¿Qué es un cortafuegos y cómo funciona??

Firewall es el término inglés que designa un «muro de protección contra incendios». Paredes como ésta impiden que un incendio se propague de una casa a otra. En lenguaje informático, «cortafuegos» designa uno o varios programas que protegen una empresa o una red privada de los ataques procedentes de Internet. Nota: En el resto de este artículo, la red de la empresa o red privada se denominará «red local» para distinguirla de Internet.

¿Qué tipos de cortafuegos existen??

Un cortafuegos es la combinación de varios programas de seguridad diferentes. Los productos que se ofrecen bajo el nombre de «cortafuegos» utilizan estos programas para protegerse de los ataques procedentes de Internet. En el apartado «Mecanismos de seguridad» puede consultar los mecanismos utilizados por cada uno de los programas.

Un cortafuegos puede ofrecerse como un programa que se instala en un ordenador. O está incorporado en los dispositivos de acceso a Internet, los llamados routers.

Anuncio del cortafuegos en un Mac

Protocolos en Internet

Para entender cómo funciona un cortafuegos, primero hay que saber cómo los ordenadores de Internet intercambian datos entre sí.

La base del intercambio de datos en Internet es el Protocolo de Internet, IP para abreviar. Este protocolo divide los datos que se van a enviar en paquetes, añade la dirección del remitente y del destinatario, así como información sobre el tamaño del paquete, a cada paquete y envía los paquetes de datos al destinatario.

TCP, el Protocolo de Control de Transmisión, complementa a IP. TCP establece la conexión entre dos ordenadores a través de la cual se intercambian paquetes de datos utilizando IP. TCP también controla que todos los datos lleguen al destinatario intactos y en el orden correcto. Los dos protocolos suelen combinarse y denominarse TCP/IP.

Además, hay otros dos protocolos que son importantes en Internet:

  • ICMP, el Protocolo de Mensajes de Control de Internet, envía mensajes de control entre los ordenadores de una red. Si, por ejemplo, se envía un ping a un ordenador, éste envía una respuesta a través del protocolo ICMP.
  • UDP, el Protocolo de Datagramas de Usuario, se utiliza para transportar datos a través de IP, de forma similar a TCP. Con la ayuda de un procedimiento matemático, la suma de comprobación, el protocolo garantiza que los paquetes de datos lleguen intactos al destinatario.

Sin embargo, a UDP no le importa el orden de los paquetes de datos ni si los datos pueden llegar dos veces. Esto acelera enormemente la transmisión, pero es poco fiable. Los programas que utilizan UDP para enviar datos necesitan sus propias precauciones para garantizar que los paquetes de datos lleguen en el orden correcto.

Servicios en Internet

En Internet hay una multitud de los llamados «servicios», la mayoría basados en TCP, en algunos casos en UDP. Se trata de programas que intercambian datos entre sí mediante un procedimiento fijo. El servicio más conocido es la World Wide Web. Aquí un servidor WWW y el programa de visualización de Internet intercambian datos. El método definido para ello es «http», el Protocolo de Transferencia de Hipertexto. Éste, a su vez, utiliza el protocolo TCP/IP en el que se basa Internet para intercambiar los datos en bruto.

Para garantizar que la información no acabe en el lugar equivocado, los protocolos de Internet utilizan los llamados puertos. Se trata de entradas abiertas de datos en un ordenador. Un servidor WWW, por ejemplo, espera toda la información en el puerto 80, un servidor SMTP para enviar correo utiliza el puerto 25. Si una petición va a un puerto diferente, el servidor no se mueve (a menos que el administrador del sistema lo haya configurado así de antemano).

En la vida real, el principio sería así: Dos empleados de una empresa se envían mensajes. Además de las bandejas de entrada, ambos empleados tienen compartimentos especiales en los que esperan los mensajes del otro. Estas cestas corresponden a puertos. Para ahorrar tiempo, acuerdan ciertas palabras clave. «AKTE Müller», por ejemplo, significa «Por favor, envíeme el expediente del Sr. Müller». Esto corresponde a un protocolo como http. La forma acordada de intercambiar información corresponde al servicio.

Este breve mensaje se introduce en un sobre y se deposita en el correo de la casa. El papel de los protocolos TCP e IP lo asume el correo interno: el mensajero de la oficina reconoce al empleado al que va el correo por la dirección. También se aseguran de que la carta acabe intacta con el empleado adecuado en el buzón correcto. Si el mensajero de la oficina pone el mensaje en la bandeja de entrada equivocada, es decir, en el puerto equivocado, puede pasarse por alto allí o ser procesado por otro colega y devuelto con la nota «No se entiende».

Este es el principio en el que se basan los servicios de Internet como:

  • http para transmitir información en la World Wide Web
  • el protocolo de transferencia de correo SMTP
  • FTP para transferir archivos
  • Telnet o SSH para acceder a la línea de comandos de otros ordenadores
  • DNS para traducir las direcciones de Internet legibles en las correspondientes direcciones IP.

Publicidad

Cómo intentan los hackers penetrar en la red?

Los escáneres de puertos son la herramienta más importante de los ladrones de datos. Con la ayuda de estos programas, se pueden escanear los ordenadores en busca de los servicios mencionados y los puertos que tienen abiertos. El emisor simplemente envía una solicitud al puerto y espera una respuesta.

Los escáneres portuarios también funcionan según este principio. Sólo que son mucho más rápidos. Los escáneres de puertos pueden comprobar todos los ordenadores de una red introduciendo una dirección inicial y otra final. Dado que los proveedores de acceso telefónico a Internet siempre utilizan un determinado rango de direcciones IP para sus clientes de acceso telefónico, un escáner de puertos puede dirigirse a este rango. Entonces todos los clientes de un determinado proveedor de acceso telefónico son espiados en busca de puertos abiertos.

Si se encuentra un puerto de este tipo, otros programas intentan comunicarse con el ordenador a través de este puerto. A menudo se intenta bombardear el ordenador atacado con masas de paquetes erróneos enviados hasta que la utilidad que utiliza el puerto deja de funcionar. Este procedimiento se denomina ataque de denegación de servicio (en alemán: Angriff mit dem Ziel, dass ein Dienst seine Arbeit verweigert). El objetivo es colapsar el programa y dejar el puerto abierto. El intruso penetra entonces en el sistema a través de este puerto abierto.

Estos y otros ataques suelen verse favorecidos por las lagunas de seguridad en el programa operativo o en las utilidades de Internet. Por lo tanto, es importante bloquear estos ataques antes de que lleguen a la red local.

En este caso, la tarea de un cortafuegos es cerrar los puertos correspondientes y detectar e impedir estos ataques de denegación de servicio.

Otros dos métodos de penetración en las redes informáticas son el rastreo de paquetes y la suplantación de IP.

En el sniffing de paquetes, un programa olfatea los paquetes de datos que pasan. Al hacerlo, intenta rastrear información como los nombres de usuario y las contraseñas. A menudo, esta información se transmite sin cifrar, por ejemplo desde Telnet o al recuperar el correo electrónico. Para obtener los paquetes, el atacante debe tener acceso a un ordenador, a través de los datos enviados en la red local o en Internet. Un cortafuegos en sí mismo no puede hacer mucho contra estos intentos de espionaje. Sin embargo, para evitarlos, muchos administradores de sistemas desactivan el paso de Telnet en el cortafuegos.

En el spoofing, el atacante envía paquetes de datos con direcciones de remitente falsas a otro ordenador. De este modo, puede establecer una conexión a través de la cual puede penetrar en la red local. O el atacante intenta utilizar la falsificación de direcciones para asegurar un tráfico de datos excesivo entre dos ordenadores de la red. Incluso pueden intentar que las direcciones del remitente y del destinatario sean las mismas. El ordenador atacado recibe el paquete de datos con su propio remitente y, a continuación, posiblemente se envíe mensajes a sí mismo de forma continua. Y esto bloquea su acceso a la red. Por último, los atacantes intentan falsificar la información sobre los propios paquetes de datos, por ejemplo, especificando un tamaño incorrecto para el paquete. Esto puede confundir al ordenador receptor. Para este tipo de ataques se suelen utilizar programas como Ping, que envían mensajes de control ICMP.

Un cortafuegos debe ser capaz de excluir tales manipulaciones de direcciones y paquetes.

Cómo funciona un cortafuegos?

Un cortafuegos se sitúa justo en el punto de conexión entre la red local e Internet. Forma una especie de cuello de botella a través del cual todos los datos deben exprimirse hacia y desde Internet.

El cortafuegos determina qué servicios se pueden utilizar en Internet. Y determina cómo los servicios de Internet pueden enviar datos a los ordenadores de la red local. Por ejemplo, un cortafuegos puede permitir que sólo se recuperen páginas de Internet de la WWW. Al mismo tiempo, puede bloquear determinados sitios de Internet o, por ejemplo, impedir que se ejecuten los programas Java almacenados en los sitios de Internet.

Mecanismos de seguridad

Los cortafuegos funcionan con diferentes mecanismos de seguridad. Entre ellas se encuentran:

– Filtrado de paquetes

Cada paquete de datos que se transmite a través del Protocolo de Internet tiene importantes características de reconocimiento. Esto incluye la dirección del remitente y la dirección de destino, cada una con números de puerto, así como información sobre el tamaño de los datos contenidos. Basándose en esta y otras informaciones, un cortafuegos puede filtrar determinados paquetes, es decir, no dejarlos entrar en la red. Por ejemplo, el cortafuegos sólo puede permitir el paso de paquetes de Internet dirigidos al puerto 25 de un ordenador de la red. Todos los demás paquetes se descartan. El filtrado de paquetes también puede utilizarse para excluir determinadas direcciones de remitentes, de modo que ni siquiera se acepten los datos de determinados servidores de Internet. El cortafuegos también puede reconocer determinadas páginas web en función de las direcciones y bloquear su acceso.

– NAT

La abreviatura NAT significa Network Address Translation (traducción de direcciones de red). En cuanto un ordenador de la red local establece una conexión con un ordenador de Internet, debe informar al ordenador de Internet de una dirección IP con la que se puede contactar. El cortafuegos reconoce esta conexión y recuerda la dirección del ordenador en la red local. Sin embargo, el cortafuegos da al otro ordenador en Internet una dirección completamente diferente. También puedes cambiar las direcciones de los puertos. De este modo, se pueden establecer varias conexiones a Internet a través de una única dirección IP. Este procedimiento se denomina traducción de direcciones de puerto.

Con NAT, el cortafuegos se asegura de que la respuesta del ordenador desde Internet sea enviada de vuelta al cortafuegos y pueda ser comprobada allí. El ordenador de Internet no puede establecer una conexión directa con el ordenador de la red local. Otra ventaja: el cortafuegos recuerda los datos de la conexión y puede decidir cuando llegan los paquetes si pertenecen a una solicitud realizada previamente. De este modo, se pueden filtrar todos los paquetes que se envían «sin pedir» a la red.

El NAT también es necesario en muchas redes porque se utilizan direcciones en la red local que no funcionarían en Internet, por ejemplo 192.168.0.1 y todas las direcciones hasta 192.168.255.255.

– VPN

Las llamadas redes privadas virtuales conectan las redes locales a través de Internet. De este modo, por ejemplo, las redes locales de las oficinas de la empresa en Hamburgo y Múnich pueden conectarse como si ambas estuvieran conectadas en una única red local. El tráfico de datos entre las dos redes locales debe estar cifrado para que nadie pueda leerlo. A menudo, los routers equipados con cortafuegos también realizan esta tarea.

– Servidor proxy

Son ordenadores que se conectan entre la red local e Internet. Un proxy acepta la solicitud de un ordenador de la red local y ejecuta esta solicitud en Internet mediante un proxy. A continuación, el proxy envía los datos que recibe al ordenador de la red local. El operador de un servidor proxy decide qué servicios pueden utilizarse en Internet. De este modo -más cómodo que con un filtro de paquetes- se pueden prohibir ciertas aplicaciones en Internet y controlar el tráfico de la red.

Otros métodos y técnicas

Además de las técnicas de cortafuegos mencionadas anteriormente, también hay otros métodos que se mencionan en relación con los cortafuegos. Esto incluye:

– Ipsec

Ipsec son las siglas de IP Security. Se trata de un procedimiento que encripta los datos enviados a través del Protocolo de Internet. Además, Ipsec se encarga de

– Reenvío de puertos

El reenvío de puertos permite asignar permanentemente ciertas direcciones IP de la red local a un determinado puerto del cortafuegos. Si el cortafuegos recibe una solicitud en este puerto, la reenvía al ordenador correspondiente de la red local.

– DMZ

DMZ significa Zona Desmilitarizada. Se trata de un ordenador o una red que sigue estando delante del verdadero cortafuegos. Todo el tráfico de datos entrante y saliente pasa por la DMZ. Si quiere conectarse a la red local, tiene que entrar en la DMZ y sólo puede conectarse a la red local con un permiso especial. Los datos enviados desde la red local a Internet también deben pasar por la DMZ. La ventaja: en esta zona desmilitarizada se pueden instalar servicios de información como un servidor WWW. A este servidor se puede llegar fácilmente desde Internet, pero quien quiera establecer una conexión directa con la red local, por ejemplo, tiene que.

Contra qué no protege un cortafuegos?

Por ejemplo, el cortafuegos no puede proteger contra los correos electrónicos contaminados con virus. Incluso el mejor cortafuegos no puede ayudar contra los programas que se descargan de Internet y se inician en un PC.

En este caso, sólo le protegen otras medidas de seguridad como la concesión de derechos de acceso a usuarios individuales o los programas antivirus.

Los empleados de una empresa, o incluso uno mismo, también suponen un gran riesgo. A menudo son los errores de configuración o los programas instalados accidentalmente y no eliminados los que hacen que la red no sea segura. En las redes de las empresas, los módems conectados a la red telefónica de la empresa por los empleados son un gran riesgo. Con un módem de este tipo, un empleado puede marcar rápidamente en su PC o en la red de la empresa. Pero también abre la puerta a los intrusos. Porque un hacker puede utilizar un módem para probar fácilmente todos los números de extensión de una empresa. En cuanto un módem responde, intenta penetrar en el sistema.

Qué problemas pueden surgir al utilizar un cortafuegos

Cualquiera que utilice un cortafuegos en casa y para los juegos en Internet pronto descubrirá: No todos los juegos funcionan. Esto se debe a que estos juegos utilizan ciertos puertos para intercambiar datos entre sí, que podrían ser bloqueados por el cortafuegos. Muchos de los servicios ofrecidos en Internet también necesitan ciertos puertos en un PC para poder transmitir sus datos correctamente. Para los usuarios de una red local con un cortafuegos, estas restricciones pueden resultar molestas.

¿Quién necesita un cortafuegos??

Cualquier persona que esté permanentemente conectada a Internet debería instalar un cortafuegos. Esto se aplica en particular a todos los usuarios de conexiones DSL. Porque suelen estar conectados a Internet durante horas y, por tanto, pueden ser alcanzados por los escáneres de puertos.

Si sólo se conecta a Internet una o dos veces al día con un módem, recoge el correo y vuelve a colgar, en teoría también es vulnerable a un ataque durante ese tiempo. Sin embargo, la probabilidad es baja. Como precaución, debería activar al menos el cortafuegos de conexión a Internet de Windows