1 CONCEPTO

Un firewall es un dispositivo (o software) que filtra o controla el flujo de trfico de datos en una red.
Por lo general un firewall se implementa en el permetro de una red, cumpliendo la funcin de definir la
Zona Confiable (Trusted Zone) y una No confiable (Unstrusted Zone).

La mayora de los firewalls, que no tengan una configuracin explcita, permiten todo el trfico desde la
Zona Confiable a la No Confiable. Sin embargo, el trfico que llega desde la Zona No Confiable a la
Confiable debe ser explcitamente permitido, de lo contrario ser implcitamente negado (por defecto,
en la mayora de los firewalls).
Un firewall no est limitado a slo dos zonas, ya que puede contener mltiples zonas Menos Confiables
(Less Trusted Zones), tambin conocidas como Zonas Desmilitarizadas.

Para controlar el valor de confianza de cada zona, a cada interface del firewall se le asigna un
determinado nivel de seguridad, que a menudo corresponde a un valor numrico o a un color.
Por ejemplo, en el diagrama anterior, la Trusted Zonen puede tener asignado el valor 100, la Less
Trusted Zone un valor de 75, y la Untrusted Zone un valor de 10. Luego, se permite (por defecto) el
trfico que provenga desde una zona con valor de confianza ms alto a una zona cuyo valor de confianza
es ms chico, mientras que cuando ocurre lo opuesto el trfico deber tener una autorizacin explcita.

2 SERVICIOS DE LOS FIREWALLS

Los firewalls ofrecen los siguientes servicios:
o Filtrado de paquetes
o Inspeccin de paquetes
o Proxy
o NAT (Network Address Translation)

2.1 FILTRADO DE PAQUETES (PACKET FILTERING)

Los firewalls filtran (permiten o deniegan) paquetes basndose en los siguientes criterios del
encabezado:
Direccin IP origen y/o destino del paquete.
Puerto origen y/o destino.
Tipo de Protocolo (IP, TCP, UDP, ICMP, ESP, etc.).
El filtro de paquetes est implementado como una lista de reglas:

El orden de la lista de reglas es crtico, ya que la misma se analiza de arriba abajo. Por tanto, las reglas
ms especficas siempre deberan estar ms arriba en la lista, ya que de otra forma stas pueden ser
negadas por reglas anteriores que tengan menos permisos.
2.1.1

Ejemplo de lista de reglas

Permitir a todos los hosts de mi red acceder a cualquier sitio Web.
Permitir correo saliente desde los servidores de correo internos.

Denegar todo el trfico saliente a menos que cumpla con las primeras dos reglas.
Permitir solicitudes HTTP (WEB) entrantes a los servidores Web pblicos.
Denegar todo el trfico entrante excepto para las conexiones a los Web Servers pblicos.
Loguear todos los intentos de conexin denegados por el firewall.
Loguear todos los accesos a sitios web externos.

Regla

Descripcin

Origen

Destino

Accin

Log

Permitir a todos los hosts acceder a

cualquier sitio Web

Red
Interna

Any, puerto 80
(HTTP)

Permitir

Permitir correo saliente desde los

servidores de correo internos

Red
Interna

Any, puerto 25
(SMTP)

Permitir

Denegar todo el trfico saliente a menos

que cumpla con las primeras dos reglas

Red
interna

Any

Denegar

Permitir solicitudes http (WEB) entrantes a

los servidores Web pblicos

Any

Servidores Web
pblicos de
la compaa,
puerto 80 (HTTP)

Permitir

Denegar todo el trfico entrante excepto

para las conexiones a los servidores Web
pblicos

Any

Any

Denegar

Notar que en la regla 3 se usa el DENY ANY (Accin: Denegar; Destino: ANY). Esta regla por lo general se
coloca al final de la tabla, ya que la misma se parsea de arriba abajo. Entonces, primero se evala la
primera regla, luego la segunda, y, si no el trfico saliente no son solicitudes HTTP (regla 1) ni SMTP
(regla 2), luego se deniega dicho trfico (regla 3).
Mismo razonamiento se aplica para la regla 5: primero, en la regla 4, se evala si el trfico entrante se
dirige a los servidores Web pblicos de la compaa. Luego, si se llega a evaluar la regla 5 significa que
no se cumpli la regla 4, o sea que el trfico entrante no va dirigido a los servidores pblicos, de manera
que el mismo se deniega.

2.2 STATEFUL PACKET INSPECTION

Es un servicio ms all del packet filtering sencillo, que rastrea adicionalmente sesiones TCP o UDP entre
dispositivos.
Por ejemplo, la inspeccin stateful puede rastrear conexiones que se originan desde una zona confiable.
Esta informacin de rastreo se guarda en una tabla de estado de sesin (state session table), que
permite abrir agujeros temporales para el trfico de retorno, que de otra forma sera denegado.
Las conexiones desde una red no confiable a una red confiable son tambin monitoreadas, para prevenir
ataques (intentos no autorizados de acceso a una red) de Negacin de Servicio (Denial of Service, DoS).
Si se detectan un nmero alto de sesiones half-open, el firewall configurado para terminar esas
sesiones, e incluso bloquear el origen de las mismas, o mandar un mensaje de alerta indicando que un

ataque est ocurriendo. La sesin half-open TCP es aquella en la cual no se ha completado el three-way
handshake. La sesin UDP es aquella donde no hay retorno de trfico UDP.
Un gran nmero de sesiones half-open se morfan los recursos, evitando que las conexiones legtimas se
puedan establecer.

2.3 SERVICIOS DE PROXY

Un servidor Proxy, por definicin, es el servidor usado para hacer una solicitud en representacin de
otro dispositivo. Bsicamente funciona como un intermediario para la comunicacin entre dispositivos.
Esto provee un elemento de seguridad, ocultando el recurso solicitante, ya que todo el trfico parecer
ser originado desde el mismo proxy.
Otros servicios que brindan los proxys son:
Logging.
Filtrado de contendido.
Autentificacin.

2.4

NAT (NETWORK ADDRESS TRANSLATION)

El rpido crecimiento de internet provoc escasez de direcciones IPv4. Como solucin temporal, se
designaron rangos especficos de direcciones IPv4 como privadas.
Una direccin pblica puede ser ruteada en Internet. Por tanto, aquellos dispositivos que sean
accesibles a travs de Internet (como servidores de Web o Email) deben tener direcciones IP pblica.
Una direccin IP privada se utiliza dentro de una red privada, por ejemplo, la de una organizacin.
Existen tres rangos de direccin IP privadas, una para cada clase IPv4:
Clase A: 10.x.x.x
Clase B: 172.16-31.x.x
Clase C: 192.168.x.x