Contenido

Firewall Firewalls de Filtrado de Paquetes. Listas de control de acceso (ACL). Firewalls con Inspeccin de Estado. Firewalls a Nivel de Aplicacin. 2 11 17 26 29

Firewall
Un firewall o firewalls, es una parte de un sistema o una red que est diseado para bloquear el acceso no autorizado, permitiendo al mismo tiempo

comunicaciones autorizadas. Se trata de un dispositivo o conjunto de dispositivos configurados para permitir, limitar, cifrar, descifrar, el trfico entre los diferentes mbitos sobre la base de un conjunto de normas y otros criterios.

Hay dos polticas bsicas en la configuracin de un firewall que cambian radicalmente la filosofa fundamental de la seguridad en la organizacin: Poltica restrictiva: Se deniega todo el trfico excepto el que est explcitamente permitido. El firewall obstruye todo el trfico y hay que habilitar expresamente el trfico de los servicios que se necesiten. Poltica permisiva: Se permite todo el trfico excepto el que est explcitamente denegado. Cada servicio potencialmente peligroso necesitar ser aislado bsicamente caso por caso, mientras que el resto del trfico no ser filtrado.

TIPOS DE FIREWALL Estos pueden ser implementados en hardware o software, o una combinacin de ambos. Los firewalls se utilizan con frecuencia para evitar que los usuarios de Internet no autorizados tengan acceso a redes privadas conectadas a Internet, especialmente intranets. Un firewalls correctamente configurado aade proteccin necesaria a la red, pero en ningn caso debe considerarse suficiente.

Firewall por hardware:

Normalmente son dispositivos que se colocan entre el router y la conexin telefnica. Como ventajas, podemos destacar, que al ser independientes del computador, no es necesario configurarlos cada vez que reinstalamos el sistema operativo, y no consumen recursos del sistema. Firewall por software Un firewall puede ser un dispositivo software o hardware, es decir, un aparatito que se conecta entre la red y el cable de la conexin a Internet, o bien un programa que se instala en la mquina que tiene el modem que conecta con Internet. Incluso podemos encontrar ordenadores computadores muy potentes y con software especfico que lo nico que hacen es monitorizar las comunicaciones entre redes.

Firewalls de capa de red o de filtrado de paquetes Funciona a nivel de red (nivel 3) de la pila de protocolos (TCP/IP) como filtro de paquetes IP. A este nivel se pueden realizar filtros segn los distintos campos de los paquetes IP: direccin IP origen, direccin IP destino, etc. A menudo en este tipo de firewalls se permiten filtrados segn campos de nivel de transporte (nivel 4) como el puerto origen y destino, o a nivel de enlace de datos (nivel 2) como la direccin MAC. Este es uno de los principales tipos de firewalls. Se considera bastante eficaz y transparente pero difcil de configurar.

Firewalls de capa de aplicacin Trabaja en el nivel de aplicacin (nivel 7), de manera que los filtrados se pueden adaptar a caractersticas propias de los protocolos de este nivel. Por ejemplo, si se trata de trfico HTTP, se pueden realizar filtrados segn la URL a la que se est intentando acceder. Un firewalls a nivel 7 de trfico HTTP suele denominarse proxy, y permite que los computadores de una organizacin entren a Internet de

una forma controlada.

Trabaja en el nivel de aplicacin. Analizando todo el trfico de HTTP, (u otro protocolo), puede interceptar todos los paquetes que llegan o salen desde y hacia las aplicaciones que corren en la red. Este tipo de firewalls usa ese conocimiento sobre la informacin transferida para proveer un bloqueo ms selectivo y para permitir que ciertas aplicaciones autorizadas funcionen adecuadamente. A menudo tienen la capacidad de modificar la informacin transferida sobre la marcha, de modo de engaar a las aplicaciones y hacerles creer que el firewalls no existe.

Firewalls Personales Estos Firewalls son aplicaciones disponibles para usuarios finales que desean conectarse a una red externa insegura y mantener su computadora a salvo de ataques que puedan ocasionarle desde un simple "cuelgue" o infeccin de virus hasta la prdida de toda su informacin almacenada.

Es un caso particular de firewalls que se instala como software en un computador, filtrando las comunicaciones entre dicho computador y el resto de la red. Se usa por tanto, a nivel personal.

PARA QUE SIRVE UN FIREWALL Bsicamente la funcin de un firewall es proteger los equipos individuales, servidores o equipos conectados en red contra accesos no deseados de intrusos que nos pueden robar datos confidenciales, hacer perder informacin valiosa o incluso denegar servicios en nuestra red.

As por lo tanto queda claro que es altamente recomendable que todo el mundo utilice un firewall por los siguientes motivos: 1. Preservar nuestra seguridad y privacidad. 2. Para proteger nuestra red domstica o empresarial. 3. Para tener a salvo la informacin almacenada en nuestra red, servidores u ordenadores. 4. Para evitar intrusiones de usuarios no deseados en nuestra red y ordenador. Los usuarios no deseados tanto pueden ser hackers como usuarios pertenecientes a nuestra misma red. 5. Para evitar posibles ataques de denegacin de servicio. As por lo tanto un firewall debidamente configurado nos podr proteger por ejemplo contra ataques IP address Spoofing, Ataques Source Routing, etc.

COMO FUNCIONA UN FIREWALL

El firewall normalmente se encuentra en el punto de unin entre 2 redes. En el caso que podis ver en la captura de pantalla se halla en el punto de unin de una red pblica (internet) y una red privada.

As mismo tambin vemos que cada una de las subredes dentro de nuestra red puede tener otro firewall, y cada uno de los equipos a la vez puede tener su propio firewall por software. De esta forma, en caso de ataques podemos limitar las consecuencias ya que podremos evitar que los daos de una subred se propaguen a la otra. Lo primero que tenemos que saber para conocer el funcionamiento de un firewall es que la totalidad de informacin y trfico que pasa por nuestro router y que se transmite entre redes es analizada por cada uno de los firewall presentes en nuestra red. Si el trfico cumple con las reglas que se han configurado en los firewall el trfico podr entrar o salir de nuestra red.

Si el trfico no cumple con las reglas que se han configurado en los firewall entonces el trfico se bloquear no pudiendo llegar a su destino.

TIPOS DE REGLAS QUE SE PUEDEN IMPLEMENTAR EN UN FIREWALL El tipo de reglas y funcionalidades que se pueden construir en un firewall son las siguientes: 1. Administrar los accesos de los usuarios a los servicios privados de la red como por ejemplo aplicaciones de un servidor. 2. Registrar todos los intentos de entrada y salida de una red. Los intentos de entrada y salida se almacenan en logs. 3. Filtrar paquetes en funcin de su origen, destino, y nmero de puerto. Esto se conoce como filtro de direcciones. As por lo tanto con el filtro de direcciones podemos bloquear o aceptar el acceso a nuestro equipo de la IP 192.168.1.125 a travs del puerto 22. Recordar solo que el puerto 22 acostumbra a ser el puerto de un servidor SSH. 4. Filtrar determinados tipos de trfico en nuestra red u ordenador personal. Esto tambin se conoce como filtrado de protocolo. El filtro de protocolo permite aceptar o rechazar el trfico en funcin del protocolo utilizado. Distintos tipos de protocolos que se pueden utilizar son http, https, Telnet, TCP, UDP, SSH, FTP, etc. 5. Controlar el nmero de conexiones que se estn produciendo desde un mismo punto y bloquearlas en el caso que superen un determinado

lmite. De este modo es posible evitar algunos ataques de denegacin de servicio. 6. Controlar las aplicaciones que pueden acceder a Internet. As por lo tanto podemos restringir el acceso a ciertas aplicaciones, como por ejemplo dropbox, a un determinado grupo de usuarios. 7. Deteccin de puertos que estn en escucha y en principio no deberan estarlo. As por lo tanto el firewall nos puede advertir que una aplicacin quiere utilizar un puerto para esperar conexiones entrantes.

Ventajas y Limitaciones de los firewalls. Ventajas: Bloquea el acceso a personas y/o aplicaciones no autorizadas a redes privadas. Administran los accesos provenientes de Internet hacia la red privada. Sin un firewall, cada uno de los servidores propios del sistema se exponen al ataque de otros servidores en el Internet. Por ello la seguridad en la red privada depende de la "dureza" con que el firewall cuente. Administran los accesos provenientes de la red privada hacia el Internet. Permite al administrador de la red mantener fuera de la red privada a los usuarios no-autorizados (tal, como, hackers, crakers y espas), prohibiendo potencialmente la entrada o salida de datos. El firewall crea una bitcora en donde se registra el trfico ms significativo que pasa a travs l. Concentra la seguridad Centraliza los accesos

Limitaciones: Un firewalls no puede proteger contra aquellos ataques cuyo trfico no pase a travs de l. El firewalls no puede proteger de las amenazas a las que est sometido por ataques internos o usuarios negligentes. El firewalls no puede prohibir a

espas corporativos copiar datos sensibles en medios fsicos de almacenamiento (discos, memorias, etc.) y sustraerlas del edificio. El firewalls no puede proteger contra los ataques de ingeniera social. El firewalls no puede proteger contra los ataques posibles a la red interna por virus informticos a travs de archivos y software. La solucin real est en que la organizacin debe ser consciente en instalar software antivirus en cada mquina para protegerse de los virus que llegan por cualquier medio de almacenamiento u otra fuente. El firewalls no protege de los fallos de seguridad de los servicios y protocolos cuyo trfico est permitido. Hay que configurar correctamente y cuidar la seguridad de los servicios que se publiquen en Internet.

La tecnologa empleada en los firewalls ha ido madurando a medida que la industria especializada avanzaba y ahora tenemos una amplia variedad de dispositivos que realizan esta funcin de distintas formas. Una forma prctica y sencilla de comparar las bondades de cada plataforma es examinando las capas del modelo OSI (Open System Interconnect) donde el firewalls interacta.

La capa 1, o fsica, define la infraestructura tangible (medios, conectores, voltajes, etc.) necesaria para las comunicaciones. La capa 2, o capa de enlace de datos es el nivel donde se desarrollan las comunicaciones en el interior de las LANs (Local Area Networks) y es la primera en la que tenemos un espacio de direcciones a travs del cual podemos identificar a una mquina determinada. Estas direcciones son asignadas a las tarjetas o interfaces de red y son llamadas direcciones MAC (Media Access Control addresses). La Capa 3, o capa de red, es el nivel donde se interconectan las WANs ( Wide Area Networks) y en ella encontramos un segundo espacio de direcciones identificativo, conocido como direcciones IP (Internet Protocol address). En la capa 4 o capa de transporte, introducimos dos nuevos conceptos tiles: sesiones y puertos. Un host puede tener abiertas cualquier nmero de sesiones de comunicacin contra otro u otros hosts en la misma o distintas redes. Los puertos pueden verse como los puntos finales (y origen) de conexin de dichas sesiones. Por ltimo, las capas 5, 6 y 7 (sesin, presentacin y aplicacin) representan los niveles donde se desenvuelven las aplicaciones del usuario y los servicios finales de estas y para estas.

La clasificacin conceptual ms simple divide los firewalls en slo dos tipos: Firewalls a nivel de red (trabajan en las capas 2, 3 y/o 4). Firewalls a nivel de aplicacin (trabajan en las capas 5,6 y/o 7).

Como regla general, podemos afirmar que cuanto ms bajas sean las capas en las que el firewalls trabaja, su evaluacin ser ms rpida y transparente pero su capacidad de accin ante ataques complejos es menor.

Firewalls de Filtrado de Paquetes.

El trmino en ingls por el que se los conoce es Packet Filter Firewalls. Se trata del tipo ms bsico de firewalls. Analizan el trfico de la red fundamentalmente en la capa 3, teniendo en cuenta a veces algunas caractersticas del trfico generado en las capas 2 y/o 4 y algunas caractersticas fsicas propias de la capa 1. Los elementos de decisin con que cuentan a la hora de decidir si un paquete es vlido o no son los siguientes: La direccin de origen desde donde, supuestamente, viene el paquete (capa 3). La direccin del host de destino del paquete (capa 3). El protocolo especfico que est siendo usado para la comunicacin, frecuentemente Ethernet o IP aunque existen firewalls capas de desenvolverse con otros protocolos como IPX, NetBios, etc (capas 2 y 3). El tipo de trfico: TCP, UDP o ICMP (capas 3 y 4). Los puertos de origen y destino de la sesin (capa 4). El interface fsico del firewalls a travs del que el paquete llega y por el que habra que darle salida (capa 1), en dispositivos con 3 o ms interfaces de red.

Con todas o algunas de esta caractersticas se forman dos listas de reglas: una de permitidas y otra de denegadas. La forma en que un paquete recibido se procesa en funcin de estas dos listas difiere segn el modelo, el fabricante o el modo de actuacin configurado y define en gran medida la permisividad del firewalls. Los ms restrictivos exigen que el paquete pase con xito por ambas listas, es decir, que no sea expresamente denegado en la una y sea expresamente autorizado en la segunda. Otras veces existe una nica lista de reglas y el paquete es procesado segn la primera regla que encontramos en la tabla y define como tratarlo. Otros

firewalls usan la ltima regla que encuentran como accin a efectuar. Por ltimo, tambin encontramos diferencias en cuanto a qu hacer cuando no se encuentra ninguna regla vlida: algunos productos aceptan el paquete y otros lo rechazan. Es, pues, fundamental conocer perfectamente el modo de trabajo del equipo que nos ocupa en cada momento.

En la siguiente tabla tenemos un pequeo ejemplo de una de estas ltimas listas de reglas en la que el firewalls posee la direccin IP 192.168.1.1:

Aparte de Aceptar (Accept) o Rechazar (Deny o Drop), la mayora de los firewalls de este tipo poseen un tercer tipo de accin: Descartar (Discard o Stealth). Cuando un paquete es procesado por una regla que define esta accin, este se elimina silenciosamente sin devolverse error alguno al originario del mismo creando un efecto de agujero negro y evitando as el firewalls revelar su presencia. Las principales bondades de este tipo de firewalls estn en su rapidez, transparencia y flexibilidad. Proporcionan un alto rendimiento y escalabilidad y muy bajo coste, y son muy tiles para bloquear la mayora de los ataques de

Denegacin de Servicio, por ello se siguen implementando como servicios integrados en algunos routers y dispositivos hardware de balanceo de carga de gama media-alta. Sus principales inconvenientes son su limitada funcionalidad y su dificultad a la hora de configurarlos y mantenerlos. Son fcilmente vulnerables mediante tcnicas de spoofing y no pueden prevenir contra ataques que exploten vulnerabilidades especficas de determinadas aplicaciones, puesto que no examinan las capas altas del modelo OSI. La informacin almacenada en los logs de accesos es tan imprecisa como los parmetros usados en la configuracin de su lista de reglas (direcciones de origen, de destino, puertos, protocolos, interfaces de red, etc.) y la complejidad en la construccin de reglas hace que deban de ser configurados por expertos conocedores del protocolo y que sean muy susceptibles a los errores. No son, pues, efectivos como medida nica de seguridad, pero s muy prcticos como primera barrera, en la que se bloquean ciertos ataques, se filtran protocolos no deseados y se pasan los paquetes restantes a otro firewalls que examine las capas ms altas del protocolo.

Las ACL le permiten controlar el trfico de entrada y de salida de la red. Este control puede ser tan simple como permitir o denegar los hosts o direcciones de red. Sin embargo, las ACL tambin pueden configurarse para controlar el trfico de red segn el puerto TCP que se utiliza. Para comprender cmo funciona una ACL con TCP, observemos el dilogo durante una conversacin TCP cuando descarga una pgina Web a su equipo.

El filtrado de paquetes, a veces denominado filtrado esttico de paquetes, controla el acceso a la red, analiza los paquetes de entrada y de salida, y permite o bloquea su ingreso segn un criterio establecido. Como dispositivo de Capa 3, un router de filtrado de paquetes utiliza reglas para determinar la autorizacin o denegacin del trfico segn las direcciones IP de

origen y de destino, el puerto origen y el puerto destino, y el protocolo del paquete. Estas reglas se definen mediante las listas de control de acceso o ACL.

Listas de control de acceso (ACL).

Una lista de control de acceso o ACL (del ingls, access control list) es un concepto de seguridad informtica usado para fomentar la separacin de privilegios. Es una forma de determinar los permisos de acceso apropiados a un determinado objeto, dependiendo de ciertos aspectos del proceso que hace el pedido. Las ACL permiten controlar el flujo del trfico en equipos de redes, tales como enrutadores y conmutadores. Su principal objetivo es filtrar trfico, permitiendo o denegando el trfico de red de acuerdo a alguna condicin. Sin embargo, tambin tienen usos adicionales, como por ejemplo, distinguir "trfico interesante" (trfico suficientemente importante como para activar o mantener una conexin) en RDSI.

ACL se refiere a una lista de reglas que detallan puertos de servicio o nombres de dominios (de redes) que estn disponibles en un terminal u otro dispositivo de capa de red, cada uno de ellos con una lista de terminales y/o redes que tienen permiso para usar el servicio. Tanto servidores individuales como enrutadores pueden tener ACL de redes. Las listas de control de acceso pueden configurarse generalmente para controlar trfico entrante y saliente y en este contexto son similares a un firewalls. Existen dos tipos de listas de control de acceso: Listas estndar, donde solo tenemos que especificar una direccin de origen; Listas extendidas, en cuya sintaxis aparece el protocolo y una direccin de origen y de destino.

Una ACL es una lista secuencial de sentencias de permiso o denegacin que se aplican a direcciones IP o protocolos de capa superior. La ACL puede extraer la siguiente informacin del encabezado del paquete, probarla respecto de las reglas y decidir si "permitir" o "denegar" el ingreso segn los siguientes criterios: Direccin IP de origen Direccin IP de destino Tipo de mensaje ICMP. La ACL tambin puede extraer informacin de las capas superiores y probarla respecto de las reglas. La informacin de las capas superiores incluye: Puerto TCP/UDP de origen Puerto TCP/UDP de destino Hay dos tipos de ACL Cisco: estndar y extendidas. ACL estndar Las ACL estndar le permiten autorizar o denegar el trfico desde las direcciones IP de origen. No importan el destino del paquete ni los puertos involucrados. El ejemplo permite todo el trfico desde la red 192.168.30.0/24.

Debido a la sentencia implcita "deny any" (denegar todo) al final, todo el otro trfico se bloquea con esta ACL. Las ACL estndar se crean en el modo de configuracin global.

ACL extendidas Las ACL extendidas filtran los paquetes IP en funcin de varios atributos, por ejemplo: tipo de protocolo, direcciones IP de origen, direcciones IP de destino, puertos TCP o UDP de origen, puertos TCP o UDP de destino e informacin opcional de tipo de protocolo para una mejor disparidad de control. En la figura, la ACL 103 permite el trfico que se origina desde cualquier direccin en la red 192.168.30.0/24 hacia cualquier puerto 80 de host de destino (HTTP). Las ACL extendidas se crean en el modo de configuracin global.

Lgica de las ACL estndar En la figura, se revisan las direcciones de origen de los paquetes que ingresan a Fa0/0:

access-list 2 deny 192.168.10.1 access-list 2 permit 192.168.10.0 0.0.0.255 access-list 2 deny 192.168.0.0 0.0.255.255 access-list 2 permit 192.0.0.0 0.255.255.255 Si los paquetes tienen permiso, se enrutan a travs del router hacia una interfaz de salida. Si se les niega el permiso, se los descarta en la interfaz de entrada.

Mscaras wildcard Las sentencias de las ACL incluyen mscaras, tambin denominadas mscaras wildcard. Una mscara wildcard es una secuencia de dgitos binarios que le indican al router qu partes del nmero de subred observar. La mscara determina qu parte de la direccin IP de origen y destino aplicar a la concordancia de direcciones. Los nmeros 1 y 0 de la mscara identifican cmo considerar los bits de direcciones IP correspondientes.

Bit 0 de mscara wildcard: hacer coincidir el valor de bits correspondiente de la direccin Bit 1 de mscara wildcard: ignorar el valor de bits correspondiente de la direccin.

Procedimientos de configuracin de las ACL estndar Luego de configurar una ACL estndar, se la vincula a una interfaz con el comando ip access-group: Router(config-if)#ip access-group {nmero de lista de acceso | nombre de lista de acceso} {in | out}

Prueba de puertos y servicios La posibilidad de filtrar protocolos y nmeros de puerto le permite crear ACL extendidas muy especficas. Mediante el nmero de puerto adecuado, puede especificar una aplicacin al configurar el nmero de puerto o el nombre de un puerto bien conocido.

Ventajas: Un solo enrutador con filtrado puede proteger toda una red completa. El filtrado simple es muy eficiente. Desventajas: El filtrado reduce la performance del enrutador. Algunas polticas no son fciles de implementar por enrutadores comunes.

Firewalls con Inspeccin de Estado.

Los firewalls de segunda generacin, llamados con firewalls con inspeccin de estado, o Stateful Inspection Firewalls o Circuit Level Firewalls, son bsicamente firewalls de filtrado de paquetes en los que, adems, se valida a la hora de aceptar o rechazar un paquete el hecho de que este sea una peticin de nueva conexin o pertenezca a un circuito virtual (o sesin) ya establecido entre un host externo y otro interno. Cuando una aplicacin crea una sesin TCP con un host remoto, se establece un puerto en el sistema originario de la conexin con objeto de recibir all los datos provenientes del sistema remoto. De acuerdo a las especificaciones de TCP, este puerto del host cliente estar comprendido entre el 1023 y el 16.384. En el sistema remoto se establecer, asimismo, un puerto que ser siempre menor al 1024. Los firewalls por filtrado de paquetes deben de permitir trfico entrante en todos los puertos superiores (1023 hasta 16.384) para permitir los datos de retorno de las conexiones salientes. Esto crea un gran riesgo de intrusiones. Los firewalls con inspeccin de estado resuelven eficazmente este problema construyendo una tabla con informacin correspondiente a todas las sesiones TCP abiertas y los puertos que utilizan para recibir los datos y no permitiendo el trfico entrante a ningn paquete que no corresponda con ninguna de estas sesiones y puertos. Para hacer esto, los firewalls de este tipo examinan rigurosamente el establecimiento de cada conexin (en la capa 4 del modelo OSI) para asegurarse

de que esta es legtima y est permitida. Los paquetes no son remitidos a su destino hasta que el establecimiento de la conexin ha sido correctamente completado y verificado.

El firewalls mantiene una tabla de conexiones vlidas (en la que se incluye informacin del estado de cada sesin) y deja pasar los paquetes que contienen informacin correspondiente a una entrada vlida en dicha tabla de circuitos virtuales. Una vez que la conexin finaliza la entrada en la tabla es eliminada y el circuito virtual entre los dos hosts es cerrado. Las tablas de estado de circuitos virtuales suelen contener, por cada conexin, la siguiente informacin: Un identificador de sesin nico asignado por el firewalls a cada conexin establecida. El estado de la conexin: negocindose (handshake), establecida o cerrndose. (capa 4) El nmero de secuencia del ltimo paquete (capa 4). La direccin IP origen de los datos (capa 3). La direccin IP destino de los datos (capa 3). La interface fsica de red, si procede, a travs de la que los paquetes llegan (capa 1). La interface fsica de red, si procede, a travs de la que los paquetes salen (capa 1).

Usando esta informacin y con un ligero escrutinio de las cabeceras de los paquetes, el firewalls es capaz de determinar cuando un paquete es vlido y cuando no lo es. Una vez que la conexin es establecida, el resto de los paquetes asociados con ella son rutados sin mas comprobaciones. Esto los hara, de base, tremendamente vulnerables a ciertos tipos de ataques, pero muy pocos firewalls de este tipo son tan rudimentarios. Sobre esta base, y aprovechando la gran velocidad y consistencia que supone la misma, se realizan otro tipo de verificaciones para, por ejemplo, asegurarnos que no ha habido suplantamiento (spoofing), que no existen paquetes malformados, etc. Tambin son comunes en ellos la implantacin de sistemas de translacin de direcciones, NAT, que ocultan eficazmente el interior de nuestra red a intrusos externos. Las principales ventajas de este esquema de salvaguardas son la velocidad de filtrado, la solidez de sus principios de cara a establecer una poltica de seguridad y, en conjunto con un esquema de traslacin de direcciones, la slida proteccin adicional a las direcciones IP internas. Sus principales debilidades residen en su limitacin estrictamente al escrutinio del protocolo TCP, la imposibilidad de chequear protocolos de niveles altos, las limitaciones inherentes a su mecnica de actuacin a la hora de llevar un registro

de sucesos y la imposibilidad de implementar algunos servicios de valor aadido, como realizar cacheado de objetos http o filtrado de URLs (puesto que no entienden estos protocolos).

Firewalls a Nivel de Aplicacin.

Como su nombre indica, esta generacin de firewalls evala los paquetes realizando una validacin en la capa de aplicacin (capa 7) antes de permitir una conexin manteniendo, al igual que hacen los firewalls de inspeccin de estado, un riguroso control del estado de todas las conexiones y el nmero de secuencia de los paquetes. Adicionalmente, este tipo de firewalls suelen prestar, dado su emplazamiento en la capa 7, servicios de autenticacin de usuarios. La prctica totalidad de los firewalls de este tipo, suelen prestar servicios de Proxy. Tanto es as que a menudo se identifican biunvocamente unos con otros. Un Proxy es un servicio especfico que controla el trfico de un determinado protocolo (como HTTP, FTP, DNS, etc.), proporcionando un control de acceso adicional y un detallado registro de sucesos respecto al mismo. Los servicios o agentes tpicos con que cuentan este tipo de dispositivos son: DNS, Finger, FTP, HTTP, HTTPS, LDAP, NMTP, SMTP y Telnet. Algunos fabricantes proporcionan agentes genricos que, en teora, son capaces de inspeccionar cualquier protocolo de la red, pero lgicamente, usarlos le resta robustez al esquema y facilita a un intruso la labor de establecer un tnel (tunneling) a travs de el. Los agentes o servicios Proxy estn formados por dos componentes: un servidor y un cliente. Ambos suelen implementarse como dos procesos diferentes lanzados por un nico ejecutable. El servidor acta como destino de las conexiones solicitadas por un cliente de la red interna. El cliente del servicio proxy es el que realmente encamina la peticin haca el servidor externo y recibe la respuesta de este. Posteriormente, el servidor proxy remite dicha respuesta al cliente de la red interna.

De esta forma estamos creando un aislamiento absoluto impidiendo una comunicacin directa entre la red interna y la externa. En el dilogo entre cliente y servidor proxy se evalan las peticiones de los clientes de la red interna y se decide aceptarlas o rechazarlas en base a un conjunto de reglas, examinando meticulosamente que los paquetes de datos sean en todo momento correctos. Puesto que son servicios hechos a medida para el protocolo que inspeccionan, tenemos un control total y un registro de sucesos al ms alto detalle. En el siguiente grfico podemos ver un ejemplo de cmo se desarrolla la comunicacin antes descrita:

Las principales ventajas de este tipo de firewalls son sus detallados registros de trfico (ya que pueden examinar la totalidad del paquete de datos), el valor aadido que supone tener un servicio de autenticacin de cara a securizar nuestra red, y la casi nula vulnerabilidad que presentan ante ataques de suplantacin

(spoofing), el aislamiento que realizan de nuestra red, la seguridad que proporciona la comprensin a alto nivel de los protocolos que inspeccionan y los servicios aadidos, como cach y filtro de URLs, que prcticamente todos implementan.

Entre los inconvenientes estn sus menores prestaciones (en cuanto a velocidad de inspeccin se refiere) frente a los otros modelos ya vistos, la necesidad de contar con servicios especficos para cada tipo distinto de trfico, la imposibilidad de ejecutar muchos otros servicios en el (puesto que escucha en los mismos puertos), la imposibilidad de inspeccionar protocolos como UDP, RPC y otros servicios comunes, la necesidad de reemplazar la pila TCP nativa en el servidor donde se ejecutan y lo vulnerables que resultan ante ataques directos al sistema operativo sobre el que se suelen ejecutar.

Ventajas: Registro eficiente de conexiones Capacidad de filtrado inteligente/caching. Autenticacin de usuarios. Proteccin automtica para debilidades en la implementacin Desventajas: Demora en disponer del proxy para nuevas aplicaciones. A menudo implican modificaciones a los clientes y las aplicaciones.