You are on page 1of 33

Instalación y configuración de cortafuegos. http://localhost:51235/temp_print_dirs/eXeTempPrintDir_qCJx...

Instalación y configuración de cortafuegos.

Caso práctico

Después de habilitar los servicios de acceso remoto a la


red, Juan se está obsesionando con los posibles intentos
de acceso a la red por parte de usuarios sin autorización.

- ¿Estás segura de que nadie más que nosotros puede


acceder a la red?

- Sí, pero para que estés más tranquilo vamos a instalar un firewall que nos proteja aún
más.

- ¿Pero no teníamos uno para cada equipo?

- Sí, pero me refiero a uno que controle todas las conexiones que entren y salgan de
nuestra red.

- ¿Hay que pagar más?

No necesariamente, te lo explicaré

María le hablará a Juan de la necesidad de un cortafuegos y de las diferentes


posibilidades que hay en su instalación.

Materiales formativos de FP Online propiedad del Ministerio de Educación,


Cultura y Deporte.
Aviso Legal

1 de 33 26/8/16 3:12
Instalación y configuración de cortafuegos. http://localhost:51235/temp_print_dirs/eXeTempPrintDir_qCJx...

1. Utilización de cortafuegos.

Caso práctico
- ¿Qué es lo que va a filtrar el cortafuegos? ¿A mí me
dejará conectarme, no?

- El cortafuegos filtrará todo lo que se le especifique que


filtre.

- Nadie podrá entonces dañar la red.

- Bueno, las comunicaciones que no pasen por él no se


pueden controlar. Pero podrás estar más tranquilo y relajado porque la red será
prácticamente invulnerable.

María le está dejando claro a Juan para qué se utiliza un cortafuegos.

La definición de cortafuegos dice:

“Vereda ancha que se deja en los sembrados y montes para que no se propaguen los
incendios”.

Puesto que uno de los mayores daños para los campos lo puede causar
el fuego, es una medida para proteger a los campos del peligro.

Si se extrapola esta definición a un sistema informático, un cortafuegos


en informática es una medida para evitar daños en un sistema
informático, aislándolo de los peligros.

Un firewall o cortafuegos es un mecanismo encargado de proteger una


red segura de otra que no lo es, siguiendo una política de seguridad
establecida.

Los objetivos principales de un cortafuegos son:

Filtrar el tráfico que entra y sale de la red corporativa.


Permitir solamente el tráfico definido por la política de seguridad.

El firewall solamente sirve como defensa perimetral de las redes, no puede combatir los ataques de un
usuario que ya esté dentro de la red que se quiere proteger o de conexiones que no pasen por él.

En el siguiente vídeo puedes ver en qué consiste un cortafuegos.

2 de 33 26/8/16 3:12
Instalación y configuración de cortafuegos. http://localhost:51235/temp_print_dirs/eXeTempPrintDir_qCJx...

¿Qué es un Firewall o Cortaf...

Resumen textual alternativo

Autoevaluación
Un usuario de la red interna corporativa se dispone a enviar un archivo peligroso
hacia Internet ¿El firewall impedirá que lo pueda hacer?

No, imposible.
Sí lo impedirá porque el firewall filtra todo el tráfico que proviene de Internet.
Sí, porque un firewall es capaz de detectar todo lo que ocurre en la red interna.
No, porque un cortafuegos no analiza si el contenido es peligroso.

No es cierto. Sí que lo impedirá si el destino no está permitido.

No es este caso. El usuario está lanzando tráfico hacia Internet.

No es correcto. El firewall filtra el tráfico que entra y sale de la red pero no lo que
está pasando en la red.

Sí. Filtra el tráfico entra y sale de la red analizando el origen y el destino.

Solución

1. Incorrecto
2. Incorrecto
3. Incorrecto
4. Opción correcta

3 de 33 26/8/16 3:12
Instalación y configuración de cortafuegos. http://localhost:51235/temp_print_dirs/eXeTempPrintDir_qCJx...

2. Filtrado de paquetes de datos.

Caso práctico
- ¿Cómo consigue filtrar el cortafuegos las
conexiones?

- Todo se lo debe al formato de los paquetes de


datos, de la misma manera que tú eres capaz de
extraer datos de una carta del correo, el cortafuegos
analiza los datos que viajan en los paquetes de
datos y toma decisiones.

- ¿Cómo un cartero?

- No exactamente pero bueno, te lo explicaré.

María explicará a Juan en qué consiste el filtrado de datos de un cortafuegos, en líneas


generales.

El tráfico a través de una red viaja en forma de paquetes de datos,


cada paquete tiene la información suficiente como para que los
dispositivos que forman parte de la red, sean capaces de
encontrar la mejor ruta para ellos, conociendo de donde vienen y
a donde quieren llegar.

Al igual que un filtro de café tiene la capacidad de separar el grano


molido y café líquido, un filtro de paquetes es un software que
analiza la parte de los paquetes que tiene información sobre el
origen, el destino, y el tipo de protocolo utilizado por cada paquete.

En base a este análisis, el firewall puede adoptar tres posturas respecto al paso del paquete por el
filtro:

Aceptar.
Rechazar.
Denegar.

Si se acepta, el paquete pasará por el software de filtro sin problemas. Si por el contrario, el paquete
se rechaza o se deniega, no será capaz de atravesar el filtro. La diferencia entre rechazar y denegar
está en que cuando un paquete se rechaza, se informa al emisor del rechazo y si se deniega no se
emite ningún mensaje informativo.

En el siguiente vídeo puedes aprender más cosas sobre el firewall.

4 de 33 26/8/16 3:12
Instalación y configuración de cortafuegos. http://localhost:51235/temp_print_dirs/eXeTempPrintDir_qCJx...

¿Qúe es un Firewall y cómo ...

Resumen textual alternativo

5 de 33 26/8/16 3:12
Instalación y configuración de cortafuegos. http://localhost:51235/temp_print_dirs/eXeTempPrintDir_qCJx...

3. Tipos de cortafuegos.

Caso práctico
- Está claro que lo vamos a instalar, ahora debemos
elegir la clase de cortafuegos que queremos.

- ¡El más barato!

- Primero te explicaré los tipos y después hablamos


sobre el dinero.

Juan no sabe todavía que una de las claves en


seguridad es escoger cada medida de acuerdo a las necesidades. María le hará ver los
tipos de cortafuegos entre los que podrá escoger.

Los principios de diseño de los cortafuegos tienen como objetivos a cumplir que:

El tráfico de la red interna que salga a Internet debe pasar por el firewall.
Solamente el tráfico permitido en la política de seguridad debe ser capaz de atravesar
el cortafuegos.
El control de accesos se hace mediante el control de servicios, direcciones y
usuarios.

Los cortafuegos diseñados para cumplir con estos objetivos se pueden clasificar según la tecnología
utilizada en los siguientes:

De filtrado de paquetes.
De nivel de aplicación.
Híbridos.
De inspección de estado.

Los firewall de filtrado de paquetes actúan en el nivel 3 de la


arquitectura OSI y se basan en filtrar los paquetes según sus
encabezados (IP origen y destino), un router básico es un ejemplo de
firewall de este tipo. Los cortafuegos de nivel de aplicación se ayudan
de un proxy para gestionar el tráfico y los híbridos utilizan las dos
tecnologías, proxy para el establecimiento y filtro de paquetes en la
transferencia de datos.

Los cortafuegos con inspección de estado comprueban las direcciones


origen y destino, los puertos, el protocolo utilizado, el estado de la
conexión y la cantidad de tráfico.

Si se toma como criterio el área de influencia, los cortafuegos se pueden clasificar en:

6 de 33 26/8/16 3:12
Instalación y configuración de cortafuegos. http://localhost:51235/temp_print_dirs/eXeTempPrintDir_qCJx...

Personales (para PC).


De pequeñas oficinas ( SOHO).
Corporativos.

Los firewall personales son los incluidos por los PC en sus sistemas operativos en forma de software,
este tipo de cortafuegos controla el tráfico que entra y sale del equipo.

En pequeñas redes locales se utilizan productos denominados SOHO, entre ellos, se utilizan
cortafuegos que incorporan herramientas adicionales como antivirus, filtrado IP, filtrado de contenidos
web, o detección de intrusos.

Los cortafuegos corporativos son los encargados de controlar las conexiones de la red de una
organización, por lo que deben soportar miles de conexiones. Su potencia y capacidad de proceso
deben ser mayores que las de las instalaciones personales o de pequeñas oficinas.

7 de 33 26/8/16 3:12
Instalación y configuración de cortafuegos. http://localhost:51235/temp_print_dirs/eXeTempPrintDir_qCJx...

3.1. Características.
Los tipos de firewall se pueden clasificar de acuerdo a su tecnología y su área de influencia en
diferentes grupos, pero en resumen se puede decir que todos ellos se podrían dividir en:

Firewall de nivel de red.


Firewall de nivel de aplicación.

Las características principales de un cortafuegos de nivel de red son:

Trabaja con direcciones IP origen y destino que extrae de la cabecera de la trama IP.
Identifica los puertos origen y destino incluidos en la comunicación.
Es capaz de analizar la cabecera IP a nivel 3 en los protocolos TCP, UDP e ICMP.
Reconoce si el paquete es de inicio de una petición de conexión o no.

Las características principales de un cortafuegos de nivel de aplicación son:

Es capaz de inspeccionar datos que utilizan los protocolos FTP, HTTP y SMTP, como
la transferencia de ficheros, las páginas web o los correos electrónicos.
Ejecuta software de servidor proxy.

Un firewall de nivel de red es menos seguro que uno de nivel de aplicación pero tiene la cualidad de
ser más transparente al usuario, es más fácil de utilizar.

8 de 33 26/8/16 3:12
Instalación y configuración de cortafuegos. http://localhost:51235/temp_print_dirs/eXeTempPrintDir_qCJx...

3.2. Funciones principales.


La tarea principal de un firewall es controlar el tráfico de datos entre la red local e Internet. El control
sobre el tráfico permite decidir qué tipo de tráfico se permite o se deniega de acuerdo a la política de
seguridad existente. Para llevar a cabo este control debe ser capaz de realizar las siguientes
funciones:

Establecer una protección basada en normas, bloquea el tráfico no deseado por la


política de seguridad.
Filtrar el tráfico de entrada a través de sistemas más confiables.
Establecer mecanismos de autenticación más fuertes.
Ocultar información sobre la red que se quiere proteger.
Crear registros LOG de información.

En la imagen se puede ver el aspecto que tendría un archivo de tipo LOG de un cortafuegos. Como se
puede esperar podemos ver direcciones IP y palabras como deny (denegar), el archivo LOG recoge
registros tales como conexiones rechazadas al sistema.

Debes conocer

En los enlaces siguientes puedes obtener más detalles de las funciones de los
cortafuegos

Cortafuegos (I)

Cortafuegos (II)

Autoevaluación
Un archivo de tipo LOG:

Protege la DMZ de ataques exteriores.


Se genera solamente cuando ha habido intentos de conexión dañinos.
En sí no protege de nada, debe ir acompañado de un antivirus.
No es un elemento que proteja pero si proporciona información muy valiosa para la
seguridad.

No. El archivo de tipo LOG no protege, da información.

Falso. Depende de lo que se le exija en la configuración.

9 de 33 26/8/16 3:12
Instalación y configuración de cortafuegos. http://localhost:51235/temp_print_dirs/eXeTempPrintDir_qCJx...

No es correcto. El archivo en sí no protege pero tampoco el que esté acompañado


de un antivirus nos asegura que proteja.

Sí, el archivo log refleja las incidencias que ha habido y puede ayudar a subsanar
los errores futuros.

Solución

1. Incorrecto
2. Incorrecto
3. Incorrecto
4. Opción correcta

10 de 33 26/8/16 3:12
Instalación y configuración de cortafuegos. http://localhost:51235/temp_print_dirs/eXeTempPrintDir_qCJx...

4. Instalación de cortafuegos.

Caso práctico
- Juan, deberíamos reordenar un poco la situación de
nuestros equipos.

- ¿Por qué?

- Porque debemos escoger el sitio adecuado para instalar


el firewall.

- Pues cerca del servidor ¿no?

- No, siempre.

La situación de un firewall es determinante para poder establecer unas reglas de


seguridad que garanticen la máxima fiabilidad del sistema. Una instalación de firewall
puede tener varias alternativas.

La instalación de un cortafuegos es determinante en la seguridad de la red, para que tenga éxito se


debe:

Tener toda la información posible sobre la red que se quiere proteger.


Tener claros los objetivos planteados por la política de seguridad.
Conocer el sitio donde se alojarán los servicios accesibles desde el exterior.

La información sobre la red nos debe aportar los requisitos necesarios de hardware, software y de
perfil de usuario. Además es imprescindible conocer en que sitio se establecerán los servicios
accesibles desde el exterior (generalmente serán del tipo servidor web, correo o ftp). Estos servicios
se suelen colocar fuera de la red interna y detrás del firewall, pero puede haber varias variantes.

Con toda la información anterior, se analizará la viabilidad de la política de seguridad que se pretende
seguir. Tras este análisis se determinará el tipo de firewall, modo de instalación y ubicación del mismo.

Para los cortafuegos software la instalación en la mayor parte de los casos es intuitiva, no así la
configuración. Algunos sistemas operativos como Linux ofrecen la funcionalidad de cortafuegos con
herramientas como iptables, pero en la mayoría de los casos existe software descargable con
interfaz gráfico y un entorno más amigable para la configuración, ejemplos de estos últimos son los
siguientes:

Firestarter
Jetico Personal Firewall
PC Tools Firewall
Zorp GPL
Turtle
LutelWall

11 de 33 26/8/16 3:12
Instalación y configuración de cortafuegos. http://localhost:51235/temp_print_dirs/eXeTempPrintDir_qCJx...

Autoevaluación
Un firewall:

Solamente es necesario en Windows.


Puede ser un ordenador con sistema operativo Linux.
Está diseñado para sistemas Linux, son los únicos con esta propiedad.
Se configura con iptables.

No. Es independiente de la plataforma utilizada.

Un sistema operativo Linux configurado adecuadamente puede ser un firewall para


el sistema.

No es correcto. Un sistema Linux puede ser un firewall pero no es la única opción.

No. La configuración de iptables puede hacer que el sistema funcione como un


firewall.

Solución

1. Incorrecto
2. Opción correcta
3. Incorrecto
4. Incorrecto

12 de 33 26/8/16 3:12
Instalación y configuración de cortafuegos. http://localhost:51235/temp_print_dirs/eXeTempPrintDir_qCJx...

4.1. Ubicación.
El mecanismo de filtrado del tráfico, debe intercalarse físicamente entre la red a proteger y el resto de
los dispositivos. Las distintas opciones de ubicación de un firewall respecto a los perímetros interior y
exterior, hace que sean posibles diferentes arquitecturas:

Dual Homed-Host.
Screened Host.
Screened-Subnet.

En la disposición Dual Homed-Host, el firewall (Host Bastión) se interpone entre la red exterior y la red
interior, de forma que todas las conexiones deben pasar por el mismo.

El firewall actúa de proxy entre la red interna y la red externa.

En la combinación Screened Host (también se la denomina Choke-gate), se utiliza un equipo que


se encarga de hacer las funciones de proxy (Host Bastión) y otro equipo que se encarga de filtrar los
paquetes (router o choke).

La topología Screened-Subnet, utiliza además una zona DMZ o red intermedia.

En esta situación, se utilizan dos routers, uno interior y otro exterior. El exterior filtra el tráfico entre la
red interna y la red externa. El interior filtra el tráfico entre la red interna y la DMZ. La utilización de esta
técnica descarga de responsabilidades al Host Bastión, puesto que si un atacante se salta su
seguridad tendrá todavía que atravesar la red interna o se meterá en la DMZ que es de acceso
público.

13 de 33 26/8/16 3:12
Instalación y configuración de cortafuegos. http://localhost:51235/temp_print_dirs/eXeTempPrintDir_qCJx...

5. Reglas de filtrado de cortafuegos.

Caso práctico
- Bueno, he pensado que una buena opción es un
cortafuegos basado en Linux.

- ¿Tendremos que cambiar el sistema operativo de todos los


equipos?

- No, voy a configurar un equipo como firewall y usaré el


sistema Linux, es gratis.

- Me parece muy buena idea.

Al escoger esta opción es necesario configurar el cortafuegos


estableciendo reglas en muchos casos mediante línea de comandos. Veamos cómo son
esas reglas.

Un cortafuegos es un conjunto de reglas de filtrado que actúan sobre el tráfico de paquetes que lo
atraviesan, modificando o no su trayectoria en base al resultado de aplicar dichas reglas sobre los
datos incluidos en la cabecera de los mismos. Estas reglas se pueden implementar en hardware o en
software.

El filtrado de un paquete a través de un firewall está sujeto básicamente a tres tipos de reglas:

De entrada (INPUT).
De salida (OUTPUT).
De reenvío (FORWARD).

Como se puede adivinar, las reglas INPUT filtran paquetes que llegan al firewall, las reglas OUTPUT
filtran los paquetes que salen de nuestro dispositivo y las reglas FORWARD los paquetes que van
dirigidos a otro dispositivo.

Al entrar al firewall, el paquete experimenta un filtrado que nos permite modificar datos como la
dirección de destino o el puerto.

Una vez que el paquete pasa el prefiltro (PREROUTING), se le pregunta si va dirigido al propio equipo
(pasaría a las reglas INPUT) o por el contrario va dirigido a otra máquina (reglas FORWARD). Las reglas
de salida (POSTROUTING) pueden cambiar los datos del origen, y hacer que el paquete salga con
datos relativos a su dirección de origen diferentes.

Si el paquete pasa por las reglas INPUT se dirige hacía el proceso que lo solicitó y si este lo quiere
enviar hacia el exterior, lo enviará hacia las reglas OUTPUT.

14 de 33 26/8/16 3:12
Instalación y configuración de cortafuegos. http://localhost:51235/temp_print_dirs/eXeTempPrintDir_qCJx...

Para saber más


En el documento siguiente puedes ver más detalles acerca de las reglas de filtrado para
firewall en GNU/Linux

Seguridad en sistemas de información

Autoevaluación
¿Qué tipos de protocolos son capaces de filtrar los firewall?

Solamente TCP e IP.


TCP, IP, UDP, PPTP, ICMP.
Únicamente los de la capa de transporte como TCP, UDP.
Solamente IP, UDP e ICMP.

No. También son capaces de filtrar otros.

Sí. Cualquier protocolo utilizado en una conexión entre la red interna y la externa.

No. También son capaces de trabajar con los de otros niveles como IP.

No. También filtra TCP y otros.

Solución

1. Incorrecto
2. Opción correcta
3. Incorrecto
4. Incorrecto

15 de 33 26/8/16 3:12
Instalación y configuración de cortafuegos. http://localhost:51235/temp_print_dirs/eXeTempPrintDir_qCJx...

5.1. Sintaxis de las reglas.


La sintaxis de las reglas de filtrado es útil cuando se utilizan cortafuegos configurables por medio de
órdenes, por ejemplo, cuando se utiliza iptables en Linux. Una regla de iptables puede tener el
siguiente aspecto:

iptables -A INPUT -i eth0 -s 0.0.0.0/0 -p TCP --dport www -j ACCEPT

Donde:

iptables es el comando utilizado para ejecutar iptables.


-A es el modificador utilizado para añadir una regla.
INPUT se utiliza para especificar que el paquete es de entrada.
-i es el modificador que elige la interfaz de red sobre la que se actúa. En este caso
eth0.
-s se utiliza para poder escoger la dirección de acceso, en el ejemplo sería cualquier
dirección.
-p especifica el tipo de puerto. En el ejemplo TCP.
--dport se utiliza para referirse al puerto de destino.
-j ACCEP indica que el paquete se acepta.

El resumen de la orden sería: “Aceptar los paquetes que entren por la interfaz eth0 con
cualquier dirección de origen que se dirijan hacia el puerto www (80)”.

Entre las opciones de iptables se encuentran:

iptables -F : Eliminar las reglas en ejecución.

iptables -L : Listar las reglas actuales.

iptables -A : Añadir una regla.

iptables -D : Borrar una regla.

Cuando se quiere configurar un cortafuegos mediante reglas, se


comienza estableciendo reglas por defecto restrictivas y muy
básicas, para después ir depurándolas más.

Para establecer las reglas por defecto se utiliza el modificador P:

Con estas tres órdenes se deniega por defecto cualquier paquete


de entrada o salida, así como paquetes redirigidos.

16 de 33 26/8/16 3:12
Instalación y configuración de cortafuegos. http://localhost:51235/temp_print_dirs/eXeTempPrintDir_qCJx...

iptables -P INPUT DROP

iptables -P OUTPUT DROP

iptables -P FORWARD DROP

Para saber más


En el siguiente enlace podrás aprender más cosas sobre iptables y además ver un
ejemplo de cortafuegos implementado con estas reglas.

iptables.

Autoevaluación
¿Qué es lo que hace la siguiente línea de comandos?

root@linux-tomas# iptables -A INPUT -p tcp --dport XXXX -j DROP

Para especificar la interfaz donde realizamos las pruebas de funcionamiento.


No permitimos que el puerto especificado de otra máquina reciba paquetes con el
protocolo especificado desde nuestra máquina.
No permitimos paquetes que tengan dicho puerto como destino desde nuestra
máquina al exterior.
Cerramos el acceso al puerto especificado de nuestra máquina.

No es correcto. El modificador -A se utiliza para añadir reglas, no para probar.

Falso. Con esta orden se varía la configuración de los paquetes de entrada.

No. Porque INPUT hace que se configuren condiciones para las entradas.

Sí. Utilizando los modificadores INPUT, --port para el puerto y DROP.

Solución

1. Incorrecto
2. Incorrecto
3. Incorrecto
4. Opción correcta

17 de 33 26/8/16 3:12
Instalación y configuración de cortafuegos. http://localhost:51235/temp_print_dirs/eXeTempPrintDir_qCJx...

6. Pruebas de funcionamiento.

Caso práctico
- Ya está funcionando.

- ¿Cómo se puede ver si funciona?

- Pues intentando conectar con la red utilizando


puertos que en teoría he blindado.

- ¿Cómo?

- Existen varias herramientas.

Para poder probar el funcionamiento del firewall María utilizará varias herramientas que
permiten comprobar el estado de puertos y servicios en un sistema objetivo.

El funcionamiento de un firewall se puede probar de manera sencilla, comprobando que puertos o


servicios están habilitados. Para ello existen herramientas conocidas y en muchos casos incluidas en
los propios sistemas operativos como ping, y otras un poco más complejas entre las que se pueden
encontrar:

netstat
nmap
hping2

La herramienta netstat viene incluida en algunos sistemas


operativos y tiene varios modificadores de comando que ayudan
a analizar mejor la información.

En la imagen se ha empleado la orden netstat con el modificador


-b, con esto se consigue ver el ejecutable asociado al puerto que
está abierto ( Skype en este caso).

Para saber más


En el siguiente enlace podrás aprender más cosas sobre netstat y los diferentes
modificadores que puede emplear.

netstat

La herramienta nmap permite rastrear puertos abiertos, así como servicios que se están ejecutando en
ese momento.

18 de 33 26/8/16 3:12
Instalación y configuración de cortafuegos. http://localhost:51235/temp_print_dirs/eXeTempPrintDir_qCJx...

En la imagen se puede ver el resultado de ejecutar la orden nmap


con el modificador open sobre el propio equipo. La pantalla
muestra el número de puerto, el protocolo y el servicio de los
puertos abiertos en ese momento.

Para saber más


En el siguiente enlace podrás aprender más cosas sobre nmap.

nmap

19 de 33 26/8/16 3:12
Instalación y configuración de cortafuegos. http://localhost:51235/temp_print_dirs/eXeTempPrintDir_qCJx...

6.1. Sondeo.
El sondeo de un firewall va dirigido a testear el estado de los puertos (cerrado, abierto o filtrado). Una
herramienta disponible para poder hacerlo es hping. Esta herramienta puede utilizar protocolos como
TCP en lugar de ICMP para enviar paquetes y estudiar las respuestas.

Se puede enviar un paquete al puerto 21 de un determinado destino para ver si está el servidor FTP
activado:

root@linux-tomas:/home/tomas# hping2 -c 5 -S -p 21 -t 3 www.infoalisal.com

Donde:

c: Indica el número de paquetes que se enviarán contra el puerto (5 en este caso).


S: Indica el tipo de señal que activará, en este caso con SYN indica la intención de
iniciar una nueva conexión.
p: Especifica el número de puerto de destino (en la orden anterior 21).
t: Indica el valor de TTL.

En la imagen se ve la respuesta emitida después de ejecutar hping.

De esta respuesta se puede extraer que el puerto está activo puesto que hay respuesta, y además ha
sido exitosa la comunicación tal y como indica la variable flags (SA= SYN+ ACK), si el valor
fuera RA, el puerto estaría cerrado ( RST+ACK). Si el puerto estuviera filtrado, no se recibiría nada.

Estas flags están en las cabeceras de los paquetes TCP, son variables de 1 bit que pueden estar
activados (1) o desactivados (0).

Los valores posibles son SYN, AKC, RST, PSH, URG, FIN.

Con hping se puede variar el número de puerto sobre el que se lanzan los paquetes, el valor de las
flags y observar, además de si está activo o no, la variable len o TTL. Si estas variables tienen
diferentes valores para distintos puertos, se pueden deducir conclusiones como:

Un puerto puede estar protegido por un firewall.


Un puerto puede estar redirigido a un host interno de la red o de otra red.

Para poder probar los puertos que filtra un firewall se utilizan los flags en los paquetes que se envían,
dependiendo del tipo de sondeo que se quiera hacer:

-S: para saber si un puerto está abierto, todas las conexiones deben comenzar con
SYN.
-A: para indicar si el equipo está disponible, se envía en el paquete ACK.
-F: para deducir si el puerto está cerrado, usando el paquete FIN y analizando la

20 de 33 26/8/16 3:12
Instalación y configuración de cortafuegos. http://localhost:51235/temp_print_dirs/eXeTempPrintDir_qCJx...

respuesta se puede deducir si el puerto está cerrado (respuesta RST/ACK) o está


abierto (no hay respuesta).

21 de 33 26/8/16 3:12
Instalación y configuración de cortafuegos. http://localhost:51235/temp_print_dirs/eXeTempPrintDir_qCJx...

7. Registros de sucesos de un cortafuegos.

Caso práctico
- ¿Y siempre que queramos ver si funciona debemos utilizar
esas herramientas?

- No es necesario, se puede hacer que todos los incidentes


que se produzcan se reflejen en un archivo.

- ¿Como si fuera un diario del firewall?

- Efectivamente.

- Se pueden configurar los firewall para que graben en un


fichero todas las incidencias que creamos conveniente
reflejar como consecuencia de los filtrados hechos por el cortafuegos. A esos archivos
se les denomina logs.

Los registros de sucesos graban en un fichero todas las entradas y salidas del cortafuegos.
Dependiendo del tipo de cortafuegos, el archivo donde se guardan este tipo de sucesos puede variar
de nombre y ubicación. En distribuciones Linux, cuando se utiliza iptables, el registro se origina
introduciendo en las reglas de filtrado el modificador:

-j log

Además de este modificador se puede emplear - - log-prefix para poder interpretar mejor los registros
del log.

sudo iptables -A INPUT -m state --state NEW -p tcp --dport 80 -j LOG --log-prefix
"NEW_HTTP_CONN: "

Con la orden anterior una petición al puerto 80 desde la máquina local generará un registro en dmesg
con el siguiente aspecto:

[4304885.870000]             NEW_HTTP_CONN:                         IN=lo                         OUT=


MAC=00:00:00:00:00:00:00:00:00:00:00:00:08:00 src=127.0.0.1 DST=127.0.0.1 LEN=60
TOS=0x00 PREC=0x00 TTL=64 ID=58288 DF PROTO=TCP SPT=53981 DPT=80
WINDOW=32767 RES=0x00 SYN URGP=0

El registro anterior también aparecerá en /var/log/messages, /var/log/syslog y /var/log/kern.log. Este


comportamiento se puede cambiar editando apropiadamente el archivo /etc/syslog.conf, o instalando
y configurando ulogd y utilizando el objetivo ULOG en lugar del LOG. El demonio ulogd es un servidor
en espacio de usuario, que escucha las instrucciones de registro que provienen del núcleo y que sean
específicamente para firewalls, y puede registrar cualquier archivo que desee.

En el archivo syslog.conf, añadiendo una línea de código como:

22 de 33 26/8/16 3:12
Instalación y configuración de cortafuegos. http://localhost:51235/temp_print_dirs/eXeTempPrintDir_qCJx...

kern.warning         /var/log/iptables.log

Se consigue que todos los mensajes del kernel con un nivel


superior o igual al de un mensaje tipo warning, se graben en el
fichero iptables.log

En esta imagen se ve como con la primera regla se está aceptando solamente a la ip 192.168.10.10, si
es cualquier otra ip, se graba el evento con el mensaje 'INTENTO DE ACCESO A SSH ' en /var/log
/iptables.log. Antes de intentar una conexión SSH el fichero iptables está vacío (resultado de cat
iptables.log) y después de hacer un intento de conexión aparece el mensaje del intento de acceso
fallido.

23 de 33 26/8/16 3:12
Instalación y configuración de cortafuegos. http://localhost:51235/temp_print_dirs/eXeTempPrintDir_qCJx...

8. Cortafuegos integrados en los sistemas


operativos.

Caso práctico
- María, hoy he visto un folleto de publicidad en el
que se vendía un ordenador con antivirus y firewall.

- ¿Qué firewall?

- No sé, ponía que venía incluido. ¿Por qué nuestro


sistema operativo no lo tiene?

- Sí tiene uno integrado pero no es suficiente para poder controlar toda la red.

Algunos sistemas operativos llevan un firewall integrado y otros incorporan un firewall


preinstalado, ajeno al sistema operativo, son dos cosas diferentes.

En la actualidad la mayoría, por no decir todos los sistemas operativos incluyen un firewall con el
software básico.

Ejemplos de cortafuegos integrados en sistemas operativos son:

Iptables en Linux.
Ipfirewall en FreeBSD.
Mac OS x firewall en sistemas Apple Macintosh.
Firewall de Windows en Microsoft Windows.

Para saber más


En el siguiente enlace puedes ver cómo activar y desactivar el firewall de Windows

Activar y desactivar el firewall de Windows

24 de 33 26/8/16 3:12
Instalación y configuración de cortafuegos. http://localhost:51235/temp_print_dirs/eXeTempPrintDir_qCJx...

Autoevaluación
La diferencia entre un cortafuegos integrado y uno instalado en el sistema
operativo es que ...

No hay diferencia.
El integrado puede valer para todas las demás plataformas y el instalado
solamente es válido para el sistema en el que está instalado.
No existe el concepto de cortafuegos integrado.
El integrado es parte del sistema operativo.

Falso. Un cortafuegos instalado puede que no tenga nada que ver con el sistema
operativo en el que está instalado.

Falso. El integrado no tiene garantía de que sea válido para otras plataformas
porque está implementado en el propio sistema operativo.

No es correcto. Un cortafuegos integrado es aquel que está implementado en el


propio núcleo del sistema operativo, como iptables.

Sí, muy bien, mientras que el instalado es una aplicación que se instala sobre el
sistema operativo.

Solución

1. Incorrecto
2. Incorrecto
3. Incorrecto
4. Opción correcta

25 de 33 26/8/16 3:12
Instalación y configuración de cortafuegos. http://localhost:51235/temp_print_dirs/eXeTempPrintDir_qCJx...

9. Cortafuegos libres y propietarios.

Caso práctico
- ¿Por qué podemos utilizar el cortafuegos de Linux
y no necesitamos licencia?

- Pues porque es software libre.

- ¿Gratis?

- No, libre, que es distinto.

Una de las ventajas del software libre es que se puede modificar y no tiene porqué ser
gratis, los cortafuegos también se benefician de esto.

La diferencia entre software libre y software propietario está en la libertad de los usuarios para utilizar,
copiar, distribuir y modificar el software libre, mientras que en el caso del software propietario estas
acciones están sujetas a diferentes líneas de permisos, establecidos mediante licencias. Por otra
parte, cualquiera de los dos tipos de software puede ser gratis o no.

El software libre no tiene que ser obligatoriamente gratuito.

El software propietario puede ser gratuito.

Un cortafuegos libre tiene como ventaja sobre un cortafuegos propietario, la posibilidad de crear
reglas de filtrado a medida del sistema que se quiere proteger.

Los cortafuegos propietarios por el contrario están predefinidos y no admiten cambios significativos
en su configuración. Por otra parte tienen la ventaja de que su manejo e interfaz suele ser mucho más
amigable que la de un cortafuegos libre como iptables.

26 de 33 26/8/16 3:12
Instalación y configuración de cortafuegos. http://localhost:51235/temp_print_dirs/eXeTempPrintDir_qCJx...

10. Distribuciones libres para implementar


cortafuegos en máquinas dedicadas.

Caso práctico
- ¿Puede haber equipos configurados con software
libre que tengan como única función la de ser
cortafuegos?

- Sí, Juan. Se llaman máquinas dedicadas.

Las máquinas dedicadas basadas en Linux se


utilizan para poder implementar cortafuegos, estas
máquinas solamente se utilizan para esta función.

María va a enseñar a Juan algún software utilizado para este propósito.

Una de las soluciones que se pueden adoptar en cuanto a la seguridad de un sistema es utilizar una
máquina con la función específica firewall, una máquina dedicada. Las distribuciones de software libre
más usadas en máquinas dedicadas son las basadas en sistemas Unix/Linux, entre otras:

IPCop.
SmoothWall.
Zentyal.
ClearOS.

Una solución firewall en una máquina dedicada se puede implementar incluso arrancando la máquina
desde un CD. Una vez arrancada la máquina se pueden quitar todos los periféricos, incluso el monitor
y controlar el firewall accediendo a él desde otra máquina, como en el caso de IPCop, por ejemplo,
escribiendo la dirección https://ipcop:445 en el navegador.

Para saber más


En el siguiente enlace podrás conocer más cosas sobre IPCop.

IPCop

En el siguiente enlace podrás conocer más cosas sobre Smoothwall.

27 de 33 26/8/16 3:12
Instalación y configuración de cortafuegos. http://localhost:51235/temp_print_dirs/eXeTempPrintDir_qCJx...

Smoothwall

En el siguiente enlace podrás conocer más cosas sobre Zentyal.

Zentyal

En el siguiente enlace podrás conocer más cosas sobre ClearOS.

ClearOS

Autoevaluación
Si en mi equipo de trabajo tengo configurado un cortafuegos Linux integrado...

Estoy utilizando un cortafuegos libre en una máquina dedicada.


Mi equipo de trabajo es una máquina dedicada.
El cortafuegos no puede ser libre.
El cortafuegos puede ser iptables.

No. Probablemente sea libre, pero el enunciado no me asegura que sea una
máquina dedicada.

Falso. Si es mi equipo de trabajo es muy probable que no sea una máquina


dedicada.

No es correcto. El cortafuegos puede ser libre o propietario.

Sí, iptables es un cortafuegos integrado en Linux.

Solución

1. Incorrecto
2. Incorrecto
3. Incorrecto
4. Opción correcta

28 de 33 26/8/16 3:12
Instalación y configuración de cortafuegos. http://localhost:51235/temp_print_dirs/eXeTempPrintDir_qCJx...

11. Cortafuegos hardware.

Caso práctico
- ¿No hay algún dispositivo que se ponga a la
entrada de la red y haga de cortafuegos sin
necesidad de configurarlo?

- Dispositivo sí, pero hay que configurarlo igualmente


si queremos que tenga un buen rendimiento.

- ¿Pero es un firewall o no?

- Sí, se llaman cortafuegos hardware.

La diferencia entre cortafuegos hardware o software es básicamente la manera en la que


se accede a su configuración y la apariencia externa. Las reglas de filtrado y la
administración son muy similares.

La mayoría de los cortafuegos utilizados son soluciones software que además vienen integradas en
paquetes que ofrecen otras funcionalidades, (antivirus, antispam, antitroyanos), pero también existen
instalaciones que por su tamaño o por sus requerimientos funcionales, utilizan cortafuegos
implementados en hardware.

Un cortafuegos hardware es un dispositivo instalado en una red para hacer las funciones de firewall,
para acceder a él se utilizarán los mismos mecanismos que para acceder a cualquier otro dispositivo
(a través de su dirección de red). La apariencia de estos dispositivos es similar a otros utilizados en las
redes, con conexiones para poder administrarlos (Aux, Console) y conexiones para dar servicio a la
red (Ethernet).

La configuración de un cortafuegos hardware no difiere de la de uno software, depende más del


fabricante que de si está implementado en hardware o software. La única diferencia está en el modo
de acceso, (a un firewall por hardware se accede a través de una conexión en red desde otro equipo).

En el siguiente vídeo puedes ver más información de configuración de un firewall por software y
hardware.

Configuración firewall por software y hardware

Autoevaluación
Un router que hace de cortafuegos:

Es un cortafuegos hardware.
Es un cortafuegos hardware con software router.
Es un router configurado como firewall.
No es posible, no puede desempeñar las dos funciones.

29 de 33 26/8/16 3:12
Instalación y configuración de cortafuegos. http://localhost:51235/temp_print_dirs/eXeTempPrintDir_qCJx...

No. Es un router.

No. Es un router con software de firewall.

Sí. Muchos routers tienen software que permiten que el enrutador actúe como un
firewall, filtrando direcciones.

Falso. Hay muchos dispositivos que realizan estas dos funciones y varias más.

Solución

1. Incorrecto
2. Incorrecto
3. Opción correcta
4. Incorrecto

30 de 33 26/8/16 3:12
Instalación y configuración de cortafuegos. http://localhost:51235/temp_print_dirs/eXeTempPrintDir_qCJx...

Anexo.- Archivo de Licencias.


Licencias de recursos utilizados en la Unidad de Trabajo.

Recurso Recurso Datos del recurso


Datos del recurso (1)
(1) (2) (2)

Autoría: MrVJTop
Licencia: CC by sa
Autoría: César GarcÃa Pont
Procedencia:
Licencia: CC by
http://www.flickr.com
Procedencia: http://www.flickr.com/photos/cgpont
/photos/mrvjtod
/406129534/sizes/m/in/photostream/
/406327788/sizes
/m/in/photostream/

Autoría: puuikibeach
Licencia: CC by
Autoría: Ricardo Ricote Rodriguez
Procedencia:
Licencia: CC by
http://www.flickr.com
Procedencia: http://www.flickr.com/photos/ricote
/photos/puuikibeach
/4515613985/sizes/m/in/photostream/
/5721942294/sizes
/m/in/photostream/

Autoría: Toni Birrer


Licencia: CC by sa
Autoría: holycalamity
Procedencia:
Licencia: CC by sa
http://www.flickr.com
Procedencia: http://www.flickr.com/photos/toyochin
/photos/tonibirrer
/2193158110/sizes/m/in/photostream/
/93654864/sizes
/m/in/photostream/

Autoría: zolierdos
Licencia: CC by sa
Autoría: Tophost
Procedencia:
Licencia: CC by sa
http://www.flickr.com
Procedencia: http://www.flickr.com/photos/tophost
/photos/zoliblog
/2246966480/sizes/m/in/photostream/
/2362195212/sizes
/m/in/photostream/

Autoría: Cloned
Milkmen
Licencia: CC by sa
Autoría: Jemimus
Procedencia:
Licencia: CC by
http://www.flickr.com
Procedencia: http://www.flickr.com/photos/jemimus
/photos
/4464232067/sizes/m/in/photostream/
/clonedmilkmen
/4356147087/sizes
/m/in/photostream/

Autoría: Cristian
Autoría: Cristian Borghello Borghello
Licencia: Copyright (cita) Licencia: Copyright
Procedencia: http://www.segu-info.com.ar/firewall (cita)
/dualhomed.htm Procedencia:
http://www.segu-

31 de 33 26/8/16 3:12
Instalación y configuración de cortafuegos. http://localhost:51235/temp_print_dirs/eXeTempPrintDir_qCJx...

info.com.ar/firewall
/screened.htm

Autoría: Ludovic
Hirlimann
Autoría: Cristian Borghello Licencia: CC by sa
Licencia: Copyright (cita) Procedencia:
Procedencia: http://www.segu-info.com.ar/firewall http://www.flickr.com
/screenedsubnet.htm /photos/lhirlimann
/5502046309/sizes
/m/in/photostream/

Autoría:
Salichamidjitch
Licencia: CC by sa
Autoría: Tomás Fernández Escudero
Procedencia:
Licencia: Uso educativo y no comercial
http://www.flickr.com
Procedencia: Captura de pantalla hecha con Linux
/photos
Ubuntu
/salichamidjitch
/390506483/sizes
/m/in/photostream/

Autoría: Tomás
Fernández Escudero
Licencia: Uso
Autoría: Tomás Fernández Escudero educativo y no
Licencia: Uso educativo y no comercial comercial
Procedencia: Captura de pantalla hecha con el Procedencia:
intérprete de comandos de Windows XP propiedad de Captura de pantalla
Microsoft. hecha con el
intérprete de
comandos de Linux
Ubuntu

Autoría: Spree2010
Licencia: CC by
Autoría: Tomás Fernández Escudero
Procedencia:
Licencia: Uso educativo y no comercial
http://www.flickr.com
Procedencia: Captura de pantalla hecha con el
/photos/spree2010
intérprete de comandos de Linux Ubuntu
/4960433593/sizes
/m/in/photostream/

Autoría: Wiros
Licencia: CC by sa
Autoría: Tomás Fernández Escudero
Procedencia:
Licencia: Uso educativo y no comercial
http://www.flickr.com
Procedencia: Captura de pantalla hecha con el
/photos/wiros
intérprete de comandos de Linux Ubuntu
/2238189745/sizes
/m/in/photostream/

Autoría: JHogg9144
Licencia: CC by sa
Autoría: Javier Aroche
Procedencia:
Licencia: CC by
http://www.flickr.com
Procedencia: http://www.flickr.com/photos/j_aroche
/photos
/709468580/sizes/m/in/photostream/
/softballer9144
/405315385/sizes

32 de 33 26/8/16 3:12
Instalación y configuración de cortafuegos. http://localhost:51235/temp_print_dirs/eXeTempPrintDir_qCJx...

/m/in/photostream/

Autoría:
Alistairmcmillan
Licencia: CC by sa
Autoría: Sentinel
Procedencia:
Licencia: CC by sa
http://www.flickr.com
Procedencia: http://es.wikipedia.org
/photos
/wiki/Archivo:Mapa_conceptual_del_software_libre.svg
/alistairmcmillan
/2171303438/sizes
/m/in/photostream/

Autoría: Tomás
Fernández Escudero
Autoría: zigazou76 Licencia: Copyright
Licencia: CC by (cita)
Procedencia: http://www.flickr.com/photos/zigazou76 Procedencia:
/3622235298/sizes/m/in/photostream/ http://www.ipcop.org
/2.0.0/en/admin
/html/homepage.html

Autoría: ChrisDag
Licencia: CC by
Autoría: Pete Prodoehl
Procedencia:
Licencia: CC by
http://www.flickr.com
Procedencia: http://www.flickr.com/photos/raster
/photos/chrisdag
/5625273307/sizes/m/in/photostream/
/5212583486/sizes
/m/in/photostream/

33 de 33 26/8/16 3:12