La clasificación conceptúal más simple divide los cortafuegos en sólo dos tipos: Cortafuegos a nivel de red (trabajan en las capas 2, 3 y/o 4) Cortafuegos a nivel de aplicación (trabajan en las capas 5,6 y/o 7) Cortafuegos a nivel de aplicacion (trabajan en las capas 2, 3 y/o 4) Cortafuegos a nivel de red (trabajan en las capas 5,6 y/o 7).
Clasificación de los cortafuegos según la industria: Primera generación Segunda generación Tercera generación Cuarta generación Quinta generación.
Cortafuegos según su "acabado externo":
dime dos cortafuegos que son servicios software (programas)
que se ejecutan sobre sistemas operativos
.
¿Cuál es el tipo más básico de cortafuegos? Cortafuegos de filtrado de paquetes Cortafuegos de aplicación.
Cortafuegos de filtrado de paquetes
Analizan el tráfico de la red fundamentalmente en la capa 3, teniendo en cuenta a veces algunas características del tráfico generado en las capas 2 y/o 4 y algunas características físicas propias de la capa 1
Analizan el tráfico de la red en la capa 3
.
Cortafuegos de filtrado de paquetes. Los elementos de decisión con que cuentan a la hora de decidir si un paquete es válido o no son los siguientes:
La dirección de origen desde donde, supuestamente, viene el paquete (capa 3)
La dirección del host de destino del paquete (capa 3)
El protocolo específico que está siendo usado para la comunicación, frecuentemente Ethernet (tunelizado) o IP aunque existen cortafuegos capaces de desenvolverse con otros protocolos como IPX, NetBios, etc (capas 2 y 3)
El tipo de tráfico: TCP, UDP o ICMP (capas 3 y 4)
Los puertos de origen y destino de la sesión (capa 4)
La interfaz física (el puerto hardware concreto, la boca concreta del firewall) del cortafuegos a través de la que el paquete llega y por el que habría que darle salida (capa 1), en dispositivos con 2 o más interfaces de red
El protocolo específico que está siendo usado para la comunicación, exclusivamente Ethernet o IP (capas 2 y 3)
El tipo de tráfico: TCP o UDP (capa 4)
.
Cortafuegos de filtrado de paquetes. Con todos o algunos de los elementos de decisión se forman dos listas de reglas: una de permitidas y otra de denegadas (ACCEPT o DENY)
Los cortafuegos más restrictivos exigen que el paquete pase con éxito por ambas listas, es decir, que no esté expresamente denegado en la lista de denegación y además que esté expresamente autorizado en la segunda
Otras veces existe una única lista de reglas y el paquete es procesado según la primera regla que encontramos en la tabla y define como tratarlo
Otros cortafuegos usan la última regla que encuentran como acción a efectuar
Los cortafuegos más restrictivos exigen que el paquete pase con éxito por una sola de las listas (en caso de habe una lista de aceptación y una lista de denegación)
.
Cortafuegos de filtrado de paquetes. ¿Qué pasa cuando no se encuentra ninguna regla válida? algunos productos aceptan el paquete algunos productos rechazan el paquete todos los productos aceptan el paquete todos los productos rechazan el paquete.
Cortafuegos de filtrado de paquetes. Tipos de acciones: Accept Deny o Drop Discard o Stealth Install.
Cortafuegos de filtrado de paquetes. Diferencias entre Deny o Drop y Discard o Stealth Discard o Stealth es silencioso, no devuelve un código de error al emisor, el cortafuegos no revela su presencia Deny o Drop es silencioso, no devuelve un código de error al emisor, el cortafuegos no revela su presencia.
Cortafuegos de filtrado de paquetes. VENTAJAS: rapidez y alto rendimiento escalabilidad bajo coste facilidad de configuración (introducir reglas estáticas y se acabó) tienen mucha funcionalidad son los más caros dentro de los tipos correlacionan los paquetes entre ellos (y todas las conexiones del firewall entre ellas).
Cortafuegos de filtrado de paquetes. INCONVENIENTES:
funcionalidad limitada
se pueden superar fácilmente usando spoofing
no paran ataques que exploten vulnerabilidades específicas de determinadas aplicaciones, puesto que no examinan las capas altas del modelo OSI (no son firewalls de aplicación)
la información del log del cortafuegos es tan imprecisa como los parámetros usados (direcciones, puertos, etc)
los cortafuegos de filtrado de paquetes son muy susceptibles de cometer errores
las reglas son complejas de construir y necesitan expertos en los protocolos
bajo coste
alto rendimiento y velocidad
.
Indica la correcta:
Los cortafuegos de filtrado de paquetes no son efectivos como medida única de seguridad, pero si muy prácticos como primera barrera, en la que se bloquean ciertos ataques, se filtran protocolos no deseados y se pasan los paquetes restantes a otro cortafuegos que examine las capas más altas del modelo de red (OSI y/o TCP/IP)
Los cortafuegos de filtrado de paquetes no son efectivos como medida única de seguridad, pero si muy prácticos como primera barrera, en la que se bloquean ciertos ataques, se filtran protocolos no deseados y se pasan los paquetes restantes a otro cortafuegos que examine las capas más bajas del modelo de red (OSI y/o TCP/IP)
.
Indica la correcta: El spoofing puede superar a un cortafuegos de filtrado de paquetes El spoofing no puede superar a un cortafuegos de filtrado de paquetes.
|
