Informática

Seguridad de redes: Firewalls

Compartir 0 Me sirvió 0 No me sirvió

Ingeniería Técnica en Informática de Gestión

Ampliación de Sistemas Operativos

- CONTENIDO -

Introducción 03

1 ¿Qué es un Firewall? 03

2 Amenazas de los Firewalls 05

3 Consejos para un Usuario Doméstico 05

“No minusvalore los peligros de la Red” 06

“No minusvalore el atractivo de su ordenador para un atacante” 06

“No sobrevalore a los atacantes” 07

“No sobrevalore la fortaleza de su máquina” 07

4 Características de un Firewall 07

4.1 Política de Seguridad 07

Registro de Operaciones 07

Interfaces 08

Autenticación de Usuarios 08

Correlación de Direcciones 09

Restricciones de Día y Hora 10

Control de la Carga 10

Canalización 10

5 Tipos de Firewalls 10

Filtrador de Paquetes 10

Pasarelas a Nivel de Aplicación 11

Pasarelas a Nivel de Redes 12

Configuraciones de los Firewalls 12

6 Host Bastión 12

7 Integración con el Entorno 13

Integración de los Firewalls con la Auditoria de la Intranet 13

Integración de los Firewalls con los Controles de Acceso 14

Integración de Firewalls con los navegadores WEB 14

8 Puertos y Servicios 14

Servicios Internet integrados en UNIX 16

Servicios de Transferencia de Archivos 17

Servicios de Conexión 18

Servicios de Información 18

9 Glosario de Términos relacionados con Firewall 19

Conclusiones 20

Referencias 21

Seguridad en Redes: Firewalls

Introducción

En la sociedad de hoy en día, el acceso a cualquier clase de información se ve facilitado por diferentes tecnologías de conexión, con costos muy accesibles, que permiten interactuar local o remotamente con diferentes centros de cómputos. Sin embargo, este acceso instantáneo a la información trae consigo muchas dificultades en cuanto a la seguridad y privacidad de la información de una organización.

La red es usualmente la parte mas insegura de una organización. Por consiguiente, se deben desarrollar políticas de seguridad para poder prevenir cualquier acceso no autorizado a la misma como pueden ser hackers o usuarios de la misma red que no deberían tener acceso a ciertos recursos del sistema. Estas políticas deben ser más exigentes sobretodo si dicha organización cuenta con un acceso a alguna red pública, como puede ser Internet.

Los protocolos de comunicación TCP/IP, los más utilizados en Internet, en principio no fueron concebidos para manejar comunicaciones seguras. Por lo tanto, el mecanismo de seguridad se ejecuta fuera de los mismos. No olvidemos que la red en si es tan vulnerable como su punto mas débil.

Una posible solución para proteger todo el sistema consiste en no permitir ningún acceso desde el exterior al interior, pero de esta forma solo podríamos mandar solicitudes pero no podríamos recibir el contenido de las mismas.

Otra posibilidad es permitir ciertas clases de accesos y negar otros, eliminando así la dificultad antes mencionada. Esta clase de seguridad se puede implementar mediante un Firewall.

1 ¿Qué es un Firewall?

Se puede definir de una forma simple un sistema firewall, como aquel sistema o conjunto combinado de sistemas que crean una barrera segura entre 2 redes.

El firewall es un sistema que refuerza las políticas de control de acceso. Estas políticas regulan el tráfico entre una red interna (de confianza) y otra red externa (de dudosa confianza). Normalmente, los firewall se utilizan para proteger a las redes internas del acceso no autorizado vía Internet o mediante otra red externa.

Fig 1. Localización de un firewall

La función del firewall, por tanto, es bloquear el tráfico no autorizado entre un sistema de confianza y un sistema de dudosa confianza.

Un firewall es, a menudo, instalado en el punto donde una red interna se conecta con Internet. Todo tráfico externo de Internet hacia la red interna pasa a través del firewall, así puede determinar si dicho tráfico es aceptable de acuerdo a sus políticas de seguridad.

Aunque el propósito principal de los firewall es mantener a los intrusos fuera del alcance de la información que es propiedad de un ente determinado, ya sea un usuario, una empresa o un gobierno, su posición dentro del acceso a distintas redes le vuelve muy útil para controlar estadísticas de situaciones como usuarios que intentaron conectarse y no lo consiguieron, tráfico que atravesó la misma, etc... Esto proporciona un sistema muy cómodo de auditar la red. Algunas de sus funciones son las siguientes:

Restringir la entrada a usuarios a puntos cuidadosamente controlados.
Prevenir los ataques
Dividir una red en zonas con distintas necesidades de seguridad
Auditar el acceso a la red.

Algunos firewall solamente permiten tráfico de correo a través de ellos, de modo que protegen de cualquier ataque sobre la red distinto de un servicio de correo electrónico. Otros firewall proporcionan menos restricciones y bloquean servicios que son conocidos por sus constantes problemas de intrusión. De los servicios ya hablaremos más adelante. Generalmente, los firewalls están configuradas para proteger contra "logins" sin autorización. Esto ayuda principalmente a prevenir actos de vandalismos en máquinas y software de nuestra red. Redes firewalls más elaboradas bloquean el tráfico de fuera a dentro, permitiendo a los usuarios del interior comunicarse libremente con los usuarios del exterior. Los firewall pueden protegernos de cualquier tipo de ataque a la red, siempre y cuando se configuren para ello.

Hay una serie de asuntos básicos que hay que tratar en el momento de que una persona adquiere la responsabilidad de diseñar, especificar e implementar o supervisar la instalación de un firewall en una empresa:

Reflejar la política con la que la compañía u organización quiere trabajar con el sistema: ¿Se destina la firewall para denegar todos los servicios o solo algunos?, ¿se va a emplear al firewall para proporcionar un método de medición y auditoria de los accesos no autorizados a la red?. De la política hablaremos un poco más adelante.

Determinar el nivel de vigilancia, redundancia y control que queremos. La seguridad total es imposible, así que tendremos que establecer una nivel de riesgo aceptable. Para ello se pueden establecer una lista de comprobación de los que debería ser vigilado, permitido y denegado.

El tercer asunto es financiero. Es importante intentar cuantificar y proponer soluciones en términos de cuánto cuesta comprar o implementar tal cosa o tal otra. A veces lo realmente necesario no es gastarse mucho dinero en una firewall muy potente, sino perder tiempo en evaluar las necesidades y encontrar una firewall que se adapte a ellas.

La elección de un firewall, como se puede comprobar, no va a ser sencilla y dependerá de muchos factores, principalmente de la política de seguridad y de la inversión económica que vayamos a emplear.

2 Amenazas de los Firewall

La imagen popular del hacker es la de un joven inexperto, con mucho tiempo disponible, intentando meterse en un sistema por la emoción que eso le representa. Muy probablemente este hacker intente atacarnos por algunos de los agujeros ya conocidos y que seguramente pueda ser cubierto por un firewall convencional, pero ¿qué pasa con un hacker que sabe, que está a la última sobre los riesgos de la seguridad y tiene las más novedosas herramientas de cracking? Los hay que se diseñan sus propios ataques específicos, que se hacen sus propios programas, y que no aprovechan las fisuras de seguridad conocidas, sino que descubren otras nuevas.

Con esto tratamos de poner de manifiesto que, si surgen nuevas amenazas, un firewall no será capaz de proteger contra ellas. Hay que tener en mente que continuamente se descubren nuevas fisuras por las que se puede acceder a un sistema.

Además, los firewalls no pueden protegernos muy bien contra los virus. Hay demasiados modos de codificación de ficheros para transmitirlos a través de la red y también son demasiadas las diferentes arquitecturas y virus que intentan introducirse en ellas. En el tema de los virus y los troyanos, la mayor responsabilidad recae como casi siempre en los usuarios de la red, los cuales deberían tener un mínimo control sobre los programas que ejecutan y donde los ejecutan.

Como es obvio, Las redes firewall tampoco pueden protegernos de ataques que se producen por cauces distintos de la red firewall instalada. No es nada inteligente poner una puerta de acero de 10 centímetros de espesor si se vive en una casa de madera, pero por desgracia, algunas empresas se gastan mucho dinero en comprar redes firewall caras, descuidando después las numerosas aberturas por las que se puede colar un intruso (lo que se llaman "back-doors" o "puertas traseras"). Para que una firewall tenga una efectividad completa, debe ser una parte consistente en la arquitectura de seguridad de la empresa.

Otro ente contra el que los firewalls no pueden luchar es contra el de los traidores y espías que haya en la propia organización. Es evidente que de nada sirve que se instale una firewall para proteger nuestra red si existen personas dentro de la misma que se dedican a traspasar información confidencial a través de disquetes a terceras personas.

Si tienes funcionando un programa firewall de cualquier tipo, no lo dejes todo en sus manos para proteger tu sistema, la seguridad total es imposible. La única forma de garantizar una total seguridad es no estar conectado a nada, excepto a la electricidad. Por ejemplo, una organización que posea datos clasificados o de alto secreto no necesita una red firewall: no deberían conectarse a Internet o, por lo menos, los sistemas con los datos que son realmente secretos deberían ser aislados del resto de la red de la empresa.

3. Consejos para un Usuario Doméstico

No solo las empresas sufren ataques procedentes de otras redes, ya que un usuario convencional con una simple conexión a Internet también puede ser atacado. En esta, como en otras facetas de la vida, la prudencia puede jugar un papel importante: no te conviertas en un objetivo. Para ello no des información personal ni contraseñas, ni te metas en peleas ni seas provocativo. De esta manera, posiblemente utilices menos tu firewall. Como es natural, tampoco es aconsejable que aceptes ni ejecutes programas de gente extraña.

CONSEJO 1: "No minusvalore los peligros de la Red".

La Red es un territorio frecuentado por las mismas personas que habitan el mundo físico. Por tanto, al igual que hay una inmensa mayoría de personas sensatas y respetuosas, puede dar por seguro que habrá gamberros, acosadores, chantajistas y todo género de delincuentes, que encuentran en las peculiares características del medio digital (como pueden ser la inexistencia de distancias, la facilidad para automatizar los ataques, el anonimato, etc.) un terreno extremadamente favorable para cometer sus tropelías con la mayor impunidad.

Como consecuencia, del mismo modo que usted nunca se aventuraría a pasear por ciertas zonas de ciudades desconocidas, no estará de más adoptar algunas precauciones a la hora de transitar los procelosos caminos de la Red.

CONSEJO 2: "No minusvalore el atractivo de su ordenador para un atacante".

Nunca considere su ordenador poco atractivo para un atacante. Algunos atacantes puedan estar interesados en entrar en su máquina cualquiera y ,contra lo que pueda pensarse, a muchos intrusos les importa muy poco quién sea su dueño. Muchos de ellos simplemente se dedican a escanear máquinas al azar. Posteriormente, una vez detectadas aquellas que presentan huecos fáciles de explotar, pueden decidir entrar e instalarse en ellas con fines muy diversos, como puedan ser explorar sus datos buscando detalles de interés, asustarle, divertirse a su costa, hacerle un estropicio en su disco duro o, aun peor, utilizarle como cómplice involuntario para atacar otras máquinas más importantes que la suya.

No minusvalore jamás la posibilidad de ser atacado: cualquier máquina conectada a la red siempre puede ser útil para otros. No se preocupe por "si" será atacado; sólo pregúntese "cuándo".

CONSEJO 3: "No sobrevalore a los atacantes".

De la misma forma que nadie debe minusvalorar el atractivo de su máquina para un atacante, tampoco nadie debería sobrevalorar las capacidades de éste. En contra de la creencia popular, no es en absoluto necesario que el atacante sea un hacker superdotado. De hecho, una persona con esas capacidades acostumbra a tener mejores cosas que hacer y, si el riesgo fuera ése, tampoco existiría demasiada gente a la que temer.

Los atacantes suelen ser vulgares aprendices de brujo que han descubierto maneras de atacar y de fastidiar que funcionan a golpe de ratón, y experimentan tal sensación de poder al utilizarlas, que el juego se acaba convirtiendo en adicción. La posibilidad de hacer caer webs multimillonarios y que la “hazaña” obtenga eco en todos los noticiarios puede ser muy tentadora. Y lo peor de todo es pensar que su propio ordenador puede convertirse (sin que usted lo sepa) en cómplice y esclavo de alguno de estos ciberonanistas.

CONSEJO 4: “No sobrevalore la fortaleza de su máquina”.

Si de algo pueden estar seguros los usuarios es de la existencia de fallos potenciales en absolutamente todos los programas, sistemas operativos, navegadores y sistemas que puedan concebirse. Tomemos un ejemplo de actualidad: Linux.

Para prácticamente toda la comunidad informática, Linux es mucho más seguro que Windows. Esta afirmación debería ser transformada en otra, mucho más ajustada a la realidad: “Linux PUEDE SER mucho más seguro que Windows”. Linux, al contrario que Windows, tiene un enorme potencial para convertir un ordenador en una fortaleza casi inexpugnable, ya que pone en manos del usuario todo el código del sistema para que pueda ser modificado como le plazca. ¿Cuál es la consecuencia de esto? La responsabilidad de conseguir un sistema seguro pasa a estar en sus manos. Linux no da seguridad instantánea, sino que pone a disposición del usuario los medios para conseguirla. Como puede suponerse, lograrlo sólo estará al alcance de los que están dispuestos a realizar ese esfuerzo adicional.

Podríamos decir en este aspecto que nada conspira más contra la auténtica seguridad que la falsa sensación de seguridad.

LA REGLA DE ORO

Los consejos anteriores se resumen en una regla de oro:

“TÓMESE EN SERIO LA SEGURIDAD DE SU PROPIO ORDENADOR”.

4 Características de un Firewall

Un firewall, debido a su funcionalidad, debe ser capaz de ofrecernos una serie de características mínimas como puede ser el empleo de una adecuada política de seguridad. Como ya veremos más adelante, esto sólo no basta, sino que el firewall además debe de ser capaz de poder ofrecer otros servicios como pueden ser el registro de las operaciones que vaya realizando y el poseer una interfaz fácil e intuitiva que reduzca al mínimo la posibilidad de que el operario se equivoque a la hora de configurarlo y mantenerlo. Algunas de las características que definen a un firewall son:

4.1 Política de Seguridad

Consiste en determinar los principios generales en los que debe basarse el diseño de un sistema de seguridad, en nuestro caso un firewall:

Política Principal: Todo aquello que no esta expresamente permitido esta prohibido
Política de Diseño: Encaminada a la minimización y la simplicidad.
Política de Escepticismo: Tras dotar al firewall de todas las protecciones disponibles se toma en consideración que se pueden desarrollar nuevas técnicas y que ningún grado de seguridad es absoluto.

4.2 Registro de Operaciones

Como ya dijimos anteriormente, el firewall podía ser utilizado para obtener datos estadísticos acerca de la afluencia entre ambas redes. Pues bien, para poder realizar esta estadística deberá recoger, como mínimo, la siguiente información y almacenarla en algún fichero:

Service Information - fecha, y hora.
Remote Information - dirección IP del presunto intruso, así como el puerto y el protocolo utilizado.
Local Information - dirección IP de destino y puerto.
Filter Information - actuación del filtro y qué adaptador de red lo hizo.
Packet Information - encabezamiento e información del paquete.

Esta información también es muy útil en caso de producirse un ataque para poder conocer por donde se ha intentado entrar, cuándo y porqué, cuál ha sido la estrategia que ha seguido el firewall, si el ataque ha sido o no exitoso... Estos datos nos van a permitir poder hacer un seguimiento sobre el funcionamiento del firewall.

4.3 Interfaces

Con una política de seguridad lo suficientemente hermética y un firewall eficaz, el mayor riesgo provendrá de un error humano del administrador del firewall. Estos pueden incorporar un gran número de funciones que complican su trabajo de administración. Los firewall que cuentan con una buena interfaz reducen la posibilidad de errores humanos y simplifican el trabajo del administrador del firewall.

Una interfaz fácil de utilizar y con un número mínimo de opciones de configuración reduce la posibilidad de que se produzcan errores de administración. Naturalmente, un número menor de opciones de configuración puede significar también menor flexibilidad de configuración.

Existen tres clases de interfaz del administrador de firewalls:

Administración basada en ficheros de texto.
Administración basada en menús de texto.
Administración basada en GUI.

La interfaz basada en ficheros de texto es la de uso más extendido en lo que respecta a los firewalls de elaboración propia. Este tipo de interfaces permiten al administrador editar un archivo específico donde puede introducir parámetros de configuración específicos. Se trata de la interfaz de elección para los administradores de sistemas UNIX tradicionales, dado que ofrece una interfaz de control a bajo nivel con los mecanismos del firewall. La desventaja de dicho control a bajo nivel es que resulta mucho más fácil cometer errores, ya que, al editar un fichero, pueden producirse errores de escritura u otros errores técnicos que, en un sistema basado en menús, es menos probable que ocurran.

La interfaz de administrador basada en menús de texto presenta un menú basado en texto que reduce la probabilidad de producirse errores pero que proporciona menor capacidad de control para el administrador. Sin embargo, la posibilidad de error no queda totalmente excluida, dado que el administrador no siempre puede ver el efecto de algunos cambios.

La interfaz gráfica de usuario, o GUI, para administradores incorpora ventanas, botones, menús desplegables y pantallas de ayuda que facilitan el trabajo de configuración. La mayoría de proveedores ha optado por incluir esta interfaz en sus productos, puesto que tiende a ser más fácil de utilizar y no es susceptible a muchos de los errores que pueden producirse en los otros dos tipos de interfaz.

4.4 Autenticación de Usuarios

La dirección IP del host origen se emplea para efectuar el control básico de acceso. Sin embargo, esta dirección puede ser suplantada fácilmente, especialmente por hosts que forman parte de la misma red. Además, en el caso de conexiones procedentes de hosts multiusuario, la dirección de éstos no permite distinguir un usuario de otro. La mayoría de firewalls a nivel de aplicación soportan la autenticación de usuarios para algunos servicios de red. Para ello, el firewall interrumpe la conexión y solicita a los usuarios que se identifiquen antes de continuar la conexión hacia el destino deseado.

Sin embargo, la mayoría de protocolos de servicio de red no toleran dicha interrupción y, por lo tanto, no pueden soportar los métodos de autenticación, como contraseñas y tarjetas inteligentes. Otros protocolos como el correo electrónico o los grupos de noticias no establecen una conexión directa con el usuario, por lo que no es posible solicitar información para la identificación.

Los servicios de red estándar que contemplan la posibilidad de que un firewall pueda realizar funciones de autenticación son Telnet y FTP. Algunos firewall soportan también la autenticación para los servicios X11 y HTTP.

Los mecanismos estándar de autenticación que ofrecen los firewalls en la actualidad son contraseñas convencionales, tarjetas inteligentes y servicios S/Key. El mecanismo de contraseñas convencional emplea contraseñas multiuso y no es recomendable utilizarlo en Internet porque las contraseñas pueden ser interceptadas y empleadas más adelante por un intruso. Las tarjetas inteligentes verifican la identidad de un usuario devolviendo una respuesta única basada en un número aleatorio, que proporciona el firewall. Los usuarios responden introduciendo el número en un dispositivo autentificador, que calcula la respuesta apropiada.

4.5 Correlación de Direcciones

Antes de producirse el auge de Internet, muchas organizaciones poseían redes privadas desprovistas de conexión con otras redes también privadas. Como estaban aisladas entre sí, no tenían que solicitar a las autoridades de Internet direcciones de red no utilizadas. En lugar de ello, escogían cualquier clase de dirección IP que les apetecía.

Con el advenimiento de la Internet como parte de la infraestructura global, estas organizaciones han comenzado a conectarse a Internet y no pueden utilizar las mismas direcciones porque probablemente ya han sido asignadas a otro usuario.

Naturalmente, las organizaciones podrían solicitar una clase de dirección única, pero resultaría muy costoso cambiar todas sus computadoras y es difícil obtener las direcciones IP.

Otra solución consistiría en que el firewall correlacionara direcciones origen legales con direcciones de Internet legales en el momento que abandonan la intranet interna. En esta situación, es necesario descorrelacionar la dirección de destino de los paquetes de retorno o restaurarla a la dirección original.

En realidad, la correlación de direcciones no es una cuestión de seguridad, pero el firewall está situado generalmente en el punto ideal de la arquitectura de la red, a fin de proporcionar este servicio.

Una razón plausible para tener o mantener direcciones ilegales en la red es que puede poner trabas a los intrusos que hayan podido entrar en la misma evitando el firewall. En este caso, los paquetes del intruso pueden encontrar dificultades para llegar a la red, ya que los protocolos de direccionamiento estándar los dirigirán hacia el propietario de la dirección real. Ésta es una protección adicional mínima y, probablemente, no compensa la reducción de la velocidad y el aumento de la complejidad al tener que correlacionar todas las direcciones.

4.6 Restricciones de Día y Hora

La política de seguridad puede variar en función de del día de la semana y la hora del día. Por ejemplo, es posible permitir transferir archivos a Internet durante las horas laborales normales, aunque no durante los fines de semana o después de las 6 de la tarde. Algunos firewall permiten basar las reglas de acceso o listas de acceso en la hora del día y el día de la semana.

4.7 Control de la Carga

El control de la carga es una característica que ofrecen muy pocos firewalls. Para la mayoría de estos, cuando se permite el acceso, el host o la red pueden efectuar un número ilimitado de conexiones. Es útil poder establecer limitaciones al número de conexiones simultáneas con un host o una red de hosts que puede haber activas. Esta característica puede ayudar a impedir ataques por inundación, mediante los cuales un pirata informático inunda la red con conexiones a fin de ocultar el ataque real.

4.8 Canalización

La canalización es la capacidad de combinar múltiples servicios de aplicación en una única conexión. Los intrusos emplean en ocasiones esta técnica para disfrazar un servicio no autorizado (por ejemplo, FTP) como servicio autorizado (como el correo electrónico).

Un firewall puede proporcionar también la característica de canalización para permitir a dos sitios de una compañía compartir servicios en Internet que no serían autorizados normalmente a través del mismo.

5 Tipos de Firewalls

Existen tres tipos fundamentales de firewalls, pudiendo catalogarse en función al nivel en el que se encuentren. Esto no siempre es cierto ya que un firewall, para ser completo, deberá estar presente en todos los niveles.

5.1 Filtrador de Paquetes (Packet Filter)

Va a analizar la información contenida dentro de los paquetes IP antes de permitirles el acceso o no al ordenador. Para ello va a coger los paquetes IP y les va a aplicar unas reglas de filtrado. Normalmente se implementa mediante un router con 2 interfaces de red: uno de cara al interior y otro de cara al exterior.

Algunos firewalls de este estilo permiten establecer también filtros a nivel de puertos, con lo que podremos determinar que servicios dejamos pasar y cuales no. Además, algunos routers utilizan el bit de ACK del protocolo IP para el reconocimiento de la conexión. Cuando este bit está activo, quiere decir que el paquete está esperando la respuesta de otro paquete anterior que hemos lanzado nosotros. Usando esta técnica algunos firewalls permiten pasar cualquier tipo de información pero “si y solo si” la comunicación ha sido iniciada por una máquina interna.

El firewall va a contener en su interior una lista de filtros a aplicar. Estos filtros se aplican a los paquetes secuencialmente, de forma que si el paquete es aceptado por uno de ellos pasará al sistema, mientras que si no es así se le aplicará el siguiente filtro. Como es obvio, el último filtro no va a permitir el acceso a nada.

Fig 2. Funcionamiento de un Filtrador de Paquetes

5.2 Pasarelas a Nivel de Aplicación

Es el extremo opuesto a los filtradores de paquetes. En lugar de filtrar el flujo de paquetes, tratan los servicios por separado, utilizando el código adecuado en cada uno de ellos. Es probablemente el sistema más seguro, ya que no necesita utilizar complicadas listas de acceso y centraliza en un solo punto la gestión del servicio, además de que nos permitirá controlar y conocer información de cada uno de los servicios por separado.

Este tipo de firewalls es la única solución efectiva para el tratamiento de servicios cuya conexión debe ser iniciada desde el exterior. Servicios como FTP, Telnet o E-Mail deberán tratarse con esta categoría de firewall.

En realidad, lo que suele hacerse a la hora de trabajar con este sistema de protección es establecer una puerta de acceso para cada servicio. Como esta puerta es de uso obligatorio, podemos establecer sobre ella los criterios de control que mejor nos convengan. Una vez sobrepasada la puerta, puede ocurrir que la propia pasarela ofrezca el servicio de forma segura o que se establezca una conexión con un ordenador interno que realmente ofrezca el servicio, teniendo a éste último configurado para aceptar conexiones tan solo de dentro a afuera.

Fig 3. Pasarela a nivel de aplicación

5.3 Pasarelas a Nivel de Red

Se basan en el control de las conexiones TCP y su manera de actuar es la que sigue: por un lado reciben las peticiones de conexión a un puerto TCP y por el otro se establecen las conexiones con el destinatario deseado si se han cumplido las restricciones de acceso establecidas.

Normalmente, este tipo de firewalls trabajan junto a los servidores proxy. Si la acreditación es positiva se entabla la conexión. Por su forma de trabajar son muy adecuados para la recogida de información.

Este tipo de firewalls suele ser el más adecuado para el tratamiento de conexiones salientes, y con él no será nada complicado establecer restricciones sobre los ordenadores a los que se puede acceder o limitar el máximo de accesos permitidos.

5.4 Configuraciones de Firewalls

Acabamos de ver los 3 tipos de firewalls que existen, pero los hemos tratado de forma independiente, no como sistema. Cuando se realiza un firewall suelen emplearse todos o algunos de los tipos vistos anteriormente. Esto se debe a que cada uno de ellos realiza la protección a un nivel distinto, desde los paquetes de red, pasando por los puertos y llegando hasta el servicio propiamente dicho. De esta forma, cuanta más seguridad queramos, más componentes deberemos emplear en nuestro firewall.

Fig 4. Un firewall completo

El futuro de las firewalls se encuentra a medio camino entre las firewalls a nivel de red y las firewalls a nivel de aplicación empleando filtradores de paquetes. El resultado final de los estudios que se hagan será un sistema rápido de protección de paquetes que conecte y audite datos que pasan a través de el. Cada vez más, las firewalls tanto a nivel de red como de aplicación incorporan encriptación de modo que pueden proteger el tráfico que se produce entre ellas e Internet. Este tipo de firewall se puede utilizar por organizaciones con múltiples puntos de conexión a Internet para conseguir utilizar Internet como una "central privada" donde no sea necesario preocuparse de que los datos o contraseñas puedan ser capturadas.

6 Host Bastion

Probablemente, los hosts bastión son los tipos de firewall más comunes en el ámbito de las empresas, formando parte de un sistema de firewall más complejo.

La arquitectura basada en un host bastión consiste en un terminal que va a estar configurado para resistir los ataques procedentes del exterior. El blindaje del host bastión es importante porque se sitúa normalmente en un lugar expuesto directamente a Internet. Al igual que la mayoría de firewalls, el host bastión posee una conexión a la red interna y otra conexión a la red exterior (por lo general Internet). Esta forma de host bastión obligaba a los usuarios del interior a registrarse en el firewall y a efectuar desde el host bastión todas sus acciones con la red exterior. Su ventaja radicaba en el hecho de que esta configuración aislaba a los hosts internos del exterior, pero afectaba considerablemente la capacidad de los usuarios para interaccionar con la red exterior. A medida que evolucionó la tecnología de los bastiones, fueron agregándoseles aplicaciones proxy con el fin de que actuaran en representación del usuario. El resultado de esta evolución es la arquitectura basada en una pasarela a nivel de aplicación descrita anteriormente.

Fig 5. Un Host Bastion

Los hosts bastión pueden ser sustituibles, ya que van a estar configurados para resistir los ataques, pero si son vulnerados van a suponer una amenaza para la red interna. De este modo, ningún host que se encuentre dentro de ésta red interna debe confiar en ellos.

7 Integración con el Entorno

7.1 Integración de los firewalls con la auditoría de la Intranet.

Un gran número de sistemas operativos, como Windows NT y la mayoría de versiones de UNIX, incluyen mecanismos de auditoría en línea que vuelcan registros de auditoría sobre ficheros de registros.

Estos registros presentan dos desafíos. En primer lugar, puesto que aumentan de tamaño, los administradores de las intranets deben proporcionar medios para interpretar y utilizar la información auditada. Las herramientas para la detección de intrusiones son prometedoras en este aspecto.

En segundo lugar, los administradores de firewall deben determinar una forma de combinar estos registros de auditoría con los registros generados en la pasarela a nivel de aplicación a fin de descifrar los detalles de ataques potenciales que pueden haberse producido. Lamentablemente, los formatos estándar de los registros de auditoría no gozan de una amplia aceptación, lo cual dificulta una fácil compatibilidad.

7.2 Integración de los firewalls con los controles de acceso.

Cualquier control de acceso básico que puede obtenerse en un sistema operativo, aplicación o producto de red necesita también coordinarse con la protección que ofrece un firewall. De hecho, a medida que la seguridad de las redes evolucionó y maduró a lo largo de las décadas de los 70 y 80, la mayoría de redes de las organizaciones gubernamentales y privadas confiaban en los controles de acceso convencionales de los sistemas operativos y las aplicaciones como principal estrategia de protección.

Sin embargo, el problema principal de dicho enfoque residía en el hecho de que, para proteger adecuadamente todos los elementos de una empresa determinada por medio de los controles de acceso ofrecidos por el sistema operativo y las aplicaciones, era necesario garantizar antes un cierto nivel de uniformidad entre dichos sistemas operativos y las aplicaciones. Si, por ejemplo, una empresa hubiera tenido diez sistemas operativos diferentes ejecutándose en diez plataformas distintas, habría sido prácticamente imposible establecer una estrategia de seguridad uniforme para todos los sistemas operativos y las aplicaciones. Pero las empresas no están prácticamente nunca dispuestas a deshacerse de sus sistemas operativos y aplicaciones por razones de seguridad.

Este problema básico de integrar la seguridad del sistema operativo y de las aplicaciones en una empresa típica ayuda a explicar la gran aceptación que tienen los firewalls. Si se instala una defensa de perímetro en la red de una empresa, los sistemas operativos y las aplicaciones internas dejan de ser tan vulnerables a un ataque y, presumiblemente, causa de preocupación.

Así pues, un firewall permite establecer protecciones por control de acceso uniformemente en el perímetro y a medida que se necesitan dentro de los sistemas operativos y las aplicaciones de la empresa, tanto en los que son seguros como en los que no lo son.

7.3 Integración de firewalls con los navegadores WEB.

El advenimiento de la web ha hecho que un gran número de usuarios comiencen a interactuar con un firewall principalmente a través de su navegador de web. Por ello, es buena idea comprender de qué forma se integran habitualmente los firewalls con las funciones de los navegadores de web.

Existen dos posibilidades distintas para integrar un navegador con un firewall. En el primer caso se incluye en la intranet una función proxy genérica para firewall, normalmente basada en socks, que nos va a permitir el tráfico de salida de la intranet pero no el de regreso hacia ésta.

El segundo enfoque de configuración de un firewall es el más convencional, basado en proxies específicos para cada protocolo. La configuración de estos proxies consiste simplemente en especificar la ubicación del proxy correspondiente a cada protocolo seleccionado. Para realizar esta simple configuración es necesario conocer los nombres de las máquinas y los números de los puertos.

8 Puertos y Servicios

Los computadores, para comunicarse entre sí, utilizan una especie de conectores virtuales denominados puertos. Estos puertos no deben confundirse con los puertos hardware que existen en los computadores, como pueden ser el puerto serie, el puerto paralelo... en este apartado hablaremos de puertos de comunicaciones.

Podemos hacernos una idea del concepto comparando un ordenador con un terminal de teléfono. El teléfono permite llamar a miles de números diferentes, así como recibir llamadas realizadas desde cualquiera de ellos. Sin embargo, el teléfono no necesita para ello disponer de miles (o millones) de clavijas físicas, ya que a través de una única salida (y un único cable) se puede llamar al número que se desee y/o recibir llamadas desde cualquier número.

El ordenador funciona de forma similar. Para establecer una conexión entre 2 equipos será necesario proporcionar el número que identifica al ordenador con el que desea conectar (conocido por su dirección IP) y el número que identifica un determinado puerto al que se desea acceder de esa máquina concreta. Si esa dirección IP está disponible para recibir peticiones en ese puerto, la comunicación se establece conforme a unas reglas preestablecidas denominadas protocolos. Por lo general, un equipo de usuario actuará como cliente, que solicita información disponible en un servidor, donde se ejecutará un determinado servicio dedicado a satisfacer ese tipo de peticiones. Aún así, la transmisión de datos acostumbra a ser bidireccional, de modo que el servidor llamado también necesita enviar los datos solicitados a algún puerto del cliente. Por último, la transmisión de datos entre ambas máquinas no se realiza en forma de flujo continuo, sino como una serie de paquetes individuales, cada unos de los cuales lleva en su cabecera los datos de identificación necesarios para llegar a su destino y ser reubicado allí en el lugar que le corresponda para recomponer el mensaje original.

Fig 6. Comunicación bidireccional cliente - servidor

Cuando hablamos de servicios nos referimos a protocolos a nivel de aplicación. Estos servicios se identifican mediante el número del puerto de destino, teniendo estos servicios números de puertos conocidos que son fijos (como por ejemplo telnet, que tiene el puerto 21).

Para que una aplicación pueda utilizar un servicio determinado va a emplear la técnica vista anteriormente: se establece la comunicación entre una dirección IP y un puerto determinado de esa dirección IP. Es muy importante que los firewall nieguen cualquier servicio que no puedan reconocer y que el cliente NO tenga abiertos los puertos que ofrecen servicios propios de un servidor.

El rango de numeración de los puertos abarca desde 0 a 65535. Dentro de ese rango, se diferencian tres subcategorías:

Los puertos 0-1023 se denominan Puertos Conocidos (“Well Known Ports”) dado que su uso está estandarizado y se limita por lo general a usuarios privilegiados y procesos del sistema.
Los puertos 1024-49151 se denominan Puertos Registrados y son utilizados por los programas y procesos de los usuarios normales.
Los puertos 49152-65535 se denominan Dinámicos o Privados.

El funcionamiento de los servicios se entenderá mejor con un ejemplo. Cuando un usuario teclea una dirección web está haciendo una llamada al puerto 80 (www) de un servidor, desde un puerto (a partir del 1024) del computador desde el que llama, que va a ser el cliente. Si está disponible, el servidor web responderá a ese mismo puerto de su ordenador, y se establecerá entre ambos el intercambio de datos.

A la vista de este simple ejemplo, se puede ver que no podemos bloquear todos los puertos de nuestros ordenadores, puesto que nos quedaríamos incomunicados. No obstante, también se hace evidente que si mantenemos abiertos puertos innecesarios, ofreciendo al exterior servicios que no deseamos ofrecer, nuestro ordenador hará de servidor (quizás sin nuestro conocimiento) y cualquiera podrá conectarse a nuestra máquina y establecer comunicaciones con ella, con muy diversos fines. El ordenador de un usuario doméstico generalmente necesitará ser capaz de iniciar comunicaciones y sostenerlas, pero no tiene ningún sentido que atienda peticiones de servicios no autorizadas originadas en el exterior. Puesto que -como ya hemos dicho- los paquetes de datos llevan identificadores de su origen y destino (y otros). De esta forma ya podemos entrever que:

Filtrar adecuadamente estos paquetes
Controlar los puertos
No ofrecer servicios innecesarios

Van a ser los tres pilares fundamentales de nuestro futuro sistema de seguridad. Empezamos así a aproximarnos al concepto mismo de firewall personal.

Para finalizar con este apartado, he aquí una lista de servicios mínimos y básicos soportados por la mayoría de los firewalls y una breve descripción de los mismos:

8.1 Servicios Internet Integrados en UNIX

DNS (Protocolo TCP o UDP número de puerto 53)

Por lo general, el Domain Name System. (DNS) no es un servicio que utilicen directamente los usuarios. Consiste en una base de datos utilizada para asociar nombres a direcciones IP. Cuando un usuario solicita conectarse a un host, la aplicación de red llama al DNS para averiguar la dirección IP asociada al host.

Los servidores DNS comparten información, siendo precisamente de esta capacidad de la que debemos protegemos, debido a que no es deseable que ningún servidor DNS de Internet pueda actualizar los nombres de servidor de la red propia. En una situación de este tipo, los atacantes pueden redefinir la dirección de un host externo a la Intranet con una dirección de confianza de la red con la dirección de un host interno.

El firewall debe permitir a los servidores DNS de la red propia el acceso a servidores de nombres del exterior e incluso su actualización con direcciones nuevas, negando a los externos poder actualizar los registros de los servidores de nuestra red.

RPC (Protocolos TCP, UCP)

Remote Procedure Call (RPC) fue desarrollado inicialmente por Sun Microsystems y se basa en un concepto muy simple: un computador hace una llamada a un servidor solicitándole un servicio. A partir de entones, se creará en el cliente un `representante' de ese servicio, de tal forma que cualquier proceso lo pueda invocar localmente, al igual que lo haría con cualquier otra rutina del Sistema Operativo. Este `representante' se encarga simplemente de transmitir las llamadas al servidor real para que éste las procese y devuelva la respuesta, que será entregada al usuario a través del `representante'.

E-MAIL (Protocolo TCP Puerto número 25)

Mail, o "e-mail", es uno de los servicios más utilizados en Internet. Permite a los usuarios enviar mensajes sin que sea necesario establecer una conexión directa entre el host remitente y el host destinatario. Un mensaje de correo puede recorrer un gran número de hosts antes de llegar a su destino. El protocolo de correo estándar que se emplea en Internet es el Simple Mail Transfer Protocol (SMTP).

Otro protocolo de mensajería muy empleado es el POP, que permite a un agente de usuario de correo recoger los mensajes destinados a un usuario concreto.

También se ha desarrollado otro protocolo: Multipurpose Internet Mail Extensions (MIME), que permite transmitir mensajes con una semántica adicional en el contenido, como puede ser la transmisión de caracteres extendidos, distintos del ASCII, que soporta SMTP. También permite la ejecución automática en el ordenador receptor de cualquier programa, si no se establecen los mecanismos de protección adecuados.

8.2 Servicios de Transferencia de Ficheros

FTP (Protocolo TCP Puerto número 21)

FTP o File Transfer Protocol (protocolo de transferencia de archivos). Se trata del protocolo estándar para transferir archivos entre sistemas que soporta una autenticación sencilla de contraseñas.

Permite la transmisión de ficheros de texto y binarios, aparte de funciones sencillas de gestión de los directorios como puede ser listar o borrar los ficheros remotos.

El sistema FTP más utilizado en Internet es el FTP Anónimo, que permite a usuarios no autorizados recoger ficheros de una zona restringida del disco.

Para cada archivo FTP o transferencia de información, se establece habitualmente una conexión de red aparte desde el host de destino hacia el host desde donde se origina la conexión FTP. El firewall debe ser capaz de permitir esta segunda conexión en el sentido contrario ya que si no, no se transferirán los datos. Por lo general, un puerto origen TCP de 20 identifica la conexión de datos.

NFS (Protocolo UDP, Puerto número 2049)

Network File System (NFS) permite a los usuarios compartir sistemas de ficheros con otros usuarios. Este tipo de característica es un estándar de las redes de PC como Novell Netware o Microsoft Windows. El NFS estándar proporciona muy poca seguridad y, por eso, es vulnerable a los ataques.

La mayoría de expertos en firewall recomiendan no permitir conexiones NFS a través del firewall, aunque muchos administradores de intranets ,especialmente en entornos académicos, no están dispuesto a prescindir de este servicio. De todos modos, las pasarelas a nivel de aplicación no soportan habitualmente este servicio y el filtrado de paquetes no elimina el riesgo que trae el mismo.

8.3 Servicios de Conexión

Telnet (Protocolo TCP Puerto número 23)

TeInet es el protocolo y aplicación estándar para la entrada en sistemas remotos. Una sesión de Telnet suele iniciarse invocando al proceso de login, para que el usuario se acredite e inicialice la sesión.

Proporciona una conexión entre dos sistemas basada en carácter. Todos los firewall de pasarela a nivel de aplicación lo soportan. Muchos de ellos pueden además autentificar el usuario Telnet en el propio firewall.

rLogin (Protocolo TCP, Puerto número 513)

El comando rlogin (login remoto) es utilizados para acceder desde un sistema local a otro remoto. Pero no se recomienda su uso para acceder a/o desde Internet porque la mayoría de ellos no soportan funciones adecuadas para la autenticación de usuarios.

X11 (Protocolo TCP Puerto número 6.000 y superiores)

X11 se emplea principalmente en el entorno gráfico de usuario, de uso generalizado en estaciones de trabajo UNIX. La mayoría de servidores X soportan más de un puerto Xserver 6.001, y es posible emplear números de puerto superiores a este último.

X11 va a permitir a una aplicación remota presentar gráficos y aceptar órdenes de un ratón en una estación de trabajo X o en un PC que soporta una interfaz XWindows. Sin embargo, esta potencia se proporciona a expensas de un cierto riesgo para la seguridad, ya que la aplicación remota puede tomar completamente el control de la pantalla, del teclado e incluso del ratón. Si tiene previsto establecer conexiones X11 desde Internet, el firewall debe poder soportar este tipo de operaciones, además de filtrar las conexiones o comandos X11 no deseados.

8.4 Servicios de Información

WWW (Protocolo TCP Puerto número 80 y otros)

Probablemente, la World Wide Web (WWW) es la principal responsable del repentino interés y expansión que ha experimentado Internet actualmente. El principal protocolo de servicio empleado por la Web es el Hypertext Transfer Protocol (HTTP), que permite a los usuarios transferir documentos desde un servidor HTTP Este protocolo está soportado por aplicaciones cliente gráficas conocidas como navegadores o browsers.

Generalmente, un ordenador cliente contacta con un servidor, al cual envía una referencia a una información. El servidor contestará con un fichero o con referencias a otros servidores donde puede encontrarse la información solicitada.

Son varios los problemas de seguridad que se han relacionado con el HTTP y, principalmente, a los servidores y navegadores asociados al mismo ya que, entre otras cosas, nunca salen al 100% libres de errores.

Network News (Protocol TCP Puerto número 119)

El servicio de noticias es otro servicio de uso bastante generalizado. Permite a los usuarios acceder a grupos de noticias a fin de leer información o de participar en debates. Los grupos de noticias constan de una serie de mensajes que tienen un tema común. Los usuarios pueden leer estos mensajes y agregar los suyos propios. Existe un grupo de noticias para prácticamente cualquier tema imaginable. El protocolo empleado es el Network News Transfer Protocol (NNTP), que es similar al SMTP empleado en el correo electrónico.

IRC (Protocolo TCP, puerto número 6667)

La aplicación Internet Relay Chat (IRC) ofrece la posibilidad de participar en conferencias con múltiples usuarios en un entorno de texto. Con una aplicación IRC cliente, un usuario puede ponerse en contacto con un servidor IRC y unirse a una conversación.

La principal amenaza asociada a este servicio no es inherente al protocolo, sino que representa más bien una amenaza de ingeniería social. Entre otras cosas, la ingeniería social es el acto que puede perpetrar un atacante para obligar a un usuario o administrador a que proporcione información de autenticación o a que reduzca los controles de seguridad. Un usuario de Internet puede intentar convencer a un usuario interno para que modifique la configuración de su computadora a fin de proporcionar una característica determinada. Dicha modificación puede ser un método del que le servirá al usuario externo para penetrar en la computadora del usuario interno. Un proxy IRC situado en el firewall no tiene una gran utilidad para contrarrestar esta amenaza.

Finger (Protocolo TCP, puerto 79)

El servicio finger fue desarrollado para permitir a los usuarios de una red poder localizar a otros usuarios. Gracias a finger es posible averiguar nombres de entrada en el sistema (logins), y los nombres reales de los usuarios. Esta es una información valiosa para un intruso potencial, por lo que el firewall debe prohibir cualquier solicitud de finger procedente del exterior. Una alternativa para descartar las solicitudes de finger procedentes del exterior es tener un proxy de finger que muestre un mensaje estándar como "Esta red no soporta el servicio finger".

9 Glosario de Términos Relacionados con Firewall.

En esta lista aparecen algunos términos vinculados de alguna manera con los firewall. Como son muchísimos sólo se han recogido algunos de ellos, y son:

Abuso de privilegio: se produce cuando un usuario realiza una acción que no tiene asignada de acuerdo a la política organizativa o a la ley.

Ataque interior: es un ataque originado desde dentro de la propia red protegida.

Autentificación: proceso que determina la identidad de un usuario que está intentando acceder a un sistema.

Autorización: proceso destinado a determinar que tipos de actividades se permiten. Normalmente la autorización se encuentra en el contexto de la autentificación: una vez autentificado el usuario en cuestión, se les puede autorizar realizar diferentes tipos de acceso o actividades.

Bastion Host: un sistema que ha sido configurado para resistir los ataques y que se encuentra instalado en una red en la que se prevé que habrá ataques. Normalmente, un bastion host está ejecutando alguna aplicación o sistema operativo de propósito general (como: UNIX o WNT) más que un sistema operativo de firewall.

Detección de intrusión: detección de rupturas o intentos de rupturas bien sea manual o vía sistemas expertos de software que atentan contra las actividades que se producen en la red o contra la información disponible en la misma.

Dual Homed Gateway: es un sistema que tiene 2 o más interfaces de red, cada uno de los cuales está conectado a una red diferente. En las configuraciones firewall, un "dual homed gateway" actúa generalmente, como bloqueo o filtrador de parte o del total del tráfico que intenta pasar entre las redes.

Logging: el proceso de almacenamiento de información sobre eventos que ocurren en el firewall o en la red.

Política: reglas de gobierno a nivel empresarial / organizativo que afectan a los recursos informáticos, prácticas de seguridad y procedimientos operativos.

Proxy: un agente software que actúa en beneficio de un usuario. Los proxies típicos, aceptan una conexión de un usuario, toman una decisión al respecto de si el usuario o cliente IP es o no un usuario del proxy, quizás realicen procesos de autentificación adicionales y entonces completan una conexión entre el usuario y el destino remoto.

Router - Encaminador -: dispositivo destinado a conectar 2 o más redes de área local y que se utiliza para encaminar la información que atraviesa dicho dispositivo.

Screened Host: un host detrás de un router protegido. El grado en que el host puede ser accesible depende de las reglas de protección del router.

Screened Subnet: una subred detrás de un router protegido. El grado en que la subred puede ser accesible depende de las reglas de protección del router.

Conclusiones

La ventaja obtenida de poder obtener información contenida en varias redes trae consigo muchas dificultades en cuanto a la seguridad y privacidad. No debemos olvidar que una red es tan débil como su punto más vulnerable y, que en el caso de Internet, los protocolos no fueron diseñados para sostener comunicaciones seguras.

Un usuario casero, aunque no se de cuenta, tampoco debe descuidar el acceso indiscriminado a su ordenador, ya que la supresión o el acceso a cierta información relevante acerca de él puede costarle más de un disgusto.

Lo mas seguro es no tener acceso a nada, pero esto no nos produciría ninguna ventaja. La mejor solución pasa por permitir ciertas clases de accesos y negar otros. Esta clase de seguridad se puede implementar mediante un Firewall.

Referencias

Novatica , Seguridad e Informática. Número 116. Julio - Agosto de 1995

www.kriptopolis.com

www.geocities.com/multi_educa/rpv.html

www.cyberangels.org/international/espanol/net-ed/firewalls.html

www.geocities.com/TimesSquare/Alley/8532/proxiesII.txt

www.geocities.com/siliconvalley/way/4651/seguridad/firewalls/

El contenido de estas direcciones se encuentra referido al mes de Abril de 2001

Seguridad en Redes: Firewalls

Ampliación de Sistemas Operativos

Filtrador de paquetes

Pasarelas a nivel de aplicación