Tema 2

Seguridad en Redes y Análisis Inteligente de Amenazas

Tema 2. Seguridad
perimetral
Índice
Esquema

Ideas clave

2.1. Introducción y objetivos

2.2. Concepto de cortafuegos y funcionalidades

2.3. Tipos de cortafuegos

2.4. NGFW: next generation firewalls

2.5. Funcionamiento práctico de iptables

2.6. Referencias bibliográficas

A fondo

Firewall Gateways

Cisco NGFW demo

Test
 Esquema

Seguridad en Redes y Análisis Inteligente de Amenazas 3

Tema 2. Esquema
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

2.1. Introducción y objetivos

Con la expansión de Internet, hoy en día es prácticamente imposible encontrar un

equipo que no cuente con acceso a la red de redes. Esta conexión lleva asociado un

alto riesgo de exposición del equipo conectado y la red en la que se encuentra, ya

que permite al mundo exterior tener acceso a esta e interactuar con ella.

Suele ser necesario acceder a algunos servicios como HTTP o DNS desde el exterior

y, por tanto, precisen mantenerse abiertos, lo que constituye una grave amenaza.

Para prevenir el acceso no autorizado a redes locales se utilizan los cortafuegos.

Normalmente, un cortafuegos se localiza entre Internet y la red local con el fin de

filtrar el tráfico proveniente del exterior hacia la red interna y el proveniente de la red

interna hacia el exterior.

E l principal objetivo de esta unidad es introducir al alumno el concepto de

cortafuegos, así como los diferentes métodos que existen para el filtrado de

paquetes TCP/IP a través de ellos. Asimismo, se verán las distintas posibilidades de

configuración de cortafuegos para la protección de redes.

Se necesita acceder físicamente a un equipo sin conexión a una red para poder ser

atacado. Sin embargo, un equipo conectado a una red se expone a un mayor

número de amenazas, ya que el número de vías que pueden ser utilizadas para

llevar a cabo un posible ataque se incrementa notablemente.

La necesidad de acceso físico para llevar a cabo cualquier acción en un equipo

aislado supone una primera línea de defensa. Sin embargo, en un equipo conectado

a una red pueden efectuarse acciones de manera remota que pongan en peligro el

propio equipo y los equipos conectados a la misma red. Además, el tráfico que fluye

por la red no puede ser considerado siempre fiable, por lo que es necesario

disponer de algún tipo de mecanismo que permita discriminarlo y solo deje pasar a la

Seguridad en Redes y Análisis Inteligente de Amenazas 4

Tema 2. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

red interna el tráfico legítimo. En este punto aparecen los sistemas cortafuegos, cuya

tarea es evitar que los usuarios desautorizados de Internet tengan acceso a las redes

privadas conectadas con Internet, especialmente intranets.

En definitiva, este tema tiene como objetivo introducir al alumno en el mundo de los

cortafuegos y como deben emplearse para crear una red segura que dificulte o evite

intrusiones. Para ello, durante este tema se tratarán tres puntos principales:

▸ Utilidad de los cortafuegos.

▸ Tipos de filtrado de tráfico en cortafuegos.

▸ Next generation firewalls (NGFW).

▸ Funcionamiento práctico de un cortafuegos de filtrado de paquetes.

Seguridad en Redes y Análisis Inteligente de Amenazas 5

Tema 2. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

2.2. Concepto de cortafuegos y funcionalidades

U n cortafuegos se define habitualmente como un sistema confiable y seguro

situado entre dos redes, por el cual pasa todo el tráfico que estas intercambian, y se

considera un mecanismo de prevención de accesos no autorizados a una red local.

Existen también, sin embargo, un tipo de cortafuegos conocidos como cortafuegos

d e host, que se sitúan en un host concreto y tan solo filtran el tráfico saliente o

entrante de ese único host.

Los cortafuegos implementan una política de seguridad que define los servicios y

accesos permitidos en términos de configuración de red, haciendo uso, entre otras,

de las siguientes funcionalidades:

▸ Un cortafuegos pretende mantener a los usuarios no autorizados fuera de la red

protegida, prohíbe que los servicios potencialmente vulnerables entren o salgan de

la red, y brinda protección contra varios tipos de ataques de suplantación de IP.

Adicionalmente, facilita la ocultación de sistemas vulnerables y ocultación de
información: nombres de sistemas, topología de red, etc.

▸ Proporciona una ubicación privilegiada para monitorizar eventos relacionados con la

seguridad.

▸ Es una plataforma adecuada para algunas funciones de red no directamente

relacionadas con la seguridad, como pueden ser: un NAT (Network Address

Translation) o diversas funciones de gestión de red para auditar posteriormente el

uso de Internet.

Los cortafuegos presentan también algunas limitaciones entre las que se pueden

indicar las siguientes:

▸ El cortafuegos no puede proteger contra ataques que no pasan por él. Ataques

laterales que se comunican entre equipos de la red interna sin pasar por el

Seguridad en Redes y Análisis Inteligente de Amenazas 6

Tema 2. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

cortafuegos o el uso de redes de comunicaciones externas a la red de comunicación

en la que se encuentra el cortafuegos.

▸ En muchas ocasiones las amenazas internas pueden también eludir la protección del

cortafuegos. Por ejemplo, un empleado que coopera (con intención o no) con el
atacante puede facilitar una conexión autorizada por la que el atacante tenga acceso
a la red interna.

▸ De forma similar, un acceso a una red inalámbrica dentro de la LAN que se realice

desde el exterior de la organización puede vulnerar la supervisión del cortafuegos.

▸ Los dispositivos portátiles (como ordenadores portátiles o teléfonos móviles) pueden

ser comprometidos en su uso fuera de la organización y conectarse posteriormente

a la red interna de la empresa.

Seguridad en Redes y Análisis Inteligente de Amenazas 7

Tema 2. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

2.3. Tipos de cortafuegos

En cuanto a los tipos de cortafuegos existentes, la forma más común de clasificarlos

es basándose en los niveles de la pila TCP/IP en los que operan y en la

complejidad del filtrado implementado por el cortafuegos. Con base en esta

clasificación, podemos encontrarnos con los siguientes tipos:

▸ Cortafuegos de filtrado de paquetes: este tipo de cortafuegos filtra los paquetes

en función de los principales campos de la cabecera de red (IP) y transporte (TCP,

UDP, etc.), ignorando el resto de los campos y datos del paquete correspondiente.
Existen cortafuegos de filtrado de paquetes más avanzados que incorporan una
tabla de estado que le permite hacer un seguimiento de las conexiones abiertas y
manejar así características especiales de ciertos protocolos.

▸ Pasarelas a nivel de aplicación: este tipo de cortafuegos actúa de intermediario

(proxy) en todas las transacciones que lo atraviesan, filtrando el campo de datos a

nivel de aplicación según la política de seguridad definida.

▸ Pasarelas a nivel de circuito: este tipo de cortafuegos actúa de intermediario

(proxy) redirigiendo las tramas una vez que se ha establecido una conexión con
este. A diferencia de las pasarelas a nivel de aplicación, las pasarelas a nivel de
circuito no llevan a cabo filtrado a nivel de aplicación.

E n Guidelines on Firewalls and Firewall Policy, SP 800-41-1 (Scarfone & Hoffman,

2009) se proponen una serie de características a tener en cuenta en una política de

accesos de un cortafuegos:

▸ Valores de direcciones IP y protocolo: el control de acceso se basa en la IP o

puertos de origen y destino, el flujo de la comunicación (entrante o saliente) y otras

características a nivel de transporte o red. Este tipo de filtrado se usa en cortafuegos
de filtrado de paquetes y de estado y generalmente se utiliza para limitar el acceso a
servicios específicos.

Seguridad en Redes y Análisis Inteligente de Amenazas 8

Tema 2. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

▸ Protocolo de aplicación: aquí el control de acceso se basa en los datos de la capa

de aplicación. Este tipo de filtrado lo utilizan las pasarelas a nivel de aplicación que
son capaces de monitorizar el intercambio de información de protocolos de
aplicación específicos: SMTP para spam en correo electrónico, solicitudes HTTP a
sitios autorizados únicamente.

▸ Identidad de usuario: el control se basa en la identidad del usuario, de modo que

será necesario utilizar un mecanismo que autentique al usuario, por ejemplo, IPSec.

▸ Actividad de red: en este caso se utilizan parámetros de la red como la hora de la

actividad, la tasa de solicitudes, etc., para detectar intentos de escaneo o de

denegación de servicio (DoS).

Cortafuegos de filtrado de paquetes

Los cortafuegos de filtrado de paquetes funcionan básicamente descartando o

aceptando paquetes en función de una serie de reglas definidas por el

administrador de la red. Las reglas comprueban cierta información contenida en los

paquetes, como dirección IP de origen/destino, número de puerto de origen/destino,

tipo de protocolo de transporte usado (UDP, TCP, etc.), interfaz por la que llega el

paquete, tamaño del paquete, etc. Filtran, por lo tanto, a nivel de la capa de red

ofreciendo, en algunos casos, también ciertas funcionalidades a nivel de enlace y

transporte.

Figura 1. Cortafuegos de filtrado de paquetes. Elaboración propia.

Seguridad en Redes y Análisis Inteligente de Amenazas 9

Tema 2. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

Existen dos formas de implementar las reglas de filtrado (Figura 1) basadas en las

políticas predeterminadas del cortafuegos:

▸ Política restrictiva: todo el tráfico que no esté permitido explícitamente en las

reglas de filtrado será descartado.

▸ Política permisiva: todo el tráfico que no esté prohibido explícitamente en las reglas

de filtrado será aceptado.

La elección de la política por defecto depende de varios factores. En función del

número de hosts externos que puedan acceder a la red, el número de servicios

abiertos, etc., una política restrictiva puede llegar a ser complicada de mantener, ya

que es necesario indicar explícitamente en las reglas de filtrado qué paquetes deben

ser aceptados. No obstante, esta es la opción más segura. Por otro lado, una

política permisiva facilita el uso de la red a los usuarios, pero el nivel de seguridad

proporcionado es más bajo.

Las principales ventajas de un cortafuegos de filtrado de paquetes son su sencillez,

su facilidad de uso y su velocidad. Sin embargo, también tiene algunas desventajas,

principalmente que no llevan a cabo filtrado a nivel de aplicación.

Dentro de los cortafuegos de filtrado de paquetes existe un tipo más avanzado,

conocido como cortafuegos de estado, que permite hacer un seguimiento de las

conexiones abiertas y manejar así características especiales de ciertos protocolos

como TCP.

Pasarela a nivel de aplicación

Una pasarela a nivel de aplicación actúa de intermediario (proxy) en todas las

transacciones que lo atraviesan. Los usuarios contactan con la pasarela que ofrecerá

servicios proxy para unas determinadas aplicaciones (Telnet, HTTP, FTP, IMAP,

POP, etc.). Este proceso es transparente (Figura 2) al usuario, ya que tiene la

impresión de comunicarse directamente con la máquina destino.

Seguridad en Redes y Análisis Inteligente de Amenazas 10

Tema 2. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

Figura 2. Proxy transparente. Elaboración propia.

Este tipo de pasarelas suelen ser más seguras que los cortafuegos de filtrado de

paquetes, ya que no hay que incluir reglas a nivel de red indicando todo el tráfico

permitido, solo es necesario indicar las aplicaciones admitidas.

Las pasarelas a nivel de aplicación permiten además la autenticación de los

usuarios que pretenden conectarse a los servicios. También es muy sencillo

mantener un log en el que se registra el tráfico entrante.

La principal debilidad de este tipo de cortafuegos es la posibilidad de una caída del

proxy en entornos con mucha demanda, ya que supone un procesamiento extra en

cada conexión, que podría sobrecargar el sistema. Otra desventaja surge de la

necesidad de que el proxy requiera soporte específico para las distintas

aplicaciones. Normalmente existe soporte para las aplicaciones más comunes, pero

los problemas surgen a la hora de adoptar nuevas tecnologías.

En la práctica es habitual encontrar topologías de defensa (Figura 3) que incluyen

Seguridad en Redes y Análisis Inteligente de Amenazas 11

Tema 2. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

tanto una pasarela a nivel de aplicación como un cortafuegos de filtrado de paquetes

para una mayor seguridad del sistema.

Figura 3. Topología de defensa. Elaboración propia.

Pasarela a nivel de circuito

Las pasarelas a nivel de circuito pueden ser consideradas un híbrido entre los
cortafuegos de filtrado de paquetes y las pasarelas a nivel de aplicación. En primer

lugar, el usuario debe establecer una conexión con la pasarela, al igual que en las

pasarelas a nivel de aplicación. Una vez establecida la conexión, la pasarela se

comporta como un cortafuegos de filtrado de tráfico, redirigiendo las tramas entre

ambos extremos sin analizar su contenido a nivel de aplicación.

La principal ventaja de este tipo de cortafuegos es que una vez se haya realizado la

autenticación del usuario, no hay necesidad de examinar el contenido de los

paquetes, únicamente las cabeceras, lo que reduce la carga del sistema.

Seguridad en Redes y Análisis Inteligente de Amenazas 12

Tema 2. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

2.4. NGFW: next generation firewalls

Los cortafuegos tradicionales llevan entre nosotros décadas, una evolución

relativamente reciente de estos son los cortafuegos de próxima generación (Next-

generation firewalls, NGFW). Simplificando casi en exceso se podría decir que los

cortafuegos tradicionales se reducen a los cortafuegos de estado, que controlan el

acceso a la red con base en puertos y protocolos. Sin embargo, un NGFW incluye

toda la funcionalidad de estos cortafuegos junto a capacidades añadidas a nivel de

aplicación (detección de intrusión e inteligencia externa al cortafuegos).

Los NGFW presentan diferentes funcionalidades propias de otros elementos de

seguridad en redes (ver Figura 4). Son capaces de correlar toda la información de

estos elementos de red para tomar la decisión relativa al control de acceso a esta. En

esencia, realizan una inspección de paquetes profunda (deep-packet inspection, DPI)

que va más allá de la revisión o el bloqueo en función del puerto y protocolo,

añadiendo análisis inteligente de amenazas por medio de, al menos, la información

de nivel de aplicación y prevención de intrusiones (Definition of Next-Generation

Firewalls (NGFW) - Gartner Information Technology Glossary, s. f.).

Figura 4. Posibles componentes lógicos de un NGFW (en gris los propios de un cortafuegos tradicional).

Seguridad en Redes y Análisis Inteligente de Amenazas 13

Tema 2. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

Elaboración propia.

L a defensa en profundidad es un concepto fundamental que cobra una especial

relevancia al analizar los NGFW. Este concepto nace en el entorno militar y se aplica

generalmente al campo de la informática. La defensa en profundidad se basa en que

se debe esperar que los ataques recibidos se realicen en distintos niveles. Nunca se

puede presuponer que no existirán ataques y, de hecho, se ha de reconocer que

existirán y que algunos de ellos tendrán éxito. Por tanto, es importante implementar

mecanismos de defensa también en múltiples niveles, de modo que cuando un

ataque consiga perpetrar una de las defensas, exista una defensa adicional que
pueda frenar o mitigar los efectos del ataque.

Finalmente, es importante resaltar que una red puede o no contener un NGFW, pero

siempre tendrá los elementos más importantes que los componen, como pueden ser:

cortafuegos de estado, de aplicación, IDS/IPS y VPN.

Unos de los líderes en el mercado de este tipo de cortafuegos según Gartner (2021)

son: Palo Alto Networks, Fortinet, Check Point Software Technologies o Cisco

Secure Firewall.

En el vídeo, Ejemplo de uso de NGFW, se muestra un ejemplo de uso de un

cortafuegos de nueva generación (NGFW), que evidencia algunas de las ventajas

frente a los cortafuegos tradicionales.

Seguridad en Redes y Análisis Inteligente de Amenazas 14

Tema 2. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

2.5. Funcionamiento práctico de iptables

El módulo dentro del núcleo de Linux encargado de procesar los paquetes de red es

Netfilter (http://www.netfilter.org). iptables es un cortafuegos de estado (funciona en

capa 3 del modelo OSI) que pone a disposición del usuario la funcionalidad del

módulo Netfilter. Este ha estado disponible desde el año 2001 como parte del núcleo

de Linux desde su versión 2.4.

A lo largo de los años, la madurez de iptables se ha hecho cada vez más patente

llegando a alcanzar las funcionalidades de cualquier cortafuegos comercial. De

hecho, la mayoría de las distribuciones de Linux actuales incluyen iptables, e incluso

solicitan al usuario en su instalación que defina una política básica para este

cortafuegos.

Básicamente el funcionamiento de iptables se basa en los siguientes tres

componentes:

▸ Tablas: son el nivel más alto del cortafuegos y comprenden la funcionalidad del

cortafuegos (filtrado, NAT, modificación de paquetes, etc.). Dentro de cada tabla se

pueden utilizar cadenas.

▸ Cadenas: cada cadena dentro de una tabla puede contener una o varias reglas

frente a las que se evaluarán los paquetes que lleguen (INPUT), salgan (OUTPUT) o
pasen (FORWARD) por el cortafuegos.

▸ Reglas: contienen las condiciones que el paquete debe cumplir para que se realicen

sobre él las acciones especificadas en la regla en sí.

Tablas, cadenas y reglas

Una tabla en iptables es un concepto abstracto que agrupa la funcionalidad que se le

quiere dar a un cortafuegos, a saber: filtrado de paquetes o traducción de direcciones

Seguridad en Redes y Análisis Inteligente de Amenazas 15

Tema 2. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

(NAT). En concreto existen cuatro tablas:

▸ filter: esta es la tabla por defecto y probablemente la más utilizada. Se utiliza

básicamente para tomar la decisión de si un paquete en función de sus parámetros

debe ser aceptado o descartado.

▸ nat: esta tabla permite implementar la funcionalidad de un NAT modificando las

direcciones origen y destino de los paquetes.

▸ mangle: esta tabla permite alterar las cabeceras de los paquetes de distintas formas,

por ejemplo, modificando el valor de los TTL.

▸ raw: al ser iptables un cortafuegos de estado, los paquetes se inspeccionan teniendo

en cuenta su estado, es decir, el estado de la conexión en la que están

interviniendo. Esta tabla permite trabajar con los paquetes antes de que el núcleo de

Linux comience a registrar su estado. De hecho, gracias a esta tabla sería posible
excluir algunos paquetes del seguimiento de su estado.

Por último, existe una tabla adicional security que se utiliza en los sistemas SELinux

para implementar algunas políticas basadas en los contextos de seguridad de

SELinux.

Cada una de las tablas se compone de unas cadenas por defecto. Estas cadenas

indican los puntos en los que se puede afectar a los paquetes que pasan por el

cortafuegos. A continuación, se presentan las cinco posibles cadenas existentes:

▸ PREROUTING: las reglas que se añadan en esta cadena afectarán a paquetes en el

momento en el que estos llegan a la interfaz de red, sin pasar la decisión de enrutar.

Esta cadena se presenta en las tablas nat, mangle y raw.

▸ POSTROUTING: las reglas que se añadan en esta cadena afectarán a paquetes en

el momento en el que estos salen de la interfaz de red. Esta cadena se presenta en

las tablas nat, mangle y raw.

Seguridad en Redes y Análisis Inteligente de Amenazas 16

Tema 2. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

▸ INPUT: las reglas de esta cadena afectan a los paquetes cuyo destino es el mismo

cortafuegos, justo antes de pasar el paquete al procesado local. Esta cadena se

presenta en las tablas mangle y filter.

▸ OUTPUT: las reglas de esta cadena afectan a los paquetes cuyo origen es el mismo

cortafuegos, justo tras haber sido generados por un proceso local. Esta cadena se

presenta en las tablas raw, mangle, nat y filter.

▸ FORWARD: las reglas de esta cadena afectan a los paquetes que pasan por el

cortafuegos, no son su destino ni su origen (hace las veces de router para ellos).
Esta cadena se presenta en las tablas mangle y filter.

En la Tabla 1 se resumen las cadenas y los paquetes que podrían verse afectados

en cada una, o el momento en el que se verían afectados.

Tabla 1. Resumen del momento en el que se ven afectados por los paquetes en función de la cadena en

la que se coloque la regla. Elaboración propia.

Finalmente, como se comentó anteriormente, las cadenas permiten, por ejemplo,

filtrar tráfico añadiendo reglas. Se podría añadir una regla a la cadena FORWARD

que buscara paquetes cuyo destino sea el puerto 80. Lo que se haga con los

paquetes que cumplan con esta regla dependerá de la acción que se configure para

ella. Las acciones posibles son las siguientes:

▸ ACCEPT: permite que el paquete continue su flujo normal.

Seguridad en Redes y Análisis Inteligente de Amenazas 17

Tema 2. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

▸ DROP: descarta el paquete sin notificar de ninguna forma a los extremos de la

comunicación.

▸ LOG: envía la información de este paquete al syslog.

▸ REJECT: descarta el paquete, pero de forma simultánea envía la respuesta

adecuada notificando al otro extremo de la comunicación de este rechazo.

Los paquetes que son presentados a cada cadena serán evaluados en orden por

cada una de las reglas, hasta que cumplan una de ellas y la acción configurada para

esa regla les afecte. Si ninguna regla dentro de la cadena coincidiera con los

parámetros del paquete, este se vería afectado por la política por defecto de esa

regla, que por motivos de seguridad se establece como DROP por defecto.

Comandos, opciones y acciones

Un comando de iptables se divide en las siguientes partes (ver ejemplos de cada una

de ellas en las Tablas 2, 3 y 4):

iptables [-t tabla] comando [condición] [acción]

Tabla 2. Lista de comandos de iptables y su descripción. Elaboración propia.

Seguridad en Redes y Análisis Inteligente de Amenazas 18

Tema 2. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

Tabla 3. Lista de opciones de iptables junto a su descripción y asociadas a los comandos en los que se

pueden utilizar. Elaboración propia.

Tabla 4. Lista de condiciones más comunes de iptables al realizar reglas de filtrado. Elaboración propia.

A continuación, se muestran algunos ejemplos de comandos de iptables (consultar

esta cheat sheet para ver una lista más completa (Fortuna, 2019)):

▸ iptables -L [cadena]

Muestra las reglas que contiene la cadena pasada como argumento.

▸ iptables -F [cadena]

Borra todas las reglas de una cadena.

Seguridad en Redes y Análisis Inteligente de Amenazas 19

Tema 2. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

▸ iptables -A [cadena] [condiciones]

Agrega una regla a una cadena especificada.

▸ iptables -P [cadena] [acción]

▸ Especifica al Kernel que hacer con los paquetes que no coinciden con ninguna regla

(política por defecto de esa cadena).

En el vídeo, iptables y netcat para realizar pruebas de configuración, se muestran

ejemplos de uso de iptables y netcat para comprobar la configuración del cortafuegos

en sus cadenas de INPUT, OUTPUT y FORWARD.

Seguridad en Redes y Análisis Inteligente de Amenazas 20

Tema 2. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

2.6. Referencias bibliográficas

Definition of Next-generation Firewalls (NGFWs)—Gartner Information Technology

Glossary. (s. f.). Gartner. https://www.gartner.com/en/information-

technology/glossary/next-generation-firewalls-ngfws

Fortuna, A. (2019, mayo 8). iptables: A simple cheatsheet.

https://www.andreafortuna.org/2019/05/08/iptables-a-simple-cheatsheet/

Gartner. (2021). Network Firewall Reviews 2021 | Gartner Peer Insights. Gartner.
https://www.gartner.com/reviews/market/network-firewalls

Rajib, N. (2018). Cisco Firepower Threat Defense (FTD). Cisco Press.

Scarfone, K., y Hoffman, P. (2009). Guidelines on Firewalls and Firewall Policy (NIST

Special Publication (SP) 800-41 Rev. 1). National Institute of Standards and

Technology. https://doi.org/10.6028/NIST.SP.800-41r1

Woland, A. T., Santuka, V., Sanbower, J., Mitchell, C. (2019). Integrated security

technologies and solutions. https://learning.oreilly.com/library/view/-

/9780134807614/?ar

Seguridad en Redes y Análisis Inteligente de Amenazas 21

Tema 2. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 A fondo

Firewall Gateways

Cheswick, W., Bellovin, S., Rubin, A. Firewalls and Internet Security: Repelling the

Wily Hacker. Capítulo 3. Addison Wesley Ed.

https://www.wilyhacker.com/1e/chap03.pdf

En este capítulo de la versión abierta del libro Firewalls and Internet Security:

Repelling the Wily Hacker se presentan en bastante detalle los tipos de cortafuegos

tradicionales y se discute su localización en un esquema lógico de red.

Seguridad en Redes y Análisis Inteligente de Amenazas 22

Tema 2. A fondo
© Universidad Internacional de La Rioja (UNIR)
 A fondo

Cisco NGFW demo

Cisco. (2018, March 9). Cisco Next Generation Firewall (NGFW) Demo. [video].

YouTube. https://www.youtube.com/watch?v=ynUQe2friYM

En este vídeo de YouTube se presenta una demo interesante del NGFW de Cisco

que puede servir de ejemplo para tener claras las ventajas que ofrecen este tipo de

dispositivos.

Seguridad en Redes y Análisis Inteligente de Amenazas 23

Tema 2. A fondo
© Universidad Internacional de La Rioja (UNIR)
 Test

1. El uso del cortafuegos permite:

A. Bloquear la totalidad de las comunicaciones de un sistema de información.

B. Establecer condiciones de interconexión para redes con distintas políticas

de red.

C. Las respuestas A y B son correctas.

D. Ninguna de las anteriores.

2. Entre las funciones de un cortafuegos se encuentran:

A. El control de tráfico desde la red local a internet.

B. El control de tráfico desde internet a la red local.

C. Las respuestas A y B son correctas.

D. Ninguna de las anteriores.

3. Dependiendo de la capa donde se establezcan los controles del cortafuegos:

A. La seguridad de la red interna podrá ser mejor o peor.

B. Podrán establecerse distintos controles de seguridad.

C. Las respuestas A y B son correctas.

D. Ninguna de las anteriores.

4. Las pasarelas a nivel de aplicación:

A. Tienen el inconveniente de necesitar gran cantidad de recursos para su

operación.

B. No permiten realizar controles en función de informaciones pertenecientes

al nivel de red (IP).

C. Las respuestas A y B son correctas.

D. Ninguna de las anteriores.

Seguridad en Redes y Análisis Inteligente de Amenazas 24

Tema 2. Test
© Universidad Internacional de La Rioja (UNIR)
 Test

5. Un dispositivo cortafuegos basado en filtrado de paquetes:

A. Permite determinar los usuarios que pueden tener acceso a una web.

B. Permite determinar los contenidos a los que se puede tener acceso en una

web.

C. Las respuestas A y B son correctas.

D. Ninguna de las anteriores.

6. Una política de cortafuegos restrictiva:

A. Impide que cualquier comunicación pueda atravesar el cortafuegos.

B. No permite el acceso a más de un servicio de red.

C. Las respuestas A y B son correctas.

D. Ninguna de las anteriores.

7. Los ataques de IP spoofing:

A. Pueden ser utilizados para evadir un filtrado a nivel de red.

B. No pueden ser controlados mediante la utilización de pasarelas a nivel de

aplicación.

C. Las respuestas A y B son correctas.

D. Ninguna de las anteriores.

8. Un NGFW es:

A. Un cortafuegos de estado actual.

B. Un modelo específico de cortafuegos comercial.

C. Un cortafuegos tradicional integrado junto a otras funcionalidades de

seguridad en redes.

D. Ninguna de las anteriores.

Seguridad en Redes y Análisis Inteligente de Amenazas 25

Tema 2. Test
© Universidad Internacional de La Rioja (UNIR)
 Test

9. En una cadena de iptables:

A. El orden de las reglas no es relevante.

B. Si se cumple una regla se ejecuta su acción y no se revisan el resto.

C. Si no se cumple ninguna regla no se lleva a cabo ninguna acción.

D. El número de reglas ha de igualar al menos a las de la cadena filter.

10. Para permitir los paquetes con destino el servidor web de mi red, debo añadir

una regla en la cadena:

A. PREROUTING.

B. FORWARD.

C. INPUT.

D. OUTPUT.

Seguridad en Redes y Análisis Inteligente de Amenazas 26

Tema 2. Test
© Universidad Internacional de La Rioja (UNIR)