9.2. ¿Qué es un cortafuegos?

Un cortafuegos es una máquina segura y confiable que se asienta entre una red privada y una red pública.[1] La máquina cortafuegos se configura con un conjunto de reglas que determinan a qué tráfico de red se le permitirá pasar y cuál será bloqueado o rechazado. En algunas organizaciones grandes, puede que encuentre un cortafuegos localizado dentro de la red corporativa para separar áreas sensibles de la organización de otros empleados. Algunos casos de criminalidad informática acontecen dentro de la misma organización, no sólo provienen de fuera.

Se pueden construir cortafuegos en una variedad de maneras. La configuración más sofisticada involucra un número de máquinas separadas y se conoce como red perimetral [2]. Dos máquinas, denominadas estranguladoras [3] actúan como "filtros" para permitir pasar sólo ciertos tipos de tráfico de red, y entre estos estranguladores residen servidores de red como una pasarela de correo o un servidor intermediario [4] de 'World Wide Web'. Esta configuracón puede resultar muy segura y permite de forma fácil un amplio rango de control sobre quién puede conectarse tanto desde dentro hacia fuera cómo desde fuera hacia dentro. Este tipo de configuración debería ser el utilizado por las grandes organizaciones.

Sin embargo, típicamente los cortafuegos son máquinas únicas que sirven todas estas funciones. Esto es algo menos seguro, porque si hay alguna debilidad en la propia máquina del cortafuegos que le permita a alguien conseguir el acceso al mismo cortafuegos, la seguridad de toda la red habrá sido comprometida. Sin embargo, estos tipos de cortafuegos son más baratos y fáciles de mantener que la configuración más sofistificada descrita arriba. La Figura 9-1 ilustra los dos tipos más comunes de configuración de cortafuegos.

Figura 9-1. Las dos clases más importantes de diseño de cortafuegos

El núcleo de GNU/Linux proporciona un rango de características internas que le permiten funcionar bastante bien como un cortafuegos de IP. La implementación de red incluye código para realizar filtros a nivel de IP en numerosas formas, y proporciona un mecanismo para configurar con precisión qué tipos de reglas le gustaría imponer. El cortafuegos en GNU/Linux es suficientemente flexible como para convertirle en algo muy útil en cualquiera de las configuraciones ilustradas en la Figura 9-1. El 'software' de cortafuegos de Linux proporciona otras dos características muy útiles que se discutirán en capítulos por separado: auditoría de IP (Capítulo 10) y enmascaramiento de IP (Capítulo 11).

Notas

[1]

El término cortafuegos (N. del T.: 'firewall' en inglés) proviene de un aparato utilizado para proteger a las personas del fuego. El cortafuegos es un escudo de material resistente al fuego que se coloca entre un fuego potencial y las personas que protege.

[2]

N. del T.: 'perimeter network' en el original en inglés

[3]

N. del T.: 'chokes' en el original en inglés

[4]

N. del T.: 'proxy' en el original en inglés