Upload
michelle-ysa-valera-gonzalez
View
120
Download
0
Embed Size (px)
Citation preview
ProxyEste artculo o seccin sobreinformticanecesita serwikificadocon un formato acorde a lasconvenciones de estilo.Por favor,edtalopara que las cumpla. Mientras tanto, no elimines este aviso puesto el 10 de mayo de 2013.Tambin puedes ayudarwikificando otros artculos.
Servidor proxy conectando indirectamente dos ordenadores.Unproxy, en unared informtica, es un programa o dispositivo que realiza una accin en representacin de otro, esto es, si una hipottica mquinaAsolicita un recurso a unaC, lo har mediante una peticin aB;Centonces no sabr que la peticin procedi originalmente deA. Esta situacin estratgica de punto intermedio suele ser aprovechada para soportar una serie de funcionalidades: proporcionar cach, control de acceso, registro del trfico, prohibir cierto tipo de trfico, etc.Su finalidad ms habitual es la deservidor proxy, que consiste en interceptar las conexiones de red que un cliente hace a un servidor de destino, por varios motivos posibles como seguridad, rendimiento, anonimato, etc. Esta funcin deservidor proxypuede ser realizada por un programa o dispositivo.
ndice[ocultar] 1Caractersticas 1.1Ventajas 1.2Desventajas 2Aplicaciones 2.1Proxy Cach 2.2Proxy de Web 2.2.1Posibles usos 2.2.2Inconvenientes 2.3Aplicaciones Web Proxy 2.4Proxy SOCKS 2.5Proxies transparentes 2.6Proxy inverso (Reverse Proxy) 2.7Proxy NAT (Network Address Translation) / Enmascaramiento 2.8Proxy abierto 2.9Cross-Domain Proxy 3Referencias 4Enlaces externosCaractersticas[editar]La palabra en inglsproxysignificaintermediarioen espaol. El uso ms comn es el deservidor proxy, que es un ordenador que intercepta las conexiones de red que un cliente hace a un servidor de destino. De ellos, el ms famoso es elservidor proxy web(comnmente conocido solamente como proxy). Intercepta la navegacin de los clientes por pginas web, por varios motivos posibles: seguridad, rendimiento, anonimato, etc. Tambin existen proxy para otros protocolos, como elproxy de FTP. Elproxy ARPpuede hacer de enrutador en una red, ya que hace de intermediario entre ordenadores. Proxy (patrn de diseo)tambin es unpatrn de diseo(programacin) con el mismo esquema que el proxy de red. Un componentehardwaretambin puede actuar como intermediario para otros.Como se ve,proxytiene un significado muy general, aunque siempre es sinnimo deintermediario. Cuando un equipo de la red desea acceder a una informacin o recurso, es realmente el proxy quien realiza la comunicacin y a continuacin traslada el resultado al equipo que la solicit.Hay dos tipos de proxys atendiendo a quien es el que quiere implementar la poltica del proxy: proxy local: En este caso el que quiere implementar la poltica es el mismo que hace la peticin. Por eso se le llama local. Suelen estar en la misma mquina que el cliente que hace las peticiones. Son muy usados para que el cliente pueda controlar el trfico y pueda establecer reglas de filtrado que por ejemplo pueden asegurar que no se revela informacin privada (Proxys de filtrado para mejora de la privacidad). proxy externo: El que quiere implementar la poltica del proxy es una entidad externa. Por eso se le llama externo. Se suelen usar para implementar cacheos, bloquear contenidos, control del trfico, compartir IP, etc.Ventajas[editar]En general (no slo en informtica), los proxies hacen posible: Control: slo el intermediario hace el trabajo real, por tanto se pueden limitar y restringir los derechos de los usuarios, y dar permisos slo al proxy. Ahorro. Slounode los usuarios (el proxy) ha de estar preparado para hacer el trabajo real. Con estarpreparadoqueremos decir que es el nico que necesita los recursos necesarios para hacer esa funcionalidad. Ejemplos de recursos necesarios para hacer la funcin pueden ser la capacidad y lgica de cmputo o la direccin de red externa (IP). Velocidad. Si varios clientes van a pedir el mismo recurso, el proxy puede hacercach: guardar la respuesta de una peticin para darla directamente cuando otro usuario la pida. As no tiene que volver a contactar con el destino, y acaba ms rpido. Filtrado. El proxy puede negarse a responder algunas peticiones si detecta que estn prohibidas. Modificacin. Como intermediario que es, un proxy puede falsificar informacin, o modificarla siguiendo un algoritmo.Desventajas[editar]En general (no slo en informtica), el uso de un intermediario puede provocar: Anonimato. Si todos los usuarios se identifican como uno slo, es difcil que el recurso accedido pueda diferenciarlos. Pero esto puede ser malo, por ejemplo cuando hay que hacer necesariamente la identificacin. Abuso. Al estar dispuesto a recibir peticiones de muchosusuariosy responderlas, es posible que haga algn trabajo que no toque. Por tanto, ha de controlar quin tiene acceso y quin no a sus servicios, cosa que normalmente es muy difcil. Carga. Un proxy ha de hacer el trabajo demuchosusuarios. Intromisin. Es un paso ms entre origen y destino, y algunos usuarios pueden no querer pasar por el proxy. Y menos si hace decachy guarda copias de los datos. Incoherencia. Si hace de cach, es posible que se equivoque y d una respuesta antigua cuando hay una ms reciente en el recurso de destino. En realidad este problema no existe con losservidoresproxy actuales, ya que se conectan con el servidor remoto para comprobar que la versin que tiene en cach sigue siendo la misma que la existente en el servidor remoto. Irregularidad. El hecho de que el proxy represente a ms de un usuario da problemas en muchos escenarios, en concreto los que presuponen una comunicacin directa entre 1 emisor y 1 receptor (comoTCP/IP).Aplicaciones[editar]El concepto de proxy es aplicado de muy distintas formas para proporcionar funcionalidades especficas.Proxy Cach[editar]Conserva el contenido solicitado por el usuario para acelerar la respuesta en futuras peticiones de la misma informacin de la misma mquina u otras. Habitualmente se trata de proxysHTTP/HTTPSaccediendo a contenido web.Proxy de Web[editar]Se trata de un proxy para una aplicacin especfica: el acceso a la web con los protocolosHTTPyHTTPS, y accesoriamenteFTP. Aparte de la utilidad general de un proxy puede proporcionar unacachcompartida para laspginas weby contenidos descargados, actuando entonces como servidorproxy-cache. Estacaches compartida por mltiples usuarios con la consiguiente mejora en los tiempos de acceso para consultas coincidentes y liberando de carga a los enlaces de acceso aInternet. Funcionamiento: El usuario realiza una peticin (por ejemplo, en unnavegador web) de un recurso deInternet(una pgina web o cualquier otro archivo) especificado por unaURL. Cuando elproxy cachrecibe la peticin, busca la URL resultante en su cach local. Si la encuentra, contrasta la fecha y hora de la versin de la pgina demanda con el servidor remoto. Si la pgina no ha cambiado desde que se cargo en cach la devuelve inmediatamente, ahorrndose mucho trfico dado que solo enva un paquete por la red para comprobar la versin. Si la versin es antigua o simplemente no se encuentra en la cach, lo solicita al servidor remoto, lo devuelve al cliente que lo pidi y guarda o actualiza una copia en su cach para futuras peticiones.Posibles usos[editar]Los proxys web pueden aportar una serie de funcionalidades interesantes en distintos mbitos: Reduccin del trficomediante la implementacin decachen el proxy. Las peticiones de pginas Web se hacen al servidor Proxy y no a Internet directamente. Por lo tanto se aligera el trfico en la red y descarga los servidores destino, a los que llegan menos peticiones.El cach utiliza normalmente unalgoritmoconfigurable para determinar cundo un documento est obsoleto y debe ser eliminado de la cach. Como parmetros de configuracin utiliza la antigedad, tamao e histrico de acceso. Dos de esos algoritmos bsicos son elLRU(el usado menos recientemente, en ingls "Least Recently Used") y elLFU(el usado menos frecuentemente, "Least Frequently Used"). Mejora de la velocidaden tiempo de respuesta mediante la implementacin decachen el proxy. El servidor Proxy crea un cach que evita transferencias idnticas de la informacin entre servidores durante un tiempo (configurado por el administrador) as que el usuario recibe una respuesta ms rpida. Por ejemplo supongamos que tenemos un ISP que tiene un servidor Proxy concach. Si un cliente de eseISPmanda una peticin por ejemplo aGoogleesta llegar al servidor Proxy que tiene este ISP y no ir directamente a ladireccin IPdeldominiode Google. Esta pgina concreta suele ser muy solicitada por un alto porcentaje de usuarios, por lo tanto el ISP la retiene en su Proxy por un cierto tiempo y crea una respuesta en mucho menor tiempo. Cuando el usuario crea una bsqueda en Google el servidor Proxy ya no es utilizado; el ISP enva su peticin y el cliente recibe su respuesta ahora s desde Google.Los programas P2P se pueden aprovechar de la cache proporcionada por algunos proxys. Es el llamadoWebcach. Por ejemplo es usado enLphanty algunosModsdelEmule. El proxy puede servir para implementar funciones defiltrado de contenidos. Para ello es necesaria la configuracin de una serie restricciones que indiquen lo que no se permite. Observar que esta funcionalidad puede ser aprovechada no slo para que ciertos usuarios no accedan a ciertos contenidos sino tambin para filtrar ciertos ficheros que se pueden considerar como peligrosos como pueden servirusy otros contenidos hostiles servidos por servidores web remotos. Un proxy puede permitiresconder al servidor web la identidaddel que solicita cierto contenido. El servidor web lo nico que detecta es que la ip del proxy solicita cierto contenido. Sin embargo no puede determinar la ip origen de la peticin. Adems, si se usa una cach, puede darse el caso de que el contenido sea accedido muchas ms veces que las detectadas por el servidor web que aloja ese contenido. Los proxys pueden ser aprovechados para dar un servicio web a unademanda de usuarios superiora la que sera posible sin ellos. El servidor proxy puedemodificar los contenidosque sirven los servidores web originales. Puede haber diferentes motivaciones para hacer esto. Veamos algunos ejemplos: Algunos proxys pueden cambiar el formato de las pginas web para un propsito o una audiencia especficos (Ej. mostrar una pgina en un telfono mvil o unaPDA)traduciendo los contenidos. Hay proxys que modifican el trfico web para mejorar la privacidad del trfico web con el servidor. Para ello se establecen unas reglas que el proxy tiene que cumplir. Por ejemplo el proxy puede ser configurado para bloquear direcciones y Cookies, para modificar cabeceras de las peticiones o quitar javascript que se considere peligroso.Es frecuente el uso de este tipo de proxys en las propias mquinas de los usuarios (proxys locales) para implementar un paso intermedio y que las peticiones no sean liberadas/recibidas a/de la red sin haber sido previamente limpiadas de informacin o contenido peligroso o privado. Este tipo de proxys es tpico en entornos donde hay mucha preocupacin sobre la privacidad y se suele usar como paso previo a la peticin del contenido a travs de unared que persiga el anonimatocomo puede serTor. Los programas ms frecuentes para hacer este tipo de funcionalidad son: Privoxy: Se centra en el contenido web. No presta servicio de cache. Analiza el trfico basndose en reglas predefinidas que se asocian a direcciones especificadas con expresiones regulares y que aplica a cabeceras, contenido, etc. Es altamente configurable. Tiene extensa documentacin. Polipo: Tiene caractersticas que lo hacen ms rpido queprivoxy(cacheo, pipeline, uso inteligente de rango de peticiones). Su desventaja es que no viene configurado por defecto para proveer anonimicidad a nivel de la capa de aplicacin.El servidor proxy proporciona un punto desde el que se puede gestionar de forma centralizada el trfico web de muchos usuarios. Eso puede aprovecharse para muchas funciones adicionales a las tpicas vistas anteriormente. Por ejemplo puede usarse para el establecimiento decontrolar el trfico de webde individuos concretos,establecer cmo se va a llegar a los servidores webde los cuales se quiere obtener los contenidos (por ejemplo, el proxy puede configurarse para que en lugar de obtener los contenidos directamente, lo haga a travs de la red Tor).Inconvenientes[editar] Si se realiza un servicio decach, las pginas mostradas pueden no estar actualizadas si stas han sido modificadas desde la ltima carga que realiz elproxy cach.Un diseador de pginas web puede indicar en el contenido de su web que los navegadores no hagan una cach de sus pginas, pero este mtodo no funciona habitualmente para un proxy. El hecho de acceder a Internet a travs de un Proxy, en vez de mediante conexin directa, dificulta (necesario configurar adecuadamente el proxy) realizar operaciones avanzadas a travs de algunos puertos o protocolos. Almacenar las pginas y objetos que los usuarios solicitan puede suponer una violacin de la intimidad para algunas personas.Aplicaciones Web Proxy[editar]Su funcionamiento se basa en el de un proxy HTTP/HTTPS, pero en este caso el usuario accede desde el navegador web a este servicio de forma manual a travs unaAplicacin Web. Ese servidorHTTP, el intermediario, mediante unaURLrecibe la peticin, accede al servidor de la web solicitada y devuelve el contenido dentro una pgina propia.Proxy SOCKS[editar]1Los servidoresSOCKSse diferencian de otros proxys por utilizar en vez de HTTP un protocolo especfico, el protocolo SOCKS. El programa cliente es a la vez cliente HTTP y cliente SOCKS. El cliente negocia una conexin con el servidor proxySOCKSusando el protocolo SOCKS de nivel 5, capa de sesin, delmodelo OSI. Una vez establecida la conexin todas la comunicaciones entre el cliente y proxy se realizan usando el protocolo SOCKS. El cliente le dice al proxy SOCKS qu es lo que quiere y el proxy se comunica con el servidor web externo, obtiene los resultados y se los manda al cliente. De esta forma el servidor externo solo tiene que estar accesible desde el proxy SOCKS que es el que se va a comunicar con l.El cliente que se comunica con SOCKS puede estar en la propia aplicacin (Ej.Firefox,putty), o bien en la pila de protocolos TCP/IP a donde la aplicacin enviar los paquetes a un tnel SOCKS. En el proxy SOCKS es habitual implementar, como en la mayora de proxys, autenticacin y registro de las sesiones.En los orgenes de la web fue un protocolo de acceso a web popular, pero el rpido desarrollo de los proxies HTTP o incluso de NAT y otras opciones de aseguramiento de las comunicaciones TCP/IP lo hizo caer en desuso prcticamente absoluto llegado elsiglo XXI.Proxies transparentes[editar]Muchas organizaciones (incluyendo empresas, colegios y familias) usan los proxies para reforzar las polticas de uso de la red o para proporcionar seguridad y servicios de cach. Normalmente, un proxy Web o NAT no es transparente a la aplicacin cliente: debe ser configurada para usar el proxy, manualmente. Por lo tanto, el usuario puede evadir el proxy cambiando simplemente la configuracin.Unproxy transparentecombina un servidor proxy con uncortafuegosde manera que las conexiones son interceptadas y desviadas hacia el proxy sin necesidad de configuracin en el cliente, y habitualmente sin que el propio usuario conozca de su existencia. Este tipo de proxy es habitualmente utilizado por las empresas proveedoras de acceso de Internet.Proxy inverso (Reverse Proxy)[editar]Un proxy inverso (reverse proxyen ingls) es un servidor proxy situado en el alojamiento de uno o ms servidores web. Todo el trfico procedente de Internet y con destino en alguno de esos servidores web es recibido por el servidor proxy. Hay varias razones para ello: Seguridad: el servidor proxy es una capa adicional de defensa y por lo tanto protege a los servidores web. Cifrado / Aceleracin SSL: cuando se crea un sitio web seguro, habitualmente el cifrado SSL no lo hace el mismo servidor web, sino que es realizado en un equipo ajeno equipado incluso con hardware de aceleracinSSL/TLS. Distribucin de Carga: el proxy puede distribuir la carga entre varios servidores web. En ese caso puede ser necesario reescribir la URL de cada pgina web (traduccin de la URL externa a la URL interna correspondiente, segn en qu servidor se encuentre la informacin solicitada). Cach de contenido esttico: Un proxy inverso puede descargar de trabajo a los servidores web almacenando contenido esttico como imgenes u otro contenido grfico. Tambin puede almacenar contenido generado dinmicamente pero que pueda ser en alguna medida reutilizable.Proxy NAT (Network Address Translation) / Enmascaramiento[editar]Otro mecanismo para hacer de intermediario en una red es elNAT.La traduccin de direcciones de red (NAT, Network Address Translation) tambin es conocida como enmascaramiento de IPs. Es una tcnica mediante la cual las direcciones fuente o destino de los paquetes IP son reescritas, sustituidas por otras (de ah el "enmascaramiento").Esto es lo que ocurre cuando varios usuarios comparten una nica conexin aInternet. Se dispone de una nicadireccin IPpblica, que tiene que ser compartida. Dentro de la red de rea local (LAN) los equipos emplean direcciones IP reservadas para uso privado y ser el proxy el encargado de traducir las direcciones privadas a esa nica direccin pblica para realizar las peticiones, as como de distribuir las pginas recibidas a aquel usuario interno que la solicit. Estas direcciones privadas se suelen elegir en rangos prohibidos para su uso en Internet como 192.168.x.x, 10.x.x.x, 172.16.x.x y 172.31.x.xEsta situacin es muy comn en empresas y domicilios con varios ordenadores en red y un acceso externo aInternet. El acceso a Internet mediante NAT proporciona una cierta seguridad, puesto que en realidad no hay conexin directa entre el exterior y la red privada, y as nuestros equipos no estn expuestos a ataques directos desde el exterior.Mediante NAT tambin se puede permitir un acceso limitado desde el exterior, y hacer que las peticiones que llegan al proxy sean dirigidas a una mquina concreta que haya sido determinada para tal fin en el propio proxy.La funcin de NAT reside en losCortafuegosy resulta muy cmoda porque no necesita de ninguna configuracin especial en los equipos de la red privada que pueden acceder a travs de l como si fuera un meroencaminador.Proxy abierto[editar]Este tipo de proxy es el que acepta peticiones desde cualquier ordenador, est o no conectado a su red.En esta configuracin el proxy ejecutar cualquier peticin de cualquier ordenador que pueda conectarse a l, realizndola como si fuera una peticin del proxy. Por lo que permite que este tipo de proxy se use como pasarela para el envo masivo de correos despam. Un proxy se usa, normalmente, para almacenar y redirigir servicios como elDNSo la navegacinWeb, mediante elcacheode peticiones en el servidor proxy, lo que mejora la velocidad general de los usuarios. Este uso es muy beneficioso, pero al aplicarle una configuracin "abierta" a todointernet, se convierte en una herramienta para su uso indebido.Debido a lo anterior, muchos servidores, como los deIRC, ocorreo electrnicos, deniegan el acceso a estos proxys a sus servicios, usando normalmente listas negras ("BlackList").Cross-Domain Proxy[editar]Tpicamente usado por Tecnologas web asncronas (flash, ajax, comet, etc) que tienen restricciones para establecer una comunicacin entre elementos localizados en distintos dominios.En el caso deAJAX, por seguridad slo se permite acceder al mismo dominio origen de la pgina web que realiza la peticin. Si se necesita acceder a otros servicios localizados en otros dominios, se instala unCross-Domain proxy2en el dominio origen que recibe las peticiones ajax y las reenvia a los dominios externos.En el caso de flash, tambin han solucionado creando la revisin de archivosxmldeCross-Domain, que permiten o no el acceso a ese dominio o subdominio.Referencias[editar]1. Volver arriba
Servidores proxy y servidores de proxy inversosUSESDEFRITBRAbril 2014Servidores proxyUn servidorproxyes en principio un equipo que acta como intermediario entre los equipos de unared de rea local(a veces medianteprotocolos, con excepcin del protocoloTCP/IP) e Internet.Generalmente el servidor proxy se utiliza para laWeb. Se trata entonces de un proxyHTTP. Sin embargo, puede haber servidores proxy para cada protocolo de aplicacin (FTP, etc.).
Principio operativo de un servidor proxyEl principio operativo bsico de un servidor proxy es bastante sencillo: se trata de un servidor que acta como "representante" de una aplicacin efectuando solicitudes en Internet en su lugar. De esta manera, cuando un usuario se conecta a Internet con una aplicacin del cliente configurada para utilizar un servidor proxy, la aplicacin primero se conectar con el servidor proxy y le dar la solicitud. El servidor proxy se conecta entonces al servidor al que la aplicacin del cliente desea conectarse y le enva la solicitud. Despus, el servidor le enva la respuesta al proxy, el cual a su vez la enva a la aplicacin del cliente.
Caractersticas de un servidor proxyEn los sucesivo, con la utilizacin deTCP/IPdentro deredes de rea local, la funcin de retransmisin del servidor proxy est directamente asegurada por pasarelas y routers. Sin embargo, los servidores proxy siguen utilizndose ya que cuentan con cierto nmero de funciones que poseen otras caractersticas.Almacenamiento en cachLa mayora de los proxys tienen unacach, es decir, la capacidad de guardar en memoria (en cach) las pginas que los usuarios de la red de rea local visitan comnmentepara poder proporcionarlas lo ms rpido posible. De hecho, el trmino "cach" se utiliza con frecuencia en informtica para referirse al espacio de almacenamiento temporal de datos (a veces tambin denominado "bfer").Un servidor proxy con la capacidad de tener informacin en cach (neologismo que significa: poner en memoria oculta) generalmente se denomina servidor "proxy-cach".Esta caracterstica, implementada en algunos servidores proxy, se utiliza para disminuir tanto el uso de ancho de banda en Internet como el tiempo de acceso a los documentos de los usuarios.Sin embargo, para lograr esto, el proxy debe comparar los datos que almacena en la memoria cach con los datos remotos de manera regular para garantizar que los datos en cach sean vlidos.FiltradoPor otra parte, al utilizar un servidor proxy, las conexiones pueden rastrearse al crearregistros de actividad (logs)para guardar sistemticamente las peticiones de los usuarios cuando solicitan conexiones a Internet.Gracias a esto, las conexiones de Internet pueden filtrarse al analizar tanto las solicitudes del cliente como las respuestas del servidor. El filtrado que se realiza comparando la solicitud del cliente con una lista de solicitudes autorizadas se denominalista blanca; y el filtrado que se realiza con una lista de sitios prohibidos se denominalista negra. Finalmente, el anlisis de las respuestas del servidor que cumplen con una lista de criterios (como palabras clave) se denominafiltrado de contenido.AutenticacinComo el proxy es una herramienta intermediaria indispensable para los usuarios de una red interna que quieren acceder a recursos externos, a veces se lo puede utilizar para autenticar usuarios, es decir, pedirles que se identifiquen con un nombre de usuario y una contrasea. Tambin es fcil otorgarles acceso a recursos externos slo a las personas autorizadas y registrar cada uso del recurso externo en archivos de registro de los accesos identificados.Este tipo de mecanismo, cuando se implementa, obviamente genera diversos problemas relacionados con las libertades individuales y los derechos personales.Servidores de proxy inversosUnproxy inversoes un servidor proxy-cach "al revs". Es un servidor proxy que, en lugar de permitirles el acceso a Internet a usuarios internos, permite a usuarios de Internet acceder indirectamente a determinados servidores internos.
El servidor de proxy inverso es utilizado como un intermediario por los usuarios de Internet que desean acceder a un sitio web interno al enviar sus solicitudes indirectamente. Con un proxy inverso, el servidor web est protegido de ataques externos directos, lo cual fortalece la red interna. Adems, la funcin cach de un proxy inverso puede disminuir la carga de trabajo del servidor asignado, razn por la cual se lo denomina en ocasionesacelerador de servidor.Finalmente, con algoritmos perfeccionados, el proxy inverso puede distribuir la carga de trabajo mediante la redireccin de las solicitudes a otros servidores similares. Este proceso se denominaequilibrio de carga.Configuracin de un servidor proxySin duda, el proxy ms utilizado esSquid, un software de uso libre y gratuito, disponible para diversas plataformas que incluyen aWindowsyLinux.En Windows, existen diferentes programas para configurar un servidor proxy en una red de rea local a un bajo costo: Wingatees la solucin ms comn (pero no es gratuito) Laconfiguracin de un proxy con un servidor Janacada vez es ms comn Windows 2000 incluye Microsoft Proxy Server (MSP), que funciona con Microsoft Proxy Client.
Squid: Optimizacin de Entrega WebSquid es un proxy cach para el Web de soporte HTTP, HTTPS, FTP y mucho ms.Reduce el ancho de banda y mejora los tiempos de respuesta al almacenar en cach y reutilizar pginas web frecuentemente solicitados.Squid tiene controles de acceso amplios y hace un gran acelerador de servidor.Se ejecuta en la mayora de los sistemas operativos disponibles, incluyendo Windows y est disponible bajo la GNU GPL.Aprovechar al mximo la conexin a InternetSquid es utilizado por cientos de proveedores de Internet en todo el mundo para ofrecer a sus usuarios la mejor manera posible el acceso web.Squid optimiza el flujo de datos entre el cliente y el servidor para mejorar el rendimiento y cachs frecuentemente utiliza contenidos para ahorrar ancho de banda.Squid tambin puede enviar solicitudes de contenido ruta a los servidores de una gran variedad de maneras de construir jerarquas de servidores de cach que optimizan el rendimiento de la red.Aceleracin Contenido de la web y DistribucinMiles de sitios web de todo el uso de Internet Squid para aumentar drsticamente su entrega de contenido.Squid puede reducir la carga del servidor y mejorar la velocidad de entrega a los clientes.Calamar tambin pueden ser utilizados para entregar el contenido de todo el mundo - copiar slo el contenido que est siendo utilizado, en lugar de la copia de todo lo ineficiente.Por ltimo, la configuracin avanzada de enrutamiento de contenido de Squid permite crear grupos de contenido para la ruta y peticiones de balanceo de carga a travs de una variedad de servidores web.[Los sistemas de calamar] se estn ejecutando actualmente en una tasa de xito del 75%, cuadruplicando con eficacia la capacidad de los servidores Apache detrs de ellos.Esto es particularmente notable cuando un gran aumento del trfico llega dirige a una pgina en particular a travs de un enlace web desde otro sitio, ya que la eficiencia de almacenamiento en cach de esa pgina ser de casi el 100%.- Wikimedia Informacin sobre la implementacin.Compartir una conexin a InternetUSESDEFRITAbril 2014VentajasSi tiene unaLAN(dos o msequiposconectados a una red) en la que un equipo se encuentra conectado aInternet(a travs de un mdemDSL,cable, etc.), puede ser til que los dems equipos de la LAN obtengan tambin acceso a Internet mediante la instalacin de un software que funcione como unservidor proxy, redireccionando la informacin.Sin embargo, debe tener en cuenta que a medida que se increment el nmero de usuarios se ir reduciendo el ancho de banda para cada uno de los usuarios ya que estos ltimos utilizan el ancho de banda del servidor proxy. De esta forma, si hay 8 usuarios conectados a un mdem de 56 Kbps, slo habr 7 Kbps por equipo lo cual no es mucho. De hecho, resulta casi imposible que 8 personas puedan navegar por lawebcon esa velocidad.Existenvarios programasque permiten desarrollar esta funcin. El ms conocido es Wingate, que acta como servidor (en el equipo conectado a Internet) y como cliente (en todos los equipos LAN que desean conectarse a Internet).Wingate es un programa compartido, es decir, un software pago, y su versin no registrada permite compartir la conexin con un equipo de la red local a la vez. Por lo tanto, la versin no registrada es suficiente para una LAN con slo dos equipos. No obstante, para poder conectar ms equipos, deber obtener la licencia.Configuracin del servidorEl servidor ser el equipo LAN que ya se encuentra conectado a Internet. Para poder utilizar el servidor Wingate, debe asegurarse de que el protocolo TCP/IP se encuentra correctamente instalado en el equipo que se usar como servidor.Si est conectado a Internet mediante un mdem, deben aparecer los siguientes dos protocolos en la ventanaPanel de control/Red. TCP/IP -> Tarjeta compatible con NE2000 (o el nombre de la tarjeta de red conectada a la LAN) TCP/IP -> Tarjeta de acceso remotoDebe asegurarse de que ladireccin IPde la tarjeta es compatible con NE2000 es 192.168.0.1 (puede ser diferente, pero sta es la direccin que normalmente se le proporciona al proxy). Suproveedor de servicios de Internetle proporcionar las propiedades del protocolo TCP/IP de la tarjeta de acceso remoto. Son datos que no pueden modificarse.Si el servidor est conectado a Internet mediante unatarjeta de red(cable u otro), los dosprotocolosdetallados a continuacin debern aparecer en la ventanaPanel de control/Red: TCP/IP -> Tarjeta compatible con NE2000 (o el nombre de la tarjeta de red conectada a la LAN) TCP/IP -> Tarjeta compatible con NE2000 (o el nombre de la tarjeta de red conectada a Internet)Modifique la direccin IP de las propiedades TCP/IP de la tarjeta "conectada a la LAN".A continuacin, instale Wingate como un servidor en este equipo (la versiones recientes, es decir, la versin 3.0 y la anterior, le permitirn elegir entre cliente y servidor, en tanto que las versiones anteriores slo podrn instalarse en el servidor).Una vez que se ha instalado Wingate, ste actuar como un servicio, es decir, no como una aplicacin normal que puede verse como una tarea al hacer clic en CTRL-ALT-DEL. Por lo tanto, para configurarlo debe utilizar la herramienta "GateKeeper" que se incluye con Wingate.Esta herramienta le permite configurar el acceso para los usuarios que utilizarn el proxy. De esta forma, podr definir los permisos para cada usuario (es decir, los servicios a los que el usuario puede acceder) y visualizar a todos los usuarios conectados en tiempo real. En la interfaz de GateKeeper, encontrar tres fichas que le permiten configurar: Los permisos de cada usuario (fichaUsers) Los servicios disponibles (fichaServices), es decir, los servicios a los que pueden tener acceso los usuarios. La configuracin avanzada de Wingate (fichaSystem)
Wingate le permite agregar aquellos usuarios que pueden "pasar a travs" del proxy (evitando as el acceso de usuarios externos a la LAN). Tambin puede agregar los servicios que desee (ICQ, FTP, WWW, etc.) especificando lospuertosasociados a cada servicio.Wingate puede crear un archivo de registro de los eventos que permiten visualizar las acciones de cada usuario conectado a travs del proxy. Finalmente, Wingate posee un sistema cach que le permite guardar las pginas que se visitan con frecuencia, de forma que los usuarios de la LAN que se conecten a la Web no necesiten volver a cargar la misma informacin varias veces.Configuracin del clienteLos clientes son los equipos que se conectarn al servidor. Para que tengan acceso a Internet, es necesario configurar (con las versiones Wingate anteriores a la versin 3.0) cada aplicacin a fin de especificar que la conexin se realizar a travs del proxy. Para la versin 3.0 y posteriores, es posible instalar Wingate como un cliente en los equipos y no tener que configurar todas las aplicaciones, aunque tambin es posible realizar esta configuracin. Por lo tanto, todas las aplicaciones recientes relacionadas con Internet (navegadores, clientes FTP, ICQ, etc.) poseen una opcin "servidor proxy", a veces denominadafirewall(un abuso del trmino). Esta opcin tendr ms o menos el siguiente aspecto:
Como direccin, debe introducir la direccin del equipo que acta como servidor (por lo general, 192.168.0.1) as como el puerto asociado con la aplicacin (de forma predeterminada, 8080).Configuracin del navegador WebPara configurar el navegador web, debe ir a las preferencias (opciones, configuracin, etc.) y buscar la opcin "conectar mediante un servidor proxy".En el primer campo, escriba la direccin del proxy (192.168.0.1), y en el segundo, el puerto (80). Algunos navegadores solicitan las direcciones del proxy para cada uno de los servicios. Los dos servicios principales sonhttpyftp, y debe rellenar el campo correspondiente a cada uno de ellos, tal como se describe a continuacin.Configuracin de un cliente FTPProgramas como Cute FTP, WS_FTP, etc. suelen tener una opcin en las preferencias que permite especificar la direccin del servidor proxy. Debe especificar la direccin del equipo que est ejecutando Wingate (192.168.0.1) y, a continuacin, el puerto 21.Opcionalmente, se puede definir una contrasea si se restringe el acceso al servidor Jana y se asignan contraseas a los usuarios de la LAN.Este proceso permite que los equipos de la red tengan acceso a los sitios FTP en el puerto 21. Para poder acceder a ellos en otros puertos, debe utilizar clientes FTP que admitan el servicio SOCKS. SOCKS es un servicio que permite abrir dinmicamente puertos en el proxy y es la nica forma de utilizar aplicaciones que tienen puertos variables (FTP en puertos que no sean el 21, IRC, etc.).Configuracin de un cliente de mensajeraLa mensajera o el correo electrnico es el servicio ms utilizado en Internet, por lo que resulta esencial que pueda utilizarse cuando se comparte una conexin en una red de rea local (LAN). El servicio de correo electrnico incluye dos funciones principales: Correo saliente Correo entrantePara el correo de salida, debe especificar en el software de mensajera la direccin del proxy en el campo reservado para la direccin de correo saliente (sea SMTP o POP3). Wingate se encargar de enviar el correo.Para el correo entrante, Wingate debe conocer la ubicacin del correo de cada equipo de la red. Por lo tanto, en las opciones, en el campo donde normalmente se escribe el nombre, debe escribir el nombre de usuario seguido del signo numeral (#) y, a continuacin, especificar el servidor de mensajera. Por ejemplo, su_nombre#pop.server.com y luego la contrasea normal en el campo de la contrasea.AnexoWingate y otros programas similares gratuitos estn disponibles en elrea de descargasde esta seccin. Los equipos en red se configuran de forma parecida con los otros programas. Para obtener ms detalles, consulte los archivos de ayuda de esos programas.
PROXIES YFIREWALLS-INTRODUCCIN-QUE ES UN PROXY-QUE ES UN FIREWALL-QUE OFRECEN-TECNOLOGIAS-COMPARATIVA DE FIREWALLS-BAJO LINUX MEJOR QUE MEJOR Y GRATUITO-DE QUE NO PROTEGE UN FIREWALL-ATAQUES POR LA PUERTA GRANDE-CONCLUSININTRODUCCINTodos los dias podemos leer en la prensa noticias relacionadas con incidentes de seguridad en Internet: virus transmitidos a travs del correo electrnico, ataques coordinados a sitios web comerciales, intrusin en servidores de comercio electrnico con robo de tarjetas de crdito de sus clientes y otros sucesos parecidos. Los hackers se estn convirtiendo en noticia con alarmante frecuencia y todo el mundo los teme.En las pginas underground sobre hacking se ofrecen herramientas gratuitas de inusitada versatilidad y potencia para escaneo de puertos y deteccin de vulnerabilidades, que permiten localizar agujeros en los sistemas explorados con ellas. En las mejores de estas pginas tambin se ofrecen explicaciones de cmo explotar estos agujeros para hacerse con el control total de la mquina atacada. Habida cuenta de la facilidad con que se obtienen, instalan y ejecutan estas herramientas, y dada la cantidad de informacin detallada acerca de agujeros, vulnerabilidades y caminos para explotarlas, resulta que prcticamente cualquiera con un ordenador y una conexin a Internet puede atacar con xito una extraordinaria cantidad de sistemas en lnea.Si bien es verdad que para los que se conectan con un mdem de 56 Kbps, los hackers no representan un problema serio, cada vez ms ordenadores utilizan conexiones de alta velocidad por RDSI, ADSL o cable con tarifa plana para permanecer en lnea 24 horas al da. Cuanto mayor es el tiempo que un usuario pasa conectado, mayor es el riesgo de intrusin. En esta situacin, toda precaucin que se tome para protegerse es poca.Nadie permanece a salvo, ni siquiera los usuarios domsticos o las pequeas empresas, sin importar si su ordenador almacena informacin valiosa o ficheros irrelevantes. Un hacker puede querer penetrar en un ordenador para ejercitarse, para utilizarlo como puente para atacar otros sistemas o, simplemente, por el sdico placer de destruir. Cualquier sistema, desde el momento en que se encuentra conectado a Internet, puede convertirse en blanco. Los cortafuegos (firewalls, en ingls) y los proxies, sin ser la panacea de la seguridad informtica, representan un poderoso muro de proteccin entre su ordenador o su red interna e Internet, barrera que conviene instalar en todo sistema que est conectado a Internet 24 horas al da, por modesto que sea.A continuacin definiremos cada uno de estos elemntos para ser capaces de diferenciarlos y comentar las aplicaciones que cada uno tiene.QUE ES UN PROXYUn proxy es una aplicacin o un dispositivo hardware que hace de intermediario entre los usuarios, normalmente de una red local, e Internet.Lo que hace realmente un proxy es recibir peticiones de usuarios y redirigirlas a Internet. La ventaja que presenta es que con una nica conexin a Internet podemos conectar varios usuarios.Normalmente, un proxy es a su vez un servidor de cach. La funcin de la cach es almacenar las pginas web a las que se accede ms asiduamente en una memoria. As cuando un usuario quiere acceder a Internet, accede a travs del proxy, que mirar en la cach a ver si tiene la pgina a la cual quiere acceder el usuario. Si es as le devolver la pgina de la cach y si no, ser el proxy el que acceda a Internet, obtenga la pgina y la enve al usuario. Con la cach se aceleran en gran medida los accesos a Internet, sobre todo si los usuarios suelen acceder a las mismas pginas.El proxy es "transparente" al usuario, lo pongo entrecomillado porque el usuario tendr que configurar su navegador dicindole que accede a Internet a travs de un proxy (deber indicar la direccin IP del proxy y el puerto por el que accede), pero una vez realizado esto, el usuario actuar de la misma manera que si accediera directamente a Internet.Los ltimos proxies que han aparecido en el mercado realizan adems funciones de filtrado, como por ejemplo, dejar que un usuario determinado acceda a unas determinadas pginas de Internet o que no acceda a ninguna. Con esta funcin podemos configurar una red local en la que hayan usuarios a los que se les permita salir a Internet, otros a los que se les permita enviar correo, pero no salir a Internet y otros que no tengan acceso a Internet. Esta caracterstica muchas veces hace que se confundan con un cortafuegos.QUE ES UN FIREWALLEn su acepcin comn, un cortafuegos es una vereda ancha que se deja en los sembrados y montes para que no se propaguen los incendios. Su anlogo informtico persigue el mismo objetivo: aislar su red interna del resto del mundo, como si del foso de una fortaleza medieval se tratara, proporcionando un nico punto de entrada y salida. El cortafuegos restringe el acceso de usuarios externos a la red interna y de usuarios internos al exterior, que tiene lugar exclusivamente a travs de un punto cuidadosamente controlado (algo as como el puente levadizo); de esta forma se evita que los atacantes alcancen otras defensas interiores y que se produzcan filtraciones de informacin desde dentro, como las causadas por troyanos. Por este motivo, el cortafuegos se instala en el punto en el que su red interna se conecta con Internet.Dado que todo el trfico que entra desde Internet o sale desde la red interna lo hace a travs del cortafuegos, ste puede examinarlo y posee la potestad de decidir si es aceptable o no y si lo retransmitir a su destinatario. Ahora bien, es fundamental definir correctamente lo que significa aceptable. Para ello se confecciona una poltica de seguridad en la que se establece claramente qu tipo de trfico est permitido, entre qu origen y qu destino, qu servicios se habilitan, qu contenidos se admiten, etc. Dependiendo del caso concreto, existirn polticas altamente restrictivas, en las que prcticamente nada est permitido, y otras muy permisivas, en las que no se habilitan apenas prohibiciones. La clave reside en alcanzar un compromiso entre sus necesidades de seguridad y su comodidad.QUE OFRECEN Aislamiento de Internet. La misin de un cortafuegos es aislar su red privada de Internet, restringiendo el acceso hacia/desde su red slo a ciertos servicios, a la vez que analiza todo el trfico que pasa a travs de l. Cuando una red de una empresa se conecta directamente a Internet, entonces todos los ordenadores pueden acceder a direcciones en el exterior y pueden ser igualmente accedidos desde fuera, exponindose a todo tipo de ataques, especialmente si la conexin es ininterrumpida. Si cualquiera de los ordenadores de la intranet sucumbe ante un atacante, el resto de la red local queda amenazada. El cortafuegos acta de pantalla, permitiendo slo aquellos servicios que se consideren como seguros (por ejemplo, slo correo electrnico y navegacin, o cualquier otra eleccin definida en la poltica de seguridad), mientras que se prohiben los superfluos o los potencialmente peligrosos. Cuello de botella. El cortafuegos se constituye en un cuello de botella, que mantiene a los atacantes y peligros alejados de la red a proteger; prohibe en los dos sentidos servicios susceptibles a ataques; y proporciona proteccin ante algunos tipos de ataques basados en el enrutamiento de paquetes. El cortafuegos representa el enfoque de seguridad conocido como defensa perimetral, en la que se busca concentrar la administracin y monitorizacin de la seguridad de la red en un solo punto en vez de intentar proteger a fondo cada una de las mquinas de la red, enfoque alternativo conocido como defensa en profundidad. Por supuesto, la mejor estrategia para la seguridad global har uso de ambos enfoques, perfectamente complementarios. Dado que todo intento de conexin debe pasar por l, un cortafuegos adecuadamente configurado puede alertarle cuando detecta actividades sospechosas que pueden corresponder a intentos de penetracin en su red o tentativas de enviar informacin desde ella, como los que realizaran troyanos que se hubieran colado dentro. Si, careciendo de cortafuegos, las intentonas de intrusin se realizaran sobre mquinas aisladas de la red, podra transcurrir mucho ms tiempo antes de que se advirtieran, o incluso llegar a materializarse en un ataque con xito antes de ser descubiertas. Auditora y registro de uso. El cortafuegos constituye un buen lugar donde recopilar informacin sobre el uso de la red. En su calidad de punto nico de acceso, el cortafuegos puede registrar toda la actividad entre la red exterior y la interior. Con todos estos datos, el administrador puede posteriormente estudiar estadsticamente el tipo de trfico, las horas de mayor carga de trabajo, el ancho de banda consumido y, por supuesto, todos los intentos de intrusin o las pistas dejadas por un atacante. Seguridad de contenidos. Existen otras amenazas como los virus y el contenido activo malicioso, frente a las cuales los mejores cortafuegos ofrecen una proteccin limitada. La inspeccin antivirus del material transmitido a travs de servicios como el correo electrnico, la Web o FTP es una caracterstica incorporada por un nmero cada vez mayor de cortafuegos. Presenta el problema de consumir muchos recursos, ya que se deben descomprimir o decodificar ciertos ficheros (ZIP, MIME, Uuencode), escanearlos y tomar una decisin antes de retransmitirlos dentro de la red. A los virus se une la amenaza de programas en Java, controles ActiveX, guiones en JavaScript o en VisualBasic Script, que pueden ser potencialmente peligrosos, bien formando parte del contenido de un mensaje de correo o de una pgina web. Algunos cortafuegos bloquean tambin este tipo de contenido cuando resulta sospechoso. No obstante, el software de antivirus debera instalarse y ejecutarse regularmente en todas las estaciones de trabajo, ya que el cortafuegos no puede ofrecer una proteccin 100% segura ante estos peligros. Autenticacin. La determinacin de la identidad de las personas o entidades que acceden a la red protegida, a travs de servicios como HTTP, FTP o Telnet, resulta crtica en la mayora de los entornos. Esta autenticacin se logra tradicionalmente mediante nombres de usuario y contraseas. Sin embargo, no puede considerarse una tcnica fiable cuando los requisitos de seguridad son severos. En su lugar, algunos cortafuegos permiten autenticarse utilizando mtodos ms sofisticados, basados en tarjetas inteligentes, contraseas de un solo uso, llaves hardware, etc. Traduccin de direcciones de red (Network Address Translation -NAT-) Otras funciones adicionales que puede realizar el cortafuegos es la de ocultar el rango de direccionamientos internos de la empresa, realizando una traduccin de direcciones. De esta manera, resulta posible contar con slo una direccin vlida (o un rango reducido de direcciones vlidas en Internet) y disponer de un gran nmero de direcciones privadas para las mquinas internas no enrutables en Internet. Gracias al NAT, las direcciones de las mquinas internas quedan efectivamente ocultas para el exterior.TECNOLOGIAS: Filtrado de paquetesLos enrutadores (routers) de filtrado de paquetes sirven para enrutar paquetes entre las mquinas internas y las externas, pero de forma selectiva, ya que permiten o rechazan ciertos paquetes segn los criterios reflejados en la poltica de seguridad de la empresa a proteger. Es decir, trabajan a nivel de red. Dado que los servidores para ciertos servicios particulares de Internet residen en puertos predeterminados (vase recuadro Paquetes en Internet), el enrutador puede bloquear o permitir ciertas conexiones sin ms que especificar el nmero de puerto apropiado en el conjunto de reglas de filtrado. Igualmente, se pueden bloquear todas las conexiones procedentes de sistemas de los que se desconfa, basndose en la direccin IP de la mquina que intenta conectarse.Puntos fuertes: Dado que la mayor parte del software de enrutadores ya incorpora la capacidad de filtrado de paquetes, resulta muy rpido y econmico instalar un control basado en esta solucin, ya que no se necesitara comprar software ni hardware adicional.1. Si el nmero de reglas creadas no es muy elevado, tampoco llega a imponer una sobrecarga importante de procesamiento en el enrutador, por lo que el rendimiento de la red no se ver afectado.1. No suelen correr sobre sistemas operativos generales, como Unix o NT, por lo que no son vulnerables a ataques contra ellos.1. Una ventaja importante es que resultan totalmente transparentes, por lo que las mquinas de la red no necesitan que se les instale software adicional ni que los usuarios tengan que hacer nada especial.Debilidades:1. Definir las reglas de filtrado puede convertirse en una tarea muy complicada, ya que existen muchos recovecos en la especificacin de los servicios de Internet y de los protocolos que, si no se conocen a fondo para su correcta configuracin, pueden dejar abierta la puerta a ataques variados (ataques de falsificacin de direccin IP origen, ataques de enrutamiento de origen, ataques de fragmentacin, etc.).1. Adems, cuanto mayor sea el nmero de reglas, menor ser el rendimiento del enrutador, que en principio est diseado nicamente para enrutar paquetes, no para tomar decisiones acerca de si debera o no debera hacerlo.1. Por ltimo, no debe perderse de vista que el filtrado de paquetes, por operar a un nivel tan bajo, desconoce el contenido de los paquetes. Aunque puede bloquear un servicio, si lo acepta no es capaz de bloquear selectivamente ciertos comandos del servicio o rechazar ciertos contenidos, por lo que son susceptibles a ataques basados en datos. Este tipo de control debe prestarse a ms alto nivel, para lo que existen las pasarelas de aplicaciones. Pasarelas de aplicaciones.La idea bsica de un servidor proxy es actuar de pasarela (gateway) entre su mquina o su red e Internet, trabajando a nivel de aplicacin. El proxy espera a una peticin desde la red interna y la reexpide al servidor remoto en el exterior, lee la respuesta y la enva de vuelta al cliente. Igualmente funcionara para clientes en el exterior que quisieran conectarse con un servidor en el interior de la red protegida. De esta forma, el cliente y el servidor no se ven uno a otro cara a cara, sino que solamente ven al proxy, que acta de intermediario entre ambos, de forma ms o menos transparente, gestionando toda su comunicacin y creando la ilusin de que el cliente est hablando con el servidor. El proxy puede adems evaluar las peticiones del cliente y decidir cules acepta o ignora, basndose en la poltica de seguridad de la compaa. Por ejemplo, podra prohibir ciertos comandos de FTP, como el put, mientras que los ms sofisticados pueden incluso restringir contenidos, por ejemplo, bloqueando los URL de pginas pornogrficas. Las pasarelas de nivel de aplicacin a menudo se denominan bastiones, en cuanto que estn especialmente protegidas ante ataques, diseadas con la mxima seguridad posible en mente: ejecutan una versin segura del sistema operativo, normalmente tipo Unix; slo permanecen instalados los servicios que se consideran seguros y absolutamente necesarios; antes de que los usuarios accedan a los servicios proxy, pueden requerirles autenticacin fuerte, por ejemplo, basada en tarjetas inteligentes y certificados digitales; no tienen por qu soportar todos los comandos y funcionalidades de los servicios que ofrecen, ya que pueden eliminar los ms problemticos; no suelen realizar accesos a disco una vez que han ledo su propia configuracin; y otras caractersticas que los vuelven menos vulnerables que las mquinas convencionales.Puntos fuertes -Proporcionan al administrador de red un control absoluto sobre los servicios a los que los usuarios tienen acceso, ya que slo pueden utilizar aquellos servicios soportados por el proxy y, dentro de cada servicio, slo los comandos permitidos1. Dado que las aplicaciones proxy son componentes software ejecutndose en el bastin, se trata del lugar ideal para realizar registros de actividad (logging), informes de auditora y controles de acceso.1. Pueden utilizarse como traductores de direcciones de red (NAT), ya que por ellas pasa todo el trfico en uno y otro sentido, por lo cual pueden enmascarar la direccin de las mquinas de la red interna.1. Por ltimo, hay que tener en cuenta que la definicin de las reglas de filtrado a nivel de aplicacin es mucho ms sencilla que a nivel de paquete, pudiendo implementar reglas ms conservadoras con mayor flexibilidad.Debilidades1. Los ms antiguos requieren que el usuario de la red interna instale software de cliente especial para cada servicio proxy al que se conecta, o bien que, utilizando el software de cliente habitual, siga ciertas instrucciones especiales de uso. Nuevas aplicaciones de Internet exigan escribir e instalar nuevos servicios proxy en el cortafuegos y nuevos clientes proxy en los ordenadores de los usuarios. Actualmente, los modernos cortafuegos de nivel de aplicacin son completamente transparentes para los usuarios finales.1. El hecho de tener una aplicacin corriendo entre el usuario y el servidor puede redundar en degradacin del rendimiento, si son muchos los servicios proxy en la misma mquina y si las reglas de filtrado son muy complejas.1. Desde el punto de vista de la seguridad, los servicios proxy son tiles slo si se utilizan junto con un mecanismo que restrinja las comunicaciones directas entre las mquinas de la red interna y las del exterior, como por ejemplo el filtrado de paquetes. De nada sirve un cortafuegos de nivel de aplicacin si se puede salir al exterior a travs de otro punto. Inspeccin multinivel de estadosLa tecnologa Stateful Multi-Layer Inspection (SMLI) busca combinar el buen rendimiento del filtrado de paquetes y la elevada seguridad a nivel de aplicacin de los proxies, por lo que muchos cortafuegos actuales la incorporan. SMLI constituye una extensin del filtrado de paquetes, ya que no se limita a examinar los paquetes a nivel de red, sino que los analiza a todos los niveles de la pila de protocolos, extrayendo la informacin relevante sobre el estado de la comunicacin y de la aplicacin. Para cada conexin TCP o UDP, el cortafuegos crea una tabla con las direcciones IP de origen y destino, nmeros de puertos, nmeros de secuencia de los paquetes y otros datos adicionales asociados a la conexin en particular (vase recuadro Paquetes en Internet). Gracias a su motor de inspeccin y la informacin de estado de la conexin almacenada en las tablas, el cortafuegos puede implantar las polticas de seguridad definidas por la empresa, con una mayor conciencia de la aplicacin que se est ejecutando que los filtros de paquetes. As se asegura que los paquetes que no estn asociados a una conexin no pasarn a travs del cortafuegos.Puntos fuertes:1. El cortafuegos es transparente para las aplicaciones y usuarios, que no necesitan modificar o instalar software adicional. El motor de inspeccin puede adaptarse a protocolos y aplicaciones nuevamente definidos. Esta caracterstica facilita la escalabilidad.1. Dado que operan principalmente a los niveles bajos de la pila de protocolos, son ms rpidos que las aplicaciones proxy, por lo que el rendimiento de la red no se ve notablemente afectado, aunque aumente el nmero de usuarios conectados a travs del cortafuegos.Debilidades:1. En la medida en que en las implantaciones reales el filtrado no inspecciona datos de nivel de aplicacin, aunque tericamente sera posible, SMLI no es capaz de evitar los ataques ms sofisticados enmascarados a nivel de aplicacin, como desbordamientos de bfer o comandos de aplicacin ilegales o inseguros.1. A pesar de la propaganda con la que se anuncian, la mayora de expertos en seguridad convienen en aceptar que la arquitectura de cortafuegos basados en pasarelas de aplicacin son ms seguros que los sistemas basados en filtrado de paquetes, incluso SMLI.COMPARATIVA DE FIREWALLS
AT GUARD
Este agresivo y desfasado cortafuegos es una joya: nos permite definir reglas para todo. Recin instalado, lo primero que llama la atencin es la rapidez y la sensacin que tenemos el control de cuanto esta sucediendo.
Bloquea la publicidad no deseada, con un especial nfasis en toda la que comienza por http://ad, lleva un log de fecha, hora, URL, IP, bytes enviados y recibidos, y tiempo de todas las conexiones web y de red local, as como de fecha y hora de todas las reglas de seguridad definidas, fecha y hora de inicio del sistema, y un historial web de todas las paginas visitadas.
Junto a Norton Personal Firewall, Sygate, Tyny y ZoneAlarm, es de los pocos que supera el test leak de grc, consistente en la simulacin de lo que hara un troyano o un programa espa, al conectarse saltndose el cortafuegos, a un servidor FTP. No obstante, no supera los ataques simulados va web ni red local, y consume demasiados recursos del sistema, en comparacin con otros cortafuegos. Tampoco llega a la facilidad de uso de ZoneAlarm.Las definicin de reglas de seguridad es bastante compleja, aun usando el asistente, y no llegas a tener claro que es lo que estas autorizando o bloqueando, lo cual para alguien que se inicia en este mundo de la seguridad, no es la opcin mas recomendable.
Muestra estadsticas de las conexiones TCP y UDP tanto entrantes como salientes, bloqueadas y permitidas, de las conexiones de red y las reglas del cortafuegos, la actividad en los ltimos 60 segundos. La ayuda es fabulosa: cualquier pregunta que se te ocurra, ya han pensado en ella.Para un acceso rpido a todas las funciones del cortafuegos, esta la funcin "dashboard", que muestra una barra de acceso directo a las mas importantes funciones del mismo. Esta barra, por defecto aparece en la parte superior de la pantalla, pero basta con arrastrarla para ponerla donde menos estorbe, o incluso ocultarla.
BLACK ICE
Est de moda. Es MUY BUENO, y la nica pega que le veo es que por defecto deja el puerto 113 abierto, cuando lo correcto seria que estuviese invisible.
Tiene como casi todos, la posibilidad de varios niveles de proteccin y cuando somos escaneados, nos avisa mediante un sonido y un icono parpadeante.
Nos ofrece cantidad de informacin sobre los atacantes, casi tanta como HackTracer, y unas estadsticas muy conseguidas de los ataques, detalladas por horas, das y meses.
Ventajas sobre todos los dems: Su detector de intrusiones permite interceptar datos a velocidades superiores a los 10 Mb/s, sin perdida, pudiendo alcanzar incluso los 100 Mb/s.Cierto es que internet no alcanza estas velocidades ni en sueos, pero no hemos de olvidarnos de los ataques a travs de red local ni de las lneas T1. Detecta ataques fragmentados, escaneos NMAP, y accedes ON LINE a paginas actualizadas donde te informan de los ataques recibidos. adems de proteger nuestro ordenador de ataques externos, protege a los dems ordenadores de ataques desde el nuestro, para lo cual analiza todo tipo de actividad en nuestro ordenador.
Al igual que HackTracer, analiza a los atacantes tratando de conseguir el mximo de informacin de ellos, tales como su IP, grupo de trabajo, direccin MAC, y guarda pruebas de los ataques por si fuera necesario demostrar su ocurrencia.
El consumo de recursos del sistema, es prcticamente despreciable, es muy fcil configurar tanto los permisos como las restricciones de acceso, y el idioma, como de costumbre, es el de los hijos de la gran bretaa.
Permite trabajar con recursos compartidos, y es recomendable configurarlo en modo paranoico, el modo recomendado por el fabricante, pues hace tiempo se reporto un fallo de seguridad que decan que lo hace vulnerable al BackOrifice.
CONSEAL PC
Es un cortafuegos para quien no tenga experiencia en cortafuegos. Esta un poco desfasado, pues parece ser que ha sido comprado por McAfee, y tiende a su desaparicin. Al instalarse, copia varios ficheros antiguos, pero Windows te advierte, y se restauran las versiones antiguas que ha copiado Conseal, por las mas recientes que tengas instaladas en tu ordenador.
Atacado desde internet, todos los puertos aparecen por defecto en modo invisible, a excepcin del puerto 113. Mismos resultados para un ataque desde red local. En cada uno de los ataques, un cuadro de dialogo te informa de la IP del atacante u ordenador que quiere conectar con el tuyo, con indicacin del puerto y el nombre del servicio, dndote la opcin de permitirlo, bloquearlo, ignorarlo, permitirlo o bloquearlo solo durante esta sesin (por si quieres que un amigo con IP dinmica se conecte contigo), mostrarte los detalles del ataque, y explicarte los riesgos. Todo esto lo hace por defecto, sin que tengas que preocuparte en configurar nada.
Como curiosidad, puedes decirle en el cuadro de dialogo anterior que ya no aceptas mas reglas, atacarte con una herramienta automatizada desde tu red local, y ver como se defiende de los ataques, y a la velocidad que lo hace.
Si haces click con el botn derecho sobre cualquiera de los ataques, te dice a que dominio pertenece el atacante, intruso, o servicio que quiera conectarse contigo (imagnate hotmail para mostrarte tu correo).
ESAFE DESKTOP
Gratuito, y perteneciente a la firma ALADDIN KNOWLEDGE, lo que mas llama la atencin de este producto adems del idioma castellano, es que inseparablemente del cortafuegos incluye un antivirus, por lo que no tenemos que completar nuestro sistema defensivo con otro producto, todo ello en una perfecta construccin terica que no sirve para nada. Y no sirve para nada porque es mentira.
Por favor Aladino, un antivirus que solo reconoce 30.000 virus?. Encima, como casi todos los antivirus, impide que tengas otro instalado, por lo que la solucin que adopte durante el mes y medio que lo tuve instalado fue la instalacin de otro antivirus en otro ordenador de la red, que meescanease toda la red, pues en ese tiempo recib unos 3 virus diarios, no solicitados, pasando todos ellos tranquilamente por delante del antivirus de Esafe, sin que este dijese "este virus es mo".
Otro inconveniente: si se te ocurre instalarlo sin haber desinstalado previamente tu antivirus, tu ordenador se reiniciara continuamente como si de los trabajos de Sisifo se tratase, hasta que decidas arrancar en modo a prueba de fallos, y desinstales tu anterior antivirus.
Seria injusto por mi parte el dejar de reconocer las ventajas del cortafuegos simplemente por un producto no solicitado. Es el unido de la comparativa junto a Terminet, que detecta ataques desde webs maliciosas por el puerto 80 (no olvidemos que somos nosotros quienes hemos abierto la conexin, por lo que el resto de cortafuegos entienden que son los datos que hemos solicitado).
Por otra parte, durante el primer mes desde la instalacin, se auto configura en modo aprendizaje, por lo que prcticamente nos olvidamos de el, salvo por el excesivo consumo de recursos del sistema.
En este primer mes de aprendizaje, NO acta en modo cortafuegos, sino que las aplicaciones que recibe, las pone en una especie de cuarentena, por lo que recomiendo pasar del modo aprendizaje.
Tienes que dedicarle mucho tiempo a aprender su funcionamiento, pero luego sers recompensado, puesto que incluso puedes prohibir el acceso total o parcial a tu ordenador o a determinados directorios, entre otras muchas cosas que no detallo, pues este articulo versa exclusivamente sobre cortafuegos.
FREEDOM
Es GRATIS, pero encontrarlo en la red es muy difcil, como todo lo que rodea a su creador Zero Knowledge. Esta empresa ofrece entre otras cosas, navegacin annima a travs de cuatro servidores proxy annimos, ubicados en distintos pases no pertenecientes a la Unin Europea, y viajando la informacin encriptada entre ellos. Si las fuerzas de seguridad de algn estado democrtico o no, consiguen una orden judicial, su ejecucin es imposible dado que se ignora incluso a que servidor ha sido enviada la informacin, y por supuesto Zero no colabora voluntariamente con la justicia de ningn pas. Si la justicia del Canad ordenase a Zero que confiese al servidor que remiti la informacin, las fuerzas de seguridad deberan conseguir otro mandamiento contra otro servidor ubicado en otro pas que tampoco colabora voluntariamente, y al final se aburren o prescribe el procedimiento.
Su instalacin es muy fcil, pero por defecto viene como CASI todos los cortafuegos, con los puertos cerrados y el NETBIOS abierto, pero basta con hacer click en la "llama de personal firewall" y desmarcar un par de casillas en "personal firewall behavior", para que todos nuestros puertos pasen al modo invisible.
Entre otras muchas opciones te permite rellenar por ti los formularios, con datos reales o inventados por ti o aleatoriamente, olvidarte de las ventanas de publicidad de unos 300 anunciantes habituales tipo "Doubleclick", pudiendo aadir los que tu quieras, posee un filtro de cookies, puede escanear el correo saliente buscando texto sensible que no quieras enviar, como tu verdadero e-mail, tu nombre, tu telfono, puedes protegerlo con contrasea para que nadie salvo tu lo utilice, permite eluso de servidores proxy, lleva un registro de conexiones, puede usar mltiples identidades, y en la versin comercial del producto, puedes enviar y recibir correo electrnico encriptado de imposible rastreo (ni siquiera por tu proveedor de acceso a internet), navegacin annima, telnet annimo y chateo annimo.
Cuando esta activo, no se nota, no da la lata con los intentos de conexin que los cuatro desgraciados de siempre intentan, y no molesta con inoportunas ventanas tratando de explicar lo que estos desgraciados intentan. Inconvenientes: el espectacular consumo de recursos del sistema, y el idioma: el de los hijos de la gran bretaa.
HACKTRACER
Nos encontramos ante el mas espectacular de los cortafuegos. Cuando recibimos un ataque, tenemos la opcin de tracear al atacante pues el cortafuegos incorpora el programa neotrace, que muestra un mapa mundi con la ruta que el ordenador del atacante ha seguido hasta llegar al tuyo, resolviendo tambin los nombres de los servidores por los que ha pasado.En algunos casos, es posible obtener del atacante y de su proveedor de acceso a internet: su nombre, domicilio, telfono, fax, y si me apuras, hasta el numero de calzado que gasta.
Su instalacin, desinstalacin y uso son de lo mas fcil e intuitivo, e incluso dispone de una base de datos mundial donde puedes enviar informacin del atacante. El uso que fabricante del cortafuegos de a esa base de datos, no lo tengo muy claro, pero en verdad, sinceramente os digo Escarlata O'Hara, que no me importa lo mas mnimo.
Con la instalacin por defecto todos los puertos pasan a modo invisible, por lo que no tenemos que preocuparnos de nada, no siendo excesivo el consumo de recursos del sistema.
INTERNET FIREWALL 2000
Al instalarse, te avisa que no funciona en red local. De entrada, por defecto acepta conexiones de la red, no avisa de los escaneos desde ella, y deshabilitar NETBIOS es poco menos que una odisea. Al escanear desde web, responde que los puertos estn cerrados, en lugar de invisibles, que seria lo deseable en un cortafuegos, pues para que responda lo mismo que si no tengo cortafuegos, para que lo quiero?.
Tiene una opcin muy buena, que es la de escaneo gratuito de virus por PC-CILLIN, mientras estas conectado a internet. Nada que objetar, pero esto mismo puede hacerse visitando la pagina de PC-CILLIN, de McAFEE o de PANDA, e incluso agregando estas paginas a favoritos.
En la ayuda, te hacen la clsica exencin de responsabilidad, pero en vez de hacerla tmidamente en un lugar inapreciable, estos seores no engaan: es lo primero que te dicen: que no garantizan ningn nivel de seguridad. As me gustan las cosas: claras, el chocolate espeso, las chicas enrolladas, y los zumos de melocotn.
Dice que puedes ver las conexiones activas, pero es mentira. No alcanzo a explicarme porque incluyen opciones que no funcionan. Bueno, tal vez no importe mucho, porque para eso ya trae Windows el NETSTAT. Una de las opciones es genial, se han cubierto de gloria. Se llama "Update Windows".No me gusta que me lo pongan tan fcil. No voy a comentarlo.
Lo que si funciona es el bloqueo del escritorio mediante contrasea. De hecho, junto al desinstalador (que te deja un par de carpetas en tu directorio raz), es lo nico que funciona.
Resumiendo: otro producto malo, que no merece llamarse cortafuegos, pero por el que piden 70$ USA. Eso si, van a la vanguardia en cuanto a la versin shareware, la limitan a 15 das, pero por lo menos no hay que preocuparse, con 15 minutos son suficientes para darse cuenta que no es precisamente lo que necesitamos.
INVATION 2000
Es una burda copia de VIRUS MD (hasta en el icono), y al igual que este, MUY MALO. Para no repetirme, sirva para este simulacro de aspirante a aprendiz de auxiliar de cortafuegos, todo lo que mas adelante dir sobre VIRUS MD, pero exagerndolo, porque este si que es malo, malo de solemnidad.
No instalarlo, salvo para pasar un rato agradable viendo como te atacan, porque es para lo nico que sirve.
MCAFEE FIREWALL
MUY IMPORTANTE: Sin entrar en pormenores pues no quiero los con McAfee, antes de instalarlo, ten a mano el parche e instlalo tambin. Insisto: cuando lo descargues, descarga el cortafuegos y el parche, que por cierto estn en paginas distintas de su sitio web, supongo que con objeto te molestes un poco y lo visites entero.
McAfee me ha defraudado con este producto. Llevo aos usando su antivirus, e imagin su cortafuegos con la misma o parecida calidad. Esperaba me avisase de los controles ActiveX, aplicaciones Java malignas o cookies, pero no ha sido posible.
En la instalacin inicial, aparentemente queda todo instalado y bien configurado. Le hacemos la prueba con un ataque simulado, y resulta que dice que los puertos estn cerrados, y el 139 abierto.Posteriormente, tras una configuracin ya en condiciones, los pone en modo invisible. Respecto a la red local, es imposible configurarlo para un no iniciado. No avisa de quien te esta atacando para que tu hagas lo que creas que debes hacer. (Atacarlo tu, que te crees mejor que el, llevar un registro de ataques, denunciarlo).
Por defecto, permite que otros equipos entren a nuestro ordenador con NETBIOS sobre TCP/IP desde Internet, pero no desde la red local. Estn locos. Debera estar configurado por defecto, justo al revs.
Tambin permite que otros equipos puedan conocer nuestra identidad. Puede que sea para evitar problemas con sus clientes, ya que algunos sistemas necesitar identificarnos antes de permitirnos acceder a sus servicios.
En la documentacin dice que puedes descargar UNA actualizacin en los 90 das siguientes a la fecha de compra del producto, y que transcurrido este plazo, no tienes ningn derecho a nada (articulo 3 de la licencia). Sin embargo, algunos distribuidores locales de Mlaga dicen que basta con comprar el software para que tengas derecho a actualizaciones ilimitadas.Honradamente, yo creo lo que dice la licencia, que miente sin ruborizarse. Quien compre a un distribuidor, el cual no podr cumplir su palabra, probablemente nos remita o haga el en nuestro nombre, una visita al seor Astalavista.
La desinstalacin es odiosa. Dado que carece de desinstalador, hemos de usar la opcin de "agregar o quitar programas" del panel de control. Como al instalarlo crea ficheros en el directorio temporal de Windows, y al desinstalarlo no los encuentre, no se desinstala, pero tampoco funciona. Es decir: consume recursos gratuitamente, sin ofrecernos nada a cambio.
Creo que McAfee Firewall te ofrece una falsa sensacin de seguridad, lo que a mi humilde entender es mucho peor que saber que estas totalmente desprotegido, mxime cuando encima, te bloquea tu red local. Es decir, tu antes compartas tus recursos con tus ordenadores y con los desconocidos.Ahora, solo con los desconocidos. El mundo al revs?.
Hay otra opcin, que sinceramente no he probado: la instalacin de otro producto de McAfee tambin, claro, que se llama GuardDog, y que se supone que complementa al firewall. Otro producto, otra licencia, volver a pagar.
Desde otro punto de vista este cortafuegos es el mejor para nuestros enemigos, pues les permite pasearse por nuestros ordenadores como si tal cosa.
No funciona en Windows 2000.
NORTON PERSONAL FIREWALL
Al instalarlo, es un detalle el que permita imprimir la hoja de registro. Luego queda a nuestro criterio que ellos sepan o no, que estamos evaluando su software. Lo primero que tenemos que preparar con este cortafuegos, es mucha RAM, porque toda la que encuentra se la come. Con 32 Mb va muy, muy lento, y los recursos bajan escandalosamente. Con 64 Mb la cosa no mejoramucho, por lo que recomiendo 128 Mb o mas.
Por defecto, viene configurado con un nivel de seguridad medio, y te explica que es el adecuado para una navegacin normal en internet (que entendern ellos por normal?. Para mi es normal visitar las paginas de las legiones del underground o del virus caf, y volver cargado de virus y troyanos). Atacado el ordenador va internet, muestra cerrados los puertos 113 y 139, dejando el resto en modo invisible. No obstante, muestra el nombre de la maquina.
Como me va la marcha lo pongo en modo seguridad alta, y al atacar el ordenador desde internet, los puertos siguen como antes, pero la velocidad de navegacin es desastrosa. Antes sala un reloj de arena. Ahora, adems del reloj, aparece un desierto de arena, un camello, un oasis, una jaima, y as sucesivamente, hasta que el servidor me dice que turur: que voy muy lento y que me echa. Lo que hemos cambiado en el modo seguridad alta son los applets de Java y los controles ActiveX, algo que podramos haber hecho tranquilamente desde las opciones de seguridad del navegador.
En red, permite trabajar normalmente, sin necesidad de andar configurando reglas especiales (que se pueden hacer, ojo).
Las estadsticas son las que esperaba de un producto marca Norton: da, fecha, hora, URL o IP del atacante, puerto atacado, las URL que hemos visitado, y los das y horas en que hemos iniciado sesin. El parecido con las estadsticas que reporta AT GUARD, es sospechoso. De hecho, estn las mismas, en el mismo orden, con las mismas opciones y las mismas casillas de verificacin.Puestos a elegir, con menos de 32 Mb de RAM, me quedo con AT GUARD, con mas de 64, Norton, aunque tambin depende de la experiencia de quien lo necesita. Como facilidad, NORTON sobre casi todos los dems.
Respecto a la privacidad, tiene un filtro tipo FREEDOM para la informacin confidencial (que no funciona si lo envas por correo electrnico), y una opcin para poner a prueba nuestros nervios aceptando o denegando cookies (para luego tenerlas que aceptar porque caso contrario la web no nos deja continuar).
PROTECT X
Este fue el primer simulacro de cortafuegos que prob hace aos ya, y le tengo cierto cario, a pesar de la omnipresencia de RADIATE - AUREATE recolectando mis datos personales y mostrndome publicidad no solicitada.Claro que en esa poca, algo parecido a un cortafuegos como es Protect X, me pareca un lujo.
Entre sus principales defectos, nos encontramos con la apertura de los puertos 1, 21, 23, 80, 1080, 12345, 8080 y 31337, adems del ya habitual 139. El resto los da como cerrados. Bien es cierto que en el 1080 y en el 8080 responde que estn protegidos por Protect X. Lo mismo hace con los puertos troyanos 12345 y 31337. Yo esto lo considero una chulera, una fanfarronada, y un tratar de ponerse medallas. Dime de que presumes y te dir de lo que careces.
Desde red local puedes atacar tranquilamente, que el cortafuegos lo nico que se limita es a tomar nota de que te has conectado, y el puerto.
Te facilita la informacin de registro de la IP del atacante mediante el "whois" de ripe.net, pero si le das una IP falseada o de red local, los resultados son cuanto menos, pintorescos. No te fes.
Protect X, NO es un cortafuegos, sino un simple programita que se dedica a informarte de quien entra en tu ordenador, y su IP, sin que puedas hacer nada por evitarlo.
SYGATE FIREWALL
Que alegra!. Otro cortafuegos gratuito y con una interfaz futurista muy conseguida, que hara seguramente las delicias de mi amigo Zelatul. Por defecto, viene configurado con un nivel de seguridad alto. En este nivel, tanto en ataques a travs de internet como en ataques en red local, el cortafuegos no es gran cosa. No quiero ni pensar lo que ocurrira si lo ponemos en nivel medio, o en nivel bajo.
Lo ponemos en nivel ULTRA, y repetimos las pruebas, consiguiendo unicamente que nos pase el puerto 80 de cerrado a invisible. El 139-NETBIOS por ejemplo, digo yo que debe pensar que no constituye un agujero de seguridad.
Sin embargo, y si contamos con un poquito de experiencia y dominio del idioma de los hijos de la gran bretaa, podemos hacer un montn de cosas con este producto, como permitir acceso a pcAnywhere, a redes privadas virtuales, a determinadas IP, enviar un correo electrnico caso de ataque, permitir o denegar el acceso a internet para determinadas aplicaciones, bloquear el acceso a internet en determinado horario, o incrementar la seguridad cuando esta activo el salva pantallas.
Los logs de actividad brillan por su ausencia y la ayuda te remite a su web, donde te recomiendan su producto, despus de demostrarte que su producto es inseguro.
TERMINET
Otro cortafuegos en idioma castellano. Al instalarlo, nos pregunta si queremos que los puertos pasen a modo invisible. Un buen detalle. Tras reiniciar el equipo, nos muestra un recordatorio durante 30 das para que nos registremos o compremos el producto. No tantas prisas: primero vamos a evaluarlo.
Nos atacamos va internet, y me llevo una sorpresa: segn las herramientas de ataque, con unas aparecen todos los puertos en modo invisible, y con otras, aparecen todos los puertos cerrados, excepto el 139-NETBIOS, que aparece abierto. Intento conectarme y es imposible, por lo que he de entender que ha sido un falso positivo de mis herramientas de ataque. La primera vez que me pasa. Se hace realidad el viejo dicho del "todo pasa y todo llega".
Atacndome desde red local, lo mismo, todo en modo invisible, pero permite continuar trabajando normalmente.
Sin embargo, NO supera el leak test de grc, por lo que cualquier troyano que tengamos, podra conectarse tranquilamente con su autor para pedir instrucciones.
Durante los ataques, el cortafuegos no nos molesta. Podemos continuar trabajando, jugando o chateando (hay gente pa t), sin recibir los molestos informes de otros cortafuegos advirtiendo de tal o cual amenaza, salvo que va web por el puerto 80, nos encontremos con paginas maliciosas que intenten hacer otra cosa, en cuyo caso se nos informa de los motivos por los que no se nos muestra la pagina.
La primera vez que accedemos al cortafuegos, hemos de suministrarle una contrasea de al menos 6 caracteres, y a partir de aqu, siempre se la habremos de indicar.
Respecto a la configuracin por defecto, no es necesario tocarla para estar protegidos, pero si lo deseamos podemos definir reglas normales o avanzadas por URL, direcciones IP, puertos, horas, das, visualizar el trafico, crear listas negras y listas blancas de direcciones web, y perfiles individuales o de grupos.
La ayuda, en castellano, es muy completa, e incluso disponemos de un manual en formato *.pdf
Desinstalarlo ya es otra cosa, pues no aparece en "agregar o quitar programas" del panel de control, ni tiene ningn desinstalador en su directorio, por lo que habremos de usar el mismo archivo de instalacin para desinstalarlo.
Es un cortafuegos muy bueno, muy fcil de utilizar, y en castellano.
Recomendado.
TINY
Instalndose, es un liante. Me lo acabo de descargar de su pagina, y al instalarlo me dice que hay una versin nueva (y como lo sabe si lo acabo de bajar?). Le digo que no, y me muestra un nuevo cuadro de dialogo al mas puro estilo Windows recordndome que para actualizarlo tendr que desinstalar esta versin. Casi pico.
Al reiniciar, se mete el solito en el registro, como un servicio. Ideal, porque con eso carga antes incluso que accedamos al sistema. No obstante, te permite la ejecucin de forma manual (solo Dios y tu sabris los motivos).La configuracin por defecto, es un nivel medio de seguridad, con lo que pone todos los puertos en modo invisible, y resisti todos los ataques que le hice desde internet y desde red local, incluyendo el leak test de grc. Permiti seguir trabajando con mi red local.
Puede ser configurado mediante contrasea, y permite la administracin remota, incluso para los logs y estadsticas. Apenas consume recursos del sistema, y es de lo mas fcil que me he echado a mi monitor TFT.
Parece muy simple en comparacin con otros, y lo es. Lo que le tenemos que pedir a un cortafuegos es precisamente eso: facilidad de uso y efectividad ocultndonos en la red. Este producto lo cumple a la perfeccin.
Encima, es GRATIS, para su uso personal. Ocupa menos de 1 Mb, algo irrisorio en comparacin con los 10 Mb de Esafe, McAffe o Norton. Si no fuera por el idioma, seria completo.
Producto recomendado.
VIRUS MD
Como diran los amigos del Criptonomicon, nos encontramos con "aceite de serpiente". Te lo anuncian como la solucin definitiva, un programa, y cito textualmente: QUE TE DA EL PODER DE COMBATIR A LOS HACKERS ( a saber lo que entienden ellos por hackers, y a saber lo que entienden ellos por poder ! ). Me parece que han visto muchas pelculas.
Aceite de serpiente era lo que vendan los vociferantes pregoneros-vendedores ambulantes de las pelculas del oeste, algo parecido a la piedra filosofal, el blsamo de Jeric o la panacea universal. Todo lo solucionaba el aceite de serpiente. Al da siguiente, el pregonero ya se haba marchado del pueblo, claro.
Te lo anuncian como el presunto cortafuegos mas fcil de utilizar, y estn en lo cierto. No hace falta que hagas nada. Inconvenientes: el programa tampoco hace nada. Eso si, guarda un fichero de texto con los ataques que recibes (y que se sobrescribe cuando intentas guardar los nuevos). Mejor dicho, con los ataques que el presunto cortafuegos detecta, porque el 90% de ellos ni los huele.
Para proteger el puerto 139-NETBIOS, lo mejor que puedes hacer con este presunto cortafuegos, es tener fe, y recitar con vehemencia el "jesusito de mi vida", porque es la nica forma de hacerlo. Ya se que no es muy eficaz, por lo que te propongo otra: girarte, apoyarte contra la pared y lloraramargamente.
Tiene una opcin denominada "kill applications" que muestra y permite cerrar los procesos actualmente en ejecucin. Hombre, no estara mal si mostrara la realidad (no coinciden sus resultados con los del Dr. Watson), por ejemplo.En cuanto a cerrar, efectivamente, los cierra. Es algo que me sorprendi: una opcin de este presunto cortafuegos que realmente hace lo que dice hacer.
Otra de las opciones es un escner de puertos propios, y que tampoco coincide con los que muestran mis escneres favoritos. tambin dispone de un listado con los puertos habituales de los troyanos. Digo yo, y digo bien: Si lo nico que hace es mostrar el listado, no seria mejor un simple fichero de texto?
Como nota curiosa, escaneas tu maquina antes y despus de instalar este presunto cortafuegos, y resulta que despus tienes mas puertos abiertos.
El examen de este presunto cortafuegos fue un autentico desastre. No oculto los puertos habituales, ni siquiera el NETBIOS, e incluso acepto conexiones en alguno de ellos. En cuanto a los ataques en red (a l0 Mb/s), se colgaba inexplicablemente. El mensaje al atacante solo se envi una vez, y a partir de ah fue imposible conseguir que volviera a enviar otro.
WIN ROUTE PRO
EL MEJOR, con mucha diferencia sobre todos los dems. Si bien estrictamente NO es un cortafuegos, sino un servidor proxy que permite que otros ordenadores se conecten a internet a travs del nuestro, incluye indirectamente un cortafuegos que cierra todos los puertos a internet (salvo que le digamos lo contrario), y permite conexiones de nuestra red interna, pudiendo filtrar las conexiones de origen y de destino, tanto entrantes como salientes.
Por supuesto, lo podemos y debemos proteger con contrasea, permite administracin remota, y podemos y debemos cambiarle el puerto por defecto, por obvios motivos de seguridad.
No consume apenas recursos del sistema, y como proxy, no es necesaria la instalacin de software alguno en los ordenadores que accedern a internet a travs del nuestro.
Tal y como se instala, NO hace falta hacer nada para tener el ordenador inmediatamente protegido y todos sus puertos en modo invisible salvo que nos ataquen con otro WinRoute, pero no esta diseado ni preparado para ello. Habra que hacer un ataque manual de fuerza bruta.
Recomendado.ZONE ALARM
Gratuito. Todo un clsico en el mundo de los cortafuegos, que no solo permite detectar todos los accesos desde internet permitiendo solo el trafico que hayas iniciado o ests esperando, sino que adems te da el control de los programas que intentan acceder a internet, como por ejemplo un programa tipo Spyware que bien podra ser un visor de imgenes, y lo hace para enviar informacin tuya, y a la vez mostrarte publicidad adecuada a tus gustos o preferencias de navegacin por internet.
Lstima que este en el idioma de los hijos de la gran bretaa, pues es un gran producto totalmente personalizable: puedes seleccionar los niveles de proteccin tanto en red local como para internet, bloquear o permitir acceso a internet a las aplicaciones, bloquear el acceso a internet tras un determinado tiempo con o sin actividad en tu ordenador.
Es fabuloso contra los troyanos, pues impide su acceso a internet, aun cuando no intenten conectarse por sus puertos habituales.
BAJO LINUX MEJOR QUE MEJOR Y GRATUITOCon una pequea maquina de solo 32 megas de RAM y 133 Mhz podemos acernos nuestro propio firewall baja linux, bastaria con compilar el siguiente script. Se trata de un sencillo pero efectivo programa, la mayor ventaja es la economia ya que tanto el SO como el programa son gratuitos.
#!/bin/sh# Definimos las variablesexport ROUTER=194.100.xxx.1export WEBSERVER=194.100.xxx.66export DNS=194.100.xxx.67export CORREO=194.100.xxx.68export FTP=194.100.xxx.69export PROXY=192.168.xxx.2export MIRED=192.168.xxx.0/255.255.255.0export ALL=0/0# levantamos las interfacesifconfig eth0 194.100.xxx.2 netmask 255.255.255.192ifconfig eth1 194.100.xxx.65 netmask 255.255.255.192ifconfig eth2 192.168.xxx.1 netmask 255.255.255.0# aadimos las rutasroute add -net 194.100.xxx.64 netmask 255.255.255.192 dev eth1route add -net 192.168.xxx.0 netmask 255.255.255.0 dev eth2route add -host $ROUTER dev eth0route add default gw $ROUTER# Empezamos con la poltica# Denegamos el forwarding por defecto# ipfwadm --> comando de firewall, -F forwarding , -p politicaipfwadm -F -p rej# aceptamos entrada y salida de correoipfwadm -F -a acc -S $ALL -D $CORREO 25 -P tcpipfwadm -F -a acc -D $ALL -S $CORREO 25 -P tcp -kipfwadm -F -a acc -S $CORREO -D $ALL 25 -P tcpipfwadm -F -a acc -D $CORREO -S $ALL 25 -P tcp -k# aceptamos la recogida de correo desde la red internaipfwadm -F -a acc -S $MIRED -D $CORREO 110 -P tcpipfwadm -F -a acc -D $MIRED -S $CORREO 110 -P tcp -k# aceptamos peticin y consultas de DNSipfwadm -F -a acc -S $ALL -D $DNS 53 -P tcp -bipfwadm -F -a acc -S $ALL -D $DNS 53 -P udp -b# aceptamos peticiones de FTPipfwadm -F -a acc -S $ALL -D $FTP 21 -P tcpipfwadm -F -a acc -D $ALL -S $FTP 21 -P tcp -kipfwadm -F -a acc -S $FTP -D $ALL 20 -P tcpipfwadm -F -a acc -D $FTP -S $ALL 20 -P tcp -k# aceptamos hacer masquerade desde el proxyipfwadm -F -a acc -S $PROXY -D $ALL -m# Para loguear el resto de peticiones. Los logs se guardan en /var/log/messages# Si no se desea loguear comentar la siguiente lnea.ipfwadm -F -a rej $ALL -D $ALL -o# Fin del fichero de configuracin.
DE QUE NO PROTEGE UN FIREWALLA pesar de todas sus virtudes y ventajas, los cortafuegos no suponen la solucin definitiva a todos los problemas de seguridad. Existen amenazas fuera del alcance del cortafuegos, contra las cuales deben buscarse otros caminos de proteccin. Veamos los tipos de ataques.Ataques desde el interior. El mayor nmero de ataques informticos y de robos de informacin es perpetrado por gente de la propia organizacin, empleados desleales o espas infiltrados. Sera absurdo creer que el cortafuegos le proteger frente a filtraciones de informacin. Resulta mucho ms sencillo y prctico copiar la informacin confidencial de inters a un disquete o a un CD-ROM y salir con l en el bolsillo. La filtracin de informacin no tiene por qu ser deliberada: a menudo los usuarios ms ingenuos caen vctimas de ataques de ingeniera social y revelan confiadamente contraseas de acceso y otros secretos.Ataques que no pasan por el cortafuegos. Los accesos va mdem a ordenadores de la red no son filtrados por el cortafuegos, por lo que nada puede hacer en estas situaciones. Se los conoce como puertas traseras a la red, ya que permiten entrar sin pasar por la puerta principal (el cortafuegos). Representan una de las formas favoritas de intrusin de hackers en redes fuertemente protegidas. La poltica de seguridad debera recoger claramente este punto, ya que se trata en muchos casos de un problema de educacin del personal.Infeccin de virus sofisticados. A pesar de la proteccin antivirus y de contenido malicioso que proporcionan algunos cortafuegos, la variedad de plataformas y redes, la diversidad de codificaciones de ficheros binarios y la mutabilidad de los virus, vuelven esta labor extraordinariamente difcil. Por este motivo, la defensa antivirus nunca se debera concentrar exclusivamente en el cortafuegos (defensa perimetral), sino que debera extenderse a todas las mquinas de la red (defensa en profundidad), que debern contar con su software antivirus debidamente actualizado. En materia de virus, el cortafuegos debe considerarse solamente como una primera lnea de defensa, nunca como la barrera absoluta.Ataques basados en datos. Existen ataques basados en fallos en programas que se ejecutan en el servidor, como sendmail o ghostscript, o programas en CGI diseados para comercio electrnico o gestin de datos. Dado que muchos de ellos se acceden a travs de protocolos permitidos por el cortafuegos, ste se ve impotente a la hora de impedir que se lleven a efecto. Para una descripcin ms detallada (vase el recuadro Ataques por la puerta grande).Ataques completamente nuevos. El ingenio de los hackers siempre corre un paso por delante de los diseadores de aplicaciones de proteccin. Con el tiempo, descubren nuevas formas de ataque utilizando servicios considerados seguros o inventando ataques que no se le haban ocurrido a nadie antes. Aunque los buenos cortafuegos protegen de los ataques conocidos y otros an por descubrir, no son un pasaporte de seguridad total para siempre.ATAQUES
