|
Si su red u ordenador están conectados
permanentemente (o durante largos períodos de tiempo) a Internet, si
ofrece servicios accesibles desde el exterior (acceso remoto a
ficheros, servidor web o FTP, etc.), si utiliza software de conexión
remota (como Telnet, Laplink, PC Anywhere, etc.) y desea protegerse
de ataques de intrusos y de troyanos, entonces necesita un
cortafuegos.
Si bien es verdad que para los que se conectan
con un módem de 56 Kbps, los hackers no representan un problema
serio, cada vez más ordenadores domésticos o ubicados en pymes
utilizan conexiones de alta velocidad por RDSI, ADSL o cable con
tarifa plana para permanecer en línea 24 horas al día. ¿Conveniente?
Puede apostar a que sí, ya que permite poner en Internet una página
personal o empresarial, sin necesitar de los servicios de un ISP
externo, y puede olvidarse de mirar el reloj mientras navega. Pero
cuanto mayor es el tiempo que un usuario pasa conectado, mayor es el
riesgo de intrusión. Estar permanentemente en línea le vuelve
vulnerable ante programas automáticos de escaneo de puertos que
sondean direcciones IP en busca de un punto de entrada en su PC o
red doméstica. Posiblemente recibirá una docena o más de "pings" no
solicitados al día (intentos de determinar si su dirección IP está
activa) y traceroutes procedentes de programas de hackers y otras
fuentes. La mayoría son intentos aleatorios de scripts automáticos
de hackers en busca de puertos abiertos en su PC.
Cualquier sistema, desde el momento en que se
encuentra conectado a Internet, puede convertirse en blanco. Los
cortafuegos, sin ser la panacea de la seguridad informática,
representan un poderoso muro de protección entre su ordenador o su
red interna e Internet, barrera que conviene instalar en todo
sistema que esté conectado a Internet 24 horas al día, por modesto
que sea. El software de cortafuegos personal aísla su ordenador de
su conexión a Internet filtrando información, bloqueando puertos
abiertos y deteniendo programas con controles ActiveX o rutinas en
JavaScript. Entre los servicios que cabe esperar de un buen
cortafuegos, se encuentran los siguientes:
- - Aislamiento de Internet: la misión
fundamental de un cortafuegos consiste en aislar su red privada de
Internet, restringiendo el acceso hacia/desde su red sólo a ciertos
servicios, a la vez que analiza todo el tráfico que pasa a través de
él.
- - Detección de intrusos: dado que todo
intento de conexión debe pasar por él, un cortafuegos adecuadamente
configurado puede alertarle cuando detecta actividades sospechosas
que pueden corresponder a intentos de penetración en su red o
tentativas de enviar información desde ella, como los que
realizarían troyanos que se hubieran colado dentro.
- - Auditoría y registro de uso: el cortafuegos
constituye un buen lugar donde recopilar información sobre el uso de
la red. En su calidad de punto único de acceso, el cortafuegos
permite registrar toda la actividad entre la red exterior y la
interior.
- - Autenticación: algunos cortafuegos permiten
autenticarse utilizando métodos más sofisticados que la humilde y
hoy desprestigiada contraseña, basados en tarjetas inteligentes,
contraseñas de un solo uso, llaves hardware, etc.
- - Traducción de direcciones de red (NAT):
otra función adicional que puede realizar el cortafuegos es la de
ocultar el rango de direccionamientos internos de la red empresarial
o doméstica, realizando una traducción de direcciones o NAT (Network
Address Translation).
A pesar de todas sus virtudes y ventajas, los
cortafuegos no proporcionan la solución definitiva a todos los
problemas de seguridad. Existen amenazas fuera del alcance del
cortafuegos, contra las cuales deben buscarse otros caminos de
protección:
- - Ataques desde el interior: evidentemente,
el cortafuegos no puede protegerle de empleados desleales que roban
un disco duro con información confidencial y salen con él bajo el
brazo (recordad Los Alamos).
- - Ataques que no pasan por el cortafuegos: el
cortafuegos se encuentra impotente ante accesos directos a
ordenadores de la red protegida a través de módem o a través de
redes privadas virtuales.
- - Ataques basados en datos: si los programas
que son accedidos a través del cortafuegos, como el servidor web,
ocultan errores graves, un hacker podría explotarlos haciendo uso
exclusivamente de tráfico HTTP (véase "Sobre puertas y ratoneras" en
www.iec.csic.es/criptonomicon/susurros/susurros09.html para una
descripción en detalle de estos ataques). Los virus constituyen una
amenaza difícil de rechazar incluso para los cortafuegos más
sofisticados.
- - Ataques completamente nuevos: los buenos
cortafuegos pueden proteger ante muchos ataques desconocidos aún por
llegar, pero no frente a todos. Los hackers siempre corren un paso
por delante de los fabricantes de productos de seguridad.
Hasta hace bien poco, todos los productos
comerciales de cortafuegos quedaban restringidos para su uso
empresarial, debido a su elevado precio, su dificultad de
configuración y la exigencia de conocimientos especializados para
operarlos. Sin embargo, a medida que crece el número de usuarios
domésticos y pequeñas empresas conectados a Internet las 24 horas
del día, aumenta de forma pareja la necesidad de protección del
sistema informático, desde instalaciones modestas con un solo
ordenador a otras algo más completas con menos de una docena de
ordenadores. En la mayoría de estos casos resultaría descabellado
plantearse la compra de un potente cortafuegos, porque ni las
economías lo permitirían ni las circunstancias lo exigen. Sin
embargo, este gran mercado de pequeño poder adquisitivo está de
enhorabuena, porque están saliendo a la luz nuevos productos de
cortafuegos personales, con grandes prestaciones y seguridad
notable.
El cortafuegos personal, escaneador de virus y
filtro de contenidos web/correo de ESafe Desktop 2.2 de Aladdin
Knowledge Systems (gratis para uso personal, en www.aks.com) coloca
a las páginas web, descargas de correo electrónico y discos
flexibles que entran en su sistema en un "patio de juegos" (sandbox)
hasta que pasan la cuarentena. Aunque ralentiza un poco las cosas,
la paz de espíritu que proporciona vale su precio. BlackICE Defender
(por unas 7.000 pesetas en www.networkice.com) monitoriza y protege
el acceso a red de su PC. Otros sistemas de seguridad y cortafuegos
personal incluyen Internet Security 2000 de Norton (7.000 pesetas,
www.symantec.com) y ZoneAlarm 2.1 de ZoneLabs (totalmente gratuito
para uso personal, disponible en www.zonelabs.com). La red @Home ha
establecido un "Centro de Seguridad En Línea" promocionando el
software de cortafuegos personal de McAfee (un servicio de
suscripción por 5.400 pesetas al año en www.mcafee.com), basado en
el software Conseal Private Desktop de Signal9.
En definitiva, si su red u ordenador están
conectados permanentemente (o durante largos períodos de tiempo) a
Internet, si ofrece servicios accesibles desde el exterior (acceso
remoto a ficheros, servidor web o FTP, etc.), si utiliza software de
conexión remota (como Telnet, Laplink, PC Anywhere, etc.) y desea
protegerse de ataques de intrusos y de troyanos, entonces necesita
un cortafuegos. Su sofisticación dependerá ya de sus necesidades
concretas de seguridad y de su precio. Pero eso sí, no lo olvide,
sin un cortafuegos está expuesto a todo tipo de peligros.
Más información:
Cortafuegos
http://www.iec.csic.es/criptonomicon/articulos/expertos35.html
Sobre puertas y ratoneras
http://www.iec.csic.es/criptonomicon/susurros/susurros09.html
LINUX como cortafuegos gratuito
http://www.iec.csic.es/criptonomicon/consejos/cortafuegoslinux.html
Gonzalo Álvarez Marañón
criptonomicon@iec.csic.es
Boletín Criptonomicón #73
http://www.iec.csic.es/criptonomicon
Noticias
HISPASEC
| 
