320 likes | 670 Views
Cortafuegos. Gabriel Montañés León. Concepto . Utilización de cortafuegos . Un cortafuegos ( firewall en inglés) es una parte de un sistema o una red que está diseñada para bloquear el acceso no autorizado, permitiendo al mismo tiempo comunicaciones autorizadas.
E N D
Cortafuegos Gabriel Montañés León
Concepto . Utilización de cortafuegos Un cortafuegos (firewall en inglés) es una parte de un sistema o una red que está diseñada para bloquear el acceso no autorizado, permitiendo al mismo tiempo comunicaciones autorizadas. Se trata de un dispositivo o conjunto de dispositivos configurados para permitir, limitar, cifrar, descifrar, el tráfico entre los diferentes ámbitos sobre la base de un conjunto de normas y otros criterios. Los cortafuegos pueden ser implementados en hardware o software, o una combinación de ambos. Los cortafuegos se utilizan con frecuencia para evitar que los usuarios de Internet no autorizados tengan acceso a redes privadas conectadas a Internet, especialmente intranets. Todos los mensajes que entren o salgan de la intranet pasan a través del cortafuegos, que examina cada mensaje y bloquea aquellos que no cumplen los criterios de seguridad especificados. También es frecuente conectar al cortafuegos a una tercera red, llamada Zona desmilitarizada o DMZ, en la que se ubican los servidores de la organización que deben permanecer accesibles desde la red exterior.
Historia de los cortafuegos. • El término "firewall / fireblock" significaba originalmente una pared para confinar un incendio o riesgo potencial de incendio en un edificio. Más adelante se usa para referirse a las estructuras similares, como la hoja de metal que separa el compartimiento del motor de un vehículo o una aeronave de la cabina. La tecnología de los cortafuegos surgió a finales de 1980, cuando Internet era una tecnología bastante nueva en cuanto a su uso global y la conectividad. Los predecesores de los cortafuegos para la seguridad de la red fueron los routers utilizados a finales de 1980, que mantenían a las redes separadas unas de otras. • Clifford Stoll, que descubrió la forma de manipular el sistema de espionaje alemán. • Bill Cheswick, cuando en 1992 instaló una cárcel simple electrónica para observar a un atacante. • En 1988, un empleado del Centro de Investigación Ames de la NASA, en California, envió una nota por correo electrónico a sus colegas que decía: • "Estamos bajo el ataque de un virus de Internet! Ha llegado a Berkeley, UC San Diego, Lawrence Livermore, Stanford y la NASA Ames." • El Gusano Morris, que se extendió a través de múltiples vulnerabilidades en las máquinas de la época. Aunque no era malicioso, el gusano Morris fue el primer ataque a gran escala sobre la seguridad en Internet; la red no esperaba ni estaba preparada para hacer frente a su ataque.
Primera generación – cortafuegos de red: filtrado de paquetes • El filtrado de paquetes actúa mediante la inspección de los paquetes . Si un paquete coincide con el conjunto de reglas del filtro, el paquete se reducirá o será rechazado. Este tipo de filtrado de paquetes no presta atención a si el paquete es parte de una secuencia existente de tráfico. En su lugar, se filtra cada paquete basándose únicamente en la información contenida en el paquete en sí . Los protocolos TCP y UDP comprenden la mayor parte de comunicación a través de Internet, utilizando por convención puertos bien conocidos para determinados tipos de tráfico, por lo que un filtro de paquetes puede distinguir entre ambos tipos de tráfico; a menos que las máquinas a cada lado del filtro de paquetes son a la vez utilizando los mismos puertos no estándar. • El filtrado de paquetes llevado a cabo por un cortafuegos actúa en las tres primeras capas del modelo de referencia OSI, lo que significa que todo el trabajo lo realiza entre la red y las capas físicas. • Cuando el emisor origina un paquete y es filtrado por el cortafuegos, éste último comprueba las reglas de filtrado de paquetes que lleva configuradas, aceptando o rechazando el paquete en consecuencia. Cuando el paquete pasa a través de cortafuegos, éste filtra el paquete mediante un protocolo y un número de puerto base (GSS). Por ejemplo, si existe una norma en el cortafuegos para bloquear el acceso telnet, bloqueará el protocolo IP para el número de puerto 23.
Segunda generación – cortafuegos de estado • Durante 1989 y 1990, tres colegas de los laboratorios AT&T Bell, DavePresetto, JanardanSharma, y NigamKshitij, desarrollaron la tercera generación de servidores de seguridad. Esta tercera generación cortafuegos tiene en cuenta además la colocación de cada paquete individual dentro de una serie de paquetes. Esta tecnología se conoce generalmente como la inspección de estado de paquetes, ya que mantiene registros de todas las conexiones que pasan por el cortafuegos, siendo capaz de determinar si un paquete indica el inicio de una nueva conexión, es parte de una conexión existente, o es un paquete erróneo. Este tipo de cortafuegos pueden ayudar a prevenir ataques contra conexiones en curso o ciertos ataques de denegación de servicio.
Tercera generación - cortafuegos de aplicación • Son aquellos que actúan sobre la capa de aplicación del modelo OSI. La clave de un cortafuegos de aplicación es que puede entender ciertas aplicaciones y protocolos (por ejemplo: protocolo de transferencia de ficheros, DNS o navegación web), y permite detectar si un protocolo no deseado se coló a través de un puerto no estándar o si se está abusando de un protocolo de forma perjudicial. • Un cortafuegos de aplicación es mucho más seguro y fiable cuando se compara con un cortafuegos de filtrado de paquetes, ya que repercute en las siete capas del modelo de referencia OSI. En esencia es similar a un cortafuegos de filtrado de paquetes, con la diferencia de que también podemos filtrar el contenido del paquete. El mejor ejemplo de cortafuegos de aplicación es ISA (Internet Security and Acceleration). • Un cortafuegos de aplicación puede filtrar protocolos de capas superiores tales como FTP, TELNET, DNS, DHCP, HTTP, TCP, UDP y TFTP (GSS). Por ejemplo, si una organización quiere bloquear toda la información relacionada con una palabra en concreto, puede habilitarse el filtrado de contenido para bloquear esa palabra en particular. No obstante, los cortafuegos de aplicación resultan más lentos que los de estado.
Funciones principales de un cortafuegos Filtrado de paquetes de datos • El término en inglés por el que se los conoce es Packet Filter Firewalls. Se trata del tipo más básico de cortafuegos. Analizan el tráfico de la red fundamentalmente en la capa 3, teniendo en cuenta a veces algunas características del tráfico generado en las capas 2 y/o 4 y algunas características físicas propias de la capa 1. Los elementos de decisión con que cuentan a la hora de decidir si un paquete es válido o no son los siguientes: • La dirección de origen desde donde, supuestamente, viene el paquete (capa 3). • La dirección del host de destino del paquete (capa 3). • El protocolo específico que está siendo usado para la comunicación, frecuentemente Ethernet o IP aunque existen cortafuegos capaces de desenvolverse con otros protocolos como IPX, NetBios, etc (capas 2 y 3). • El tipo de tráfico: TCP, UDP o ICMP (capas 3 y 4). • Los puertos de origen y destino de la sesión (capa 4). • El interfaz físico del cortafuegos a través del cual el paquete llega y por el que habría que darle salida (capa 1), en dispositivos con 3 o más interfaces de red.
Filtrado por aplicación • La práctica totalidad de los cortafuegos de este tipo, suelen prestar servicios de Proxy. Tanto es así que a menudo se identifican biunívocamente unos con otros. Un Proxy es un servicio específico que controla el tráfico de un determinado protocolo (como HTTP, FTP, DNS, etc.), proporcionando un control de acceso adicional y un detallado registro de sucesos respecto al mismo. Los servicios o agentes típicos con que cuentan este tipo de dispositivos son: DNS, Finger, FTP, HTTP, HTTPS, LDAP, NMTP, SMTP y Telnet. Algunos fabricantes proporcionan agentes genéricos que, en teoría, son capaces de inspeccionar cualquier protocolo de la red, pero lógicamente, usarlos le resta robustez al esquema y facilita a un intruso la labor de establecer un túnel (tunneling) a través de él. • Los agentes o servicios Proxy están formados por dos componentes: un servidor y un cliente. Ambos suelen implementarse como dos procesos diferentes lanzados por un único ejecutable. El servidor actúa como destino de las conexiones solicitadas por un cliente de la red interna. El cliente del servicio proxy es el que realmente encamina la petición hacía el servidor externo y recibe la respuesta de este. • Posteriormente, el servidor proxy remite dicha respuesta al cliente de la red interna. De esta forma estamos creando un aislamiento absoluto, creando comunicación directa entre la red interna y la externa
Reglas de filtrado • La familia de los firewalls de filtrado de paquetes sobre la pila de protocolos TCP/IP, son llamados IPFW. • Los firewalls, son principalmente, una herramienta de seguridad y prevención ante ataques externos. Es decir, un IPFW funciona filtrando las comunicaciones en ambos sentidos entre su interfaz interna (la que lo conecta a su red) y la externa. El mecanismo de funcionamiento para realizar este filtrado es a través de una lista de reglas. • Las reglas, pueden ser de dos tipos; de aceptación y de rechazo, aunque en realidad, éste última se descompone en dos “subtipos”, es decir, en términos de aceptación, rechazo y denegación. En iptables, un IPFW se corresponde con los argumentos ACCEPT, REJECT y DROP, respectivamente. • La lista de reglas de entrada (del exterior hacia la red) es totalmente independiente de la lista de reglas de filtrado de salida (de la red hacia el exterior). Las distintas listas de reglas se llaman cadenas (chains).
Registro de sucesos de un cortafuegos • Puede habilitar el registro de sucesos del cortafuegos como ayuda para identificar el origen del tráfico entrante y obtener información detallada acerca de qué tráfico se está bloqueando. Normalmente el tráfico saliente correcto no se registra. El tráfico saliente que no está bloqueado no se registra.
Listas de control de acceso (ACL) • Una lista de control de acceso o ACL es un concepto de seguridad informática usado para fomentar la separación de privilegios. Es una forma de determinar los permisos de acceso apropiados a un determinado objeto, dependiendo de ciertos aspectos del proceso que hace el pedido. • Las ACL permiten controlar el flujo del tráfico en equipos de redes, tales como enrutadores y conmutadores. Su principal objetivo es filtrar tráfico, permitiendo o denegando el tráfico de red de acuerdo a alguna condición. Sin embargo, también tienen usos adicionales, como por ejemplo, distinguir "tráfico interesante" (tráfico suficientemente importante como para activar o mantener una conexión) en RDSI. • En redes informáticas, ACL se refiere a una lista de reglas que detallan puertos de servicio o nombres de dominios (de redes) que están disponibles en un terminal u otro dispositivo de capa de red, cada uno de ellos con una lista de terminales y/o redes que tienen permiso para usar el servicio. Tanto servidores individuales como enrutadores pueden tener ACL de redes. Las listas de control de acceso pueden configurarse generalmente para controlar tráfico entrante y saliente y en este contexto son similares a un cortafuegos. • Listas estándar, donde solo tenemos que especificar una dirección de origen; • Listas extendidas, en cuya síntaxis aparece el protocolo y una dirección de origen y de destino.
Ventajas y Limitaciones de los cortafuegos Ventajas Administran los accesos provenientes de Internet hacia la red privada. Sin un firewall, cada uno de los servidores propios del sistema se exponen al ataque de otros servidores en Internet. Por ello la seguridad en la red privada depende de la "dureza" con que el firewall cuente. Administran los accesos provenientes de la red privada hacia el Internet. Permite al administrador de la red mantener fuera de la red privada a los usuarios no autorizados tal como (hackers , crackers y espías), prohibiendo potencialmente la entrada o salida de datos. El firewall crea una bitácora en donde se registra el tráfico más significativo que pasa a través él. Concentra la seguridad Centraliza de los accesos Protección de información privada: Define que usuarios de la red y que información va a obtener cada uno de ellos. Optimización de acceso: Define de manera directa los protocolos a utilizarse
Desventajas • Un firewall no puede protegerse contra aquellos ataques que se efectúen fuera de su punto de operación. Por ejemplo, si existe una conexión PPP ( POINT-TO-POINT ) al Internet. • El firewall no puede prohibir que se copien datos corporativos en disquetes o memorias portátiles y que estas se substraigan del edificio. • El firewall de Internet no puede contar con un sistema preciso de SCAN para cada tipo de virus que se puedan presentar en los archivos que pasan a través de él, pues el firewall no es un antivirus. • El firewall no puede ofrecer protección alguna una vez que el agresor lo traspasa. • No protege de ataques que no pasen a través del firewall. • No protege amenazas y ataques de usuarios negligentes. • No protege de la copia de datos importantes si se ha obtenido acceso a ellos. • No protege de ataques de ingeniería social (ataques mediante medios legítimos).
Políticas de cortafuegos Política restrictiva: Se deniega todo el tráfico excepto el que está explícitamente permitido. El cortafuegos obstruye todo el tráfico y hay que habilitar expresamente el tráfico de los servicios que se necesiten. Esta aproximación es la que suelen utilizar las empresas y organismos gubernamentales. Política permisiva: Se permite todo el tráfico excepto el que esté explícitamente denegado. Cada servicio potencialmente peligroso necesitará ser aislado básicamente caso por caso, mientras que el resto del tráfico no será filtrado. Esta aproximación la suelen utilizar universidades, centros de investigación y servicios públicos de acceso a internet. La política restrictiva es la más segura, ya que es más difícil permitir por error tráfico potencialmente peligroso, mientras que en la política permisiva es posible que no se haya contemplado algún caso de tráfico peligroso y sea permitido por omisión.
Tipos de cortafuegos Clasificación por ubicación Cortafuegos personales (para PC): son programas que se instalan de forma residente en nuestro ordenador y que permiten filtrar y controlar la conexión a la red. Cortafuegos para pequeñas oficinas: son programas que se instalan de forma residente en un aparato (router) y que permiten filtrar y controlar la conexión a la red. Cortafuegos corporativos: es un cortafuegos para sistemas interconectados de organizaciones y empresas en donde cierta cantidad de equipos podrían estar conectados en red compartiendo y accediendo a cientos de recursos simultáneamente. Estos sistemas tienen el objetivo de filtrar las comunicaciones en el borde de la organización.
Los principales aspectos críticos que deberá resolver la configuración del cortafuegos en los sistemas corporativos se centrarán en las siguientes problemáticas: • Comunes con el usuario: usurpación de la identidad e integridad de la información. • Accesos autorizados: permitir el acceso a las direcciones de origen validadas y autorizadas. • Aplicaciones autorizadas: permitir el acceso a las aplicaciones en función de la identidad validada. • Filtrado de solicitudes de conexión desde nuestra red a Internet. • Protección de los datos de identidad de nuestros usuarios en los accesos autorizados a Internet. • Protección ante “caballos de troya”, en forma de archivos Java, PostScript, etc. • Realizar todas las funciones anteriores sin afectar a las prestaciones y funcionalidades de Internet que los usuarios internos demandan.
Clasificación por tecnología • Filtros de paquetes: Es un cortafuegos que consiste en filtrar paquetes de red, con el objetivo de que el router pueda bloquear o permitir la comunicación mediante las listas de control de acceso (ACL) en función de las características de la tramas de los paquetes. Para determinar el filtrado se miran las direcciones origen y destino, el protocolo, los puertos origen y destino (en el caso de TCP y UDP), el tipo de mensaje (en el caso de ICMP) y los interfaces de entrada y salida de la trama en el router. La desventaja de este cortafuegos es que no dispone de un sistema de monitorización sofisticado y el administrador no distingue entre si el router está siendo atacado o si su seguridad se ha visto comprometida. • Hibrido: Conscientes de las debilidades de los firewalls de filtrado de paquetes y de los de nivel de aplicación, algunos proveedores han introducido firewalls híbridos que combinan las técnicas de los otros dos tipos. Debido a que los firewalls híbridos siguen basándose en los mecanismos de filtrado de paquetes para soportar ciertas aplicaciones, aún tienen las mismas debilidades en la seguridad.
Proxy de aplicación: Además del filtrado de paquetes, es habitual que los cortafuegos utilicen aplicaciones software para reenviar o bloquear conexiones a servicios como finger, telnet o FTP; a tales aplicaciones se les denomina servicios proxy, mientras que a la máquina donde se ejecutan se le llama pasarela de aplicación. Los servicios proxy poseen una serie de ventajas de cara a incrementar nuestra seguridad: En primer lugar, permiten únicamente la utilización de servicios para los que existe un proxy, por lo que si en nuestra organización la pasarela de aplicación contiene únicamente proxies para telnet, HTTP y FTP, el resto de servicios no estarán disponibles para nadie. • Una segunda ventaja es que en la pasarela es posible filtrar protocolos basándose en algo más que la cabecera de las tramas, lo que hace posible por ejemplo tener habilitado un servicio como FTP pero con órdenes restringidas (podríamos bloquear todos los comandos put para que nadie pueda subir ficheros a un servidor). • El principal inconveniente que encontramos a la hora de instalar una pasarela de aplicación es que cada servicio que deseemos ofrecer necesita su propio proxy; además se trata de un elemento que frecuentemente es más caro que un simple filtro de paquetes, y su rendimiento es mucho menor (por ejemplo, puede llegar a limitar el ancho de banda efectivo de la red, si el análisis de cada trama es costoso).
Arquitectura de cortafuegos Cortafuego de filtrado de paquetes: Es un cortafuegos que consiste en filtrar paquetes de red, con el objetivo de que el router pueda bloquear o permitir la comunicación mediante las listas de control de acceso (ACL) en función de las características de la tramas de los paquetes. Para determinar el filtrado se miran las direcciones origen y destino, el protocolo, los puertos origen y destino (en el caso de TCP y UDP), el tipo de mensaje (en el caso de ICMP) y los interfaces de entrada y salida de la trama en el router. La desventaja de este cortafuegos es que no dispone de un sistema de monitorización sofisticado y el administrador no distingue entre si el router está siendo atacado o si su seguridad se ha visto comprometida.
Cortafuego Dual-HomedHost: Es un cortafuegos que se instala en un host con dos tarjetas de red que actúa como router entre dos redes. Tiene la función de permitir directamente la comunicación de una red a (red privada) a otra red B (red pública); pero la comunicación de la red B a la red A no se permite directamente. El sistema interno al Firewall puede comunicarse con el dual-homed host, y los sistemas fuera de Firewall también pueden comunicarse con él, pero los sistemas no pueden comunicarse directamente entre ellos. En la estructura se implementa entre la red interna y la externa junto a un host bastion. • Screened Host: Cortafuegos que se combina con un host bastion, situado entre la red externa y el host bastion situado en la red interna. El cortafuegos filtra los paquetes de modo que el host bastion es el único sistema accesible desde la red externa, y se permite a los host de la red interna establecer conexiones con la red externa de acuerdo con unas políticas de seguridad. • ScreenedSubnet (DMZ): Este cortafuegos se realiza en una estructura DMZ donde se emplean dos routers exterior e interior, entre los router se incluye el host bastión. El router exterior bloquea el tráfico no deseado en ambos sentidos, por otro lado el router interior bloquea el tráfico no deseado tanto hacia la red DMZ como hacia la red interna. De este modo, para atacar la red protegida se tendría que romper la seguridad de ambos routers.
Pruebas de funcionamiento. Sondeo Tener un cortafuegos para navegar en Internet no es suficiente, también es importante asegurarse de que esté bien configurado para obtener una protección óptima.