Saltar a contenido

Firewall

Un firewall tiene por objeto impedir el acceso no autorizado a una red privada, comercial o estatal, aunque (o precisamente porque) la red esté conectada a una red pública en el exterior. Una vez establecida una conexión TCP/IP, se transportan todos los paquetes de datos. A diferencia de un firewall, un router no se interesa por el contenido de los paquetes que transmite, aunque la funcionalidad sería comparable.

En principio, un firewall funciona cortando la conexión con el exterior y colocando en medio un equipo con dos interfaces de red. Este equipo funciona casi como un router. Sin embargo, no envía todos los paquetes al otro lado, sino que utiliza sus reglas para comprobar si se permite el paso del paquete, si se rechaza o simplemente se descarta.

Como cada paquete contiene el número IP del remitente y del destinatario y también el número de puerto de ambos, el equipo "firewall" puede reconocer el propósito para el que se envió el paquete. Por ejemplo, una petición a un servidor web en Internet tendrá como destinatario un número IP que no pertenece a la red local y tendrá el número de puerto 80, por ejemplo. El remitente tiene un número IP del área de la empresa y un número arbitrario como número de puerto (puerto dinámico) que no pertenece a los puertos conocidos. Cuando el servidor responde, se intercambian el destinatario y el remitente. En cambio, un intento de atacar el servidor web de la intranet interna de la empresa desde el exterior tendría un aspecto diferente. El destinatario del paquete tendría un número IP de la red interna de la empresa y el número de puerto sería 80. Por tanto, es posible saber quién es el cliente y quién el servidor a partir de las direcciones de los paquetes.

Las reglas del firewall suelen inicializarse para impedir cualquier comunicación desconocida. Posteriormente se van permitiendo sucesivamente los canales de comunicación necesarios e inofensivos. Por lo tanto, el acceso desde el servidor web al exterior a través del puerto 80 debe estar explícitamente habilitado, de lo contrario los paquetes serán bloqueados o descartados, dependiendo de la regla.