Tallafoc (informàtica)

Aquest article tracta sobre el tallafoc en Informatica. Vegeu-ne altres significats a «Tallafoc».

Un tallafoc (o firewall en anglès, que originalment vol dir "mur ignífug") és un element de maquinari o programari utilitzat en una xarxa d'equips informàtics per controlar les comunicacions, permetent-les o prohibint-les segons les polítiques de xarxa que hagi definit l'organització responsable de la xarxa. La seva manera de funcionar és indicada per la recomanació RFC 2979, que defineix les característiques de comportament i requeriments d'interoperabilitat. La ubicació habitual d'un tallafoc és el punt de connexió de la xarxa interna de l'organització amb la xarxa exterior, que normalment és Internet; d'aquesta manera es protegeix la xarxa interna d'intents d'accés no autoritzats des d'Internet, que puguin aprofitar vulnerabilitats dels sistemes de la xarxa interna.

Esquema d'una xarxa que utilitza un tallafocs.

També és freqüent connectar al tallafoc una tercera xarxa, anomenada zona desmilitaritzada o DMZ, en la qual s'ubiquen els servidors de l'organització que han de romandre accessibles des de la xarxa exterior.

Un tallafoc configurat correctament afegeix protecció a una instal·lació informàtica, però en cap cas es pot considerar suficient. La seguretat informàtica inclou més àmbits i més nivells de treball i protecció.^[1]

Tipus

Tallafoc de capa de xarxa o de filtratge de paquets

Funciona a nivell de xarxa (nivell 3) de la pila de protocols (TCP/IP) com a filtre de paquets IP. A aquest nivell es poden realitzar filtres segons els diferents camps dels paquets IP: adreça IP origen, adreça IP destí. Sovint en aquest tipus de tallafoc es permeten filtrats segons camps de nivell de transport (nivell 4) com al port origen i destí, o a nivell d'enllaç de dades (nivell 2) com l'adreça MAC.

Tallafoc de capa d'aplicació

Treballa en el nivell d'aplicació (nivell 7) de manera que els filtratges es poden adaptar a característiques pròpies dels protocols d'aquest nivell. Per exemple, si es tracta de tràfic|trànsit HTTP es poden realitzar filtrats segons l'URL al qual s'està intentant accedir. Un tallafoc a nivell 7 de tràfic HTTP és normalment denominat Proxy i permet que els computadors d'una organització entrin a internet d'una forma controlada.

Tallafoc personal

És un cas particular de tallafoc que s'instal·la com a programari en un computador, filtrant les comunicacions entre l'esmentat computador i la resta de la xarxa i viceversa.

Avantatges

• Protegeix d'intrusions. L'accés a certs segments de la xarxa d'una organització, només es permet des de màquines autoritzades d'altres segments de l'organització o d'Internet.
• Protecció d'informació privada. Permet definir diferents nivells d'accés a la informació de manera que en una organització cada grup d'usuaris definit tindrà accés només als serveis i la informació que li són estrictament necessaris.
• Optimització d'accés. Identifica els elements de la xarxa interns i optimitza que la comunicació entre ells sigui més directa. Això ajuda a reconfigurar els paràmetres de seguretat.

Limitacions

• Un tallafoc no pot protegir-se contra aquells atacs que s'efectuïn fora del seu punt d'operació.
• El tallafoc no pot protegir-se de les amenaces a què aquesta sotmès per traïdors o usuaris inconscients. El tallafoc no pot prohibir que els traïdors o espies corporatius copiïn dades sensibles en disquets o targetes de memòria i les sostreguin de l'edifici.
• El tallafoc no pot protegir contra els atacs de l'enginyeria social.
• El tallafoc no pot protegir-se contra els atacs possibles a la xarxa interna per virus informàtics a través d'arxius i programari. La solució implica que l'organització ha d'instal·lar programari antivirus a cada màquina per protegir-se dels virus que arriben per mitjà de disquets o qualsevol altra font.
• El tallafoc no protegeix dels errors de seguretat dels serveis i protocols dels quals es permeti el trànsit. Cal configurar correctament i cuidar-se la seguretat dels serveis que es publiquin a Internet.

Polítiques

Hi ha dues polítiques bàsiques en la configuració d'un tallafoc i que canvien radicalment la filosofia fonamental de la seguretat en l'organització:

• Política restrictiva: Es denega tot el trànsit excepte el que està explícitament permès. El tallafoc obstrueix tot el trànsit i cal habilitar expressament el trànsit dels serveis que es necessitin.
• Política permissiva: Es permet tot el trànsit excepte el que estigui explícitament denegat. Cada servei potencialment perillós necessitarà ser aïllat bàsicament cas per cas, mentre que la resta del trànsit no serà filtrat.

La política restrictiva és la més segura, ja que és més difícil permetre per error trànsit potencialment perillós, mentre que en la política permissiva és possible que no s'hagi previst algun cas de trànsit perillós i sigui permès per defecte.

Referències

1. «What Is a Firewall?» (en anglès). www.cisco.com. [Consulta: 13 abril 2017].

Vegeu també

• Iptables
• Protocol de comunicació
• Encaminador (Router)
• Commutador de xarxa (Switch)
• Pont de xarxa (Bridge)
• Concentrador (Ethernet hub)
• Passarel·la (Gateway)

Enllaços externs

A Wikimedia Commons hi ha contingut multimèdia relatiu a: Tallafoc

• Request for Comment 2979 - Comportament i requeriments dels tallafoc (anglès)
• Comparatives de tallafoc personals: [1] Arxivat 2006-07-09 a Wayback Machine. [2] [3]^{[Enllaç no actiu]}