S EGURIDAD Y A LTA D ISPONIBILIDAD Nombre: Adrián de la Torre López

C ORTAFUEGOS SOFTWARE Y HARDWARE 1. Cortafuegos software integrados en los sistemas operativos Un firewall gratuito es un Software que se puede instalar y utilizar libremente, o no, en el ordenador. Son también llamados 'desktop firewall' o 'software firewall'. Son firewalls básicos que monitorean y bloquean, siempre que sea necesario, el tráfico de Internet. Casi todos los ordenadores vienen con un firewall instalado, por ejemplo; Windows XP y Windows Vista lo traen. Los cortafuegos, por defecto, se activan siempre que se enciende el ordenador. Hay que configurarlo con cuidado, pues puede ocurrir que no funcione el correo electrónico o no se abran páginas web en el navegador porque el ‘firewall’ no permite a estos programas acceder a Internet. Para eso concentran todo el flujo entrante y saliente entre la PC e Internet y bloquea los pedidos de enlaces no solicitados por el usuario potencialmente inseguros, instalaciones clandestinas de programas y algunos hasta bloquean pop ups, publicidades, etc. 13/02/ Adrián de la Torre López

C ORTAFUEGOS SOFTWARE Y HARDWARE 1. Cortafuegos software integrados en los sistemas operativos La mayoría de Firewall libres se distribuyen para Linux, y se basan en IPChains, una facilidad que ofrece el sistema operativo para filtrar el tráfico. Para poner un Firewall basado en IPChains es necesario un extenso conocimiento de Redes, ya que las reglas hay que ponerlas basándose en direcciones IP de destino / origen, puertos y protocolo de aplicación. Este tipo de Firewalls son bastante seguros y simples, porque en todo momento se tiene conocimiento de lo que protege y de lo que no, pero requiere bastantes conocimientos, ya que no es conveniente fiarse de lo que hace determinada aplicación que simplifica el proceso. Ofrecen una seguridad limitada, ya que no hacen análisis de trafico de ningún tipo, pero son fácilmente escalables ya que usa un sistema operativo “normal” (no propietario) y se pueden integrar Proxies de distintos tipos, así como programas de IDS, antitroyanos, etc, todos ellos de libre distribución. Son útiles para usuarios finales de Linux, que pueden instalar un Firewall a medida sin necesidad de cambiar nada del sistema operativo.Esta configuración puede ser recomendable para una pequeña red, con un nivel moderado de seguridad. Algunos de los cortafuegos más conocidos de software libre son:  Guarddog es una utilidad para la configuración de un cortafuegos para las iptables de Linux. El software es GNU GPL.  SoftPerfect Personal Firewall es un firewall para el sistema operativo Windows que filtra paquetes por IP, y viene con un gran conjunto de reglas predefinidas para permitir o denegar el acceso de ciertas aplicaciones a Internet.  ZoneAlarm es, quizá, uno de los firewalls gratuito para uso personal más conocido que hay. Es muy sencillo y fácil de usar. La versión gratuita te permite decidir que aplicaciones tendrán acceso a internet, pero no te permite bloquear IP's específicas. Funciona sólamente en plataformas Windows.  Turtle permite que realices un cortafuego de Linux simple y rápidamente. Ha basado en el núcleo 2.4.x e Iptables. 13/02/ Adrián de la Torre López

C ORTAFUEGOS SOFTWARE Y HARDWARE Por otro lado están los Firewall software de pago, creados por compañías de seguridad de reconocido prestigio. Estos Firewall garantizan una aplicación muy compacta, y con bastantes más funcionalidades que un simple IPChains. Algunos traen su propio sistema operativo, que puede ser propietario o una modificación de Unix (para hacerlo seguro), y otros funcionan sobre un sistema operativo “normal”. Tienen el defecto de que si se descubre una vulnerabilidad en el (lo cual no es nada normal), tarda bastante en resolverse, por lo que estas un tiempo “al descubierto”, mientras que los softwares libres están en continuo testeo y reparación. Aun así, se puede asegurar que estos Firewall propietarios aportan un nivel de seguridad mayor que el que puede aportar uno de libre distribución. La mayoría de productos comerciales vienen con una configuración básica de funcionamiento, pero permiten su posterior configuración, para ajustarlo así a las necesidades especificas de cada usuario, por lo que serán necesario conocimientos de redes suficientes para crear las reglas de filtrado. Esta opción es muy recomendable para empresas de tamaño medio, que tengan necesidad de proteger sus datos, pero que no estén dispuestas a gastarse el dinero que vale un Firewall de Hardware. 13/02/ Adrián de la Torre López

C ORTAFUEGOS SOFTWARE Y HARDWARE 2. Distribuciones libres para implementar cortafuegos en máquinas dedicadas Normalmente se instala una maquina dedicada en punta de lanza, con el Firewall corriendo sobre algún sistema operativo preinstalado (normalmente Unix-Linux) y un interfaz grafico para simplificar su administración. Se suelen vender como un equipo completo (Firewall Box), con el servidor, el Sistema Operativo y el Firewall instalado, principalmente para simplificarle el trabajo a aquellas empresas que quieren tener un buen nivel de seguridad sin dedicarle muchos esfuerzos (ningún esfuerzo más allá de la asignación de políticas y reglas). Distribuciones de software libre para implementar cortafuegos en máquinas con pocas prestaciones. Basadas en:  GNU/Linux: ClearOS, Gibraltar, IPCop, Zentyal, SmoothWall,...  FreeBSD: m0n0wall, pfSense,...  Suelen ofrecer una interfaz web para administración del router/cortafuegos Existe una gran variedad de Firewall Boxes, con características muy distintas, que van desde caudales de salida de 10 Mbps hasta los 200 Mbps, con soporte para unos pocos usuarios hasta los cientos de miles. Por eso es importante estudiar bien el mercado, y escoger aquella solución que mejor se adapte a las necesidades de la empresa. NetScreen Technologies ( tiene 2 productos destinados para este mercado: el NetScreen 5 y el 10, con soporte de NAT y VPN y su propio sistema de inspección de estado. Symantec ( tiene los conocidos VelociRaptor que consisten en un servidor Cobalt RaQ con un Linux por Hardware y el software del Axent’s Raptor 6.5. Tiene soporte para NAT y una salida de 90 Mbps, con cuatro conexiones 10/100 Ethernet. Para el soporte VPN incluye el Axent’s PowerVPN que usa DES o Triple DES con túneles a 10 Mbps. 13/02/ Adrián de la Torre López

C ORTAFUEGOS SOFTWARE Y HARDWARE WatchGuard Technologies ( tiene también 2 productos en el mercado, el FireBox y el FireBox II. Cisco Systems ( una de las compañías de seguridad más importantes lanza dos Firewall destinados a este mercado: El Pix 506 y el 515. Ambos corren en un sistema operativo propietario de Cisco. RapidStream ( tiene toda una gama de Firewall Boxes destinadas desde la pequeña empresa hasta las grandes empresas. Todos utilizan una inspección de estado sobre una maquina con un Kernel de Linux reforzado. PGP Security ( también tiene una amplia gama de Firewalls para todos los segmentos de negocio, pero concretamente, para la pequeña empresa tiene el PGP 5, 10 y 50. SonicWall ( tiene el TELE2, SOHO2 y el XPRS2. Todos usan inspección de estado, y soportan 5, 50 y un número ilimitado de usuarios respectivamente. CyberGuard ( ofrece sus FireStar, que corren en un UnixWare OS. Tiene un caudal de 100 Mbps y viene con 6 puertos Ethernet de 10/100 Mbps. Soporta Proxies de http y Telnet, así como Real Audio. Se configura desde un interfaz Web de forma remota. 13/02/ Adrián de la Torre López

C ORTAFUEGOS SOFTWARE Y HARDWARE 4. Cortafuegos hardware. Gestión Unificada de Amenazas “Firewall UTM” (Unified Threat Management) Los Firewalls más caros son los filtros Hardware, que producen una conmutación más rápida que un equipo software (el Hardware esta optimizado para esas tareas), y además proporcionan un nivel de seguridad muy alto, pudiéndose mejorar con nuevos y más modernos sistemas, gracias a las continuas actualizaciones On- Line. El avance de la tecnología, ligado a amenazas cada vez más complejas, ha provocado que las soluciones de seguridad perimetral avancen a una nueva generación, cuyo exponente más destacado aparece en las distintas gamas de UTM (Unified Threat Management). Gestión unificada de amenazas (UTM) se refiere a un producto de seguridad integral que incluye la protección contra amenazas múltiples. Un producto UTM normalmente incluye un firewall, software antivirus, filtrado de contenidos y un filtro de spam en un solo paquete integrado. El término fue acuñado originalmente por IDC, un proveedor de datos de mercado, análisis y servicios relacionados. Proveedores de UTM de Fortinet incluyen, LokTek, Secure Computing Corporation y Symantec. Las principales ventajas de la UTM son la sencillez, la instalación y el uso racionalizado, y la capacidad de actualizar todas las funciones de seguridad o programas simultáneamente. Como la naturaleza y la diversidad de las amenazas de Internet evolucionan y se vuelve más complejo, los productos UTM pueden ser adaptados para mantenerse al día con todos ellos. Esto elimina la necesidad de que los administradores de sistemas para mantener múltiples programas de seguridad en el tiempo. 13/02/ Adrián de la Torre López

C ORTAFUEGOS SOFTWARE Y HARDWARE Las principales ventajas: 1. Reducción de la complejidad: solución de seguridad única. Solo proveedor. Solo AMC 2. Simplicidad: Evitar la instalación del software y el mantenimiento de múltiples 3. Gestión sencilla: Plug & Play Arquitectura, GUI basada en Web para una fácil gestión 4. Reducción de los requisitos de capacitación técnica, un producto de aprender. 5. Cumplimiento de la normativa Desventajas: 1. Punto único de fallo para el tráfico de red 2. Único punto de compromiso si la UTM tiene vulnerabilidades 3. Impacto potencial sobre la latencia y el ancho de banda cuando la UTM no puede mantenerse al día con el tráfico 13/02/ Adrián de la Torre López