- Tipos de cortafuegos.

Transcripción

1 - Concepto. Utilización de cortafuegos. - Historia de los cortafuegos. - Funciones principales de un cortafuegos: Filtrado de paquetes de datos, filtrado por aplicación, Reglas de filtrado y registros de sucesos de un cortafuegos. - Listas de control de acceso (ACL). - Ventajas y Limitaciones de los cortafuegos. - Políticas de cortafuegos. - Tipos de cortafuegos. -- Clasificación por ubicación. -- Clasificación por tecnología. - Arquitectura de cortafuegos. - Pruebas de funcionamiento. Sondeo. Luis Villalta Márquez

2 Cortafuegos

3 Un cortafuegos o firewall es un sistema que previene el uso y el acceso desautorizados a tu ordenador. Los cortafuegos pueden ser software, hardware, o una combinación de ambos. Se utilizan con frecuencia para evitar que los usuarios desautorizados de Internet tengan acceso a las redes privadas conectadas con Internet, especialmente intranets. Todos los mensajes que entran o salen de la Intranet pasan a través del cortafuegos, que examina cada mensaje y bloquea los que no cumplen los criterios de seguridad especificados. Es importante recordar que un cortafuegos no elimina problemas de virus del ordenador, sino que cuando se utiliza conjuntamente con actualizaciones regulares del sistema operativo y un buen software antivirus, añadirá cierta seguridad y protección adicionales para tu ordenador o red.

4 Un firewall o cortafuegos es un sistema o grupo de sistemas que hace cumplir una política de control de acceso entre dos redes. De una forma más clara, podemos definir un cortafuegos como cualquier sistema (desde un simple router hasta varias redes en serie) utilizado para separar - en cuanto a seguridad se refiere - una máquina o subred del resto, protegiéndola así de servicios y protocolos que desde el exterior puedan suponer una amenaza a la seguridad. El espacio protegido, denominado perímetro de seguridad, suele ser propiedad de la misma organización, y la protección se realiza contra una red externa, no confiable, llamada zona de riesgo.

5 Un cortafuegos, o 'firewall', es un dispositivo que sirve para filtrar las comunicaciones y, dependiendo de las preconfiguraciones que tenga, deja pasar o bloquea cada tipo de comunicación. Los cortafuegos pueden ser usados a través de una solución de hardware, es decir un dispositivo físico, o a través de un programa informático instalado en el sistema operativo del ordenador que se desea proteger. En entornos empresariales suele ser común la utilización de cortafuegos basados en hardware, que protegen y separan la red interna del exterior. Sin embargo en ambientes domésticos la utilización más extendida son las soluciones por software, bien mediante programas informáticos existentes para tal fin o configurando los que incorporan los sistemas operativos. El cortafuegos se sitúa en un punto determinado de la conexión entre la red interna y la red exterior, en el caso de redes domésticas de más de un ordenador o redes empresariales. En los cortafuegos personales que funcionan por software, éstos se sitúan entre el ordenador del usuario y el resto de la red a la que pertenece. Éste se encarga de comprobar los intentos de conexión entrantes y salientes del ordenador o red de ordenadores, controlando el puerto, protocolo, IP, etc.

6 Primera generación cortafuegos de red: filtrado de paquetes El primer documento publicado para la tecnología firewall data de 1988, cuando el equipo de ingenieros Digital Equipment Corporation (DEC) desarrolló los sistemas de filtro conocidos como cortafuegos de filtrado de paquetes. Este sistema, bastante básico, fue la primera generación de lo que se convertiría en una característica más técnica y evolucionada de la seguridad de Internet. El filtrado de paquetes actúa mediante la inspección de los paquetes (que representan la unidad básica de transferencia de datos entre ordenadores en Internet). Si un paquete coincide con el conjunto de reglas del filtro, el paquete se reducirá (descarte silencioso) o será rechazado (desprendiéndose de él y enviando una respuesta de error al emisor). Este tipo de filtrado de paquetes no presta atención a si el paquete es parte de una secuencia existente de tráfico. En su lugar, se filtra cada paquete basándose únicamente en la información contenida en el paquete en sí (por lo general utiliza una combinación del emisor del paquete y la dirección de destino, su protocolo, y, en el tráfico TCP y UDP, el número de puerto). Los protocolos TCP y UDP comprenden la mayor parte de comunicación a través de Internet, utilizando por convención puertos bien conocidos para determinados tipos de tráfico, por lo que un filtro de paquetes puede distinguir entre ambos tipos de tráfico (ya sean navegación web, impresión remota, envío y recepción de correo electrónico, transferencia de archivos ); a menos que las máquinas a cada lado del filtro de paquetes son a la vez utilizando los mismos puertos no estándar.

7 Segunda generación cortafuegos de estado Durante 1989 y 1990, tres colegas de los laboratorios AT&T Bell, Dave Presetto, Janardan Sharma, y Nigam Kshitij, desarrollaron la tercera generación de servidores de seguridad. Esta tercera generación cortafuegos tiene en cuenta además la colocación de cada paquete individual dentro de una serie de paquetes. Esta tecnología se conoce generalmente como la inspección de estado de paquetes, ya que mantiene registros de todas las conexiones que pasan por el cortafuegos, siendo capaz de determinar si un paquete indica el inicio de una nueva conexión, es parte de una conexión existente, o es un paquete erróneo. Este tipo de cortafuegos pueden ayudar a prevenir ataques contra conexiones en curso o ciertos ataques de denegación de servicio.

8 Tercera generación - cortafuegos de aplicación Son aquellos que actúan sobre la capa de aplicación del modelo OSI. La clave de un cortafuegos de aplicación es que puede entender ciertas aplicaciones y protocolos (por ejemplo: protocolo de transferencia de ficheros, DNS o navegación web), y permite detectar si un protocolo no deseado se coló a través de un puerto no estándar o si se está abusando de un protocolo de forma perjudicial. Un cortafuegos de aplicación es mucho más seguro y fiable cuando se compara con un cortafuegos de filtrado de paquetes, ya que repercute en las siete capas del modelo de referencia OSI. En esencia es similar a un cortafuegos de filtrado de paquetes, con la diferencia de que también podemos filtrar el contenido del paquete. El mejor ejemplo de cortafuegos de aplicación es ISA (Internet Security and Acceleration). Un cortafuegos de aplicación puede filtrar protocolos de capas superiores tales como FTP, TELNET, DNS, DHCP, HTTP, TCP, UDP y TFTP (GSS). Por ejemplo, si una organización quiere bloquear toda la información relacionada con una palabra en concreto, puede habilitarse el filtrado de contenido para bloquear esa palabra en particular. No obstante, los cortafuegos de aplicación resultan más lentos que los de estado.

9 Cortafuegos

10 El término en inglés por el que se los conoce es Packet Filter Firewalls. Se trata del tipo más básico de cortafuegos. Analizan el tráfico de la red fundamentalmente en la capa 3, teniendo en cuenta a veces algunas características del tráfico generado en las capas 2 y/o 4 y algunas características físicas propias de la capa 1.

11 Los elementos de decisión con que cuentan a la hora de decidir si un paquete es válido o no son los siguientes: La dirección de origen desde donde, supuestamente, viene el paquete (capa 3). La dirección del host de destino del paquete (capa 3). El protocolo específico que está siendo usado para la comunicación, frecuentemente Ethernet o IP aunque existen cortafuegos capaces de desenvolverse con otros protocolos como IPX, NetBios, etc (capas 2 y 3). El tipo de tráfico: TCP, UDP o ICMP (capas 3 y 4). Los puertos de origen y destino de la sesión (capa 4). El interfaz físico del cortafuegos a través del que el paquete llega y por el que habría que darle salida (capa 1), en dispositivos con 3 o más interfaces de red.

12 Las principales ventajas de este tipo de cortafuegos están en su rapidez, transparencia y flexibilidad. Proporcionan un alto rendimiento y escalabilidad y muy bajo coste, y son muy útiles para bloquear la mayoría de los ataques de Denegación de Servicio, por ello se siguen implementando como servicios integrados en algunos routers y dispositivos hardware de balanceo de carga de gama media-alta. Sus principales inconvenientes son su limitada funcionalidad y su dificultad a la hora de configurarlos y mantenerlos. Son fácilmente vulnerables mediante técnicas de spoofing y no pueden prevenir contra ataques que exploten vulnerabilidades específicas de determinadas aplicaciones, puesto que no examinan las capas altas del modelo OSI.

13 Adicionalmente, este tipo de cortafuegos suelen prestar, dado su emplazamiento en la capa 7, servicios de autenticación de usuarios. La práctica totalidad de los cortafuegos de este tipo, suelen prestar servicios de Proxy. Tanto es así que a menudo se identifican biunívocamente unos con otros. Un Proxy es un servicio específico que controla el tráfico de un determinado protocolo (como HTTP, FTP, DNS, etc.), proporcionando un control de acceso adicional y un detallado registro de sucesos respecto al mismo. Los servicios o agentes típicos con que cuentan este tipo de dispositivos son: DNS, Finger, FTP, HTTP, HTTPS, LDAP, NMTP, SMTP y Telnet. Algunos fabricantes proporcionan agentes genéricos que, en teoría, son capaces de inspeccionar cualquier protocolo de la red, pero lógicamente, usarlos le resta robustez al esquema y facilita a un intruso la labor de establecer un túnel (tunneling) a través de él.

14 Los agentes o servicios Proxy están formados por dos componentes: un servidor y un cliente. Ambos suelen implementarse como dos procesos diferentes lanzados por un único ejecutable. El servidor actúa como destino de las conexiones solicitadas por un cliente de la red interna. El cliente del servicio proxy es el que realmente encamina la petición hacía el servidor externo y recibe la respuesta de este.

15 Las principales ventajas de este tipo de cortafuegos son sus detallados registros de tráfico (ya que pueden examinar la totalidad del paquete de datos). El valor añadido que supone tener un servicio de autenticación de cara a securizar nuestra red, y la casi nula vulnerabilidad que presentan ante ataques de suplantación (spoofing), el aislamiento que realizan de nuestra red, la seguridad que proporciona la comprensión a alto nivel de los protocolos que inspeccionan y los servicios añadidos, como caché y filtro de URL s, que prácticamente todos implementan. Entre los inconvenientes están sus menores prestaciones (en cuanto a velocidad de inspección se refiere) frente a los otros modelos ya vistos, la necesidad de contar con servicios específicos para cada tipo distinto de tráfico, la imposibilidad de ejecutar muchos otros servicios en el (puesto que escucha en los mismos puertos), la imposibilidad de inspeccionar protocolos como UDP, RPC y otros servicios comunes, la necesidad de reemplazar la pila TCP nativa en el servidor donde se ejecutan y lo vulnerables que resultan ante ataques directos al sistema operativo sobre el que se suelen ejecutar.

16 La familia de los firewalls de filtrado de paquetes sobre la pila de protocolos TCP/IP, son llamados IPFW. Los firewalls, son principalmente, una herramienta de seguridad y prevención ante ataques externos. Es decir, un IPFW funciona filtrando las comunicaciones en ambos sentidos entre su interfaz interna (la que lo conecta a su red) y la externa. El mecanismo de funcionamiento para realizar este filtrado es a través de una lista de reglas. Las reglas, pueden ser de dos tipos; de aceptación y de rechazo, aunque en realidad, éste última se descompone en dos subtipos, es decir, en términos de aceptación, rechazo y denegación. En iptables, un IPFW se corresponde con los argumentos ACCEPT, REJECT y DROP, respectivamente. La lista de reglas de entrada (del exterior hacia la red) es totalmente independiente de la lista de reglas de filtrado de salida (de la red hacia el exterior). Las distintas listas de reglas se llaman cadenas (chains).

17

18 Puede habilitar el registro de sucesos del cortafuegos como ayuda para identificar el origen del tráfico entrante y obtener información detallada acerca de qué tráfico se está bloqueando. Normalmente el tráfico saliente correcto no se registra. El tráfico saliente que no está bloqueado no se registra. A continuación vemos un ejemplo de algunos de los datos que se pueden recopilar en un registro de sucesos: Se recopila la siguiente información de registro por cada paquete registrado:

19 Campos Descripción Ejemplo: Fecha Muestra el año, mes y día en que tuvo lugar la transacción registrada. Las fechas se registran con el formato AAAA-MM-DD, donde AAAA es el año, MM es el mes y DD es el día Hora Muestra la hora, minuto y segundo en que tuvo lugar la transacción registrada. La hora se registra con el formato: HH:MM:SS, donde HH es la hora en formato de 24 horas, MM es el número de minutos y SS es el número de segundos. 21:36:59 Action Indica el funcionamiento que observó el servidor de seguridad. Las opciones disponibles en el servidor de seguridad son OPEN, CLOSE, DROP e INFO-EVENTS-LOST. Una acción INFO- EVENTS-LOST indica el número de sucesos que ocurrieron pero no se anotaron en el registro. OPEN Protocolo Muestra el protocolo que se utilizó para la comunicación. Una entrada de protocolo también puede ser un número para los paquetes que no utilizan TCP, UDP o ICMP. TCP src-ip Muestra la dirección IP, o la dirección IP del equipo, que intenta establecer comunicación dst-ip Muestra la dirección IP de destino de un intento de comunicación

20 src-port Muestra el número del puerto de origen del equipo que realizó el envío. Una entrada src-port se registra en forma de número entero entre 1 y Sólo TCP y UDP muestran una entrada src-port válida. Todos los demás protocolos muestran una entrada src-port de guión (-) dst-port Muestra el número del puerto del equipo de destino. Una entrada dst-port se registra en forma de número entero entre 1 y Sólo TCP y UDP muestran una entrada dst-port válida. Todos los demás protocolos muestran una entrada dst-port de guión (-). tamaño Muestra el tamaño del paquete en bytes. 60 tcpflags Muestra los indicadores de control de TCP que se encuentran en el encabezado TCP de un paquete IP: Ack: confirmación de campo significativo Fin: no hay más datos del remitente Psh: función de inserción Rst: restablecer la conexión Syn: sincronizar los números de secuencia Urg: campo Puntero urgente significativo

21 Cortafuegos

22 Una lista de control de acceso o ACL (del inglés, access control list) es un concepto de seguridad informática usado para fomentar la separación de privilegios. Es una forma de determinar los permisos de acceso apropiados a un determinado objeto, dependiendo de ciertos aspectos del proceso que hace el pedido. Las ACL permiten controlar el flujo del tráfico en equipos de redes, tales como enrutadores y conmutadores. Su principal objetivo es filtrar tráfico, permitiendo o denegando el tráfico de red de acuerdo a alguna condición. Sin embargo, también tienen usos adicionales, como por ejemplo, distinguir "tráfico interesante" (tráfico suficientemente importante como para activar o mantener una conexión) en RDSI. En redes informáticas, ACL se refiere a una lista de reglas que detallan puertos de servicio o nombres de dominios (de redes) que están disponibles en un terminal u otro dispositivo de capa de red, cada uno de ellos con una lista de terminales y/o redes que tienen permiso para usar el servicio. Tanto servidores individuales como enrutadores pueden tener ACL de redes. Las listas de control de acceso pueden configurarse generalmente para controlar tráfico entrante y saliente y en este contexto son similares a un cortafuegos. Existen dos tipos de listas de control de acceso: Listas estándar, donde solo tenemos que especificar una dirección de origen. Listas extendidas, en cuya sintaxis aparece el protocolo y una dirección de origen y de destino.

23 Ventajas Administran los accesos provenientes de Internet hacia la red privada. Sin un firewall, cada uno de los servidores propios del sistema se exponen al ataque de otros servidores en el Internet. Por ello la seguridad en la red privada depende de la "dureza" con que el firewall cuente. Administran los accesos provenientes de la red privada hacia el Internet. Permite al administrador de la red mantener fuera de la red privada a los usuarios no-autorizados (tal, como, hackers, crakers y espías), prohibiendo potencialmente la entrada o salida de datos. El firewall crea una bitácora en donde se registra el tráfico más significativo que pasa a través él. Concentra la seguridad Centraliza los accesos Protección de información privada: Define que usuarios de la red y que información va a obtener cada uno de ellos. Optimización de acceso: Define de manera directa los protocolos a utilizarse Protección de intrusos: Protege de intrusos externos restringiendo los accesos a la red.

24 Desventajas Un firewall no puede protegerse contra aquellos ataques que se efectúen fuera de su punto de operación. Por ejemplo, si existe una conexión PPP ( POINT-TO-POINT ) al Internet. El firewall no puede prohibir que se copien datos corporativos en disquetes o memorias portátiles y que estas se substraigan del edificio. El firewall de Internet no puede contar con un sistema preciso de SCAN para cada tipo de virus que se puedan presentar en los archivos que pasan a través de él, pues el firewall no es un antivirus. El firewall no puede ofrecer protección alguna una vez que el agresor lo traspasa. No protege de ataques que no pasen a través del firewall. No protege amenazas y ataques de usuarios negligentes. No protege de la copia de datos importantes si se ha obtenido acceso a ellos. No protege de ataques de ingeniería social (ataques mediante medios legítimos. Por ejemplo el atacante contacta a la víctima haciéndose pasar por empleado de algún banco, y solicita información confidencial, por ejemplo, datos de la tarjeta de crédito, con el pretexto de la renovación de dicha tarjeta).

25 Hay dos políticas básicas en la configuración de un cortafuegos que cambian radicalmente la filosofía fundamental de la seguridad en la organización: Política restrictiva: Se deniega todo el tráfico excepto el que está explícitamente permitido. El cortafuegos obstruye todo el tráfico y hay que habilitar expresamente el tráfico de los servicios que se necesiten. Esta aproximación es la que suelen utilizar las empresas y organismos gubernamentales. Política permisiva: Se permite todo el tráfico excepto el que esté explícitamente denegado. Cada servicio potencialmente peligroso necesitará ser aislado básicamente caso por caso, mientras que el resto del tráfico no será filtrado. Esta aproximación la suelen utilizar universidades, centros de investigación y servicios públicos de acceso a internet. La política restrictiva es la más segura, ya que es más difícil permitir por error tráfico potencialmente peligroso, mientras que en la política permisiva es posible que no se haya contemplado algún caso de tráfico peligroso y sea permitido por omisión.

26 Cortafuegos

27 Existen varios tipos de cortafuegos. En general, las diferencias entre ellos son la flexibilidad y la facilidad de configuración, la capacidad de manejo de tráfico. Esta vez vamos a clasificar los cortafuegos por su ubicación y por su tecnología.

28 Cortafuegos personales (para PC) Es un caso particular de cortafuegos que se instala como software en un ordenador, filtrando las comunicaciones entre dicho ordenador y el resto de la red. Se usa por tanto, a nivel personal. Los Cortafuegos personales son programas que se instalan de forma residente en nuestro ordenador y que permiten filtrar y controlar la conexión a la red. En general necesitan un conocimiento adecuado de nuestro ordenador, pues en la actualidad son muchos los programas que realizan conexiones a la red y que son necesarios. Es por ello que no son recomendables para usuarios inexpertos ya que podrían bloquear programas necesarios (incluso hasta la propia posibilidad de navegación por Internet), aunque siempre se tenga a mano la posibilidad de desactivarlos.

29 Cortafuegos para pequeñas oficinas (SOHO) SOHO es el acrónimo de Small Office-Home Office (Pequeña Oficina- Oficina en Casa). Es un término que se aplica para denominar a los aparatos destinados a un uso profesional o semiprofesional pero que, a diferencia de otros modelos, no están pensados para asumir un gran volumen de trabajo. El entorno SOHO propiamente dicho se refiere a toda la tecnología informática, a muebles funcionales, productos y servicios destinados al armado de una oficina en un ámbito doméstico. Equipos hardware específicos (Appliances). Un appliance es una caja autosuficiente diseñada para un propósito específico. Algunos en la actualidad sirven para más de un propósito, y estos con frecuencia son denominados como 'appliances de seguridad' dentro de 'appliances de cortafuegos' por sus distribuidores. Muchos de ellos incluyen funcionalidad de VPN acompañando al cortafuegos, y otros también incluyen funcionalidades como caché web. Algunos distribuidores venden componentes de hardware diferentes (llamados security blades) que se conectan al chasis del cortafuegos. Algunos appliances son básicamente PCs, con los mismos tipos de disco duro, memoria y otros componentes como un PC estándar. Otros se les llama "solid state" porque prácticamente no tienen partes movibles. Utilizan memorias flash sin disco duro. Desde circuitos de alta velocidad en lugar de discos mecánicos hacen el almacenamiento más rápido.

30 Cortafuegos corporativos. Es un tipo de cortafuego, y como su nombre lo indica, son utilizados mayormente en sistemas interconectados de organizaciones y empresas en donde cierta cantidad de equipos podrían estar conectados en red compartiendo y accediendo a cientos de recursos simultáneamente. Una de las ventajas de la utilización de estos dispositivos es que todos los equipos de la organización estarán protegidos por un único sistema, bloqueando o dejando pasar las comunicaciones que el administrador haya dispuesto para toda la organización. Este tipo de dispositivos puede ser de software o hardware y su costo dependerá del tamaño y prestaciones brindadas. Los principales aspectos críticos que deberá resolver la configuración del cortafuegos en los sistemas corporativos se centrarán en las siguientes problemáticas: Comunes con el usuario: usurpación de la identidad e integridad de la información. Accesos autorizados: permitir el acceso a las direcciones de origen validadas y autorizadas. Aplicaciones autorizadas: permitir el acceso a las aplicaciones en función de la identidad validada. Filtrado de solicitudes de conexión desde nuestra red a Internet. Protección de los datos de identidad de nuestros usuarios en los accesos autorizados a Internet. Protección ante caballos de troya, en forma de archivos Java, PostScript, etc. Realizar todas las funciones anteriores sin afectar a las prestaciones y funcionalidades de Internet que los usuarios internos demandan.

31 Filtros de paquetes Son una técnica de filtrado de paquetes, que consiste en una lista de órdenes ejecutadas secuencialmente a la entrada/ salida de cada paquete en las interfaces de un router, con las opciones de permitir o bloquear. (permit o deny en Cisco, accept o drop en Linux). Con ello permitimos o denegamos la entrada o salida de paquetes en función de las direcciones IP (a nivel 3) o en función del puerto (a nivel 4) o cualquier otro campo de estas cabeceras. Se trabaja con políticas por defecto. Ejemplos: I ptables en Linux ACL s y ACL s extendidas en Cisco

32 Filtros de paquetes Ventajas: Disponible en casi cualquier routers y en muchos sistemas operativos Ofrece un alto rendimiento para redes con una carga de tráfico elevada Inconvenientes: Al procesarse los paquetes de forma independiente, no se guarda ninguna información de contexto (no se almacenan históricos de cada paquete), ni se puede analizar a nivel de capa de aplicación, dado que está implementado en los routers. Son difíciles de seguir en ejecución

33 Proxy de aplicación. Además del filtrado de paquetes, es habitual que los cortafuegos utilicen aplicaciones software para reenviar o bloquear conexiones a servicios como finger, telnet o FTP; a tales aplicaciones se les denomina servicios proxy, mientras que a la máquina donde se ejecutan se le llama pasarela de aplicación. Los servicios proxy poseen una serie de ventajas de cara a incrementar nuestra seguridad: - En primer lugar, permiten únicamente la utilización de servicios para los que existe un proxy, por lo que si en nuestra organización la pasarela de aplicación contiene únicamente proxies para telnet, HTTPy FTP, el resto de servicios no estarán disponibles para nadie. - Una segunda ventaja es que en la pasarela es posible filtrar protocolos basándose en algo más que la cabecera de las tramas, lo que hace posible por ejemplo tener habilitado un servicio como FTP pero con órdenes restringidas (podríamos bloquear todos los comandos put para que nadie pueda subir ficheros a un servidor).

34 Proxy de aplicación. El principal inconveniente que encontramos a la hora de instalar una pasarela de aplicación es que cada servicio que deseemos ofrecer necesita su propio proxy; además se trata de un elemento que frecuentemente es más caro que un simple filtro de paquetes, y su rendimiento es mucho menor (por ejemplo, puede llegar a limitar el ancho de banda efectivo de la red, si el análisis de cada trama es costoso). En el caso de protocolos clienteservidor (como telnet) se añade la desventaja de que necesitamos dos pasos para conectar hacia la zona segura o hacia el resto de la red; incluso algunas implementaciones necesitan clientes modificados para funcionar correctamente.

35 Inspección de estados (statefull inspection). En informática, un cortafuegos de estado (cualquier firewall que realiza Stateful Packet Inspection ( SPI ) o la inspección de estado) es un firewall que realiza un seguimiento del estado de las conexiones de red (como TCP arroyos, UDP de comunicación) que viajan a través de ella. El firewall está programado para distinguir los paquetes legítimos para diferentes tipos de conexiones. Sólo los paquetes que coincidan con una conexión conocida activa serán permitidos por el firewall, mientras que otros serán rechazados. Hibrido Conscientes de las debilidades de los firewalls de filtrado de paquetes y de los de nivel de aplicación, algunos proveedores han introducido firewalls híbridos que combinan las técnicas de los otros dos tipos. Debido a que los firewalls híbridos siguen basándose en los mecanismos de filtrado de paquetes para soportar ciertas aplicaciones, aún tienen las mismas debilidades en la seguridad.

36 Cortafuegos

37 Cortafuego de filtrado de paquetes. El modelo de cortafuegos más antiguo consiste en un dispositivo capaz de filtrar paquetes, lo que se denomina choke. Está basado simplemente en aprovechar la capacidad que tienen algunos routers para bloquear o filtrar paquetes en función de su protocolo, su servicio o su dirección IP. Los cortafuegos de filtrado de paquetes utilizan una técnica de filtrado, que consiste en una lista de órdenes ejecutadas secuencialmente a la entrada/salida de cada paquete en las interfaces de un router, con las opciones de permitir ó bloquear, por ejemplo: iptables en Linux y ACL en Cisco. Esta arquitectura es la más simple de implementar y la más utilizada en organizaciones que no precisan grandes niveles de seguridad, donde el router actúa como de pasarela de la subred y no hay necesidad de utilizar proxies, ya que los accesos desde la red interna al exterior no bloqueados son directos. Resulta recomendable bloquear todos los servicios que no se utilicen desde el exterior, así como el acceso desde máquinas que no sean de confianza hacia la red interna.

38 El filtrado de paquetes actúa mediante la inspección de los paquetes (que representan la unidad básica de transferencia de datos entre ordenadores en Internet). Si un paquete coincide con el conjunto de reglas del filtro, el paquete se reducirá (descarte silencioso) o será rechazado (desprendiéndose de él y enviando una respuesta de error al emisor). Ventajas: - Disponible en casi cualquier router y en muchos sistemas operativos. - Ofrece un alto rendimiento para redes con una carga de tráfico elevada. Inconvenientes: - Al procesar los paquetes de forma independiente, no se guarda ninguna información de contexto (no se almacenan históricos de cada paquete), ni se puede analizar a nivel de capa de aplicación, dado que está implementado en los routers.

39 Cortafuego Dual-Homed Host Una dual-homed host architecture esta construída como un host dual-homed, un ordenador con dos tarjetas de red. Tal host actúa como router entre las dos redes que él conoce, es capáz de rutear paquetes IP desde una red a otra. Pero los paquetes IP de una red a la otra no son ruteados directamente. El sistema interno al Firewall puede comunicarse con el dual-homed host, y los sistemas fuera de Firewall también pueden comunicarse con él, pero los sistemas no pueden comunicarse directamente entre ellos.

40 Screened Host En esta arquitectura se combina un screening router con un host bastión y el principal nivel de seguridad proviene del filtrado de paquetes. El screening router está situado entre el host bastion y la red externa, mientras que el host bastión está situado dentro de la red interna. El filtrado de paquetes en el screening router está configurado de modo que el host bastión es el único sistema de la red interna accesible desde la red externa. Incluso, únicamente se permiten ciertos tipos de conexiones. Cualquier sistema externo que intente acceder a los sistemas internos tendrán que conectar con el host bastión. Por otra parte, el filtrado de paquetes permite al host establecer las conexiones permitidas, de acuerdo con la política de seguridad, a la red externa. La configuración del filtrado de paquetes en el screening router se puede hacer de dos formas: Permitir a otros hosts internos establecer conexiones a hosts de la red exterior para ciertos servicios. Denegar todas las conexiones desde los hosts de la red interna, forzando a los hosts a utilizar los servicios proxy a través del host bastion.

41 Screened Subnet (DMZ) La arquitectura Screened Subnet también se conoce con el nombre de red perimétrica o De-Militarized Zone (DMZ). En los modelos anteriores, la seguridad se centraba completamente en el host bastión, de manera que si la seguridad del mismo se veía comprometida, la amenaza se extendía automáticamente al resto de la red. En cambio, en este modelo se añade un nivel de seguridad en las arquitecturas de cortafuegos situando una subred (DMZ) entre las redes externa e interna, de forma que se consigue reducir los efectos de un ataque exitoso al host bastión. La arquitectura DMZ intenta aislar la máquina bastión en una red perimétrica, de forma que si un intruso accede a esta máquina no consigue un acceso total a la subred protegida.

42 Screened Subnet (DMZ) Se trata de la arquitectura de firewalls más segura, pero también más compleja. En este caso se emplean dos routers, exterior e interior, ambos conectados a la red perimétrica. En dicha red perimétrica, que constituye el sistema cortafuegos, se incluye el host bastión. También se podrían incluir sistemas que requieran un acceso controlado, como baterías de módems o el servidor de correo, que serán los únicos elementos visibles desde fuera de la red interna. La misión del router exterior es bloquear el tráfico no deseado en ambos sentidos, es decir, tanto hacia la red perimétrica como hacia la red externa. En cambio, el router interior bloquea el tráfico no deseado tanto hacia la red perimétrica como hacia la red interna. De este modo, para atacar la red protegida se tendría que romper la seguridad de ambos routers. En el caso en que se desee obtener un mayor nivel de seguridad, se pueden definir varias redes perimétricas en serie, situando los servicios que requieran de menor fiabilidad en las redes más externas.

43 Otras arquitecturas. Una manera de incrementar en gran medida el nivel de seguridad de la red interna y al mismo tiempo facilitar la administración de los cortafuegos consiste en emplear un host bastión distinto para cada protocolo o servicio en lugar de un único host bastión. Muchas organizaciones no pueden adoptar esta arquitectura porque presenta el inconveniente de la cantidad de máquinas necesarias para implementar el cortafuegos. Una alternativa la constituye el hecho de utilizar un único bastión pero distintos servidores proxy para cada uno de los servicios ofrecidos. Otra posible arquitectura se da en el caso en que se divide la red interna en diferentes subredes, lo cual es especialmente aplicable en organizaciones que disponen de distintas entidades separadas. En esta situación es recomendable incrementar los niveles de seguridad de las zonas más comprometidas situando cortafuegos internos entre dichas zonas y la red exterior. Aparte de incrementar la seguridad, los firewalls internos son especialmente recomendables en zonas de la red desde la que no se permite a priori la conexión con Internet.

44 Tener un cortafuegos para navegar en Internet no es suficiente, también es importante asegurarse de que esté bien configurado para obtener una protección óptima. A continuación un test que le permitirán controlar su eficacia, y de este modo volverlo a configurar si es necesario: Nos dirigimos a la siguiente página: una vez en esta pantalla hacemos clic en proceder.

45 Vemos que nuestro firewall funciona correctamente, ya que los resultados han sido negativos.