SISTEMAS DISTRIBUIDOS. Introducción a los Firewalls

Transcripción

1 SISTEMAS DISTRIBUIDOS Introducción a los Firewalls Alumnos: Cristian Caridi Gustavo Ruiz Sánchez Jorge Sebastián Arribas C-2936/0 R-1899/6 A-1682/9

2 Índice 1Prólogo (4)...3 2TCP/IP. Introducción Vulnerabilidades de los protocolos TCP/IP (1) Suplantación de IP (Spooffing): Conexiones secuestradas (hijacking): Ataques por husmeo (sniffing) o escucha secreta (eavesdropping): Denegación del servicio (Denial of Service - DoS): Qué es un Firewall? Tecnologías de Firewalls Packet Filtering Firewall (Filtrado de Paquetes) Stateful Inspection Firewall (inspección con estado) Proxy Firewall a nivel de Aplicación (Aplication Level Firewall Proxy) Servidor Proxy SOCKS Ejemplo sobre el funcionamiento de los distintos Firewalls para el caso de FTP Utilizando un Filtrado de Paquetes Utilizando un Proxy a nivel de aplicación Utilizando un Stateful Inspection Firewall Arquitecturas de firewalls Screening router ( router con filtrado de paquetes ) Dual-Homed Host (anfitriones de bos bases) Screened Host Screened Subnet (DMZ) Consideraciones y problemas de firewall Terminología Bibliografia...22

3 1 Prólogo (4) En la actualidad, las organizaciones son cada vez más dependientes de sus redes informáticas y un problema que las afecte, por mínimo que sea, puede llegar a comprometer la continuidad de las operaciones. La falta de medidas de seguridad en las redes es un problema que está en crecimiento. Cada vez es mayor el número de atacantes y cada vez están más organizados, por lo que van adquiriendo día a día habilidades más especializadas que les permiten obtener mayores beneficios. Tampoco deben subestimarse las fallas de seguridad provenientes del interior mismo de la organización. La propia complejidad de la red es una dificultad para la detección y corrección de los múltiples y variados problemas de seguridad que van apareciendo. En medio de esta variedad, han ido aumentando las acciones que comprometen la privacidad y la propiedad de recursos y sistemas. Hackers, crakers, entre otros, han hecho aparición en el vocabulario ordinario de los usuarios y de los administradores de las redes. Además de las técnicas y herramientas criptográficas, es importante recalcar que un componente muy importante para la protección de los sistemas consiste en la atención y vigilancia continua y sistemática por parte de los responsables de la red. La seguridad informática ha adquirido gran auge, dadas las cambiantes condiciones y las nuevas plataformas de computación disponibles. La posibilidad de interconectarse a través de redes, ha abierto nuevos horizontes que permiten explorar más allá de las fronteras de la organización. Esta situación ha llevado a la aparición de nuevas amenazas en los sistemas computarizados. El objetivo de esta monografía es realizar una introducción a una de las maneras de proporcionar seguridad a una red basada en TCP/IP (intranet o internet): utilizando firewalls Sistemas Distribuidos Firewalls 3 de 22

4 2 TCP/IP. Introducción Internet no es un nuevo tipo de red física, sino un conjunto de tecnologías que permiten interconectar redes muy distintas entre sí. Internet no es dependiente de la máquina ni del sistema operativo utilizado. De esta manera, podemos transmitir información entre un servidor Unix y un ordenador que utilice Windows 98. O entre plataformas completamente distintas como Macintosh, Alpha o Intel. Es más: entre una máquina y otra generalmente existirán redes distintas: redes Ethernet, redes Token Ring e incluso enlaces vía satélite. Como vemos, está claro que no podemos utilizar ningún protocolo que dependa de una arquitectura en particular. Lo que se buscó es un método de interconexión general que sea válido para cualquier plataforma, sistema operativo y tipo de red. La familia de protocolos que se eligieron para permitir que Internet sea una Red de redes es TCP/IP. Hablamos de familia de protocolos ya que son muchos los protocolos que la integran, aunque en ocasiones para simplificar hablamos sencillamente del protocolo TCP/IP. El protocolo TCP/IP tiene que estar a un nivel superior del tipo de red empleado y funcionar de forma transparente en cualquier tipo de red. Y a un nivel inferior de los programas de aplicación (páginas WEB, correo electrónico ) particulares de cada sistema operativo. Todo esto sugiere el siguiente modelo de referencia: Capa de aplicación (HTTP, SMTP, FTP, TELNET...) Capa de transporte (UDP, TCP) Capa de red (IP) Capa de acceso a la red (Ethernet, Token Ring...) Capa física (cable coaxial, par trenzado...) El nivel más bajo es la capa física. Aquí nos referimos al medio físico por el cual se transmite la información. Generalmente será un cable aunque no se descarta cualquier otro medio de transmisión como ondas o enlaces vía satélite. La capa de acceso a la red determina la manera en que las estaciones (ordenadores) envían y reciben la información a través del soporte físico proporcionado por la capa anterior. Es decir, una vez que tenemos un cable, cómo se transmite la información por ese cable? Cuándo puede una estación transmitir? Tiene que esperar algún turno o transmite sin más? Cómo sabe una estación que un mensaje es para ella? Pues bien, son todas estas cuestiones las que resuelve esta capa. Las dos capas anteriores quedan a un nivel inferior del protocolo TCP/IP, es decir, no forman parte de este protocolo. La capa de red define la forma en que un mensaje se transmite a través de distintos tipos de redes hasta llegar a su destino. El principal protocolo de esta capa es el IP aunque también se encuentran a este nivel los protocolos ARP, ICMP e IGMP. Esta capa proporciona el direccionamiento IP y determina la ruta óptima a través de los encaminadores (routers) que debe seguir un paquete desde el origen al destino. La capa de transporte (protocolos TCP y UDP) ya no se preocupa de la ruta que siguen los mensajes hasta llegar a su destino. Sencillamente, considera que la comunicación extremo a extremo está establecida y la utiliza. Además añade la noción de puertos. Una vez establecida la comunicación desde el origen al destino queda lo más importante, qué podemos transmitir? La capa de aplicación proporciona los distintos servicios de Internet: correo electrónico, páginas Web, FTP, TELNET Sistemas Distribuidos Firewalls 4 de 22

5 3 Vulnerabilidades de los protocolos TCP/IP (1) Los protocolos TCP/IP (Transmission Control Protocol/ Internet Protocol), utilizados en internet, protegen contra algunas amenazas; pero esta suite de protocolos no está desarrollada con ese fin; ahora bien, algunas comprobaciones protegen contra las modificaciones que puedan existir en las cabeceras de los paquetes, y aun cuando en TCP, la secuencia de los números protegen contra los paquetes perdidos o duplicados y otras medidas protegen contra el re-uso de los paquetes, las protecciones son débiles, además TCP se encarga tan solo de formar los paquetes de salida y reensamblarlos en la llegada, el envío de estos queda a cargo de IP. El usuario no puede determinar la ruta por la que deberán transitar los paquetes, ni siquiera existe la posibilidad de especificar por donde precisamente es que no deben pasar (por razones de seguridad), conjuntamente a esto los paquetes IP no acarrean autenticadores de su carga de datos (una debilidad corregida en la nueva versión de IP). No existe un lugar común para la identificación y autenticación de la información o los servicios. Para la mayoría, las aplicaciones deben realizar su propia autenticación. La autenticación del Telnet y FTP recae en las contraseñas transmitidas en el texto plano, ambos son riesgosos para un host que no está bien asegurado. Las aplicaciones y los accesorios son más fáciles de explotar. De manera que Internet es una red inherentemente insegura, desde su desarrollo la seguridad no fue un objetivo que se persiguiera. Las principales vulnerabilidades son las siguientes: 3.1 Suplantación de IP (Spooffing): Muchos ataques de Internet se basan en la suplantación de IP, la cual permite que un host se disfrace como otro. Un paquete es enviado por un host, pero la dirección fuente en el paquete es la de otro host. Esto es peligroso ya que las aplicaciones comúnmente utilizan las direcciones fuente para identificar las peticiones de los hosts que son confiables, De esta forma el atacante en el host A, de quien el destino es el host B, suplanta al host T el cual es confiable para B. Un ataque común explota una característica IP llamada encaminamiento de fuente, la cual permite al emisor de un paquete especificar su ruta y la ruta de regreso. Si la ruta es A, B, C, entonces C debe utilizar la ruta de regreso C, B, A. Para que el ataque sea exitoso, el paquete enviado desde A debe parecer que fue enviado desde T, además, si el ataque es para completar algo, la réplica de B debe dirigirse a A no a T. Primero el atacante toma control del host A y cambia su dirección IP a T, entonces envía un paquete a B, especificando la ruta de la fuente con A como último trayecto de la ruta. El host B acepta la petición como si viniera de T y reenvía su paquete hacia A. Un firewall puede proteger una red interna contra los ataques de suplantación de IP mediante el rechazo de los paquetes entrantes direccionados desde cierta fuente. Los hosts dentro del firewall no deben especificar a algún host externo para que sea confiable y el firewall debe rechazar cualquier paquete entrante cuya dirección fuente se encuentra dentro de la red interna. El firewall debe bloquear los paquetes salientes cuya dirección fuente no está dentro de la red interna, esto es para evitar que se convierta en el origen de un ataque. 3.2 Conexiones secuestradas (hijacking): Un atacante que gana el control de una sesión activa gana los derechos del usuario legítimo. La autenticación y los servicios de control de acceso no son útiles ya que se toma posesión de la sesión después de la autenticación y de que el control de acceso asume que el usuario es el que está autenticado. En los sistemas UNIX en Internet el atacante penetra al sistema utilizando cualquier método, modifica el kernel para permitir el secuestro de cualquier sesión activa. Sistemas Distribuidos Firewalls 5 de 22

6 3.3 Ataques por husmeo (sniffing) o escucha secreta (eavesdropping): Internet ha sufrido ataques que recolectan contraseñas u otra información que puede ser utilizada por usuarios no autorizados. A estos ataques se les llama ataques por husmeo ya que utilizan herramientas de monitoreo de red llamadas sniffers (olfateadores o husmeadores). El monitoreo se basa en una característica de interfase de red llamada modo promiscuo, la cual es útil para la administración de la red pero no para la seguridad. Una computadora cuya unidad de interfase de red se encuentra en modo promiscuo puede leer todos los paquetes que pasan por la red. Un atacante que tome posesión de una computadora así, ejecuta un programa que captura los primeros datos transmitidos para cada sesión de la red (como el Telnet y el FTP). Los datos incluyen el nombre del host remoto, el nombre de la cuenta y la contraseña. 3.4 Denegación del servicio (Denial of Service - DoS): Impide o inhibe el uso normal o la gestión de recursos informáticos y de comunicaciones. Por ejemplo, el intruso podría suprimir todos los mensajes dirigidos a una determinada entidad o se podría interrumpir el servicio de una red inundándola con mensajes espurios. 4 Qué es un Firewall? Los Firewalls (o cortafuegos) son sistemas o grupos de sistemas que implementan una política de control de acceso entre dos redes, prohibiendo o permitiendo explícitamente una determinada comunicación, en función del lugar de procedencia, el tipo de servicio o los parámetros que se configuren. Estos dispositivos se colocan en el acceso de una red considerada segura a otra que se considera insegura (como Internet), de modo que se controlan los mensajes que pasan de una a otra y se permite su progresión o no. Este control se realiza de muy diversas maneras (por tipo de servicio, por usuario, por direcciones de origen y/o destino...). Además, la mayoría de los firewalls informan de los intentos de acceso no permitido, estableciendo acciones de alarma al detectarse actividades sospechosas, y generan estadísticas varias. El firewall constituye un punto donde fijar toda la seguridad, en lugar de obligar a una más cuidadosa gestión de todos los sistemas. Por ello debe ser un elemento de la máxima confianza, cuestión fundamental a la hora de su elección. Por ser los elementos más expuestos a ataques (deberían ser transparentes para evitarlo), deben someterse a auditorías periódicas, de manera que sean realmente eficaces en una detección precoz de problemas que puedan afectar a la integridad (accesos fraudulentos) o a las prestaciones (tráfico que deteriore la capacidad del enlace con Internet). (3) El primer firewall en un ordenador fue una máquina Unix que no realizaba tareas de encaminamiento con conexiones a dos redes distintas. Una tarjeta de red conectada a Internet y la otra al LAN privado. Si quería acceder a Internet desde la red privada, tenía que registrarse en un servidor Unix. Por lo tanto, se utilizaban los recursos del sistema para acceder a Internet. Por ejemplo, podría utilizar X-windows para ejecutar el navegador de Netscape con el sistema de firewall y poder usarlo en una estación de trabajo. Con el navegador ejecutado en el firewall se tiene acceso a dos redes. (2) Sistemas Distribuidos Firewalls 6 de 22

7 5 Tecnologías de Firewalls Un firewall puede clasificarse dentro de uno de los siguientes tipos o como una combinación de los mismos: 1. Packet Filtering Firewall (Filtrado de Paquetes) 2. Stateful Inspection Firewall (inspección con estado) 3. Servidor Proxy a nivel de Aplicación (Aplication Level Firewall Proxy) 4. Servidor Proxy SOCKS 5.1 Packet Filtering Firewall (Filtrado de Paquetes) El sistema de filtrado de paquetes encamina paquetes entre hosts internos y externos, pero de manera selectiva. Permite bloquear cierto tipo de paquetes de acuerdo con la política de seguridad de la red. El tipo de encaminamiento usado para filtrar paquetes en un firewall es conocido como encaminamiento de protección - el paquete es analizado detalladamente y se determina si éste puede ser encaminado o no a la dirección destino y si debe o no ser encaminado con base en la política de seguridad. Realizar el encaminamiento y la decisión de encaminar es la única protección al sistema. Si la seguridad falla, la red interna está expuesta. Un encaminamiento de protección puede permitir o denegar un servicio, pero no puede proteger operaciones individuales dentro del servicio. Los firewalls de este tipo trabajan a nivel de red ya que generalmente, toman las decisiones basándose en el origen, dirección de destino y puertos que leen en la cabecera de los paquetes IP. Algunas de las políticas que el filtrado comúnmente hace cumplir son: Permitir los servicios de correo electrónico y de directorio de ambos lados, el Telnet saliente; denegar todo lo demás. Permitir la comunicación sólo con un conjunto designado de hosts. Denegar el tráfico entrante a un conjunto designado de puertos (ya que proveen servicios que son riesgosos). Permitir sólo los servicios de correo electrónico y directorio. Sistemas Distribuidos Firewalls 7 de 22

8 Los encaminadores son utilizados para construir firewalls de filtrado de paquetes alrededor de las LANs. Las cajas comerciales que cuestan casi lo mismo que una estación de trabajo permite a los administradores de la LAN especificar sus propias políticas de firewall. Los encaminadores se ejecutan bien y son transparentes para los usuarios. Un encaminador puede redireccionar un paquete, así el tráfico de un usuario remoto va a través de una computadora de entrada que implementa la autenticación más compresiva y audita antes que permitir a un usuario remoto tener acceso al host destino. El filtrado de paquetes tiene varias desventajas serias, esto recae en las direcciones cuya integridad no puede ser garantizada; la suplantación de IP puede derrotar cualquier control de acceso basado en el host fuente. Si la política de seguridad no es muy simple, las reglas de filtrado de paquetes se vuelven complejas y difíciles de escribir correctamente. Sistemas Distribuidos Firewalls 8 de 22

9 5.2 Stateful Inspection Firewall (inspección con estado) Es el método más actual de inspección. Consiste en una inspección lógica que, añadida al filtrado de paquetes da un alto nivel de protección. El " Stateful Inspection " analiza cada paquete de salida (solicitud) a Internet, y analiza los paquetes de respuesta. Si ambos no mantienen una coherencia, los descarta. Es decir, descarta automáticamente todo aquello que no es razonable en un contexto determinado a fin de evitar ataques desde el exterior. Un Ejemplo de este es el Firewall-1. Este inserta un módulo denominado Inspection Module en el núcleo del sistema operativo sobre el que se instala, en el nivel software más bajo posible (por debajo incluso del nivel de red), tal como se muestra en la figura ; así, desde ese nivel tan bajo, puede interceptar y analizar todos los paquetes antes de que lleguen al resto del sistema: se garantiza que ningún paquete es procesado por ninguno de los protocolos superiores hasta que Firewall-1 comprueba que no viola la política de seguridad definida en el cortafuegos. Es capaz de analizar la información de una trama en cada uno de los siete niveles OSI y a la vez analizar información de estado registrada de anteriores comunicaciones; el cortafuegos entiende la estructura de los diferentes protocolos TCP/IP (incluso de los ubicados en la capa de aplicación), de forma que el Inspection Module extrae la información relevante de cada paquete para construir tablas dinámicas que se actualizan constantemente, tablas que el firewall utiliza para analizar comunicaciones posteriores. En el módulo de inspección se implantan las políticas de seguridad definidas en cada organización mediante un lenguaje denominado INSPECT, también diseñado por Check Point Software Technologies; desde un interfaz se genera un script en este lenguaje, que se compila y se inserta en el Inspection Module. Sistemas Distribuidos Firewalls 9 de 22

10 5.3 Proxy Firewall a nivel de Aplicación (Aplication Level Firewall Proxy) Comparado con el filtrado de paquetes, un gateway de aplicación utiliza el más alto protocolo de la capa de información e implementa servicios adicionales de seguridad. Es típicamente implementado en una o más computadoras anfitrionas (hosts) y envuelven software personalizado y desarrollado para la organización. Un gateway de aplicación provee servicios proxy que controlan el acceso a los servicios reales como el Telnet, FTP y X Windows. Para el Telnet, esto trabajaría como sigue: 1. Un usuario hace un Telnet al gateway y entra el nombre de un host destino. 2. El gateway verifica la dirección IP de la fuente y acepta o rechaza el intento. 3. El usuario es autenticado. 4. El servicio proxy crea una conexión Telnet entre el gateway y el host destino. 5. El servicio proxy pasa datos entre las dos conexiones. 6. El gateway registra la conexión. Muchas organizaciones utilizan gateways de correo. Un gateway puede ejecutar la identificación del usuario y la autenticación para los usuarios remotos. Puede permitir el tráfico limitado entre dos subredes. Un gateway puede controlar el flujo de información saliente. Una desventaja de los gateways de aplicación es su incompatibilidad con el cifrado punto a punto que se realiza en la transportación o capa de red. El gateways necesita el más alto protocolo de la capa de información así tendría que descifrar y volver a cifrar, entonces el cifrado no puede ser punto a punto. Sistemas Distribuidos Firewalls 10 de 22

11 5.4 Servidor Proxy SOCKS Un servidor proxy SOCKS se parece bastante a un panel de conmutación. Tan sólo establece la conexión entre su sistema y otro sistema externo. La mayoría de los servidores SOCKS presentan el inconveniente de que sólo trabajan con conexiones del tipo TCP y como firewalls no suministran autenticación para los usuarios. Sin embargo, su ventaja es que registran los sitios a los que cada usuario se ha conectado. Sistemas Distribuidos Firewalls 11 de 22

12 6 Ejemplo sobre el funcionamiento de los distintos Firewalls para el caso de FTP El FTP ( File Transfer Protocol) se utiliza para la transferencia de archivos. Utiliza dos conexiones trasparentes para el usuario Una de control con el puerto 21 del servidor Se envían comandos y respuestas Dura mientras dure la conexión ftp entre cliente y servidor Una de datos Se crea y se destruye cada vez que se transmite un fichero cuando se hace un dir, se transmite un fichero. dura sólo mientras dura esa transferencia La conexión de datos se abre y se cierra cada vez que se tiene que usar. La apertura de conexión la inicia siempre el cliente (get, put, dir) Elige un puerto local libre y queda a la escucha Envía este nº de puerto al servidor usando el comando PORT El servidor abre una conexión de datos desde su puerto 20 al indicado en el comando PORT del cliente. Sistemas Distribuidos Firewalls 12 de 22

13 Utilizando un Filtrado de Paquetes. El filtrado de paquetes cuenta con dos elecciones para las conexiones salientes de FTP. Puede dejar abierto el rango superior de puertos (mayores que 1023) para permitir que la sesión de transferencia ubique dinámicamente los puertos, pero esto expone la red interna; o bien puede cerrar todo el rango superior de puertos para asegurar la red interna. Esto no es aceptable para un usuario en la actualidad. Sistemas Distribuidos Firewalls 13 de 22

14 Utilizando un Proxy a nivel de aplicación Utilizando un proxy para el FTP, la aplicación duplica el numero de sesiones actuando como un agente entre el cliente y el servidor obviamente tiene una baja performance. En resumen cada servicio necesita al proxy como propietario. El numero de servicios puede ser limitado. Esto además expone al sistema operativo a amenazas externas Sistemas Distribuidos Firewalls 14 de 22

15 6.5 Utilizando un Stateful Inspection Firewall. El Stateful Inspection firewall rastrea o sigue la sesión de FTP examinando los datos de la capa de aplicación. Cuado el cliente peticiona que el servidor genere una conexión (comando FTP PORT), el firewall extrae el número de puerto del pedido. Ambas direcciones IP, la del cliente y la del servidor son guardadas en una lista de peticiones pendientes. Cuando la conexión FTP es intentada el firewall verifica que la respuesta al pedido sea valida. La lista de conexiones es mantenida dinámicamente por lo tanto solo el puerto de FTP (21) se requiere que este abierto. Apenas la sesión es cerrada los puertos son bloqueados. Sistemas Distribuidos Firewalls 15 de 22

16 7 8 Arquitecturas de firewalls 8.1 Screening router ( router con filtrado de paquetes ) Un firewall sencillo puede consistir en un dispositivo capaz de filtrar paquetes, un choke: se trata del modelo de cortafuegos más antiguo, basado simplemente en aprovechar la capacidad de algunos routers (denominados screening routers) para hacer un enrutado selectivo, es decir, para bloquear o permitir el tránsito de paquetes mediante listas de control de acceso en función de ciertas características de las tramas, de forma que el router actúe como pasarela (gateway) de toda la red. Generalmente estas características para determinar el filtrado son las direcciones origen y destino, el protocolo, los puertos origen y destino (en el caso de TCP y UDP), el tipo de mensaje (en el caso de ICMP) y los interfaces de entrada y salida de la trama en el router. En un cortafuegos de filtrado de paquetes los accesos desde la red interna al exterior que no están bloqueados son directos (no hay necesidad de utilizar proxies, como sucede en los cortafuegos basados en una máquina con dos tarjetas de red), por lo que esta arquitectura es la más simple de implementar (en muchos casos sobre hardware ya ubicado en la red) y la más utilizada en organizaciones que no precisan grandes niveles de seguridad. No obstante, elegir un cortafuegos tan sencillo puede no ser recomendable en ciertas situaciones, o para organizaciones que requieren una mayor seguridad para su subred, ya que los simples chokes presentan más desventajas que beneficios para la red protegida. El principal problema es que no disponen de un sistema de monitorización sofisticado, por lo que muchas veces el administrador no puede determinar si el router está siendo atacado o si su seguridad ha sido comprometida. Además las reglas de filtrado pueden llegar a ser complejas de establecer, y por tanto es difícil comprobar su corrección: habitualmente sólo se comprueba a través de pruebas directas, con los problemas de seguridad que esto puede implicar. Es general se bloquean todos los servicios que no se utilicen desde el exterior (especialmente NFS, X-windows y TFTP), así como el acceso desde máquinas no confiables hacia nuestra subred. 8.2 Sistemas Distribuidos Firewalls 16 de 22

17 8.3 Dual-Homed Host (anfitriones de bos bases) El segundo modelo de cortafuegos está formado por simples máquinas Unix (o Linux) equipadas con dos o más tarjetas de red y denominadas host (anfitriones) de dos bases (dual-homed hosts) o multibase (multi-homed hosts), y en las que una de las tarjetas se suele conectar a la red interna a proteger y la otra a la red externa a la organización. En esta configuración el choke y el bastión coinciden en el mismo equipo: la máquina Unix. El sistema ha de ejecutar al menos un servidor proxy para cada uno de los servicios que deseemos pasar a través del cortafuegos, y también es necesario que el IP Forwarding esté deshabilitado en el equipo: aunque una máquina con dos tarjetas puede actuar como un router, para aislar el tráfico entre la red interna y la externa es necesario que el choke no enrute paquetes entre ellas. Así, los sistemas externos verán al host a través de una de las tarjetas y los internos a través de la otra, pero entre las dos partes no puede existir ningún tipo de tráfico que no pase por el cortafuegos: todo el intercambio de datos entre las redes se ha de realizar bien a través de servidores proxy situados en el host bastión o bien permitiendo a los usuarios conectar directamente al mismo. La segunda de estas aproximaciones es sin duda poco recomendable, ya que un usuario que consiga aumentar su nivel de privilegios en el sistema puede romper toda la protección del cortafuegos, por ejemplo reactivando el IP Forwarding; además - esto ya no relativo a la seguridad sino a la funcionalidad del sistema - suele ser incómodo para los usuarios tener que acceder a una máquina que haga de puente entre ellos e Internet. De esta forma, la ubicación de proxies es lo más recomendable, pero puede ser problemático el configurar cierto tipo de servicios o protocolos que no se diseñaron teniendo en cuenta la existencia de un proxy entre los dos extremos de una conexión. 8.4 Sistemas Distribuidos Firewalls 17 de 22

18 Screened Host Un paso más en términos de seguridad de los cortafuegos es la arquitectura screened host o chokegate, que combina un router con un host bastión, y donde el principal nivel de seguridad proviene del filtrado de paquetes (es decir, el router es la primera y más importante línea de defensa). En la máquina bastión, único sistema accesible desde el exterior, se ejecutan los proxies de las aplicaciones, mientras que el choke se encarga de filtrar los paquetes que se puedan considerar peligrosos para la seguridad de la red interna, permitiendo únicamente la comunicación con un reducido número de servicios. Pero, dónde situar el sistema bastión, en la red interna o en el exterior del router? La mayoría de autores, recomiendan situar el router entre la red exterior y el host bastión, pero otros defienden justo lo contrario: situar el bastión en la red exterior no provoca aparentemente una degradación de la seguridad, y además ayuda al administrador a comprender la necesidad de un elevado nivel de fiabilidad en esta máquina, ya que está sujeta a ataques externos y no tiene por qué ser un host fiable; de cualquier forma, la `no-degradación' de la seguridad mediante esta aproximación es más que discutible, ya que habitualmente es más fácil de proteger un router que una máquina con un operativo de propósito general, como Unix, que además por definición ha de ofrecer ciertos servicios. En todo caso, aparte de por estos matices, asumiremos la primera opción por considerarla mayoritaria entre los expertos en seguridad informática; así, cuando una máquina de la red interna desea comunicarse con el exterior existen dos posibilidades: El choke permite la salida de algunos servicios a todas o a parte de las máquinas internas a través de un simple filtrado de paquetes. El choke prohibe todo el tráfico entre máquinas de la red interna y el exterior, permitiendo sólo la salida de ciertos servicios que provienen de la máquina bastión y que han sido autorizados por la política de seguridad de la organización. Así, estamos obligando a los usuarios a que las conexiones con el exterior se realicen a través de los servidores proxy situados en el bastión. La primera aproximación entraña un mayor nivel de complejidad a la hora de configurar las listas de control de acceso del router, mientras que si elegimos la segunda la dificultad está en configurar los servidores proxy (no todas las aplicaciones soportan bien estos mecanismos) en el host bastión. Desde el punto de vista de la seguridad es más recomendable la segunda opción, ya que la probabilidad de dejar escapar tráfico no deseado es menor. Por supuesto, en función de la política de seguridad que definamos en nuestro entorno, se pueden combinar ambas aproximaciones, por ejemplo permitiendo el tráfico entre las máquinas internas y el exterior de ciertos protocolos difíciles de encaminar a través de un proxy o sencillamente que no entrañen mucho riesgo para nuestra seguridad (típicamente, DNS...), y obligando para el resto de servicios a utilizar el host bastión. La arquitectura screened host puede parecer a primera vista más peligrosa que la basada en una simple máquina con varias interfaces de red; en primer lugar, tenemos no uno sino dos sistemas accesibles desde el exterior, por lo que ambos han de ser configurados con las máximas medidas de seguridad. Además, la mayor complejidad de diseño hace más fácil la presencia de errores que puedan desembocar en una violación de la política implantada, mientras que con un host con dos tarjetas nos aseguramos de que únicamente aquellos servicios con un proxy configurado podrán generar tráfico entre la red externa y la interna (a no ser que por error activemos el IP Forwarding). Sin embargo, aunque estos problemas son reales, se solventan tomando las precauciones necesarias a la hora de diseñar e implantar el cortafuegos y definiendo una política de seguridad correcta. De cualquier forma, en la práctica esta arquitectura de cortafuegos está cada vez más en desuso debido a que presenta dos puntos únicos de fallo, el choke y el bastión: si un atacante consigue controlar cualquiera de ellos, Sistemas Distribuidos Firewalls 18 de 22

19 tiene acceso a toda la red protegida; por tanto, es más popular, y recomendable, una arquitectura screened subnet, de la que vamos a hablar a continuación. 8.7 Screened Subnet (DMZ) La arquitectura Screened Subnet, también conocida como red perimétrica o De-Militarized Zone (DMZ) es con diferencia la más utilizada e implantada hoy en día, ya que añade un nivel de seguridad en las arquitecturas de cortafuegos situando una subred (DMZ) entre las redes externa e interna, de forma que se consiguen reducir los efectos de un ataque exitoso al host bastión: como hemos venido comentando, en los modelos anteriores toda la seguridad se centraba en el bastión16.1, de forma que si la seguridad del mismo se veía comprometida, la amenaza se extendía automáticamente al resto de la red. Como la máquina bastión es un objetivo interesante para muchos piratas, la arquitectura DMZ intenta aislarla en una red perimétrica de forma que un intruso que accede a esta máquina no consiga un acceso total a la subred protegida. Screened subnet es la arquitectura más segura, pero también la más compleja; se utilizan dos routers, denominados exterior e interior, conectados ambos a la red perimétrica como se muestra en la figura En esta red perimétrica, que constituye el sistema cortafuegos, se incluye el host bastión y también se podrían incluir sistemas que requieran un acceso controlado, como baterías de módems o el servidor de correo, que serán los únicos elementos visibles desde fuera de nuestra red. El router exterior tiene como misión bloquear el tráfico no deseado en ambos sentidos (hacia la red perimétrica y hacia la red externa), mientras que el interior hace lo mismo pero con el tráfico entre la red interna y la perimétrica: así, un atacante habría de romper la seguridad de ambos routers para acceder a la red protegida; incluso es posible implementar una zona desmilitarizada con un único router que posea tres o más interfaces de red, pero en este caso si se compromete este único elemento se rompe toda nuestra seguridad, frente al caso general en que hay que comprometer ambos, tanto el externo como el interno. También podemos, si necesitamos mayores niveles de seguridad, definir varias redes perimétricas en serie, situando los servicios que requieran de menor fiabilidad en Sistemas Distribuidos Firewalls 19 de 22

20 las redes más externas: así, el atacante habrá de saltar por todas y cada una de ellas para acceder a nuestros equipos; evidentemente, si en cada red perimétrica se siguen las mismas reglas de filtrado, niveles adicionales no proporcionan mayor seguridad. En el capítulo 4 de [CZ95] podemos consultar con más detalle las funciones de cada elemento del sistema cortafuegos, así como aspectos de su implementación y configuración. Arquitectura DMZ. Esta arquitectura de cortafuegos elimina los puntos únicos de fallo presentes en las anteriores: antes de llegar al bastión (por definición, el sistema más vulnerable) un atacante ha de saltarse las medidas de seguridad impuestas por el enrutador externo. Si lo consigue, como hemos aislado la máquina bastión en una subred estamos reduciendo el impacto de un atacante que logre controlarlo, ya que antes de llegar a la red interna ha de comprometer también al segundo router; en este caso extremo (si un pirata logra comprometer el segundo router), la arquitectura DMZ no es mejor que un screened host. Por supuesto, en cualquiera de los tres casos (compromiso del router externo, del host bastión, o del router interno) las actividades de un pirata pueden violar nuestra seguridad, pero de forma parcial: por ejemplo, simplemente accediendo al primer enrutador puede aislar toda nuestra organización del exterior, creando una negación de servicio importante, pero esto suele ser menos grave que si lograra acceso a la red protegida. Aunque, como hemos dicho antes, la arquitectura DMZ es la que mayores niveles de seguridad puede proporcionar, no se trata de la panacea de los cortafuegos. Evidentemente existen problemas relacionados con este modelo: por ejemplo, se puede utilizar el firewall para que los servicios fiables pasen directamente sin acceder al bastión, lo que puede dar lugar a un incumplimiento de la política de la organización. Un segundo problema, quizás más grave, es que la mayor parte de la seguridad reside en los routers utilizados; como hemos dicho antes las reglas de filtrado sobre estos elementos pueden ser complicadas de configurar y comprobar, lo que puede dar lugar a errores que abran importantes brechas de seguridad en nuestro sistema. 9 Sistemas Distribuidos Firewalls 20 de 22