Articulo de referencia

Cortafuegos (informática)

En informática , un cortafuegos es un sistema de seguridad de red que supervisa y controla el tráfico de red entrante y saliente basándose en reglas de seguridad configurables. ...

En informática , un cortafuegos es un sistema de seguridad de red que supervisa y controla el tráfico de red entrante y saliente basándose en reglas de seguridad configurables. [ 1 ] [ 2 ] Un cortafuegos suele establecer una barrera entre una red de confianza y una red no confiable, como Internet [ 3 ] o entre varias VLAN . Los cortafuegos se pueden clasificar en basados ​​en la red o basados ​​en el host.

Historia

El término cortafuegos se refería originalmente a una pared para confinar un incendio dentro de una línea de edificios adyacentes. [ 4 ] Usos posteriores se refieren a estructuras similares, como la lámina de metal que separa el compartimento del motor de un vehículo o aeronave del compartimento de pasajeros. El término se aplicó en la década de 1980 a la tecnología de redes [ 5 ] que surgió cuando Internet era relativamente nueva en términos de su uso global y conectividad. [ 6 ] Los predecesores de los cortafuegos para la seguridad de redes fueron los enrutadores utilizados en la década de 1980. Debido a que ya segregaban redes, los enrutadores podían filtrar los paquetes que las atravesaban. [ 7 ]

Antes de que se utilizara en la informática real, el término apareció en la película de piratería informática de John Badham de 1983, WarGames , pronunciado por el programador barbudo y con gafas llamado Paul Richter, lo que posiblemente inspiró su uso posterior. [ 8 ]

Uno de los primeros productos de firewall y traducción de direcciones de red (NAT) de éxito comercial fue el firewall PIX (Private Internet eXchange), inventado en 1994 por Network Translation Inc., una empresa emergente fundada y dirigida por John Mayes. La tecnología del firewall PIX fue programada por Brantley Coile como consultor de desarrollo de software. [ 9 ] Reconociendo el creciente problema del agotamiento de direcciones IPv4, diseñaron el PIX para permitir a las organizaciones conectar de forma segura redes privadas a internet pública utilizando un número limitado de direcciones IP registradas. La innovadora solución PIX rápidamente obtuvo reconocimiento en la industria, ganando el prestigioso premio "Producto del Año" de la revista Data Communications en enero de 1995. Cisco Systems, buscando expandirse en el mercado de seguridad de redes en rápido crecimiento, adquirió posteriormente Network Translation Inc. en noviembre de 1995 para obtener los derechos de la tecnología PIX. El PIX se convirtió en una de las líneas de productos de firewall insignia de Cisco antes de ser finalmente sucedido por la plataforma Adaptive Security Appliance (ASA) presentada en 2005.

Tipos de cortafuegos

Los firewalls se clasifican en sistemas basados ​​en red o basados ​​en host. Los firewalls basados ​​en red se ubican entre dos o más redes, generalmente entre la red de área local (LAN) y la red de área amplia (WAN), [ 10 ] su función básica es controlar el flujo de datos entre redes conectadas. Pueden ser un dispositivo de software que se ejecuta en hardware de propósito general, un dispositivo de hardware que se ejecuta en hardware de propósito especial o un dispositivo virtual que se ejecuta en un host virtual controlado por un hipervisor . Los dispositivos de firewall también pueden ofrecer funcionalidades que no son de firewall, como DHCP [ 11 ] [ 12 ] o servicios VPN [ 13 ] . Los firewalls basados ​​en host se implementan directamente en el propio host para controlar el tráfico de red u otros recursos informáticos. [ 14 ] [ 15 ] Esto puede ser un demonio o un servicio como parte del sistema operativo o una aplicación agente para protección.

Ilustración de un cortafuegos basado en red dentro de una red.

Filtro de paquetes

El primer tipo de cortafuegos de red descrito se denomina filtro de paquetes, que inspecciona los paquetes transferidos entre ordenadores. El cortafuegos mantiene una lista de control de acceso que determina qué paquetes se examinarán y qué acción se debe aplicar, si corresponde, con la acción predeterminada de descarte silencioso. Tres acciones básicas con respecto al paquete consisten en un descarte silencioso, un descarte con respuesta de restablecimiento del Protocolo de mensajes de control de Internet o TCP al remitente, y el reenvío al siguiente salto. [ 16 ] Los paquetes pueden filtrarse por direcciones IP de origen y destino , protocolo o puertos de origen y destino . La mayor parte de la comunicación por Internet en el siglo XX y principios del XXI utilizaba el Protocolo de control de transmisión (TCP) o el Protocolo de datagramas de usuario (UDP) junto con puertos conocidos , lo que permitía a los cortafuegos de esa época distinguir entre tipos específicos de tráfico, como la navegación web, la impresión remota, la transmisión de correo electrónico y las transferencias de archivos. [ 17 ] [ 18 ]

El primer artículo publicado sobre tecnología de cortafuegos data de 1987, cuando ingenieros de Digital Equipment Corporation (DEC) desarrollaron sistemas de filtrado conocidos como cortafuegos de filtrado de paquetes. En AT&T Bell Labs , Bill Cheswick y Steve Bellovin continuaron su investigación en filtrado de paquetes y desarrollaron un modelo funcional para su propia empresa basado en su arquitectura original de primera generación. [ 19 ] En 1992, Steven McCanne y Van Jacobson publicaron un artículo sobre BSD Packet Filter (BPF) mientras trabajaban en el Laboratorio Lawrence Berkeley . [ 20 ] [ 21 ]

Seguimiento de conexiones

Flujo de paquetes de red a través de Netfilter , un módulo del kernel de Linux.

Entre 1989 y 1990, tres colegas de AT&T Bell Laboratories , Dave Presotto, Janardan Sharma y Kshitij Nigam, desarrollaron la segunda generación de cortafuegos, denominándolos pasarelas a nivel de circuito . [ 22 ]

Los firewalls de segunda generación realizan el trabajo de sus predecesores de primera generación, pero también mantienen conocimiento de conversaciones específicas entre puntos finales al recordar qué número de puerto están utilizando las dos direcciones IP en la capa 4 ( capa de transporte ) del modelo OSI para su conversación, lo que permite examinar el intercambio general entre los nodos. [ 23 ]

Capa de aplicación

Marcus Ranum , Wei Xu y Peter Churchyard lanzaron un cortafuegos de aplicaciones conocido como Firewall Toolkit (FWTK) en octubre de 1993. [ 24 ] Este se convirtió en la base del cortafuegos Gauntlet en Trusted Information Systems . [ 25 ] [ 26 ]

La principal ventaja del filtrado de la capa de aplicación es que puede comprender ciertas aplicaciones y protocolos como el Protocolo de Transferencia de Archivos (FTP), el Sistema de Nombres de Dominio (DNS) o el Protocolo de Transferencia de Hipertexto (HTTP). Esto le permite identificar aplicaciones o servicios no deseados que utilizan un puerto no estándar, o detectar si se está abusando de un protocolo permitido. [ 27 ] También puede proporcionar una gestión de seguridad unificada, incluyendo DNS cifrado obligatorio y redes privadas virtuales . [ 28 ] [ 29 ] [ 30 ]

A partir de 2012, el firewall de próxima generación proporciona un rango más amplio de inspección en la capa de aplicación, extendiendo la funcionalidad de inspección profunda de paquetes para incluir, entre otras cosas:

Específico del punto final

Los firewalls de aplicaciones basados ​​en puntos finales funcionan determinando si un proceso debe aceptar una conexión determinada. Estos firewalls filtran las conexiones examinando el ID del proceso de los paquetes de datos y comparándolo con un conjunto de reglas para el proceso local involucrado en la transmisión de datos. Los firewalls de aplicaciones logran su función interceptando las llamadas de socket para filtrar las conexiones entre la capa de aplicación y las capas inferiores. Los firewalls de aplicaciones que interceptan las llamadas de socket también se conocen como filtros de socket.

Políticas de firewall

En el núcleo del funcionamiento de un cortafuegos se encuentran las políticas que rigen su proceso de toma de decisiones. Estas políticas, conocidas colectivamente como reglas de cortafuegos, son las directrices específicas que determinan el tráfico permitido o bloqueado a través de los límites de una red. [ 32 ] [ 33 ]

Las reglas del firewall se basan en la evaluación de los paquetes de red según criterios de seguridad predeterminados. Un paquete de red, que transporta datos a través de las redes, debe coincidir con ciertos atributos definidos en una regla para poder pasar por el firewall. Estos atributos suelen incluir:

  • Dirección : Tráfico entrante o saliente
  • Origen : De dónde proviene el tráfico ( dirección IP, rango, red o zona).
  • Destino : Hacia dónde se dirige el tráfico ( dirección IP, rango, red o zona).
  • Puerto : Puertos de red específicos para diversos servicios (por ejemplo, el puerto 80 para HTTP ).
  • Protocolo : El tipo de protocolo de red (por ejemplo, TCP , UDP , ICMP )
  • Aplicaciones : Inspección L7 o agrupación de servicios AV.
  • Acción : Si se debe permitir, denegar, descartar o requerir una inspección adicional para el tráfico

Zonas

Las zonas son segmentos lógicos dentro de una red que agrupan dispositivos con requisitos de seguridad similares. Al dividir una red en zonas, como " Técnica ", " WAN ", " LAN ", " Pública ", " Privada ", " DMZ " e " Inalámbrica ", los administradores pueden aplicar políticas que controlan el flujo de tráfico entre ellas. Cada zona tiene su propio nivel de confianza y se rige por reglas de firewall específicas que regulan la entrada y salida de datos.

Una configuración predeterminada típica consiste en permitir todo el tráfico de LAN a WAN y bloquear todo el tráfico de WAN a LAN.

Servicios

En términos de redes, los servicios son funciones específicas que generalmente se identifican mediante un puerto y un protocolo de red. Algunos ejemplos comunes son HTTP/HTTPS (tráfico web) en los puertos 80 y 443, FTP (transferencia de archivos) en el puerto 21 y SMTP (correo electrónico) en el puerto 25. Los servicios son el motor que impulsa las aplicaciones de las que dependen los usuarios. Desde el punto de vista de la seguridad, controlar el acceso a los servicios es crucial, ya que son objetivos frecuentes de ataques. Los firewalls emplean reglas que estipulan qué servicios deben ser accesibles, quién puede acceder a ellos y en qué contexto. Por ejemplo, un firewall podría configurarse para bloquear las solicitudes FTP entrantes y así evitar la carga no autorizada de archivos, pero permitir las solicitudes HTTPS salientes para la navegación web.

Aplicaciones

Las aplicaciones se refieren a los sistemas de software con los que los usuarios interactúan en la red. Pueden abarcar desde navegadores web y clientes de correo electrónico hasta sistemas de bases de datos complejos y servicios en la nube. En seguridad de redes , las aplicaciones son importantes porque los diferentes tipos de tráfico pueden plantear diversos riesgos de seguridad. Por lo tanto, se pueden crear reglas de firewall para identificar y controlar el tráfico según la aplicación que lo genera o lo recibe. Al tener en cuenta las aplicaciones, los firewalls pueden permitir, denegar o limitar el tráfico para aplicaciones específicas de acuerdo con las políticas de la organización y los requisitos de cumplimiento, mitigando así las posibles amenazas de aplicaciones vulnerables o no deseadas.

La aplicación puede consistir en una agrupación de servicios o en una inspección L7 .

ID DE USUARIO

Implementar reglas de firewall basadas únicamente en direcciones IP suele ser insuficiente debido a la naturaleza dinámica de la ubicación del usuario y el uso del dispositivo. [ 33 ] [ 34 ] El ID de usuario se traducirá a una dirección IP.

Aquí es donde el concepto de "ID de usuario" cobra gran importancia. El ID de usuario permite crear reglas de firewall basadas en identidades de usuario individuales, en lugar de solo en direcciones IP fijas de origen o destino. Esto mejora la seguridad al permitir un control más preciso sobre quién puede acceder a determinados recursos de red, independientemente de dónde se conecten o qué dispositivo utilicen.

La tecnología de identificación de usuario se integra normalmente en los sistemas de firewall mediante servicios de directorio como Active Directory , LDAP , RADIUS o TACACS+ . Estos servicios vinculan la información de inicio de sesión del usuario con su actividad en la red. De este modo, el firewall puede aplicar reglas y políticas que se correspondan con grupos de usuarios, roles o cuentas de usuario individuales, en lugar de depender únicamente de la topología de la red.

Ejemplo de uso del ID de usuario en las reglas del firewall

Imaginemos una escuela que desea restringir el acceso de los estudiantes a un servidor de redes sociales . Pueden crear una regla en el cortafuegos que utilice la información de identificación del usuario para aplicar esta política.

  1. Configuración del servicio de directorio: En primer lugar, el firewall debe configurarse para comunicarse con el servicio de directorio que almacena la información de pertenencia a grupos de usuarios. En este caso, un servidor de Active Directory.
  2. Identificación de usuario: el firewall asigna el tráfico de red a identificadores de usuario específicos mediante la interpretación de los registros de autenticación. Cuando un usuario inicia sesión, el firewall asocia ese inicio de sesión con la dirección IP del usuario .
  3. Definir grupos de usuarios: dentro de la interfaz de administración del firewall, defina grupos de usuarios según el servicio de directorio. Por ejemplo, cree grupos como "Estudiantes".
  4. Crear regla de firewall:
    • Fuente: ID de usuario (por ejemplo, Estudiantes)
    • Destino: lista de direcciones IP
    • Servicio/Aplicación: Servicios permitidos (por ejemplo, HTTP , HTTPS )
    • Acción: Denegar
  5. Implementar regla de permiso predeterminada:
    • Fuente: Zona LAN
    • Destino: zona WAN
    • Servicio/Aplicación: Cualquiera
    • Acción: Permitir

Con esta configuración, solo los usuarios que se autentiquen y se identifiquen como miembros de "Estudiantes" tendrán denegado el acceso a los servidores de redes sociales . Todo el demás tráfico, desde las interfaces LAN, estará permitido.

Configuración

Configurar un cortafuegos es una tarea compleja y propensa a errores. Una red puede enfrentar problemas de seguridad debido a errores de configuración. [ 35 ]

Las políticas de firewall generalmente se configuran según el tipo de red en uso, como entornos públicos o privados. Los administradores definen reglas que permiten o restringen el tráfico para reducir la exposición a amenazas como el acceso no autorizado, el malware u otras formas de ciberataque. [ 36 ]

Véase también

Referencias

  1. Boudriga, Noureddine (2010). Seguridad de las comunicaciones móviles . Boca Raton: CRC Press. pp. 32–33 . ISBN  978-0849379420.
  2. Macfarlane, Richard; Buchanan, William; Ekonomou, Elias; Uthmani, Omair; Fan, Lu; Lo, Owen (2012). "Implementaciones de políticas de seguridad formales en cortafuegos de red" . Computers & Security . 31 (2): 253– 270. doi : 10.1016/j.cose.2011.10.003 .
  3. Oppliger, Rolf (mayo de 1997). "Seguridad en Internet: cortafuegos y más allá" . Communications of the ACM . 40 (5): 94. doi : 10.1145/253769.253802 . S2CID 15271915 . 
  4. Canavan, John E. (2001). Fundamentos de seguridad de redes (1.ª ed.). Boston, MA: Artech House. pág. 212. ISBN   9781580531764.
  5. Cheswick, William R. ; Bellovin, Steven M. (1994). Cortafuegos y seguridad en Internet : Cómo repeler al hacker astuto . Addison-Wesley. ISBN 978-0201633573.
  6. Liska, Allan (10 de diciembre de 2014). Creación de un programa de seguridad basado en inteligencia . Syngress. pág. 3. ISBN  978-0128023709.
  7. Ingham, Kenneth; Forrest, Stephanie (2002). "Historia y panorama general de los cortafuegos de red" (PDF) . Archivado del original (PDF) el 2 de septiembre de 2006. Consultado el 25 de noviembre de 2011 .
  8. Boren, Jacob (24 de noviembre de 2019). "10 veces que las películas de ciencia ficción de los 80 predijeron el futuro" . ScreenRant . Consultado el 4 de marzo de 2021 .
  9. Mayes, John (24-11-2022). "NTI - JMA" . Wikipedia . Archivado del original el 25-01-2022 . Recuperado el 04-03-2023 .
  10. Naveen, Sharanya. "Cortafuegos" . Archivado del original el 21 de mayo de 2016. Consultado el 7 de junio de 2016 .
  11. "Cortafuegos como servidor y cliente DHCP" . Palo Alto Networks . Archivado del original el 6 de agosto de 2017. Consultado el 8 de febrero de 2016 .
  12. "DHCP" . www.shorewall.net . Archivado del original el 20 de enero de 2016. Consultado el 8 de febrero de 2016 .
  13. "¿Qué es un cortafuegos VPN? – Definición de Techopedia" . Techopedia.com . Consultado el 8 de febrero de 2016 .
  14. Vacca, John R. (2009). Manual de seguridad informática y de la información . Ámsterdam: Elsevier. pág. 355. ISBN  9780080921945.
  15. "¿Qué es un cortafuegos?" . Archivado del original el 12/02/2015 . Consultado el 12/02/2015 .
  16. Peltier, Justin; Peltier, Thomas R. (2007). Guía completa para la certificación CISM . Hoboken: CRC Press. pág. 210. ISBN  9781420013252.
  17. "TCP vs. UDP : La diferencia entre ellos" . www.skullbox.net . Archivado del original el 16 de julio de 2018. Consultado el 9 de abril de 2018 . 
  18. Cheswick, William R.; Bellovin, Steven M.; Rubin, Aviel D. (2003). Cortafuegos y seguridad en Internet : cómo repeler al hacker astuto (2.ª ed.). Addison-Wesley Professional. ISBN  9780201634662.
  19. Ingham, Kenneth; Forrest, Stephanie (2002). "Historia y panorama general de los cortafuegos de red" (PDF) . pág. 4. Archivado del original (PDF) el 2 de septiembre de 2006. Consultado el 25 de noviembre de 2011 . 
  20. McCanne, Steven; Jacobson, Van (1992-12-19). "El filtro de paquetes BSD: una nueva arquitectura para la captura de paquetes a nivel de usuario" (PDF) . Archivado del original (PDF) el 16 de septiembre de 2000.
  21. McCanne, Steven; Jacobson, Van (enero de 1993). "El filtro de paquetes BSD: una nueva arquitectura para la captura de paquetes a nivel de usuario" . USENIX . Archivado del original el 3 de agosto de 2020. Consultado el 11 de agosto de 2022 .
  22. M. Afshar Alam; Tamanna Siddiqui; KR Seeja (2013). Desarrollos recientes en informática y sus aplicaciones . IK International Pvt Ltd. pág. 513. ISBN  978-93-80026-78-7.
  23. "Cortafuegos" . MemeBridge. Archivado del original el 16 de julio de 2014. Consultado el 13 de junio de 2014 .
  24. "Lanzamiento del kit de herramientas de firewall V1.0" . Archivado del original el 26 de marzo de 2019. Consultado el 28 de diciembre de 2018 .
  25. John Pescatore (2 de octubre de 2008). "Esta semana en la historia de la seguridad de redes: El kit de herramientas de firewall" . Archivado del original el 29 de abril de 2016. Consultado el 28 de diciembre de 2018 .
  26. Marcus J. Ranum; Frederick Avolio. "Historia de FWTK" . Archivado del original el 26 de enero de 2021. Consultado el 28 de diciembre de 2018 .
  27. "¿Qué es la capa 7? Cómo funciona la capa 7 de Internet" . Cloudflare . Archivado del original el 28 de agosto de 2020. Consultado el 29 de agosto de 2020 .
  28. "5 funciones de firewall imprescindibles" . Check Point Software . Archivado del original el 8 de noviembre de 2021. Consultado el 8 de noviembre de 2021 .
  29. Stanfield, Nathan (04/12/2019). "11 funciones de firewall sin las que no puedes vivir" . Stanfield IT . Recuperado el 08/11/2021 .
  30. "Safing Portmaster" . safing.io . Archivado del original el 8 de noviembre de 2021. Consultado el 8 de noviembre de 2021 .
  31. Liang, Junyan; Kim, Yoohwan (2022). Evolución de los cortafuegos: Hacia una red más segura mediante cortafuegos de próxima generación . pp. 0752–0759 . Bibcode : 2022ccwc.conf..115L . doi : 10.1109/CCWC54503.2022.9720435 . ISBN  978-1-6654-8303-2.
  32. "Política" . docs.paloaltonetworks.com . Archivado del original el 11 de agosto de 2024. Consultado el 21 de noviembre de 2024 .
  33. 1 2 "Creación de reglas de política de firewall" . Juniper Networks . 7 de noviembre de 2023. Archivado del original el 12 de septiembre de 2024. Consultado el 21 de noviembre de 2024 .
  34. "ID de usuario" . docs.paloaltonetworks.com . Archivado del original el 7 de noviembre de 2024. Consultado el 21 de noviembre de 2024 .
  35. Voronkov, Artem; Iwaya, Leonardo Horn; Martucci, Leonardo A.; Lindskog, Stefan (2018-01-12). "Revisión sistemática de la literatura sobre la usabilidad de la configuración de cortafuegos" . ACM Computing Surveys . 50 (6): 1– 35. doi : 10.1145/3130876 . ISSN 0360-0300 . S2CID 6570517 .  
  36. "¿Qué es la configuración del firewall y por qué es importante?" . Fortinet . Archivado del original el 25/01/2023 . Consultado el 25/01/2023 .
  • Evolución de la industria de los cortafuegos : se analizan las diferentes arquitecturas, cómo se procesan los paquetes y se proporciona una cronología de su evolución.
  • Historia y análisis de los cortafuegos de red (archivado el 30 de agosto de 2017 en Wayback Machine ): ofrece una visión general de los cortafuegos en varios niveles ISO, con referencias a los documentos originales donde se informaron los primeros trabajos sobre cortafuegos.
Obtenido de " https://en.wikipedia.org/w/index.php?title=Firewall_(computing)&oldid=1355313144#Packet_filter "