WEBVTT

00:00.660 --> 00:02.700
Instructor: Aunque los routers pueden utilizar Listas

00:02.700 --> 00:05.280
de Control de Acceso para proporcionar cierto filtrado de protección

00:05.280 --> 00:08.100
para nuestras redes, es realmente un dispositivo dedicado conocido como firewall

00:08.100 --> 00:10.680
el que sobresale en el uso de Listas de Control de Acceso.

00:10.680 --> 00:13.230
Ahora bien, las Listas de Control de Acceso son muy importantes

00:13.230 --> 00:14.820
para poder proteger nuestras redes

00:14.820 --> 00:16.440
del tráfico no deseado.

00:16.440 --> 00:17.820
Una gran parte de las declaraciones

00:17.820 --> 00:20.520
de permiso y denegación que utilizamos en nuestras ACL se

00:20.520 --> 00:23.430
basan en números de puerto, ya que éstos se correlacionan directamente

00:23.430 --> 00:27.540
con una aplicación o servicio que deseamos permitir o bloquear.

00:27.540 --> 00:30.270
Las listas de control de acceso, o ACL, son los conjuntos de reglas

00:30.270 --> 00:32.400
que se colocan en los cortafuegos, enrutadores y otros

00:32.400 --> 00:34.800
dispositivos de infraestructura de red que permiten o autorizan

00:34.800 --> 00:37.380
el tráfico a través de una interfaz determinada.

00:37.380 --> 00:39.210
Estos conjuntos de reglas controlarán el

00:39.210 --> 00:41.610
flujo de tráfico que entra o sale de nuestras redes.

00:41.610 --> 00:44.490
Ahora, para configurar la Lista de Control de Acceso en nuestros firewalls,

00:44.490 --> 00:46.620
vamos a utilizar una interfaz basada en web, o una

00:46.620 --> 00:49.140
interfaz de línea de comandos basada en texto.

00:49.140 --> 00:50.760
Al configurar estas ACL, es importante

00:50.760 --> 00:52.500
recordar que el orden en el que se enumeran

00:52.500 --> 00:54.483
especifica el orden de las acciones que se

00:54.483 --> 00:57.780
llevan a cabo en una determinada parte del tráfico.

00:57.780 --> 01:00.540
Las acciones siempre se realizan de arriba hacia abajo dentro

01:00.540 --> 01:02.280
de una Lista de Control de Acceso.

01:02.280 --> 01:04.320
El tráfico se compara con la primera regla,

01:04.320 --> 01:06.180
y si cumple las condiciones para que se

01:06.180 --> 01:08.160
aplique la acción, ésta se llevará a cabo,

01:08.160 --> 01:10.470
y no se comprobará ninguna otra ACL.

01:10.470 --> 01:11.310
Por esta razón, nuestras

01:11.310 --> 01:13.590
normas más específicas deben colocarse siempre al

01:13.590 --> 01:14.820
principio de la lista, mientras

01:14.820 --> 01:17.730
que las normas más genéricas se sitúan hacia el final.

01:17.730 --> 01:20.040
Ahora, los routers pueden proporcionar seguridad básica utilizando

01:20.040 --> 01:22.530
estas listas de control de acceso y reglas de filtrado.

01:22.530 --> 01:24.870
Pero en realidad son nuestros cortafuegos de

01:24.870 --> 01:26.130
red los que más se van a utilizar

01:26.130 --> 01:29.670
para la seguridad de la red y el bloqueo y permiso masivos.

01:29.670 --> 01:31.890
Los cortafuegos pueden ser dispositivos basados

01:31.890 --> 01:34.860
en hardware, o software especializado instalado en un cliente o servidor,

01:34.860 --> 01:36.540
para realizar esta función.

01:36.540 --> 01:38.910
La función principal de un cortafuegos es inspeccionar

01:38.910 --> 01:40.590
y controlar el tráfico que intenta entrar

01:40.590 --> 01:42.450
o salir de los límites de una red.

01:42.450 --> 01:44.340
Existen muchos tipos diferentes de cortafuegos, como

01:44.340 --> 01:47.430
los cortafuegos de filtrado de paquetes, los cortafuegos de estado, los cortafuegos

01:47.430 --> 01:51.180
proxy, los cortafuegos de filtrado dinámico de paquetes y los cortafuegos proxy de núcleo.

01:51.180 --> 01:53.880
Cada tipo de cortafuegos se centrará en una inspección

01:53.880 --> 01:56.370
más o menos exhaustiva del tráfico.

01:56.370 --> 01:58.890
Como con todo en la seguridad de la red, va a haber una compensación

01:58.890 --> 02:01.230
de rendimiento basada en la profundidad de la inspección

02:01.230 --> 02:02.700
que hagamos.

02:02.700 --> 02:05.070
Si un cortafuegos realiza una inspección más profunda,

02:05.070 --> 02:07.470
entonces el dispositivo puede alcanzar un rendimiento

02:07.470 --> 02:10.080
tan alto, porque le va a llevar más tiempo revisar cada una de

02:10.080 --> 02:12.990
esas reglas ACL e inspeccionar cada uno de esos paquetes.

02:12.990 --> 02:15.390
Esto puede afectar negativamente a la eficiencia

02:15.390 --> 02:17.400
de nuestra red y aumentar su latencia.

02:17.400 --> 02:20.370
Ahora bien, como los cortafuegos son dispositivos de seguridad tan

02:20.370 --> 02:22.890
integrales para nuestras redes, evolucionan constantemente

02:22.890 --> 02:25.620
para ofrecernos mejores prestaciones y más seguridad.

02:25.620 --> 02:27.780
Es importante señalar que muchas organizaciones

02:27.780 --> 02:29.070
han estado migrando hacia

02:29.070 --> 02:32.400
un cortafuegos de gestión unificada de amenazas, o UTM.

02:32.400 --> 02:34.950
Los dispositivos de gestión unificada de amenazas ofrecen

02:34.950 --> 02:37.110
la posibilidad de realizar numerosas funciones de

02:37.110 --> 02:39.420
seguridad en un único dispositivo o aparato de red.

02:39.420 --> 02:41.340
Estos dispositivos incluyen la funcionalidad

02:41.340 --> 02:44.580
de múltiples dispositivos especializados, como cortafuegos de red,

02:44.580 --> 02:47.550
sistemas de prevención de intrusiones en la red, antivirus y antispam

02:47.550 --> 02:50.820
de puerta de enlace, concentración de redes privadas virtuales, filtrado

02:50.820 --> 02:54.360
de contenidos, equilibrio de carga y prevención de pérdida de datos, todo ello

02:54.360 --> 02:56.970
en un único dispositivo de red.

02:56.970 --> 02:58.890
Estos dispositivos de gestión unificada de amenazas

02:58.890 --> 03:00.390
también tienen muchas ventajas, como

03:00.390 --> 03:02.130
la reducción del número de dispositivos que

03:02.130 --> 03:05.130
los técnicos tienen que aprender, manejar y mantener.

03:05.130 --> 03:07.020
Esto puede ayudar a reducir el coste global

03:07.020 --> 03:08.460
de proporcionar estas protecciones,

03:08.460 --> 03:11.070
pero seguirá habiendo algunos inconvenientes.

03:11.070 --> 03:11.910
El mayor problema

03:11.910 --> 03:15.210
de los dispositivos UTM es que son un único punto de fallo.

03:15.210 --> 03:16.980
Si el dispositivo falla, por ejemplo,

03:16.980 --> 03:18.930
ya no sólo perdemos nuestro cortafuegos.

03:18.930 --> 03:21.300
Ahora estamos perdiendo nuestro cortafuegos, nuestro antivirus,

03:21.300 --> 03:24.060
nuestro sistema de prevención de intrusiones y cosas por el estilo.

03:24.060 --> 03:25.890
Toda nuestra pila de seguridad puede estar envuelta

03:25.890 --> 03:28.200
en este dispositivo, lo que significa que, si lo perdemos,

03:28.200 --> 03:30.300
perdemos toda nuestra pila de seguridad.

03:30.300 --> 03:32.520
Por lo tanto, nuestra organización necesita considerar

03:32.520 --> 03:34.860
tanto las ventajas como las desventajas de la Gestión

03:34.860 --> 03:37.440
Unificada de Amenazas antes de decidir implementarla en

03:37.440 --> 03:39.210
nuestra arquitectura.

03:39.210 --> 03:42.870
Algunas de las ventajas de utilizar un UTM son la reducción de los costes iniciales, el

03:42.870 --> 03:44.580
mantenimiento y el consumo de energía.

03:44.580 --> 03:46.140
Porque todas estas funciones residen

03:46.140 --> 03:48.180
en un único dispositivo montado en bastidor.

03:48.180 --> 03:50.370
También van a ser más fáciles de instalar y configurar,

03:50.370 --> 03:53.580
que tener que hacer varios dispositivos para cada función.

03:53.580 --> 03:55.230
Y pueden integrarse totalmente, lo

03:55.230 --> 03:57.090
que también tiene muchas ventajas.

03:57.090 --> 03:59.040
La gran desventaja es que son un único

03:59.040 --> 04:00.300
punto de fallo y a menudo

04:00.300 --> 04:02.250
carecen del detalle que ofrece una herramienta

04:02.250 --> 04:03.660
más especializada, por lo

04:03.660 --> 04:06.840
que su rendimiento puede no ser tan eficiente como el de un dispositivo

04:06.840 --> 04:09.090
de función única.

04:09.090 --> 04:11.640
Aunque los dispositivos UTM funcionan bien en su mayor

04:11.640 --> 04:13.860
parte, utilizan motores individuales separados

04:13.860 --> 04:15.870
para cada función que intentan realizar en sus

04:15.870 --> 04:17.490
inspecciones de seguridad.

04:17.490 --> 04:19.590
Mientras que cuando se utiliza un cortafuegos de nueva

04:19.590 --> 04:22.110
generación, se va a utilizar un único motor más eficiente.

04:22.110 --> 04:23.430
Por tanto, si la velocidad y la eficacia

04:23.430 --> 04:25.470
de la red son las principales preocupaciones de

04:25.470 --> 04:26.640
su organización, debería considerar

04:26.640 --> 04:29.250
el uso de un cortafuegos de última generación en lugar de un dispositivo

04:29.250 --> 04:32.010
de gestión unificada de amenazas.

04:32.010 --> 04:33.870
Ahora bien, si su organización decide

04:33.870 --> 04:35.790
optar por un dispositivo de gestión unificada

04:35.790 --> 04:37.680
de amenazas, lo colocará entre su LAN y

04:37.680 --> 04:39.240
la conexión a Internet, como si se

04:39.240 --> 04:42.630
tratara de un cortafuegos en una configuración en línea.

04:42.630 --> 04:44.880
Como puedes ver, hay un montón de opciones diferentes

04:44.880 --> 04:46.710
cuando se trata de cortafuegos a la hora de

04:46.710 --> 04:48.363
diseñar la arquitectura de tu red.