Cortafuegos (Firewall)

Son aplicaciones o dispositivos diseñados para bloquear comunicaciones no autorizadas, permitiendo las que sí lo son. Son necesarios para proteger determinadas zonas de una red o hosts específicos. Sus características fundamentales son:

  • Filtrado de paquetes de red según la inspección de direcciones de red.
  • Filtrado por aplicación: permite especificar reglas para cada aplicación.
  • Las reglas de filtrado se aplican al tráfico de salida o entrada en una interfaz de red determinada.
  • Registro o logs de filtrado de paquetes.

Tipos de Cortafuegos

Firewalls basados en servidores: la aplicación de firewall se instala y ejecuta en un sistema operativo de red que ofrece otros servicios (enrutamiento, proxy, DNS, DHCP, etc.).

Firewalls dedicados: equipos con una aplicación específica de cortafuegos, funcionando de forma autónoma.

Firewalls integrados: se incorporan en un dispositivo de hardware (routers o switches) para ofrecer la funcionalidad de firewall.

Firewalls personales: se instalan en equipos individuales para protegerlos de amenazas externas.

Arquitecturas de Cortafuegos

Screening-router: un router entre la red privada y pública realiza tareas de filtrado.

Dual Homed-Host: un servidor con al menos dos tarjetas de red realiza filtrado y enrutamiento, ofreciendo flexibilidad en la configuración.

Screened Host: combina un router como frontera exterior y un servidor proxy para filtrar y añadir reglas a las aplicaciones.

Screened-subnet: crea una subred intermedia (DMZ o zona desmilitarizada) entre la red externa y la interna, con dos niveles de seguridad.

DMZ (Demilitarized Zone, Red Perimetral)

Es una red local ubicada entre la red interna de una organización y una red externa. En ella se sitúan servidores HTTP, DNS, FTP, etc.

La DMZ se encuentra entre dos cortafuegos, uno conectado a la red interna y otro a la externa. Esto previene configuraciones erróneas que permitan el acceso externo a la red interna. También se llama cortafuegos de subred monitoreada (screened-subnet firewall).

La política de seguridad para la DMZ es:

  • El tráfico de la red externa a la DMZ está autorizado, pero a la red interna está prohibido.
  • El tráfico de la red interna a la DMZ está autorizado, y a la red externa también está autorizado.

Proxy (Servidor Representante)

Es una aplicación o sistema que gestiona las conexiones de red, actuando como intermediario entre las peticiones de los clientes (HTTP, SSH, etc.) y los servidores externos. Crea una memoria caché de peticiones y respuestas para agilizar futuras solicitudes.

La mayoría de los servidores proxy añaden funciones de control, autenticación de usuarios, reglas de filtrado de contenido y registros de logs.

Una ventaja clave es la mejora en la velocidad de respuesta, ya que el proxy puede almacenar en caché recursos solicitados previamente.

Para evitar contenido desactualizado, los proxies modernos se conectan al servidor remoto para verificar la versión en caché.

Clasificación de Proxies según su Funcionamiento

Transparente: el proxy actúa como router y el usuario no sabe que se está ejecutando (en los dispositivos cliente se configura la puerta de enlace con la IP del proxy, no la del router).

No transparente: la aplicación cliente debe configurarse con la dirección y puerto del proxy.

Tipos de Proxy

Proxy caché Web: para aplicaciones específicas como el acceso web. Mantienen copias locales de archivos solicitados, reduciendo la latencia y el costo de la comunicación con Internet. Almacenan contenido en caché de protocolos HTTP, HTTPS e incluso FTP.

Proxy NAT: integra servicios de traducción de direcciones de red (NAT) y proxy.

Proxy transparente: combina un servidor proxy con NAT, redirigiendo conexiones (típicamente al puerto 80) hacia el puerto del servicio proxy.

Proxy anónimo: aumentan la privacidad y el anonimato de los clientes eliminando características identificativas (IP del cliente, cabeceras From y Referer, cookies, etc.).

Proxy inverso: se instala en una red con varios servidores web, actuando como intermediario para peticiones externas. Ofrece seguridad, gestión, distribución de carga, gestión de SSL y caché de contenido estático.

Proxy abierto: acepta conexiones desde cualquier PC. Ejecuta cualquier petición como si fuera propia.