Cortafuegos (informtica)
dos los mensajes que entren o salgan de la intranet pa-
Esquema de donde se localizara un cortafuegos en una red de
ordenadores.
Un ejemplo de una interfaz de usuario para un cortafuegos en
Ubuntu
Un cortafuegos (rewall) es una parte de un sistema o
una red que est diseada para bloquear el acceso no au-
torizado, permitiendo al mismo tiempo comunicaciones
autorizadas.
Se trata de un dispositivo o conjunto de dispositivos con-
gurados para permitir, limitar, cifrar, descifrar, el tr-
co entre los diferentes mbitos sobre la base de un con-
junto de normas y otros criterios.
Los cortafuegos pueden ser implementados en hardware
o software, o en una combinacin de ambos. Los corta-
fuegos se utilizan con frecuencia para evitar que los usua-
rios de Internet no autorizados tengan acceso a redes pri-
vadas conectadas a Internet, especialmente intranets. To-
1
san a travs del cortafuegos, que examina cada mensaje
y bloquea aquellos que no cumplen los criterios de se-
guridad especicados. Tambin es frecuente conectar el
cortafuegos a una tercera red, llamada zona desmilitari-
zada o DMZ, en la que se ubican los servidores de la or-
ganizacin que deben permanecer accesibles desde la red
exterior.
Un cortafuegos correctamente congurado aade una
proteccin necesaria a la red, pero que en ningn caso
debe considerarse suciente. La seguridad informtica
abarca ms mbitos y ms niveles de trabajo y protec-
cin.
1 Historia del cortafuegos
El trmino rewall / reblock signicaba originalmente
una pared para connar un incendio o riesgo potencial de
incendio en un edicio. Ms adelante se usa para refe-
rirse a las estructuras similares, como la hoja de metal
que separa el compartimiento del motor de un vehculo
o una aeronave de la cabina. La tecnologa de los corta-
fuegos surgi a nales de 1980, cuando Internet era una
tecnologa bastante nueva en cuanto a su uso global y la
conectividad. Los predecesores de los cortafuegos para
la seguridad de la red fueron los routers utilizados a na-
les de 1980, que mantenan a las redes separadas unas de
otras. La visin de Internet como una comunidad relati-
vamente pequea de usuarios con mquinas compatibles,
que valoraba la predisposicin para el intercambio y la
colaboracin, termin con una serie de importantes vio-
laciones de seguridad de Internet que se produjo a nales
de los 80:[1]
Cliord Stoll, que descubri la forma de manipular
el sistema de espionaje alemn.[1]
Bill Cheswick, cuando en 1992 instal una crcel
simple electrnica para observar a un atacante.[1]
En 1988, un empleado del Centro de Investigacin
Ames de la NASA, en California, envi una nota por
correo electrnico a sus colegas[2] que deca:
Estamos bajo el ataque de un virus de
Internet! Ha llegado a Berkeley, UC San
Diego, Lawrence Livermore, Stanford y
la NASA Ames.
2 1 HISTORIA DEL CORTAFUEGOS

El Gusano Morris, que se extendi a travs de ml- 1.2 Segunda generacin cortafuegos de
tiples vulnerabilidades en las mquinas de la poca. estado
Aunque no era malicioso, el gusano Morris fue el
primer ataque a gran escala sobre la seguridad en Durante 1989 y 1990, tres colegas de los laboratorios
Internet; la red no esperaba ni estaba preparada pa- AT&T Bell, Dave Presetto, Janardan Sharma, y Nigam
ra hacer frente a su ataque.[3] Kshitij, desarrollaron la segunda generacin de servido-
res de seguridad. Esta segunda generacin de cortafuegos
tiene en cuenta, adems, la colocacin de cada paquete
individual dentro de una serie de paquetes. Esta tecno-
1.1 Primera generacin cortafuegos de loga se conoce generalmente como la inspeccin de es-
red: ltrado de paquetes tado de paquetes, ya que mantiene registros de todas las
conexiones que pasan por el cortafuegos, siendo capaz
de determinar si un paquete indica el inicio de una nue-
El primer documento publicado para la tecnologa re-
va conexin, es parte de una conexin existente, o es un
wall data de 1988, cuando el equipo de ingenieros Digital
paquete errneo. Este tipo de cortafuegos pueden ayudar
Equipment Corporation (DEC) desarroll los sistemas de
a prevenir ataques contra conexiones en curso o ciertos
ltro conocidos como cortafuegos de ltrado de paquetes.
ataques de denegacin de servicio.
Este sistema, bastante bsico, fue la primera generacin
de lo que se convertira en una caracterstica ms tcni-
ca y evolucionada de la seguridad de Internet. En AT&T
Bell, Bill Cheswick y Steve Bellovin, continuaban sus in- 1.3 Tercera generacin - cortafuegos de
vestigaciones en el ltrado de paquetes y desarrollaron un aplicacin
modelo de trabajo para su propia empresa, con base en
su arquitectura original de la primera generacin.[4] Son aquellos que actan sobre la capa de aplicacin del
modelo OSI. La clave de un cortafuegos de aplicacin es
El ltrado de paquetes acta mediante la inspeccin de los
que puede entender ciertas aplicaciones y protocolos (por
paquetes (que representan la unidad bsica de transferen-
ejemplo: protocolo de transferencia de cheros, DNS o
cia de datos entre ordenadores en Internet). Si un paquete
navegacin web), y permite detectar si un protocolo no
coincide con el conjunto de reglas del ltro, el paquete
deseado se col a travs de un puerto no estndar o si se
se reducir (descarte silencioso) o ser rechazado (des-
est abusando de un protocolo de forma perjudicial.
prendindose de l y enviando una respuesta de error al
emisor). Este tipo de ltrado de paquetes no presta aten- Un cortafuegos de aplicacin es mucho ms seguro y a-
cin a si el paquete es parte de una secuencia existente ble cuando se compara con un cortafuegos de ltrado de
de trco. En su lugar, se ltra cada paquete basndo- paquetes, ya que repercute en las siete capas del modelo
se nicamente en la informacin contenida en el paquete de referencia OSI. En esencia es similar a un cortafuegos
en s (por lo general utiliza una combinacin del emisor de ltrado de paquetes, con la diferencia de que tambin
del paquete y la direccin de destino, su protocolo, y, en podemos ltrar el contenido del paquete. El mejor ejem-
el trco TCP y UDP, el nmero de puerto).[5] Los pro- plo de cortafuegos de aplicacin es ISA (Internet Security
tocolos TCP y UDP comprenden la mayor parte de co- and Acceleration).
municacin a travs de Internet, utilizando por conven- Un cortafuegos de aplicacin puede ltrar protocolos
cin puertos bien conocidos para determinados tipos de de capas superiores tales como FTP, TELNET, DNS,
trco, por lo que un ltro de paquetes puede distinguir DHCP, HTTP, TCP, UDP y TFTP (GSS). Por ejemplo,
entre ambos tipos de trco (ya sean navegacin web, im- si una organizacin quiere bloquear toda la informacin
presin remota, envo y recepcin de correo electrnico, relacionada con una palabra en concreto, puede habili-
transferencia de archivos); a menos que las mquinas tarse el ltrado de contenido para bloquear esa palabra
a cada lado del ltro de paquetes estn a la vez utilizando en particular. No obstante, los cortafuegos de aplicacin
los mismos puertos no estndar.[6] resultan ms lentos que los de estado.
El ltrado de paquetes llevado a cabo por un cortafuegos
acta en las tres primeras capas del modelo de referencia
OSI, lo que signica que todo el trabajo lo realiza entre 1.4 Acontecimientos posteriores
la red y las capas fsicas.[7] Cuando el emisor origina un
paquete y es ltrado por el cortafuegos, ste ltimo com- En 1992, Bob Braden y DeSchon Annette, de la
prueba las reglas de ltrado de paquetes que lleva con- Universidad del Sur de California (USC), dan forma al
guradas, aceptando o rechazando el paquete en conse- concepto de cortafuegos. Su producto, conocido como
cuencia. Cuando el paquete pasa a travs de cortafuegos, Visas, fue el primer sistema con una interfaz grca con
ste ltra el paquete mediante un protocolo y un nmero colores e iconos, fcilmente implementable y compatible
de puerto base (GSS). Por ejemplo, si existe una norma con sistemas operativos como Windows de Microsoft o
en el cortafuegos para bloquear el acceso telnet, bloquea- MacOS de Apple.[cita requerida] En 1994, una compaa is-
r el protocolo TCP para el nmero de puerto 23. rael llamada Check Point Software Technologies lo pa-
2.5 Cortafuegos personal 3

tent como software denominndolo FireWall-1. segn la URL a la que se est intentando acceder, e inclu-
La funcionalidad existente de inspeccin profunda de pa- so puede aplicar reglas en funcin de los propios valores
quetes en los actuales cortafuegos puede ser compartida de los parmetros que aparezcan en un formulario web.
por los sistemas de prevencin de intrusiones (IPS). Un cortafuegos a nivel 7 de trco HTTP suele denomi-
narse proxy, y permite que los ordenadores de una orga-
Actualmente, el Grupo de Trabajo de Comunicacin
Middlebox de la Internet Engineering Task Force (IETF) nizacin entren a Internet de una forma controlada. Un
proxy oculta de manera ecaz las verdaderas direcciones
est trabajando en la estandarizacin de protocolos para
la gestin de cortafuegos.[cita requerida] de red.

Otro de los ejes de desarrollo consiste en integrar la iden-

tidad de los usuarios dentro del conjunto de reglas del cor-
tafuegos. Algunos cortafuegos proporcionan caractersti-
cas tales como unir a las identidades de usuario con las di-
recciones IP o MAC. Otros, como el cortafuegos NuFW,
proporcionan caractersticas de identicacin real solici-
tando la rma del usuario para cada conexin.[cita requerida]
2.5 Cortafuegos personal
Es un caso particular de cortafuegos que se instala como
software en un ordenador, ltrando las comunicaciones
entre dicho ordenador y el resto de la red. Se usa por tanto,
a nivel personal.

2 Tipos de cortafuegos 3 Ventajas de un cortafuegos

2.1 Nivel de aplicacin de pasarela Bloquea el acceso a personas y/o aplicaciones no autori-
zadas a redes privadas.
Aplica mecanismos de seguridad para aplicaciones espe-
ccas, tales como servidores FTP y Telnet. Esto es muy
ecaz, pero puede imponer una degradacin del rendi- 4 Limitaciones de un cortafuegos
miento.
Las limitaciones se desprenden de la misma denicin
2.2 Circuito a nivel de pasarela del cortafuegos: ltro de trco. Cualquier tipo de ataque
informtico que use trco aceptado por el cortafuegos
Aplica mecanismos de seguridad cuando una conexin (por usar puertos TCP abiertos expresamente, por ejem-
TCP o UDP es establecida. Una vez que la conexin se plo) o que sencillamente no use la red, seguir constitu-
ha hecho, los paquetes pueden uir entre los antriones yendo una amenaza. La siguiente lista muestra algunos de
sin ms control. Permite el establecimiento de una sesin estos riesgos:
que se origine desde una zona de mayor seguridad hacia
una zona de menor seguridad. Un cortafuegos no puede proteger contra aquellos
ataques cuyo trco no pase a travs de l.

2.3 Cortafuegos de capa de red o de ltra-
do de paquetes
Funciona a nivel de red (capa 3 del modelo OSI, capa 2
del stack de protocolos TCP/IP) como ltro de paquetes
IP. A este nivel se pueden realizar ltros segn los dis-
tintos campos de los paquetes IP: direccin IP origen, di-
reccin IP destino. A menudo en este tipo de cortafuegos
se permiten ltrados segn campos de nivel de transpor-
te (capa 3 TCP/IP, capa 4 Modelo OSI), como el puerto
origen y destino, o a nivel de enlace de datos (no existe en
TCP/IP, capa 2 Modelo OSI) como la direccin MAC.
2.4 Cortafuegos de capa de aplicacin
Trabaja en el nivel de aplicacin (capa 7 del modelo OSI),
de manera que los ltrados se pueden adaptar a caracte-
rsticas propias de los protocolos de este nivel. Por ejem-
plo, si trata de trco HTTP, se pueden realizar ltrados
El cortafuegos no puede proteger de las amenazas a
las que est sometido por ataques internos o usua-
rios negligentes. El cortafuegos no puede prohibir a
espas corporativos copiar datos sensibles en medios
fsicos de almacenamiento (discos, memorias, etc.)
y sustraerlas del edicio.
El cortafuegos no puede proteger contra los ataques
de ingeniera social.
El cortafuegos no puede proteger contra los ataques
posibles a la red interna por virus informticos a tra-
vs de archivos y software. La solucin real est en
que la organizacin debe ser consciente en instalar
software antivirus en cada mquina para protegerse
de los virus que llegan por cualquier medio de alma-
cenamiento u otra fuente.
El cortafuegos no protege de los fallos de seguridad
de los servicios y protocolos cuyo trco est per-
mitido. Hay que congurar correctamente y cuidar
4 8 ENLACES EXTERNOS

la seguridad de los servicios que se publiquen en In- 7 Referencias

ternet.
[1] Ingham, Kenneth; Forrest, Stephanie (2002). A History
and Survey of Network Firewalls (pdf). Consultado el 25
de noviembre de 2011.
5 Polticas del cortafuegos
[2] Firewalls by Dr.Talal Alkharobi

Hay dos polticas bsicas en la conguracin de un corta- [3] RFC 1135 The Helminthiasis of the Internet
fuegos que cambian radicalmente la losofa fundamen-
[4] Ingham, Kenneth; Forrest, Stephanie (2002). A History
tal de la seguridad en la organizacin:
and Survey of Network Firewalls (pdf). p. 4. Consultado
el 25 de noviembre de 2011.
Poltica restrictiva: Se deniega todo el trco ex-
[5] http://www.wanredundancy.org/resources/firewall/
cepto el que est explcitamente permitido. El cor- network-layer-firewall Network Layer Firewall
tafuegos obstruye todo el trco y hay que habilitar
expresamente el trco de los servicios que se nece- [6] http://www.skullbox.net/tcpudp.php TCP vs. UDP por
siten. Esta aproximacin es la que suelen utilizar la Erik Rodriguez (en ingls) La referencia no dice nada so-
empresas y organismos gubernamentales. bre el comportamiento de rewalls bajo uso de puertos no
estandar.
Poltica permisiva: Se permite todo el trco ex- [7] William R. Cheswick, Steven M. Bellovin, Aviel D. Ru-
cepto el que est explcitamente denegado. Cada bin (2003). "Google Books Link". Firewalls and Internet
servicio potencialmente peligroso necesitar ser ais- security: repelling the wily hacker
lado bsicamente caso por caso, mientras que el res-
to del trco no ser ltrado. Esta aproximacin la
suelen utilizar universidades, centros de investiga- 8 Enlaces externos
cin y servicios pblicos de acceso a Internet.
Request for Comment 2979 - Comportamiento y re-
La poltica restrictiva es la ms segura, ya que es ms di- querimientos para los cortafuegos de Internet (en in-
fcil permitir por error trco potencialmente peligroso, gls)
mientras que en la poltica permisiva es posible que no se
Firewalls: Seguridad en Internet - Comparativa
haya contemplado algn caso de trco peligroso y sea
(PDF)
permitido por omisin.

6 Vase tambin

Bastion host

Lista de control de acceso

Unied threat management

RFC 2979

Cortafuegos

Firestarter
ZoneAlarm
Uncomplicated Firewall
Gufw
ipfw
PF (software)
Forefront TMG
 5

9 Texto e imgenes de origen, colaboradores y licencias

9.1 Texto
Cortafuegos (informtica) Fuente: http://es.wikipedia.org/wiki/Cortafuegos_(inform%C3%A1tica)?oldid=82623526 Colaboradores:
Sauron, JorgeGG, Lourdes Cardenal, Hashar, ManuelGR, Robbot, Angus, Interwiki, Dodo, Ascnder, Sms, Cookie, Tostadora, Jondel,
Barcex, LadyInGrey, Dianai, Fmariluis, Veloma~eswiki, Robotico, Ecemaml, MatiasBellone, Niqueco, Donpipo, Caos, Digigalos, Airunp,
Edub, Natrix, Taichi, Malkavian, Rembiapo pohyiete (bot), Caiser, Marco Regueira, Further (bot), RobotQuistnix, Gcsantiago, Platoni-
des, Superzerocool, Chobot, Caiserbot, Yrbot, Vitamine, YurikBot, GermanX, Rosita fraguel, Alejobd, KnightRider, Carlos Humberto,
Santiperez, Quiliro, Er Komandante, Ciencia Al Poder, FrozenFlame, Axxgreazz, Miguelcorsi, BOTpolicia, CEM-bot, Roithamer, Laura
Fiorucci, Alexav8, Ugur Basak Bot~eswiki, Hacko2, Cristianrock2, Roberpl, Thijs!bot, Vbarahona, Mahadeva, Firewall~eswiki, LMLM,
Egaida, JAnDbot, Mansoncc, Xavigivax, Reinam, TXiKiBoT, Humberto, Netito777, Fixertool, Valdega, Idioma-bot, Plux, Jmvkrecords,
Biasoli, Bucephala, AchedDamiman, AlnoktaBOT, Mced, Cipin, Cinevoro, VolkovBot, Technopat, Jotego, Queninosta, David.Villa, Mat-
drodes, Fernando Estel, BlackBeast, Lucien leGrey, Barri, AlleborgoBot, Ingteleco, Muro Bot, YonaBot, Jmvgpartner, SieBot, Loveless,
Cobalttempest, BOTarate, Deoxys 94, Correogsk, Tirithel, Antn Francho, DragonBot, Estirabot, Leonpolanco, Mar del Sur, Alecs.bot,
Poco a poco, Antonio Lopez, Paporrubio, Raulshc, Osado, UA31, AVBOT, MastiBot, Diegusjaimes, Bethan 182, Alhassam, Rodri cyber-
dog, Arjuno3, Luckas-bot, Amirobot, Roinpa, Ptbotgourou, Billinghurst, Leiro & Law, Vivaelcelta, SuperBraulio13, Ortisa, Manuelt15,
Xqbot, Jkbw, Serolillo, Cybermaniac, Irbian, Danem, Botarel, Googolplanck, BOTirithel, Luispore, TobeBot, Halfdrag, Vubo, Ver-bot,
Danilo Andres Ramirez, Nachosan, Jorge c2010, Foundling, GrouchoBot, Axvolution, EmausBot, Savh, ZroBot, HRoestBot, Internet-
sinacoso, Dani vk2, J. A. Glvez, Ebrambot, Grillitus, Rubpe19, Any Rand, WikitanvirBot, Ismagm, Hiperfelix, Welteroel, MerlIwBot,
TeleMania, Ruiz-mazon, Gins90, MetroBot, Allan Aguilar, Elvisor, Justincheng12345-bot, Helmy oved, Albertocalzones, Lautaro 97,
Addbot, Chmarkine, PedroPrograma500, BOTito, Saiko28, Timohap, Jarould, Sapristi1000, Gonzalo Rodriguez Zabala y Annimos: 313

9.2 Imgenes
Archivo:Firewall.png Fuente: http://upload.wikimedia.org/wikipedia/commons/5/5b/Firewall.png Licencia: CC BY-SA 3.0 Colaborado-
res: Feito por mim Artista original: Bruno Pedrozo
Archivo:Gufw_10.04.4.png Fuente: http://upload.wikimedia.org/wikipedia/commons/b/ba/Gufw_10.04.4.png Licencia: GPL Colabora-
dores: http://gufw.tuxfamily.org Artista original: ?

9.3 Licencia de contenido

Creative Commons Attribution-Share Alike 3.0