Documente Academic
Documente Profesional
Documente Cultură
Un firewall es un dispositivo (o software) que filtra o controla el flujo de trfico de datos en una red.
Por lo general un firewall se implementa en el permetro de una red, cumpliendo la funcin de definir la
Zona Confiable (Trusted Zone) y una No confiable (Unstrusted Zone).
La mayora de los firewalls, que no tengan una configuracin explcita, permiten todo el trfico desde la
Zona Confiable a la No Confiable. Sin embargo, el trfico que llega desde la Zona No Confiable a la
Confiable debe ser explcitamente permitido, de lo contrario ser implcitamente negado (por defecto,
en la mayora de los firewalls).
Un firewall no est limitado a slo dos zonas, ya que puede contener mltiples zonas Menos Confiables
(Less Trusted Zones), tambin conocidas como Zonas Desmilitarizadas.
Para controlar el valor de confianza de cada zona, a cada interface del firewall se le asigna un
determinado nivel de seguridad, que a menudo corresponde a un valor numrico o a un color.
Por ejemplo, en el diagrama anterior, la Trusted Zonen puede tener asignado el valor 100, la Less
Trusted Zone un valor de 75, y la Untrusted Zone un valor de 10. Luego, se permite (por defecto) el
trfico que provenga desde una zona con valor de confianza ms alto a una zona cuyo valor de confianza
es ms chico, mientras que cuando ocurre lo opuesto el trfico deber tener una autorizacin explcita.
El orden de la lista de reglas es crtico, ya que la misma se analiza de arriba abajo. Por tanto, las reglas
ms especficas siempre deberan estar ms arriba en la lista, ya que de otra forma stas pueden ser
negadas por reglas anteriores que tengan menos permisos.
2.1.1
Denegar todo el trfico saliente a menos que cumpla con las primeras dos reglas.
Permitir solicitudes HTTP (WEB) entrantes a los servidores Web pblicos.
Denegar todo el trfico entrante excepto para las conexiones a los Web Servers pblicos.
Loguear todos los intentos de conexin denegados por el firewall.
Loguear todos los accesos a sitios web externos.
Regla
Descripcin
Origen
Destino
Accin
Log
Red
Interna
Any, puerto 80
(HTTP)
Permitir
Red
Interna
Any, puerto 25
(SMTP)
Permitir
Red
interna
Any
Denegar
Any
Servidores Web
pblicos de
la compaa,
puerto 80 (HTTP)
Permitir
Any
Any
Denegar
Notar que en la regla 3 se usa el DENY ANY (Accin: Denegar; Destino: ANY). Esta regla por lo general se
coloca al final de la tabla, ya que la misma se parsea de arriba abajo. Entonces, primero se evala la
primera regla, luego la segunda, y, si no el trfico saliente no son solicitudes HTTP (regla 1) ni SMTP
(regla 2), luego se deniega dicho trfico (regla 3).
Mismo razonamiento se aplica para la regla 5: primero, en la regla 4, se evala si el trfico entrante se
dirige a los servidores Web pblicos de la compaa. Luego, si se llega a evaluar la regla 5 significa que
no se cumpli la regla 4, o sea que el trfico entrante no va dirigido a los servidores pblicos, de manera
que el mismo se deniega.
ataque est ocurriendo. La sesin half-open TCP es aquella en la cual no se ha completado el three-way
handshake. La sesin UDP es aquella donde no hay retorno de trfico UDP.
Un gran nmero de sesiones half-open se morfan los recursos, evitando que las conexiones legtimas se
puedan establecer.
2.4
El rpido crecimiento de internet provoc escasez de direcciones IPv4. Como solucin temporal, se
designaron rangos especficos de direcciones IPv4 como privadas.
Una direccin pblica puede ser ruteada en Internet. Por tanto, aquellos dispositivos que sean
accesibles a travs de Internet (como servidores de Web o Email) deben tener direcciones IP pblica.
Una direccin IP privada se utiliza dentro de una red privada, por ejemplo, la de una organizacin.
Existen tres rangos de direccin IP privadas, una para cada clase IPv4:
Clase A: 10.x.x.x
Clase B: 172.16-31.x.x
Clase C: 192.168.x.x