SEGURIDAD Y ALTA DISPONIBILIDAD UD4: INSTALACIÓN Y CONFIGURACIÓN DE CORTAFUEGOS

Transcripción

1 SEGURIDAD Y ALTA DISPONIBILIDAD UD4: INSTALACIÓN Y CONFIGURACIÓN DE CORTAFUEGOS Nombre:

2 1. Concepto y utilización de cortafuegos Un cortafuegos o firewall es un sistema que previene el uso y el acceso desautorizados a tu ordenador. Los cortafuegos pueden ser software, hardware, o una combinación de ambos. Se utilizan con frecuencia para evitar que los usuarios desautorizados de Internet tengan acceso a las redes privadas conectadas con Internet, especialmente intranets. Todos los mensajes que entran o salen de la Intranet pasan a través del cortafuegos, que examina cada mensaje y bloquea los que no cumplen los criterios de seguridad especificados. Es importante recordar que un cortafuegos no elimina problemas de virus del ordenador, sino que cuando se utiliza conjuntamente con actualizaciones regulares del sistema operativo y un buen software antivirus, añadirá cierta seguridad y protección adicionales para tu ordenador o red. Un firewall o cortafuegos es un sistema o grupo de sistemas que hace cumplir una política de control de acceso entre dos redes. De una forma más clara, podemos definir un cortafuegos como cualquier sistema (desde un simple router hasta varias redes en serie) utilizado para separar - en cuanto a seguridad se refiere - una máquina o subred del resto, protegiéndola así de servicios y protocolos que desde el exterior puedan suponer una amenaza a la seguridad. El espacio protegido, denominado perímetro de seguridad, suele ser propiedad de la misma organización, y la protección se realiza contra una red externa, no confiable, llamada zona de riesgo. 2

3 Un cortafuegos, o 'firewall', es un dispositivo que sirve para filtrar las comunicaciones y, dependiendo de las preconfiguraciones que tenga, deja pasar o bloquea cada tipo de comunicación. Los cortafuegos pueden ser usados a través de una solución de hardware, es decir un dispositivo físico, o a través de un programa informático instalado en el sistema operativo del ordenador que se desea proteger. En entornos empresariales suele ser común la utilización de cortafuegos basados en hardware, que protegen y separan la red interna del exterior. Sin embargo en ambientes domésticos la utilización más extendida son las soluciones por software, bien mediante programas informáticos existentes para tal fin o configurando los que incorporan los sistemas operativos. El cortafuegos se sitúa en un punto determinado de la conexión entre la red interna y la red exterior, en el caso de redes domésticas de más de un ordenador o redes empresariales. En los cortafuegos personales que funcionan por software, éstos se sitúan entre el ordenador del usuario y el resto de la red a la que pertenece. Éste se encarga de comprobar los intentos de conexión entrantes y salientes del ordenador o red de ordenadores, controlando el puerto, protocolo, IP, etc. 3

4 2. Historia de los cortafuegos El término "firewall / fireblock" significaba originalmente una pared para confinar un incendio o riesgo potencial de incendio en un edificio. Más adelante se usa para referirse a las estructuras similares, como la hoja de metal que separa el compartimiento del motor de un vehículo o una aeronave de la cabina. La tecnología de los cortafuegos surgió a finales de 1980, cuando Internet era una tecnología bastante nueva en cuanto a su uso global y la conectividad. Los predecesores de los cortafuegos para la seguridad de la red fueron los routers utilizados a finales de 1980, que mantenían a las redes separadas unas de otras. La visión de Internet como una comunidad relativamente pequeña de usuarios con máquinas compatibles, que valoraba la predisposición para el intercambio y la colaboración, terminó con una serie de importantes violaciones de seguridad de Internet que se produjo a finales de los 80: Clifford Stoll, que descubrió la forma de manipular el sistema de espionaje alemán. Bill Cheswick, cuando en 1992 instaló una cárcel simple electrónica para observar a un atacante. En 1988, un empleado del Centro de Investigación Ames de la NASA, en California, envió una nota por correo electrónico a sus colegas que decía: "Estamos bajo el ataque de un virus de Internet! Ha llegado a Berkeley, UC San Diego, Lawrence Livermore, Stanford y la NASA Ames." El Gusano Morris, que se extendió a través de múltiples vulnerabilidades en las máquinas de la época. Aunque no era malicioso, el gusano Morris fue el primer ataque a gran escala sobre la seguridad en Internet; la red no esperaba ni estaba preparada para hacer frente a su ataque. 4

5 Primera generación cortafuegos de red: filtrado de paquetes El primer documento publicado para la tecnología firewall data de 1988, cuando el equipo de ingenieros Digital Equipment Corporation (DEC) desarrolló los sistemas de filtro conocidos como cortafuegos de filtrado de paquetes. Este sistema, bastante básico, fue la primera generación de lo que se convertiría en una característica más técnica y evolucionada de la seguridad de Internet. El filtrado de paquetes actúa mediante la inspección de los paquetes (que representan la unidad básica de transferencia de datos entre ordenadores en Internet). Si un paquete coincide con el conjunto de reglas del filtro, el paquete se reducirá (descarte silencioso) o será rechazado (desprendiéndose de él y enviando una respuesta de error al emisor). Este tipo de filtrado de paquetes no presta atención a si el paquete es parte de una secuencia existente de tráfico. En su lugar, se filtra cada paquete basándose únicamente en la información contenida en el paquete en sí (por lo general utiliza una combinación del emisor del paquete y la dirección de destino, su protocolo, y, en el tráfico TCP y UDP, el número de puerto). Los protocolos TCP y UDP comprenden la mayor parte de comunicación a través de Internet, utilizando por convención puertos bien conocidos para determinados tipos de tráfico, por lo que un filtro de paquetes puede distinguir entre ambos tipos de tráfico (ya sean navegación web, impresión remota, envío y recepción de correo electrónico, transferencia de archivos ); a menos que las máquinas a cada lado del filtro de paquetes son a la vez utilizando los mismos puertos no estándar. El filtrado de paquetes llevado a cabo por un cortafuegos actúa en las tres primeras capas del modelo de referencia OSI, lo que significa que todo el trabajo lo realiza entre la red y las capas físicas. Cuando el emisor origina un paquete y es filtrado por el cortafuegos, éste último comprueba las reglas de filtrado de paquetes que lleva configuradas, aceptando o rechazando el paquete en consecuencia. Cuando el paquete pasa a través de cortafuegos, éste filtra el paquete mediante un protocolo y un número de puerto base (GSS). Por ejemplo, si existe una norma en el cortafuegos para bloquear el acceso telnet, bloqueará el protocolo IP para el número de puerto 23. 5

6 Segunda generación cortafuegos de estado Durante 1989 y 1990, tres colegas de los laboratorios AT&T Bell, Dave Presetto, Janardan Sharma, y Nigam Kshitij, desarrollaron la tercera generación de servidores de seguridad. Esta tercera generación cortafuegos tiene en cuenta además la colocación de cada paquete individual dentro de una serie de paquetes. Esta tecnología se conoce generalmente como la inspección de estado de paquetes, ya que mantiene registros de todas las conexiones que pasan por el cortafuegos, siendo capaz de determinar si un paquete indica el inicio de una nueva conexión, es parte de una conexión existente, o es un paquete erróneo. Este tipo de cortafuegos pueden ayudar a prevenir ataques contra conexiones en curso o ciertos ataques de denegación de servicio. 6

7 Tercera generación - cortafuegos de aplicación Son aquellos que actúan sobre la capa de aplicación del modelo OSI. La clave de un cortafuegos de aplicación es que puede entender ciertas aplicaciones y protocolos (por ejemplo: protocolo de transferencia de ficheros, DNS o navegación web), y permite detectar si un protocolo no deseado se coló a través de un puerto no estándar o si se está abusando de un protocolo de forma perjudicial. Un cortafuegos de aplicación es mucho más seguro y fiable cuando se compara con un cortafuegos de filtrado de paquetes, ya que repercute en las siete capas del modelo de referencia OSI. En esencia es similar a un cortafuegos de filtrado de paquetes, con la diferencia de que también podemos filtrar el contenido del paquete. El mejor ejemplo de cortafuegos de aplicación es ISA (Internet Security and Acceleration). Un cortafuegos de aplicación puede filtrar protocolos de capas superiores tales como FTP, TELNET, DNS, DHCP, HTTP, TCP, UDP y TFTP (GSS). Por ejemplo, si una organización quiere bloquear toda la información relacionada con una palabra en concreto, puede habilitarse el filtrado de contenido para bloquear esa palabra en particular. No obstante, los cortafuegos de aplicación resultan más lentos que los de estado. 7

8 3. Funciones principales de un cortafuegos: Filtrado de paquetes de datos, filtrado por aplicación, Reglas de filtrado y registros de sucesos de un cortafuegos. Filtrado de paquetes de datos El término en inglés por el que se los conoce es Packet Filter Firewalls. Se trata del tipo más básico de cortafuegos. Analizan el tráfico de la red fundamentalmente en la capa 3, teniendo en cuenta a veces algunas características del tráfico generado en las capas 2 y/o 4 y algunas características físicas propias de la capa 1. Los elementos de decisión con que cuentan a la hora de decidir si un paquete es válido o no son los siguientes: La dirección de origen desde donde, supuestamente, viene el paquete (capa 3). La dirección del host de destino del paquete (capa 3). El protocolo específico que está siendo usado para la comunicación,frecuentemente Ethernet o IP aunque existen cortafuegos capaces de desenvolverse con otros protocolos como IPX, NetBios, etc (capas 2 y 3). El tipo de tráfico: TCP, UDP o ICMP (capas 3 y 4). Los puertos de origen y destino de la sesión (capa 4). El interfaz físico del cortafuegos a través del que el paquete llega y por el que habría que darle salida (capa 1), en dispositivos con 3 o más interfaces de red. Con todas o algunas de esta características se forman dos listas de reglas: una de permitidas y otra de denegadas. La forma en que un paquete recibido se procesa en función de estas dos listas difiere según el modelo, el fabricante o el modo de actuación configurado y define en gran medida la permisividad del cortafuegos. 8

9 Las principales ventajas de este tipo de cortafuegos están en su rapidez, transparencia y flexibilidad. Proporcionan un alto rendimiento y escalabilidad y muy bajo coste, y son muy útiles para bloquear la mayoría de los ataques de Denegación de Servicio, por ello se siguen implementando como servicios integrados en algunos routers y dispositivos hardware de balanceo de carga de gama media-alta. Sus principales inconvenientes son su limitada funcionalidad y su dificultad a la hora de configurarlos y mantenerlos. Son fácilmente vulnerables mediante técnicas de spoofing y no pueden prevenir contra ataques que exploten vulnerabilidades específicas de determinadas aplicaciones, puesto que no examinan las capas altas del modelo OSI. No son, pues, efectivos como medida única de seguridad, pero si muy prácticos como primera barrera, en la que se bloquean ciertos ataques, se filtran protocolos no deseados y se pasan los paquetes restantes a otro cortafuegos que examine las capas más altas del protocolo. 9

10 Filtrado por Aplicación Adicionalmente, este tipo de cortafuegos suelen prestar, dado su emplazamiento en la capa 7, servicios de autenticación de usuarios. La práctica totalidad de los cortafuegos de este tipo, suelen prestar servicios de Proxy. Tanto es así que a menudo se identifican biunívocamente unos con otros. Un Proxy es un servicio específico que controla el tráfico de un determinado protocolo (como HTTP, FTP, DNS, etc.), proporcionando un control de acceso adicional y un detallado registro de sucesos respecto al mismo. Los servicios o agentes típicos con que cuentan este tipo de dispositivos son: DNS, Finger, FTP, HTTP, HTTPS, LDAP, NMTP, SMTP y Telnet. Algunos fabricantes proporcionan agentes genéricos que, en teoría, son capaces de inspeccionar cualquier protocolo de la red, pero lógicamente, usarlos le resta robustez al esquema y facilita a un intruso la labor de establecer un túnel (tunneling) a través de él. Los agentes o servicios Proxy están formados por dos componentes: un servidor y un cliente. Ambos suelen implementarse como dos procesos diferentes lanzados por un único ejecutable. El servidor actúa como destino de las conexiones solicitadas por un cliente de la red interna. El cliente del servicio proxy es el que realmente encamina la petición hacía el servidor externo y recibe la respuesta de este. Posteriormente, el servidor proxy remite dicha respuesta al cliente de la red interna. 10

11 De esta forma estamos creando un aislamiento absoluto, creando comunicación directa entre la red interna y la externa. En el diálogo entre cliente y servidor proxy se evalúan las peticiones de los clientes de la red interna y se decide aceptarlas o rechazarlas en base a un conjunto de reglas, examinando meticulosamente que los paquetes de datos sean en todo momento correctos. Las principales ventajas de este tipo de cortafuegos son sus detallados registros de tráfico (ya que pueden examinar la totalidad del paquete de datos). El valor añadido que supone tener un servicio de autenticación de cara a securizar nuestra red, y la casi nula vulnerabilidad que presentan ante ataques de suplantación (spoofing), el aislamiento que realizan de nuestra red, la seguridad que proporciona la comprensión a alto nivel de los protocolos que inspeccionan y los servicios añadidos, como caché y filtro de URL s, que prácticamente todos implementan. Entre los inconvenientes están sus menores prestaciones (en cuanto a velocidad de inspección se refiere) frente a los otros modelos ya vistos, la necesidad de contar con servicios específicos para cada tipo distinto de tráfico, la imposibilidad de ejecutar muchos otros servicios en el (puesto que escucha en los mismos puertos), la imposibilidad de inspeccionar protocolos como UDP, RPC y otros servicios comunes, la necesidad de reemplazar la pila TCP nativa en el servidor donde se ejecutan y lo vulnerables que resultan ante ataques directos al sistema operativo sobre el que se suelen ejecutar. 11

12 Reglas de filtrado La familia de los firewalls de filtrado de paquetes sobre la pila de protocolos TCP/IP, son llamados IPFW. Los firewalls, son principalmente, una herramienta de seguridad y prevención ante ataques externos. Es decir, un IPFW funciona filtrando las comunicaciones en ambos sentidos entre su interfaz interna (la que lo conecta a su red) y la externa. El mecanismo de funcionamiento para realizar este filtrado es a través de una lista de reglas. Las reglas, pueden ser de dos tipos; de aceptación y de rechazo, aunque en realidad, éste última se descompone en dos subtipos, es decir, en términos de aceptación, rechazo y denegación. En iptables, un IPFW se corresponde con los argumentos ACCEPT, REJECT y DROP, respectivamente. La lista de reglas de entrada (del exterior hacia la red) es totalmente independiente de la lista de reglas de filtrado de salida (de la red hacia el exterior). Las distintas listas de reglas se llaman cadenas (chains). Hemos hablado de aceptación, rechazo y denegación. Las dos últimas son bastante similares, la diferencia radica en lo siguiente, cuando un IPFW rechaza una petición externa, envía una respuesta negativa diciendo que no acepta la comunicación, por el contrario, si descarta una petición, no envía ningún tipo de respuesta, es decir, que el agente externo que intentó establecer contacto, no sabrá siquiera si la máquina existe o está apagada. 12

13 Registro de Sucesos del Cortafuegos Puede habilitar el registro de sucesos del cortafuegos como ayuda para identificar el origen del tráfico entrante y obtener información detallada acerca de qué tráfico se está bloqueando. Normalmente el tráfico saliente correcto no se registra. El tráfico saliente que no está bloqueado no se registra. Algunos campos pueden ser: Fecha: Muestra el año, mes y día en que tuvo lugar la transacción registrada. Las fechas se registran con el formato AAAA-MM-DD, donde AAAA es el año, MM es el mes y DD es el día Hora: Muestra la hora, minuto y segundo en que tuvo lugar la transacción registrada. La hora se registra con el formato: HH:MM:SS, donde HH es la hora en formato de 24 horas, MM es el número de minutos y SS es el número de segundos. 21:36:59 Action: Indica el funcionamiento que observó el servidor de seguridad. Las opciones disponibles en el servidor de seguridad son OPEN, CLOSE, DROP e INFO-EVENTS-LOST. Una acción INFO-EVENTS- LOST indica el número de sucesos que ocurrieron pero no se anotaron en el registro. OPEN Protocolo: Muestra el protocolo que se utilizó para la comunicación. Una entrada de protocolo también puede ser un número para los paquetes que no utilizan TCP, UDP o ICMP. TCP src-ip: Muestra la dirección IP, o la dirección IP del equipo, que intenta establecer comunicación dst-ip: Muestra la dirección IP de destino de un intento de comunicación src-port: Muestra el número del puerto de origen del equipo que realizó el envío. Una entrada src-port se registra en forma de número entero entre 1 y Sólo TCP y UDP muestran una entrada src-port válida. Todos los demás protocolos muestran una entrada src-port de guión (-) dst-port: Muestra el número del puerto del equipo de destino. Una entrada dst-port se registra en forma de número entero entre 1 y Sólo TCP y UDP muestran una entrada dst-port válida. Todos los demás protocolos muestran una entrada dst-port de guión (-). Tamaño: Muestra el tamaño del paquete en bytes

14 Tcpflags: Muestra los indicadores de control de TCP que se encuentran en el encabezado TCP de un paquete IP: Ack: confirmación de campo significativo Fin: no hay más datos del remitente Psh: función de inserción Rst: restablecer la conexión Syn: sincronizar los números de secuencia Urg: campo Puntero urgente significativo 14

15 4. Listas de control de acceso (ACL) Una lista de control de acceso o ACL (del inglés, access control list) es un concepto de seguridad informática usado para fomentar la separación de privilegios. Es una forma de determinar los permisos de acceso apropiados a un determinado objeto, dependiendo de ciertos aspectos del proceso que hace el pedido. Las ACL permiten controlar el flujo del tráfico en equipos de redes, tales como enrutadores y conmutadores. Su principal objetivo es filtrar tráfico, permitiendo o denegando el tráfico de red de acuerdo a alguna condición. Sin embargo, también tienen usos adicionales, como por ejemplo, distinguir "tráfico interesante" (tráfico suficientemente importante como para activar o mantener una conexión) en RDSI. En redes informáticas, ACL se refiere a una lista de reglas que detallan puertos de servicio o nombres de dominios (de redes) que están disponibles en un terminal u otro dispositivo de capa de red, cada uno de ellos con una lista de terminales y/o redes que tienen permiso para usar el servicio. Tanto servidores individuales como enrutadores pueden tener ACL de redes. Las listas de control de acceso pueden configurarse generalmente para controlar tráfico entrante y saliente y en este contexto son similares a un cortafuegos. Existen dos tipos de listas de control de acceso: Listas estándar, donde solo tenemos que especificar una dirección de origen; Listas extendidas, en cuya sintaxis aparece el protocolo y una dirección de origen y de destino. 15

16 5. Ventajas y Limitaciones de los cortafuegos Ventajas. Administran los accesos provenientes de Internet hacia la red privada. Sin un firewall, cada uno de los servidores propios del sistema se exponen al ataque de otros servidores en el Internet. Por ello la seguridad en la red privada depende de la "dureza" con que el firewall cuente. Administran los accesos provenientes de la red privada hacia el Internet. Permite al administrador de la red mantener fuera de la red privada a los usuarios no-autorizados (tal, como, hackers, crakers y espías), prohibiendo potencialmente la entrada o salida de datos. El firewall crea una bitácora en donde se registra el tráfico más significativo que pasa a través él. Concentra la seguridad Centraliza los accesos Protección de información privada: Define que usuarios de la red y que información va a obtener cada uno de ellos. Optimización de acceso: Define de manera directa los protocolos a utilizarse Protección de intrusos: Protege de intrusos externos restringiendo los accesos a la red. 16

17 Desventajas. Un firewall no puede protegerse contra aquellos ataques que se efectúen fuera de su punto de operación. Por ejemplo, si existe una conexión PPP ( POINT-TO-POINT ) al Internet. El firewall no puede prohibir que se copien datos corporativos en disquetes o memorias portátiles y que estas se substraigan del edificio. El firewall de Internet no puede contar con un sistema preciso de SCAN para cada tipo de virus que se puedan presentar en los archivos que pasan a través de él, pues el firewall no es un antivirus. El firewall no puede ofrecer protección alguna una vez que el agresor lo traspasa. No protege de ataques que no pasen a través del firewall. No protege amenazas y ataques de usuarios negligentes. No protege de la copia de datos importantes si se ha obtenido acceso a ellos. No protege de ataques de ingeniería social (ataques mediante medios legítimos. Por ejemplo el atacante contacta a la víctima haciéndose pasar por empleado de algún banco, y solicita información confidencial, por ejemplo, datos de la tarjeta de crédito, con el pretexto de la renovación de dicha tarjeta). 17

18 6. Políticas de cortafuegos Hay dos políticas básicas en la configuración de un cortafuegos que cambian radicalmente la filosofía fundamental de la seguridad en la organización: Política restrictiva: Se deniega todo el tráfico excepto el que está explícitamente permitido. El cortafuegos obstruye todo el tráfico y hay que habilitar expresamente el tráfico de los servicios que se necesiten. Esta aproximación es la que suelen utilizar la empresas y organismos gubernamentales. Política permisiva: Se permite todo el tráfico excepto el que esté explícitamente denegado. Cada servicio potencialmente peligroso necesitará ser aislado básicamente caso por caso, mientras que el resto del tráfico no será filtrado. Esta aproximación la suelen utilizar universidades, centros de investigación y servicios públicos de acceso a internet. La política restrictiva es la más segura, ya que es más difícil permitir por error tráfico potencialmente peligroso, mientras que en la política permisiva es posible que no se haya contemplado algún caso de tráfico peligroso y sea permitido por omisión. 18

19 Cortafuegos para pequeñas oficinas (SOHO) 6. Tipos de cortafuegos SOHO es el acrónimo de Small Office-Home Office (Pequeña Oficina-Oficina en Casa). Es un término que se aplica para denominar a los aparatos destinados a un uso profesional o semiprofesional pero que, a diferencia de otros modelos, no están pensados para asumir un gran volumen de trabajo. El entorno SOHO propiamente dicho se refiere a toda la tecnología informática, a muebles funcionales, productos y servicios destinados al armado de una oficina en un ámbito doméstico. Cortafuegos personales (para PC) Es un caso particular de cortafuegos que se instala como software en un ordenador, filtrando las comunicaciones entre dicho ordenador y el resto de la red. Se usa por tanto, a nivel personal. Los Cortafuegos personales son programas que se instalan de forma residente en nuestro ordenador y que permiten filtrar y controlar la conexión a la red. En general necesitan un conocimiento adecuado de nuestro ordenador, pues en la actualidad son muchos los programas que realizan conexiones a la red y que son necesarios. Es por ello que no son recomendables para usuarios inexpertos ya que podrían bloquear programas necesarios (incluso hasta la propia posibilidad de navegación por Internet), aunque siempre se tenga a mano la posibilidad de desactivarlos. Equipos hardware específicos (Appliances) Un appliance es una caja autosuficiente diseñada para un propósito específico. Algunos en la actualidad sirven para más de un propósito, y estos con frecuencia son denominados como 'appliances de seguridad' dentro de 'appliances de cortafuegos' por sus distribuidores. Muchos de ellos incluyen funcionalidad de VPN acompañando al cortafuegos, y otros también incluyen funcionalidades como caché web. Algunos distribuidores venden componentes de hardware diferentes (llamados security blades) que se conectan al chasis del cortafuegos. Algunos appliances son básicamente PCs, con los mismos tipos de disco duro, memoria y otros componentes como un PC estándar. Otros se les llama "solid state" porque prácticamente no tienen partes movibles. Utilizan memorias flash sin disco duro. Desde circuitos de alta velocidad en lugar de discos mecánicos hacen el almacenamiento más rápido. 19

20 Cortafuegos corporativos Es un tipo de cortafuego, y como su nombre lo indica, son utilizados mayormente en sistemas interconectados de organizaciones y empresas en donde cierta cantidad de equipos podrían estar conectados en red compartiendo y accediendo a cientos de recursos simultáneamente. Estos sistemas tienen el objetivo de filtrar las comunicaciones en el borde de la organización. Debido a que todo el tráfico que circula desde la red interna hacia fuera y viceversa es elevado, estos sistemas deben ser eficientes en el manejo de todas las conexiones. Una de las ventajas de la utilización de estos dispositivos es que todos los equipos de la organización estarán protegidos por un único sistema, bloqueando o dejando pasar las comunicaciones que el administrador haya dispuesto para toda la organización. Este tipo de dispositivos puede ser de software o hardware y su costo dependerá del tamaño y prestaciones brindadas. Los principales aspectos críticos que deberá resolver la configuración del cortafuegos en los sistemas corporativos se centrarán en las siguientes problemáticas: Comunes con el usuario: usurpación de la identidad e integridad de la información. Accesos autorizados: permitir el acceso a las direcciones de origen validadas y autorizadas. Aplicaciones autorizadas: permitir el acceso a las aplicaciones en función de la identidad validada. Filtrado de solicitudes de conexión desde nuestra red a Internet. Protección de los datos de identidad de nuestros usuarios en los accesos autorizados a Internet. Protección ante caballos de troya, en forma de archivos Java, PostScript, etc. Realizar todas las funciones anteriores sin afectar a las prestaciones y funcionalidades de Internet que los usuarios internos demandan. 20

21 Cortafuegos de filtrado de paquetes Clasificación por tecnología Un firewall sencillo puede consistir en un dispositivo capaz de filtrar paquetes, un choke: se trata del modelo de cortafuegos más antiguo ([Sch97]), basado simplemente en aprovechar la capacidad de algunos routers - denominados screening routers - para hacer un enrutado selectivo, es decir, para bloquear o permitir el tránsito de paquetes mediante listas de control de acceso en función de ciertas características de las tramas, de forma que el router actue como pasarela de toda la red. Generalmente estas características para determinar el filtrado son las direcciones origen y destino, el protocolo, los puertos origen y destino (en el caso de TCPy UDP), el tipo de mensaje (en el caso de ICMP) y los interfaces de entrada y salida de la trama en el router. En un cortafuegos de filtrado de paquetes los accesos desde la red interna al exterior que no están bloqueados son directos (no hay necesidad de utilizar proxies, como sucede en los cortafuegos basados en una máquina con dos tarjetas de red), por lo que esta arquitectura es la más simple de implementar (en muchos casos sobre hardware ya ubicado en la red) y la más utilizada en organizaciones que no precisan grandes niveles de seguridad - como las que vemos aquí -. No obstante, elegir un cortafuegos tan sencillo puede no ser recomendable en ciertas situaciones, o para organizaciones que requieren una mayor seguridad para su subred, ya que los simples chokes presentan más desventajas que beneficios para la red protegida. El principal problema es que no disponen de un sistema de monitorización sofisticado, por lo que muchas veces el administrador no puede determinar si el router está siendo atacado o si su seguridad ha sido comprometida. Además las reglas de filtrado pueden llegar a ser complejas de establecer, y por tanto es difícil comprobar su corrección: habitualmente sólo se comprueba a través de pruebas directas, con los problemas de seguridad que esto puede implicar. Si a pesar de esto decidimos utilizar un router como filtro de paquetes, como en cualquierfirewall es recomendable bloquear todos los servicios que no se utilicen desde el exterior (especialmente NIS, NFS, X-Window y TFTP), así como el acceso desde máquinas no confiables hacia nuestra subred; además, es también importante para nuestra seguridad bloquear los paquetes con encaminamiento en origen activado. 21

22 Proxy de aplicación Además del filtrado de paquetes, es habitual que los cortafuegos utilicen aplicaciones software para reenviar o bloquear conexiones a servicios como finger, telnet o FTP; a tales aplicaciones se les denomina servicios proxy, mientras que a la máquina donde se ejecutan se le llama pasarela de aplicación. Los servicios proxy poseen una serie de ventajas de cara a incrementar nuestra seguridad: En primer lugar, permiten únicamente la utilización de servicios para los que existe un proxy, por lo que si en nuestra organización la pasarela de aplicación contiene únicamente proxies para telnet, HTTPy FTP, el resto de servicios no estarán disponibles para nadie. Una segunda ventaja es que en la pasarela es posible filtrar protocolos basándose en algo más que la cabecera de las tramas, lo que hace posible por ejemplo tener habilitado un servicio como FTP pero con órdenes restringidas (podríamos bloquear todos los comandos put para que nadie pueda subir ficheros a un servidor). El principal inconveniente que encontramos a la hora de instalar una pasarela de aplicación es que cada servicio que deseemos ofrecer necesita su propio proxy; además se trata de un elemento que frecuentemente es más caro que un simple filtro de paquetes, y su rendimiento es mucho menor (por ejemplo, puede llegar a limitar el ancho de banda efectivo de la red, si el análisis de cada trama es costoso). En el caso de protocolos cliente-servidor (como telnet) se añade la desventaja de que necesitamos dos pasos para conectar hacia la zona segura o hacia el resto de la red; incluso algunas implementaciones necesitan clientes modificados para funcionar correctamente. 22

23 Inspección de estados (statefull inspection) En informática, un cortafuegos de estado (cualquier firewall que realiza Stateful Packet Inspection ( SPI ) o la inspección de estado) es un firewall que realiza un seguimiento del estado de las conexiones de red (como TCP arroyos, UDP de comunicación) que viajan a través de ella. El firewall está programado para distinguir los paquetes legítimos para diferentes tipos de conexiones. Sólo los paquetes que coincidan con una conexión conocida activa serán permitidos por el firewall, mientras que otros serán rechazados. Hibrido Conscientes de las debilidades de los firewalls de filtrado de paquetes y de los de nivel de aplicación, algunos proveedores han introducido firewalls híbridos que combinan las técnicas de los otros dos tipos. Debido a que los firewalls híbridos siguen basándose en los mecanismos de filtrado de paquetes para soportar ciertas aplicaciones, aún tienen las mismas debilidades en la seguridad. 23

24 Cortafuego de filtrado de paquetes 8. Arquitectura de cortafuegos El modelo de cortafuegos más antiguo consiste en un dispositivo capaz de filtrar paquetes, lo que se denomina choke. Está basado simplemente en aprovechar la capacidad que tienen algunos routers para bloquear o filtrar paquetes en función de su protocolo, su servicio o su dirección IP. Los cortafuegos de filtrado de paquetes utilizan una técnica de filtrado, que consiste en una lista de órdenes ejecutadas secuencialmente a la entrada/salida de cada paquete en las interfaces de un router, con las opciones de permitir ó bloquear, por ejemplo: iptables en Linux y ACL en Cisco. Esta arquitectura es la más simple de implementar y la más utilizada en organizaciones que no precisan grandes niveles de seguridad, donde el router actúa como de pasarela de la subred y no hay necesidad de utilizar proxies, ya que los accesos desde la red interna al exterior no bloqueados son directos. Resulta recomendable bloquear todos los servicios que no se utilicen desde el exterior, así como el acceso desde máquinas que no sean de confianza hacia la red interna. Sin embargo, los chokes presentan más desventajas que beneficios para la red protegida, puesto que no disponen de un sistema de monitorización sofisticado y el administrador no distingue entre si el router está siendo atacado o si su seguridad se ha visto comprometida. Por otra parte, las reglas de filtrado pueden llegar a ser complejas de establecer y por lo tanto, se hace difícil comprobar su correción. 24

25 El filtrado de paquetes actúa mediante la inspección de los paquetes (que representan la unidad básica de transferencia de datos entre ordenadores en Internet). Si un paquete coincide con el conjunto de reglas del filtro, el paquete se reducirá (descarte silencioso) o será rechazado (desprendiéndose de él y enviando una respuesta de error al emisor). Ventajas: Disponible en casi cualquier router y en muchos sistemas operativos. Ofrece un alto rendimiento para redes con una carga de tráfico elevada. Inconvenientes: Al procesar los paquetes de forma independiente, no se guarda ninguna información de contexto (no se almacenan históricos de cada paquete), ni se puede analizar a nivel de capa de aplicación, dado que está implementado en los routers. 25

26 Cortafuego Dual-Homed Host Una dual-homed host esta construída como un host dual-homed, un ordenador con dos tarjetas de red. Tal host actúa como router entre las dos redes que él conoce, es capáz de rutear paquetes IP desde una red a otra. Pero los paquetes IP de una red a la otra no son ruteados directamente. El sistema interno al Firewall puede comunicarse con el dual-homed host, y los sistemas fuera de Firewall también pueden comunicarse con él, pero los sistemas no pueden comunicarse directamente entre ellos. El sistema ha de ejecutar al menos un servidor proxy para cada uno de los servicios que deseemos pasar a través del cortafuegos, y también es necesario que el IP Forwarding esté deshabilitado en el equipo: aunque una máquina con dos tarjetas puede actuar como un router, para aislar el tráfico entre la red interna y la externa es necesario que el choke no enrute paquetes entre ellas. Así, los sistemas externos `verán' al host a través de una de las tarjetas y los internos a través de la otra, pero entre las dos partes no puede existir ningún tipo de tráfico que no pase por el cortafuegos: todo el intercambio de datos entre las redes se ha de realizar bien a través de servidores proxy situados en el host bastión o bien permitiendo a los usuarios conectar directamente al mismo. La segunda de estas aproximaciones es sin duda poco recomendable, ya que un usuario que consiga aumentar su nivel de privilegios en el sistema puede romper toda la protección del cortafuegos, por ejemplo reactivando el IP Forwarding); además (esto ya no relativo a la seguridad sino a la funcionalidad del sistema) suele ser incómodo para los usuarios tener que acceder a una máquina que haga de puente entre ellos e Internet. De esta forma, la ubicación de proxies es lo más recomendable, pero puede ser problemático el configurar cierto tipo de servicios o protocolos que no se diseñaron teniendo en cuenta la existencia de un proxy entre los dos extremos de una conexión. 26

27 Screened Host En esta arquitectura se combina un screening router con un host bastión y el principal nivel de seguridad proviene del filtrado de paquetes. El screening router está situado entre el host bastion y la red externa, mientras que el host bastión está situado dentro de la red interna. El filtrado de paquetes en el screening router está configurado de modo que el host bastión es el único sistema de la red interna accesible desde la red externa. Incluso, únicamente se permiten ciertos tipos de conexiones. Cualquier sistema externo que intente acceder a los sistemas internos tendrán que conectar con el host bastión. Por otra parte, el filtrado de paquetes permite al host establecer las conexiones permitidas, de acuerdo con la política de seguridad, a la red externa. La configuración del filtrado de paquetes en el screening router se puede hacer de dos formas: Permitir a otros hosts internos establecer conexiones a hosts de la red exterior para ciertos servicios. Denegar todas las conexiones desde los hosts de la red interna, forzando a los hosts a utilizar los servicios proxy a través del host bastion. Es decir, los servicios se pueden permitir directamente vía filtrado de paquetes o indirectamente vía proxy, tanto para los usuarios internos como para los usuarios externos. 27

28 Screened Subnet (DMZ) La arquitectura Screened Subnet también se conoce con el nombre de red perimétrica o De-Militarized Zone (DMZ). En los modelos anteriores, la seguridad se centraba completamente en el host bastión, de manera que si la seguridad del mismo se veía comprometida, la amenaza se extendía automáticamente al resto de la red. En cambio, en este modelo se añade un nivel de seguridad en las arquitecturas de cortafuegos situando una subred (DMZ) entre las redes externa e interna, de forma que se consigue reducir los efectos de un ataque exitoso al host bastión. La arquitectura DMZ intenta aislar la máquina bastión en una red perimétrica, de forma que si un intruso accede a esta máquina no consigue un acceso total a la subred protegida. Se trata de la arquitectura de firewalls más segura, pero también más compleja. En este caso se emplean dos routers, exterior e interior, ambos conectados a la red perimétrica. En dicha red perimétrica, que constituye el sistema cortafuegos, se incluye el host bastión. También se podrían incluir sistemas que requieran un acceso controlado, como baterías de módems o el servidor de correo, que serán los únicos elementos visibles desde fuera de la red interna. 28

29 La misión del router exterior es bloquear el tráfico no deseado en ambos sentidos, es decir, tanto hacia la red perimétrica como hacia la red externa. En cambio, el router interior bloquea el tráfico no deseado tanto hacia la red perimétrica como hacia la red interna. De este modo, para atacar la red protegida se tendría que romper la seguridad de ambos routers. En el caso en que se desee obtener un mayor nivel de seguridad, se pueden definir varias redes perimétricas en serie, situando los servicios que requieran de menor fiabilidad en las redes más externas. Un posible atacante tendría que pasar por todas y cada una de las redes perimétricas para llegar a acceder a los equipos de la red interna. Resulta evidente que cada red perimétrica ha de seguir diferentes reglas de filtrado, ya que en caso contrario los niveles adicionales no proporcionarían una mayor seguridad. Aunque se trata de la arquitectura más segura, también pueden aparecer problemas. Uno de ellos se puede dar cuando se emplea el cortafuegos para que los servicios fiables pasen directamente sin acceder al bastión, lo que puede desencadenar en un incumplimiento de la política de seguridad. Otro problema, es que la mayor parte de la seguridad reside en los routers empleados. Las reglas de filtrado sobre estos elementos pueden ser complicadas de establecer y comprobar, lo que puede desembocar en importantes fallos de seguridad del sistema. 29

30 9. Pruebas de funcionamiento. Sondeo 30