UNIVERSIDAD FRANCISCO GAVIDIA

FACULTAD DE INGENIERÍA EN SISTEMAS

MATERIA:
INFRAESTRUCTURA DE SERVIDORES.

GRUPO: 01

TEMA:
Trabajo período 3 Firewalls, grupo 14

CÁTEDRATICO:
Ing. Jorge Minero Chávez .

ESTUDIANTES:
Óscar Vladimir Amaya Fuentes (C) AF100817
Rafael Adalberto Castro Castillo CC105010
Javier Armando García Quinteros GQ100110

Domingo, 15 de octubre del 2020

2
 Índice.

Indice...................................................................................................................................2
Introducción........................................................................................................................3
Objetivos.............................................................................................................................4
Conceptos............................................................................................................................5
FIREWALL........................................................................................................................7
Servicio implementado.....................................................................................................11
Requisitos para su instalación...........................................................................................12
Sitio donde se descarga.....................................................................................................13
Dificultades que se presentaron a la hora de implementar el proyecto.............................14
Evidencia de la implementación realizada........................................................................15
Aspectos de la seguridad informática de PfSense.............................................................20
Conclusiones.....................................................................................................................21
Recomendaciones..............................................................................................................22

2
 Introducción.

Hoy en día escuchamos muy a menudo acerca de los firewall o

cortafuegos, pero, ¿que será esta palabra?, ¿Qué significa?, y ¿para
que se usan? ok, en esto entraremos en detalle.

Cuando hablamos de firewall hablamos de seguridad, y para una

organización esto es un tema muy importante para conectar sus redes
a la internet. Ojo sin tomar en cuenta el tipo de negocios en este último
año se ha incrementado el numero de usuarios de redes privadas y
eso se debe por la demanda del uso de servicios de internet, tal como
lo es WWW, email, telnet, y FTP.

Un firewall es un elemento, ya sea hardware o software, que se utiliza

en una red de equipos informáticos para controlar las comunicaciones,
permitiéndoles o prohibiéndoles según la política de nuestra red que
haya definido nuestra organización donde trabajemos.

También puede ofrecer un control de acceso a los sitios web, ya sea

autorizándolos o permitiéndoles.

Frecuentemente con los firewalls se hace mucho énfasis con la

seguridad interna y externa, pero mas la interna.

2
 Objetivos.
Objetivo General:

Conocer que son y para qué sirven los firewalls (Contrafuegos), sus
características, funciones y los tipos de firewall que existen. Además,
mostrar la importancia del trabajo que estos desempeñan en la
seguridad dentro de nuestra red.

Objetivos Específicos:

Dar a conocer las diferentes opciones que hay en la actualidad a las

cuales podemos optar según la necesidad que tengamos.

Implementar un firewall de software llamado PfSense, dando a

conocer de forma breve sus características requisitos de instalación y
configuración.

2
 Conceptos.
DHCP: servidor de red que permite la asignación automática de
direcciones ips.

DNS: sirve para resolver nombres en las redes, y tener una mejor
comunicación entre humanos y computador.

Firewall: es un elemento, ya sea hardware o software, que se utiliza

en una red de equipos informáticos para controlar las comunicaciones,
permitiéndoles o prohibiéndoles según la política de nuestra red que
haya definido nuestra organización donde trabajemos.

LAN: conexión de dispositivos dentro de un área especifica.

MAN: es una red de alta velocidad que le da cobertura a toda un área

metropolitana.

Modelo OSI: dicho modelo se preocupa de la administración de los

puertos, y establece diferentes capas.

NFS: es un protocolo a nivel de aplicación del modelo OSI, y se utiliza

en los sistemas de archivos distribuidos en un entorno de red local.

PfSense: distribucion implementada para poderse utilizar como

firewall, y enrutador, es de código abierto, su sistema operativo esta
basado en FreeBSD.

PPPoE: es un protocolo de encapsulación sobre una capa de internet

y se utiliza para proveer conexión de banda ancha.

Puerto de red: ranura que porta una computadora que tiene la

capacidad de introducir un cable de red.

Puerto: Interfaz por medio de la cual se pueden enviar y recibir los

mensajes dentro de una red.

P0F: herramienta muy avanzada pasiva de huellas digitales.

2
TCP: protocolo de control de transmisión, es el que se encarga de
garantizar que los datos sean entregados de forma correcta y sin
errores por medio de una red.

UDP: protocolo de datagramas de usuario, es un protocolo orientado a

mensajes que permite el envío de datagramas sin necesitad de una
conexión a internet previa.

VPN: es una tecnología de red, que conecta a una o más

computadoras a una red de carácter privado utilizando internet.

WAN: Wide Area Network, como su nombre lo indica en ingles, estas

redes se extienden en áreas de gran proporcionalidad y tamaño, y sin
capaces de conectar redes LAN o redes pequeñas, o redes MAN
(Metropolitan Area Network).

2
 FIREWALL
Un firewall es un dispositivo que se encarga de gestionar y filtrar el
trafico entrante y saliente dentro de una red aplicando políticas
restrictivas en el control de acceso a la información en una red.

En un principio, los firewall inspeccionaban los paquetes de datos los

cuales se evaluaban para ver si coincidían con grupos de reglas
preestablecidas, con la opción de reenviar o descartar paquetes. Este
tipo de filtrado de paquetes, llamado stateless, funciona sin importar si
el paquete es parte de un flujo de datos existente. Cada paquete se
filtra de manera similar a una ACL, basándose exclusivamente en los
valores de los parámetros contenidos en el encabezado del paquete .

Los firewalls sin estados no son dispositivos autónomos, la

funcionalidad de firewall es proporcionada por los routers o servidores
de la red.

Los firewalls con estados filtran los paquetes basándose en la

información extraída de los datos que fluyen y se almacenan en él.
Este tipo de firewall stateful es capaz de determinar si un paquete
pertenece a un flujo de datos existente. Las reglas estáticas, como las
de los firewalls stateless, son suplementadas por reglas dinámicas
creadas en tiempo real para definir estos flujos activos. Los firewalls
con estados ayudan a mitigar ataques de DoS que explotan
conexiones activas a través de dispositivos de red.

Características de los firewalls

Algunos de los beneficios del uso de los firewalls en una red pueden
ser:

 Previenen la exposición de los hosts y las aplicaciones sensibles

a usuarios no confiables.
 Examinan el flujo de datos de los protocolos, previniendo la
explotación de fallos en los mismos.
 Puede bloquearse el acceso de datos maliciosos a servidores y
clientes.
 Hace que la aplicación de una política de seguridad se torne
simple, escalable y robusta.

2
  Mejora la administración de la seguridad de la red al reducir el
control de acceso a la misma.

Limitaciones de un firewall:

 Si está mal configurado, el firewall puede tener consecuencias

serias.
 Muchas aplicaciones no pueden pasar a través del firewall en
forma segura.
 Los usuarios pueden intentar buscar maneras de sortear el
firewall para recibir material bloqueado, exponiendo la red a
potenciales ataques.
 El rendimiento de la red puede disminuir.
 Puede hacerse tunneling de tráfico no autorizado o puede
disfrazárselo como tráfico legítimo.

Tipos de firewalls

Hay varios tipos de firewall en el mercado, muchos de estos realizan

tareas especificas para los cuales debemos tomar en cuenta varios
aspectos a la hora de elegir entre uno u otro. Es muy importante
realizar un análisis de los posibles riesgos contra el costo ya que no
siempre la solución más costosa es la más adecuada.

Sin importar la solución que se tome en la adquisición de un firewall es

importante contar con un diseño de red apropiado para el desarrollo
exitoso del firewall.

Entre los tipos de firewall podemos encontrar los siguientes:

Firewall de filtrado de paquetes: trabajan principalmente en la capa

de Red del modelo OSI y generalmente se los considera dispositivos
de capa 3. Sin embargo, analizan tráfico basándose en información de
capa 4 como protocolo y números de puerto de origen y destino. El
filtrado de paquetes utiliza las ACL para determinar si permite o
deniega tráfico basándose en direcciones IP de origen y destino,
protocolo, tipo de paquete y números de puerto origen y destino. Los
firewalls de filtrado de paquetes generalmente son parte de un router
con funcionalidad de firewall.

2
Stateful firewall: los firewalls con estados son la tecnología de firewall
más versátil y común en uso actualmente, están clasificados como de
capa de red. Proporcionan filtrado de paquetes con estados utilizando
la información de conexiones establecidas, almacenadas en una tabla
de estados. Los firewalls con estados usan dicha tabla para
monitorizar el proceso de comunicación. El dispositivo examina la
información en los encabezados de paquetes de capa 3, aunque, para
algunas aplicaciones, también puede analizar tráfico de capas 4 y 5.
Cada vez que se accede a un servicio externo, el firewall stateful
retiene ciertos detalles de la solicitud y guarda el estado de la solicitud
en la tabla de estados. Dicha tabla contiene las direcciones de origen y
destino, los números de puertos, información de secuencias TCP y
etiquetas adicionales por cada conexión TCP o UDP asociada con esa
sesión particular. Cuando el sistema externo responde a una solicitud,
el firewall compara los paquetes recibidos con el estado previamente
almacenado para permitir o denegar el acceso a la red. El firewall
permite la entrada de datos solo si existe una conexión apropiada que
justifique su paso.

Proxy firewall: filtra según información de las capas 3, 4, 5 y 7 del

modelo de referencia OSI. La mayoría del control y filtrado del firewall
se hace por software.

Firewall de traducción de direcciones (NAT): aunque la inspección

con estados proporciona velocidad y transparencia, los paquetes
dentro de la red deben poder salir de la red. Esto puede exponer las
direcciones IP internas a potenciales atacantes. El NAT firewall
aumenta el número de direcciones IP disponibles y oculta el diseño del
direccionamiento interno de la red. La mayoría de los firewalls y
servidores proxy llevan incorporada, para mayor seguridad, la
traducción de direcciones de red.

Host-based firewall: el firewall basado en hosts ejecuta un software

de firewall tanto para un servidor como para un ordenador personal.

Transparent firewall: el firewall transparente filtra el tráfico IP entre

dos interfaces conmutadas.

2
Hybrid firewall: es una combinación de varios tipos diferentes de
firewalls. Un firewall híbrido puede funcionar combinando un firewall
con estados y un firewall de gateway de aplicación.

Cuando hablamos de un firewall de hardware nos referimos a un

dispositivo físico. Es una opción mucho más cara, lógicamente. Su
finalidad es, como hemos mencionado, bloquear aquellas conexiones
que puedan ser peligrosas. Una manera más de proteger nuestra
privacidad y seguridad.

En cambio un firewall de software es un programa informático. Es

mucho más barato o incluso gratuito. Existen múltiples opciones que
podemos instalar en todo tipo de sistemas operativos y dispositivos.

Si nos preguntamos cuál es más sencillo de utilizar para un usuario

medio, lógicamente son los cortafuegos de software. Simplemente
necesitan instalarlo en su equipo y apenas requiere configuración. En
cambio un firewall de hardware requiere de instalación física y una
mayor configuración. Es para usuarios que tengan unos mínimos
conocimientos.

Respecto a la seguridad, en ambos casos la finalidad es la misma. Sin

embargo hay que decir que el firewall de software va a recibir más
actualizaciones y por tanto puede hacer frente a amenazas más
actuales.

Un cortafuegos de hardware se sitúa entre el equipo e Internet. En

cambio un cortafuegos de software se sitúa entre el equipo y la red a
la que nos conectamos. Esto hace que si otros equipos acaban
infectados dentro de una red, el software podría proteger al dispositivo.

2
 Servicio implementado.
Para nuestro caso y desarrollo de nuestro trabajo hemos
implementado PfSense que es un sistema basado en FreeBSD y nos
ayudara a tener un control de nuestro firewall, y lo mejor de todo es
que este sistema es de código abierto, y es fácil de configurar a través
de una interfaz web y es instalable en cualquier computadora.

Este sistema contiene una lista de paquetes que nos permiten

expandir de una forma sencilla las funcionalidades sin tener que
comprometer la seguridad de nuestro sistema.

Su licencia esta basada en BSD, y el proyecto por el momento lo tiene

Electric Sheep Fencing LLC. OpenBsD es condiderado el sistema mas
seguro que existe actualmente que tiene presente packet filter que es
un filtro de paquetes del sistema de OpenBsD para filtrar el tráfico
tcp/ip.

2
 Requisitos para su instalación.
 Procesador 600Mhz (mas es mejor) de 64Bits
 512Mb RAM (mas es mejor)
 4Gb disco (mas es mejor)
 2 tarjetas de red (mínimo WAN y LAN)
 Puerto USB o DVD para instalación del ISO
 Conectividad a internet

2
 Sitio donde se descarga.

https://www.pfsense.org/

2
Dificultades que se presentaron a la hora de implementar el
proyecto.
La mayor dificultad que se nos ha presentado a sido que en nuestro
equipo todos trabajamos y por ende eso nos limita la cantidad de
tiempo que le podemos invertir a este proyecto, también otra dificultad
que se nos presento es que nosotros no conocíamos nada de dicho
sistema, sin embargo decidimos aventurarnos y aprender sobre ello.

2
 Evidencia de la implementación realizada.

Configuración de PfSense en VirtualBox:

1. Como podemos corroborar, hemos instalado nuestro PfSense en

una maquina virtual:

2
2. Antes de arrancar nuestra maquina virtual vamos a verificar que
tenga configurada nuestras dos tarjetas de red:

2
3. Al arrancar la maquina virtual obtenemos el siguiente menú:

4. Ahora colocamos el numero 8 para seleccionar la Shell y

después colocamos el comando pfctl -d para deshabilitar
momentáneamente nuestro firewall para poder ingresar vía WAN
a nuestro pfsense:

2
5. Ahora introducimos la ip WAN en nuestro navegador de nuestro
sistema operativo físico local, y veamos lo que sucede:

2
6. Ahora ingresamos con el usuario admin y la contraseña pfsense
y vemos el portal:

7. Y con esto hemos terminado de montar y configurar PfSense.

2
 Aspectos de la seguridad informática de PfSense.
 Nos permite estar en posesión de un firewall gratuito y seguro
para redes.
 Hace poco se ha lanzado la versión 2.2.2
 Tiene multitud de mejoras.
 Corrección de fallos de seguridad.
 Actualizaciones de software de forma continua.
 Parcheo de vulnerabilidades.

2
 Conclusiones.
 PfSense es una gran herramienta y gratuita que permite tener a
la mano un control y seguridad demuestra red de forma eficiente.

 PfSense es un proyecto que se ha estado trabajando desde el

año 2004.

 Es fácil de instalar.

 Se necesitan dos tarjetas de red para poder trabajar con

PfSense.

 Se puede instalar en computadoras de gama baja.

 Es el sistema mas seguro DEL MUNDO.

2
 Recomendaciones.

Se recomienda la utilización de PfSense para firewall sobre todo para

empresas medianas o pequeñas que no tienen la capacidad de poder
adquirir un firewall (ya sea software o hardware) para su
implementación y ejecución ya que es de uso fácil y sencillo, y se
puede instalar en computadoras de gama baja, solo se necesitan dos
tarjetas de red las cuales se pueden conseguir baratas en cualquier
supermercado de tecnología.

2
 Bibliografía.

Título: REDES CISCO - Guía de estudio para la certificación CCNA

Security
Autor (es): ARIGANELLO ARIGANELLO, Ernesto
Área del conocimiento: Computación
ISBN: 9788499644288
Editorial: Ra-Ma
url: https://cutt.ly/Sg9SoNR

Documentación de pagina oficial PfSense

url: https://docs.netgate.com/pfsense/en/latest/releases/index.html