Introducción

El concepto de seguridad y control del acceso en los sistemas corporativos es ya un clásico en muchos ámbitos de la telemática, sin embargo, Internet ha puesto de moda y en evidencia las carencias y el descuido que respecto a la seguridad, observan muchos de los sistemas conectados a la red de redes.

Son muchos los lugares de las redes de empresa donde los piratas informáticos pueden penetrar para introducir virus, extraer información o causar daños de todo tipo. Así mismo, también es bastante frecuente la captura de tráfico ilegal, pudiendo los intrusos disponer de información muy valiosa de comportamiento, información personal e incluso infamación de las transacciones realizadas.

El principio de los mecanismos de seguridad de los sistemas corporativos es el de mantener a los intrusos fuera de la red de la empresa, permitiéndole a ésta realizar su trabajo. La tecnología fundamental utilizada en estos casos es la instalación de un firewall o cortafuegos.

Seguridad de los sistemas corporativos mediante cortafuegos

En el entorno de redes de ordenadores, un cortafuegos es un sistema de contención que intenta impedir la diseminación de daños a través suyo. Físicamente, un cortafuegos de Internet es un sistema o grupo de sistemas informáticos situados en el perímetro de una red para proteger todas sus vías de acceso estableciendo un control del tráfico de entrada y salida. La podemos asemejar a una aduana, que vigila todo lo que la atraviesa, decidiendo qué puede o no atravesarla y bajo qué condiciones. Por consiguiente, un cortafuegos sólo protege contra la diseminación de los ataques derivados de accesos públicos, es decir, sólo puede controlar el tráfico que pasa a través de él.

Desde el punto de vista de las funciones, el cortafuegos tiene una doble misión:

• Bloquear el tráfico proveniente de direcciones no autorizadas o que acceden aplicaciones restringidas.
• Permitir el flujo de tráfico de las operaciones legales.

En función de las implementaciones, el énfasis se hará en el tráfico que debe ser bloqueado y en otros casos se centrarán en el tipo de tráfico que deben permitir.

Los principales aspectos críticos que deberá resolver la configuración del cortafuegos en los sistemas corporativos se centrarán en las siguientes problemáticas:

• Comunes con el usuario: usurpación de la identidad e integridad de la información.
• Accesos autorizados: permitir el acceso a las direcciones de origen validadas y autorizadas.
• Aplicaciones autorizadas: permitir el acceso a las aplicaciones en función de la identidad validada.
• Filtrado de solicitudes de conexión desde nuestra red a Internet.
• Protección de los datos de identidad de nuestros usuarios en los accesos autorizados a Internet.
• Protección ante "caballos de troya", en forma de archivos Java, PostScript, etc.
• Realizar todas las funciones anteriores sin afectar a las prestaciones y funcionalidades de Internet que los usuarios internos demandan.

Cortafuegos

1. Conceptos básicos

Como hemos visto, un cortafuegos es un dispositivo lógico que protege a una red privada del resto de la red pública. Pero se ha de recalcar que, no se trata de cualquier sistema capaz de mejorar la seguridad de la red interna, sino que ha de cumplir tres premisas:

1. Todo el tráfico entre la red interna y la externa debe pasar necesariamente a través del cortafuegos. Para ello pueden emplearse varias arquitecturas físicas y lógicas.
2. Sólo el tráfico autorizado según la política de seguridad del administrador de la red interna puede pasar de una red a otra.
3. El sistema cortafuegos es inmune a ataques desde la red externa.

A partir de estas premisas son posibles distintas implantaciones de cortafuegos diferenciadas por la arquitectura concreta que asegura la premisa a y por la forma de efectuar el filtrado de la información de una red a otra, según la c.

El funcionamiento básico de un cortafuegos es el siguiente:

1. Se coge un ordenador con capacidad de encaminar (por ejemplo, un PC con Linux).
2. Se le ponen dos interfaces (por ejemplo interfaces serie, o Ethernet, o de paso de testigo en anillo…).
3. Se le deshabilita el reenvío de paquetes IP (IP forwarding).