BARRERAS DE PROTECCIÓN Y FIREWALLS

Ing. Vincenzo Mendillo

Diciembre 2020

Objetivo: Conocer los principios en que se basan las barreras de protección y sistemas defensivos conocidos como firewalls
(cortafuegos), así como familiarizarse con su uso en computadoras personales.

Requisitos: Disponer de 2 computadoras conectadas a Internet (una de las cuales puede ser virtual, por ejemplo mediante VMware o
VirtualBox. Se recomienda realizar previamente la práctica Servicios básicos de Internet.

Plataforma: Windows 7.

Prácticas relacionadas: Firewalls para aplicaciones Web (WAF) - Protección contra intrusos y software malintencionado.

Sección A: Introducción

La función principal de una barrera de protección es proteger una red de ataques desde otras redes. En general, la red que se protege es
propiedad del usuario (o está bajo su responsabilidad) y la red contra la que se protege es externa, en la que no puede confiarse
(típicamente Internet). Proteger la red es prevenir que personas externas tengan acceso a información o recursos internos, pero al
mismo tiempo permitir que los usuarios internos tengan acceso a redes externas como Internet.
El término firewall (cortafuego) se utiliza comúnmente como un concepto genérico que describe un amplia gama de funciones y la
arquitectura de los dispositivos que protegen la red, basadas en filtros y firewalls.

Los filtros de paquetes se utilizan a menudo como un primer nivel de defensa y constituyen una manera eficaz y general para controlar
el tráfico entre redes. Ellos operan en las capas bajas de protocolos de comunicación como TCP/IP, así que sólo la información de las
capas de transporte y de red (direcciones IP de origen y destino, números de puerto y banderas TCP) están disponibles para las deci -
siones de filtrado. Esto quiere decir que en la política de seguridad se puede establecer, por ejemplo, que sólo se deja pasar paquetes
destinados al puerto 25 (puerto de SMTP para correo electrónico) del servidor corporativo y también se puede especificar desde qué
direcciones IP origen se permite el acceso a los servidores públicos.
Los filtros se pueden activar en máquinas equipadas con Linux o Windows y en la mayoría de los enrutadores comerciales, pero el
número de reglas es limitado. Además, mientras mayor sea este número, peor será el desempeño, con el consiguiente aumento del
retardo y congestión. Por lo general faltan los mecanismos de intervención y alerta, y la interfaz con el usuario suele ser pobre. La
implantación de filtros de paquetes puede requerir un alto nivel de comprensión de los protocolos de comunicación y su
comportamiento.
Los dispositivos de filtrado de paquetes casi siempre se complementan mediante otros dispositivos llamados cortafuegos
(firewalls), los cuales operan en las capas superiores de los protocolos de red.
 -2-
A nivel 4 de del modelo OSI (esto es a nivel de transporte o de TCP en redes TCP/IP), se puede ver si los paquetes son de inicio de
conexión o se corresponden con paquetes cuyas conexiones están ya establecidas. Se habla en tal caso de firewalls a nivel de circuito,
donde se trata con números de secuencias de paquetes TCP/IP, es decir si los paquetes pertenecen a una conexión o si no se
corresponden con ninguna conexión establecida.
Los firewalls a nivel 7 de la capa OSI, (esto es, a nivel de aplicación), actúan a modo de proxy (intermediario) para las distintas
aplicaciones que van a controlar (telnet, ftp, http, smtp, pop3, rlogin, etc.). Para http se puede evitar las páginas que descarguen los
usuarios internos tengan controles ActiveX o applets de Java, o incluso negarles el acceso a ciertas URL’s que se consideren
improcedentes. Para ftp se puede permitir el acceso sólo a cierto directorio y solo para realizar envíos o descargas de archivos.
Otras funciones adicionales que pueden realizar los firewalls es la de ocultar la gama de direcciones internas, realizando una
traducción de direcciones o NAT (Network address translation). De esta manera es posible contar con sólo una dirección (o una gama
reducida de direcciones válidas en Internet) y contar con un gran número de direcciones privadas para las máquinas internas.
A pesar de todas sus virtudes y ventajas, los firewalls no proporcionan la solución definitiva a todos los problemas de seguridad.
Existen amenazas fuera del alcance del firewall, contra las cuales deben buscarse otras vías de protección:
 Ataques que no pasan por el firewalls: el firewall se encuentra impotente ante accesos a computadores de la red protegida a través
de módem o a través de redes privadas virtuales (VPN). Además el firewall no protege a las máquinas ubicadas en la red
perimetral como servidores web, servidores de correo, servidores FTP, en otras palabras, a las bases funcionales de Internet.
 Ataques desde el interior: evidentemente, el firewall no puede proteger de empleados malintencionados que entran vía LAN o que
se llevan un diskette con información confidencial.
 Ataques basados en datos: si los programas que son accedidos a través del firewall, como el servidor web, ocultan errores graves,
un hacker podría explotarlos haciendo uso exclusivamente de tráfico http. Los virus constituyen una amenaza difícil de rechazar
incluso para los cortafuegos más sofisticados. En general, la protección que realiza un antivirus es complementaria a la de un
firewall.
 Ataques completamente nuevos: los buenos firewalls pueden proteger ante muchos ataques desconocidos aún por llegar, pero no
frente a todos. Los hackers siempre corren un paso por delante de los fabricantes de productos de seguridad. Un atacante puede
entonces lograr pasar el firewall, dejando la red a su merced.

Firewalls personales
Las conexiones a Internet siempre han entrañado riesgos de seguridad. Sin embargo, es ahora con la masificación de Internet cuando
estos riesgos se multiplican. Las tarifas planas, el ADSL y el modem para TV por cable permiten la conexión a Internet durante horas
sin interrupción, sin pago extra. Y si estas líneas se utilizan para instalar servidores (con direcciones IP estáticas), los riesgos son aún
mayores. Estar permanentemente en línea nos hace vulnerable ante programas automáticos de escaneo de puertos que sondean
direcciones IP en busca de un punto de entrada en la PC. Posiblemente Ud. recibirá una docena o más de ping al día para determinar si
su dirección IP está activa, procedentes de programas de hackers y otras fuentes. La mayoría son intentos aleatorios de scripts
automáticos de hackers en busca de puertos abiertos.
En general, cabe decir que el riesgo de intrusiones es directamente proporcional al tiempo que permanezcamos conectados, pero
tampoco cabe confiarse demasiado cuando nuestra conexión a Internet es esporádica e intermitente, (por ejemplo, vía modem), porque
durante ese período también podemos ser susceptibles a muchos y muy variados ataques.
No sirve de nada pensar que los posibles intrusos no tendrán ningún interés especial en nuestros datos. Además de poder robar
nuestras contraseñas, revisar, alterar o llevarse nuestros archivos o introducirnos un virus o troyano. Así que nunca considere su
computador poco atractivo para un atacante. Aunque algunos atacantes puedan estar interesados en entrar en su máquina, en una
primera fase, y contra lo que pueda pensarse, a muchos intrusos les importa muy poco quién es usted. Simplemente se dedican a
probar (escanear) máquinas al azar. Posteriormente, una vez detectadas aquellas que presentan huecos fáciles de explotar, pueden
decidir entrar y/o instalarse en ellas con fines muy diversos: explorar sus datos buscando detalles de interés (contraseñas de acceso, por
ejemplo), asustarle (quizás simplemente para divertirse a su costa), dañarle los datos en su disco duro, o utilizarle como cómplice
involuntario para atacar otras máquinas más importantes que la suya. Así que existe el riesgo de que nuestra máquina sea utilizada
como mero instrumento o eslabón de un ataque DoS que, por su amplitud o gravedad, pueda convertirnos en responsables de un delito
de consecuencias graves e insospechadas.
Para que se haga una idea del grado real de riesgo existente, el afamado experto Bruce Schneier cita, como ejemplo concreto, el
caso de un amigo suyo conectado a la red por cable modem, que sufrió 26 escaneos de puertos (en busca de puertas abiertas y
vulnerabilidades) y 4 intentos decididos de intrusión en tan sólo una semana. Sea realista y no espere perspectivas mucho mejores para
su propia máquina. Con más usuarios de Internet, más conexiones permanentes y más herramientas de ataque (y para colmo, cada día
más fáciles de utilizar), las cosas sólo pueden ir a peor. Por tanto, no se preocupe por "si" será atacado; sólo pregúntese "cuándo".
Las consideraciones anteriores se resumen en una regla de oro: “Tómese en serio la seguridad de su propio computador”.
Considere su autoprotección como una obligación que, cada vez más, va a recaer en gran parte bajo su exclusiva responsabilidad.
Piense que, a consecuencia del incremento de conectividad que suponen las tarifas planas, Internet por cable de TV o el ADSL, los
riesgos a asumir son también mayores, pero tampoco se agobie demasiado; después de todo, el asunto de su autoprotección puede
resultar interesante y hasta divertido.
En conclusión, cualquier sistema, desde el momento en que se encuentra conectado en red, puede convertirse en blanco. Los
firewalls e IDS (Intrusion Detection Systems), sin ser la panacea de la seguridad informática, representan una buena defensa, pero
 -3-
hasta hace bien poco, todos los productos comerciales disponibles quedaban restringidos para uso empresarial, debido a su elevado
precio, su dificultad de configuración y la exigencia de conocimientos especializados para operarlos.
Afortunadamente han salido a la luz nuevos productos llamados personal firewalls o desktop firewalls, con grandes prestaciones,
alta seguridad y costo razonable, para uso doméstico y de pequeñas empresas. Entre los servicios que brindan estos sistemas, se
encuentran los siguientes:
 Protección externa: la misión fundamental de un firewall consiste en proteger un sistema contra redes externas como Internet,
restringiendo el acceso sólo a ciertos servicios, a la vez que analiza todo el tráfico que pasa a través de él.
 Protección interna: en ambiente de oficina es cada vez más común la necesidad de protegerse de otros empleados. Por lo general,
el nivel de seguridad requerido es menor que en el caso de Internet.
 Auditoría y registro de uso: el firewall constituye un buen lugar donde recopilar información sobre el uso de la red. En su calidad
de punto único de acceso, el firewall permite registrar toda la actividad entre la red exterior y la interior.
 Detección de intrusos: dado que todo intento de conexión debe pasar por él, un firewall adecuadamente configurado puede actuar
como un IDS básico, alertando cuando detecta actividades sospechosas que pueden corresponder a intentos de penetración en la red
o tentativas de enviar información desde ella, como los que realizarían troyanos que se hubieran colado dentro.
 Autenticación: algunos firewalls permiten autenticarse utilizando métodos más sofisticados que la humilde y hoy desprestigiada
contraseña, basados en contraseñas de un solo uso, tokens, llaves en hardware, tarjetas inteligentes, etc.
 Traducción de direcciones de red (NAT): otra función adicional que puede realizar el firewall es la de ocultar las direcciones
internas, realizando una traducción de direcciones o NAT (Network Address Translation).

Sección B: Firewall de Windows 7

Los equipos basados en Windows admiten varios métodos para controlar el acceso desde/hacia la red para los puertos, servicios y las
aplicaciones. Uno de los métodos más sencillos y más eficaces consiste en utilizar los filtros TCP/IP. Por ejemplo, se pueden
configurar filtros para los protocolos TCP, UDP e IP separadamente para cada una de las interfaces de red. Este mecanismo es rápido y
conveniente desde el punto de vista de la seguridad porque funciona a nivel del núcleo (kernel). La limitación es que los filtros TCP/IP
sólo pueden filtrar el tráfico de entrada y no pueden bloquear mensajes ICMP. Está disponible en Windows XP y fue descontinuado en
Windows 7.
Las versiones más recientes de Windows disponen de un firewall bastante poderoso y completo de tipo "con estado" (stateful), que
supervisa todos los aspectos de las comunicaciones que pasan por él e inspecciona las direcciones de origen y destino de cada paquete.
Para ver la configuración del firewall en Windows 7, vaya al Panel de control y haga clic sobre Firewall de Windows. Observe que
por lo general se encuentra en el estado Activado. Lo puede desactivar desde el panel izquierdo (lo cual no es recomendable, excepto
para algunas experiencias en ésta u otras prácticas).
 -4-

A continuación pulse sobre Configuración avanzada y en la ventana que se abre, analice la información suministrada. A diferencia de
un firewall perimetral, el Firewall de Windows se ejecuta en el propio equipo y proporciona protección local frente a los ataques de
red que puedan atravesar la defensa perimetral u originarse en red local interna. Además, proporciona seguridad para la conexión de
equipo a equipo, ya que permite requerir la autenticación y la protección de datos para las comunicaciones.
El Firewall de Windows es un firewall con estado (stateful) que inspecciona y filtra todos los paquetes del tráfico IP versión 4
(IPv4) y versión 6 (IPv6). En este contexto, filtrar implica permitir o bloquear el tráfico de red mediante su procesamiento con reglas
definidas por el administrador. De forma predeterminada, el tráfico entrante se bloquea, a menos que sea una respuesta a una solicitud
del host (tráfico solicitado) o esté permitido específicamente (es decir, que se haya creado una regla de firewall para permitir el
tráfico). Se puede configurar el Firewall de Windows para permitir el tráfico de forma explícita mediante la especificación de un
número de puerto, un nombre de aplicación, un nombre de servicio u otros criterios. El Firewall de Windows también permite solicitar
o requerir que los equipos se autentiquen entre sí antes de establecer la comunicación y requerir el uso de la integridad de datos o el
cifrado de datos al establecer la comunicación. Haga clic sobre el botón de Ayuda en la parte superior izquierda para conocer los
detalles.

Haga clic sobre Propiedades de Firewall de Windows en la parte inferior derecha y analice la información suministrada.
 -5-

Regresando a la ventana principal del Firewall, en la parte izquierda seleccione Reglas de entrada. Ahora se abre un listado con todas
las aplicaciones a las cuales se les permite el acceso a los puertos de entrada que ellas requieran.

Haga doble clic sobre alguna de las numerosas reglas de entrada (por ejemplo Escritorio remoto). Note que utiliza el puerto TCP 3389.
Usted podría impedir este servicio seleccionando Bloquear esta conexión.
 -6-

Si en su equipo está instalado Skype (una popular aplicación para chat y telefonía sobre IP), note que puede utilizar los puertos TCP 80
y 443. Esos puertos normalmente son usados por servidores HTTP y HTTPS, pero Skype los utiliza para que la conexión entrante se
disfrace como una conexión a un servidor Web y así no sea fácilmente bloqueada por los proxies corporativos.

Si en su equipo quiere instalar un servidor Web, debe desactivar esa función en Skype:
 -7-

En la lista de las numerosas reglas de entrada haga doble clic sobre Compartir archivos e impresoras (datagrama NB de entrada).
Note que utiliza el puerto UDP 138.

Cuando se comparten recursos en redes Microsoft mediante NetBIOS, se abren varios puertos, entre ellos UDP 137 (NetBIOS Name
Service), UDP 138 (NetBIOS Datagram Service), TCP 139 (NetBIOS Session Service). Windows también utiliza el puerto TCP 443
para compartir recursos mediante SMB (Server Message Block), también conocido como CIFS (Common Internet File System). Otros
puertos que posiblemente estén abiertos son: TCP 5357 y 5358 (WSDAPI - Web Services on devices API), TCP 2869 (ICSLAP), UDP
3702 (Web Service Dynamic Discover), UDP 1900 (SSDP - Simple Service Discovery Protocol). Muchos usuarios permiten el acceso
a sus recursos con la intención de facilitar el trabajo en grupo con sus colaboradores. Sin saberlo, están abriendo sus sistemas a
cualquier atacante al permitir el acceso, tanto de lectura como de escritura, a otros usuarios de la red. Windows 7 permite ajustar
automáticamente la seguridad y otras opciones en función del tipo de red al que está conectado el equipo.

Para ver el tipo de red, haga clic con el botón derecho sobre el ícono de red en la barra de tareas de Windows y seleccione Centro de
redes y recursos compartidos. El tipo de red (ej. Red de trabajo) se muestra debajo de Ver redes activas.

Haga clic sobre el tipo de red para ver de qué se trata y eventualmente modificarlo. Seleccione Red pública.
 Red doméstica: Elija esta opción cuando conozca y confíe en los usuarios y dispositivos de la red. Los equipos de una red
doméstica pueden pertenecer a un grupo en el hogar. La detección de redes está activada para las redes domésticas, lo que permite
ver otros equipos y dispositivos de la red y que otros usuarios de la red vean el equipo. La detección de redes es una configuración
que determina si el equipo puede buscar otros equipos y dispositivos de la red y si otros equipos de la red pueden buscar el equipo.
 Red de trabajo: Elija esta opción para oficinas pequeñas u otras redes del lugar de trabajo. La detección de redes está activada de
forma predeterminada, pero no podrá crear un grupo en el hogar ni unirse a él.
 Red pública: Esta ubicación se ha diseñado para evitar que el equipo sea visible para otros equipos y le ayudará a proteger el
equipo de software malintencionado de Internet. El grupo Hogar no está disponible en redes públicas, y la detección de redes está
 -8-
desactivada. Debería elegir esta opción si está conectado directamente a Internet sin usar un enrutador, mediante una conexión de
banda ancha. Si no va a necesitar compartir archivos o impresoras, la red pública es la opción más segura.

Regrese a la ventana principal del Firewall y en la parte izquierda seleccione Restaurar valores predeterminados y luego Permitir un
programa o una característica a través del Firewall de Windows.

Observe que Compartir Archivos e impresoras, al igual que Escritorio remoto, están deshabilitados, mientras que Detección de redes
sólo está habilitado para red doméstica/trabajo.

Haga un ping desde otra máquina a la dirección IP de su máquina (lo puede averiguar rápidamente mediante el comando ipconfig). No
debería recibir respuesta, ya que Windows 7 deshabilita la respuesta a ICMP en redes públicas, para que el equipo sea “invisible” y así
sea más difícil atacarlo.

Haga clic con el botón derecho sobre el ícono de red en la barra de tareas de Windows y seleccione Centro de redes y recursos
compartidos. Seleccione Cambiar configuración de uso compartido avanzado.
 -9-

Seleccione Activar el uso compartido de archivos e impresoras. Esto habilitará automáticamente reglas en el Firewall que permitan los
tipos de paquetes ICMP más usados.

Haga ping desde otra máquina a la dirección IP de su máquina. Ahora debería recibir respuesta. Nota: el nuevo Windows 8 es más
restrictivo y no respondería.

La solución anterior no es ideal, ya que también habilitará características de red que no están relacionadas con ICMP. Si solo desea
habilitar ICMP, cree y habilite una regla en el Firewall de Windows que permita paquetes de red ICMP de entrada. Entonces en
Centro de redes y recursos compartidos seleccione Desactivar el uso compartido de archivos e impresoras.

Ahora vaya de nuevo al Firewall de Windows. Allí seleccione Configuración avanzada | Reglas de entrada | Nueva regla y proceda a
crearla con el asistente.

En la sección Tipo de regla, seleccione Personalizada.

 -10-

En la sección Protocolo y puertos, en la casilla Tipo de protocolo, seleccione ICMPv4.

En la sección Nombre, ponga Permitir ICMP echo request (ping) y pulse Finalizar.

Haga ping desde otra máquina a la dirección IP de su máquina. Ahora debería recibir respuesta.
 -11-
Para terminar esta sección, puede deshabilitar o eliminar la regla recién creada.

Sección C: Control de puertos en el Firewall de Windows 7

Dado que el Firewall de Windows bloquea todo el tráfico de red entrante no solicitado de forma predeterminada, se deben configurar
reglas de programa, puerto o servicio del sistema para los programas o servicios que actúan como servidores. Un número cada vez
mayor de programas y servicios configuran automáticamente el Firewall de Windows con un conjunto de reglas para permitir su
funcionamiento, sin embargo a veces hay que hacerlo manualmente, sobre todo en lo relativo a los puertos de red. Generalmente, los
puertos están definidos de forma predeterminada y están relacionados con un determinado servicio que esté ejecutándose en un equipo.
Los números de puerto, junto con las direcciones de origen y destino de los datos, especifican un conector (socket). Cada equipo que
se comunique utilizando TCP o UDP abre un socket con el equipo receptor. El puerto del equipo origen se escoge al momento,
usualmente de entre un lote de valores libres y es un número alto, que puede ser de hasta 65.000 (16 bits). En cambio el puerto del
equipo de destino usualmente es un número pequeño, ya predefinido según el tipo de servicio.
En la figura siguiente se ilustra más claramente la relación entre puertos, dirección y capas en los protocolos TCP/IP.

Al especificar los puertos e incluir el número de puerto con los datos, se consigue lo que se llama el multiplexado, el cual permite que
tengan lugar múltiples conexiones o comunicaciones de red simultáneamente en un mismo equipo (por ejemplo, varias páginas Web
abiertas).
Los números de puerto por debajo de 1024 se llaman puertos bien conocidos (well-known ports) y se reservan para servicios
estándar. Por ejemplo, HTTP usa el puerto 80 y DNS el puerto 53. La lista de puertos bien conocidos se encuentra en RFC 1700.
Algunos de los puertos más comunes y los servicios que se ejecutan sobre ellos son los siguientes:
 21 FTP - permite transferir archivos entre equipos
 22 SSH - proporciona una conexión a un sistema remoto en forma segura
 23 TELNET - proporciona una conexión de terminal a un sistema remoto
 25SMTP - se encarga de enviar correo electrónico
 53 DNS - sistema de nombre de dominio
 69 TFTP - permite transferir fácilmente de archivos entre equipos
 80HTTP - World Wide Web (telaraña mundial)
 110 POP3 - acceso remoto al correo electrónico
 143 IMAP - otro método de acceso remoto al correo electrónico
 -12-
 161 SNMP - sistema de gestión de red simple
 443 HTTPS - World Wide Web (telaraña mundial) seguro

Para aprender cómo se abren los puertos de algunos de esos servicios en el Firewall de Windows, instale LiteServe, el cual es un
servidor liviano para Telnet, FTP y WWW. Se encuentra en la carpeta Varios del material de apoyo. Alternativamente lo puede
descargar desde DivShare.

Cuando el Firewall de Windows lo solicite, pulse Permitir acceso.

Corra Liteserve desde Perception | LiteServe | LiteServe. Bajo la opción File del menú, desactive Run on startup. Para registrar el
programa bajo Help (deja de operar después de 12 horas), use los siguientes datos: Name: Presage@FFF.com y Serial:
40835009812807833354. Nota: Esta forma de registro es sólo para fines didácticos y no para uso personal o comercial.

En el menú principal, bajo Services, seleccione Enable All.

Bajo Status | Connections, verifique que los servicios están corriendo. Si le aparece HTTP (Unable to listen) es que el puerto 80 lo está
utilizando otra aplicación (ej. Skype). En tal caso cierre Skype temporalmente mientras hace esta práctica (o deshabilite su uso del
puerto 80).
 -13-

Desde una ventana de comandos de Windows, ejecute netstat -an y verifique que efectivamente hay conexiones activas en escucha en
los puertos de TELNET, FTP, HTTP, SMTP, POP3.

Vaya a la pestaña Services y allí, bajo la pestaña Web, proceda a crear una carpeta para el Website Directory (por ejemplo C:\www).
Copie allí el archivo index.html que se encuentra en la carpeta Varios\LiteServe del material de apoyo.

Compruebe que el servidor Web funciona correctamente mediante un navegador como Internet Explorer y colocando http:/localhost.

Ahora desde otra máquina (puede ser Windows, Linux, Android) mediante un navegador como Internet Explorer o Firefox trate de
conectarse utilizando la dirección IP del servidor, en lugar de localhost (ej. http://192.168.1.123). Debería poder conectarse, ya que el
Firewall de Windows abrió el puerto 80 entrante. Si no logra conectarse, posiblemente otro firewall en la ruta está bloqueando ese
puerto.

La siguiente experiencia es bloquear los puertos que usa LiteServe. Entonces en en Panel de Control de abra el Firewall de Windows y
en la parte izquierda seleccione Permitir un programa o una característica a través del Firewall de Windows.

Busque Liteserve y desactívelo.

 -14-
Desde otra máquina (puede ser Windows, Linux, Android) mediante un navagador como Internet Explorer o Firefox trate de
conectarse utilizando la dirección IP del servidor. No debería poder conectarse, ya que el Firewall de Windows ahora bloquea el puerto
80 entrante que utiliza LiteServe.

A continuación se mostrará como abrir manualmente el puerto 80. En el Firewall de Windows seleccione Configuración avanzada |
Reglas de entrada | Nueva regla y proceda a crearla con el asistente.

En la sección Tipo de regla, seleccione Puerto.

En la sección Protocolo y puertos, seleccione TCP y puerto 80.

 -15-
En la sección Nombre, ponga Permitir conexión entrante al puerto 80 (HTTP) y pulse Finalizar.

Desde otra máquina mediante un navegador como Internet Explorer o Firefox trate de conectarse utilizando la dirección IP del
servidor (ej. http://192.168.1.123). debería poder conectarse, ya que el Firewall de Windows ahora ya NO bloquea el puerto 80
entrante que utiliza LiteServe.

Para terminar estas pruebas, deshabilite elimine la regla recién creada.

En ciertas circunstancias puede ser util administrar local o remotamente el Firewall de Windows a través de la línea de comandos. Para
probarlo, en Windows ejecute cmd.exe como administrador y en la ventana de comandos escriba netsh firewall.

Como ejemplo, para ver la configuración del Firewall, escriba netsh firewall show config. Para abrir el puerto TCP 80, escriba:
netsh firewall add portopening TCP 80 "Open Port 80"

No obstante, netsh firewall está obsoleto; use netsh advfirewall firewall en su lugar.

Como ejemplo, para abrir el puerto TCP 80 entrante, escriba: netsh advfirewall firewall add rule name="Open Port 80" dir=in
action=allow protocol=TCP localport=80

Para ver las reglas de filtrado entrante, escriba: netsh advfirewall firewall show rule name=all dir=in

Para desactivar el firewall, escriba: netsh advfirewall set allprofiles state off

Para habilitarr el firewall, escriba: netsh advfirewall set allprofiles state on

Para más información sobre netsh advfirewall firewall, consulte el artículo 947709 de Knowledge Base.
 -16-

Sección D: PortsLock (opcional)

PortsLock es una herramienta para ser usada en oficinas pequeñas, evitando el uso de firewalls y proxies corporativos perimetrales, ya
que que permite que los administradores implanten en las máquinas de los empleados las normas para el acceso a la red, en base al tipo
de usuario y al grupo a que pertenece. PortsLock permite controlar qué usuarios o qué grupos pueden tener acceso a qué protocolos
(HTTP, FTP, SMTP, POP3, Telnet, etc.), dependiendo de la hora y del día de la semana. Además en cada máquina se pueden
establecer los puertos TCP/UDP permitidos o negados y las direcciones IP para las conexiones entrantes y salientes. PortsLock es
completamente transparente para los usuarios. Solamente el administrador puede configurarlo y establecer las reglas, de manera que
los usuarios sin privilegios administrativos no pueden saltarse la seguridad de PortsLock. Características adicionales incluyen la
auditoría y la supervisión de la actividad de la red para un usuario o un grupo de usuarios.

Descargue PortsLock buscándolo en Internet, si no lo encuentra en la carpeta IDS-Firewalls del material de apoyo.

Durante la instalación presione Cancel para instalar la versión demo de 30 días.

Inicie el programa mediante PortsLock Manager. En caso de que la versión demo haya caducado, vuelva a instalarlo.

En la ventana principal de PortsLock seleccione el grupo de trabajo (ej. HOME) y el grupo de usuarios (ej. Administradores). O si lo
prefiere añada un usuario en particular mediante el botón + User.

Pulse el el botón + Rule y proceda a crear una regla, por ejemplo, impedir el acceso local y remoto durante las horas laborable.
 -17-

Compruebe que la regla es efectiva, por ejemplo al intentar navegar por Internet fuera de horario.

Se pueden crear reglas de auditoría para registrar ciertas conexiones (puertos, direcciones IP, horas del día)

Además se pueden monitorear en tiempo real las conexiones realizadas en cada máquina.

Sección E: Control de acceso en Internet Explorer (opcional)

Internet Explorer incorpora un sistema de protección que incluye un firewall a nivel de aplicación (HTTP). Las redes se clasifican en
zonas, de modo que se puede asignar un sitio Web a una zona con un nivel de seguridad adecuado. Hay cuatro zonas diferentes:
 Zona Internet: de forma predeterminada, esta zona contiene todo lo que no está en su equipo o en su intranet, ni está asignado a
ninguna otra zona. El nivel de seguridad predeterminado para la zona de Internet es Medio alto.
 -18-
 Zona Intranet local: esta zona suele contener todas las direcciones que no requieren un servidor proxy, según lo defina el
administrador del sistema. Esta zona incluye los sitios especificados en la ficha Conexiones, las rutas de acceso de la red (como
\\servidor\recurso_compartido) y sitios locales de intranet (normalmente direcciones que no contienen puntos, como http://internal).
Ud. puede agregar sitios a esta zona. El nivel de seguridad predeterminado de la zona intranet local es Medio bajo.
 Zona de sitios de confianza: esta zona contiene los sitios en los que usted confía; sitios en los que cree que puede descargar o
ejecutar archivos sin preocuparse de que puedan dañar su equipo o sus datos. Ud. puede asignar sitios a esta zona. El nivel de
seguridad predeterminado para la zona de sitios de confianza es Bajo.
 Zona de sitios restringidos: esta zona contiene los sitios en los que no confía; es decir, sitios en los que no sabe con seguridad si
puede descargar o ejecutar archivos sin que dañen a su equipo o datos. Ud. puede asignar sitios a esta zona. El nivel de seguridad
predeterminado para la zona de sitios restringidos es Alto.

En el menú Herramientas de Internet Explorer, haga clic en Opciones de Internet y luego en la ficha Seguridad. Seleccione la zona
Internet y seleccione el Nivel Predeterminado. Note que corresponde a Nivel Medio alto. Oprima Nivel personalizado y observe la
configuración, en particular Scripting, Java, ActiveX, elementos emergentes, descarga de archivos, filtros de suplantación de
identidad.

Seleccione la zona Sitios Restringidos, pulse Nivel Predeterminado y note que corresponde a Nivel Alto. Oprima Sitios... y añada un
sitio Web restringido (ej. http:/www.google.com).

Intente conectarse a ese sitio restringido y observe el lado derecho de la barra de estado de Internet Explorer, donde se muestra la zona
en la que está la página Web actual (debería mostrar Sitios restringidos).

¿Pudo conectarse? Siempre que se intente abrir o descargar contenido del Web, Internet Explorer comprobará la configuración de
seguridad de la zona de ese sitio Web. Elimine finalmente ese sitio de Sitios Restringidos.

Conéctese a un sitio Web no restringido (por ejemplo, http://www.yahoo.com o http://ww.cantv.net) y observe el lado derecho de la
barra de estado de Internet Explorer, donde se muestra la zona en la que está la página Web actual (debería mostrar Internet).

Si lo desea, puede cambiar el nivel de seguridad de una zona; por ejemplo, puede cambiar a Baja la configuración de seguridad de la
zona intranet local. O bien, puede personalizar la configuración dentro de una zona a partir del nivel predeterminado como Bajo,
Medio bajo, Medio y Alto. Para establecer el nivel de seguridad de cada zona, haga clic en la zona cuyo nivel de seguridad desee
configurar y luego mueva el control deslizante hacia arriba para establecer un nivel superior de seguridad o hacia abajo para reducirlo.

Sección F: Informe

Elabore un informe de no menos de 8 páginas donde se reportan las experiencias más relevantes, se analizan los resultados obtenidos,
finalizando con conclusiones y eventuales recomendaciones.
El informe debe ser individual y redactado con palabras propias; no se permite repetir el texto del material que se encuentra en esta
guía, en el material de apoyo o en otras fuentes. Debe contener un resumen de las actividades realizadas, con ejemplo de resultados.
Deben analizarse y discutirse esos resultados, en particular si se presentaron problemas o aspectos inesperados. También deben
incluirse las conclusiones y eventuales recomendaciones.
Los informes deben enviarse regularmente al profesor a lo largo del curso, mediante el correo electrónico. Serán penalizadas las
entregas retrasadas y no se aceptarán entregas muy retrasadas. Además NO se aceptarán informes entregados todos juntos los últimos
días de finalización del curso.
 -19-

Protect your network with Internet Explorer security zones

by Greg Shultz

TechRepublic

Malicious active content on the Internet has always been a cause for concern for the IT professional. The Security Zones feature of
Internet Explorer 6 (IE6) is designed to protect users from inadvertently downloading this type of content from the Internet. I'll explain
IE6's Security Zones feature and discuss the default settings. I’ll examine some of the settings you can change to adjust the level of
security applied to each of these zones. I’ll then show you how to easily roll out the IE6 Security Zones settings to users on a network
of Windows 2000 and Windows XP Professional clients with Group Policy editor and a local intranet server.}

The Security Zones overview

IE6 includes four predefined Security Zones:
 Internet—The Internet zone is an all-inclusive zone designed to include all Web sites on the Internet.
 Local Intranet—The Local Intranet zone is designed to include all computers that are connected to a local network.
 Trusted Sites—The Trusted Sites zone can be configured to include any sites containing active content that you completely trust.
 Restricted Sites—The Restricted Sites zone can be configured to include any sites containing active content that you absolutely do
not trust.

Note
There is actually a hidden, fifth zone, the My Computer zone, which includes most of the files on your computer. This special zone
doesn’t appear in the dialog box with the others and can only be reconfigured by editing the registry or by using the Internet Explorer
Administration Kit. As a general rule, the default security level in the My Computer zone is sufficient for most situations.

Each of these Security Zones is by default configured to use one of four predefined security levels. For example, the Restricted Sites
zone is set at High, the Internet zone is set at Medium, the Local Intranet zone is set at Medium-low, and the Trusted Sites zone is set
at Low. The level of protection provided by each of these security level settings is summarized in Table A. (I’ll go into more detail on
the security level settings in a moment.)

Security level Summary

High The safest way to browse, but also the least functional.
Less secure features are disabled.
Appropriate for sites that might have harmful content.
Medium Safe browsing and still functional.
Prompts before downloading potentially unsafe content.
Unsigned ActiveX controls will not be downloaded.
Appropriate for most Internet sites.
Medium-low Same as Medium without prompts.
Most content will run without prompts.
Unsigned ActiveX controls will not be downloaded.
Appropriate for sites on your local network (intranet).
Low Minimal safeguards and warning prompts are provided.
Most content is downloaded and run without prompts.
All active content can run.
Appropriate for sites that you absolutely trust.

Table A. The Security Zone’s predefined security levels

 -20-

In most circumstances, these default Security Zone settings are sufficient, but you do have a lot of latitude—possibly more than you’re
comfortable with. IE6’s Security Zone feature is highly customizable and gives you a mechanism for adjusting the amount of security
in each of the Security Zones at a granular level. In other words, you can configure each and every active content feature that IE6 is
capable of processing by choosing to enable or disable the feature and configuring Internet Explorer to prompt the user for a choice
before accessing the active feature.
A total of 23 active content features are divided into six main categories. These active content features are listed in Table B, along
with the default settings in each of the four Security Zones. You can browse through the settings listed in Table B and compare them
with the predefined security levels listed in Table A, and begin to get a more specific idea of how much protection is offered by each
of the predefined security levels. You can then decide if these default settings offer the level of protection that you’re comfortable with
providing for your organization or if you want to tighten or loosen the security in certain areas.

Active Feature Internet Local Trusted Restricted

Intranet Sites Sites
ActiveX Controls and plug-ins
Download signed ActiveX controls Prompt Prompt Enable Disable
Download unsigned ActiveX controls Disable Disable Prompt Disable
Initialize and script ActiveX controls not Disable Disable Prompt Disable
marked as safe
Run ActiveX controls and plug-ins Enable Enable Enable Disable
Script ActiveX controls marked safe for Enable Enable Enable Disable
scripting
Downloads
File download Enable Enable Enable Disable
Font download Enable Enable Enable Prompt
Microsoft VM
Java permissions High safety Medium Low safety Disable Java
safety
Miscellaneous
Access data sources across domains Disable Prompt Enable Disable
Allow META REFRESH Enable Enable Enable Disable
Display mixed content Prompt Prompt Prompt Prompt
Don't prompt for client certificate when no Disable Enable Enable Disable
certificates or only one certificate exists
Drag and drop or copy and paste files Enable Enable Enable Prompt
Installation of desktop items Prompt Prompt Enable Disable
Launching programs and files in an Prompt Prompt Enable Disable
IFRAME
Navigate subframes across domains Enable Enable Enable Disable
Software channel permissions Medium Medium Low safety High safety
safety safety
Submit nonencrypted for data Enable Enable Enable Prompt
 -21-
Userdata persistence Enable Enable Enable Disable
Scripting
Active scripting Enable Enable Enable Disable
Allow paste operations via script Enable Enable Enable Disable
Scripting of Java applets Enable Enable Enable Disable
User Authentication
Logon Auto logon Auto logon Auto logon Prompt for
only in only in with username and
Intranet Intranet current password
zone zone username
and
password

Table B. The active content features and their default settings

The Security Zones user interface

The user interface for configuring IE6’s Security Zones feature is very straightforward. To begin configuring IE6’s Security Zones,
pull down the Tools menu and select the Internet Options command. When you see the Internet Options dialog box, select the Security
tab, as shown in Figure A.

Figure A. Configure Security Zones feature from the Security tab.

Each of the four Security Zones is represented by an icon in the panel at the top of the tab. As you click each icon, you’ll see the preset
security level setting that applies to that zone. You can adjust the security level by moving the slider to the notches that apply to each
of the four predefined settings.
The Sites button is unavailable in the Internet zone; clicking that button in any of the other zones will display another dialog box
with which you can add specific sites to that zone. For example, selecting the Trusted Sites zone and clicking the Sites button will
display the dialog box shown in Figure B. You can then easily add sites to the zone by typing the address and then clicking the Add
button.
 -22-

Figure B. This dialog box lets you add specific Web sites to the Trusted Sites zone.

At the bottom of the Security Level For This Zone panel in Figure A, notice the Custom Level button. When you click this button,
you’ll see the Security Settings dialog box, as shown in Figure C, where you can configure each of the security settings listed in Table
B.

Figure C. The Security Settings dialog box lets you specify your security settings at the granular level.

Studying the Custom Security Settings

The process of adding sites to the Local Intranet, Trusted Sites, and Restricted Sites zones is easy. So, too, is selecting one of the four
broad security level settings. The tricky part is adjusting the individual options in the Security Settings dialog box, because you really
need to have a thorough understanding of what each of these settings controls. Let’s take a closer look at each of those settings.

ActiveX Controls And Plug-ins

The settings in the ActiveX Controls And Plug-ins category allow you to control whether signed or unsigned controls are downloaded
and executed. An ActiveX control or plug-in is basically a program object that can be inserted into a Web page by the developer and
used to provide some interactive function on the page. For example, an ActiveX control could be used to insert a live stock ticker in a
Web page.
A signed ActiveX control is one that includes a certificate stating who created the control and which Certification Authority, such
as VeriSign, has credentialed the control. A signed ActiveX control can be considered safe under most circumstances. An unsigned
ActiveX control contains neither the author’s name nor a credential. The five settings in this category are:
 Download Signed ActiveX Controls
 Download Unsigned ActiveX Controls
 -23-
 Initialize And Script ActiveX Controls Not Marked As Safe
 Run ActiveX Controls And Plug-ins
 Script ActiveX Controls Marked Safe For Scripting

These can be set to one of three values: Enable, Disable, or Prompt. The latter setting configures Internet Explorer to display a dialog
box asking you whether you want to run the control.
It’s important to point out that the Run ActiveX Controls And Plug-ins setting has an additional option called Administrator
Approved, which gives corporate administrators the ability to allow specific ActiveX controls to be run, while locking out all others.

Downloads
The settings in the Download category allow you to control how you want the browser to deal with the download of files and fonts.
The Font Download option can be set to Enable, Disable, or Prompt; the File Download option can only be set to Enable or Disable.

Microsoft VM
Under the Microsoft VM (Virtual Machine) category, there’s only one setting, Java Permissions. When a Java applet runs, it typically
requests permission to access items on your system, such as folders, files, printers, system information, or network connections.
Obviously, controlling the amount of security applied to Java applets is very important.
To configure Java security, you’ll use one of five settings: Custom, Disable Java, High Safety, Low Safety, and Medium Safety.
Keep in mind that if a Java applet doesn’t need a higher level of permission than what you have set, it will run without requesting
permissions. If it does need a higher level of permission, Internet Explorer will display a dialog box that prompts you to grant the
necessary additional privileges needed for the applet to run.
If you choose the Custom option, you’ll see a Java Custom Settings button at the bottom of the Security Settings dialog box that
will allow you to fine-tune the level for Java permissions on a very granular level. When you click this button, you’ll see a dialog box
with two tabs, as shown in Figure D.
The first tab, View Permissions, allows you to examine the currently selected permissions, which are divided into three categories:
 Permissions Given To Unsigned Content
 Permissions That Signed Content Are Allowed
 Permissions That Signed Content Are Denied

As you can see, each setting under these categories is marked with a traffic light icon; the color of the light indicates the level of
security in place. A green light indicates high security level, a yellow light indicates a medium level of security, and a red light
indicates a low level of security. If you select the Edit Permissions tab, you’ll find a series of option buttons that allow you to
configure each permission setting to Enable, Disable, or Prompt.
Microsoft has provided a built-in Help system that covers in detail each of the Java Permissions settings on the View Permissions
and Edit Permissions pages. To access this Help system for either tab, right-click anywhere in the main area of the page or click the
question mark icon and then click anywhere in the main area of the page. A Help screen will appear.

Figure D
 -24-
Miscellaneous
The Miscellaneous category contains a hodgepodge of settings, most of which were added as the result of various security patches and
fixes that have been integrated into Internet Explorer over the last couple of years. Each of these settings can be configured as Enable,
Disable, or Prompt.
 Access Data Sources Across Domains: Controls cross-domain data access, which can open the door to various spoofing attacks.
 Allow META REFRESH: Controls whether Web pages can use meta-refreshes to reload pages after a preset delay.
 Display Mixed Content: Controls whether Web pages can display content from both secure and nonsecure servers.
 Don't Prompt For Client Certificate When No Certificates Or Only One Certificate Exists: Controls whether users are prompted
to select a certificate when no trusted certificate or only one trusted certificate has been installed on the computer.
 Drag And Drop Or Copy And Paste Files: Controls whether users can drag and drop files or copy and paste files.
 Installation Of Desktop Items: Controls whether users can download and install Active Desktop content.
 Launching Programs And Files In An IFRAME: Controls whether applications may be run and files may be downloaded from
within a floating frame (IFRAME).
 Navigate Subframes Across Domains: Designed to prevent frame spoofing, which is defined as inserting a page containing
malicious content within a frame on a legitimate Web site.
 Software Channel Permissions: Controls whether an e-mail message can be sent with notification of available software for
download or whether that software can be installed.
 Submit Nonencrypted For Data: Controls whether data in HTML forms may be submitted. (Keep in mind that this only affects
non-SSL form data—any data submitted with SSL encryption is always allowed.)
 Userdata Persistence: Controls how objects persist to data, such as page state in user data. Used within an XML store.

Scripting
The Scripting category contains three settings, which allow you to clamp down on malicious scripting activities. Each of these settings
can be configured as Enable, Disable, or Prompt.
 Active Scripting: Used to expose the contents of local files.
 Allow Paste Operations Via Script: Provides access to the contents of the clipboard.
 Scripting Of Java Applets: Allowing a script to access an existing Java applet opens the door to all kinds of mischief since Java
applets can have a wide range of access to the file system.

User authentication
Many Web sites and intranet sites require user authentication to gain access. The Logon security setting allows you to control the
transmission of authentication information via Internet Explorer with the selection of one of four options.
 Anonymous Logon: Disables authentication and uses guest access.
 Automatic Logon Only In Intranet Zone: Automatically logs on all sites in the Intranet zone with the current session username and
password; also issues prompts for username and password for sites in all other zones.
 Automatic Logon With Username And Password: Configures Internet Explorer with the current session username and password.
 Prompt For Username And Password: Configures Internet Explorer to always prompt for a username and a password.

Distributing Security Zone settings via the Group Policy editor

Once you’ve configured your browser’s Security Zone settings, you’ll need to distribute them to your users. While you can use the
Internet Explorer Administration Kit’s Profile Manager to do the job, you can avoid having to install additional software if you use the
method provided by the Group Policy editor.
Doing so is a two-step procedure that involves exporting the Security Zone settings as an INS configuration file and then
configuring your Windows 2000 and Windows XP Professional clients to use the Automatic Browser Configuration feature to import
those settings. The beauty of this distribution method is that you can regularly update the Security Zone settings and then easily
distribute the updates.

Exporting the Security Zone settings

To begin, launch the Group Policy editor by typing Gpedit.msc in the Run dialog box. When you see the Group Policy editor window,
go to the tree view and open the following branch: User Configuration | Windows Settings | Internet Explorer Maintenance. Right-
click on the Security icon and select the Export Browser Settings command from the shortcut menu. When you see the Save .INS File
And .CAB Files dialog box, type the full path and name of the .INS file and click OK, as shown in Figure E. Once you save the INS
file, copy it to the root directory of a local intranet server.
 -25-

Figure E. You can save your Security Zone settings to an INS file.

Figure F. Enable Automatic Browser Configuration on all of your Windows 2000 and Windows XP Professional clients.

Enabling the Automatic Browser Configuration feature

At this point, you’ll need to enable Automatic Browser Configuration on all of your Windows 2000 and Windows XP Professional
clients. You can e-mail these instructions to your users or deploy them manually.
Launch the Group Policy editor by typing Gpedit.msc in the Run dialog box. When you see the Group Policy editor window, go to
the tree view and open the following branch: User Configuration | Windows Settings | Internet Explorer Maintenance | Connection.
Double-click Automatic Browser Configuration.
In the Automatic Browser Configuration dialog box, select both the Automatically Detect Configuration Settings and the Enable
Automatic Configuration check boxes. Then, type the URL to the INS configuration file in the Auto-config URL (.INS File) text box,
as shown in Figure F.

Peace of mind with IE6's Security Zones

The Internet has always been a risky network for IT professionals in charge of a large user base. When users connect to the Internet,
you’re fighting a losing battle if you haven’t taken the necessary precautions to lock down the browser. If your network’s Windows
2000 or Windows XP Professional users access the Internet with IE6, you need to learn how to employ the Security Zones feature to
protect systems from inadvertently downloading malicious active content from the Internet.
 -26-
Design the best security topology for your firewall

by Steven Warren MCSE, MCDBA

TechRepublic

With network security becoming such a hot topic, you may have come under the microscope about your firewall and network security
configuration. You may have even been assigned to implement or reassess a firewall design. In either case, you need to be familiar
with the most common firewall configurations and how they can increase security. In this article, I will introduce you to some
common firewall configurations and some best practices for designing a secure network topology. I have also put together a free
download that includes Visio diagrams of all the topology examples used in this article.

Setting up a firewall security strategy

At its most basic level, a firewall is some sort of hardware or software that filters traffic between your company’s network and the
Internet. With the large number of hackers roaming the Internet today and the ease of downloading hacking tools, every network
should have a security policy that includes a firewall design.
If your manager is pressuring you to make sure that you have a strong firewall in place and to generally beef up network security,
what is your next move? Your strategy should be twofold:
 Examine your network and take account of existing security mechanisms (routers with access lists, intrusion detection, etc.) as
part of a firewall and security plan.
 Make sure that you have a dedicated firewall solution by purchasing new equipment and/or software or upgrading your current
systems.

Keep in mind that a good firewall topology involves more than simply filtering network traffic. It should include:
 A solid security policy.
 Traffic checkpoints.
 Activity logging.
 Limiting exposure to your internal network.

Before purchasing or upgrading your dedicated firewall, you should have a solid security policy in place. A firewall will enforce your
security policy, and by having it documented, there will be fewer questions when configuring your firewall to reflect that policy. Any
changes made to the firewall should be amended in the security policy.
One of the best features of a well-designed firewall is the ability to funnel traffic through checkpoints. When you configure your
firewall to force traffic (outbound and inbound) through specific points in your firewall, you can easily monitor your logs for normal
and suspicious activity.
How do you monitor your firewall once you have a security policy and checkpoints configured? By using alarms and enabling
logging on your firewall, you can easily monitor all authorized and unauthorized access to your network. You can even purchase third-
party utilities to help filter out the messages you don't need.
It's also a good practice to hide your internal network address scheme from the outside world. It is never wise to let the outside
world know the layout of your network.

Firewall terminology
Before we look at specific firewall designs, let's run through some basic firewall terminology you should become familiar with:
 Gateway—A gateway is usually a computer that acts as a connector from a private network to another network, usually the
Internet or a WAN link. A firewall gateway can transmit information from the internal network to that Internet in addition to
defining what should and should not be able to pass between the internal network and the Internet.
 Network Address Translation (NAT)—NAT hides the internal addresses from the external network (Internet) or outside world.
If your firewall is using NAT, all internal addresses are translated to public IP addresses when leaving the internal network, thus
concealing their original identity.
 Proxy servers—A proxy server replaces the network's IP address and effectively hides the actual IP address from the rest of the
Internet. Examples of proxy servers include Web proxies, circuit level gateways, and application level gateways.
 Packet filtering firewall—This is a simple firewall solution that is usually implemented on routers that filter packets. The
headers of network packets are inspected when going through the firewall. Depending on your rules, the packet is either accepted
or denied. Because most routers can filter packets, this is an easy way to quickly configure firewall rules to accept or deny
packets. However, it's difficult for a packet filtering firewall to differentiate between a benign packet and a malicious packet.
 -27-
 Screening routers—This is a packet filtering router that contains two network interface cards. The router connects two networks
and performs packet filtering to control traffic between the networks. Security administrators configure rules to define how packet
filtering is done. This type of router is also known as an outside router or border router.
 Application level gateway—This type of gateway allows the network administrator to configure a more complex policy than a
packet filtering router. It uses a specialized program for each type of application or service that needs to pass through the firewall.
 Bastion host—A bastion host is a secured computer that allows an untrusted network (such as the Internet) access to a trusted
network (your internal network). It is typically placed between the two networks and is often referred to as an application level
gateway.
 Demilitarized zone (DMZ)—A DMZ sits between your internal network and the outside world, and it's the best place to put your
public servers. Examples of systems to place on a DMZ include Web servers and FTP servers.

Now that we have gone over some of the basics, it is time to discuss common firewall designs.

Screening router
A screening router is one of the simplest firewall strategies to implement. This is a popular design because most companies already
have the hardware in place to implement it. A screening router is an excellent first line of defense in the creation of your firewall
strategy. It's just a router that has filters associated with it to screen outbound and inbound traffic based on IP address and UDP and
TCP ports. Figure A shows an example of a screening router.

Figure A

Screening router firewall

If you decide to implement this strategy, you should have a good understanding of TCP/IP and how to create filters correctly on your
router(s). Failure to implement this strategy properly can result in dangerous traffic passing through your filters and onto your private
LAN. If this is your only device, and a hacker is able to pass through it, he or she will have free rein. It's also important to note that
this type of configuration doesn't hide your internal network IP addresses and typically has poor monitoring and logging capabilities.
If you have little or no money to spend and need a firewall configuration quickly, this method will cost you the least amount of
money and will let you use existing routers. It's an excellent start to your firewall strategy and is a good device to use on networks that
use other security tools as well.

Screened host firewalls

 -28-
A screened host firewall configuration uses a single homed bastion host in addition to a screening router. This design uses packet
filtering and the bastion host as security mechanisms and incorporates both network- and application-level security. The router
performs the packet filtering, and the bastion host performs the application-side security. This is a solid design, and a hacker must
penetrate the router and the bastion host to compromise your internal network.
Also, by using this configuration as an application gateway (proxy server), you can hide your internal network configuration by
using NAT translation. Figure B shows an example of this firewall design.

Figure B

Screening router with bastion host

The above design configures all incoming and outgoing information to be passed through the bastion host. When information hits the
screening router, the screening router filters all data through the bastion host prior to the information passing to the internal network.
You can go one step further by creating a dual-homed bastion host firewall. This configuration has two network interfaces and is
secure because it creates a complete physical break in your network. Figure C shows an example of this firewall design.

Figure C
 -29-

Screening router with dual-homed bastion host

Demilitarized zone (DMZ) topology

A DMZ is the most common and secure firewall topology. It is often referred to as a screened subnet. A DMZ creates a secure space
between your Internet and your network, as shown in Figure D.

Figure D

A DMZ topology

A DMZ will typically contain the following:

 Web server
 Mail server
 Application gateway
 E-commerce systems (It should contain only your front-end systems. Your back-end systems should be on your internal network.)

A DMZ is considered very secure because it supports network- and application-level security in addition to providing a secure place to
host your public servers. A bastion host (proxy), modem pools, and all public servers are placed in the DMZ.
 -30-
Furthermore, the outside firewall protects against external attacks and manages all Internet access to the DMZ. The inside firewall
manages DMZ access to the internal network and provides a second line of defense if the external firewall is compromised. In
addition, LAN traffic to the Internet is managed by the inside firewall and the bastion host on the DMZ. With this type of
configuration, a hacker must compromise three separate areas (external firewall, internal firewall, and the bastion host) to fully obtain
access to your LAN.
Many companies take it one step further by also adding an intrusion detection system (IDS) to their DMZ. By adding an IDS, you
can quickly monitor problems before they escalate into major problems.

Summary
In this article, we've examined the basic firewall designs that are prevalent in the business world today. Of course, there is no perfect
firewall design. Every network is unique in its business model and should have a firewall tailored for the company’s specific needs.

When designing a firewall, you must consider numerous factors, including cost, training, security, technical expertise, and
timeframe to implement. Once you've taken all these factors into account and have established a good security policy, you can begin
implementing your firewall topology. The diagrams I've presented here—which are available for download—can serve as templates
when you design your own topology.