RESUM EN TÉCNICO

Seguridad
de Redes:
Una guía
para imple-
mentar
Firewalls
 Seguridad de Redes Internet, para convertir a cualquier
persona en un “hacker” competente.

Una guía para implementar Hay expertos que dicen: “si su empresa
está conectada a Internet, usted nece-
Firewalls sita un firewall”. La decisión es así de
La pérdida de datos insustituibles fácil. No obstante, usted probablemente
es una amenaza real para cualquier tendrá que considerar varios factores.
empresa que conecta su red con el Comience con las inquietudes básicas
mundo exterior. Por otra parte, el que usted tendría sobre cualquier
acceso remoto y la conexión a Internet otro sistema de seguridad.
permiten mejorar la comunicación a un
nivel sin precedente. Además de proveer ¿Tengo alguna información que
una extensa fuente de información, el valga la pena proteger?
acceso a Internet abre las puertas a un Tome en cuenta:
gran universo de comunicación con los • La información confidencial sobre
clientes y proveedores. No obstante, sus clientes, proveedores y empleados
estas mismas oportunidades exponen que podrían exponerlo a un proceso
sus redes locales (LAN) a sufrir ataques legal si permitiera que alguien más
de “hackers”, así como al uso inadecuado la accediera
por parte de sus propios empleados. • La propiedad intelectual que le pro-
Para comprender el nivel de seguridad porciona una ventaja competitiva
que su red requiere, es necesario consi- en el mercado
ÍNDICE • Los registros esenciales de su negocio
derar varios factores. En primer lugar,
¿Por qué implementar un Firewall? debe determinar cuál es el valor de sus que tendrían que ser recuperados y
datos. La respuesta lógica es: “proba- recreados
¿Realmente existe algún riesgo? 1
blemente más de lo que usted se imagina”.
¿Qué es un Firewall? . . . . . . . . 2 Cuando evalúe el valor de sus datos, No siempre es bueno suponer que nadie
tome en cuenta los riesgos, tales como más está interesado en sus datos. Algu-
Tipos de ataque . . . . . . . . . . . 2 la responsabilidad legal, la pérdida de nos “hackers” operan sin tener algún
su ventaja competitiva o el impacto de beneficio en mente. Simplemente roban
Tecnologías de Firewall . . . . . . 3 la pérdida en la productividad de su sus datos o corrompen su sistema por
empresa como consecuencia de haber el hecho de poder hacerlo.
Características y funciones
comprometido su red. La mayoría de
adicionales de un Firewall . . . . 4 analistas lo expresan claramente: “si ¿Mi información esencial está
Selección del Firewall . . . . . . . . 5 su empresa está conectada a Internet, adecuadamente protegida?
usted necesita un firewall”. La realidad es que si usted posee
Diseñando un Firewall Los beneficios de conectarse a Internet propiedad electrónica de gran valor,
para su red . . . . . . . . . . . . . . . 6 son evidentes. Este documento describe existe una gran posibilidad de que no
los riesgos que su empresa enfrenta esté tan bien protegida como cree.
Conclusión . . . . . . . . . . . . . . . 6 cuando se conecta a Internet, el tipo de Usted puede contribuir mucho para
ataques que pueden ocurrir y ofrece un proteger su sistema:
resumen general de la tecnología de fire-
• Realizando respaldos de su informa-
wall que puede proteger su red contra
ción al final de la jornada de trabajo
los “hackers”. Más específicamente,
discutimos la implementación de un • Protegiendo las carpetas no com-
firewall y los factores que debe tener partidas con claves de acceso o
en cuenta para seleccionar el firewall políticas estrictas de acceso
adecuado para sus necesidades. • Utilizando su router o navegador de
acceso remoto para filtrar el tráfico
¿Por qué implementar un entrante proveniente de todos los
sitios, excepto de fuentes confiables
Firewall? ¿Realmente existe
algún riesgo? Desafortunadamente, los “hackers”
Cualquier persona puede convertirse cuentan con herramientas de software
en un “hacker”. No se necesita ser un sofisticadas. Con suficiente tiempo y
genio en informática para causar estragos determinación, un “hacker” habilidoso
en su red. Existe un amplio rango de puede sobrepasar las medidas de segu-
herramientas y utilitarios que pueden ridad de su empresa.
descargarse fácilmente a través de

1
 Si logra hacerlo, también puede ejecu- una amenaza mucho mayor para la
tar programas y cambiar o acceder a red, éste es inspeccionado mucho más
sus claves de acceso. Es por esta razón estrictamente que el tráfico que sale.
que si su empresa posee datos valiosos
y su red está expuesta a sistemas Al momento de evaluar productos
externos, es muy probable que usted de hardware y software de firewall,
necesite un firewall. probablemente escuchará acerca de
tres tipos de filtración:
¿Qué es un Firewall? • La filtración que bloquea cualquier
Un firewall es un sistema que permite dato de entrada que no haya sido
ejercer políticas de control de acceso específicamente solicitado por un
entre dos redes, tales como su red LAN usuario de la red
privada e Internet, una red pública y • La filtración basada en la dirección
vulnerable. El firewall define los ser- del remitente
vicios que pueden accederse desde el
3DES Estándar de encriptación de • La filtración basada en el contenido
exterior y viceversa. Los medios a
datos (168 bits) de la comunicación
través de los cuales se logra esta función
varían notoriamente, pero en principio, Imagínese que los niveles de filtración
DM Z Zona desmilitarizada un firewall puede considerarse como: son un proceso de eliminación. El fire-
un mecanismo para bloquear el tráfico wall inicialmente determina si la trans-
DoS Negación de servicio misión entrante ha sido solicitada por
y otro para permitirlo. Un firewall
constituye más que una puerta cerrada un usuario de la red y, de no ser así, la
FTP Protocolo de transferencia de rechaza. Luego, cualquier dato que haya
archivos con llave al frente de su red. Es su
servicio de seguridad particular. sido permitido se inspecciona cuida-
dosamente. El firewall verifica la direc-
HTTP Protocolo de transferencia ción de la computadora del remitente,
Los firewalls son también importantes
de hipertexto porque le proporcionan un único “punto con el fin de certificar que proviene
de restricción”, donde se pueden aplicar de un sitio confiable. Finalmente, se
ICSA Asociación Internacional de encarga de verificar el contenido de la
políticas de seguridad y auditoría. Un
Seguridad de Computadoras firewall proporciona al administrador transmisión.
LAN Red local de la red, entre otros datos, información
acerca del tipo y cantidad de tráfico Tipos de ataque
NAT Conversión de direcciones de que ha fluido a través del mismo y Antes de definir exactamente qué tipo
red cuántas veces se ha intentado violar de firewall necesita, debe entender la
la seguridad. De manera similar a un naturaleza de los tipos de amenazas de
POP3 POP 3 versión 3 sistema de circuito cerrado de TV, su seguridad que existen. Internet es
firewall no sólo bloquea el acceso, sino una extensa comunidad, y como tal,
SM TP Protocolo de transferencia también monitorea a aquellos que están existen sujetos buenos y malos. Los
de e-mail merodeando y le ayuda a identificar sujetos malos abarcan desde individuos
los usuarios que han intentado violar incompetentes que provocan daños
TCP/ IP Protocolo de control de su seguridad. sin intención, hasta “hackers” habili-
transmisión / Protocolo de Internet dosos y maliciosos que planean ataques
Objetivo básico de un Firewall deliberados a las empresas, utilizando
VPN Red privada virtual En pocas palabras, un firewall lleva a Internet como su arma preferida.
WAN Red de área amplia cabo tres funciones para proteger su red:
Por lo general, existen tres tipos de
• Bloquea los datos entrantes que ataques que pueden potencialmente
pueden contener el ataque de un impactar en forma negativa a su negocio:
“hacker”
• Oculta la información acerca de la • Hurto de información: Robo de in-
red, haciendo que todo parezca como formación confidencial, tales como
si el tráfico de salida se originara del registros de clientes y empleados, o
firewall y no de la red. Esto también hurto de propiedad intelectual de
se conoce como NAT (Network su empresa
Address Translation) • Sabotaje de información: Cambios a
• Filtra el tráfico de salida, con el fin la información, en un intento de
de restringir el uso de Internet y el dañar la reputación de una persona
acceso a localidades remotas o empresa. Como por ejemplo, ela-
borando cambios a los registros
educativos y médicos de los
Niveles de filtración empleados o publicando contenido
Un firewall puede filtrar tanto el tráfico malintencionado en su sitio Web.
que sale como el que entra. Debido a
que el tráfico que entra constituye

SEGURIDA D DE REDES 2
• Negación de servicio (DoS, Denial of Ser- o las direcciones IP de la red. El “hacker”
vice): Bloqueo de los servidores o red de puede pensar que se ha comunicado con
su empresa, de forma que los usuarios la red, cuando en realidad sólo se ha con-
legítimos no puedan acceder a la infor- tactado con el firewall y, desde ese punto,
mación o, para impedir la operación no es posible bloquear la red. Así mismo,
normal de su empresa. cuando un “hacker” lanza un ataque,
algunos firewalls pueden identificar los
Intentos para lograr acceso datos como tal, rechazar los datos, alertar
al administrador del sistema y realizar un
Un “hacker” puede intentar obtener acceso
seguimiento del origen de los datos, para
a su red por diversión o ambición. Un
capturar al individuo que los envió.
intento de lograr acceso, por lo general,
comienza con la recolección de informa-
ción acerca de la red. Luego, esta informa- Tecnologías de Firewall
ción se utiliza para realizar un ataque con Hay firewalls de todo tipo, tamaño y pre-
un propósito específico, ya sea para cio. Para seleccionar el firewall correcto,
apoderarse o destruir datos. usted debe tomar en cuenta los requeri-
mientos de su negocio y el tamaño de su
Un “hacker” puede usar un scanner de red. Esta sección aborda los diferentes
puertos, un software que permite ver la tipos y tecnologías de firewall y los
estructura de la red. Esto les permite formatos disponibles en el mercado.
averiguar cómo está estructurada la red
y qué software se está ejecutando en la Lo esencial es que, independientemente
misma. del tipo de firewall o funcionalidad que
escoja, usted debe asegurarse de que se
Una vez que el “hacker” tiene una idea de trata de una solución segura y de que ha
la estructura de la red, puede aprovecharse sido certificada por una organización
de todas las debilidades conocidas del confiable, como por ejemplo, la Asociación
software y utilizar las herramientas de Internacional de Seguridad de Computa-
“hacking” para ocasionar estragos en su doras (ICSA). ICSA clasifica los firewalls
ambiente de TI. Es posible, inclusive, en tres categorías: firewalls de filtración
ingresar a los archivos de los adminis- de paquetes, servidores proxy a nivel de
tradores y dejar en blanco los discos, aplicación y firewalls de inspección de
aunque una buena clave de acceso por paquetes (SPI, Stateful Packet Inspection).
lo general puede dificultar esta tarea.
Firewall de filtración de paquetes
Afortunadamente, un buen firewall es Cada computadora de una red tiene una
inmune a un escaneo de puertos y, a me- dirección comúnmente llamada dirección
dida que se desarrollan nuevos scanners IP. Un firewall de filtración de paquetes
de puertos para evadir esta inmunidad, verifica la dirección de donde proviene el
los fabricantes de firewall producen tráfico entrante y rechaza cualquier tráfico
actualizaciones para preservarla. que no coincida con la lista de las direc-
ciones confiables. El firewall de filtración
Ataques de negación de servicio de paquetes utiliza reglas para negar el
(DoS, Denial of Service) acceso, según la información contenida en
Los ataques DoS son puramente maliciosos. el paquete, como por ejemplo: el número
No producen ningún beneficio para el del puerto TCP/IP, la dirección IP de la
“hacker”, mas que el “placer” de que las fuente/origen o el tipo de datos. Las
redes, o parte de ellas, queden inaccesibles restricciones pueden ser tan estrictas
para sus usuarios. Un ataque DoS sobre- o tan flexibles como usted requiera.
carga el sistema de manera que lo deja
inhabilitado, negando así la posibilidad Un router común de una red puede filtrar
de utilizar los servicios de la red. Los el tráfico por dirección, pero los “hackers”
“hackers” envían grandes paquetes de tienen un pequeño truco llamado “spoo-
datos o programas que requieren que fing” de IP, con el cual los datos parecen
el sistema responda continuamente a provenir de una fuente confiable o incluso
comandos falsos. de una dirección de su propia red. Desa-
fortunadamente, el firewall de filtración
Para llevar a cabo un ataque DoS, un de paquetes es propenso al “spoofing”
“hacker” tiene que conocer la dirección IP de IP y son muy difíciles de configurar.
del sistema que va a atacar, pero un buen Cualquier error en su configuración,
firewall no revela su propia dirección IP puede dejarlo vulnerable a los ataques.

3
 Servidor Proxy a nivel de través de Internet o cualquier otra
ruta, como por ejemplo, una compañía
aplicación de “hosting” de Web o que vende sus
Un servidor proxy a nivel de aplicación productos o servicios por Internet.
examina la aplicación usada por cada
paquete IP, con el fin de verificar su La decisión de optar por un firewall
autenticidad. El tráfico de cada apli- con DMZ debe basarse en la cantidad
cación, tales como HTTP para la Web, de usuarios externos que acceden a la
FTP para la transferencia de archivos red y la frecuencia con la que lo hacen.
y SMTP/POP3 para e-mail, por lo
general, requieren de la instalación y Un firewall con DMZ crea un área de
configuración de un proxy de aplica- información protegida (“desmilitari-
ciones diferente. Con frecuencia, los zada”) en la red. Los usuarios externos
servidores requieren que los adminis- pueden ingresar al área protegida,
tradores reconfiguren su red y aplica- pero no pueden acceder al resto de la
ciones (por ejemplo los navegadores red. Esto permite a los usuarios externos
de Web) para soportar el proxy, lo cual acceder a la información que usted
puede resultar en un proceso muy quiere que vean, pero previene que
trabajoso. obtengan información no autorizada.

Firewall de SPI Filtración de contenido

Constituye la última generación en la Un filtro de sitios Web o filtro de con-
tecnología de firewall. Los expertos tenido extiende las capacidades del
en Internet consideran que SPI es la firewall para bloquear el acceso a cier-
tecnología más avanzada y segura, tos sitios Web. Usted puede usar esta
gracias a que examina todos los com- función adicional para asegurarse de
ponentes de un paquete IP para decidir que sus empleados no accedan con-
si acepta o rechaza la comunicación. tenido inapropiado, como por ejemplo,
material pornográfico o racista. Esta
El firewall mantiene un registro de funcionalidad le permite definir cate-
todas las solicitudes de información gorías de material inadecuado y obtener
que se originan de su red. Luego, un servicio que lista miles de sitios
inspecciona toda comunicación Web que incluyen dicho tipo de
entrante para verificar si realmente material. Como siguiente paso, puede
fue solicitada y rechaza cualquiera escoger si quiere bloquear totalmente
que no lo haya sido. Los datos solici- el acceso a estos sitios o permitir su
tados aprobados proceden al siguiente uso, pero manteniendo un registro del
nivel de inspección y el software mismo. Tal servicio debe actualizar
determina el estado de cada paquete automática y regularmente la lista de
de datos. sitios Web que no pueden ser accedidos.

Características y funciones Redes Privadas Virtuales (VPN)

Una VPN es una red privada de datos
adicionales de un Firewall que utiliza la infraestructura de la red
Además de las capacidades de seguridad pública, es decir, Internet. El propósito
estándares, se ha integrado una gran de una red VPN es ofrecer a las empresas
cantidad de características y funciones las mismas capacidades de las líneas
adicionales a los productos de firewall. telefónicas privadas, pero a un costo
Entre estas figuran: soporte para mucho menor. Una red VPN permite
servidores públicos de Web y correo compartir recursos públicos en forma
electrónico, por lo general llamada segura, mediante el uso de técnicas de
zona desmilitarizada (DMZ), filtración encriptación, garantizando así que
de contenido, soporte de encriptación solamente los usuarios autorizados
de VPN y de antivirus. puedan ver o entrar en la red privada
de la empresa.
Firewalls con zona desmilitarizada
(DMZ) Hoy en día, las redes VPN son consi-
Un firewall que provee protección DMZ deradas por las empresas como un
es una solución efectiva para empresas medio rentable de conectar en forma
que ofrecen a sus clientes la posibilidad segura sus sucursales, trabajadores
de conectarse a su red a partir de remotos, socios y clientes principales
cualquier medio externo, ya sea a a sus redes LAN privadas. Una cre-
ciente cantidad de firewalls ahora

SEGURIDA D DE REDES 4
cuenta con capacidades de encriptación electrónico, utilice, como mínimo, la
VPN, ya sea integradas o como carac- última versión del software antivirus.
terística opcional. Este recurso ofrece
a las empresas una alternativa sencilla Selección del Firewall
y rentable, en comparación con las Las funciones de un firewall pueden
líneas dedicadas tradicionales o el implementarse ya sea como software o
acceso remoto a través de módem. como una adición a su router o gateway.
Al momento de implementar una VPN, Alternativamente, la demanda de los
usted necesita asegurarse de que todos dispositivos dedicados de firewall está
los dispositivos soporten el mismo nivel creciendo, principalmente debido a su
de encriptación y que proporcione facilidad de uso, mejor rendimiento y
suficiente seguridad. A la fecha, el bajo costo.
nivel más avanzado de encriptación
públicamente disponible es el estándar Firewalls basados en routers /
3DES de 168 bits que, según los exper- firmware
tos de seguridad, es inquebrantable. Algunos routers proveen capacidades
Uno de los factores que deben tenerse limitadas de firewall. Estas pueden
en cuenta, es que entre más avanzado incrementarse con software u opciones
sea el nivel de encriptación, mayor de firmware adicional. No obstante, es
capacidad de procesamiento requerirá importante que tenga cuidado de no
el firewall. Un pequeño número de sobrecargar su router con servicios
proveedores ofrece ahora la aceleración adicionales de firewall. Además, es
de VPN por hardware, con el fin de posible que algunas funciones de fire-
optimizar el rendimiento del tráfico wall, como VPN, DMZ, filtración de
VPN. contenido o protección a través de
antivirus, no estén disponibles o sean
Protección a través de antivirus muy costosas de implementar.
Todos debemos preocuparnos seria-
mente por las amenazas de los virus, Firewalls basados en software
uno de los esquemas más nocivos de Por lo general, los firewalls basados en
“hacking” de computadoras. Los software son aplicaciones sofisticadas
usuarios pueden dañar rápidamente y complejas que se ejecutan en servi-
toda una red si, inadvertidamente, dores dedicados UNIX o NT. Estos
bajan material desconocido o diseminan productos se tornan aún más costosos
virus peligrosos en las redes. Empresas cuando usted suma los costos de soft-
de todo tipo y tamaño han perdido ware, sistema operativo, hardware de
enormes cantidades de dinero, debido servidor y mantenimiento continuo
al impacto negativo en la productividad requerido para soportar su implemen-
y los costos de reparación de la red tación.
causados por un virus
Resulta esencial también que el
Los firewalls no están diseñados para administrador del sistema monitoree
remover o limpiar virus. No obstante, constantemente e instale las actualiza-
pueden ayudar a detectarlos, lo cual ciones más recientes de seguridad y
es un factor esencial de cualquier plan del sistema operativo, tan pronto como
de protección contra virus. se encuentren disponibles. Sin estas
actualizaciones que cubren los nuevos
Es importante observar que el firewall peligros de seguridad, el software de
sólo puede proteger la red a partir del firewall puede volverse totalmente
dispositivo de WAN al cual está conec- inservible.
tado. Un servidor de acceso remoto o
una PC con un módem puede servir Dispositivos de firewall dedicados
como puerta de acceso a la red, el cual La mayoría de los dispositivos de fire-
puede burlar las medidas de seguridad wall son sistemas de hardware dedica-
del firewall. Lo mismo puede ocurrir dos. Estos dispositivos son menos
cuando un empleado introduce un susceptibles a las fallas de seguridad
diskette infectado con un virus en su inherentes de los sistemas operativos
PC. El lugar más apropiado para insta- Windows NT o UNIX, gracias a que
lar el software antivirus es en la PC de integran sistemas operativos desarrolla-
cada usuario. No obstante, un firewall dos específicamente para utilizarse
puede contribuir a la detección de como firewall. Estos firewalls de alto
virus, exigiendo que cada usuario rendimiento han sido diseñados para
que ingrese a Internet o baje correo satisfacer los altos requerimientos de
5
 rendimiento o del procesador, exigidos Conclusión
por los firewalls SPI.
Las fallas de seguridad son reales y
Debido a que no es necesario fortalecer muy peligrosas. Hoy en día, todas las
el sistema operativo, por lo general, empresas están conscientes de la faci-
los dispositivos de firewall son más lidad con que pueden ser víctimas de
fáciles de instalar y configurar que los ataques aleatorios o deliberados y del
productos de firewall de software. daño que pueden causar. Una buena
Estos ofrecen potencialmente un nivel noticia para su empresa es que 3Com
de instalación “Plug-and-Play”, requie- Corporation también está consciente
ren mínimo mantenimiento y una de estas amenazas y, como resultado,
solución completa. También consti- está desarrollando soluciones de
tuyen una solución rentable en com- seguridad más sólidas y eficientes.
paración con otras implementaciones Tanto empresas como oficinas remotas
de firewall. pueden beneficiarse de las soluciones
de firewall de 3Com, las cuales son
Diseñando un Firewall para menos costosas y complicadas que las
su red soluciones de firewall tradicionales.
Una vez que esté familiarizado con los Aunque los firewalls son apenas uno
diferentes tipos de firewall disponibles de los componentes de un sistema de
en el mercado, el siguiente paso es seguridad, constituyen un componente
definir sus propias políticas de firewall. esencial y las empresas deben invertir
Por ejemplo, ¿el firewall rechazará el tiempo para evaluar el sistema que
explícitamente todos los servicios, mejor se ajuste a sus necesidades, para
excepto aquellos que son críticos para luego implementarlo a la brevedad
conectarse a Internet? o ¿su objetivo posible. Las deficiencias de seguridad
será proveer un esquema de acceso son un peligro constante y no existe
comprobado, de forma que no asuma mejor oportunidad para proteger la
riesgo alguno? Estas decisiones tienen valiosa información de su empresa,
que ver más con las políticas que con que implementar un firewall hoy
la ingeniería del firewall. mismo.
La siguiente decisión es optar por el
nivel de monitoreo, redundancia y
control que usted necesita. Esto requiere
un análisis de las necesidades, inclu-
sive la evaluación de riesgos, para
luego determinar los requisitos, por lo
general conflictivos, y finalmente
decidir qué solución se implementará.
En lo que respecta a firewalls, usted
debe dar mayor énfasis a la seguridad
que a la conectividad. Como estándar,
debe considerar el bloqueo general de
todos los servicios, excepto aquellos
que realmente necesita, analizándolos
caso por caso. Su tarea será mucho
más sencilla si decide bloquear todo,
excepto un conjunto específico de
servicios.

SEGURIDA D DE REDES
Oficinas Corporativas de 3Com Corporation, 5400 Bayfront Plaza, P.O. Box 58145 Santa Clara, CA 95052-8145, EE.UU.

Para mayor información acerca de las soluciones 3Com, visite: www.3com.com

La información contenida aquí representa el punto de vista de 3Com al momento de la publicación de este documento.
Dado que 3Com debe adaptarse a las condiciones cambiantes del mercado, este documento no debe interpretarse como un
compromiso de parte de 3Com y 3Com no puede garantizar la exactitud de cualquier información presentada después de
la fecha de publicación. Este documento es exclusivamente de carácter informativo. 3Com no ofrece garantías, explícitas o
implícitas, en este documento.

Copyright © 2001 3Com Corporation. Todos los derechos reservados. 3Com y el logotipo de 3Com son marcas registradas
de 3Com Corporation. Todos los demás nombres de empresas y productos pueden ser marcas registradas de sus respectivos
propietarios. Producido en los EE.UU. 503090-001S 01/01