Cortafuegos de filtro de paquetes IP

Puede utilizar un cortafuegos de filtro de paquetes IP para crear un conjunto de normas que descarten o acepten el tráfico en una conexión de red.

Un cortafuegos de filtro de paquetes IP le permite crear un conjunto de normas que descarten o acepten el tráfico que atraviesa una conexión de red. El cortafuegos propiamente no afecta a este tráfico en ningún aspecto. Puesto que un filtro de paquetes sólo puede descartar el tráfico que se envía a éste, el dispositivo que cuenta con el filtro de paquetes deberá realizar un direccionamiento IP o bien ser el destino del tráfico.

Un filtro de paquetes dispone de un conjunto de normas con acciones de aceptación o denegación. Cuando un filtro de paquetes recibe un paquete de información, el filtro compara el paquete con el conjunto de normas que se ha configurado previamente. Cuando se detecta la primera coincidencia, el filtro de paquetes acepta o deniega el paquete de información. La mayoría de los filtros de paquetes incluyen la acción implícita "denegar todas las normas" al final del archivo de normas.

Por lo general, los filtros de paquetes permiten o deniegan el tráfico de red en función de lo siguiente:
  • Direcciones IP de origen y destino
  • Protocolo, como TCP, UDP o ICMP
  • Puertos de origen y destino y tipos y códigos ICMP
  • Distintivos de la cabecera TCP, como si el paquete es una solicitud de conexión
  • Dirección (entrada o salida)
  • Qué interfaz física atraviesa el paquete

Todos los filtros de paquetes tienen un criterio en común: la relación de confianza se basa en las direcciones IP. Aunque este tipo de seguridad no es suficiente para toda una red, este tipo de seguridad sí es aceptable para los componentes.

La mayoría de los filtros de paquetes IP no tienen estado, lo que significa que no retienen ninguna información acerca de los paquetes que anteriormente han procesado. Un filtro de paquetes que tenga estado puede conservar parte de la información del tráfico anterior; esto le ofrece la posibilidad de configurar que, desde Internet, sólo se admitan las respuestas a las solicitudes de la red interna. Los filtros de paquetes sin estado son vulnerables a las falsificaciones pues es muy fácil que no se retengan la dirección IP de origen y el bit de acuse de recibo (ACK) de la cabecera del paquete.

En IBM® i, puede especificar las normas de filtro de paquetes en las interfaces y perfiles de servicio de acceso remoto. Si utiliza un cortafuegos de filtro de paquetes externo o normas de filtro de paquetes en IBM i y los datos de Universal Connection atraviesan estos filtros, deberá cambiar las normas de filtro para que pueda establecerse la conexión con la pasarela VPN de IBM, tal como se indica a continuación:

Tabla 1. Normas de filtro de la pasarela VPN de IBM
Normas de filtro IP Valores de filtro IP
Norma de filtro de tráfico de entrada UDP Admitir el puerto 4500 para la dirección de pasarela VPN
Norma de filtro de tráfico de entrada UDP Admitir el puerto 500 para la dirección de pasarela VPN
Norma de filtro de tráfico de salida UDP Admitir el puerto 4500 para la dirección IP de pasarela VPN
Norma de filtro de tráfico de salida UDP Admitir el puerto 500 para la dirección IP de pasarela VPN
Norma de filtro de tráfico de entrada ESP Admitir el protocolo ESP (X'32') para la dirección IP de pasarela VPN
Norma de filtro de tráfico de salida ESP Admitir el protocolo ESP (X'32') para la dirección IP de pasarela VPN
Para las aplicaciones Universal Connection que utilizan HTTP y HTTPS para un transporte, deberá cambiar las normas de filtro para que puedan establecerse conexiones con los destinos de servicio de IBM, tal como se indica a continuación:
Tabla 2. Normas de filtro HTTP y HTTPS
Normas de filtro IP Valores de filtro IP
Norma de filtro de tráfico de entrada TCP Admitir el puerto 80 para todas las direcciones de destino de servicio
Norma de filtro de tráfico de entrada TCP Admitir el puerto 443 para todas las direcciones de destino de servicio
Norma de filtro de tráfico de salida TCP Admitir el puerto 80 para todas las direcciones de destino de servicio
Norma de filtro de tráfico de salida TCP Admitir el puerto 443 para todas las direcciones de destino de servicio

El cambio de las normas de filtro implica la especificación de la dirección de pasarela VPN de IBM real. Los puertos y servicios deben estar abiertos para las direcciones IP siguientes: Boulder: 207.25.252.196 y Rochester: 129.42.160.16.

Además para el tráfico HTTP y HTTPs, una parte del proceso de cambiar las reglas de filtro podría implicar especificar direcciones de destino de servicio reales.
Nota: El archivo /QIBM/UserData/OS400/UniversalConnection/serviceProviderIBMLocationDefinition.txt contiene una lista de puertos y direcciones IP de destino de servicio. Este archivo se genera después del primer intento de conectar a un destino de servicio de IBM, por ejemplo, el archivo SNDSRVRQS *TEST.
Tema principal: Configuración del IBM i para ponerse en contacto con el servicio técnico y de soporte


Última actualización: octubre de 2015