Cortafuegos: Tipos Esenciales y Estrategias de Filtrado de Red

Clasificado en Informática

Escrito el en español con un tamaño de 3,72 KB

Tipos de Filtrado en Cortafuegos

Filtrado de Paquetes Estático (Sin Estado o Stateless)

Es el modo de filtrado más básico en un cortafuegos, que rechaza o acepta los paquetes en función de algunos campos clave:

  • La dirección IP de origen
  • El número de puerto al que se dirige
  • Los campos de la cabecera (TCP, UDP)
  • Los flags de la cabecera TCP (SYN, ACK)

Es muy común en routers de frontera. Los paquetes siguen las reglas de las ACL (Listas de Control de Acceso) o RACL. Ejemplos incluyen Cisco y ipchains.

Modos de Configuración de Reglas

Existen dos modos principales para la configuración de reglas:

  • Política Restrictiva: Se deniega por defecto todo el tráfico, salvo el que se acepta explícitamente (ACL de aceptación).
  • Política Permisiva: Se acepta todo el tráfico, salvo el que se deniega explícitamente (ACL de denegación).

Problemas del Filtrado Estático

Este tipo de filtrado presenta varias limitaciones:

  • Las IPs son fáciles de enmascarar.
  • Servicios y aplicaciones pueden usar puertos no estandarizados.
  • El paquete IP admite fragmentación, lo que se presta a ataques.
  • Algunos servicios necesitan más que el filtrado de paquetes (ej. FTP).
  • Una vez ganado el acceso, la red interna queda expuesta.
  • No soporta nodos de autenticación de usuarios robustos.

Filtrado Dinámico (Stateful)

En este tipo de cortafuegos, las reglas se crean y destruyen dinámicamente. Las especificaciones se guardan en las RAL (Reglas de Acceso Lógico). Los paquetes de salida permitidos crean automáticamente las reglas. No se permite la entrada desde la red externa a menos que haya una respuesta a una conexión previa.

Ventajas del Filtrado Dinámico

  • Las aplicaciones dentro de la red interna siempre tendrán respuesta a través del cortafuegos.

Inconvenientes del Filtrado Dinámico

  • No se puede filtrar por IPs, por puertos o por otros campos que no aparezcan en la cabecera.

Cortafuegos de Inspección de Estado

Estos cortafuegos utilizan varias técnicas de filtrado de paquetes. Mantienen una tabla en la que registran las conexiones en cada momento, eliminándose cuando se cierra la conexión o por tiempo de espera (timeout).

Mediante la Application Level Inspection, se registra la IP de origen y destino (nivel de red), el puerto (nivel de transporte), la operación involucrada (aplicación) o los flags. En conexiones TCP, se mantendrá una entrada en la tabla y se analizará el flujo de información mediante números de secuencia, mientras que en UDP no se podrán utilizar ni flags ni números de secuencia, y el seguimiento es mucho más difícil.

Cortafuegos Basados en Proxy

Existen dos tipos principales de cortafuegos basados en proxy:

Pasarela de Aplicación

  1. El usuario solicita el servicio requerido por una IP y puerto.
  2. Opcionalmente, solicita la identificación del cliente.
  3. El usuario responde a la petición, lo que autorizará o no el acceso.
  4. Si todo es correcto, comienza el intercambio de datos; la pasarela gestionará todo.
  5. Si no se dispone de un proxy adecuado, rechazará los paquetes; cada protocolo requiere una pasarela específica.

Pasarela de Circuito

  1. Todos los servicios solicitan un único puerto para las peticiones de clientes.
  2. Opcionalmente, autentifica al usuario.
  3. Si todo es correcto, el proxy conecta el servicio solicitado.
  4. Una vez validada la conexión, no se inspeccionará nada, funcionando como un túnel.
Karma: 6%
Visitas: 0

Entradas relacionadas:

Etiquetas:
Seguridad informática Filtrado de paquetes Pasarela de aplicación Stateful firewall Filtrado dinámico Pasarela de circuito Firewall Seguridad de red Proxy firewall Ciberseguridad Filtrado estático Protección de red ACL Cortafuegos Stateless firewall