Proxies y Firewalls

Informática. Seguridad. Definición. Tecnologías. Comparativa. Linux. Ataques

  • Enviado por: Rafa
  • Idioma: castellano
  • País: España España
  • 19 páginas
publicidad
publicidad

PROXIES Y

FIREWALLS

-INTRODUCCIÓN

-QUE ES UN PROXY

-QUE ES UN FIREWALL

-QUE OFRECEN

-TECNOLOGIAS

-COMPARATIVA DE FIREWALLS

-BAJO LINUX MEJOR QUE MEJOR Y GRATUITO

-DE QUE NO PROTEGE UN FIREWALL

-ATAQUES POR LA PUERTA GRANDE

-CONCLUSIÓN

INTRODUCCIÓN

Todos los dias podemos leer en la prensa noticias relacionadas con incidentes de seguridad en Internet: virus transmitidos a través del correo electrónico, ataques coordinados a sitios web comerciales, intrusión en servidores de comercio electrónico con robo de tarjetas de crédito de sus clientes y otros sucesos parecidos. Los hackers se están convirtiendo en noticia con alarmante frecuencia y todo el mundo los teme.

En las páginas underground sobre hacking se ofrecen herramientas gratuitas de inusitada versatilidad y potencia para escaneo de puertos y detección de vulnerabilidades, que permiten localizar agujeros en los sistemas explorados con ellas. En las mejores de estas páginas también se ofrecen explicaciones de cómo explotar estos agujeros para hacerse con el control total de la máquina atacada. Habida cuenta de la facilidad con que se obtienen, instalan y ejecutan estas herramientas, y dada la cantidad de información detallada acerca de agujeros, vulnerabilidades y caminos para explotarlas, resulta que prácticamente cualquiera con un ordenador y una conexión a Internet puede atacar con éxito una extraordinaria cantidad de sistemas en línea.

Si bien es verdad que para los que se conectan con un módem de 56 Kbps, los hackers no representan un problema serio, cada vez más ordenadores utilizan conexiones de alta velocidad por RDSI, ADSL o cable con tarifa plana para permanecer en línea 24 horas al día. Cuanto mayor es el tiempo que un usuario pasa conectado, mayor es el riesgo de intrusión. En esta situación, toda precaución que se tome para protegerse es poca.

Nadie permanece a salvo, ni siquiera los usuarios domésticos o las pequeñas empresas, sin importar si su ordenador almacena información valiosa o ficheros irrelevantes. Un hacker puede querer penetrar en un ordenador para ejercitarse, para utilizarlo como puente para atacar otros sistemas o, simplemente, por el sádico placer de destruir. Cualquier sistema, desde el momento en que se encuentra conectado a Internet, puede convertirse en blanco. Los cortafuegos (firewalls, en inglés) y los proxies, sin ser la panacea de la seguridad informática, representan un poderoso muro de protección entre su ordenador o su red interna e Internet, barrera que conviene instalar en todo sistema que esté conectado a Internet 24 horas al día, por modesto que sea.

A continuación definiremos cada uno de estos elemntos para ser capaces de diferenciarlos y comentar las aplicaciones que cada uno tiene.

QUE ES UN PROXY

Un proxy es una aplicación o un dispositivo hardware que hace de intermediario entre los usuarios, normalmente de una red local, e Internet.

Lo que hace realmente un proxy es recibir peticiones de usuarios y redirigirlas a Internet. La ventaja que presenta es que con una única conexión a Internet podemos conectar varios usuarios.

Normalmente, un proxy es a su vez un servidor de caché. La función de la caché es almacenar las páginas web a las que se accede más asiduamente en una memoria. Así cuando un usuario quiere acceder a Internet, accede a través del proxy, que mirará en la caché a ver si tiene la página a la cual quiere acceder el usuario. Si es así le devolverá la página de la caché y si no, será el proxy el que acceda a Internet, obtenga la página y la envíe al usuario. Con la caché se aceleran en gran medida los accesos a Internet, sobre todo si los usuarios suelen acceder a las mismas páginas.

El proxy es "transparente" al usuario, lo pongo entrecomillado porque el usuario tendrá que configurar su navegador diciéndole que accede a Internet a través de un proxy (deberá indicar la dirección IP del proxy y el puerto por el que accede), pero una vez realizado esto, el usuario actuará de la misma manera que si accediera directamente a Internet.

Los últimos proxies que han aparecido en el mercado realizan además funciones de filtrado, como por ejemplo, dejar que un usuario determinado acceda a unas determinadas páginas de Internet o que no acceda a ninguna. Con esta función podemos configurar una red local en la que hayan usuarios a los que se les permita salir a Internet, otros a los que se les permita enviar correo, pero no salir a Internet y otros que no tengan acceso a Internet. Esta característica muchas veces hace que se confundan con un cortafuegos.

QUE ES UN FIREWALL

En su acepción común, un cortafuegos es una vereda ancha que se deja en los sembrados y montes para que no se propaguen los incendios. Su análogo informático persigue el mismo objetivo: aislar su red interna del resto del mundo, como si del foso de una fortaleza medieval se tratara, proporcionando un único punto de entrada y salida. El cortafuegos restringe el acceso de usuarios externos a la red interna y de usuarios internos al exterior, que tiene lugar exclusivamente a través de un punto cuidadosamente controlado (algo así como el puente levadizo); de esta forma se evita que los atacantes alcancen otras defensas interiores y que se produzcan filtraciones de información desde dentro, como las causadas por troyanos. Por este motivo, el cortafuegos se instala en el punto en el que su red interna se conecta con Internet.
Dado que todo el tráfico que entra desde Internet o sale desde la red interna lo hace a través del cortafuegos, éste puede examinarlo y posee la potestad de decidir si es aceptable o no y si lo retransmitirá a su destinatario. Ahora bien, es fundamental definir correctamente lo que significa “aceptable”. Para ello se confecciona una política de seguridad en la que se establece claramente qué tipo de tráfico está permitido, entre qué origen y qué destino, qué servicios se habilitan, qué contenidos se admiten, etc. Dependiendo del caso concreto, existirán políticas altamente restrictivas, en las que prácticamente nada está permitido, y otras muy permisivas, en las que no se habilitan apenas prohibiciones. La clave reside en alcanzar un compromiso entre sus necesidades de seguridad y su comodidad.

QUE OFRECEN

  • Aislamiento de Internet. La misión de un cortafuegos es aislar su red privada de Internet, restringiendo el acceso hacia/desde su red sólo a ciertos servicios, a la vez que analiza todo el tráfico que pasa a través de él. Cuando una red de una empresa se conecta directamente a Internet, entonces todos los ordenadores pueden acceder a direcciones en el exterior y pueden ser igualmente accedidos desde fuera, exponiéndose a todo tipo de ataques, especialmente si la conexión es ininterrumpida. Si cualquiera de los ordenadores de la intranet sucumbe ante un atacante, el resto de la red local queda amenazada. El cortafuegos actúa de pantalla, permitiendo sólo aquellos servicios que se consideren como seguros (por ejemplo, sólo correo electrónico y navegación, o cualquier otra elección definida en la política de seguridad), mientras que se prohiben los superfluos o los potencialmente peligrosos.

  • Cuello de botella. El cortafuegos se constituye en un cuello de botella, que mantiene a los atacantes y peligros alejados de la red a proteger; prohibe en los dos sentidos servicios susceptibles a ataques; y proporciona protección ante algunos tipos de ataques basados en el enrutamiento de paquetes. El cortafuegos representa el enfoque de seguridad conocido como defensa perimetral, en la que se busca concentrar la administración y monitorización de la seguridad de la red en un solo punto en vez de intentar proteger a fondo cada una de las máquinas de la red, enfoque alternativo conocido como defensa en profundidad. Por supuesto, la mejor estrategia para la seguridad global hará uso de ambos enfoques, perfectamente complementarios. Dado que todo intento de conexión debe pasar por él, un cortafuegos adecuadamente configurado puede alertarle cuando detecta actividades sospechosas que pueden corresponder a intentos de penetración en su red o tentativas de enviar información desde ella, como los que realizarían troyanos que se hubieran colado dentro. Si, careciendo de cortafuegos, las intentonas de intrusión se realizaran sobre máquinas aisladas de la red, podría transcurrir mucho más tiempo antes de que se advirtieran, o incluso llegar a materializarse en un ataque con éxito antes de ser descubiertas.

  • Auditoría y registro de uso. El cortafuegos constituye un buen lugar donde recopilar información sobre el uso de la red. En su calidad de punto único de acceso, el cortafuegos puede registrar toda la actividad entre la red exterior y la interior. Con todos estos datos, el administrador puede posteriormente estudiar estadísticamente el tipo de tráfico, las horas de mayor carga de trabajo, el ancho de banda consumido y, por supuesto, todos los intentos de intrusión o las pistas dejadas por un atacante.

  • Seguridad de contenidos. Existen otras amenazas como los virus y el contenido activo malicioso, frente a las cuales los mejores cortafuegos ofrecen una protección limitada. La inspección antivirus del material transmitido a través de servicios como el correo electrónico, la Web o FTP es una característica incorporada por un número cada vez mayor de cortafuegos. Presenta el problema de consumir muchos recursos, ya que se deben descomprimir o decodificar ciertos ficheros (ZIP, MIME, Uuencode), escanearlos y tomar una decisión antes de retransmitirlos dentro de la red. A los virus se une la amenaza de programas en Java, controles ActiveX, guiones en JavaScript o en VisualBasic Script, que pueden ser potencialmente peligrosos, bien formando parte del contenido de un mensaje de correo o de una página web. Algunos cortafuegos bloquean también este tipo de contenido cuando resulta sospechoso. No obstante, el software de antivirus debería instalarse y ejecutarse regularmente en todas las estaciones de trabajo, ya que el cortafuegos no puede ofrecer una protección 100% segura ante estos peligros.

  • Autenticación. La determinación de la identidad de las personas o entidades que acceden a la red protegida, a través de servicios como HTTP, FTP o Telnet, resulta crítica en la mayoría de los entornos. Esta autenticación se logra tradicionalmente mediante nombres de usuario y contraseñas. Sin embargo, no puede considerarse una técnica fiable cuando los requisitos de seguridad son severos. En su lugar, algunos cortafuegos permiten autenticarse utilizando métodos más sofisticados, basados en tarjetas inteligentes, contraseñas de un solo uso, llaves hardware, etc. Traducción de direcciones de red (Network Address Translation -NAT-) Otras funciones adicionales que puede realizar el cortafuegos es la de ocultar el rango de direccionamientos internos de la empresa, realizando una traducción de direcciones. De esta manera, resulta posible contar con sólo una dirección válida (o un rango reducido de direcciones válidas en Internet) y disponer de un gran número de direcciones privadas para las máquinas internas no enrutables en Internet. Gracias al NAT, las direcciones de las máquinas internas quedan efectivamente ocultas para el exterior.

  • TECNOLOGIAS:

  • Filtrado de paquetesLos enrutadores (routers) de filtrado de paquetes sirven para enrutar paquetes entre las máquinas internas y las externas, pero de forma selectiva, ya que permiten o rechazan ciertos paquetes según los criterios reflejados en la política de seguridad de la empresa a proteger. Es decir, trabajan a nivel de red. Dado que los servidores para ciertos servicios particulares de Internet residen en puertos predeterminados (véase recuadro Paquetes en Internet), el enrutador puede bloquear o permitir ciertas conexiones sin más que especificar el número de puerto apropiado en el conjunto de reglas de filtrado. Igualmente, se pueden bloquear todas las conexiones procedentes de sistemas de los que se desconfía, basándose en la dirección IP de la máquina que intenta conectarse.

  • Puntos fuertes:

    • Dado que la mayor parte del software de enrutadores ya incorpora la capacidad de filtrado de paquetes, resulta muy rápido y económico instalar un control basado en esta solución, ya que no se necesitaría comprar software ni hardware adicional.

    • Si el número de reglas creadas no es muy elevado, tampoco llega a imponer una sobrecarga importante de procesamiento en el enrutador, por lo que el rendimiento de la red no se verá afectado.

    • No suelen correr sobre sistemas operativos generales, como Unix o NT, por lo que no son vulnerables a ataques contra ellos.

    • Una ventaja importante es que resultan totalmente transparentes, por lo que las máquinas de la red no necesitan que se les instale software adicional ni que los usuarios tengan que hacer nada especial.

    Debilidades:

    • Definir las reglas de filtrado puede convertirse en una tarea muy complicada, ya que existen muchos recovecos en la especificación de los servicios de Internet y de los protocolos que, si no se conocen a fondo para su correcta configuración, pueden dejar abierta la puerta a ataques variados (ataques de falsificación de dirección IP origen, ataques de enrutamiento de origen, ataques de fragmentación, etc.).

    • Además, cuanto mayor sea el número de reglas, menor será el rendimiento del enrutador, que en principio está diseñado únicamente para enrutar paquetes, no para tomar decisiones acerca de si debería o no debería hacerlo.

    • Por último, no debe perderse de vista que el filtrado de paquetes, por operar a un nivel tan bajo, desconoce el contenido de los paquetes. Aunque puede bloquear un servicio, si lo acepta no es capaz de bloquear selectivamente ciertos comandos del servicio o rechazar ciertos contenidos, por lo que son susceptibles a ataques basados en datos. Este tipo de control debe prestarse a más alto nivel, para lo que existen las pasarelas de aplicaciones.

  • Pasarelas de aplicaciones.

  • La idea básica de un servidor proxy es actuar de pasarela (gateway) entre su máquina o su red e Internet, trabajando a nivel de aplicación. El proxy espera a una petición desde la red interna y la reexpide al servidor remoto en el exterior, lee la respuesta y la envía de vuelta al cliente. Igualmente funcionaría para clientes en el exterior que quisieran conectarse con un servidor en el interior de la red protegida. De esta forma, el cliente y el servidor no se ven uno a otro cara a cara, sino que solamente ven al proxy, que actúa de intermediario entre ambos, de forma más o menos transparente, gestionando toda su comunicación y creando la ilusión de que el cliente está hablando con el servidor. El proxy puede además evaluar las peticiones del cliente y decidir cuáles acepta o ignora, basándose en la política de seguridad de la compañía. Por ejemplo, podría prohibir ciertos comandos de FTP, como el put, mientras que los más sofisticados pueden incluso restringir contenidos, por ejemplo, bloqueando los URL de páginas pornográficas. Las pasarelas de nivel de aplicación a menudo se denominan bastiones, en cuanto que están especialmente protegidas ante ataques, diseñadas con la máxima seguridad posible en mente: ejecutan una versión segura del sistema operativo, normalmente tipo Unix; sólo permanecen instalados los servicios que se consideran seguros y absolutamente necesarios; antes de que los usuarios accedan a los servicios proxy, pueden requerirles autenticación fuerte, por ejemplo, basada en tarjetas inteligentes y certificados digitales; no tienen por qué soportar todos los comandos y funcionalidades de los servicios que ofrecen, ya que pueden eliminar los más problemáticos; no suelen realizar accesos a disco una vez que han leído su propia configuración; y otras características que los vuelven menos vulnerables que las máquinas convencionales.

    Puntos fuertes

    • -Proporcionan al administrador de red un control absoluto sobre los servicios a los que los usuarios tienen acceso, ya que sólo pueden utilizar aquellos servicios soportados por el proxy y, dentro de cada servicio, sólo los comandos permitidos

    • Dado que las aplicaciones proxy son componentes software ejecutándose en el bastión, se trata del lugar ideal para realizar registros de actividad (logging), informes de auditoría y controles de acceso.

    • Pueden utilizarse como traductores de direcciones de red (NAT), ya que por ellas pasa todo el tráfico en uno y otro sentido, por lo cual pueden enmascarar la dirección de las máquinas de la red interna.

    • Por último, hay que tener en cuenta que la definición de las reglas de filtrado a nivel de aplicación es mucho más sencilla que a nivel de paquete, pudiendo implementar reglas más conservadoras con mayor flexibilidad.

    Debilidades

    • Los más antiguos requieren que el usuario de la red interna instale software de cliente especial para cada servicio proxy al que se conecta, o bien que, utilizando el software de cliente habitual, siga ciertas instrucciones especiales de uso. Nuevas aplicaciones de Internet exigían escribir e instalar nuevos servicios proxy en el cortafuegos y nuevos clientes proxy en los ordenadores de los usuarios. Actualmente, los modernos cortafuegos de nivel de aplicación son completamente transparentes para los usuarios finales.

    • El hecho de tener una aplicación corriendo entre el usuario y el servidor puede redundar en degradación del rendimiento, si son muchos los servicios proxy en la misma máquina y si las reglas de filtrado son muy complejas.

    • Desde el punto de vista de la seguridad, los servicios proxy son útiles sólo si se utilizan junto con un mecanismo que restrinja las comunicaciones directas entre las máquinas de la red interna y las del exterior, como por ejemplo el filtrado de paquetes. De nada sirve un cortafuegos de nivel de aplicación si se puede salir al exterior a través de otro punto.

  • Inspección multinivel de estados

  • La tecnología Stateful Multi-Layer Inspection (SMLI) busca combinar el buen rendimiento del filtrado de paquetes y la elevada seguridad a nivel de aplicación de los proxies, por lo que muchos cortafuegos actuales la incorporan. SMLI constituye una extensión del filtrado de paquetes, ya que no se limita a examinar los paquetes a nivel de red, sino que los analiza a todos los niveles de la pila de protocolos, extrayendo la información relevante sobre el estado de la comunicación y de la aplicación. Para cada conexión TCP o UDP, el cortafuegos crea una tabla con las direcciones IP de origen y destino, números de puertos, números de secuencia de los paquetes y otros datos adicionales asociados a la conexión en particular (véase recuadro Paquetes en Internet). Gracias a su motor de inspección y la información de estado de la conexión almacenada en las tablas, el cortafuegos puede implantar las políticas de seguridad definidas por la empresa, con una mayor conciencia de la aplicación que se está ejecutando que los filtros de paquetes. Así se asegura que los paquetes que no estén asociados a una conexión no pasarán a través del cortafuegos.

    Puntos fuertes:

    • El cortafuegos es transparente para las aplicaciones y usuarios, que no necesitan modificar o instalar software adicional. El motor de inspección puede adaptarse a protocolos y aplicaciones nuevamente definidos. Esta característica facilita la escalabilidad.

    • Dado que operan principalmente a los niveles bajos de la pila de protocolos, son más rápidos que las aplicaciones proxy, por lo que el rendimiento de la red no se ve notablemente afectado, aunque aumente el número de usuarios conectados a través del cortafuegos.

    Debilidades:

    • En la medida en que en las implantaciones reales el filtrado no inspecciona datos de nivel de aplicación, aunque teóricamente sería posible, SMLI no es capaz de evitar los ataques más sofisticados enmascarados a nivel de aplicación, como desbordamientos de búfer o comandos de aplicación ilegales o inseguros.

    • A pesar de la propaganda con la que se anuncian, la mayoría de expertos en seguridad convienen en aceptar que la arquitectura de cortafuegos basados en pasarelas de aplicación son más seguros que los sistemas basados en filtrado de paquetes, incluso SMLI.

    COMPARATIVA DE FIREWALLS



    AT GUARD


    Este agresivo y desfasado cortafuegos es una joya: nos permite definir reglas para todo. Recién instalado, lo primero que llama la atención es la rapidez y la sensación que tenemos el control de cuanto esta sucediendo.


    Bloquea la publicidad no deseada, con un especial énfasis en toda la que comienza por http://ad, lleva un log de fecha, hora, URL, IP, bytes enviados y recibidos, y tiempo de todas las conexiones web y de red local, así como de fecha y hora de todas las reglas de seguridad definidas, fecha y hora de inicio del sistema, y un historial web de todas las paginas visitadas.


    Junto a Norton Personal Firewall, Sygate, Tyny y ZoneAlarm, es de los pocos que supera el test leak de grc, consistente en la simulación de lo que haría un troyano o un programa espía, al conectarse saltándose el cortafuegos, a un servidor FTP. No obstante, no supera los ataques simulados vía web ni red local, y consume demasiados recursos del sistema, en comparación con otros cortafuegos. Tampoco llega a la facilidad de uso de ZoneAlarm.

    Las definición de reglas de seguridad es bastante compleja, aun usando el asistente, y no llegas a tener claro que es lo que estas autorizando o bloqueando, lo cual para alguien que se inicia en este mundo de la seguridad, no es la opción mas recomendable.


    Muestra estadísticas de las conexiones TCP y UDP tanto entrantes como salientes, bloqueadas y permitidas, de las conexiones de red y las reglas del cortafuegos, la actividad en los últimos 60 segundos. La ayuda es fabulosa: cualquier pregunta que se te ocurra, ya han pensado en ella.

    Para un acceso rápido a todas las funciones del cortafuegos, esta la función "dashboard", que muestra una barra de acceso directo a las mas importantes funciones del mismo. Esta barra, por defecto aparece en la parte superior de la pantalla, pero basta con arrastrarla para ponerla donde menos estorbe, o incluso ocultarla.




    BLACK ICE


    Está de moda. Es MUY BUENO, y la única pega que le veo es que por defecto deja el puerto 113 abierto, cuando lo correcto seria que estuviese invisible.


    Tiene como casi todos, la posibilidad de varios niveles de protección y cuando somos escaneados, nos avisa mediante un sonido y un icono parpadeante.


    Nos ofrece cantidad de información sobre los atacantes, casi tanta como HackTracer, y unas estadísticas muy conseguidas de los ataques, detalladas por horas, días y meses.


    Ventajas sobre todos los demás: Su detector de intrusiones permite interceptar datos a velocidades superiores a los 10 Mb/s, sin perdida, pudiendo alcanzar incluso los 100 Mb/s.

    Cierto es que internet no alcanza estas velocidades ni en sueños, pero no hemos de olvidarnos de los ataques a través de red local ni de las líneas T1. Detecta ataques fragmentados, escaneos NMAP, y accedes ON LINE a paginas actualizadas donde te informan de los ataques recibidos. además de proteger nuestro ordenador de ataques externos, protege a los demás ordenadores de ataques desde el nuestro, para lo cual analiza todo tipo de actividad en nuestro ordenador.


    Al igual que HackTracer, analiza a los atacantes tratando de conseguir el máximo de información de ellos, tales como su IP, grupo de trabajo, dirección MAC, y guarda pruebas de los ataques por si fuera necesario demostrar su ocurrencia.


    El consumo de recursos del sistema, es prácticamente despreciable, es muy fácil configurar tanto los permisos como las restricciones de acceso, y el idioma, como de costumbre, es el de los hijos de la gran bretaña.


    Permite trabajar con recursos compartidos, y es recomendable configurarlo en modo paranoico, el modo recomendado por el fabricante, pues hace tiempo se reporto un fallo de seguridad que decían que lo hace vulnerable al BackOrifice.



    CONSEAL PC


    Es un cortafuegos para quien no tenga experiencia en cortafuegos. Esta un poco desfasado, pues parece ser que ha sido comprado por McAfee, y tiende a su desaparición. Al instalarse, copia varios ficheros antiguos, pero Windows te advierte, y se restauran las versiones antiguas que ha copiado Conseal, por las mas recientes que tengas instaladas en tu ordenador.


    Atacado desde internet, todos los puertos aparecen por defecto en modo invisible, a excepción del puerto 113. Mismos resultados para un ataque desde red local. En cada uno de los ataques, un cuadro de dialogo te informa de la IP del atacante u ordenador que quiere conectar con el tuyo, con indicación del puerto y el nombre del servicio, dándote la opción de permitirlo, bloquearlo, ignorarlo, permitirlo o bloquearlo solo durante esta sesión (por si quieres que un amigo con IP dinámica se conecte contigo), mostrarte los detalles del ataque, y explicarte los riesgos. Todo esto lo hace por defecto, sin que tengas que preocuparte en configurar nada.


    Como curiosidad, puedes decirle en el cuadro de dialogo anterior que ya no aceptas mas reglas, atacarte con una herramienta automatizada desde tu red local, y ver como se defiende de los ataques, y a la velocidad que lo hace.


    Si haces click con el botón derecho sobre cualquiera de los ataques, te dice a que dominio pertenece el atacante, intruso, o servicio que quiera conectarse contigo (imagínate hotmail para mostrarte tu correo).



    ESAFE DESKTOP


    Gratuito, y perteneciente a la firma ALADDIN KNOWLEDGE, lo que mas llama la atención de este producto además del idioma castellano, es que inseparablemente del cortafuegos incluye un antivirus, por lo que no tenemos que completar nuestro sistema defensivo con otro producto, todo ello en una perfecta construcción teórica que no sirve para nada. Y no sirve para nada porque es mentira.


    Por favor Aladino, ¿un antivirus que solo reconoce 30.000 virus?. Encima, como casi todos los antivirus, impide que tengas otro instalado, por lo que la solución que adopte durante el mes y medio que lo tuve instalado fue la instalación de otro antivirus en otro ordenador de la red, que me

    escanease toda la red, pues en ese tiempo recibí unos 3 virus diarios, no solicitados, pasando todos ellos tranquilamente por delante del antivirus de Esafe, sin que este dijese "este virus es mío".


    Otro inconveniente: si se te ocurre instalarlo sin haber desinstalado previamente tu antivirus, tu ordenador se reiniciara continuamente como si de los trabajos de Sisifo se tratase, hasta que decidas arrancar en modo a prueba de fallos, y desinstales tu anterior antivirus.


    Seria injusto por mi parte el dejar de reconocer las ventajas del cortafuegos simplemente por un producto no solicitado. Es el unido de la comparativa junto a Terminet, que detecta ataques desde webs maliciosas por el puerto 80 (no olvidemos que somos nosotros quienes hemos abierto la conexión, por lo que el resto de cortafuegos entienden que son los datos que hemos solicitado).


    Por otra parte, durante el primer mes desde la instalación, se auto configura en modo aprendizaje, por lo que prácticamente nos olvidamos de el, salvo por el excesivo consumo de recursos del sistema.


    En este primer mes de aprendizaje, NO actúa en modo cortafuegos, sino que las aplicaciones que recibe, las pone en una especie de cuarentena, por lo que recomiendo pasar del modo aprendizaje.


    Tienes que dedicarle mucho tiempo a aprender su funcionamiento, pero luego serás recompensado, puesto que incluso puedes prohibir el acceso total o parcial a tu ordenador o a determinados directorios, entre otras muchas cosas que no detallo, pues este articulo versa exclusivamente sobre cortafuegos.



    FREEDOM


    Es GRATIS, pero encontrarlo en la red es muy difícil, como todo lo que rodea a su creador Zero Knowledge. Esta empresa ofrece entre otras cosas, navegación anónima a través de cuatro servidores proxy anónimos, ubicados en distintos países no pertenecientes a la Unión Europea, y viajando la información encriptada entre ellos. Si las fuerzas de seguridad de algún estado democrático o no, consiguen una orden judicial, su ejecución es imposible dado que se ignora incluso a que servidor ha sido enviada la información, y por supuesto Zero no colabora voluntariamente con la justicia de ningún país. Si la justicia del Canadá ordenase a Zero que confiese al servidor que remitió la información, las fuerzas de seguridad deberían conseguir otro mandamiento contra otro servidor ubicado en otro país que tampoco colabora voluntariamente, y al final se aburren o prescribe el procedimiento.


    Su instalación es muy fácil, pero por defecto viene como CASI todos los cortafuegos, con los puertos cerrados y el NETBIOS abierto, pero basta con hacer click en la "llama de personal firewall" y desmarcar un par de casillas en "personal firewall behavior", para que todos nuestros puertos pasen al modo invisible.


    Entre otras muchas opciones te permite rellenar por ti los formularios, con datos reales o inventados por ti o aleatoriamente, olvidarte de las ventanas de publicidad de unos 300 anunciantes habituales tipo "Doubleclick", pudiendo añadir los que tu quieras, posee un filtro de cookies, puede escanear el correo saliente buscando texto sensible que no quieras enviar, como tu verdadero e-mail, tu nombre, tu teléfono, puedes protegerlo con contraseña para que nadie salvo tu lo utilice, permite el
    uso de servidores proxy, lleva un registro de conexiones, puede usar múltiples identidades, y en la versión comercial del producto, puedes enviar y recibir correo electrónico encriptado de imposible rastreo (ni siquiera por tu proveedor de acceso a internet), navegación anónima, telnet anónimo y chateo anónimo.


    Cuando esta activo, no se nota, no da la lata con los intentos de conexión que los cuatro desgraciados de siempre intentan, y no molesta con inoportunas ventanas tratando de explicar lo que estos desgraciados intentan. Inconvenientes: el espectacular consumo de recursos del sistema, y el idioma: el de los hijos de la gran bretaña.



    HACKTRACER


    Nos encontramos ante el mas espectacular de los cortafuegos. Cuando recibimos un ataque, tenemos la opción de tracear al atacante pues el cortafuegos incorpora el programa neotrace, que muestra un mapa mundi con la ruta que el ordenador del atacante ha seguido hasta llegar al tuyo, resolviendo también los nombres de los servidores por los que ha pasado.

    En algunos casos, es posible obtener del atacante y de su proveedor de acceso a internet: su nombre, domicilio, teléfono, fax, y si me apuras, hasta el numero de calzado que gasta.


    Su instalación, desinstalación y uso son de lo mas fácil e intuitivo, e incluso dispone de una base de datos mundial donde puedes enviar información del atacante. El uso que fabricante del cortafuegos de a esa base de datos, no lo tengo muy claro, pero en verdad, sinceramente os digo Escarlata O'Hara, que no me importa lo mas mínimo.


    Con la instalación por defecto todos los puertos pasan a modo invisible, por lo que no tenemos que preocuparnos de nada, no siendo excesivo el consumo de recursos del sistema.





    INTERNET FIREWALL 2000


    Al instalarse, te avisa que no funciona en red local. De entrada, por defecto acepta conexiones de la red, no avisa de los escaneos desde ella, y deshabilitar NETBIOS es poco menos que una odisea. Al escanear desde web, responde que los puertos están cerrados, en lugar de invisibles, que seria lo deseable en un cortafuegos, pues para que responda lo mismo que si no tengo cortafuegos, ¿para que lo quiero?.


    Tiene una opción muy buena, que es la de escaneo gratuito de virus por PC-CILLIN, mientras estas conectado a internet. Nada que objetar, pero esto mismo puede hacerse visitando la pagina de PC-CILLIN, de McAFEE o de PANDA, e incluso agregando estas paginas a favoritos.


    En la ayuda, te hacen la clásica exención de responsabilidad, pero en vez de hacerla tímidamente en un lugar inapreciable, estos señores no engañan: es lo primero que te dicen: que no garantizan ningún nivel de seguridad. Así me gustan las cosas: claras, el chocolate espeso, las chicas enrolladas, y los zumos de melocotón.


    Dice que puedes ver las conexiones activas, pero es mentira. No alcanzo a explicarme porque incluyen opciones que no funcionan. Bueno, tal vez no importe mucho, porque para eso ya trae Windows el NETSTAT. Una de las opciones es genial, se han cubierto de gloria. Se llama "Update Windows".

    No me gusta que me lo pongan tan fácil. No voy a comentarlo.


    Lo que si funciona es el bloqueo del escritorio mediante contraseña. De hecho, junto al desinstalador (que te deja un par de carpetas en tu directorio raíz), es lo único que funciona.


    Resumiendo: otro producto malo, que no merece llamarse cortafuegos, pero por el que piden 70$ USA. Eso si, van a la vanguardia en cuanto a la versión shareware, la limitan a 15 días, pero por lo menos no hay que preocuparse, con 15 minutos son suficientes para darse cuenta que no es precisamente lo que necesitamos.



    INVATION 2000


    Es una burda copia de VIRUS MD (hasta en el icono), y al igual que este, MUY MALO. Para no repetirme, sirva para este simulacro de aspirante a aprendiz de auxiliar de cortafuegos, todo lo que mas adelante diré sobre VIRUS MD, pero exagerándolo, porque este si que es malo, malo de solemnidad.


    No instalarlo, salvo para pasar un rato agradable viendo como te atacan, porque es para lo único que sirve.


    MCAFEE FIREWALL


    MUY IMPORTANTE: Sin entrar en pormenores pues no quiero líos con McAfee, antes de instalarlo, ten a mano el parche e instálalo también. Insisto: cuando lo descargues, descarga el cortafuegos y el parche, que por cierto están en paginas distintas de su sitio web, supongo que con objeto te molestes un poco y lo visites entero.


    McAfee me ha defraudado con este producto. Llevo años usando su antivirus, e imaginé su cortafuegos con la misma o parecida calidad. Esperaba me avisase de los controles ActiveX, aplicaciones Java malignas o cookies, pero no ha sido posible.


    En la instalación inicial, aparentemente queda todo instalado y bien configurado. Le hacemos la prueba con un ataque simulado, y resulta que dice que los puertos están cerrados, y el 139 abierto.

    Posteriormente, tras una configuración ya en condiciones, los pone en modo invisible. Respecto a la red local, es imposible configurarlo para un no iniciado. No avisa de quien te esta atacando para que tu hagas lo que creas que debes hacer. (Atacarlo tu, que te crees mejor que el, llevar un registro de ataques, denunciarlo).


    Por defecto, permite que otros equipos entren a nuestro ordenador con NETBIOS sobre TCP/IP desde Internet, pero no desde la red local. Están locos. Debería estar configurado por defecto, justo al revés.


    También permite que otros equipos puedan conocer nuestra identidad. Puede que sea para evitar problemas con sus clientes, ya que algunos sistemas necesitar identificarnos antes de permitirnos acceder a sus servicios.


    En la documentación dice que puedes descargar UNA actualización en los 90 días siguientes a la fecha de compra del producto, y que transcurrido este plazo, no tienes ningún derecho a nada (articulo 3 de la licencia). Sin embargo, algunos distribuidores locales de Málaga dicen que basta con comprar el software para que tengas derecho a actualizaciones ilimitadas.

    Honradamente, yo creo lo que dice la licencia, que miente sin ruborizarse. Quien compre a un distribuidor, el cual no podrá cumplir su palabra, probablemente nos remita o haga el en nuestro nombre, una visita al señor Astalavista.


    La desinstalación es odiosa. Dado que carece de desinstalador, hemos de usar la opción de "agregar o quitar programas" del panel de control. Como al instalarlo crea ficheros en el directorio temporal de Windows, y al desinstalarlo no los encuentre, no se desinstala, pero tampoco funciona. Es decir: consume recursos gratuitamente, sin ofrecernos nada a cambio.


    Creo que McAfee Firewall te ofrece una falsa sensación de seguridad, lo que a mi humilde entender es mucho peor que saber que estas totalmente desprotegido, máxime cuando encima, te bloquea tu red local. Es decir, tu antes compartías tus recursos con tus ordenadores y con los desconocidos.

    Ahora, solo con los desconocidos. ¿El mundo al revés?.


    Hay otra opción, que sinceramente no he probado: la instalación de otro producto de McAfee también, claro, que se llama GuardDog, y que se supone que complementa al firewall. Otro producto, otra licencia, volver a pagar.


    Desde otro punto de vista este cortafuegos es el mejor para nuestros enemigos, pues les permite pasearse por nuestros ordenadores como si tal cosa.


    No funciona en Windows 2000.



    NORTON PERSONAL FIREWALL


    Al instalarlo, es un detalle el que permita imprimir la hoja de registro. Luego queda a nuestro criterio que ellos sepan o no, que estamos evaluando su software. Lo primero que tenemos que preparar con este cortafuegos, es mucha RAM, porque toda la que encuentra se la come. Con 32 Mb va muy, muy lento, y los recursos bajan escandalosamente. Con 64 Mb la cosa no mejora

    mucho, por lo que recomiendo 128 Mb o mas.


    Por defecto, viene configurado con un nivel de seguridad medio, y te explica que es el adecuado para una navegación normal en internet (¿que entenderán ellos por normal?. Para mi es normal visitar las paginas de las legiones del underground o del virus café, y volver cargado de virus y troyanos). Atacado el ordenador vía internet, muestra cerrados los puertos 113 y 139, dejando el resto en modo invisible. No obstante, muestra el nombre de la maquina.


    Como me va la marcha lo pongo en modo seguridad alta, y al atacar el ordenador desde internet, los puertos siguen como antes, pero la velocidad de navegación es desastrosa. Antes salía un reloj de arena. Ahora, además del reloj, aparece un desierto de arena, un camello, un oasis, una jaima, y así sucesivamente, hasta que el servidor me dice que tururú: que voy muy lento y que me echa. Lo que hemos cambiado en el modo seguridad alta son los applets de Java y los controles ActiveX, algo que podríamos haber hecho tranquilamente desde las opciones de seguridad del navegador.


    En red, permite trabajar normalmente, sin necesidad de andar configurando reglas especiales (que se pueden hacer, ojo).


    Las estadísticas son las que esperaba de un producto marca Norton: día, fecha, hora, URL o IP del atacante, puerto atacado, las URL que hemos visitado, y los días y horas en que hemos iniciado sesión. El parecido con las estadísticas que reporta AT GUARD, es sospechoso. De hecho, están las mismas, en el mismo orden, con las mismas opciones y las mismas casillas de verificación.

    Puestos a elegir, con menos de 32 Mb de RAM, me quedo con AT GUARD, con mas de 64, Norton, aunque también depende de la experiencia de quien lo necesita. Como facilidad, NORTON sobre casi todos los demás.


    Respecto a la privacidad, tiene un filtro tipo FREEDOM para la información confidencial (que no funciona si lo envías por correo electrónico), y una opción para poner a prueba nuestros nervios aceptando o denegando cookies (para luego tenerlas que aceptar porque caso contrario la web no nos deja continuar).




    PROTECT X


    Este fue el primer simulacro de cortafuegos que probé hace años ya, y le tengo cierto cariño, a pesar de la omnipresencia de RADIATE - AUREATE recolectando mis datos personales y mostrándome publicidad no solicitada.

    Claro que en esa época, algo parecido a un cortafuegos como es Protect X, me parecía un lujo.


    Entre sus principales defectos, nos encontramos con la apertura de los puertos 1, 21, 23, 80, 1080, 12345, 8080 y 31337, además del ya habitual 139. El resto los da como cerrados. Bien es cierto que en el 1080 y en el 8080 responde que están protegidos por Protect X. Lo mismo hace con los puertos troyanos 12345 y 31337. Yo esto lo considero una chulería, una fanfarronada, y un tratar de ponerse medallas. Dime de que presumes y te diré de lo que careces.


    Desde red local puedes atacar tranquilamente, que el cortafuegos lo único que se limita es a tomar nota de que te has conectado, y el puerto.


    Te facilita la información de registro de la IP del atacante mediante el "whois" de ripe.net, pero si le das una IP falseada o de red local, los resultados son cuanto menos, pintorescos. No te fíes.


    Protect X, NO es un cortafuegos, sino un simple programita que se dedica a informarte de quien entra en tu ordenador, y su IP, sin que puedas hacer nada por evitarlo.



    SYGATE FIREWALL


    ¡Que alegría!. Otro cortafuegos gratuito y con una interfaz futurista muy conseguida, que haría seguramente las delicias de mi amigo Zelatul. Por defecto, viene configurado con un nivel de seguridad alto. En este nivel, tanto en ataques a través de internet como en ataques en red local, el cortafuegos no es gran cosa. No quiero ni pensar lo que ocurriría si lo ponemos en nivel medio, o en nivel bajo.


    Lo ponemos en nivel ULTRA, y repetimos las pruebas, consiguiendo unicamente que nos pase el puerto 80 de cerrado a invisible. El 139-NETBIOS por ejemplo, digo yo que debe pensar que no constituye un agujero de seguridad.


    Sin embargo, y si contamos con un poquito de experiencia y dominio del idioma de los hijos de la gran bretaña, podemos hacer un montón de cosas con este producto, como permitir acceso a pcAnywhere, a redes privadas virtuales, a determinadas IP, enviar un correo electrónico caso de ataque, permitir o denegar el acceso a internet para determinadas aplicaciones, bloquear el acceso a internet en determinado horario, o incrementar la seguridad cuando esta activo el salva pantallas.



    Los logs de actividad brillan por su ausencia y la ayuda te remite a su web, donde te recomiendan su producto, después de demostrarte que su producto es inseguro.



    TERMINET


    Otro cortafuegos en idioma castellano. Al instalarlo, nos pregunta si queremos que los puertos pasen a modo invisible. Un buen detalle. Tras reiniciar el equipo, nos muestra un recordatorio durante 30 días para que nos registremos o compremos el producto. No tantas prisas: primero vamos a evaluarlo.


    Nos atacamos vía internet, y me llevo una sorpresa: según las herramientas de ataque, con unas aparecen todos los puertos en modo invisible, y con otras, aparecen todos los puertos cerrados, excepto el 139-NETBIOS, que aparece abierto. Intento conectarme y es imposible, por lo que he de entender que ha sido un falso positivo de mis herramientas de ataque. La primera vez que me pasa. Se hace realidad el viejo dicho del "todo pasa y todo llega".


    Atacándome desde red local, lo mismo, todo en modo invisible, pero permite continuar trabajando normalmente.


    Sin embargo, NO supera el leak test de grc, por lo que cualquier troyano que tengamos, podría conectarse tranquilamente con su autor para pedir instrucciones.


    Durante los ataques, el cortafuegos no nos molesta. Podemos continuar trabajando, jugando o chateando (hay gente pa tó), sin recibir los molestos informes de otros cortafuegos advirtiendo de tal o cual amenaza, salvo que vía web por el puerto 80, nos encontremos con paginas maliciosas que intenten hacer otra cosa, en cuyo caso se nos informa de los motivos por los que no se nos muestra la pagina.

    La primera vez que accedemos al cortafuegos, hemos de suministrarle una contraseña de al menos 6 caracteres, y a partir de aquí, siempre se la habremos de indicar.


    Respecto a la configuración por defecto, no es necesario tocarla para estar protegidos, pero si lo deseamos podemos definir reglas normales o avanzadas por URL, direcciones IP, puertos, horas, días, visualizar el trafico, crear listas negras y listas blancas de direcciones web, y perfiles individuales o de grupos.


    La ayuda, en castellano, es muy completa, e incluso disponemos de un manual en formato *.pdf


    Desinstalarlo ya es otra cosa, pues no aparece en "agregar o quitar programas" del panel de control, ni tiene ningún desinstalador en su directorio, por lo que habremos de usar el mismo archivo de instalación para desinstalarlo.


    Es un cortafuegos muy bueno, muy fácil de utilizar, y en castellano.


    Recomendado.



    TINY


    Instalándose, es un liante. Me lo acabo de descargar de su pagina, y al instalarlo me dice que hay una versión nueva (¿y como lo sabe si lo acabo de bajar?). Le digo que no, y me muestra un nuevo cuadro de dialogo al mas puro estilo Windows recordándome que para actualizarlo tendré que desinstalar esta versión. Casi pico.


    Al reiniciar, se mete el solito en el registro, como un servicio. Ideal, porque con eso carga antes incluso que accedamos al sistema. No obstante, te permite la ejecución de forma manual (solo Dios y tu sabréis los motivos).

    La configuración por defecto, es un nivel medio de seguridad, con lo que pone todos los puertos en modo invisible, y resistió todos los ataques que le hice desde internet y desde red local, incluyendo el leak test de grc. Permitió seguir trabajando con mi red local.


    Puede ser configurado mediante contraseña, y permite la administración remota, incluso para los logs y estadísticas. Apenas consume recursos del sistema, y es de lo mas fácil que me he echado a mi monitor TFT.


    Parece muy simple en comparación con otros, y lo es. Lo que le tenemos que pedir a un cortafuegos es precisamente eso: facilidad de uso y efectividad ocultándonos en la red. Este producto lo cumple a la perfección.


    Encima, es GRATIS, para su uso personal. Ocupa menos de 1 Mb, algo irrisorio en comparación con los 10 Mb de Esafe, McAffe o Norton. Si no fuera por el idioma, seria completo.



    Producto recomendado.



    VIRUS MD



    Como dirían los amigos del Criptonomicon, nos encontramos con "aceite de serpiente". Te lo anuncian como la solución definitiva, un programa, y cito textualmente: QUE TE DA EL PODER DE COMBATIR A LOS HACKERS ( ¡a saber lo que entienden ellos por hackers, y a saber lo que entienden ellos por poder ! ). Me parece que han visto muchas películas.


    Aceite de serpiente era lo que vendían los vociferantes pregoneros-vendedores ambulantes de las películas del oeste, algo parecido a la piedra filosofal, el bálsamo de Jericó o la panacea universal. Todo lo solucionaba el aceite de serpiente. Al día siguiente, el pregonero ya se había marchado del pueblo, claro.




    Te lo anuncian como el presunto cortafuegos mas fácil de utilizar, y están en lo cierto. No hace falta que hagas nada. Inconvenientes: el programa tampoco hace nada. Eso si, guarda un fichero de texto con los ataques que recibes (y que se sobrescribe cuando intentas guardar los nuevos). Mejor dicho, con los ataques que el presunto cortafuegos detecta, porque el 90% de ellos ni los huele.


    Para proteger el puerto 139-NETBIOS, lo mejor que puedes hacer con este presunto cortafuegos, es tener fe, y recitar con vehemencia el "jesusito de mi vida", porque es la única forma de hacerlo. Ya se que no es muy eficaz, por lo que te propongo otra: girarte, apoyarte contra la pared y llorar
    amargamente.


    Tiene una opción denominada "kill applications" que muestra y permite cerrar los procesos actualmente en ejecución. Hombre, no estaría mal si mostrara la realidad (no coinciden sus resultados con los del Dr. Watson), por ejemplo.

    En cuanto a cerrar, efectivamente, los cierra. Es algo que me sorprendió: una opción de este presunto cortafuegos que realmente hace lo que dice hacer.


    Otra de las opciones es un escáner de puertos propios, y que tampoco coincide con los que muestran mis escáneres favoritos. también dispone de un listado con los puertos habituales de los troyanos. Digo yo, y digo bien: Si lo único que hace es mostrar el listado, ¿no seria mejor un simple fichero de texto?


    Como nota curiosa, escaneas tu maquina antes y después de instalar este presunto cortafuegos, y resulta que después tienes mas puertos abiertos.


    El examen de este presunto cortafuegos fue un autentico desastre. No oculto los puertos habituales, ni siquiera el NETBIOS, e incluso acepto conexiones en alguno de ellos. En cuanto a los ataques en red (a l0 Mb/s), se colgaba inexplicablemente. El mensaje al atacante solo se envió una vez, y a partir de ahí fue imposible conseguir que volviera a enviar otro.




    WIN ROUTE PRO


    EL MEJOR, con mucha diferencia sobre todos los demás. Si bien estrictamente NO es un cortafuegos, sino un servidor proxy que permite que otros ordenadores se conecten a internet a través del nuestro, incluye indirectamente un cortafuegos que cierra todos los puertos a internet (salvo que le digamos lo contrario), y permite conexiones de nuestra red interna, pudiendo filtrar las conexiones de origen y de destino, tanto entrantes como salientes.


    Por supuesto, lo podemos y debemos proteger con contraseña, permite administración remota, y podemos y debemos cambiarle el puerto por defecto, por obvios motivos de seguridad.

    No consume apenas recursos del sistema, y como proxy, no es necesaria la instalación de software alguno en los ordenadores que accederán a internet a través del nuestro.


    Tal y como se instala, NO hace falta hacer nada para tener el ordenador inmediatamente protegido y todos sus puertos en modo invisible salvo que nos ataquen con otro WinRoute, pero no esta diseñado ni preparado para ello. Habría que hacer un ataque manual de fuerza bruta.



    Recomendado.

    ZONE ALARM


    Gratuito. Todo un clásico en el mundo de los cortafuegos, que no solo permite detectar todos los accesos desde internet permitiendo solo el trafico que hayas iniciado o estés esperando, sino que además te da el control de los programas que intentan acceder a internet, como por ejemplo un programa tipo Spyware que bien podría ser un visor de imágenes, y lo hace para enviar información tuya, y a la vez mostrarte publicidad adecuada a tus gustos o preferencias de navegación por internet.


    Lástima que este en el idioma de los hijos de la gran bretaña, pues es un gran producto totalmente personalizable: puedes seleccionar los niveles de protección tanto en red local como para internet, bloquear o permitir acceso a internet a las aplicaciones, bloquear el acceso a internet tras un determinado tiempo con o sin actividad en tu ordenador.


    Es fabuloso contra los troyanos, pues impide su acceso a internet, aun cuando no intenten conectarse por sus puertos habituales.


    BAJO LINUX MEJOR QUE MEJOR Y GRATUITO

    Con una pequeña maquina de solo 32 megas de RAM y 133 Mhz podemos acernos nuestro propio firewall baja linux, bastaria con compilar el siguiente script. Se trata de un sencillo pero efectivo programa, la mayor ventaja es la economia ya que tanto el SO como el programa son gratuitos.


    #!/bin/sh

    # Definimos las variables

    export ROUTER=194.100.xxx.1
    export WEBSERVER=194.100.xxx.66
    export DNS=194.100.xxx.67
    export CORREO=194.100.xxx.68
    export FTP=194.100.xxx.69
    export PROXY=192.168.xxx.2
    export MIRED=192.168.xxx.0/255.255.255.0
    export ALL=0/0

    # levantamos las interfaces

    ifconfig eth0 194.100.xxx.2 netmask 255.255.255.192
    ifconfig eth1 194.100.xxx.65 netmask 255.255.255.192
    ifconfig eth2 192.168.xxx.1 netmask 255.255.255.0

    # añadimos las rutas

    route add -net 194.100.xxx.64 netmask 255.255.255.192 dev eth1
    route add -net 192.168.xxx.0 netmask 255.255.255.0 dev eth2
    route add -host $ROUTER dev eth0
    route add default gw $ROUTER

    # Empezamos con la política

    # Denegamos el forwarding por defecto
    # ipfwadm --> comando de firewall, -F forwarding , -p politica

    ipfwadm -F -p rej

    # aceptamos entrada y salida de correo

    ipfwadm -F -a acc -S $ALL -D $CORREO 25 -P tcp
    ipfwadm -F -a acc -D $ALL -S $CORREO 25 -P tcp -k

    ipfwadm -F -a acc -S $CORREO -D $ALL 25 -P tcp
    ipfwadm -F -a acc -D $CORREO -S $ALL 25 -P tcp -k

    # aceptamos la recogida de correo desde la red interna

    ipfwadm -F -a acc -S $MIRED -D $CORREO 110 -P tcp
    ipfwadm -F -a acc -D $MIRED -S $CORREO 110 -P tcp -k

    # aceptamos petición y consultas de DNS

    ipfwadm -F -a acc -S $ALL -D $DNS 53 -P tcp -b
    ipfwadm -F -a acc -S $ALL -D $DNS 53 -P udp -b

    # aceptamos peticiones de FTP

    ipfwadm -F -a acc -S $ALL -D $FTP 21 -P tcp
    ipfwadm -F -a acc -D $ALL -S $FTP 21 -P tcp -k
    ipfwadm -F -a acc -S $FTP -D $ALL 20 -P tcp
    ipfwadm -F -a acc -D $FTP -S $ALL 20 -P tcp -k

    # aceptamos hacer masquerade desde el proxy

    ipfwadm -F -a acc -S $PROXY -D $ALL -m

    # Para loguear el resto de peticiones. Los logs se guardan en /var/log/messages
    # Si no se desea loguear comentar la siguiente línea.

    ipfwadm -F -a rej $ALL -D $ALL -o

    # Fin del fichero de configuración.

    DE QUE NO PROTEGE UN FIREWALL

    A pesar de todas sus virtudes y ventajas, los cortafuegos no suponen la solución definitiva a todos los problemas de seguridad. Existen amenazas fuera del alcance del cortafuegos, contra las cuales deben buscarse otros caminos de protección. Veamos los tipos de ataques.

    Ataques desde el interior. El mayor número de ataques informáticos y de robos de información es perpetrado por gente de la propia organización, empleados desleales o espías infiltrados. Sería absurdo creer que el cortafuegos le protegerá frente a filtraciones de información. Resulta mucho más sencillo y práctico copiar la información confidencial de interés a un disquete o a un CD-ROM y salir con él en el bolsillo. La filtración de información no tiene por qué ser deliberada: a menudo los usuarios más ingenuos caen víctimas de ataques de ingeniería social y revelan confiadamente contraseñas de acceso y otros secretos.

    Ataques que no pasan por el cortafuegos. Los accesos vía módem a ordenadores de la red no son filtrados por el cortafuegos, por lo que nada puede hacer en estas situaciones. Se los conoce como puertas traseras a la red, ya que permiten entrar sin pasar por la puerta principal (el cortafuegos). Representan una de las formas favoritas de intrusión de hackers en redes fuertemente protegidas. La política de seguridad debería recoger claramente este punto, ya que se trata en muchos casos de un problema de educación del personal.

    Infección de virus sofisticados. A pesar de la protección antivirus y de contenido malicioso que proporcionan algunos cortafuegos, la variedad de plataformas y redes, la diversidad de codificaciones de ficheros binarios y la mutabilidad de los virus, vuelven esta labor extraordinariamente difícil. Por este motivo, la defensa antivirus nunca se debería concentrar exclusivamente en el cortafuegos (defensa perimetral), sino que debería extenderse a todas las máquinas de la red (defensa en profundidad), que deberán contar con su software antivirus debidamente actualizado. En materia de virus, el cortafuegos debe considerarse solamente como una primera línea de defensa, nunca como la barrera absoluta.

    Ataques basados en datos. Existen ataques basados en fallos en programas que se ejecutan en el servidor, como sendmail o ghostscript, o programas en CGI diseñados para comercio electrónico o gestión de datos. Dado que muchos de ellos se acceden a través de protocolos permitidos por el cortafuegos, éste se ve impotente a la hora de impedir que se lleven a efecto. Para una descripción más detallada (véase el recuadro Ataques por la puerta grande).

    Ataques completamente nuevos. El ingenio de los hackers siempre corre un paso por delante de los diseñadores de aplicaciones de protección. Con el tiempo, descubren nuevas formas de ataque utilizando servicios considerados seguros o inventando ataques que no se le habían ocurrido a nadie antes. Aunque los buenos cortafuegos protegen de los ataques conocidos y otros aún por descubrir, no son un pasaporte de seguridad total para siempre.

    ATAQUES POR LA PUERTA GRANDE

    Aunque parezca mentira, muchos ataques se producen por la puerta grande, explotando errores tan obvios que ni los expertos en seguridad sospechaban de su existencia. Se trata de olvidos o descuidos en la programación en HTML, JavaScript, CGI o ASP.


    Muchos autores de programas CGI no son conscientes de que el programa que escriben se ejecutará en un servidor Web, al que accederá cualquier persona, introduciendo cualquier entrada, incluso las insospechadas, para las que el programa no está preparado. El no tener la seguridad en mente a la hora de escribir un programa CGI puede tener consecuencias desastrosas, pero ¿cuántos programadores están preparados para el reto? Un descuido puede permitir a un atacante desde husmear el contenido de archivos del servidor, hasta ganar acceso de administrador al sistema. Dentro del capítulo de CGI, se puede incluir a los Server Side Includes (SSI), que permiten toda clase de trucos para llegar a ejecutar comandos arbitrarios o listar el contenido de ficheros seleccionados.

    Por otro lado, los formularios en páginas web, tal vez debido a su sencillez de programación en HTML, resultan muy descuidados. Es común que no se comprueben las longitudes de las entradas de los usuarios, que a veces, deliberadamente o no, serán inusualmente largas, provocando un fallo del programa que debe procesarlas. En el caso peor, se podría producir una caída del servicio o un desbordamiento de pila utilizable para ejecutar comandos arbitrarios en el servidor, mientras que en otros casos se puede revelar indeseadamente el nombre de algún programa o fichero de datos, información sobre la estructura de directorio del servidor, software utilizado, y otros datos parecidos, valiosos en manos de un atacante. Otros errores comunes consisten en la utilización de campos ocultos en formularios para asignar el valor a ciertas variables, como por ejemplo el precio de un producto. La manipulación del formulario y de dicha etiqueta resulta trivial usando cualquier editor de texto, permitiendo que cualquier atacante pueda modificar a voluntad el valor de estos campos. Si no existe una programación en el servidor que contraste los datos enviados desde el formulario, el comercio virtual puede experimentar grandes pérdidas.

    Los URL también pueden explotarse para obtener información acerca de otros usuarios. A menudo, los programadores creen que una página sólo será accedida desde otra página anterior o un formulario. Pero un atacante podría crear un URL, escribiéndolo directamente en la ventana de dirección, e intentar acceder a algún recurso protegido, como los datos de clientes o bases de datos confidenciales, saltándose los filtros del programador, que se encontraban en la página anterior.

    Nuevos ataques están proviniendo de la utilización de etiquetas en JavaScript, que se incluyen en ventanas que se presentan al cliente en un formulario para que introduzca un texto, como su opinión acerca de un producto o la descripción de las características de un cierto artículo. El usuario medio introducirá texto sencillo, mientras que el avezado intentará introducir incluso programas en JavaScript, que a veces pueden llegar a ejecutarse en la página web del comercio cuando la visite el siguiente cliente. Un truco común en este caso es la petición al siguiente usuario de su nombre y contraseña, que confiado los introduce sin reservas, pasando así a ser conocidos por el atacante.

    En resumen, existe toda una serie de ataques ingeniosos basados exclusivamente en la Web, que no hacen uso de sofisticadas herramientas de hacking para saltarse el cortafuegos, ni requieren grandes recursos computacionales, ni explotan características de protocolos de difícil conocimiento. Utilizan la puerta grande. Se llevan a cabo rellenando formularios y escribiendo los URL de manera ingeniosa. La única herramienta que precisan es un navegador. Por lo tanto, pasan a través de todos los controles estándar de filtrado de paquetes y de control de contenido del cortafuegos, al ser ataques disfrazados tras el tráfico Web permitido.

    CONCLUSIÓN

    La configuración operación y mantenimiento de las políticas de seguridad de un firewall y la compartición de conexión a internet debe considerarse un asunto crítico dentro de la política de seguridad de red de una organización. Su adecuada gestión puede ser la clave de la reducción y el control del riesgo en el uso de los servicios de red.

    Administrar una red puede ser un trabajo tedioso si el sistema operativo que utilizamos tiene grandes problemas de seguridad. La red además de software se compone de hardware y cablería. Administrar una red con Linux es fácil. Hay que tener en cuenta los objetivos de la red. Una red con Linux es seguridad, robusta, costo-eficiente.