El sistema firewall es un sistema de software, a menudo sustentado por un hardware de red dedicada, que actúa como intermediario entre la red local (u ordenador local) y una o más redes externas. Un sistema de firewall puede instalarse en ordenadores que utilicen cualquier sistema siempre y cuando:
La máquina tenga capacidad suficiente como para procesar el tráfico El sistema sea seguro
No se ejecute ningún otro servicio más que el servicio de filtrado de paquetes en el servidor
En caso de que el sistema de firewall venga en una caja negra (llave en mano), se aplica el término "aparato".
La seguridad es la principal defensa que puede tener una organización si desea conectarse a Internet, dado que expone su información privada y arquitectura de red a los intrusos de Internet (Crakers). El Firewall ofrece esta seguridad, mediante: (Choke Point), monitoreos y políticas de seguridad, determinando que servicios de la red pueden ser accesados y quienes pueden utilizar estos recursos, manteniendo al margen a los usuarios no- autorizados y en caso de una ataque genera alarmas de seguridad
1.10 Rutas Estáticas
Las rutas estáticas se definen administrativamente y establecen rutas específicas que han de seguir los paquetes para pasar de un puerto de origen hasta un puerto de destino. Se
establece un control preciso del enrutamiento según los parámetros del administrador. Las rutas estáticas por default especifican un gateway (puerta de enlace) de último recurso, a la que el router debe enviar un paquete destinado a una red que no aparece en su tabla de enrutamiento, es decir que desconoce.
1.11 Servidores
1.11.1 NAT, Traducción de Dirección de Red (Network address Translation)
Permite a un único dispositivo, como un Router actuar como un agente entre Internet (red pública) y una red local (red privada). Esto quiere decir que solo hace falta una única dirección IP para representar a un grupo de ordenadores. Lo que hace NAT es variar el puerto asociado a la dirección IP, por lo que es válido asociar una sola IP a todo un grupo de ordenadores.
Ventajas:
NAT facilita bastante la administración de redes.
Se pueden hacer cambios en la red interna de forma rápida y fácil, sin que esto afecte a las comunicaciones externas.
NAT dentro de una compañía, es la separación de redes que no deben estar conectadas pero necesitan ciertos accesos entre ellas. La solución es definir los ordenadores que deben conectarse a la otra red y darle una dirección NAT de acceso.
Elimina la reasignación de una nueva dirección IP a cada host cuando se cambia a un nuevo ISP. NAT elimina la necesidad de re-direccionar todos los hosts que requieran acceso externo, ahorrando tiempo y dinero.
Conserva las direcciones mediante la multiplexión a nivel de puerto de la aplicación. Con PAT, los hosts internos pueden compartir una sola dirección IP pública para toda
comunicación externa. En este tipo de configuración, se requieren muy pocas direcciones externas para admitir muchos hosts internos, y de este modo se conservan las direcciones IP.
Protege la seguridad de la red. Debido a que las redes privadas no publican sus direcciones o topología interna, ellas son razonablemente seguras cuando se las utiliza en conjunto con NAT para tener un acceso externo controlado.
1.11.2 ACL`s, Lista de control de acceso (Access Control List)
Es una forma de determinar los permisos de acceso apropiados a un determinado objeto, dependiendo de ciertos aspectos de proceso que hace el pedido.
Las ACL permiten controlar el flujo del tráfico en equipos de redes, tales como enrutadores y conmutadores. Su principal objetivo es filtrar tráfico, permitiendo o denegando el tráfico de red de acuerdo a alguna condición. Sin embargo, también tienen usos adicionales, como por ejemplo, distinguir "tráfico interesante" (tráfico suficientemente importante como para activar o mantener una conexión) en RDSI.
1.11.3 PAT, Traduccion de Direccion de Puerto (Port Address Translation)
Es una característica del estándar NAT que traduce conexiones TCP UDP hechas por un host y un puerto en una red, pero nos brinda mayor ahorro de IPs, debido a que con una dirección IP, pueden salir innumerables direcciones Privadas, asignándoles a cada salida el mismo IP, pero con diferente numero de Puerto, lo que nos permite ahorrar el uso de direcciones IP.
Por ejemplo tenemos una LAN con IP privada 172.16.1.0 - 172.16.1.255, toda esta LAN puede salir con una sola IP pública 200.65.48.190, pero se le agrega el número de puerto que utiliza la IP privada que realiza una petición de salida, entonces quedaría de la siguiente manera:
200.65.48.190:1444 200.65.48.190:1445
Y así sucesivamente, se asignan los puertos para cada host de la Red Interna que realice una salida al exterior.
1.12 Subnetting
El subneting es una colección de direcciones IP que permiten definir el número de redes y de host que se desean utilizar en una subred determinada.
1.12.1 VLSM, Mascara de Subred de tamaño Variable Variable (Length Subnet Mask).
Es una técnica que permite dividir subredes en redes más pequeñas pero la regla que hay que tener en consideración es que solamente se puede aplicar esta técnica a las direcciones de redes/subredes que no están siendo utilizadas por ningún host.
1.12.2 CIDR, Ruteo entre Dominios sin Clases (Classless Inter-Domain Routing)
Es la simplificación de varias direcciones de redes o subredes en una sola dirección IP Patrón que cubra todo ese esquema de direccionamiento IP.