Fundamentos de firewalls y criptografía para redes seguras

Firewalls (FW): definición y propósito

Firewalls (FW): sistema de seguridad diseñado para bloquear accesos no autorizados a un equipo o red, permitiendo únicamente los servicios autorizados. Se implementan como uno o más dispositivos situados entre la red interna y la red externa que analizan todo el tráfico y aplican reglas según origen, destino, protocolo y contenido. Pueden ser software, hardware o mixtos. Su objetivo es proteger y aislar aplicaciones, servicios y máquinas internas, así como limitar o restringir el acceso desde la LAN a servicios externos.

DMZ (zona desmilitarizada)

DMZ: red aislada dentro de la organización donde SOLO se ubican recursos accesibles desde Internet (por ejemplo, servidores web y de correo). Las conexiones desde la DMZ hacia la red local no deben estar permitidas.

Ámbitos y tipos de firewall

Según el ámbito pueden clasificarse en firewalls de red y firewalls a nivel de sistema. Según la pila TCP/IP, las categorías principales son:

• Network Level Firewall (capas de red y transporte): analizan cabeceras de datagramas IP, segmentos TCP y datagramas UDP según reglas administrativas.
• Stateless / Static packet filtering: análisis independiente paquete a paquete; no mantiene estado.
• Stateful / Dynamic packet filtering: mantiene el estado de las conexiones mediante una tabla de estado y aplica reglas dinámicas basadas en ese estado.
• Application Level Firewall: actúa como intermediario o proxy entre la red segura y la no segura; permite o deniega según origen, destino, protocolo, aplicación, contenido de datos de la aplicación, autenticación de usuarios y registros.

Definiciones rápidas

Datagrama = paquete IP; Segmento = unidad TCP; UDP = unidad que viaja en el campo de datos del datagrama IP.

OPNsense

OPNsense es una distribución de código abierto basada en FreeBSD (derivada de pfSense) diseñada para funcionar como firewall y router. Algunas funcionalidades destacadas:

• Stateful firewall con tabla de estados.
• Filtros por origen/destino, puerto origen/puerto destino y sistema operativo que inicia la conexión.
• Logs y registro de eventos.
• Políticas de enrutamiento (balanceo y tolerancia a fallos) y uso de alias.
• Redundancia con CARP, grupos de failover, sincronización de configuración y tabla de estados actualizada entre nodos.
• Balanceo de carga: outbound (varias WAN) e inbound (distribución entre servidores).
• Portal cautivo, DDNS, VPN y servicios básicos (DHCP, DNS, etc.).
• Sistema de paquetes para extender funcionalidades.

Reglas y filtrado

El filtrado se basa en un conjunto de reglas (ruleset) junto con mecanismos como el filtrado por ruta inversa (reverse path filtering) y rutas de descarte. Las acciones típicas en las reglas son: PASS, BLOCK y REJECT.

Buenas prácticas

• Política de deny-by-default (denegar por defecto) y aplicar el principio KISS (Keep It Simple, Stupid).
• Filtrado de direcciones marcianas/bogon (direcciones no asignadas) y mecanismos de antispoofing.
• Permitir el tráfico de retorno legítimo y prohibir accesos no autorizados al propio firewall.
• Registrar el tráfico denegado especialmente desde la DMZ; evitar registrar tráfico ruidoso innecesario.
• Documentar la configuración.

Monitorización, verificación y diagnóstico

Registrar y monitorizar eventos relevantes. Verificación y diagnóstico incluyen:

• Network mapping: identificar servicios activos, puertos abiertos, aplicaciones, sistemas operativos y versiones, y topología.
• Comprobar que las reglas permiten comunicaciones lícitas sin revelar información adicional innecesaria.

ICMP

ICMP es el protocolo de supervisión que informa de eventos de red dentro de paquetes IP. Tipos relevantes: Echo Request (8), Echo Reply (0), Time Exceeded (11) y Destination Unreachable (3).

Port scanning

Port scanning es el proceso de analizar el estado de puertos (abierto, cerrado o filtrado). Herramientas comunes: nmap y zenmap. El filtrado suele ser realizado por el firewall y se manifiesta como ausencia de respuesta.

Logs en OPNsense

La información y los registros en OPNsense se consultan desde los menús de Status y Diagnostics. Los eventos del firewall aparecen en Status → System Logs → Firewall.

Criptografía: conceptos y componentes

Criptografía (cripto + graphos) es el arte de escribir mensajes ocultos. Criptoanálisis es el estudio de sistemas criptográficos para encontrar debilidades o romper la seguridad. La criptografía garantiza principalmente: confidencialidad, autenticación, no repudio e integridad.

Tipos de criptografía

Existen tres tipos principales:

• Simétrica: la misma clave cifra y descifra. Inconveniente: distribución y gestión segura de claves.
• Asimétrica: utiliza un par de claves matemáticamente relacionadas; lo que cifra una clave puede descifrarlo la otra. Es más lenta y menos eficiente; requiere transporte de la clave pública y protección de la clave privada.
• Híbrida: se usa criptografía asimétrica para el intercambio inicial de claves y criptografía simétrica para la transmisión de datos en la sesión.

Hash

Hash: algoritmo que mapea datos de longitud variable a un valor de longitud fija, conocido como huella o resumen.

Firma electrónica

Firma electrónica: datos electrónicos asociados a un documento que identifican al firmante, aseguran la integridad del documento y proporcionan no repudio. Se usa en firmas de código y certificados digitales. Clases: firma electrónica simple, firma electrónica avanzada y firma electrónica reconocida.

Certificado digital

Certificado digital: documento electrónico expedido por una Autoridad de Certificación (CA) que identifica a una entidad y asocia un par de claves. Tipos comunes:

• Certificado de servidor (por ejemplo, para sitios web de empresa): asegura la identidad del servidor y permite cifrado seguro de la comunicación.
• Certificado para firma de código: garantiza la identidad del desarrollador y que el código no ha sido modificado maliciosamente.

PKI (Public Key Infrastructure)

PKI es el conjunto de componentes y procesos para gestionar la creación, emisión, distribución, revocación y validación de certificados digitales. Componentes típicos: CA (Autoridad de Certificación), RA (Autoridad de Registro), repositorios, VA (Validación Authority) y autoridades de custodia.