🔥 ¿Qué es un cortafuegos (firewall)?
Un cortafuegos es un sistema de seguridad que controla y filtra el tráfico de red (entrante y saliente) según reglas definidas. Su objetivo es proteger una red o equipo frente a accesos no autorizados o ataques
Características principales de un firewall
- Filtrado de paquetes: Analiza cada paquete de red y lo bloquea o permite según reglas.
- Inspección de estado: (stateful) Entiende el contexto de las conexiones (por ejemplo, solicitudes ya establecidas).
- Filtrado por aplicación: Detecta y controla tráfico de aplicaciones específicas (ej. WhatsApp, YouTube).
- Listas de control de acceso (ACLs): Define qué tráfico está permitido o denegado.
- Registro y alertas: Guarda eventos de tráfico y puede enviar alertas de seguridad.
- Traducción de direcciones (NAT): Oculta direcciones internas detrás de una IP pública.
- VPN: Algunos cortafuegos permiten establecer túneles VPN seguros.
Tipos de cortafuegos
| Tipo de Firewall | ¿Cómo funciona? | Ejemplo de uso |
|---|---|---|
| Filtrado de paquetes | Evalúa IP, puerto y protocolo sin contexto. | Routers simples, firewalls básicos. |
| Stateful | Recuerda el estado de las conexiones (seguimiento de sesiones). | Firewalls de red empresariales. |
| De capa de aplicación | Analiza el contenido y protocolo (como HTTP, FTP, etc.). | Proxy con inspección profunda. |
| Next-Generation Firewall (NGFW) | Combina inspección profunda, IPS, control de aplicaciones y usuarios. | Seguridad moderna en redes empresariales. |
| Basado en host | Instalado en el dispositivo que protege (como software). | Windows Firewall, iptables. |
| Basado en red | Instalado entre redes, protege múltiples dispositivos. | Cisco ASA, Fortinet, pfSense. |
Funciones clave de un cortafuegos
- Permitir o bloquear tráfico según reglas.
- Proteger contra ataques externos (escaneos, malware, accesos indebidos).
- Crear zonas seguras (DMZ, subredes, VLANs).
- Registrar intentos de acceso y generar alertas.
- Traducir direcciones (NAT) para permitir conexión a internet.
- Controlar acceso a páginas web o servicios en la red.
Niveles de Filtrado de un Cortafuegos (Firewall)
¿Qué es el filtrado en un firewall?
Un firewall puede analizar y decidir si permite o bloquea el tráfico en diferentes niveles del modelo OSI. Cuanto más alto es el nivel, más detallado es el análisis.
Niveles de filtrado
| Nivel de filtrado | Capa OSI | ¿Qué analiza? | Ejemplo |
|---|---|---|---|
| Red | Capa 3 | Dirección IP de origen y destino | Permitir solo IPs de confianza |
| Transporte | Capa 4 | Puerto y protocolo (TCP/UDP) | Bloquear puerto 21 (FTP), permitir 443 (HTTPS) |
| Aplicación | Capas 5-7 | Contenido del tráfico, comandos o URLs | Bloquear redes sociales, analizar payload HTTP |
| Conexión/estado | Capa 4+ | Contexto de la conexión | Permitir solo respuestas a conexiones válidas |
| Identidad | Más allá de OSI | Usuario, grupo, perfil | Permitir acceso según rol en la empresa |
Resumen
- Filtrado IP y puertos (L3 y L4): básico, rápido.
- Filtrado con estado: seguimiento de sesiones válidas.
- Filtrado de aplicación (L7): detecta contenido y protocolos específicos.
- Filtrado por identidad (NGFW) : personalizado por usuario o grupo.
Instalación y Configuración de un Cortafuegos (Firewall)
Tipos de instalación
| Tipo de firewall | Forma de instalación |
|---|---|
| Software | Se instala en un sistema operativo (Windows Firewall, UFW, iptables). |
| Hardware | Dispositivo físico dedicado (ej: Cisco ASA, FortiGate). |
| Virtual/appliance | Máquina virtual en servidores o en la nube (pfSense, OPNsense, Sophos XG). |
Pasos para configurar un firewall
- Elegir el tipo de firewall según el entorno.
- Instalar el software o dispositivo.
- En Linux: instalar iptables, ufw o firewalld.
- En Windows: activar y configurar el Firewall de Windows.
- En red: conectar el firewall entre el router y la red interna.
- Acceder a la interfaz de configuración (web o consola).
- Vía interfaz web, consola, o app.
- Ejemplo: https://192.168.1.1 o consola SSH.
- Crear reglas de acceso (permitir/bloquear por IP, puerto, etc.).
- Definir qué tráfico se permite o bloquea.
- Basado en IP, puerto, protocolo o aplicación.
- Establecer zonas (WAN, LAN, DMZ).
- Activar NAT, VPN o IDS si es necesario.
- Probar el funcionamiento con herramientas como
pingonmap. - Guardar copias de seguridad de la configuración.
Ejemplo básico de configuración en Linux con UFW
sudo apt install ufw
sudo ufw default deny
sudo ufw allow 22/tcp
sudo ufw allow 80,443/tcp
sudo ufw enable🔐 ¿Qué son las reglas de filtrado en un firewall?
Las reglas de filtrado son instrucciones que un firewall utiliza para permitir o denegar el tráfico de red según criterios como IP, puerto, protocolo o dirección.
Estas reglas se evalúan en orden y forman una lista que el firewall analiza cada vez que pasa un paquete de datos./p>
⚙️ Componentes de una regla de filtrado
| Componente | Descripción |
|---|---|
| Acción | Permitir (allow) o denegar (deny) |
| Dirección | Entrada o salida |
| Protocolo | TCP, UDP, ICMP, etc. |
| IP origen | Desde dónde viene el tráfico (dirección o red) |
| IP destino | Hacia dónde va el tráfico (dirección o red) |
| Puerto | Puerto de red (ej: 80, 443) |
| Estado | Nuevo, establecido, relacionado |
Ejemplos de reglas
- Permitir TCP del puerto 80 desde cualquier: IP Permite tráfico web entrante
- Denegar todo el tráfico de la IP 192.168.0.100: Bloquea un equipo específico
- Permitir SSH solo desde red interna 192.168.1.0/24: Permite administración segura local
- Permitir salidas al puerto 443 (HTTPS): Permite navegación segura hacia fuera
- Denegar ICMP (ping): Bloquea respuestas de ping para ocultar la red
📋 ¿Qué es el registro de sucesos en un firewall?
El registro de sucesos en un firewall es un conjunto de anotaciones automáticas que reflejan la actividad del tráfico de red y las decisiones que toma el firewall (permitir, bloquear, alertar, etc.).
El " log " del firewall
Estos registros ayudan a los administradores a:- Auditar accesos.
- Detectar ataques o comportamientos sospechosos.
- Diagnosticar problemas de red.
- Cumplir normativas de seguridad.
🧱 ¿Qué se registra?
- Fecha y hora. Momento exacto del evento.
- Dirección IP de origen. Desde dónde proviene el tráfico.
- Dirección IP destino. A dónde se dirigía.
- Puerto origen/destino. Identificadores del servicio usado.
- Protocolo. TCP, UDP, ICMP, etc.
- Acción tomada. Permitido, denegado, alertado.
- Regla aplicada. Qué regla del firewall se activó.
- Estado de la conexión. Nueva, establecida, finalizada.
- Usuario (si aplica). En cortafuegos con autenticación.
🔥 Opciones de Cortafuegos (Firewalls)
🔓 Cortafuegos Libres (Open Source)
| Nombre | Descripción breve | Plataforma |
|---|---|---|
| pfSense | Basado en FreeBSD, muy potente y flexible. | Software / VM / Hardware |
| OPNsense | Fork moderno de pfSense con interfaz mejorada. | Software / VM |
| IPFire | Enfocado en simplicidad y seguridad. | Software / Hardware |
| iptables | Herramienta de filtrado en Linux. | Software (CLI) |
| UFW | Interfaz fácil para iptables en Ubuntu. | Software (CLI) |
🔒 Cortafuegos Propietarios (Comerciales)
| Fortinet (FortiGate) | Muy popular en empresas, incluye UTM, VPN, IPS. | Hardware / VM |
| Cisco ASA | Solución empresarial con soporte de red avanzado. | Hardware / VM |
| Sophos XG | Firewall moderno con buena interfaz y funciones UTM. | Hardware / VM |
| Palo Alto | Cortafuegos de nueva generación con análisis profundo. | Hardware / VM |
🧱 Cortafuegos por Hardware
- FortiGate
- Cisco ASA
- Sophos XG Appliance
- pfSense Box
- WatchGuard | Seguridad todo en uno para PYMEs.
Firewalls UTM (Gestión Unificada de Amenazas)
Los UTM (Unified Threat Management) integran múltiples funciones de seguridad además del cortafuegos:
- FortiGate
- Sophos XG
- OPNsense (con plugins)
- WatchGuard
🛠️ Solución de Problemas con Clientes (Firewall)
Cuando un cliente (usuario, dispositivo o sistema) no puede conectarse correctamente, puede deberse a políticas o reglas mal configuradas en el firewall. Aquí están los pasos más comunes para identificar y resolver estos problemas
1. Verificar conectividad básica
Antes de entrar en el firewall, revisar....
- ...que el cliente tenga una IP válida.
- Verificar puerta de enlace y DNS.
- Comprobar si puede hacer ping al gateway.
2. Revisar reglas del firewall
- Confirmar que existe una regla que permita el tráfico.
- Verificar que no haya una regla genérica que bloquee.
- Analizar el orden de las reglas.
3. Consultar los registros (logs)
- Buscar eventos relacionados con la IP del cliente.
- Identificar puertos y protocolos que se estan bloqueando.
4. Probar puertos y servicios
- Usar
telnet,nconmap. - Verificar si los puertos necesarios están abiertos (80, 443, ...).
5. Verificar autenticación o perfiles
- Comprobar si se requiere autenticación de usuario.
- Ver si el cliente ha sido autenticado correctamente.
6. Revisar NAT o reenvío de puertos
- Verificar reglas NAT correctamente configuradas.
- Confirmar si hay reenvío de puertos activo.
7. Comprobar filtrado por contenido o aplicación
- Desactivar temporalmente el filtrado por categoría o aplicación.
8. Herramientas de diagnóstico en el propio firewall
- Simular tráfico desde la interfaz del firewall.
- Revisar conexiones activas del cliente.
- Reiniciar sesiones si es necesario.
El tema de la documentación del firewall es muy importante, aunque a veces no se le da tanta atención como a la configuración misma. En redes bien gestionadas, una buena documentación puede ahorrar horas de problemas
🗂️ Documentación del Firewall
La documentación del firewall es el proceso de registrar de forma clara, organizada y actualizada toda la información relacionada con la instalación, configuración, políticas y mantenimiento del firewall. Esta documentación es vital tanto para tareas de soporte como para auditorías, gestión de cambios y continuidad del servicio.
📋 ¿Por qué es importante documentar?
- Facilita el mantenimiento: Otros técnicos (o tú mismo en el futuro) podrán entender cómo está configurado el firewall.
- Evita errores: Tener claro qué reglas existen y por qué, reduce la posibilidad de aplicar configuraciones que interfieran entre sí.
- Cumplimiento normativo: Algunas normativas (ISO 27001, PCI-DSS, etc.) requieren documentación de la configuración de seguridad.
- Auditorías y revisiones: Permite demostrar cómo está protegida la red y qué políticas están en vigor.
- Gestión de incidencias: Ayuda a rastrear qué cambios pudieron causar problemas de conectividad o seguridad.
🧾 ¿Qué debe incluir la documentación?
- Datos generales del sistema
- Modelo y fabricante del firewall.
- Versión de firmware o sistema operativo.
- Diagrama de red donde se visualice el firewall.
- Configuración de red
- Interfaces de red y direcciones IP asignadas.
- Gateways, rutas estáticas, VLANs.
- Políticas de seguridad
- Reglas de acceso entrante y saliente.
- Clasificación de reglas: por zona, por usuario, por aplicación.
- Justificación de cada regla: qué permite/bloquea y por qué.
- Registros de cambios (change log)
- Quién hizo un cambio, cuándo, y qué se modificó.
- Motivo del cambio.
- Configuraciones especiales
- NAT y port forwarding.
- VPNs configuradas.
- Filtros de contenido o de aplicaciones.
- Reglas de detección de intrusiones (IDS/IPS).
- Usuarios y autenticación
- Métodos de autenticación configurados (LDAP, Radius, local...).
- Roles y permisos asignados.
- Alertas y registros
- Configuración de logs.
- Alertas o notificaciones configuradas.
- Revisión periódica de eventos.
- Respaldo y restauración
- Procedimiento para hacer backups de configuración.
- Procedimiento de restauración en caso de fallo.
Buenas prácticas para documentar
- Mantener actualizado: La documentación debe reflejar los cambios en tiempo real o mediante procesos regulares.
- Centralizar la información: Usa una wiki, gestor documental o herramienta para almacenarla.
- Accesible y segura: Solo el personal autorizado debe tener acceso, pero no debe estar tan escondida que no se encuentre.
- Versionar los documentos: Registra cada edición y guarda copias anteriores por seguridad.