciona).
El firewall es un sistema que refuerza las políticas de control de acceso.
Estas políticas (o criterios) regulan el tráfico entre una red interna (de
confianza) y otra red externa (de dudosa confianza). Normalmente, los firewall
se utilizan para proteger a las redes internas del acceso no autorizado vía
Internet o mediante otra red externa.
La función del firewall es bloquear el tráfico no autorizado entre un sistema
de confianza y un sistema de dudosa confianza. Este proceso se denomina
habitualmente como "filtrado". Imaginemos el filtrado como el permiso
o denegación de acceso a una red.
Se puede denominar firewall a todo dispositivo que controle el tráfico de la
red por razones de seguridad. Hay tres grandes tipos de firewall, cada uno de
ello utiliza diferentes estratégias para proteger los recursos de la red.
Los dispositivos firewall más elementales están construídos en enrutadores.
Trabajan en los niveles más bajos del protocolo de la red (Winsock). Filtran
los paquetes (a estos firewall se les llama "screening routers").
Los portales de servidor Proxy funcionen en los niveles altos del protocolo, y
proporcionan servicios proxy en redes externas para clientes internos y
monitorizan y controlan el tráfico mediante el rastreo de cierta información
dentro de los paquetes.
El tercer tipo de firewall utiliza técnicas de inspección establecidas para
comparar los patrones bit de los paquetes respecto de un paquete que se
considere conocido y de entera confianza.
El filtrado de paquetes puede configurarse para aceptar o denegar ciertos tipos
de paquetes o fragmentos de paquete que puedan pasar a través del Servidor
Proxy (Proxy Server).
El filtrado también puede configurarse para bloquear paquetes que provengan de
un host de Internet específico.
El filtrado dinámico (dynamic) de paquetes permite la apertura automática para
transmitir y/o recibir datos, después cierra inmediatamente, para minimizar el
número de puertos abiertos en todo momento.
El filtrado estático (static) de paquetes permite la configuración manuel de
los paquetes a los que se les permite o deniega el acceso.
El firewall puede registrar (log) la siguiente información:
- Service Information - fecha, y hora
- Remote Information - Dirección IP del presunto Intruso (intruder), puerto y protocolo utilizado
- Local Information - Dirección IP de destino y puerto
- Filter Information - actuación del filtro y qué adaptador de red lo hizo
- Packet Information - encabezamiento e información del paquete (normalmente en hexadecimal)
Los firewall de nivel de red filtran el tráfico basándose en cualquier
combinación de la Fuente (Source) e IP de Destino (Destination), asignación de
Puerto TCP y Tipo de Paquete.
Los firewall de nivel de red, normalmente son enrutadores IP especializados. Son
rápidos y eficientes, y los usuarios de la red no se percatan de la actividad
del firewall. Pueden guardar información interna sobre los paquetes que pasan
por ellos, incluso los contenidos de ciertos datos.
Este tipo de programa puede darte ventaja contra un atacante que solo busque
aprovechar (exploit) algún programa algo más común o normal (por ejemplo:
Winsock).
Hay una diferencia entre una red (network) y el nivel de red (network level) del
sistema operativo.
Un PC no es una red--no hay red que proteja un solo PC.
El programa firewall de nivel de red para un solo PC no es un firewall de red,
ya que el programa no protege a una red. El término "network level
firewall" (firewall de nivel de red) hace referencia al programa que
trabaja en un nivel de red del sistema operativo de la computadora.
El término "network firewall" (firewall de red), se refiere a la
organización de computadoras en la red, como sería una configuración host
baluarte (bastion host).
Probablemente, los hosts Baluartes (Bastion hosts) son los tipos de firewall más
comunes. Este término proviene de los castillos Europeos, es una analogía que
describe el funcionamiento del firewal, por lo del foso y el modelo de puente
levadizo. El firewall es el foso, o el puente levadizo...y la red es el castillo.
El Bastion host es una computadora con, al menos, una interface con la red de
confianza y otra interface con la red de dudosa confianza. Cuando el bastion
host le permite el acceso al host desde la red de dudosa confianza, podrá pasar
todo el tráfico desde ese host. Generalmente forma parte de un firewall más
complejo.
Los firewall "screened host" utilizan un enrutador con, al menos, una
conexión a la red de confianza y otra conexión con el bastion host. El
enrutador actúa como una pantalla previa, para el filtrado de paquetes. Después
envía todo el tráfico IP al bastion host.
El enrutador se configura con normas de filtrado donde se especifican las
direcciones IP a las que se les permite conectarse y las que tienen denegado el
acceso. El enrutador disminuye la cantidad de tráfico que se envía al bastion
host y hace que el trabajo del bastion host sea menos complicado.
Los firewall de nivel de aplicación (application level) son programas
interpuestos entre la red a proteger y la red externa.
Los firewall "application level" no permiten que pase el tráfico
directamente entre las dos redes. Y pueden proporcionar informes de intervención
más detallados. El firewall de nivel de aplicación es un programa que se
ejecuta en la máquina. Si la máquina es susceptible de ser atacada, es que el
firewall no funciona (crashed).
Un servidor proxy puede realizar análisis de paquetes. Los paquetes se examinan
según una política (criterio) de seguridad. El servidor evalúa las
direcciones IP y rastrea los datos contenidos en el paquete.
Uno de los problemas de los proxy es que tienen que evaluar gran cantidad de
información en una gran cantidad de paquetes. Deberás tener un proxy para cada
aplicación. Esto afecta al rendimiento e incrementa los costes.
Puede que desees utilizar un firewall de nivel de aplicación como complemento
de firewall de red y así disfrutar de una seguridad más genralizada.
Si un intruso pudiera encontrar una fisura en tu firewall, significará que tu
firewall ha fallado, sin importar si estaba funcionando un firewall de nivel de
aplicación o un firewall de nivel de red. Es el "todo o nada" - no
hay término medio. Una vez que entra un hacker o un intruso, todo el sistema
está en sus manos.
Los firewall solo bloquean lo que se les configure que bloqueen. Esta
configuración se denomina política (criterio) de control. Tu política de
control determina el éxito o fracaso de tu firewall.
Puede que establecer las normas sea incómodo y es fácil cometer fallos. Y esos
fallos en la política de control de acceso podrían potenciar la aparición de
fisuras en la seguridad.
El firewall y la política del firewall son dos cosas diferentes. La fragilidad
de la política o la incapacidad para reforzar la política, hacen que se derive
hacia la total inutilidad del firewall.
Si tus criterios son demasiado restrictivos, puede que te tiente el obviarlos.
En este caso, el firewall será inútil, ya que su vigilancia no será efectiva.
La imagen popular del hacker es la de un joven inexperto, con mucho tiempo
disponible, intentando meterse en un sistema por la emoción que eso le
representa.
¿Pero qué pasa con un hacker que sabe y está a la última sobre los riesgos
de la seguridad y tiene las más novedosas herramientas de cracking? Los hay que
se diseñan sus propios ataques específicos. Los hay que se hacen sus propios
programas. Los hay que no aprovechan las fisuras de seguridad conocidas, sino
que descubren otras nuevas.
Si surgen nuevas amenazas, tu firewall no sería capaz de protegerte contra
ellas. Contínuamente se descubren nuevas fisuras.
También son riesgos los virus y el uso incorrecto de los dispositivos de
seguridad.
Si tienes funcionando un programa firewall de cualquier tipo, no lo dejes todo
en sus manos para proteger tu sistema, la seguridad total es imposible. Si tu
computadora está conectada con el exterior por cualquier medio que no sea la
electricidad, es vulnerable.
Como ya hemos dicho, los paquetes de información llegan a tu computadora
mediante ICP/IP. Después TCP/IP envía los paquetes a otro firewall de nivel de
aplicación, y hacia otras aplicaciones.
La configuración del firewall determina qué paquete tiene el tamaño
incorrecto para un determinado puerto, o que el paquete venía de una fuente no
autorizada.
Nota, el paquete ya llegó a tu computadora. El firewall simplemente determina
si el puerto seguirá abierto para recibir otros paquetes de TCP/IP, y si el
paquete se usará en otras aplicaciones.
Imagina que el puerto que protege el firewall es un tubo, El firewall tapa uno
de los extremos del tubo, el extremo va de tu TCP/IP a otras aplicaciones en tu
máquina.
Cuando los paquetes llegan a tu máquina, van al OTRO extremo del tubo - el
extremo TCP/IP. Si el propósito del paquete es dañar el extremo que lo recibe,
es inútil cerrar el puerto hacia la aplicación. Más aun, es imposible
protegerse contra todos los tipos de ataque.
Compara esto con la seguridad doméstica. Está bien lo de cerrar la puerta
principal, pero si un intruso puede acceder por la puerta trasera, tendremos un
serio problema.
En cierta medida, todos los sistemas de seguridad son vulnerables, pero no todos
de la misma forma.
Aprovechar una fisura contra Winsock puede que no funcione contra un firewall
cuya función es sustituir Winsock, pero aprovechar un fallo (exploit) contra
ese firewall en concreto, sí que puede.
En el momento que los programas de seguridad llegan al mercado, los hacker los
desmenuzan hasta encontrar errores. Si en primeras instancias no encuentran
ninguno, solo será cuestión de tiempo. Asegúrate de no dejar la protección
de tus datos a cargo de una aplicación, como si fuera la panacea de la
seguridad.
La única forma de garantizar una total seguridad es no estar conectado a nada,
excepto a la electricidad...aunque llegue el día en que también esa seguridad
sea cuestionable. :)
No queremos decir que no se empleen programas firewall. Pero tengamos muy
presente lo que pueden hacer y lo que no. Deberás ser astuto y no dormirte en
los laureles, y mantenerse al día de toda la información sobre seguridad.
Ahora que sabemos cómo funcionan los firewall, y lo más importante, lo que no
pueden hacer, ¿cómo puedo proteger una computadora conectada a la red?
Actualiza el sistema operativo y los parches de seguridad de las aplicaciones.
Haz copia de respaldo (backup) de todos los datos esenciales, y guarda esa copia
de respaldo ALEJADA de la red.
Borra los datos de tu máquina si quieres que estos estén totalmente seguros.
Actualiza frecuentemente el programa de protección contra virus.
No aceptes programas de origen desconocido.
Y no ejecutes programas sin pasarles previamente por programa detector
anti-virus.
Lo más importante, no te conviertas en un objetivo. Sigue las normas de la
seguridad En-linea. No des información personal ni contraseñas. No te metas en
peleas o seas provocativo. No aceptes ni ejecutes programas de gente extraña.