<HTML>
<HEAD>
<TITLE>Cortafuegos COMO: Cortafuegos: Conceptos B&aacute;sicos</TITLE>
</HEAD>
<BODY>
<A HREF="Cortafuegos-Como-1.html">Anterior</A>
<A HREF="Cortafuegos-Como-3.html">Siguiente</A>
<A HREF="Cortafuegos-Como.html#toc2">Indice</A>
<HR>
<H2><A NAME="s2">2. Cortafuegos: Conceptos B&aacute;sicos</A></H2>


<P><B>Cortafuegos</B> es el t&eacute;rmino que se emplea para referirse a una
franja de bosque que se limpia de &aacute;rboles, vegetaci&oacute;n, y cualquier materia
inflamable, con el fin de crear una barrera que el fuego de un posible
incendio no sea capaz de atravesar. </P>
<P>Un <B>cortafuegos</B> en el mundillo de las redes de ordenadores es un
dispositivo l&oacute;gico que protege una red privada del resto de la red
(p&uacute;blica). Funcionan as&iacute;: </P>
<P>
<OL>
<LI>Se toma un ordenador con capacidad de rutar (por ejemplo un PC
con LiNUX)</LI>
<LI>Se le ponen dos interfaces (por ejemplo interfaces serie, o ethernet,
o de paso de testigo en anillo (Token Ring), etc...)</LI>
<LI>Se le deshabilita el reenv&iacute;o de paquetes IP (IP forwarding)</LI>
<LI>Se conecta una interfaz a la Internet</LI>
<LI>Se conecta la otra interfaz a la red que se quiere proteger</LI>
</OL>
</P>
<P>Ahora hay dos redes distintas que comparten un ordenador. El ordenador
cortafuegos, al que de ahora en adelante llamaremos
<CODE>"cortafuegos"</CODE>, puede comunicarse tanto con la red protegida como
con la Internet. La red protegida no puede comunicarse con la Internet, y
la Internet no puede comunicarse con la red protegida, dado que hemos
deshabilitado el reenv&iacute;o IP en el &uacute;nico ordenador que las conecta. </P>
<P>Si se quiere llegar a la Internet desde la red protegida, hay que hacer
primero un telnet al cortafuegos, y acceder a la Internet desde &eacute;l.  Del
mismo modo, para acceder a la red protegida desde la Internet, se debe
antes pasar por el cortafuegos. </P>
<P>Este es un mecanismo de seguridad excelente contra ataques desde la
Internet. Si alguien quiere atacar la red protegida, primero tiene que
atravesar el cortafuegos. De esta manera el ataque se divide en dos pasos,
y, por lo tanto, se dificulta. Si alguien quiere atacar la red protegida
por m&eacute;todos m&aacute;s comunes, como el bombardeo de emails, o el nefasto
<CODE>"Gusano de Internet"</CODE>, simplemente no podr&aacute; alcanzarla. Con esto
se consigue una protecci&oacute;n excelente. </P>

<H2><A NAME="ss2.1">2.1 Inconvenientes de los Cortafuegos</A></H2>


<P>El mayor problema de los cortafuegos es que restringen mucho el acceso a
la Internet desde la red protegida. B&aacute;sicamente, reducen el uso de la
Internet al que se podr&iacute;a hacer desde un terminal. Tener que entrar en el
<CODE>cortafuegos</CODE> y desde all&iacute; realizar todo el acceso a Internet es
una restricci&oacute;n muy seria. Programas como <EM>Netscape</EM> (pron&uacute;nciese
Nescaf&eacute;), que requieren una conexi&oacute;n directa con la Internet, no funcionan
desde detr&aacute;s de un cortafuegos. La soluci&oacute;n a todos estos problemas es un
<B>Servidor Proxy</B>. </P>


<H2><A NAME="ss2.2">2.2 Servidores Proxy</A></H2>


<P>Los servidores proxy son un invento que permite el acceso directo a la
Internet desde detr&aacute;s de un cortafuegos. Funcionan abriendo un socket en
el servidor y permitiendo la comunicaci&oacute;n con la Internet a trav&eacute;s de &eacute;l.
Por ejemplo: si mi ordenador, <CODE>drig</CODE>, estuviera dentro de la red
protegida y quisiera ver el Web con <EM>Netscape</EM>, pondr&iacute;a un servidor
proxy en el <CODE>cortafuegos</CODE>. El servidor proxy estar&iacute;a configurado
para hacer que las peticiones de conexi&oacute;n de mi ordenador al puerto 80 de
otra m&aacute;quina, se conectara a su puerto 1080, y &eacute;l mismo establecer&iacute;a una
conexi&oacute;n con el puerto 80 de la m&aacute;quina deseada. A partir de entonces
reenviar&iacute;a todos los datos de esa conexi&oacute;n a la otra m&aacute;quina. </P>
<P>Quien haya usado <EM>TIA</EM> o <EM>TERM</EM> se ha encontrado este
concepto antes. Con estos dos programas se puede redirigir un puerto. Un
amigo ten&iacute;a TIA configurado para hacer que quien se conectara a la
192.251.139.21 puerto 4024 lo hiciera a su servidor de Web. El servidor
proxy funciona as&iacute; pero al rev&eacute;s. Para conectarnos al puerto 80 de
cualquiera, debemos usar el puerto 1080 (o cualquier otro que hayamos
dispuesto) del servidor proxy. </P>
<P>Lo importante de los servidores proxy es que, bien configurados, son
completamente seguros. <EM>No</EM> dejan que nadie entre a trav&eacute;s de
ellos. </P>


<HR>
<A HREF="Cortafuegos-Como-1.html">Anterior</A>
<A HREF="Cortafuegos-Como-3.html">Siguiente</A>
<A HREF="Cortafuegos-Como.html#toc2">Indice</A>
</BODY>
</HTML>