Un cortafuegos es un mecanismo de control de la frontera, o defensa del perímetro. El propósito de un cortafuegos es evitar el acceso no autorizado, hacia o desde una red, al bloquear el tráfico procedente del exterior o interior de esta red
Todos los mensajes que entran o salen de la red interna a través del firewall son examinados para verificar si cumplen las normas de seguridad especificadas en las reglas del firewall, bloqueando aquellos que no satisfacen los criterios de seguridad establecidos. Los firewalls pueden ser implementados tanto en hardware como en software, o una combinación de ambos [8].
Parte de las políticas de seguridad de una organización quedan reflejadas en las reglas de los cortafuegos que establecen la restricción de acceso a recursos de red específicos. En la analogía de la seguridad física, un cortafuegos es el equivalente a una puerta de bloqueo, en una puerta de perímetro o en una puerta de una habitación en el interior del edificio, que permite que sólo puedan entrar los usuarios autorizados (aquellos que disponen de una llave o tarjeta de acceso). La tecnología de cortafuegos también está disponible en versiones apropiadas para redes domésticas u ordenadores personales. El cortafuegos crea una capa protectora entre la red y el mundo exterior. En efecto, el cortafuegos se ubica normalmente en el punto de entrada a la red, de modo que puede analizar los datos y recibir y transmitir aquellos paquetes autorizados sin retraso significativo. Asimismo, tiene filtros incorporados que impiden que aquello que se considera no autorizado o potencialmente peligroso entre en el sistema. Por otra parte, los cortafuegos proporcionan una importante función de auditoría; a menudo, proporcionan resúmenes al administrador de red acerca de qué tipo / volumen de tráfico se ha procesado a través de él, incluyendo intentos de intrusión
El NIST (National Institute of Standards and Technology), clasifica los cortafuegos en tres categorías básicas [9]: filtrado de paquetes, inspección de estado y proxys. Estas tres categorías, sin embargo, no son mutuamente excluyentes; la mayoría de los cortafuegos modernos tienen una mezcla de capacidades que hacen que puedan estar clasificados en más de una.
Los cortafuegos de filtrado de paquetes son esencialmente dispositivos de encaminamiento que utilizan funcionalidades de control de acceso para las direcciones del sistema y las sesiones de comunicaciones; también pueden filtrar el tráfico de la red en base a ciertas características. Normalmente se despliegan dentro de las infraestructuras de red TCP / IP. Sus principales puntos fuertes son la velocidad y la flexibilidad y la debilidad más relevante es su incapacidad para evitar ataques que emplean vulnerabilidades específicas de la aplicación (ya que no examinan los datos de la capa superior ) .
Dirección origen |
Puerto origen |
Dirección Destino |
Puerto |
Acción |
Descripción |
|
1 |
Cualquiera |
Cualquiera |
192.168.1.0 |
> 1023 |
Permitir |
Regla para permitir conexiones de retorno a subred interna |
2 |
192.168.1.1 |
Cualquiera |
Cualquiera |
Cualquiera |
Denegar |
Evitar que haya conexiones directamente desde el cortafuegos |
3 |
Cualquiera |
Cualquiera |
192.168.1.1 |
Cualquiera |
Denegar |
Evitar que usuarios externos puedan conectarse directamente al cortafuegos. |
4 |
192.168.1.0 |
Cualquiera |
Cualquiera |
Cualquiera |
Permitir |
Los usuarios internos pueden acceder a servidores externos. |
5 |
Cualquiera |
Cualquiera |
192.168.1.2 |
SMTP |
Permitir |
Permitir que lleguen e-mails al sistema procedentes de usuarios externos |
6 |
Cualquiera |
Cualquiera |
192.168.1.3 |
HTTP |
Permitir |
Permitir a usuarios externos accede a servidores WWW |
7 |
Cualquiera |
Cualquiera |
Cualquiera |
Cualquiera |
Denegar |
Cualquier acción no permitida anteriormente es denegada explícitamente. |
Los cortafuegos de inspección de estado, también conocidos como filtrado dinámico de paquetes, se basan en la supervisión del estado de las conexiones activas para determinar qué paquetes de red pueden pasar a través del firewall. Estos cortafuegos analizan los paquetes en las capas inferiores a la de aplicación. Mediante el registro de información de sesión, como direcciones IP y números de puerto, un cortafuegos de inspección de estado puede adoptar un criterio de seguridad mucho más estricto gracias al análisis de ciertos valores de las cabeceras de protocolos que permite controlar el estado de cada conexión durante un período de tiempo. Se realiza un seguimiento de los paquetes salientes que solicitan tipos específicos de paquetes entrantes y sólo se permite que pasen a través del cortafuegos aquellos paquetes entrantes que constituyen una respuesta adecuada a otros previos. El cortafuegos analiza cada nuevo paquete teniendo en cuenta su tabla de estado para determinar si el estado del paquete contradice su estado esperado. Los cortafuegos de inspección de estado tradicionales no inspeccionan el campo de datos de los paquetes de red y no tienen la capacidad de para distinguir un tipo de tráfico web de otro (aplicaciones legítimas y los ataques).
Los cortafuegos proxy o cortafuegos de pasarela de aplicaciones, son una incorporación bastante reciente a entornos de seguridad convencionales. Los cortafuegos proxy combinan la tecnología de inspección de estado con la capacidad de realizar inspecciones con cierta profundidad a nivel de aplicación. Esta capacidad permite el análisis de protocolos en la capa de aplicación como HTTP y FTP y controlar el tráfico para analizar el comportamiento de la actividad del protocolo e identificar desviaciones o posibles signos de ataque respecto a comportamientos normales o benignos. Esto permite que un cortafuegos permita o deniegue el acceso en función de cómo se ejecuta una aplicación en la red.
Los cortafuegos de próxima generación (NGFW) son una plataforma de red integrada que combina un firewall tradicional con otras funcionalidades de filtrado de dispositivos de red tales como cortafuegos proxy utilizando inspección profunda de paquetes (DPI), un sistema de prevención de intrusiones (IPS) y otras técnicas tales como filtrado web, gestión de QoS/ancho de banda, inspección del antivirus e integración de terceros servicios (por ejemplo, Active Directory ) [10] . De hecho, básicamente constituyen una solución de administración unificada de amenazas (UTM). El principal inconveniente de NGFW es que por lo general tienden a utilizar los motores internos separados para llevar a cabo funciones de seguridad individuales y en consecuencia, un paquete puede ser examinado varias veces por diferentes motores para determinar si se debe permitir que se transmita a la red. Ese enfoque de turno rotativo añade latencia lo que puede afectar al rendimiento de la red.