UD4 Instalación y configuración de Cortafuegos

Transcripción

1 UD4 Instalación y configuración de Cortafuegos José Jiménez Arias IES Gregorio Prieto

2 ÍNDICE 1. Cortafuegos: a- Concepto. Utilización de cortafuegos. b- Historia de los cortafuegos. c- Funciones principales de un cortafuegos: Filtrado de paquetes de datos, filtrado por aplicación, Reglas de filtrado y registros de sucesos de un cortafuegos. d- Listas de control de acceso (ACL). e- Ventajas y Limitaciones de los cortafuegos. f- Políticas de cortafuegos. g- Clasificación por ubicación. h- Clasificación por tecnología. i- Clasificación por arquitectura. j- Pruebas de funcionamiento. Sondeo. 2. Cortafuegos software y hardware: a- Cortafuegos software integrados en los sistemas operativos. b- Cortafuegos software libres y propietarios. c- Distribuciones libres para implementar cortafuegos en máquinas dedicadas. d- Cortafuegos hardware. Gestión Unificada de Amenazas Firewall UTM (Unified Threat Management). 2

3 1. Cortafuegos: a- Concepto. Utilización de cortafuegos. Un cortafuegos (firewall) es una parte de un sistema o una red que está diseñada para bloquear el acceso no autorizado, permitiendo solo comunicaciones autorizadas. Se trata de un dispositivo o conjunto de dispositivos configurados para permitir, limitar, cifrar, descifrar, el tráfico entre los diferentes ámbitos sobre la base de un conjunto de normas y otros criterios. Se utilizan con frecuencia para evitar que los usuarios de Internet no autorizados tengan acceso a redes privadas conectadas a Internet, especialmente intranets. Todos los mensajes que entren o salgan de la intranet pasan a través del cortafuegos, que examina cada mensaje y bloquea aquellos que no cumplen los criterios de seguridad especificados. También es frecuente conectar al cortafuegos a una tercera red, llamada Zona desmilitarizada o DMZ, en la que se ubican los servidores de la organización que deben permanecer accesibles desde la red exterior. Un cortafuegos correctamente configurado añade una protección necesaria a la red, pero que en ningún caso debe considerarse suficiente. La seguridad informática abarca más ámbitos y más niveles de trabajo y protección. 3

4 b- Historia de los cortafuegos. UD4 Instalación y configuración de Cortafuegos El término "firewall / fireblock" significaba originalmente una pared para confinar un incendio o riesgo potencial de incendio en un edificio. Más adelante se usa para referirse a las estructuras similares, como la hoja de metal que separa el compartimiento del motor de un vehículo o una aeronave de la cabina. La tecnología de los cortafuegos surgió a finales de 1980, cuando Internet era una tecnología bastante nueva en cuanto a su uso global y la conectividad. Los predecesores de los cortafuegos para la seguridad de la red fueron los routers utilizados a finales de 1980, que mantenían a las redes separadas unas de otras. La visión de Internet como una comunidad relativamente pequeña de usuarios con máquinas compatibles, que valoraba la predisposición para el intercambio y la colaboración, terminó con una serie de importantes violaciones de seguridad de Internet que se produjo a finales de los 80: Clifford Stoll, que descubrió la forma de manipular el sistema de espionaje alemán. Bill Cheswick, cuando en 1992 instaló una cárcel simple electrónica para observar a un atacante. En 1988, un empleado del Centro de Investigación Ames de la NASA, en California, envió una nota por correo electrónico a sus colegas que decía: "Estamos bajo el ataque de un virus de Internet! Ha llegado a Berkeley, UC San Diego, Lawrence Livermore, Stanford y la NASA Ames." El Gusano Morris, que se extendió a través de múltiples vulnerabilidades en las máquinas de la época. Aunque no era malicioso, el gusano Morris fue el primer ataque a gran escala sobre la seguridad en Internet; la red no esperaba ni estaba preparada para hacer frente a su ataque. 4

5 Primera generación cortafuegos de red: filtrado de paquetes El primer documento publicado para la tecnología firewall data de 1988, cuando el equipo de ingenieros Digital Equipment Corporation (DEC) desarrolló los sistemas de filtro conocidos como cortafuegos de filtrado de paquetes. Este sistema, bastante básico, fue la primera generación de lo que se convertiría en una característica más técnica y evolucionada de la seguridad de Internet. En AT&T Bell, Bill Cheswick y Steve Bellovin, continuaban sus investigaciones en el filtrado de paquetes y desarrollaron un modelo de trabajo para su propia empresa, con base en su arquitectura original de la primera generación. El filtrado de paquetes actúa mediante la inspección de los paquetes (que representan la unidad básica de transferencia de datos entre ordenadores en Internet). Si un paquete coincide con el conjunto de reglas del filtro, el paquete se reducirá (descarte silencioso) o será rechazado (desprendiéndose de él y enviando una respuesta de error al emisor). Este tipo de filtrado de paquetes no presta atención a si el paquete es parte de una secuencia existente de tráfico. En su lugar, se filtra cada paquete basándose únicamente en la información contenida en el paquete en sí (por lo general utiliza una combinación del emisor del paquete y la dirección de destino, su protocolo, y, en el tráfico TCP y UDP, el número de puerto). Los protocolos TCP y UDP comprenden la mayor parte de comunicación a través de Internet, utilizando por convención puertos bien conocidos para determinados tipos de tráfico, por lo que un filtro de paquetes puede distinguir entre ambos tipos de tráfico (ya sean navegación web, impresión remota, envío y recepción de correo electrónico, transferencia de archivos ); a menos que las máquinas a cada lado del filtro de paquetes son a la vez utilizando los mismos puertos no estándar. El filtrado de paquetes llevado a cabo por un cortafuegos actúa en las tres primeras capas del modelo de referencia OSI, lo que significa que todo el trabajo lo realiza entre la red y las capas físicas. Cuando el emisor origina un paquete y es filtrado por el cortafuegos, éste último comprueba las reglas de filtrado de paquetes que lleva configuradas, aceptando o rechazando el paquete en consecuencia. Cuando el paquete pasa a través de cortafuegos, éste filtra el paquete mediante un protocolo y un número de puerto base (GSS). Por ejemplo, si existe una norma en el cortafuegos para bloquear el acceso telnet, bloqueará el protocolo IP para el número de puerto 23. Segunda generación cortafuegos de estado Durante 1989 y 1990, tres colegas de los laboratorios AT&T Bell, Dave Presetto, Janardan Sharma, y Nigam Kshitij, desarrollaron la tercera generación de servidores de seguridad. Esta tercera generación cortafuegos tiene en cuenta además la colocación de cada paquete individual dentro de una serie de paquetes. Esta tecnología se conoce generalmente como la inspección de estado de paquetes, ya que mantiene registros de todas las conexiones que pasan por el cortafuegos, siendo capaz de determinar si un paquete indica el inicio de una nueva conexión, es parte de una conexión existente, o es un paquete erróneo. Este tipo de cortafuegos pueden ayudar a prevenir ataques contra conexiones en curso o ciertos ataques de denegación de servicio. 5

6 Tercera generación - cortafuegos de aplicación Son aquellos que actúan sobre la capa de aplicación del modelo OSI. La clave de un cortafuegos de aplicación es que puede entender ciertas aplicaciones y protocolos (por ejemplo: protocolo de transferencia de ficheros, DNS o navegación web), y permite detectar si un protocolo no deseado se coló a través de un puerto no estándar o si se está abusando de un protocolo de forma perjudicial. Un cortafuegos de aplicación es mucho más seguro y fiable cuando se compara con un cortafuegos de filtrado de paquetes, ya que repercute en las siete capas del modelo de referencia OSI. En esencia es similar a un cortafuegos de filtrado de paquetes, con la diferencia de que también podemos filtrar el contenido del paquete. El mejor ejemplo de cortafuegos de aplicación es ISA (Internet Security and Acceleration). Un cortafuegos de aplicación puede filtrar protocolos de capas superiores tales como FTP, TELNET, DNS, DHCP, HTTP, TCP, UDP y TFTP (GSS). Por ejemplo, si una organización quiere bloquear toda la información relacionada con una palabra en concreto, puede habilitarse el filtrado de contenido para bloquear esa palabra en particular. No obstante, los cortafuegos de aplicación resultan más lentos que los de estado. Acontecimientos posteriores En 1992, Bob Braden y DeSchon Annette, de la Universidad del Sur de California (USC), dan forma al concepto de cortafuegos. Su producto, conocido como "Visas", fue el primer sistema con una interfaz gráfica con colores e iconos, fácilmente implementable y compatible con sistemas operativos como Windows de Microsoft o MacOS de Apple. En 1994, una compañía israelí llamada Check Point Software Technologies lo patentó como software denominándolo FireWall-1. La funcionalidad existente de inspección profunda de paquetes en los actuales cortafuegos puede ser compartida por los sistemas de prevención de intrusiones (IPS). Actualmente, el Grupo de Trabajo de Comunicación Middlebox de la Internet Engineering Task Force (IETF) está trabajando en la estandarización de protocolos para la gestión de cortafuegos. Otro de los ejes de desarrollo consiste en integrar la identidad de los usuarios dentro del conjunto de reglas del cortafuegos. Algunos cortafuegos proporcionan características tales como unir a las identidades de usuario con las direcciones IP o MAC. Otros, como el cortafuegos NuFW, proporcionan características de identificación real solicitando la firma del usuario para cada conexión. 6

7 c- Funciones principales de un cortafuegos: Filtrado de paquetes de datos, filtrado por aplicación, Reglas de filtrado y registros de sucesos de un cortafuegos. Filtrado de paquetes de datos. Un sistema de firewall opera según el principio del filtrado simple de paquetes, o filtrado de paquetes stateless. Analiza el encabezado de cada paquete de datos (datagrama) que se ha intercambiado entre un ordenador de red interna y un ordenador externo. Así, los paquetes de datos que se han intercambiado entre un ordenador con red externa y uno con red interna pasan por el firewall y contienen los siguientes encabezados, los cuales son analizados sistemáticamente por el firewall: La dirección IP del ordenador que envía los paquetes La dirección IP del ordenador que recibe los paquetes El tipo de paquete (TCP, UDP, etc.) El número de puerto (recordatorio: un puerto es un número asociado a un servicio o a una aplicación de red). Las direcciones IP que los paquetes contienen permiten identificar el ordenador que envía los paquetes y el ordenador de destino, mientras que el tipo de paquete y el número de puerto indican el tipo de servicio que se utiliza. Filtrado por aplicación. Permite filtrar las comunicaciones de cada aplicación. Opera en el nivel 7 (capa de aplicaciones) del modelo OSI, a diferencia del filtrado simple de paquetes (nivel 4). El filtrado de aplicaciones implica el conocimiento de los protocolos utilizados por cada aplicación. Como su nombre lo indica, el filtrado de aplicaciones permite filtrar las comunicaciones de cada aplicación. El filtrado de aplicaciones implica el conocimiento de las aplicaciones en la red y un gran entendimiento de la forma en que en ésta se estructuran los datos intercambiados (puertos, etc.). Un firewall que ejecuta un filtrado de aplicaciones se denomina generalmente "pasarela de aplicaciones" o ("proxy"), ya que actúa como relé entre dos redes mediante la intervención y la realización de una evaluación completa del contenido en los paquetes intercambiados. Además, el filtrado de aplicaciones permite la destrucción de los encabezados que preceden los mensajes de aplicaciones, lo cual proporciona una mayor seguridad. 7

8 Este tipo de firewall es muy efectivo y, si se ejecuta correctamente, asegura una buena protección de la red. Por otra parte, el análisis detallado de los datos de la aplicación requiere una gran capacidad de procesamiento, lo que a menudo implica la ralentización de las comunicaciones, ya que cada paquete debe analizarse minuciosamente. Además, el proxy debe interpretar una gran variedad de protocolos y conocer las vulnerabilidades relacionadas para ser efectivo. Finalmente, un sistema como este podría tener vulnerabilidades debido a que interpreta pedidos que pasan a través de sus brechas. Por lo tanto, el firewall (dinámico o no) debería disociarse del proxy para reducir los riesgos de comprometer al sistema. Reglas de filtrado. La familia de los firewalls de filtrado de paquetes sobre la pila de protocolos TCP/IP, son llamados IPFW. Los firewalls, son principalmente, una herramienta de seguridad y prevención ante ataques externos. Es decir, un IPFW funciona filtrando las comunicaciones en ambos sentidos entre su interfaz interna (la que lo conecta a su red) y la externa. El mecanismo de funcionamiento para realizar este filtrado es a través de una lista de reglas. Las reglas, pueden ser de dos tipos; de aceptación y de rechazo, aunque en realidad, éste última se descompone en dos subtipos, es decir, en términos de aceptación, rechazo y denegación. En iptables, un IPFW se corresponde con los argumentos ACCEPT, REJECT y DROP, respectivamente. La lista de reglas de entrada (del exterior hacia la red) es totalmente independiente de la lista de reglas de filtrado de salida (de la red hacia el exterior). Las distintas listas de reglas se llaman cadenas (chains). Hemos hablado de aceptación, rechazo y denegación. Las dos últimas son bastante similares, la diferencia radica en lo siguiente, cuando un IPFW rechaza una petición externa, envía una respuesta negativa diciendo que no acepta la comunicación, por el contrario, si descarta una petición, no envía ningún tipo de respuesta, es decir, que el agente externo que intentó establecer contacto, no sabrá siquiera si la máquina existe o está apagada. 8

9 Registros de sucesos de un cortafuegos. Puede habilitar el registro de sucesos del cortafuegos como ayuda para identificar el origen del tráfico entrante y obtener información detallada acerca de qué tráfico se está bloqueando. Normalmente el tráfico saliente correcto no se registra. El tráfico saliente que no está bloqueado no se registra. A continuación vemos un ejemplo de algunos de los datos que se pueden recopilar en un registro de sucesos: Se recopila la siguiente información de registro por cada paquete registrado: Campos Descripción Ejemplo: - Fecha Muestra el año, mes y día en que tuvo lugar la transacción registrada. Las fechas se registran con el formato AAAA-MM-DD, donde AAAA es el año, MM es el mes y DD es el día Hora Muestra la hora, minuto y segundo en que tuvo lugar la transacción registrada. La hora se registra con el formato: HH:MM:SS, donde HH es la hora en formato de 24 horas, MM es el número de minutos y SS es el número de segundos. 21:36:59 - Action Indica el funcionamiento que observó el servidor de seguridad. Las opciones disponibles en el servidor de seguridad son OPEN, CLOSE, DROP e INFO-EVENTS-LOST. Una acción INFO-EVENTS-LOST indica el número de sucesos que ocurrieron pero no se anotaron en el registro. OPEN - Protocolo Muestra el protocolo que se utilizó para la comunicación. Una entrada de protocolo también puede ser un número para los paquetes que no utilizan TCP, UDP o ICMP. TCP - src-ip Muestra la dirección IP, o la dirección IP del equipo, que intenta establecer comunicación dst-ip Muestra la dirección IP de destino de un intento de comunicación src-port Muestra el número del puerto de origen del equipo que realizó el envío. Una entrada src-port se registra en forma de número entero entre 1 y Sólo TCP y UDP muestran una entrada src-port válida. Todos los demás protocolos muestran una entrada src-port de guión (-) dst-port Muestra el número del puerto del equipo de destino. Una entrada dst-port se registra en forma de número entero entre 1 y Sólo TCP y UDP muestran una entrada dst-port válida. Todos los demás protocolos muestran una entrada dst-port de guión (-). 9

10 d- Listas de control de acceso (ACL). Una lista de control de acceso o ACL (del inglés, access control list) es un concepto de seguridad informática usado para fomentar la separación de privilegios. Es una forma de determinar los permisos de acceso apropiados a un determinado objeto, dependiendo de ciertos aspectos del proceso que hace el pedido. Las ACL permiten controlar el flujo del tráfico en equipos de redes, tales como enrutadores y conmutadores. Su principal objetivo es filtrar tráfico, permitiendo o denegando el tráfico de red de acuerdo a alguna condición. Sin embargo, también tienen usos adicionales, como por ejemplo, distinguir "tráfico interesante" (tráfico suficientemente importante como para activar o mantener una conexión) en RDSI. En redes informáticas, ACL se refiere a una lista de reglas que detallan puertos de servicio o nombres de dominios (de redes) que están disponibles en un terminal u otro dispositivo decapa de red, cada uno de ellos con una lista de terminales y/o redes que tienen permiso para usar el servicio. Tanto servidores individuales como enrutadores pueden tener ACL de redes. Las listas de control de acceso pueden configurarse generalmente para controlar tráfico entrante y saliente y en este contexto son similares a un cortafuegos. Existen dos tipos de listas de control de acceso: Listas estándar: donde solo tenemos que especificar una dirección de origen. Listas extendidas: aparecen mínimo el protocolo y una dirección de origen y de destino. 10

11 e- Ventajas y Limitaciones de los cortafuegos. Ventajas: Administran los accesos provenientes de Internet hacia la red privada. Sin un firewall, cada uno de los servidores propios del sistema se exponen al ataque de otros servidores en el Internet. Por ello la seguridad en la red privada depende de la "dureza" con que el firewall cuente. Administran los accesos provenientes de la red privada hacia el Internet. Permite al administrador de la red mantener fuera de la red privada a los usuarios no-autorizados (tal, como, hackers, crakers y espías), prohibiendo potencialmente la entrada o salida de datos. Crea una bitácora en donde se registra el tráfico más significativo que pasa por él. Centraliza los accesos. Protección de información privada: Define que usuarios de la red y que información va a obtener cada uno de ellos. Optimización de acceso: Define de manera directa los protocolos a utilizarse. Protección de intrusos: Protege de intrusos externos impidiendo su acceso a la red. Limitaciones No puede protegerse contra ataques que se efectúen fuera de su punto de operación. Por ejemplo, si existe una conexión PPP ( POINT-TO-POINT ) al Internet. No puede prohibir que se copien datos corporativos en disquetes o memorias portátiles y que estas se substraigan del edificio. No puede contar con un sistema preciso de SCAN para cada tipo de virus que se puedan presentar en los archivos que pasan a través de él, pues el firewall no es un antivirus. No puede ofrecer protección alguna una vez que el agresor lo traspasa. No protege de ataques que no pasen a través del firewall. No protege de la copia de datos importantes si se ha obtenido acceso a ellos. No protege de ataques de ingeniería social (ataques mediante medios legítimos. Por ejemplo el atacante contacta a la víctima haciéndose pasar por empleado de algún banco, y solicita información confidencial, por ejemplo, datos de la tarjeta de crédito, con el pretexto de la renovación de dicha tarjeta). 11

12 f- Políticas de cortafuegos. Hay dos políticas básicas en la configuración de un cortafuegos que cambian radicalmente la filosofía fundamental de la seguridad en la organización: Política restrictiva: Se deniega todo el tráfico excepto el que está explícitamente permitido. El cortafuegos obstruye todo el tráfico y hay que habilitar expresamente el tráfico de los servicios que se necesiten. Esta aproximación es la que suelen utilizar las empresas y organismos gubernamentales. Política permisiva: Se permite todo el tráfico excepto el que esté explícitamente denegado. Cada servicio potencialmente peligroso necesitará ser aislado básicamente caso por caso, mientras que el resto del tráfico no será filtrado. Esta aproximación la suelen utilizar universidades, centros de investigación y servicios públicos de acceso a internet. La política restrictiva es la más segura, ya que es más difícil permitir por error tráfico potencialmente peligroso, mientras que en la política permisiva es posible que no se haya contemplado algún caso de tráfico peligroso y sea permitido por omisión. 12

13 g- Clasificación por ubicación. Son 4: -Cortafuegos personales (para PC). Es un caso particular de cortafuegos que se instala como software en un ordenador, filtrando las comunicaciones entre dicho ordenador y el resto de la red. Se usa por tanto, a nivel personal. Los Cortafuegos personales son programas que se instalan de forma residente en nuestro ordenador y que permiten filtrar y controlar la conexión a la red. En general necesitan un conocimiento adecuado de nuestro ordenador, pues en la actualidad son muchos los programas que realizan conexiones a la red y que son necesarios. Es por ello que no son recomendables para usuarios inexpertos ya que podrían bloquear programas necesarios (incluso hasta la propia posibilidad de navegación por Internet), aunque siempre se tenga a mano la posibilidad de desactivarlos. -Cortafuegos para pequeñas oficinas (SOHO). SOHO es el acrónimo de Small Office-Home Office (Pequeña Oficina-Oficina en Casa). Es un término que se aplica para denominar a los aparatos destinados a un uso profesional o semiprofesional pero que, a diferencia de otros modelos, no están pensados para asumir un gran volumen de trabajo. El entorno SOHO propiamente dicho se refiere a toda la tecnología informática, a muebles funcionales, productos y servicios destinados al armado de una oficina en un ámbito doméstico. -Cortafuegos corporativos. Es un tipo de cortafuego, y como su nombre lo indica, son utilizados mayormente en sistemas interconectados de organizaciones y empresas en donde cierta cantidad de equipos podrían estar conectados en red compartiendo y accediendo a cientos de recursos simultáneamente. Estos sistemas tienen el objetivo de filtrar las comunicaciones en el borde de la organización. Debido a que todo el tráfico que circula desde la red interna hacia fuera y viceversa es elevado, estos sistemas deben ser eficientes en el manejo de todas las conexiones. Una de las ventajas de la utilización de estos dispositivos es que todos los equipos de la organización estarán protegidos por un único sistema, bloqueando o dejando pasar las comunicaciones que el administrador haya dispuesto para toda la organización. Este tipo de dispositivos puede ser de software o hardware y su costo dependerá del tamaño y prestaciones brindadas. 13

14 -Dispositivos específicos (Appliances). Un appliance es una caja autosuficiente diseñada para un propósito específico. Algunos en la actualidad sirven para más de un propósito, y estos con frecuencia son denominados como 'appliances de seguridad' dentro de 'appliances de cortafuegos' por sus distribuidores. Muchos de ellos incluyen funcionalidad de VPN acompañando al cortafuegos, y otros también incluyen funcionalidades como caché web. Algunos distribuidores venden componentes de hardware diferentes (llamados security blades) que se conectan al chasis del cortafuegos. Algunos appliances son básicamente PCs, con los mismos tipos de disco duro, memoria y otros componentes como un PC estándar. Otros se les llama "solid state" porque prácticamente no tienen partes movibles. Utilizan memorias flash sin disco duro. Desde circuitos de alta velocidad en lugar de discos mecánicos hacen el almacenamiento más rápido. 14

15 h- Clasificación por tecnología. Son 4: - Filtros de paquetes. Son una técnica de filtrado de paquetes, que consiste en una lista de órdenes ejecutadas secuencialmente a la entrada/ salida de cada paquete en las interfaces de un router, con las opciones de permitir o bloquear. (permit o deny en Cisco, accept o drop en Linux). Con ello permitimos o denegamos la entrada o salida de paquetes en función de las direcciones IP (a nivel 3) o en función del puerto (a nivel 4) o cualquier otro campo de estas cabeceras. Se trabaja con políticas por defecto. Ejemplos: Iptables en Linux ACL s y ACL s extendidas en Cisco Ventajas: Disponible en casi cualquier routers y en muchos sistemas operativos. Ofrece un alto rendimiento para redes con una carga de tráfico elevada. Inconvenientes: al procesarse los paquetes de forma independiente, no se guarda ninguna información de contexto (no se almacenan históricos de cada paquete), ni se puede analizar a nivel de capa de aplicación, dado que está implementado en los routers. Son difíciles de seguir en ejecución. -Filtro de aplicación. Además del filtrado de paquetes, es habitual que los cortafuegos utilicen aplicaciones software para reenviar o bloquear conexiones a servicios como finger, telnet o FTP; a tales aplicaciones se les denomina servicios proxy, mientras que a la máquina donde se ejecutan se le llama pasarela de aplicación. Los servicios proxy poseen una serie de ventajas de cara a incrementar nuestra seguridad: En primer lugar, permiten únicamente la utilización de servicios para los que existe un proxy, por lo que si en nuestra organización la pasarela de aplicación contiene únicamente proxies para telnet, HTTPy FTP, el resto de servicios no estarán disponibles para nadie. 15

16 Una segunda ventaja es que en la pasarela es posible filtrar protocolos basándose en algo más que la cabecera de las tramas, lo que hace posible por ejemplo tener habilitado un servicio como FTP pero con órdenes restringidas (podríamos bloquear todos los comandos put para que nadie pueda subir ficheros a un servidor). El principal inconveniente que encontramos a la hora de instalar una pasarela de aplicación es que cada servicio que deseemos ofrecer necesita su propio proxy; además se trata de un elemento que frecuentemente es más caro que un simple filtro de paquetes, y su rendimiento es mucho menor (por ejemplo, puede llegar a limitar el ancho de banda efectivo de la red, si el análisis de cada trama es costoso). En el caso de protocolos cliente-servidor (como telnet) se añade la desventaja de que necesitamos dos pasos para conectar hacia la zona segura o hacia el resto de la red; incluso algunas implementaciones necesitan clientes modificados para funcionar correctamente. -Inspección de estados. En informática, un cortafuegos de estado (cualquier firewall que realiza Stateful Packet Inspection ( SPI ) o la inspección de estado) es un firewall que realiza un seguimiento del estado de las conexiones de red (como TCP arroyos, UDP de comunicación) que viajan a través de ella. El firewall está programado para distinguir los paquetes legítimos para diferentes tipos de conexiones. Sólo los paquetes que coincidan con una conexión conocida activa serán permitidos por el firewall, mientras que otros serán rechazados. -Hibrido Conscientes de las debilidades de los firewalls de filtrado de paquetes y de los de nivel de aplicación, algunos proveedores han introducido firewalls híbridos que combinan las técnicas de los otros dos tipos. Debido a que los firewalls híbridos siguen basándose en los mecanismos de filtrado de paquetes para soportar ciertas aplicaciones, aún tienen las mismas debilidades en la seguridad. 16

17 i- Arquitectura de cortafuegos. Son 6: - Cortafuego de filtrado de paquetes. Dispositivo capaz de filtrar paquetes, un choke: de cortafuegos más antiguo, basado simplemente en aprovechar la capacidad de algunos routers - denominados screening routers - para hacer un enrutado selectivo, es decir, para bloquear o permitir el tránsito de paquetes mediante listas de control de acceso en función de ciertas características de las tramas, de forma que el router actue como pasarela de toda la red. Generalmente estas características para determinar el filtrado son las direcciones origen y destino, el protocolo, los puertos origen y destino (en el caso de TCP y UDP), el tipo de mensaje (en el caso de ICMP) y los interfaces de entrada y salida de la trama en el router. El principal problema es que no disponen de un sistema de monitorización sofisticado, por lo que muchas veces el administrador no puede determinar si el router está siendo atacado o si su seguridad ha sido comprometida. Además las reglas de filtrado pueden llegar a ser complejas de establecer, y por tanto es difícil comprobar su corrección: habitualmente sólo se comprueba a través de pruebas directas, con los problemas de seguridad que esto puede implicar. Si a pesar de esto decidimos utilizar un router como filtro de paquetes, como en cualquier firewall es recomendable bloquear todos los servicios que no se utilicen desde el exterior (especialmente NIS, NFS, X-Window y TFTP), así como el acceso desde máquinas no confiables hacia nuestra subred; además, es también importante para nuestra seguridad bloquear los paquetes con encaminamiento en origen activado. 17

18 - Cortafuego Dual-Homed Host. Son dispositivos que están conectados a ambos perímetros (interior y exterior) y no dejan pasar paquetes IP (como sucede en el caso del Filtrado de Paquetes), por lo que se dice que actúan con el "IP-Forwarding desactivado". Un usuario interior que desee hacer uso de un servicio exterior, deberá conectarse primero al Firewall, donde el Proxy atenderá su petición, y en función de la configuración impuesta en dicho Firewall, se conectará al servicio exterior solicitado y hará de puente entre este y el usuario interior. Es decir que se utilizan dos conexiones. Uno desde la máquina interior hasta el Firewall y el otro desde este hasta la máquina que albergue el servicio exterior. 18

19 - Screened Host. screened host o choke-gate, que combina un router con un host bastión, y donde el principal nivel de seguridad proviene del filtrado de paquetes (es decir, el router es la primera y más importante línea de defensa). En la máquina bastión, único sistema accesible desde el exterior, se ejecutan los proxies de las aplicaciones, mientras que el choke se encarga de filtrar los paquetes que se puedan considerar peligrosos para la seguridad de la red interna, permitiendo únicamente la comunicación con un reducido número de servicios. Situación: Recomiendan situar el router entre la red exterior y el host bastión: Habitualmente es más fácil de proteger un router que una máquina con un operativo de propósito general. Cuando una máquina de la red interna desea comunicarse con el exterior existen dos posibilidades: El choke permite la salida de algunos servicios a todas o a parte de las máquinas internas a través de un simple filtrado de paquetes. El choke prohibe todo el tráfico entre máquinas de la red interna y el exterior, permitiendo sólo la salida de ciertos servicios que provienen de la máquina bastión Así, estamos obligando a los usuarios a que las conexiones con el exterior se realicen a través de los servidores proxy situados en el bastión. La primera entraña un mayor nivel de complejidad a la hora de configurar las listas de control de acceso del route La segunda la dificultad está en configurar los servidores proxy en el host bastión. Es más segura la segunda, se pueden combinar, por ejemplo permitiendo el tráfico entre las máquinas internas y el exterior de ciertos protocolos difíciles de encaminar a través de un proxy o sencillamente que no entrañen mucho riesgo para nuestra seguridad (típicamente, NTP, DNS...), y obligando para el resto de servicios a utilizar el host bastión. En la arquitectura screened host tenemos no uno sino dos sistemas accesibles desde el exterior, por lo que ambos han de ser configurados con las máximas medidas de seguridad. 19

20 - Screened Subnet (DMZ). También conocida como red perimétrica es con diferencia la más utilizada e implantada hoy en día, ya que añade un nivel de seguridad en las arquitecturas de cortafuegos situando una subred (DMZ) entre las redes externa e interna, de forma que se consiguen reducir los efectos de un ataque exitoso al host bastión: como hemos venido comentando, en los modelos anteriores toda la seguridad se centraba en el bastión, de forma que si la seguridad del mismo se veía comprometida, la amenaza se extendía automáticamente al resto de la red. Como la máquina bastión es un objetivo interesante para muchos piratas, la arquitectura DMZ intenta aislarla en una red perimétrica de forma que un intruso que accede a esta máquina no consiga un acceso total a la subred protegida. Se utilizan dos routers, denominados exterior e interior, conectados ambos a la red perimétrica. En esta se constituye el sistema cortafuegos, se incluye el host bastión y también se podrían incluir sistemas que requieran un acceso controlado, como baterías de módems o el servidor de correo, que serán los únicos elementos visibles desde fuera de nuestra red. El router exterior tiene como misión bloquear el tráfico no deseado en ambos sentidos (hacia la red perimétrica y hacia la red externa), mientras que el interior hace lo mismo pero con el tráfico entre la red interna y la perimétrica: así, un atacante tendría que romper la seguridad de ambos routers para acceder a la red protegida; incluso es posible implementar una zona desmilitarizada con un único router que posea tres o más interfaces de red, pero en este caso si se compromete este único elemento se rompe toda nuestra seguridad, frente al caso general en que hay que comprometer ambos, tanto el externo como el interno. Si necesitamos mayores niveles de seguridad, definir varias redes perimétricas en serie, situando los servicios que requieran de menor fiabilidad en las redes más externas: así, el atacante habrá de saltar por todas y cada una de ellas para acceder a nuestros equipos; evidentemente, si en cada red perimétrica se siguen las mismas reglas de filtrado, niveles adicionales no proporcionan mayor seguridad. 20

21 - Hibridos. Para más seguridad se puede utilizar un host bastión diferente para cada protocolo o servicio en lugar de uno sólo, inconveniente, muchas maquitas y alto costo. Más económico es utilizar un único bastión pero servidores proxy diferentes para cada servicio. Cada día es más habitual en todo tipo de organizaciones dividir su red en diferentes subredes; en entornos de I+D o empresas medianas, donde con frecuencia se han de conectar campus o sucursales separadas geográficamente, edificios o laboratorios diferentes, etc. Es recomendable incrementar los niveles de seguridad de las zonas más comprometidas servidores insertando cortafuegos internos entre estas zonas y el resto de la red. Y no permitir la conexión a internet desde estas zonas. 21

22 j- Pruebas de funcionamiento. Sondeo. Nessus es un programa de escaneo de vulnerabilidades en diversos sistemas operativos. Consiste en nessusd, el daemon Nessus, que realiza el escaneo en el sistema objetivo, y nessus, el cliente (basado en consola o gráfico) que muestra el avance y reporte de los escaneos. Desde consola nessus puede ser programado para hacer escaneos programados con cron. En operación normal, nessus comienza escaneando los puertos con nmap o con su propio escaneador de puertos para buscar puertos abiertos y después intentar varios exploits para atacarlo. Las pruebas de vulnerabilidad, disponibles como una larga lista de plugins, son escritos en NASL (Nessus Attack Scripting Language, Lenguaje de Scripting de Ataque Nessus por sus siglas en inglés), un lenguaje scripting optimizado para interacciones personalizadas en redes. Opcionalmente, los resultados del escaneo pueden ser exportados en reportes en varios formatos, como texto plano, XML, HTML, y LaTeX. Los resultados también pueden ser guardados en una base de conocimiento para referencia en futuros escaneos de vulnerabilidades. Algunas de las pruebas de vulnerabilidades de Nessus pueden causar que los servicios o sistemas operativos se corrompan y caigan. El usuario puede evitar esto desactivando "unsafe test" (pruebas no seguras) antes de escanear. 22

23 2. Cortafuegos software y hardware: a- Cortafuegos software integrados en los sistemas operativos. El Sistema Opertavo que usamos, la mayoría Windows, no solo es la forma grafica con la que vemos el escritorio. El Sistema operativo es el primer guardian de las operaciones que producen en el nucleo del procesador. Por este motivo, es importante mantenerlo siempre actualizado y evitar añadirle parches y agregados que no pertenezcan al origen del mismo. Lo mejor es dejar activadas las actualizaciones automáticas e instalarlas cuando el sistema lo pida, siempre reiniciando si asi se requiere. Dentro del sistema operativo viene integrado un Firewall o Cortafuegos El Firewall El Firewall (Cotafuegos), es el centinela de todos los procesos que se ejecutan en el ordenador, y de todas las solicitudes de coneccion hacia y desde el exterior que hacen los programas. Su Sistema Operativo, si es Windows, traeráun Firewall integrado. Si no es un usuario avanzado, debería dejar la configuracion del mismo en automático, para que sus cortafuegos decida por usted. Pero el Firewall solo es capaz de dar y quitar permisos a los programas, pero no puede diferenciar entre un programa bueno y uno malo. Para eso estan los Antivirus. 23

24 b- Cortafuegos software libres y propietarios. Todos los Firewall Hardware son propietarios. Estos filtros no son capaces de manejar enormes caudales de conexión (como los Hardware de gama alta), por lo que se recomiendan para empresas de tamaño medio o menores (hasta un usuario final) que quieran tener un control más estricto de sus redes y no les importe dedicar esfuerzos a la seguridad a cambio de poder tener complejas configuraciones a un precio menor que el de un Firewall Box y obtener un rendimiento optimo del dinero gastado (solo pagas por el software de seguridad y lo instalas en una maquina disponible) o incluso conseguir un buen nivel de seguridad de forma gratuita (aunque con la necesidad de un conocimiento y esfuerzo aun mayores). LIBRE La mayoría de Firewall libres se distribuye para Linux, y se basan en IPChains, una facilidad que ofrece el sistema operativo para filtrar el tráfico. Para poner un Firewall basado en IPChains es necesario un extenso conocimiento de Redes, ya que las reglas hay que ponerlas basándose en direcciones IP de destino / origen, puertos y protocolo de aplicación. además también requiere conocer la sintaxis de IPChains (se ofrece una pequeña guía en un apéndice) y conocer el Sistema Operativo, para saber dónde colocar el archivo de reglas y como hacer un script de arranque. Además es necesario ajustar el Sistema Operativo para que sea seguro, y no tenga activados mas servicios de los necesarios. En la red se pueden encontrar gran cantidad de Firewalls pre-hechos, y aplicaciones graficas para hacer las reglas, pero aun así es necesario conocer lo que hace, y revisar el resultado final, para comprobar que todo está como debe. Este tipo de Firewalls son bastante seguros y simples, porque en todo momento se tiene conocimiento de lo que protege y de lo que no, pero requiere bastantes conocimientos, ya que no es conveniente fiarse de lo que hace determinada aplicación que simplifica el proceso. Ofrecen una seguridad limitada, ya que no hacen análisis de trafico de ningún tipo, pero son fácilmente escalables ya que usa un sistema operativo normal (no propietario) y se pueden integrar Proxies de distintos tipos, así como programas de IDS, antitroyanos, etc, todos ellos de libre distribución. Son útiles para usuarios finales de Linux, que pueden instalar un Firewall a medida sin necesidad de cambiar nada del sistema operativo. Para un Router/Firewall, se recomienda la instalación de alguno de los Linux seguros que existen (FreeBSD, OpenBSD...), y minimizar los servicios que tenga el Firewall, de forma que se mejora la seguridad, y la instalación de alguna aplicación auxiliar, principalmente un IDS o un antitroyano, para ofrecer un punto mas de seguridad. Esta configuración puede ser recomendable para una pequeña red, con un nivel moderado de seguridad. El otro tipo de Firewalls libres se distribuyen para Windows, y suelen ser versiones libres de otros comerciales (a modo de Demo). La mayoría son Proxies, que integran muchos de los servicios comunes de Internet, aunque también se puede encontrar alguno de filtrado clásico (en el próximo capítulo se puede encontrar una relación de 24

25 software libre y cerrado que existe actualmente). Todos los Proxies requieren un componente de creencia por parte del usuario, ya que son totalmente transparentes, y no se sabe lo que están haciendo (se deposita la confianza en el programador), además, limitan el numero de servicios a usar a aquellos que integre el Firewall, por lo que dependiendo del tipo de uso que se quiera dar a la red pueden ser útiles o no. Como recomendación, no es conveniente la instalación de un Proxy en punta de lanza, ya que limita mucho el uso de la red, y además es mucho más lento ya que tiene que hacer análisis de tráfico (se palia un poco el problema de la velocidad gracias a una memoria cache, de acceso global a todos los usuarios). Se puede instalar en el DMZ, para proporcionar determinados servicios con un nivel de seguridad mayor. PROPIETARIO Por otro lado están los Firewall software de pago, creados por compañías de seguridad de reconocido prestigio. Estos Firewall garantizan una aplicación muy compacta, y con bastantes más funcionalidades que un simple IPChains. Algunos traen su propio sistema operativo, que puede ser propietario o una modificación de Unix (para hacerlo seguro), y otros funcionan sobre un sistema operativo normal. Tienen el defecto de que si se descubre una vulnerabilidad en el (lo cual no es nada normal), tarda bastante en resolverse, por lo que estas un tiempo al descubierto, mientras que los softwares libres están en continuo testeo y reparación. Aun así, se puede asegurar que estos Firewall propietarios aportan un nivel de seguridad mayor que el que puede aportar uno de libre distribución, porque aunque se monte un IPChains con varias aplicaciones de tal forma que se integren todas las funcionalidades de uno de pago, tiene el problema de que al no ser tan compacto pueden aparecer problemas añadidos (no hay que preocuparse de los agujeros de una aplicación, sino de muchas). En general, para conseguir los resultados que tiene un Firewall comercial, es necesario un arduo trabajo, no solo para configurar el equipo (desde la instalación de Firewall, hasta la adecuación del Sistema Operativo) sino que será necesario la programación de algunas aplicaciones a medida, para conseguir un producto acorde con las necesidades de la subred. La mayoría de productos comerciales vienen con una configuración básica de funcionamiento, pero permiten su posterior configuración, para ajustarlo así a las necesidades especificas de cada usuario, por lo que serán necesario conocimientos de redes suficientes para crear las reglas de filtrado. Esta opción es muy recomendable para empresas de tamaño medio, que tengan necesidad de proteger sus datos, pero que no estén dispuestas a gastarse el dinero que vale un Firewall de Hardware. Por otro lado, existe una gran cantidad de ofertas, para todas las necesidades, por lo que a la hora de decidir el producto se recomienda fijarse en las características técnicas más que en el nombre, y adquirir aquel que más se ajuste a lo esperado. 25

26 c- Distribuciones libres para implementar cortafuegos en máquinas dedicadas. 1. Firestarter: Firestarter es un programa visual del cortafuegos de código abierto. El software apunta combinar facilidad de empleo con características de gran alcance, por lo tanto sirviendo a usuarios Linux y otros. 2. Zorp GPL: Fáil manejo, utiliza una lengua de escritura para describir las decisiones de política, permite supervisar el tráfico cifrado, eliminar las acciones del cliente, proteger tus servidores gracias a capacidades de identificación La lista es sin fin. 3. Turtle: Permite que realices un cortafuego de Linux simple y rápidamente. Ha basado en el núcleo 2.4.x e Iptables. Su manera del funcionamiento es fácil de entender: puedes definir los diversos elementos del cortafuego (zonas, anfitriones, redes) y después fijas los servicios que deseas permitir entre los diversos elementos o grupos de elementos. Puedes hacer esto que corrige simplemente un archivo de XML o que use un interfaz cómodo, Webmin. 4. LutelWall: Herramienta de alto nivel para la configuración del cortafuego de Linux. Utiliza humanreadable y es fácil la configuración para instalar Netfilter de la manera más segura. La flexibilidad de LutelWall permite a los adminstradores del cortafuegos hacerlos desde muy simples, solo-dirigidos, hasta muy complejos con múltiples subredes, DMZ y cambios de dirección del tráfico. LutelWall hace uso del código de netfilter en el núcleo de 2.4 Linux y es más robusto y configurable que una escritura equivalente de IPchains. 26

27 d- Cortafuegos hardware. Gestión Unificada de Amenazas Firewall UTM (Unified Threat Management). Las organizaciones actuales confían en entornos informáticos seguros y de alta disponibilidad para realizar para desarrollar sus negocios. Los firewalls y los UTM (Unified Threat Management) son componentes claves de una red segura y deben ser gestionados adecuadamente para asegurarse de que protegen sus activos de información crítica. Los firewalls y UTMs deben ser configurados para permitir el tráfico "bueno" y para mantener el tráfico "malo" afuera. Los firewalls y UTMs deben ser actualizadas continuamente para apoyar a los requerimientos empresariales cambiantes, tales como: Nueva VPN de usuarios Cambios en la condición de empleado Nuevos socios Nuevas aplicaciones La administración de Firewalls y UTMs es intensiva en recursos y requiere un alto nivel de conocimientos. Debido a la complejidad asociada a estas tareas, la mayoría de las violaciones son causadas por la incorrecta configuración de reglas y políticas de firewall. UTM es un servicio de administración de dispositivos de seguridad de perímetro, conocidos también como Administradores de Amenazas Unificadas que protegen a las organizaciones con herramientas integrales como: anti-spam, anti-virus, sistema de prevención de intrusos (IPS), filtro de contenido web, control de peer-to-peer (P2P) y control de chat, entre otros. El registro de eventos, la administración de la configuración y los reportes centralizados son fundamentales de acuerdo a las mejores prácticas de seguridad modernas. Con UTM las organizaciones pequeñas y medianas pueden cumplir con estas prácticas. Con nuestro modelo de seguridad On-Demand las empresas de todos los tamaños pueden beneficiarse de una solución centralizada de administración y monitoreo de sus dispositivos de seguridad perimetral de varios fabricantes líderes. No hay requerimientos adicionales de hardware, software o facilidades, lo cual provee un costo competitivo. 27

28 Funcionalidades del Servicio Monitoreo o Administración de registros (logs). Revise registros en tiempo real o históricamente. Para diagnóstico o análisis de seguridad. o Monitoreo de la disponibilidad del dispositivo. Sea notificado cuando el dispositivo presenta problemas de desempeño o conectividad. Reportes o Servicio On-demand. Acceda al servicio desde cualquier ubicación vía Internet vía un browser. o Reportes pre-configurados. Vea reportes de actividades como los hosts más activos, servicios más usados, sitios más visitados y otra información útil para diagnóstico y control. Administración o Administración de la configuración. La ejecución de cambios programados se incluyen dentro UTM. o Mantenimiento. Las tareas de mantenimiento como actualización de firmware y otras. o Actualización de servicios de protección. Los servicios de protección UTM como anti-spam, anti-virus, IPS y filtrado de contenido web se actualizan. Niveles de Servicio o UTM ofrece niveles de acuerdo de servicio (SLA) para garantizar la disponibilidad y confiabilidad. 28

29 Funcionalidades de Dispositivos UTM UTM ofrece la administración y el monitoreo de dispositivos UTM de fábricas líderes de la industria. Estas plataformas proveen funcionalidades de protección unificada contra las principales amenazas que encaran los negocios hoy día. Firewall. Es posible con controlar y bloquear el tráfico de entrada y salida a la red interna o a la zona desmilitarizada (DMZ). El tráfico a controlar se puede definir por servicio (SMTP, HTTP, etc.) y por horarios. Red Privada Virtual (VPN). Una VPN es un túnel seguro que se crea entre dos o más UTMs o entre usuarios que se mueven fuera de la empresa. Esta capacidad viene incluida dentro de las funcionalidades del UTM. Filtrado de contenido web. Se controla el acceso a sitios que puedan con contenido no deseado como sitios que contengan pornografía o contenido malicioso. Estos sitios se controlan por categorías que definen grupos de sitios según su contenido. Asimismo se establecen acceso a sitios personalizados, en caso de que no hayan sido clasificados en las categorías. Prevención contra intrusos (IPS). El IPS provee la capacidad de bloquear ataques contra vulnerabilidades conocidas de aplicaciones, sistemas operativos y hardware. Anti-Virus y AntiSpyware. Protección anti-virus que inspecciona el tráfico que entra y sale de la red de los protocolos más comunes como SMTP, POP3, HTTP, FTP y otros. Anti-Spam. Distingue comunicaciones por correo electrónico legítimas de aquellas que son spam, bloqueando este último en tiempo real. 29