FACULTAD DE INFORMATICA Y CIENCIAS APLICADAS ESCUELA DE INFORMATICA

DESARROLLO DE REDES IV

ETS4 -T CICLO 01/2012 CATEDRATICO: ING.RODRIGO TORRES SECCION: 01

ALUMNOS: DALIA MARINA CAMPOS MARIN RENE JONATHAN QUINTANILLA LANDAVERDE XIOMARA CAROLINA TORRES ALFARO

CARNET: 25-0082-1999 25-1801-2007 25-3527-2004

SAN SALVADOR, 18 DE MARZO DE 2011

FIREWALLUTEC ETS4-T

INDICEndice Introduccin...........4 Objetivos......... 5 Historia de los firewalls............................ 6 Primera generacin. Segunda generacin. Tercera generacin. Acontecimientos posteriores Firewalls.................................................................................................................8 Como trabaja el firewall........................................................................................10 Firewalls de software............................................................................................12 Firewalls de hardware..........................................................................................15 Tipos Firewalls.16 Nivel de aplicacin de pasarela.17 Circuito a nivel de pasarela...18 Cortafuegos de capa de red o de filtrado de paquetes Cortafuegos de capa de aplicacin Cortafuegos personales Arquitecturas19 Filtrado de paquetes Dual-Homed Host (de dos bases) 35Screened Host (Firewall como servidor bastin).

2

FIREWALLUTEC ETS4-T Screened Subnet (Firewall como servidor de bastin con dos interfaces de red). Dos firewalls y dos DMZ Subredes Seleccionadas Proxy y Gateways de Aplicaciones (Compuertas a nivel de aplicacin). Inspeccin de Paquetes Firewalls personales Capas del modelo OSI en que trabajan los firewalls Beneficios de un firewall.30 Limitaciones de un firewall31 Estado actual en el mercado..31 Principales fabricantes de firewall SOFTWARE Y HARDWARE33 Check Point Software Technologies Ltd33 Karspersky..35 McAfee, Inc. .36 Symantec Corporation38 Panda Security39 CLAVISTER....... 43 ALPHASHIELD. 48 Cisco51 CheckPoint58 Conclusin. 59 Bibliografa... 60

3

FIREWALLUTEC ETS4-T

INTRODUCCIONLa seguridad ha sido el principal problema a tratar cuando una organizacin desea conectar su red privada al Internet. Sin tomar en cuenta el tipo de negocios, se ha incrementado el numero de usuarios de redes privadas por la demanda del acceso a los servicios de Internet tal es el caso del World Wide Web (WWW), Internet Mail (e-mail), Telnet, y File Transfer Protocol (FTP). Adicionalmente los corporativos buscan las ventajas que ofrecen las paginas en el WWW y los servidores FTP de acceso publico en el Internet. Los administradores de red tienen que incrementar todo lo concerniente a la seguridad de sus sistemas, debido a que se expone la organizacin privada de sus datos as como la infraestructura de sus redes a los Expertos de Internet (Internet Crakers). Para superar estos temores y proveer el nivel de proteccin requerida, las organizaciones necesitan seguir una poltica de seguridad para prevenir el acceso no-autorizado de usuarios a los recursos propios de la red privada, y protegerse contra la exportacin privada de informacin. Todava, aun si una organizacin no esta conectada al Internet, esta debera establecer una poltica de seguridad interna para administrar el acceso de usuarios a porciones de red y proteger sensitivamente la informacin secreta. Quizs uno de los elementos ms publicitados a la hora de establecer seguridad, sean estos elementos llamados firewall. Aunque deben ser uno de los sistemas a los que ms se debe prestar atencin, pues distan mucho de ser la solucin final a los problemas de seguridad. Antes de definir o entrar en detalle sobre firewall, debemos hacer nfasis en las diferencias que presenta comparado con un antivirus. El antivirus es una aplicacin que funciona escudriando la computadora para ubicar y erradicar malware, Spyware, troyanos, y otros programas maliciosos que actan en contra de sistemas informticos. Por otro lado, el Firewall es una herramienta que funciona nicamente como mecanismo de defensa, su caracterstica principal es evitar el acceso de sistemas malignos desde Internet.

4

FIREWALLUTEC ETS4-T El firewall es un sistema de seguridad diseado especficamente para bloquear el acceso no autorizado a comunicaciones malignas. En este reporte les explicaremos un poco sobre que son, su funcionamiento, sus diferentes caractersticas, tipos de firewall existentes, en que capa del modelo OSI trabajan y como lo hacen, sus principales fabricantes a nivel comercial.

OBJETIVOSGENERAL Introducirnos en el concepto de firewalls. Esto incluye entender como funciona y para que sirven. Tomando conciencia de la necesidad en lo que a seguridad respecta del uso de barreras de proteccin a partir de que todas las redes corporativas de una organizacin hoy por hoy se encuentran conectadas al mundo exterior a travs de Internet, y por ende expuestas a mltiples intentos de accesos no autorizados.

ESPECIFICOS Reconocer los diferentes tipos de firewalls en cuanto al nivel que protegen. Informar de las diferentes configuraciones y arquitecturas que se pueden establecer mediante el uso de los firewalls, como as tambin mostrarle ventajas y desventajas de cada una de ellas. Introducir una idea de en que capa del modelo OSI trabajan y como lo hacen. Dar una breve idea del estado de los firewalls como producto en el mercado y sus principales fabricantes.

5

FIREWALLUTEC ETS4-T

HISTORIA DE LOS FIREWALLS. El trmino "firewall / fireblock" significaba originalmente una pared para confinar un incendio o riesgo potencial de incendio en un edificio. La tecnologa de los cortafuegos surgi a finales de 1980, cuando Internet era una tecnologa bastante nueva en cuanto a su uso global y la conectividad. Los predecesores de los cortafuegos para la seguridad de la red fueron los routers utilizados a finales de 1980, que mantenan a las redes separadas unas de otras. La visin de Internet como una comunidad relativamente pequea de usuarios con mquinas compatibles, que valoraba la predisposicin para el intercambio y la colaboracin, termin con una serie de importantes violaciones de seguridad de Internet que se produjo a finales de los 80.

Primera generacin cortafuegos de red: filtrado de paquetesEl primer documento publicado para la tecnologa firewall data de 1988, cuando el equipo de ingenieros Digital Equipment Corporation (DEC) desarroll los sistemas de filtro conocidos como cortafuegos de filtrado de paquetes. Este sistema, bastante bsico, fue la primera generacin de lo que se convertira en una caracterstica ms tcnica y evolucionada de la seguridad de Internet. En AT&T Bell, Bill Cheswick y Steve Bellovin, continuaban sus investigaciones en el filtrado de paquetes y desarrollaron un modelo de trabajo para su propia empresa, con base en su arquitectura original de la primera generacin. El filtrado de paquetes acta mediante la inspeccin de los paquetes (que representan la unidad bsica de transferencia de datos entre ordenadores en Internet). Si un paquete coincide con el conjunto de reglas del filtro, el paquete se reducir (descarte silencioso) o ser rechazado (desprendindose de l y enviando una respuesta de error al emisor). Este tipo de filtrado de paquetes no presta atencin a si el paquete es parte de una secuencia existente de trfico. En su lugar, se filtra cada paquete basndose nicamente en la informacin contenida en el paquete en s (por lo general utiliza una combinacin del emisor del paquete y la direccin de destino, su protocolo, y, en el trfico TCP y UDP, el nmero de puerto). Segunda generacin - cortafuegos de aplicacin Son aquellos que actan sobre la capa de aplicacin del modelo OSI. La clave de un cortafuegos de aplicacin es que puede entender ciertas aplicaciones y protocolos (por ejemplo: protocolo de transferencia de ficheros, DNS o

6

FIREWALLUTEC ETS4-T navegacin web), y permite detectar si un protocolo no deseado se col a travs de un puerto no estndar o si se est abusando de un protocolo de forma perjudicial. Un cortafuegos de aplicacin es mucho ms seguro y fiable cuando se compara con un cortafuegos de filtrado de paquetes, ya que repercute en las siete capas del modelo de referencia OSI. En esencia es similar a un cortafuegos de filtrado de paquetes, con la diferencia de que tambin podemos filtrar el contenido del paquete. El mejor ejemplo de cortafuegos de aplicacin es ISA (Internet Security and Acceleration). Un cortafuego de aplicacin puede filtrar protocolos de capas superiores tales como FTP, TELNET, DNS, DHCP, HTTP, TCP, UDP y TFTP (GSS). Por ejemplo, si una organizacin quiere bloquear toda la informacin relacionada con una palabra en concreto, puede habilitarse el filtrado de contenido para bloquear esa palabra en particular. No obstante, los cortafuegos de aplicacin resultan ms lentos que los de estado. Tercera generacin cortafuegos de estado Esta tercera generacin cortafuegos tiene en cuenta adems la colocacin de cada paquete individual dentro de una serie de paquetes. Esta tecnologa se conoce generalmente como la inspeccin de estado de paquetes, ya que mantiene registros de todas las conexiones que pasan por el cortafuego, siendo capaz de determinar si un paquete indica el inicio de una nueva conexin, es parte de una conexin existente, o es un paquete errneo. Este tipo de cortafuegos pueden ayudar a prevenir ataques contra conexiones en ya establecidas o en ataques de denegacin de servicio. Acontecimientos posteriores En 1992, Bob Braden y DeSchon Annette, de la Universidad del Sur de California (USC), dan forma al concepto de cortafuegos. Su producto, conocido como "Visas", fue el primer sistema con una interfaz grfica con colores e iconos, fcilmente implementable y compatible con sistemas operativos como Windows de Microsoft o MacOS de Apple. En 1994, una compaa israel llamada Check Point Software Technologies lo patent como software denominndolo FireWall.

7

FIREWALLUTEC ETS4-T La funcionalidad existente de inspeccin profunda de paquetes en los actuales cortafuegos puede ser compartida por los sistemas de prevencin de intrusiones (IPS). Actualmente, el Grupo de Trabajo de Comunicacin Middlebox de la Internet Engineering Task Force (IETF) est trabajando en la estandarizacin de protocolos para la gestin de cortafuegos. Otro de los ejes de desarrollo consiste en integrar la identidad de los usuarios dentro del conjunto de reglas de los cortafuegos. Algunos cortafuegos proporcionan caractersticas tales como unir a las identidades de usuario con las direcciones IP o MAC. Otros, como el cortafuego NuFW, proporcionan caractersticas de identificacin real solicitando la firma del usuario para cada conexin.

FIREWALL Un cortafuegos (firewall en ingls) es una parte de un sistema o una red que est diseada para bloquear el acceso no autorizado, permitiendo al mismo tiempo comunicaciones autorizadas. Se trata de un dispositivo o conjunto de dispositivos configurados para permitir, limitar, cifrar, descifrar, el trfico entre los diferentes mbitos sobre la base de un conjunto de normas y otros criterios. Los cortafuegos pueden ser implementados en hardware o software, o una combinacin de ambos. Los cortafuegos se utilizan con frecuencia para evitar que los usuarios de Internet no autorizados tengan acceso a redes privadas conectadas a Internet, especialmente intranets. Todos los mensajes que entren o salgan de la intranet pasan a travs del cortafuegos, que examina cada mensaje y bloquea aquellos que no cumplen los criterios de seguridad especificados. Tambin es frecuente conectar al cortafuegos a una tercera red, llamada Zona desmilitarizada o DMZ, en la que se ubican los servidores de la organizacin que deben permanecer accesibles desde la red exterior. Un cortafuegos correctamente configurado aade una proteccin necesaria a la red, pero que en ningn caso debe considerarse suficiente. La seguridad informtica abarca ms mbitos y ms niveles de trabajo y proteccin.

8

FIREWALLUTEC ETS4-T Un firewall es un componente de la red cuyo objetivo es impedir el acceso no autorizado desde internet (ingreso de mensajes no autorizados) y por la tanto proteger la red de intrusos o amenazas desconocidas.

Dibujo conceptual de un Firewall para su computador personal.

Esquema de Firewall que protege a una red de una oficina

9

FIREWALLUTEC ETS4-T

COMO TRABAJA EL FIREWALL Un sistema firewall contiene un conjunto de reglas predeterminadas que le permiten al sistema: Autorizar la conexin (permitir) Bloquear la conexin (denegar) Rechazar el pedido de conexin sin informar al que lo envi (negar) Todas estas reglas implementan un mtodo de filtrado que depende de la poltica de seguridad adoptada por la organizacin. Las polticas de seguridad se dividen generalmente en tres tipos que permiten: la autorizacin de slo aquellas comunicaciones que se autorizaron explcitamente: "Todo lo que no se ha autorizado explcitamente est prohibido" el rechazo de intercambios que fueron prohibidos explcitamente El Firewall usa uno o ms de tres mtodos para controlar el trfico en la red: Filtrado de paquetes: Los paquetes son analizados contra una serie de filtros, all son analizados y aquellos paquetes que son retenidos por los filtros son descartados de inmediato. Servicio Proxy: La informacin proveniente de Internet es analizada por el firewall y enviada hacia el computador destino y vice versa. Las peticiones no autorizadas por el firewall son descartadas. Inspeccin de estado: Es un nuevo mtodo, el cual no revisa el contenido de cada paquete como los mtodos anteriores, pero compara ciertas partes claves del paquete contra una base de datos de informacin de confianza. La informacin que viaja desde dentro del firewall hacia fuera del firewall es

10

FIREWALLUTEC ETS4-T monitoreada, las caractersticas especficas de cada paquete estn definidas y la informacin entrante es comparada contra esas caractersticas. Si la comparacin calza razonablemente la informacin es permitida, de lo contrario ser descartada. El Firewall es configurable, por lo que se puede agregar o eliminar el filtrado mediante algunas condiciones, como las siguientes: Filtrado por direccin IP: El firewall puede negar o permitir el trfico de informacin desde una direccin IP especfica o bien desde un rango de direcciones IP especficas. Filtrado por dominios: El firewall puede tambin realizar los bloqueos o desbloqueos por nombres de dominio, denegando o permitiendo el trfico de informacin proveniente de todo el dominio especificado. Filtrado por Protocolos: El firewall puede negar o permitir el trfico por protocolo, los protocolos mas usados son: IP (Internet Protocol) TCP (Transmission Control Protocol) HTTP (Hyper Text Transfer Protocol) FTP (File Transfer Protocol) UDP (User Datagram Protocol) ICMP (Internet Control Message Protocol SMTP (Simple Mail Transport Protocol) SNMP (Simple Network Management Protocol) Telnet Filtrado por Puertos: Especificando el nmero de puerto se deniega o permite el trfico. Filtrado por palabras o frases especficas: El firewall analizar cada paquete de informacin identificando lo que coincida en la lista de frases o palabras para denegar o permitir el trfico del paquete.

11

FIREWALLUTEC ETS4-T

Esquema del funcionamiento de un firewall por hardware y por software.

Existen tres formas de firewalls: Firewalls de software: Tienen un costo pequeo y son una buena eleccin cuando slo se utiliza una PC. Su instalacin y actualizacin es sencilla, pues se trata de una aplicacin de seguridad, como lo sera un antivirus; de hecho, muchos antivirus e incluso el propio Windows poseen firewalls para utilizar. Un firewall gratuito es un Software que se puede instalar y utilizar libremente, o no, en la computadora. Son tambin llamados 'desktop firewall' o 'software firewall'. Son firewalls bsicos que monitorean y bloquean, siempre que es necesario, el trfico de Internet. Casi todas las computadoras vienen con un firewall instalado, Windows XP y Windows Vista lo traen. Las caractersticas de un firewall por software son: - Los gratuitos se incluyen con el sistema operativo y normalmente son para uso personal - Pueden ser fcilmente integrados con otros productos de seguridad - No necesita de hardware para instalarlo en la computadora - Es muy simple de instalar, normalmente ya viene activado y el Sistema Operativo alerta cuando no tenemos ningn tipo de firewall en funcionamiento. - Un firewall de este tipo es el bsico que debe existir en una computadora y no

12

FIREWALLUTEC ETS4-T hay razones que justifiquen la no utilizacin de, por lo menos, un desktop firewall.

Firewall de Windows XP Ha sido muy mejorado con el Service Pack 2 (SP2). Las anteriores versiones de Windows XP e incluso creo que Windows 2000 traan un firewall muy simple y que realmente no tiene ninguna utilidad. El firewall que viene con el SP2 es un firewall simple, pero efectivo. Una limitacin importante de este firewall es que solo controla los paquetes que llegan a nuestro ordenador y no los que se envan. Esto supone que por ejemplo si tenemos un spyware enviado datos de a un servidor externo el firewall de Windows no har nada para impedirlo. Es decir, desde Microsoft han supuesto que es posible y suficiente evitar la entrada de intrusiones y no merece la pena controlar el trfico que sale del ordenador. Quiz sea para que los usuarios no se alarmen que Windows enva datos de algn tipo cuando, por ejemplo, simplemente entramos en la Ayuda y Soporte Tcnico de Windows. Es importante saber que por defecto todos los programas estn bloqueados. Es decir todos los programas que quieran recibir datos debern tener el permiso del firewall.

13

FIREWALLUTEC ETS4-T Cuando ejecutamos un programa y este va a recibir datos desde Internet, el firewall nos pide inmediatamente autorizacin, entonces, podemos optar por 'Desbloquear' o 'Continuar Bloqueo'. Ver imagen:Si le damos a Continuar bloqueo el Firewall impedir el trfico hacia ese programa y por tanto este no funcionara correctamente. Debemos elegir esta opcin cuando el programa que esta pidiendo permiso es de nuestra confianza y realmente queremos que reciba datos de Internet. Si le damos a Desbloquear el Firewall permitir al programa recibir datos con total libertad desde Internet. El programa funcionara correctamente tal como si no hubiera firewall.

Sus ventajas son: Es gratuito ya que viene con el SP2 Lo tendrn instalado casi todos los usuarios de Windows Es muy sencillo de manejar Conoce por defecto los programas de Windows que se comunican a Internet por lo que no nos molestar con este aspecto. OTROS FIREWALLS:

Norton personal firewall Symantec personal / enterprise firewall Mcafee personal firewall Zone alarm firewall Router

14

FIREWALLUTEC

ETS4-T

Linux firewall

Enrutadores de hardware: Su principal funcin es la de disfrazar la direccin y puertos de la PC a los intrusos. Suelen tener cuatro puertos de red para conexin mediante cableado. Una firewall por Hardware viene normalmente instalado en los routers que utilizamos para acceder a Internet, lo que significa que todas las computadoras que estn detrs del router estarn protegidas por un firewall que est incluido en el dispositivo. La mayora de los routers vienen con un firewall instalado. La configuracin de un firewall por hardware es ms complicada que una instalacin de un firewall por software y es normalmente realizada a travs del navegador que se utiliza para acceder a Internet. La diferencia de precio entre un router con firewall y un router sin firewall es muy pequea, por eso es recomendable comprar un router con esta proteccin. Es posible tener un firewall por hardware y un firewall por software activos simultneamente para lograr una mayor proteccin. Firewalls de hardware: Son ms caros y complejos de manejar en el mantenimiento y actualizacin. Los firewalls de hardware son ms indicados en empresas y grandes corporaciones que tienen mltiples computadoras conectadas. Tambin suelen utilizarse en aquellas empresas que prestan servicios de hosting y necesitan seguridad en los servidores.Firewall por hardware

15

FIREWALLUTEC TIPOS DE FIREWALLS. Conceptualmente hay dos tipos de firewalls, nivel de red y nivel de aplicacin. Los firewalls de nivel de red toman sus acciones en funcin del origen, la direccin de destino y el port en cada paquete IP. Los modernos firewalls de este tipo se han sofisticado y mantienen informacin respecto del estado de las conexiones que estn activas a travs de l, etc. Este tipo de firewall tiende a ser muy rpidos y son transparentes al usuario. Los firewalls de nivel de aplicacin por lo general son hosts corriendo proxy servers, que no permiten el trfico directo entre redes, manteniendo una elaborada auditoria y logeo del trfico que pasa a travs de l. Este tipo de firewall puede ser utilizado para realizar las tareas relativas al NAT, debido a que como las comunicaciones van de un lado hacia el otro se puede enmascarar la ubicacin original. Este tipo tiende a proveer una auditora ms detallada y un mayor grado de seguridad que los de nivel de red. Los routers de filtro de paquetes, que corresponden al primer grupo, realizan una decisin del tipo pasa no pasa para cada paquete que recibe. El router examina cada datagrama para determinar si se aplican sus reglas de filtrado. Las reglas de filtrado se basan en la informacin contenida en el encabezado del paquete. Esta informacin consiste en el IP de origen, la IP de destino, el protocolo encapsulado (TCP, UDP, ICMP), el port TCP/UDP de origen y de destino, etc. Toda esta informacin es controlada contra las reglas de filtrado definidas, pudiendo ser enrutada si existe una regla que lo permite, descartada si una regla as lo indica y si no existe regla comparable un parmetro previamente configurado determinar si el paquete pasa o no. Dentro de este tipo estn los que filtran en funcin del servicio involucrado. Esto es posible pues hay muchos servicios para los cuales estn normalizados los ports en los que escuchan, por lo cual se pueden definir reglas que involucren el port, definiendo la aceptacin o el rechazo. Por otro lado frente a diferentes ataques que se fueron produciendo surgieron otros firewalls cuyas reglas son independientes del servicio; estas reglas exigen un anlisis ms detallado que involucra el ruteo, las opciones de IP, verificacin de los fragmentos de desplazamiento y puntos por el estilo. La mayora de los firewalls implementados sobre Internet estn desarrollados sobre el concepto de filtrado de paquetes. Este tipo de firewalls no son difciles ETS4-T

16

FIREWALLUTEC ETS4-T de configurar debido a que su software contiene una serie de reglas previamente configuradas y fundamentalmente son transparentes al usuario y no exigen instalar ningn software adicional en los hosts. Por otro lado cuando se debe customizar de manera tal de adaptarlo a aplicaciones especficas de cada empresa la tarea se puede hacer algo compleja pues exige una figura de administrador que debe conocer los servicios de Internet, los distintos encabezados de los paquetes, los distintos valores que se espera encontrar en los campos a analizar. Si se requiere un filtrado complejo, las reglas pueden volverse demasiado largas con la consecuencia de una difcil administracin y seguimiento. Como dijimos los filtros a nivel de aplicacin permiten aplicar un esquema de seguridad ms estricto. En estos firewalls se instala un software especfico para cada aplicacin a controlar (un proxy server); de hecho si no se instala los servicios relativos a la aplicacin las comunicaciones no podrn ser enrutadas, punto que no se convierte en trivial pues de esta forma estamos garantizando que todas aquellas nuevas aplicaciones desconocidas no podrn acceder a nuestra red. Otro ventaja que trae el uso de este tipo de firewall es que permite el filtrado del protocolo, por ejemplo se podra configurar el proxy server que atiende el FTP para que pueda aceptar conexiones pero denegar el uso del comando put asegurando de esta forma que no nos puedan escribir ningn archivo o que impida navegar por el FS; esto es lo que hay se conoce como un FTP annimo Este tipo de configuracin incrementa los costos de la plataforma sobre la cual funcionar el filtro. Algunos reconocen otro nivel de aplicacin de firewall que es nivel de circuito, que en realidad no procesa ni filtra el protocolo, sino que simplemente establece un circuito entre origen y destino.

TIPOS BSICOS: Nivel de aplicacin de pasarela Aplica mecanismos de seguridad para aplicaciones especficas, tales como servidores FTP y Telnet. Esto es muy eficaz, pero puede imponer una degradacin del rendimiento.

17

FIREWALLUTEC Circuito a nivel de pasarela Aplica mecanismos de seguridad cuando una conexin TCP o UDP es establecida. Una vez que la conexin se ha hecho, los paquetes pueden fluir entre los anfitriones sin ms control. Permite el establecimiento de una sesin que se origine desde una zona de mayor seguridad hacia una zona de menor seguridad. Cortafuegos de capa de red o de filtrado de paquetes Funciona a nivel de red (capa 3 del modelo OSI, capa 2 del stack de protocolos TCP/IP) como filtro de paquetes IP. A este nivel se pueden realizar filtros segn los distintos campos de los paquetes IP: direccin IP origen, direccin IP destino. A menudo en este tipo de cortafuegos se permiten filtrados segn campos de nivel de transporte (capa 3 TCP/IP, capa 4 Modelo OSI), como el puerto origen y destino, o a nivel de enlace de datos (no existe en TCP/IP, capa 2 Modelo OSI) como la direccin MAC. Cortafuegos de capa de aplicacin Trabaja en el nivel de aplicacin (capa 7 del modelo OSI), de manera que los filtrados se pueden adaptar a caractersticas propias de los protocolos de este nivel. Por ejemplo, si se trata de trfico HTTP, se pueden realizar filtrados segn la URL a la que se est intentando acceder. Un cortafuegos a nivel 7 de trfico HTTP suele denominarse proxy, y permite que los computadores de una organizacin entren a Internet de una forma controlada. Un proxy oculta de manera eficaz las verdaderas direcciones de red. Cortafuegos personales Es un caso particular de cortafuegos que se instala como software en un computador, filtrando las comunicaciones entre dicho computador y el resto de la red. Se usa por tanto, a nivel personal. ETS4-T

18

FIREWALLUTEC ARQUITECTURAS Filtrado de paquetes Las tecnologas de filtrado de paquetes que se emplean en los firewalls constituyen una manera eficaz y general para controlar el trfico en la red. Tales tecnologas tienen la ventaja de no realizar ningn cambio en las aplicaciones del cliente y el servidor, pues operan en las capas IP y TCP, las cuales son independientes de los niveles de aplicacin segn se establece en el modelo OSI. Por otro lado, los enfoques de la filtracin de paquetes no han declarado muchos requerimientos de seguridad, por la informacin incompleta con la que trabajan. Slo la informacin de las capas de transporte y red, como las direcciones IP, los nmeros de puerto y las banderas TCP estn disponibles para las decisiones de filtracin. En muchas implementaciones de los filtros de paquete, el nmero de reglas puede ser limitado; adems, mientras mayor sea este nmero, habr una alta penalizacin en el desempeo, a causa del proceso adicional necesario para las reglas complementarias. En vista de la falta de informacin de contexto, ciertos protocolos como el UDP y RPC no pueden filtrarse con efectividad. Adems, en muchas implementaciones, faltan los mecanismos de intervencin y alerta. Muchas de estas implementaciones de filtros pueden requerir un alto nivel de comprensin de los protocolos de comunicacin y su comportamiento, cuando se utilizan por diferentes aplicaciones. Los dispositivos de filtracin de paquetes, casi siempre se mejoran mediante otros tipos dispositivos llamados barreras de proteccin. Las barreras de proteccin se llaman as porque operan en las capas superiores del modelo OSI y tienen informacin completa sobre las funciones de la aplicacin en la cual basan sus decisiones. Estos constituyen la mayora de los firewalls tal cual hoy los conocemos. Existen varios mtodos para construir una barrera de proteccin. Las organizaciones con talento en la programacin y recursos financieros suficientes, en general prefieren usar un mtodo personalizado de barreras de proteccin para proteger la red de la organizacin. Si se ejecuta de manera adecuada, tal vez ste sea el mtodo ms eficaz y por supuesto el ms costoso. ETS4-T

19

FIREWALLUTEC ETS4-T Otras organizaciones prefieren usar los productos comerciales existentes, as como personalizarlos y configurarlos para cumplir la poltica de seguridad de red de esas organizaciones. De aqu en adelante iremos describiendo las distintas arquitecturas con las cuales se puede implementar una barrera de proteccin para nuestra red

Dual-Homed Host (de dos bases) Un firewall de dos bases no es nada ms y nada menos que un firewall con dos interfaces de red, que permite asilar una red interna de una red externa no confiable. Como este anfitrin no enva ningn trfico TCP/IP, bloquea por completo cualquier trfico IP entre las redes no confiables interna y externa. Muchos servicios Internet son en esencia de almacenaje y envo. Si estos servicios se ejecutan en el anfitrin, pueden configurarse para transmitir servicios de aplicacin desde una red hacia la otra. Si los datos de aplicacin deben cruzar la barrera, es factible configurar los agentes emisores de aplicacin para hacer la ejecucin en el anfitrin. Estos agentes son programas especiales, utilizados para enviar solicitudes de aplicacin entre dos redes conectadas. Otro mtodo es permitir que los usuarios se conecten al anfitrin de dos bases y despus tengan accesos a los servicios externos desde la interfaz de red externa del anfitrin. Si se usan los emisores de aplicacin, el trfico de la aplicacin no puede cruzar la barrera, a menos que el emisor de aplicacin se ejecute y se configure en el servidor de barrera de proteccin. Esta accin es la implementacin de la poltica si no est permitido de manera expresa, est prohibido. Si se autoriza a los usuarios conectarse en forma directa a la barrera de proteccin, puede comprometerse la seguridad de sta porque la barrera es el punto central de la conexin entre la red externa y la interna. Por definicin, la barrera de este tipo est en zona de riesgo. Si el usuario selecciona una contrasea dbil o compromete su cuenta de usuario (al proporcionar la contrasea), la zona de riesgo quiz se extienda a la red interna y por lo tanto eliminar el objetivo de la barrera. Si se mantienen registros adecuados de las conexiones de usuarios, es posible rastrear las conexiones no autorizadas a la barrera, en el momento que se descubra una brecha de seguridad. En cambio si se impide que los usuarios se

20

FIREWALLUTEC ETS4-T conecten en forma directa a la barrera, cualquier intento de conexin directa se registrar como algo notorio y como una brecha potencial de seguridad. Este tipo de firewall, con una interfaz mirando a cada red, es la configuracin bsica usada en las barreras de proteccin. Los aspectos delicados son que el enrutamiento se encuentra inhabilitado y que la nica ruta entre los segmentos de red es a travs de una funcin de capa de aplicacin. Si el enrutamiento se ha configurado de manera errnea por accidente (o por diseo) para permanecer activo, se ignorarn las funciones de la capa de aplicacin de las barreras de proteccin. La mayora de estas configuraciones estn montadas sobre mquinas UNIX. En algunas implementaciones de este sistema operativo, las funciones de enrutamiento se activan de manera predeterminada, por lo cual es importante verificar que dichas funciones estn inhabilitadas.

Screened Host (Firewall como servidor bastin). Un firewall es un servidor de barrera de proteccin que es determinante para la seguridad en la red. Es el servidor central para la seguridad en la red de una organizacin y, por su funcin, debe estar en una buena fortaleza. Esto significa que el firewall lo monitorean con detenimiento los administradores de la red. La seguridad del sistema y del software del servidor debe revisarse con regularidad. Asimismo, es preciso observar los registros de acceso en busca de cualquier brecha potencial de seguridad y de un intento de asalto al servidor.

21

FIREWALLUTEC ETS4-T La configuracin antes comentada es un caso especial del firewall. Como los firewalls actan como un punto de interfaz para una red externa no confiable, casi siempre estn sujetos a invasiones. La distribucin ms simple es aquella en la que el servidor constituye el primer y nico punto de entrada para el trfico de una red externa. En vista de que el firewall es determinante para la seguridad de la red interna, por lo regular se coloca otra primera lnea de defensa entre la red externa no confiable y la red interna. Esta lnea casi siempre la proporciona un router de seleccin. En este esquema el firewall tiene una sola interfaz de red conectada a la red interna y el enrutador de seleccin tiene dos, una a Internet y la otra a la red interna enrutando todo el trfico hacia el bastin. Se debe configurar el router para que enve primero hacia el firewall todo el trfico recibido de las redes externas para la red interna. Antes de enviar el trfico hacia este servidor, el router aplicar sus reglas de filtro en el trfico del paquete. Slo el trfico de red que pase tales reglas ser dirigido hacia el firewall; el resto del trfico ser rechazado. Esta arquitectura da un mayor nivel de confianza en la seguridad de la red. Un intruso necesita penetrar primero en el router de seleccin y, si lo logra, debe enfrentarse con el firewall. El firewall utiliza funciones a nivel de aplicacin para determinar si las solicitudes hacia y desde la red externa se aceptarn o negarn. Si la solicitud pasa el escrutinio del firewall, se enviar a la red interna para el trfico de entrada. Para el trfico de salida (trfico hacia la red externa), las solicitudes se enviarn al router de seleccin. Algunas organizaciones prefieren que su proveedor de acceso a Internet, IAP, proporcione las reglas de los filtros de paquetes para el trfico en red enviado a la red de dicha organizacin. El filtro de paquetes an acta como la primera lnea de defensa, pero se debe confiar al IAP el mantenimiento adecuado de las reglas del filtro de paquetes. Otro punto a tener en cuenta es la seguridad del router de seleccin. Sus tablas de enrutamiento deben configurarse para enviar el trfico externo al firewall. Dichas tablas necesitan estar protegidas contra las invasiones y los cambios no autorizados. Si la entrada a las tablas se cambia para que el trfico no se enve al firewall sino en forma directa a la red conectada localmente, el firewall se ignorar.

22

FIREWALLUTEC ETS4-T Adems si el router responde a los mensajes ICMP (protocolo Internet de mensajes de control) de redireccin, ser vulnerable a los falsos mensajes ICMP que enve el intruso. Por lo tanto, debe inhabilitarse la respuesta a los mensajes ICMP de redireccin. Se deben eliminar los servicios de red innecesarios y utilizar el enrutamiento esttico. En especial, asegurarse que los demonios routed y gated no se encuentren en ejecucin; de lo contrario, las rutas sern anunciadas al mundo exterior. Por otro lado, realizar entradas permanentes en la tabla de cach ARP para sealar al firewall. Entre los servicios a inhabilitar se encuentran: ARP, redirecciones ICMP, ARP apoderado, MOP y mensajes ICMP no alcanzables, TELNET. En una operacin ARP normal, las tablas ARP de entrada se construyen de manera dinmica y expiran despus de un tiempo determinado. Inicializar en forma manual la tabla cache ARP para el router y el firewall. Las entradas ARP realizadas en forma manual nunca expiran y actan como entradas estticas. Con el procesamiento ARP inhabilitado en el router, ste no proporcionar su direccin de hardware.

Screened Subnet (Firewall como servidor de bastin con dos interfaces de red). Bajo esta configuracin una interfaz est conectada a la red exterior y la otra interfaz lo est a la red interior. Uno de los puertos del router (el de la primera lnea de defensa) est conectado a la red interior y el otro lo est a Internet. Ntese que hablamos de red interior, exterior e Internet; aqu

23

FIREWALLUTEC ETS4-T surge el nuevo concepto de red exterior que es la que se ubica entre el firewall y el router. De nuevo el router debe configurarse para enviar todo el trfico recibido de las redes externas para la red interna hacia la interfaz de red interior del bastin. Antes de enviar el trfico, el router aplicar sus reglas de filtro de paquetes. Slo el trfico de red que pase estas reglas se dirigir hacia el firewall; el resto habr de rechazarse. Un intruso debe penetrar primero en el router y, si lo logra, se enfrentar al firewall. No existen servidores en la red exterior ms que el router y una de las interfaces de red del firewall. La red exterior forma una zona desmilitarizada DMZ. Ya que la DMZ slo tiene dos conexiones de red, puede reemplazarla un enlace dedicado punto a punto. Este hecho dificultar ms conectarse con este enlace mediante analizadores de protocolos. Si se utiliza una red Ethernet o token ring para la DMZ, una estacin de trabajo que coloque su interfaz de red en el modo promiscuo puede capturar el trfico de la red y tener acceso a los datos delicados. Por lo general, las interfaces de red slo leen el paquete que se le dirija en forma directa. En el modo promiscuo, sin embargo, dichas interfaces leen todos los paquetes que ve la interface de red. Todos los servidores de la organizacin (excepto el firewall) estn conectados a la red interior. Esta configuracin tiene otra ventaja sobre esa configuracin de red en la cual slo se empleaba una interface de red del firewall. Esta ventaja es que el firewall no se puede ignorar al atacar las tablas de enrutamiento de los routers. El trfico de la red debe pasar por este firewall para llegar a la red interior.

24

FIREWALLUTEC ETS4-T

Dos firewalls y dos DMZ En este caso ambas interfaces de los firewalls se encuentran configuradas. Tres zonas de red estn formadas en la red interna: la red exterior, la red privada y la red interior. Existe una red privada entre los firewalls interior y exterior. Una organizacin puede colocar algunos servidores en la red privada y mantener los ms delicados detrs del firewall interior. Por otra parte, una organizacin quiz desee una seguridad mxima y usar la red privada como una segunda zona de buffer o DMZ interior, adems de mantener todos los servidores en la red interior. Si una empresa quiere proporcionar acceso completo a una gran variedad de servicios, como FTP annimo (protocolo de transferencia de archivos), Gopher y WWW (World Wide Web), puede proveer ciertos servidores de sacrificio en la DMZ exterior. Los firewalls no deben confiar en ningn trfico generado desde estos servidores de sacrificio. El router de seleccin debe estar configurado para enviar todo el trfico recibido desde las redes externas para la red interna hacia el firewall interior. Antes de mandar el trfico, el router aplicar las reglas de filtro de paquetes. Slo el trfico de la red que pasa esas reglas se dirigir al firewall exterior; el

25

FIREWALLUTEC ETS4-T resto ser rechazado. Un intruso debe penetrar primero el router y, si lo hace, se enfrentar al firewall exterior. Sin que le importe violar las defensas de la red exterior, el intruso penetra en le firewall interior. Por ello, si los recursos lo permiten, tal vez se desee dar a cada firewall la responsabilidad de un grupo administrativo diferente. Esto asegura que los errores de un grupo de administradores no los repitan los dems administradores. Tambin se debe garantizar que los dos grupos compartan informacin acerca de debilidades descubiertas en los firewalls. Otro tipo de configuracin de red se obtiene al utilizar dos firewalls, pero slo una interfaz de red de cada anfitrin. Un segundo router llamado elahogador se agrega entre la DMZ y las redes interiores. Se debe asegurar que los firewalls no se ignoren y que los routers usen rutas estticas. A partir de estos elementos, firewalls con una o dos interfaces de red y routers, se pueden lograr diferentes configuraciones que surgen de la combinacin de ellos. Cuando slo est en uso una interfaz de red del firewall, se deben utilizar rutas estticas en los routers y configurar bien las entradas de las tablas de enrutamiento para asegurar que los firewalls no se ignoren.

Subredes Seleccionadas En algunas configuraciones de barreras de proteccin, tanto la red externa no confiable como la red interna pueden tener acceso a una red aislada; sin embargo, ningn trfico de red puede fluir entre ambas redes a travs de la red aislada. El aislamiento de la red se lleva a cabo mediante una combinacin de routers de seleccin configurados de manera adecuada. Dicha red se conoce como red seleccionada. Algunas redes seleccionadas pueden tener compuertas a nivel de aplicacin, que actan como firewalls y permiten el acceso interactivo a los servicios exteriores. Los routers se utilizan para conectar a Internet con la red interna. El firewall es una compuerta de aplicacin y rechaza todo el trfico que no se acepte de manera expresa.

26

FIREWALLUTEC ETS4-T Como la nica manera de tener acceso a la subred seleccionada es mediante el firewall, es bastante difcil que el intruso viole esta subred. Si la invasin viene por Internet, el intruso debe volver a configurar el enrutamiento en Internet, la subred seleccionada y la red interna para tener libre acceso (lo cual se logra con dificultad si los routers permiten el acceso slo a los servidores especficos). Si alguien violara al firewall, el intruso forzara su entrada hacia uno de los anfitriones en la red interna y despus el router, para tener acceso a la subred seleccionada. Este tipo de invasin de tipo aislamiento es difcil de lograr sin desconectarse o sin activar alguna alarma. Como las redes seleccionadas no permiten que el trfico de red fluya entre Internet y la red interna, las direcciones IP de los anfitriones en dichas redes se ocultan unas de otras. Esto permite que una organizacin a la que el NIC (Centro de Informacin de red) an no le haya asignado oficialmente nmeros de red, tenga acceso a Internet mediante servicios de compuertas de aplicacin, proporcionados por el firewall en la subred seleccionada. Si estos servicios usados con la compuerta de aplicacin estn restringidos, estas limitantes pueden estimular que la red interna asigne nmeros de red de manera oficial.

Proxy y Gateways de Aplicaciones (Compuertas a nivel de aplicacin). Las compuertas a nivel de aplicacin pueden manejar trfico de almacenaje y envo, as como trfico interactivo. Dichas compuertas estn programadas para comprender trfico al nivel de aplicacin del usuario (capa 7 del modelo OSI); por lo tanto, pueden proporcionar controles de acceso a niveles de usuario y de protocolos de aplicacin. Adems, es factible utilizarlas para mantener un registro inteligente de todos los usos de las aplicaciones. La habilidad para registrar y controlar todo el trfico de entrada y de salida es una de las caractersticas principales de las compuertas a nivel de aplicacin. Las compuertas por s mismas pueden integrar, si es necesario, seguridad adicional. Para cada aplicacin que se transmita, las compuertas a nivel de aplicacin utilizan un cdigo de propsito especial. Gracias a este cdigo, las compuertas de aplicacin proporcionan un alto nivel de seguridad. Para cada nuevo tipo de aplicacin que se agregue a la red y que requiera proteccin, tiene que escribirse un nuevo cdigo de propsito especial; por lo tanto, la mayora de

27

FIREWALLUTEC ETS4-T este tipo de compuertas provee un subgrupo limitado de aplicaciones y servicios bsicos. Para utilizar las compuertas a nivel de aplicacin, los usuarios deben conectarse a la mquina de la compuerta de aplicacin o implementar un servicio especfico para la aplicacin de cliente para cada servidor que emplear el servicio. Cada mdulo de compuerta especfica para la aplicacin puede tener su propio grupo de herramientas de administracin y lenguaje de comandos. Una desventaja de muchas compuertas es que debe escribirse un programa personalizado para cada aplicacin. Sin embargo, este hecho tambin es una ventaja en seguridad, pues no se pueden pasar las barreras de proteccin a menos que haya estipulado una compuerta explcita a nivel de aplicacin. El programa personalizado de aplicacin acta como un apoderado que acepta las llamadas entrantes y las verifica con la lista de acceso de los tipos de solicitudes permitidas. En este caso, se trata de un servidor apoderado de aplicacin. Al recibir la llamada y verificar que sea permitida, el apoderado enva la solicitud al servidor correspondiente; por lo tanto, acta como un servidor y como cliente. Trabaja como un servidor para recibir la solicitud entrante y como un cliente al enviarla. Despus de establecer la sesin, el apoderado de aplicacin funciona como un relevo y copia los datos existentes entre el cliente que inici la aplicacin y el servidor. Dado que todos los datos ente el cliente y el servidor los intercepta el apoderado de la aplicacin, ste tiene control total sobre la sesin y puede hacer un registro tan detallado como usted lo requiera.

28

FIREWALLUTEC ETS4-T

Inspeccin de Paquetes Este tipo de Firewalls se basa en el principio de que cada paquete que circula por la red es inspeccionado, as como tambin su procedencia y destino. Se aplican desde la capa de Red hasta la de Aplicaciones. Generalmente son instalados cuando se requiere seguridad sensible al contexto y en aplicaciones muy complejas.

Firewalls Personales Estos Firewalls son aplicaciones disponibles para usuarios finales que desean conectarse a una red externa insegura y mantener su computadora a salvo de ataques que puedan ocasionarle desde un simple "cuelgue" o infeccin de virus hasta la prdida de toda su informacin almacenada.

CAPAS DEL MODELO OSI EN QUE TRABAJAN LOS FIREWALLS. Existen muchos tipos de cortafuegos, no obstante la clasificacin ms clara quizs sera la que los diferencia segn la forma de implementar la poltica de seguridad de la empresa atendiendo al nivel de la capa OSI en la que se implementa dicha poltica de seguridad. En un primer lugar existen los cortafuegos de nivel 3 de la capa OSI, esto es, de nivel de red o lo que es lo mismo, nivel IP en redes TCP/IP como Internet. Estos cortafuegos pueden ser considerados como filtros de paquetes ya que lo que realizan a fin de cuentas es un filtrado de los intentos de conexin atendiendo a direcciones IP origen y destino y puerto de destino de los paquetes IP. Esto quiere decir que en la poltica de seguridad de la empresa podremos indicar que slo dejaremos pasar paquetes destinados al puerto 25 (puerto de SMTP para correo electrnico) de nuestro servidor corporativo. Tambin podremos especificar desde qu direcciones IP origen dejaremos acceso a nuestros servidores pblicos. Este tipo de cortafuegos vienen implementados en la mayora de routers comerciales. Otra posibilidad de implementacin de cortafuegos es a nivel 4 de OSI, esto es a nivel de transporte o de TCP en redes TCP/IP. En este nivel ya se puede atender a aspectos de s los paquetes son de inicio de conexin o se corresponden con paquetes cuyas conexiones estn ya establecidas.

29

FIREWALLUTEC ETS4-T A grandes rasgos los cortafuegos a nivel de circuitos ya tratan con nmeros de secuencias de paquetes TCP/IP. Si los paquetes pertenecen a una conexin o si no se corresponden con ninguna conexin establecida. Por ltimo nos quedan los cortafuegos a nivel 7 de la capa OSI, esto es, a nivel de aplicacin. Estos cortafuegos actan a modo de proxy para las distintas aplicaciones que van a controlar. Por de pronto ya se ve que con estos cortafuegos no ser posible dejar pasar todos los protocolos (al menos de manera segura, esto es, no es frecuente ver cortafuegos a nivel de), pero lo que s es cierto es que podremos llegar al detalle en cuanto a la posibilidad de implementar polticas de seguridad para estos protocolos. La implantacin de cortafuegos de distintos niveles de aplicacin no tiene que ser excluyentes sino complementarias.

BENEFICIOS DE UN FIREWALL Los Firewalls manejan el acceso entre dos redes, y si no existiera, todas las computadoras de la red estaran expuestas a ataques desde el exterior. Esto significa que la seguridad de toda la red, estara dependiendo de que tan fcil fuera violar la seguridad local de cada maquina interna. El Firewall es el punto ideal para monitorear la seguridad de la red y generar alarmas de intentos de ataque, el administrador ser el responsable de la revisin de estos monitoreos. Otra causa que ha hecho que el uso de Firewalls se halla convertido en uso casi imperativo es el hecho que en los ltimos aos en Internet han entrado en crisis el nmero disponible de direcciones IP, esto ha hecho que las intranets adopten direcciones sin clase, las cuales salen a Internet por medio de un "traductor de direcciones", el cual puede alojarse en el Firewall. Los Firewalls tambin son importantes desde el punto de vista de llevar las estadsticas del ancho de banda "consumido" por el trfico de la red, y que procesos han influido ms en ese trfico, de esta manera el administrador de la red puede restringir el uso de estos procesos y economizar o aprovechar mejor el ancho de banda disponible.

30

FIREWALLUTEC ETS4-T Los Firewalls tambin tienen otros usos. Por ejemplo, se pueden usar para dividir partes de un sitio que tienen distintas necesidades de seguridad o para albergar los servicios WWW y FTP brindados.

LIMITACIONES DE UN FIREWALL La limitacin ms grande que tiene un Firewall sencillamente es el hueco que no se tapa y que coincidentemente o no, es descubierto por un intruso. Los Firewalls no son sistemas inteligentes, ellos actan de acuerdo a parmetros introducidos por su diseador, por ende si un paquete de informacin no se encuentra dentro de estos parmetros como una amenaza de peligro simplemente lo deja pasar. Ms peligroso an es que ese intruso deje Back Doors, abriendo un hueco diferente y borre las pruebas o indicios del ataque original. Otra limitacin es que el Firewall "NO es contra humanos", es decir que si un intruso logra entrar a la organizacin y descubrir passwords o los huecos del Firewall y difunde esta informacin, el Firewall no se dar cuenta. El Firewall tampoco provee de herramientas contra la filtracin de software o archivos infectados con virus, aunque es posible dotar a la mquina, donde se aloja el Firewall, de antivirus apropiados. Finalmente, un Firewall es vulnerable, l NO protege de la gente que est dentro de la red interna. El Firewall trabaja mejor si se complementa con una defensa interna. Como moraleja: "cuanto mayor sea el trfico de entrada y salida permitido por el Firewall, menor ser la resistencia contra los paquetes externos. El nico Firewall seguro (100%) es aquel que se mantiene apagado". ESTADO ACTUAL EN EL MERCADO Hoy por hoy en el mercado existen infinidad de proveedores de aplicaciones de firewalls, que estn complementadas con los esfuerzos por elevar el nivel de seguridad de los distintos sistemas operativos. Estas aplicaciones de firewalls estn disponibles para los distintos sistemas operativos y si bien en lneas generales todos cumplen bsicamente las mismas funciones, cada proveedor tiene sus caractersticas particulares que se van igualando de uno a otro con el correr del tiempo y el desarrollo de los distintos releases.

31

FIREWALLUTEC ETS4-T Entre los productos ms utilizados se encuentran Firewall-1, Pix y Raptor, de las empresas Chekpoint, Cisco y HP respectivamente. Indagando un poco en el mercado local se puede comprobar que el producto de Cisco esta siendo muy utilizado, debido a su integracin nativo en todas aquellas organizaciones que estn utilizando routers Cisco Adems de verificar las caractersticas particulares de cada uno se pueden bajar de Internet versiones de evaluacin para corroborar las distintas facilidades como as tambin observar como se adapta a la organizacin donde se implementar.

32

FIREWALLUTEC ETS4-T En el mercado existe una gran variedad de distribuidores de firewalls. Algunos de los ms importantes son los siguientes: FIREWALL SOFTWARE. Check Point Software Technologies Ltd.

Proveedor global de soluciones de seguridad IT. Conocido por sus productos Firewall y VPN. Check Point fue el pionero en la industria con el FireWall-1 y su tecnologa patentada de inspeccin de estado. Hoy en da la compaa desarrolla, comercializa y soporta una amplia gama de software y hardware combinados y productos de software que cubren todos los aspectos de seguridad de IT , incluyendo seguridad de red, seguridad endpoint, seguridad de datos y gestin de seguridad. Fundada en 1993 en Ramat-Gan, Israel, Check Point cuenta hoy con aproximadamente 2.200 empleados en todo el mundo. Los Centros de desarrollo de la compaa se encuentran en Israel, California (ZoneAlarm), Suecia (ex centro de desarrollo de Proteccin de Datos) y en Bielorrusia. La empresa tambin tiene oficinas en los Estados Unidos, en Redwood City, California y en Dallas, Texas, as como en Canad en Ottawa, Ontario. Check Point fue creada en 1993, por el Presidente actual de la compaa y CEO Gil Shwed, a la edad de 25 aos, y dos de sus amigos, Marius Nacht (actualmente Vice-Presidente) y Shlomo Kramer ( en el 2003 dej Check Point para crear una nueva empresa - Imperva, donde se desempea como Presidente y Director General). Gil tuvo la idea inicial de la tecnologa base de la empresa que se conoce como inspeccin de estado, siendo esta la raz para el primer

33

FIREWALLUTEC ETS4-T producto de la compaa (llamado simplemente FireWall-1), poco despus desarrollaron uno de los primeros productos VPN del mundo (VPN-1). La financiacin inicial de 600.000 dlares fue proporcionada por BRM Group, una financier de capital riesgo creado por los hermanos Eli y Nir Barkat (quien el 11 de noviembre de 2008 fue elegido alcalde de Jerusaln). La empresa tuvo su primer xito comercial en 1994, cuando Check Point firma un acuerdo OEM con Sun Microsystems, seguido por un acuerdo de distribucin con HP en 1995. El mismo ao, se abre la oficina central de EE.UU. establecida en Redwood City, California. Para febrero de 1996, la compaa es nombrada lder del mercado mundial en Firewall por IDC, con un 40% del Mercado. En junio de 1996 Check Point recauda $ 67 millones de su oferta pblica inicial de acciones en el NASDAQ. En 1998, Check Point establece una exitosa alianza con Nokia, que combina el software de Check Point con los accesorios de seguridad de red para ordenadores de Nokia, para el 2000 la empresa se convirti en el principal proveedor mundial de soluciones de VPN (en trminos de cuota de mercado). Durante la dcada del 2000, Check Point adquiere otras empresas de seguridad IT, culminando con la adquisicin de la unidad de negocio de Nokia en seguridad de red en el ao 2009, poco ms de 10 aos despus de la primera asociacin con Nokia.

Los Productos de Check Point se dividen en las siguientes categoras principales:

Security Gateway - negocio de Check Point bsico, con productos como accesorios Power-1, dispositivos UTM-1, accesorios IP , VSX-1, Connectra, Safe@Office y Hojas de software tales como Firewall, IPS y VPN IPSEC

Endpoint Security - Integridad Check Point, Agente de seguridad individual que combina firewall, antivirus, antispyware, cifrado completo del disco, cifrado de los medios de comunicacin con proteccin de puertos, control de acceso a redes (NAC), control de programa y VPN en endpoint.

34

FIREWALLUTEC

ETS4-T

Gestin de Seguridad - Permite a los administradores gestionar eventos, establecer normas y aplicar

Proteccin a toda la infraestructura de seguridad desde una nica interfaz. Las soluciones estn basadas en la arquitectura de Software Blade, con una cartera de 10 hojas de software de gestin incluyendo anlisis de caso, correlacin y dispositivo de aprovisionamiento. Karspersky

Empresa especializada en productos para la seguridad informtica, que ofrece firewall, anti-spam y en particular antivirus. Es fabricante de una amplia gama de productos software para la seguridad de los datos y aporta soluciones para la proteccin de equipos y redes contra todo tipo de programa nocivo, correo no solicitado o indeseable y ataques de red. La empresa fue fundada en 1997 por Yevgeny Kaspersky en Mosc (Rusia). Kaspersky Lab es una organizacin internacional. Con sede en Rusia, la organizacin cuenta con delegaciones en el Reino Unido, Francia, Alemania, Japn, Estados Unidos y Canad, pases del Benelux, China, Polonia, Rumana, Portugal y Espaa. El Centro europeo de investigacin antivirus, fue constituido en Francia. La red de colaboradores de Kaspersky Lab incluye ms de 500 organizaciones a lo largo del mundo. Un anlisis avanzado de la actividad virolgica le permite a Kaspersky ofrecer una proteccin completa contra amenazas actuales e incluso futuras. Kaspersky Lab fue una de las primeras empresas de este tipo en desarrollar estndares para la defensa antivirus. Numerosos fabricantes conocidos utilizan el ncleo de Kaspersky Anti-Virus: Nokia ICG (EEUU), F-Secure (Finlandia), Aladdin (Israel), Sybari (EEUU), Deerfield (EEUU), Alt-N (EEUU), Microworld (India) y BorderWare (Canad), ZyXEL (Taiwan).

35

FIREWALLUTEC ETS4-T La base antivirus de Kaspersky Lab se actualiza cada hora. La organizacin ofrece a sus usuarios servicio de asistencia tcnica de 24 horas, disponible en numerosos idiomas. La lnea actual de productos Kaspersky para el usuario domstico consiste en Kaspersky Pure, Kaspersky Internet Security (KIS) 2012, Kaspersky AntiVirus (KAV) 2012, Kaspersky Mobile Security (KMS), Kaspersky Anti-Virus para Mac, Kaspersky Password Manager y Kaspersky Small Office. En 2010 lanz una suite de seguridad para sus consumidores llamado Kaspersky Pure. Los productos de Kaspersky son ampliamente utilizados en Europa y Asia. En los Estados Unidos, Kaspersky Lab fue clasificado como el software de seguridad de Internet de ms rpido crecimiento, sobre la base de datos de ventas de NPD. Adems de los productos de consumo de la compaa, Kaspersky Lab ofrece una variedad de aplicaciones de seguridad diseadas para empresas. Estas incluyen el software de seguridad para proteger estaciones de trabajo, servidores de archivos, servidores de correo electrnico, dispositivos mviles, cortafuegos y pasarelas de Internet, gestionado a travs de un kit de administracin centralizada. McAfee, Inc.

36

FIREWALLUTEC ETS4-T Compaa de software relacionado con la seguridad informtica cuya sede se encuentra en Santa Clara, California. Su producto ms conocido es el antivirus McAfee VirusScan. La empresa fue fundada en 1987 con el nombre de McAfee Associates, en honor a su fundador, John McAfee. En 1997, como consecuencia de la fusin entre McAfee Associates y Network General, el nombre fue reemplazado por el de Network Associates.1 2 3 En 2004 la compaa sufri una profunda reestructuracin. Durante la primavera de ese ao, la filial Magic Solutions fue vendida a Remedy, una subsidiaria de BMC Software.4 Durante el verano, la filial Sniffer Technologies sigui el mismo camino, siendo adquirida por la firma llamada Network General (el mismo nombre del propietario original). Asimismo, la compaa volvi a cambiar el nombre a McAfee para reflejar su poltica centrada en tecnologas relacionadas con la seguridad.5 6 Entre las empresas que ha comprado o vendido McAfee se encuentra Trusted Information Systems,7 8 la cual se encarg del desarrollo del Firewall Toolkit, que fueron los cimientos de software libre para el software comercial Gauntlet Firewall, ms tarde vendido a Secure Computing Corporation. A consecuencia del control sobre TIS Labs/NAI Labs/Network Associates Laboratories/McAfee Research, la influencia de Network Associates en el mundo del software de cdigo abierto fue bastante alto, llegando a producir partes de diversos sistemas operativos como Linux, FreeBSD o Darwin, as como varias aportaciones al servidor de nombres BIND y al protocolo SNMP en su versin 3. Precediendo a la adquisicin de TIS Labs, McAfee compr la FSA Corporation, localizada en Calgary, lo cual ayud a la diversificacin de sus productos, aadiendo a su oferta software antivirus productos de seguridad de redes y tecnologas de cifrado.9 El equipo de FSA supervis la creacin de una serie de tecnologas punteras en la poca, como firewalls, cifrado de ficheros y productos de infraestructura de clave pblica. Aunque estas nuevas lneas de producto tuvieron su xito, el antivirus sigui siendo el producto emblemtico de la empresa, y el que presentaba mayor crecimiento. El 9 de junio de 1998, Network Associates acord la adquisicin de Dr Solomon's Group P.L.C., empresa lder en Europa en el desarrollo de software antivirus.10 11 12 El 2 de abril de 2003, se hicieron con IntruVert Networks, empresa dedicada al desarrollo de tecnologa de prevencin de ataques de intrusin.13

37

FIREWALLUTEC ETS4-T El 5 de abril de 2006, McAfee se anticip a Symantec en la compra de SiteAdvisor, un servicio que advierte a los usuarios sobre los riesgos de malware o spam al descargar software o rellenar formularios. Symantec Corporation

Corporacin internacional que desarrolla y comercializa software para computadoras, particularmente en el dominio de la seguridad informtica. Con la sede central en Mountain View, California, Symantec opera en ms de cuarenta pases. Fue fundada en 1982 por Gary Hendrix con un aval de la National Science Foundation. Symantec se centra inicialmente en proyectos relacionados con inteligencia artificial, incluyendo un gestor de base de datos. Hendrix contrata a varios investigadores en procesamiento de lenguajes naturales de la Universidad de Stanford como los primeros empleados de la compaa. En 1984 Symantec es adquirida por otra, incluso ms pequea, compaa startup de software, C&E Software, fundada por Dennis Coleman y Gordon E. Eubanks, Jr., y dirigida por Eubanks. La compaa resultante retiene el nombre de Symantec, y Eubanks se convierte en su director ejecutivo. Su primer producto, Q&A, se lanza en 1985. Q&A proporciona un gestor de base de datos y viene con un procesador de textos. Esta temprana adquisicin marca a la empresa, que en adelante no duda en comprar o fusionarse con otras empresas para as adquirir mayor cuota de mercado, habiendo llevado a cabo ms de 60 operaciones de este tipo. Del mismo modo, si decide dejar de lado una de sus ramas de negocio, normalmente la vende a un tercero o la segrega en un filial independiente. Puede verse una lista en el Anexo: fusiones y compras de Symantec

38

FIREWALLUTEC ETS4-T Symantec tuvo tambin una rama de compiladores y paquetes de desarrollo provenientes de la compra en 1987 de Think Technologies: THINK Pascal, THINK C (posteriormente evoluciona a Symantec C++), y Visual Caf fueron populares sobre todo en los Apple Macintosh (en los compatible IBM PC slo la herramienta del lenguaje de programacin Java alcanza notoriedad). Abandona el negocio a finales de los aos noventa cuando competidores como Metrowerks, Microsoft y Borland se hicieron con la cuota significativa del mercado. En agosto de 1990, Symantec compra Peter Norton Computing, la compaa creadora de las clebres Norton Utilities (un compendio de utilidades para DOS). Desde esta compra Peter Norton pasa a ser la marca de todas las utilidades para usuarios finales de Symantec, incluyendo antivirus, y figurando una imagen de Peter Norton en la caja de los productos durante mucho tiempo. Con el tiempo devendr lder del segmento de utilidades para usuario final, comprando o absorbiendo a muchos de sus competidores. Entre los productos Norton AntiVirus, Norton Commander, Norton Internet Security, Norton 360, Norton Personal Firewall, Norton SystemWorks (que ahora contiene las Norton Utilities), Norton Antispam, Norton GoBack (anteriormente WildFile GoBack, Adaptec GoBack, y Roxio GoBack), y Norton Ghost (originalmente publicado por Binary Research). En 2003 adquiere PowerQuest y todos sus productos. PartitionMagic pasa a ser Norton PartitionMagic. Lo mismo ocurre con su homlogo para servidores, ServerMagic. PowerQuest DriveImage que fue reemplazada por Norton Ghost. Sin embargo no ha seguido adelante con su desarrollo, y PartitionMagic es incompatible con las particiones de Windows Vista Symantec es tambin un lder de industria en la seguridad electrnica completa de mensajera, ofreciendo las soluciones para la mensajera instantnea, antispam y antivirus. La organizacin Symantec Security Response (anteriormente Symantec Antivirus Research Center) es uno de los principales antivirus y grupos de investigacin en la industria de seguridad informtica con ms de 400 empleados a tiempo completo. El 16 de diciembre de 2004, Veritas Software y Symantec anunciaron sus planes para una fusin. Veritas se valora en 13.520 millones de dlares, lo que la convirti en la fusin ms grande de la industria del software hasta el momento. Los accionistas de Symantec votaron el 24 de junio de 2005 para aprobar la fusin, y el trato cerr exitosamente el 2 de julio. El 5 de julio de 2005 fue el primer da de negocio para las oficinas de Estados Unidos de la empresa resultante.

39

FIREWALLUTEC Panda Security ETS4-T

Empresa informtica espaola con sede en Bilbao especializada en la creacin de soluciones de seguridad informtica. Centrada inicialmente en la produccin de software antivirus, la compaa ha expandido su lnea de aplicaciones para incluir cortafuegos, aplicaciones para la deteccin de spam y spyware, tecnologa para la prevencin del cibercrimen, aplicaciones de seguridad y otras herramientas de seguridad y gestin para empresas y usuarios domsticos. Los productos de Panda incluyen herramientas de seguridad para usuarios domsticos y empresas, incluyendo proteccin contra el cibercrimen y tipos de malware que pueden daar sistemas de informacin, como spam, hackers, spyware, dialers y contenido web no deseado, as como deteccin de intrusiones en redes WiFi. Sus tecnologas patentadas, llamadas TruPrevent, son un conjunto de capacidades proactivas encaminadas a bloquear virus desconocidos e intrusos; que si bien logran su propsito, ralentizan enormemente cualquier mquina. En 2009 lanz Panda Cloud Antivirus, ofreciendo seguridad desde la nube gracias a su sistema propietario Inteligencia Colectiva, un sistema automtico de anlisis, clasificacin y desinfeccin automtica contra nuevas amenazas informticas. Descripcin general Panda Security es el cuarto mayor vendedor de antivirus en todo el mundo. La compaa, cuyas acciones eran al 100% de Urizarbarrena, anunci el 24 de abril de 2007 la venta del 75% de sus acciones al fondo de inversin sudeuropeo Investindustrial, la firma de capital privado Gala Capital, y los fondos norteamericanos HarbourVest y Atlantic Bridge. El 30 de julio de 2007 la compaa cambi su nombre de Panda Software a Panda Security y

40

FIREWALLUTEC ETS4-T Urizarbarrena fue reemplazado por Jorge Dinars. Casi un ao despus, el 3 de junio de 2008, el Consejo de Accionistas sustituy a Dinars y lo reemplaz por Juan Santana, hasta entonces CFO.El 21 de septiembre de 2011 dimite Juan Santana y es sustituido por Jos Sancho. La empresa ha sido clasificada entre las 500 de ms rpido crecimiento entre las empresas europeas desde 1997. Panda Security es lder de mercado en Espaa y en 1998, la compaa se convirti en lder europeo del sector desarrollador de software antivirus. En 2003, Panda Security experiment un 1000% de crecimiento en los ingresos en todo el mundo. Panda Security, adems, encabeza el ranking de empresas de software espaolas segn el ndice Truffle 100 Panda Security ha sido considerada por analistas como Gartner como una empresa innovadora a nivel de tecnologa.Entre sus hitos tecnolgicos destacan el haber sido pionera en el lanzamiento de sistemas de seguridad como el concepto de SaaS (Security as a Service) o de antivirus que permiten la proteccin desde la nube (cloud computing y que estn basados en lo que Panda denomin Inteligencia Colectiva, un modelo de seguridad que Panda present al mercado en 2007 El principal beneficio de este modelo de seguridad es, segn explica su CEO, que permite un anlisis automtico de las amenazas, frente al anlisis manual del malware que realizan otras empresas, lo que permite ser ms rpido y eficiente en la deteccin del malware. Panda Security tiene oficinas filiales, o propias, en Estados Unidos, Alemania, Austria, Blgica, Holanda, Francia, Reino Unido, Suecia, Finlandia, Espaa y Japn, a las que se unen franquicias en otros 44 pases y tiene clientes en ms de 200. Productos para usuarios domsticos

Panda Antivirus Pro 2012 (incluye: antivirus, antispyware, antiphishing, antirootkit, firewall) Versin Prueba de 31 Das Panda Internet Security 2012 (incluye: antivirus, antispyware, antiphishing, antirootkit, firewall, control parental, copia de seguridad) Versin Prueba de 31 Das Panda Global Protection 2012 (incluye: antivirus, antispyware, antiphishing, antirootkit, firewall, control parental, copia de seguridad, optimizacin del PC) Versin Prueba de 31 Das Panda Antivirus for Netbooks (incluye: antivirus, antispyware, antiphishing, antirootkit, firewall) Panda Cloud Antivirus (versin gratuita)

41

FIREWALLUTEC ETS4-T

FIREWALL HARDWARE Los cortafuegos por hardware, es un dispositivo especfico instalado en una red para levantar una defensa y proteger a la red del exterior. En este trabajo expondremos empresas y sus respectivos productos, detallaremos cada producto y sus caractersticas. Tambin entraremos en las nuevas soluciones perimetrales que han evolucionado de los firewalls de hardware, cubriendo las deficiencias que tienen los firewalls por hardware, sencillamente, no se disearon para analizar y procesar los contenidos de las aplicaciones del trfico de red. Estas soluciones son los UTM (unified threat management) o Gestin Unificada de Amenazas, que son los UTM, cual es el funcionamiento de los UTM, que proteccin ofrece respecto a otras soluciones perimetrales.

EMPRESAS DEL HARDWARE

SECTOR

FIREWALLS

O

CORTAFUEGOS

POR

CLAVISTER La solucin Extended Unified Threat Management (xUTM) de Clavister incorpora un valor aadido al galardonado Clavister Security Gateway, eliminando por completo de la red trafico malicioso como gusanos, virus, troyanos, spyware, uso inadecuado de recursos y otro trafico no deseado. Adicionalmente, la solucin Extended Unified Threat Management de Clavister proporciona el TCO (Coste Total de Propiedad) mas bajo, reduciendo los costes operativos y de despliegue. El sistema de Deteccin y Prevencin de Intrusismo (IDP) de Clavister proporciona una proteccin completa y de facil uso contra las amenazas actuales y emergentes, tanto en capa de red como de aplicacin.

42

FIREWALLUTEC ETS4-T La solucin Antivirus de Clavister proporciona proteccin de alta velocidad contra los virus ms propagados y peligrosos y spyware, con una latencia mnima y rendimiento acelerado. El Filtro de Contenidos de Clavister proporciona control granular, basado en polticas para administrar acceso a contenido inapropiado, improductivo y potencialmente ilegal. El Sistema de Control de Aplicaciones de Clavister (ACS) proporciona anlisis en profundidad avanzado y control de datos de aplicacin. Con ACS es posible, por ejemplo, reconocer aplicaciones de mensajera y de Peer-to-Peer y controlar el uso de aplicaciones no deseadas. MODELOS CLAVISTER Clavister Security Gateway 50 series

Las series 50 de Clavister Security Gateway han sido diseadas para pequeas y medianas empresas que necesitan alta seguridad y amplia funcionalidad pero en un formato reducido y con un precio atractivo. Las series 50 de Clavister Security Gateway constan actualmente de cuatro productos, Clavister Security Gateway 51, 53, 55 y 57. Estn equipados con diez interfaces Ethernet 10/100 Mbps e incorporan un rendimiento de hasta 200 Mega bits por segundo (SG57). Todos los productos Clavister han sido creados para proporcionar seguridad suprema y de alto rendimiento, con una relacin precio / rendimiento sin igual. Soluciones de Seguridad Verstiles Incluye un gran conjunto de funcionalidades, tales como La Administracin del Ancho de Banda, Office-to-Office VPN, Autenticacin de Usuario, Deteccin y Prevencin de Intrusismo, Reconocimiento de Aplicacin de Capa 7, Filtro de contenidos y posibilidades de enrutamiento avanzadas.

43

FIREWALLUTEC ETS4-T La filosofa es no slo ver nuestros productos como pasarelas en redes complejas sino tambin como plataformas de negocio que crecen en funcin de sus necesidades. Administrar el ancho de banda para reducir los costes. Por este motivo, hemos decidido incluir la caracterstica avanzada de Administracin de Ancho de Banda incluso en nuestros modelos mas pequeos. Y como puede administrar el ancho de banda para trafico que fluye a travs de sus tneles VPN, as como para el trafico no cifrado, puede estar seguro que el trafico de red crtico para su negocio siempre recibe el ancho de banda que merece. Suea con un mantemiento global de todas sus pasarelas remotas, desde una ubicacin central? Todos los productos Clavister, incluyendo los productos de las Series 50, se han construido para minimizar su coste total de la propiedad. Por ello permitimos administrar todos nuestros productos desde una herramienta administrativa individual, independiente del modelo de producto o de si administra uno o miles de productos. Gracias a la nica funcionalidad fail-safe, no importa si los productos que administra estn ubicados en la sala de servidores anexa o a 1000 quilmetros de distancia.

Clavister Security Gateway 3100 series

Las series 3100 de Clavister Security Gateway son un conjunto de productos de seguridad basados en hardware, diseados para pequeas y medianas empresas y organizaciones similares con iguales necesidades y demandas.

44

FIREWALLUTEC ETS4-T Las series 3100 estn basadas en la misma tecnologa galardonada de todos los productos Clavister, lo que en otras palabras significa seguridad extrema, alto rendimiento y un conjunto verstil de funcionalidades. Todos los productos Clavister han sido creados para proporcionar seguridad suprema y de alto rendimiento con una relacin precio /rendimiento sin igual. Soluciones de Seguridad Verstiles Incluye un gran conjunto de funcionalidades, tales como La Administracin del Ancho de Banda, Office-to-Office VPN, Autenticacin de Usuario, Deteccin y Prevencin de Intrusismo, Reconocimiento de Aplicacin de Capa 7, Filtro de contenidos y posibilidades de enrutamiento avanzadas. La filosofa es no slo ver nuestros productos como pasarelas en redes complejas sino tambin como plataformas de negocio que crecen en funcin de sus necesidades. La funcionalidad VPN compatible IPsec es una caracterstica integral de todos los productos Clavister Security Gateway. Las series 3100 de Clavister son capaces de habilitar cualquier solucin VPN compleja, permitiendo hasta 600 tneles VPN de manera simultanea y 130 Mbit/s de rendimiento VPN. Proteger su confidencialidad Las series 3100 de Clavister Security Gateway han sido diseadas para comunicacin. Comunicacin segura suprema.

Clavister Security Gateway 4200 series

Las Series 4200 de Clavister Security Gateway combinan el rendimiento extremo, diseo de espacio eficiente, tan solo 1 unidad enracable y el coste total de la propiedad ms econmico.

45

FIREWALLUTEC ETS4-T Estas series has sido desarrolladas especficamente para grandes empresas, redes con alta carga de VPN, data centers, proveedores de servicio u organizaciones similares que necesitan soluciones de seguridad supremas. Las Series 4200 de Clavister Security Gateway constan de tres modelos de producto, el Clavister Security Gateway 4210, 4230 y 4250, diferenciados por rendimiento y capacidad. Soluciones de Seguridad Verstiles Incluye un gran conjunto de funcionalidades, tales como La Administracin del Ancho de Banda, Office-to-Office VPN, Autenticacin de Usuario, Deteccin y Prevencin de Intrusismo, Reconocimiento de Aplicacin de Capa 7, Filtro de contenidos y posibilidades de enrutamiento avanzadas. La filosofa es no slo ver nuestros productos como pasarelas en redes complejas sino tambin como plataformas de negocio que crecen en funcin de sus necesidades. La grandeza no tiene que ver con el tamao Sabemos que el secreto de producir productos seguros, de alto rendimiento, reside en la compactacin y optimizacin. Este es el motivo por el que las Series 4200 pertenecen a la clase de pasarelas de seguridad de red de mas alto rendimiento del mundo. Las Series 4200 de Clavister Security Gateway 4200 incorporan un sorprendente rendimiento de hasta 2 Gigabits en texto plano y 1 Gigabit de rendimiento VPN por segundo. Todava, los productos no requieren ms espacio de rack que una unidad de altura.

Clavister Security Gateway 4400 series

46

FIREWALLUTEC ETS4-T

Los productos de las Series 4400 de Clavister Security Gateway, han sido diseados principalmente para ser utilizados como pasarelas centrales en redes de empresa de alta carga, o en data centers, donde el rendimiento extremo en texto plano y VPN , as como un rico juego de funcionalidades en combinacin con alta resistencia, se consideran factores crticos. Las Series 4400 se componen de cuatro modelos, Clavister Security Gateway 4410, 4430, 4450 y 4470, diferenciados por rendimiento. Resistencia sin igual La causa mas comn de interrupciones de funcionamiento en hardware informtico es fallo en disco duro. Por esta razn, ninguno de nuestros productos utilizan discos duros. La segunda causa mas importante de fallo de hardware es la prdida de alimentacin debida a una fuente de alimentacin averiada. Por este motivo, todos los productos de las Series 4400 estn equipados con fuentes de alimentacin y ventiladores hot-swappable (de intercambio en caliente). La Serie Clavister Security Gateway 4400 esta diseada sencillamente para permitir mxima disponibilidad. Rendimiento VPN Superior Aparte del impresionante rendimiento en texto plano, donde las Series de Clavister Security Gateway 4400 rinden hasta 4 Gigabits por segundo, los productos de estas series has sido creados para administrar trafico VPN de alto nivel. Las series 4400 proporcionan un rendimiento de hasta un gigabit VPN, utilizando ya sea algoritmo de cifrado AES o 3DES.

47

FIREWALLUTEC ETS4-T El soporte de varios miles de tneles VPN simultneos en combinacin con el alto porcentaje de datos, hace de las Series 4400 de Clavister una solucin muy adecuada para incorporar en pasarelas centrales VPN.

ALPHASHIELD AlphaShield es un dispositivo revolucionario que se conecta entre su computadora y el modem o router de alta velocidad. El conectar con el Internet sin AlphaShield es como dejar la puerta de tu hogar abierta. Los Hackers y los intrusos indeseados pueden incorporar fcilmente tu sistema, roban tu informacin e incluso control valiosos de la toma de tu computadora para enganchar a ataques del Internet. Una vez activo, AlphaShield supervisa toda la actividad de Internet y protege con eficacia tu sistema contra todos los intrusos no autorizados. AlphaShield es la solucin mas rentable de proteccin de todas las amenazas que conlleva tener una conexin a Internet.

PRODUCTOS ALPHASHIELD AlphaShield Home Edition

Imagine que la prxima vez que navegue por Internet puede hacerlo con total privacidad. En su ordenador slo entrara la informacin solicitada.

48

FIREWALLUTEC ETS4-T El ordenador estar seguro incluso cuando lo deje desatendido. Pero para la mayora, la privacidad en Internet es slo eso, un sueo. Qu puede hacer usted al respecto? Utilizar el protector de privacidad ms potente del mercado. El AlphaShield le proporciona una gran ventaja sobre los perjudiciales hackers. Las herramientas de exploracin, las preferidas de los hackers, son ahora ineficaces. La tecnologa Stealth IP trabaja para usted. Las exploraciones aleatorias pasan de largo. Su ordenador esta mejor camuflado que un bombardero clandestino. Se acab la comunicacin no autorizada con su ordenador. Con la tecnologa RPA, slo se permite la entrada de informacin solicitada. Es su guardin particular y permanente, que nunca se cansa y nunca ralentiza el proceso. Aunque el ordenador est inactivo durante un largo perodo de tiempo, el AlphaShield establece el nivel de seguridad para usted. AlphaGAP entra en accin, deteniendo todo lo que se enve. Bloquea el ordenador con mas seguridad que Fort Knox. Su sueo de privacidad se convierte en realidad con AlphaShield. AlphaShield Professional Edition

Porque el AlphaShield Professional? 100% INHACKEABLE Quiere dar soporte tcnico on-line a sus clientes?

49

FIREWALLUTEC Quiere su cliente tener un acceso a su sistema desde el exterior? Necesita configurar una VPN? Es aficionado a los juegos y necesita unos puertos abiertos? Aparte de todas las virtudes del AlphaShield Home Edition, este, con la aplicacin acu (AlphaShield Configuration Utility) lo podr configurar para todo lo que necesite....

ETS4-T

configure unos puertos o rangos de puertos. configure unos puertos asociados a unas IP concretas y acceda slo desde estas.

AlphaShield Router Wireless

Servidor enracable 19" 1U, 150 Usuarios, VIA C3 1000 MHz, 256MB RAM, 20GB Disco duro, tarjeta RDSI 1 x S0, 5 x 10/100 Ethernet, 1 x Puerto de Consola, Cable null modem, Cable de Alimentacin, Fuente de Alimentacin 180W AT.

50

FIREWALLUTEC Cisco ETS4-T

Empresa multinacional con sede en San Jos (California, Estados Unidos), principalmente dedicada a la fabricacin, venta, mantenimiento y consultora de equipos de telecomunicaciones tales como:

dispositivos de conexin para redes informticas: routers (enrutadores, encaminadores o ruteadores), switches (conmutadores) y hubs (concentradores); dispositivos de seguridad como Cortafuegos y Concentradores para VPN; productos de telefona IP como telfonos y el CallManager (una PBX IP); software de gestin de red como CiscoWorks, y equipos para redes de rea de almacenamiento.

Hasta el 8 de junio de 2009, era considerada una de las grandes empresas del sector tecnolgico y un importante miembro del mercado del NASDAQ o mercado accionario de tecnologa. Posterior a esa fecha y gracias a su solidez, ingresa en el ndice de industriales Dow Jones. La empresa fue fundada en 1984 por el matrimonio de Leonard Bosack y Sandra Lerner, quienes formaban parte del personal de computacin de la Universidad de Stanford. El nombre de la compaa viene de la palabra "San Francisco"; al mirar por la ventana haba al frente un cartel que deca "San Francisco" y un rbol se interpona entre la palabra separando San Fran Cisco, de ah proviene el nombre de la empresa. All comenz su despliegue como empresa multinacional. Bosack adapt el software para enrutadores multiprotocolo originalmente escrito por William Yeager, otro empleado de informtica en esa universidad. Cisco Systems cre el primer router comercialmente exitoso.

51

FIREWALLUTEC ETS4-T Hoy en da, otro gigante que le est intentando hacer sombra es la multinacional Juniper Networks, a la venta de routers para enlaces backbone (columna vertebral). Adems de desarrollar el hardware de sus equipos, Cisco Systems tambin se ocupa de desarrollar su propio software de gestin y configuracin de los mismos. Dicho software es conocido como IOS de cdigo actualmente cerrado y totalmente propietario. A travs del IOS se consigue configurar los equipos Cisco mediante la denominada "Command Line Interface" (Interfaz de Lnea de Comandos, por su nombre en espaol) que sirve de intrprete entre el usuario y el equipo.

PRODUCTOS SISCO Dispositivo de Seguridad Adaptativo de Cisco ASA Serie 5500

Cualquier empresa que dependa de su red, necesita una seguridad slida. Los Dispositivos de Seguridad Adaptativos de Cisco ASA Serie 5500 ofrecen una seguridad de ltima generacin con la flexibilidad necesaria para satisfacer las necesidades de su compaa a medida que sta crece y cambia. Caractersticas destacadas Los Dispositivos de Seguridad Adaptativos de Cisco ASA Serie 5500 soportan: Personalizacin: Personalice la seguridad segn sus necesidades de acceso especficas y sus polticas comerciales. Flexibilidad: Conforme su negocio crezca y necesite cambios, podr agregar fcilmente capacidades o actualizar de un dispositivo a otro. Seguridad avanzada: Aproveche los ltimos avances en seguridad de contenidos, cifrado, autenticacin de identidad, autorizacin y prevencin de intrusiones. Simplicidad: Utilice un dispositivo diseado para ser fcil de instalar, gestionar y supervisar.

52

FIREWALLUTEC ETS4-T Redes avanzadas: Configure redes privadas virtuales (VPN) que proporcionen a los trabajadores remotos y mviles un acceso seguro a los recursos de la compaa o establezca VPN entre partners, otras oficinas o empleados basadas en roles. Al mantener su red segura y protegida, los empleados podrn acceder siempre a ella desde su ubicacin. Los Dispositivos de Seguridad Adaptativos de la ASA Serie 5500 de Cisco son su primera y mejor lnea de defensa. MODELOS Caractersticas comunes Le ayuda a proteger su negocio de gusanos, robo de datos y ataques a la red Aade valor a su negocio al incrementar la eficiencia y la productividad Funciona en conjunto con los Routers de Servicios Integrados de Cisco Fcil de usar y gestionarASA Serie 5500 de Cisco ASA 5505 de Cisco Entor no ideal Pequeas empresas u oficinas en casa Especificaciones clave Caractersticas seguridad de

Rendimiento del cortafuegos de 150 Mbps 25 sesiones de usuario de VPN Admite un mximo de 3 (conexin desactivada)/20 (conexin activada) de interfaces virtuales (VLAN) Rendimiento del cortafuegos de 300 Mbps 250 sesiones de usuario de VPN 50/100 VLAN Rendimiento del cortafuegos de 450 Mbps 750 sesiones de usuario de VPN 150 VLAN

Cortafuegos Servicios VPN

ASA 5510 de Cisco

Pequeas empresas

Cortafuegos Seguridad de contenidos Prevencin de intrusiones Servicios VPN Cortafuegos Seguridad contenidos Prevencin intrusiones

ASA 5520 de Cisco

Pequeas empresas

de de

53

FIREWALLUTEC ETS4-TServicios VPN

Routers Cisco Small Business

Routers Cisco Small Business: Descripcin general Conectar a su pequea empresa con el mundo exterior es tan importante como conectar los dispositivos de la red interna entre s. Realice todos estos intercambios en condiciones seguras con los routers Cisco para pequeas empresas. Los routers Cisco Small Business ofrecen: VPN: la tecnologa de red privada virtual permite a sus empleados remotos conectarse a la red de su organizacin mediante una va segura de Internet. Pueden acceder al correo electrnico y los archivos como si estuvieran en la oficina. Seguridad: los cortafuegos integrados, el cifrado avanzado y las funciones de autenticacin protegen la red contra las amenazas externas, manteniendo seguros los recursos de su empresa. Conectividad: todos los routers Cisco Small Business vienen con varias opciones de conexin para ofrecer la mxima capacidad de ampliacin de la red. Ya sea para utilizarlos con un nmero mayor de puertos fsicos o para conectividad inalmbrica, estos routers se han diseado para facilitar el uso compartido y avanzado de conexiones.

54

FIREWALLUTEC ETS4-T

Dispositivo de seguridad de la serie SA 500 de Cisco

Dispositivo de seguridad de la serie SA 500 de Cisco: Descripcin general Estas soluciones de seguridad "todo en uno" estn diseadas para empresas con menos de 100 empleados. Combinan cortafuegos, VPN y un sistema de prevencin de intrusiones (IPS) opcional, funciones de correo electrnico y de seguridad. Tanto si se encuentran en la oficina como si trabajan de forma remota, sus empleados podrn acceder con seguridad a los recursos que necesitan, mientras que su empresa est protegida del acceso no autorizado y las amenazas por Internet. Dispositivo "todo en uno": combina cortafuegos, IPS, seguridad en el correo electrnico y en la Web y acceso seguro en un mismo dispositivo Acceso remoto e inalmbrico seguro: permite a los trabajadores mviles y a las oficinas de sucursales un acceso seguro y a distancia con VPN integradas flexibles y fciles de usar Gastos generales reducidos: reduce los costes asociados a la implementacin y la gestin y supervisin contina de la solucin de seguridad Cobertura de servicios asequible: ofrece valor de servicios y tranquilidad a un precio que usted se puede permitir Funciones de correo electrnico y seguridad en la Web opcionales: Cisco ProtectLink Gateway: servicio basado en la nube que proporciona una seguridad robusta en el correo electrnico y en la Web que se actualiza automticamente

55

FIREWALLUTEC ETS4-T Proteccin de identidad de VeriSign (VIP): un segundo nivel de autenticacin sencillo y eficaz Sistema de prevencin de intrusiones (IPS): identifique y tome medidas para detener las posibles intrusiones en la red empresarial Bloqueo de trfico de mensajera instantnea y entre punto y punto, e inspeccin de protocolo que ayuda a aumentar la seguridad, la productividad de los empleados y la disponibilidad de la red para el trfico de la empresa

MODELOS Funciones comunes: