Firewall

Un firewall es un sistema de seguridad en red que monitoriza y controla el tr�fico

entrante a una red, as� como el que abandona esta hacia el exterior.
B�sicamente es un elemento, que puede ser hardware o software, encargado de crear
una barrera virtual entre nuestros equipos y el exterior, o bien entre nuestra red
y otras redes vecinas o la red de redes -Internet- conocida tambi�n como WAN (Wide
Area Network). Se basan en la premisa de que todo tr�fico externo puede ser una
amenaza.

En hogares, normalmente el firewall se sit�a en la puerta de entrada a nuestra red

(generalmente en el enrutador) para proteger el tr�fico a/desde internet.
Adem�s del firewall de red incorporado al enrutador, encontraremos un firewall de
software instalado como servicio en cada equipo de la red interna.

En empresas y redes corporativas podemos encontrar uno, aunque lo m�s normal es que
encontremos m�s de un firewall.
Un ejemplo cl�sico es encontrar uno de estos dispositivos en el v�rtice exterior de
la red corporativa (firewall externo) y varios firewalls internos que
compartimentalizan la red, creando exclusas internas para que cada �rea este
aislada de la otra.
Algo as� deber�amos hacer si, por ejemplo, damos servicio de gesti�n a varios
clientes con nuestra infrasetructura. En principio no deber�an verse entre ellos
salvo en casos muy concretos que nosotros podremos controlar.
Tambi�n podr�a darse el uso de un segundo dispositivo si necesitamos mantener una
DMZ (zona desmilitarizada) que es una parte de nuestrainfraestructura que
necesitamos exponer a internet, pero al mismo tiempo queremos que no contamine al
resto.

Tipos de firewalls
Normalmente se categorizan en base a dos criterios: lo que son y lo que hacen.

Firewall de red vs Firewall de host

Teniendo en cuenta el primer criterio, hablar�amos de la tradicional divis�n entre
firewalls de red y firewalls basados en host.
Los firewalls de red se sit�an en dispositivos de interconexi�n y pueden ser de
hardware o software. Trabajan en las capas m�s bajas del modelo OSI (capas 2 a 4:
enlace de datos, red, transporte) examinando protocolos, tramas, MAC o direcciones
IP, entre otras).
Estos modelos gestionan el acceso entre redes.
Los firewalls de host se sit�an en el dispositivo final que deseamos proteger,
t�picamente ordenadores basados en Windows, Linux, etc�tera) que por supuesto
incluyen servidores. Trabajan normalmente en capas m�s altas (transporte).
Estos modelos controlan el acceso al propio equipo.
Tipos de firewalls seg�n su funci�n
Si nos atenemos a las funciones que desempe�an, podr�amos considerar actualmente 4
y hasta cinco tipos de ellos dada su evoluci�n.
Firewalls de filtrado de paquetes
Son el tipo primitivo, operan en linea en los puntos de confluencia entre redes,
por ejemplo entre switches y routers. Este tipo de cortafuegos se limita a cotejar
cada paquete con una base de datos de reglas previamente definidas:
Direcciones IP permitidas / denegadas
Protocolos / tipo de paquetes
N�mero de puerto
Los paquetes pueden ser aceptados o desechados (dropped) si no se conf�a en los
mismos por su origen, por el protocolo de transmisi�n empleado, etc�tera.

Hemos analizado alg�n firewall dom�stico anteriormente, te recomiendo probar el

firewall gratuito de Glasswire

Firewall de estado (stateful)

Para responder a las limitaciones que planteaba el primer tipo, se crearon unos
dispositivos capaces no solo de hacer lo ya comentado, sino de ser conscientes de
si un paquete determinado es parte de una sesi�n TCP previamente establecida. Es
decir, si se trata de una comunicaci�n solicitada.
Los cortafuegos de estado recientes son adem�s capaces de discernir el flujo de
transacciones a trav�s de diferentes capas del modelo OSI al mismo tiempo, lo que
aumenta su eficacia.
Pasarela de nivel de circuito (circuit level gateway)
Este tipo de soluciones emplean un m�todo ligero para identificar contenido no
deseado, monitorizando los saludos TCP (handshakes) en la red cuando estos se
tienen lugar entre la red interna y red externa. De esta manera consideran si el
tr�fico es o no leg�timo.
Aunque puede considerarse un tipo en si mismo, normalmente se incluyen como un
mecanismo dentro del tipo anterior (firewall de estado). La pasarela de nivel de
circuito act�a como servidor proxy en el nivel de red del modelo OSI.
Firewall de aplicaci�n (application level)
Tambi�n llamado firewall de tercera generaci�n, este tipo se considera t�cnicamente
un proxy, a veces referido como firewall-proxy y combina la capacidad de filtrado
de paquetes (protocolo TCP/IP) con la de pasarela de nivel de circuito.
Aqu� se tiene en cuenta tanto el servicio de los paquetes (indicado por su puerto)
adem�s de otros datos como pueden ser las cabeceras HTTP.
Este tipo de cortafuegos son m�s eficientes a la hora de analizar mensajes
completos -no solo paquetes separados- y solo dejan pasar el tr�fico si el
protocolo et� definido.
Firewalls de nueva generaci�n (NGFW)
Es posible que alg�n purista me critique, pero podr�amos considerar os Next
Generation Firewall como una subclase en si misma.

NGFW de Cisco, en la imagen

Es un tipo m�s amplio, menos definido en cuanto a sus capacidades porque
b�sicamente se tiende a colocar en esta categor�a todo aquello que no encaja en las
anteriores.
Lo que es innegable es que un NGFW siempre ofrecer� m�s que un cortafuego
tradicional. Normalmente, este tipo de soluci�n suele ser de hardware y combina la
ya conocida capacidad de filtrado de paquetes (stateful) con la inspecci�n profunda
de los mismos (DPI / Deep Packet Inspection).
Aprende m�s � �C�mo garantizar que mi firewall funciona correctamente?
Conclusiones
Cabe destacar que, salvo en el �ltimo tipo, el cometido de los firewall es harto
complicado, pues ning�n programa inform�tico puede predecir el comportamiento de un
comando / programa remoto sin ejecutarlo por s� mismo.
Se tiene cierta confianza en las reglas manualmente establecidas, que deber�n
actualizarse con cierta regularidad y tambi�n auditar su efectividad.