Universidad Catlica de Salta

Arquitectura de Firewalls

Indice
Indice........................................................................................................................................................... 1 Objetivos..................................................................................................................................................... 2 Introduccin................................................................................................................................................. 3 Conceptos Generales ..................................................................................................................................................3 Tipos y diseos de Firewalls....................................................................................................................... 5 Usos frecuentes, problemas y diseos bsicos............................................................................................................5 Tipos bsicos...............................................................................................................................................................5 Arquitectura................................................................................................................................................................6 e dos bases............................................................................................................................................................! C"mo se compromete la se#uridad en esta confi#uraci"n......................................................................................$ %er&icios..................................................................................................................................................................' (ire)all como ser&idor basti"n...............................................................................................................................' (ire)all como ser&idor de basti"n con dos interfaces de red...............................................................................** os fire)alls y dos +,......................................................................................................................................*%ubredes %eleccionadas........................................................................................................................................*3 Compuertas a ni&el de aplicaci"n.........................................................................................................................*. Estado actual en el ercado..................................................................................................................... 1! "iblio#ra$%a y $uentes de In$or acin........................................................................................................ 1& /iblio#raf0a...............................................................................................................................................................*' 1nternet 2 U34 5........................................................................................................................................................*' 'crni os................................................................................................................................................. 2( )losario..................................................................................................................................................... 21

Lic. Jorge Alberto Villafae

!gina " de #"

Universidad Catlica de Salta

Arquitectura de Firewalls

$b%etivos
A travs de la realizacin de la presente monografa se buscaron los siguientes objetivos: Que el lector se introduzca en el concepto de firewalls. Esto incluye entender como funciona para !ue sirve y el por!u de su necesidad. Que el lector tome conciencia de la necesidad en lo !ue a seguridad respecta del uso de barreras de proteccin a partir de !ue todas las redes corporativas de una organizacin "oy por "oy se encuentran conectadas al mundo e#terior a travs de $nternet y por ende e#puestas a m%ltiples intentos de accesos no autorizados. Que el lector reconozca los diferentes tipos de firewalls en cuanto al nivel !ue protegen El tema central de la presente !ue el lector se informe de las diferentes configuraciones y ar!uitecturas !ue se pueden establecer mediante el uso de los firewalls como as tambin mostrarle ventajas y desventajas de cada una de ellas. &ambin incluyo en este punto una serie de consejos en cuanto a configuracin !ue si bien para un administrador e#perimentado puede resultar triviales no dejan de ser relevantes como car'cter informativo y de referencia para a!uel !ue se inicia en este tema. (or %ltimo dar una breve idea del estado de este tema como producto en el mercado.

Lic. Jorge Alberto Villafae

!gina # de #"

Universidad Catlica de Salta

Arquitectura de Firewalls

Introduccin
Conce&tos 'enerales
)uc"os de los problemas de seguridad !ue aparecieron con la intercone#in de redes en el surgimiento de $nternet pueden ser remediados o atenuados mediante el uso de determinadas tcnicas y controles. *on un firewall podemos implementar un nivel de seguridad apropiado permitiendo al mismo tiempo el acceso a los vitales servicios de $nternet. +n firewall es un sistema o un grupo de sistemas !ue implementan una poltica de control de acceso entre dos o m's redes. (odemos imaginarlo como compuesto por dos grandes mdulos, uno destinado a blo!uear los accesos y el otro a permitirlos. El firewall constituye la "erramienta pero se desprende !ue debemos tener muy claro !ue tipo de control de acceso debemos implementar y a su vez esto constituye un subconjunto de la poltica de seguridad de la compa-a. El firewall proporciona un %nico c"ec./point !ue preserva a la intranet del ata!ue de intrusos !ue pudieran accederla. 0os permite monitorear la seguridad a travs de sus alarmas y logs los cuales deben ser revisados peridicamente pues debemos poder determinar "ipotticos intentos de acceso ya !ue el mismo firewall puede ser violado y una vez !ue esto sucede estamos sin proteccin. *omo agregados a su funcin primordial los firewalls proveen dos funciones e#tras, el servicio de 0A&/0etwor. Address &ranslator !ue permite !ue un servidor de mi intranet se presente en $nternet con un n%mero de $( v'lido sin necesidad de reconfigurarlo y por otro lado ofrece un punto de logeo y monitoreo del uso de $nternet en cuanto a re!uerimientos para poder determinar anc"os de bandas problemas de saturacin del vnculo etc.. *omo se dijo un firewall es parte de una poltica y no podemos dejarle librada toda la responsabilidad cuando tenemos accesos de tipo ((( por ejemplo o un empleado divulga la informacin, este tipo de casos est'n denotando la e#istencia de bac./doors evidentemente muy apetecibles como objetivo de cual!uier ata!ue. 1tro punto importante es !ue a pesar de !ue la informacin pase por un firewall este no nos puede garantizar 2334 la ausencia de virus pues su inmensa variedad "ace imposible !ue se pueda analizar cada uno de los pa!uetes !ue pasan a travs de l. (or %ltimo si bien en la actualidad el tema est' lo suficientemente pulido e#isten aplicaciones !ue pueden estar mal dise-adas y !ue permiten !ue se puedan transmitir pa!uetes no deseados encapsulados dentro de los mensajes !ue trafican, este era el caso de viejas versiones del sendmail por ejemplo. (or todo esto la utilizacin de un firewall no constituye la panacea para resolver todos los problemas de seguridad de $nternet. (odemos citar algunos ejemplos de usos m's comunes de firewalls. 5a proteccin ante la utilizacin de servicios vulnerables, e#pusimos la vulnerabilidad de algunas aplicaciones entre las cuales podemos encontrar en la actualidad el 067 y 0$7 por dar un ejemplo. Este tipo de servicios son vulnerables a los ata!ues, no podemos optar por des"abilitarlos pues son muy %tiles en la intranet con lo cual con la utilizacin de un firewall estaramos filtrando todos los accesos e#ternos a este tipo de servicios. (or otro lado se puede administrar un control de acceso, esto se traduce en implementar polticas !ue permitan el acceso a algunos servidores y a otros no. Adem's la utilizacin de un firewall nos permite perfeccionar el control de la seguridad en cuanto a su centralizacin pues adem's de todo el subsistema de auditoria podramos concentrar todos los add/on de software de seguridad en un punto central en lugar de implementarlo en cada "osts 8 sumando a esto el mantenimiento !ue ello implica 9. 1tras soluciones de este tipo como por ejemplo :erberos obligan a "acer actualizaciones "osts por Lic. Jorge Alberto Villafae !gina ( de #"

Universidad Catlica de Salta

Arquitectura de Firewalls

"osts y si bien en algunos casos son las soluciones m's adecuadas los firewalls tienden a simplificar esta tarea. *omo una actividad secundaria podemos citar el "ec"o de !ue si todo el tr'fico "acia $nternet pasa por un firewall esto me permite a partir de su accounting determinar el grado de uso del vnculo de red y proyectar crecimiento, este %ltimo punto debe estar soportado por otras "erramientas.

Lic. Jorge Alberto Villafae

!gina ) de #"

Universidad Catlica de Salta

Arquitectura de Firewalls

*i&os + diseos de Firewalls

Usos frecuentes, &roble-as + diseos b.sicos

5a desventaja m's obvia del uso de firewalls es !ue puede blo!uear servicios !ue los usuarios !uieran usar tal como &E50E& 6&( ; <$0=1<7 067 etc.. =e todas maneras este tipo de restricciones no son atribuciones solo aplicables en los firewalls pues puede ser implementada en los "osts localmente. En realidad se debe intentar conseguir un balance !ue satisfaga los re!uerimientos de seguridad como las necesidades de los usuarios. 1tro punto "a tener muy en cuenta y !ue m's de una vez se deja de lado es !ue la configuracin de un firewall si bien tiene muc"simas ventajas del lado de un %nico punto de control de la seguridad ese punto puede constituir un cuello de botella para el tr'fico de red. *uando se decide instalar un firewall el primer y m's importante punto tiene !ue ver con la decisin poltica de cmo se !uiere operar el sistema: todo a!uellos no especificado se blo!uea, este poltica pretende !ue el firewall blo!uee todo el tr'fico y las aplicaciones !ue se deseen >dejar pasar? deber'n ser especificadas una por una y con el razonable fundamento del caso. Este tipo de decisin es altamente recomendada pues crea un ambiente muy seguro en el cual solo algunos servicios >selectos? son soportados. (or el otro lado y totalmente opuesta a la primera se encuentra la poltica de permitir todo a!uello !ue no este negado. Esta poltica supone !ue el firewall dejar' pasar todo el tr'fico salvo a!uellos servicios !ue se "an considerado >peligrosos? y !ue se configurar'n caso por caso. Este tipo de decisin crea un ambiente m's fle#ible con m's servicios disponibles para los usuarios. (robablemente la decisin tenga m's !ue ver con cuestiones polticas !ue con un dise-o tcnico. El segundo punto es determinar el nivel de auditoria y control a implementar y por %ltimo el tema financiero. En este aspecto el financiero podemos encontrar soluciones !ue no nos costar'n nada en cuestin de dinero y a!uellas !ue rondan los +@7 233333 pero no solo debemos tener en cuenta este costo inicial sino el costo de mantenimiento.

*i&os b.sicos
*onceptualmente "ay dos tipos de firewalls nivel de red y nivel de aplicacin. 5os firewalls de nivel de red toman sus acciones en funcin del origen la direccin de destino y el port en cada pa!uete $(. 5os modernos firewalls de este tipo se "an sofisticado y mantienen informacin respecto del estado de las cone#iones !ue est'n activas a travs de l etc.. Este tipo de firewall tienden a ser muy r'pidos y son transparentes al usuario. 5os firewalls de nivel de aplicacin por lo general son "osts corriendo pro#y servers !ue no permiten el tr'fico directo entre redes manteniendo una elaborada auditoria y logeo del tr'fico !ue pasa a travs de l. Este tipo de firewall puede ser utilizado para realizar las tareas relativas al 0A& debido a !ue como las comunicaciones van de un lado "acia el otro se puede enmascarar la ubicacin original. Este tipo tiende a proveer una auditora m's detallada y un mayor grado de seguridad !ue los de nivel de red.

Lic. Jorge Alberto Villafae

!gina / de #"

Universidad Catlica de Salta

Arquitectura de Firewalls

5os routers de filtro de pa!uetes !ue corresponden al primer grupo realizan una decisin del tipo pasa no pasa para cada pa!uete !ue recibe. El router e#amina cada datagrama para determinar si se aplican sus reglas de filtrado. 5as reglas de filtrado se basan en la informacin contenida en el "eader del pa!uete. Esta informacin consiste en el $( de origen la $( de destino el protocolo encapsulado 8 &*( +=( $*)( 9 el port &*(A+=( de origen y de destino etc. &oda esta informacin es controlada contra las reglas de filtrado definidas pudiendo ser enrutada si e#iste una regla !ue lo permite descartada si una regla as lo indica y si no e#iste regla comparable un par'metro previamente configurado determinar' si el pa!uete pasa o no. =entro de este tipo est'n los !ue filtran en funcin del servicio involucrado. Esto es posible pues "ay muc"os servicios para los cuales est'n normalizados los ports en los !ue escuc"an por lo cual se pueden definir reglas !ue involucren el port definiendo la aceptacin o el rec"azo. (or otro lado frente a diferentes ata!ues !ue se fueron produciendo surgieron otros firewalls cuyas reglas son independientes del servicio, estas reglas e#igen un an'lisis m's detallado !ue involucra el ruteo las opciones de $( verificacin de los fragmentos de desplazamiento y puntos por el estilo. 5a mayora de los firewalls implementados sobre $nternet est'n desarrollados sobre el concepto de filtrado de pa!uetes. Este tipo de firewalls no son difciles de configurar debido a !ue su software contiene una serie de reglas previamente configuradas y fundamentalmente son transparentes al usuario y no e#igen instalar ning%n software adicional en los "osts. (or otro lado cuando se debe customizar de manera tal de adaptarlo a aplicaciones especficas de cada empresa la tarea se puede "acer algo compleja pues e#ige una figura de administrador !ue debe conocer los servicios de $nternet los distintos encabezados de los pa!uetes los distintos valores !ue se espera encontrar en los campos a analizar. 7i se re!uiere un filtrado complejo las reglas pueden volverse demasiado largas con la consecuencia de una difcil administracin y seguimiento. *omo dijimos los filtros a nivel de aplicacin permiten aplicar un es!uema de seguridad m's estricto. En estos firewalls se instala un software especfico para cada aplicacin a controlar 8 un pro#y server 9, de "ec"o si no se instala los servicios relativos a la aplicacin las comunicaciones no podr'n ser enrutadas punto !ue no se convierte en trivial pues de esta forma estamos garantizando !ue todas a!uellas nuevas aplicaciones desconocidas no podr'n acceder a nuestra red. 1tro ventaja !ue trae el uso de este tipo de firewall es !ue permite el filtrado del protocolo por ejemplo se podra configurar el pro#y server !ue atiende el 6&( para !ue pueda aceptar cone#iones pero denegar el uso del comando put asegurando de esta forma !ue no nos puedan escribir ning%n arc"ivo o !ue impida navegar por el 67, esto es lo !ue "ay se conoce como un 6&( annimo Este tipo de configuracin incrementa los costos de la plataforma sobre la cual funcionar' el filtro. Algunos autores reconocen otro nivel de aplicacin de firewall !ue es nivel de circuito !ue en realidad no procesa ni filtra el protocolo sino !ue simplemente establece un circuito entre origen y destino.

Arquitectura
Lic. Jorge Alberto Villafae !gina 0 de #"

Universidad Catlica de Salta

Arquitectura de Firewalls

5as tecnologas de filtrado de pa!uetes !ue se emplean en los firewalls constituyen una manera eficaz y general para controlar el tr'fico en la red. &ales tecnologas tienen la ventaja de no realizar ning%n cambio en las aplicaciones del cliente y el servidor pues operan en las capas $( y &*( las cuales son independientes de los niveles de aplicacin seg%n se establece en el modelo 17$. (or otro lado los enfo!ues de la filtracin de pa!uetes no "an declarado muc"os re!uerimientos de seguridad por la informacin incompleta con la !ue trabajan. 7lo la informacin de las capas de transporte y red como las direcciones $( los n%meros de puerto y las banderas &*( est'n disponibles para las decisiones de filtracin. En muc"as implementaciones de los filtros de pa!uete el n%mero de reglas puede ser limitado, adem's mientras mayor sea este n%mero "abr' una alta penalizacin en el desempe-o a causa del proceso adicional necesario para las reglas complementarias. En vista de la falta de informacin de conte#to ciertos protocolos como el +=( y B(* no pueden filtrarse con efectividad. Adem's en muc"as implemetaciones faltan los mecanismos de intervencin y alerta. )uc"as de estas implementaciones de filtros pueden re!uerir un alto nivel de comprensin de los protocolos de comunicacin y su comportamiento cuando se utilizan por diferentes aplicaciones. 5os dispositivos de filtracin de pa!uetes casi siempre se mejoran mediante otros tipos dispositivos llamados barreras de proteccin. 5as barreras de proteccin se llaman as por!ue operan en las capas superiores del modelo 17$ y tienen informacin completa sobre las funciones de la aplicacin en la cual basan sus decisiones. Estos constituyen la mayora de los firewalls tal cual "oy los conocemos. E#isten varios mtodos para construir una barrera de proteccin. 5as organizaciones con talento en la programacin y recursos financieros suficientes en general prefieren usar un mtodo personalizado de barreras de proteccin para proteger la red de la organizacin. 7i se ejecuta de manera adecuada tal vez ste sea el mtodo m's eficaz y por supuesto el m's costoso. 1tras organizaciones prefieren usar los productos comerciales e#istentes as como personalizarlos y configurarlos para cumplir la poltica de seguridad de red de esas organizaciones. =e a!u en adelante iremos describiendo las distintas ar!uitecturas con las cuales se puede implementar una barrera de proteccin para nuestra red De dos bases +n firewall de dos bases no es nada m's y nada menos !ue un firewall con dos interfaces de red !ue permite asilar una red interna de una red e#terna no confiable. *omo este anfitrin no enva ning%n tr'fico &*(A$( blo!uea por completo cual!uier tr'fico $( entre las redes no confiables interna y e#terna. )uc"os servicios $nternet son en esencia de almacenaje y envo. 7i estos servicios se ejecutan en el anfitrin pueden configurarse para transmitir servicios de aplicacin desde una red "acia la otra. 7i los datos de aplicacin deben cruzar la barrera es factible configurar los agentes emisores de aplicacin para "acer la ejecucin en el anfitrin. Estos agentes son programas especiales utilizados para enviar solicitudes de aplicacin entre dos redes conectadas. 1tro mtodo es permitir !ue los usuarios se conecten al anfitrin de dos bases y despus tengan accesos a los servicios e#ternos desde la interfaz de red e#terna del anfitrin.

Lic. Jorge Alberto Villafae

!gina 1 de #"

Universidad Catlica de Salta

Arquitectura de Firewalls

7i se usan los emisores de aplicacin el tr'fico de la aplicacin no puede cruzar la barrera a menos !ue el emisor de aplicacin se ejecute y se configure en el servidor de barrera de proteccin. Esta accin es la implementacin de la poltica >si no est' permitido de manera e#presa est' pro"ibido?. 7i se autoriza a los usuarios conectarse en forma directa a la barrera de proteccin puede comprometerse la seguridad de sta por!ue la barrera es el punto central de la cone#in entre la red e#terna y la interna. (or definicin la barrera de este tipo est' en zona de riesgo. 7i el usuario selecciona una contrase-a dbil o compromete su cuenta de usuario 8 al proporcionar la contrase-a 9 la zona de riesgo !uiz' se e#tienda a la red interna y por lo tanto eliminar' el objetivo de la barrera. 7i se mantienen registros adecuados de la cone#iones de usuarios es posible rastrear las cone#iones no autorizadas a la barrera en el momento !ue se descubra una brec"a de seguridad. En cambio si se impide !ue los usuarios se conecten en forma directa a la barrera cual!uier intento de cone#in directa se registrar' como algo notorio y como una brec"a potencial de seguridad. Este tipo de firewall con una interfaz mirando a cada red es la configuracin b'sica usada en las barreras de proteccin. 5os aspectos delicados son !ue el enrutamiento se encuentra in"abilitado y !ue la %nica ruta entre los segmentos de red es a travs de una funcin de capa de aplicacin. 7i el enrutamiento se "a configurado de manera errnea por accidente 8 o por dise-o 9 para permanecer activo se ignorar'n las funciones de la capa de aplicacin de las barreras de proteccin. 5a mayora de estas configuraciones est'n montadas sobre m'!uinas +0$;. En algunos implementaciones de este sistema operativo las funciones de enrutamiento se activan de manera predeterminada por lo cual es importante verificar !ue dic"as funciones est'n in"abilitadas.

6$B E<A55 $nte rnet

* o se co pro ete la se#uridad en esta con$i#uracin 5a mayor amenaza ocurre cuando el intruso obtiene el acceso directo de cone#in al firewall. 5a cone#in siempre se da mediante una aplicacin apoderada del servidor. 5as cone#iones desde redes e#terna re!uieren una autenticacin m's rigurosa. 7i el usuario obtiene acceso al servidor la red interna puede ser inv'lida. Estas invasiones pueden tener cual!uiera de las siguientes fuentes: Autorizaciones dbiles en el sistema de arc"ivos !gina 2 de #"

Lic. Jorge Alberto Villafae

Universidad Catlica de Salta

Arquitectura de Firewalls

Col%menes montados en 067 en la red interna (rogramas de respaldo de red !ue puedan restituir autorizaciones e#cesivas El uso de scripts administrativos !ue no se "ayan asegurado de manera adecuada *omprensin del sistema a partir de antiguos niveles de revisin del software y notas !ue no se "ayan asegurado de manera adecuada 5a instalacin de antiguos .ernels de sistema operativo !ue activen el envo $( o la instalacin de versiones de antiguos .ernels de sistema operativo con problemas de seguridad conocidos El uso de facilidades de Der.eley tal como el .r"osts o el "osts.e!uiv !ue definen e!uivalencia entre servidores o usuarios de distintos servidores por lo cual se in"abilita el sistema de autenticacin.

7i el servidor firewall falla la red interna no tendr' defensa ante futuros intrusos a menos !ue el problema se detecte y corrija con rapidez. *omo se mencion antes la variable ipforwarding del .ernel de +0$; controla el desempe-o del enrutamiento $(. 7i el intruso obtiene suficiente privilegios del sistema podr' cambiar el valor de esta variable y "abilitar el envo $( con lo cual se ignorar' el mecanismo de la barrera. 7ervicios Adem's de in"abilitar el envo de $( se debe eliminar todos los programas y servicios !ue puedan ser peligrosos en las manos de un intruso. Algunos de las precauciones a tomar son las siguientes: Eliminar las "erramientas de programacin: compiladores enlazadores etc.. Eliminar los programas con autorizaciones de 7+$= y 7E$= !ue no se necesiten o no se comprendan. 7i los programas no funcionan siempre es factible colocar de nuevo a!uellos !ue son esenciales. +tilizar particiones en el disco para !ue en caso de "aber una invasin para llenar todo el espacio del disco en la particin la invasin !ueda confinada en dic"o espacio. Eliminar todas las cuentas especiales y del sistema !ue no necesite Eliminar los servicios de red !ue no se re!uieran. +tilizar el comando netstat Fa para verificar !ue solo tiene los servicios precisos. Editar los arc"ivos de servicio AetcAinetd.conf para eliminar las definiciones de servicio innecesarias.

Firewall como servidor bastin +n firewall es un servidor de barrera de proteccin !ue es determinante para la seguridad en la red. Es el servidor central para la seguridad en la red de una organizacin y por su funcin debe estar en una buena fortaleza. Esto significa !ue el firewall lo monitorean con detenimiento los administradores de la red. 5a seguridad del sistema y del software del servidor debe revisarse con regularidad. Asimismo es preciso observar los registros de acceso en busca de cual!uier brec"a potencial de seguridad y de un intento de asalto al servidor. 5a configuracin antes comentada es un caso especial del firewall. *omo los firewalls act%an como un punto de interfaz para una red e#terna no confiable casi siempre est'n sujetos a invasiones. 5a distribucin m's simple es a!uella en la !ue el servidor constituye el primer y %nico punto de entrada para el tr'fico de una red e#terna. En vista de !ue el firewall es determinante para la seguridad de la red interna por lo regular se coloca otra primera lnea de defensa entre la red e#terna no confiable y la red interna. Esta Lic. Jorge Alberto Villafae !gina 3 de #"

Universidad Catlica de Salta

Arquitectura de Firewalls

lnea casi siempre la proporciona un router de seleccin. En este es!uema el firewall tiene una sola interfaz de red conectada a la red interna y el enrutador de seleccin tiene dos una a $nternet y la otra a la red interna enrutando todo el tr'fico "acia el bastin. 7e debe configurar el router para !ue enve primero "acia el firewall todo el tr'fico recibido de las redes e#ternas para la red interna. Antes de enviar el tr'fico "acia este servidor el router aplicar' sus reglas de filtro en el tr'fico del pa!uete. 7lo el tr'fico de red !ue pase tales reglas ser' dirigido "acia el firewall, el resto del tr'fico ser' rec"azado. Esta ar!uitectura da un mayor nivel de confianza en la seguridad de la red. +n intruso necesita penetrar primero en el router de seleccin y si lo logra debe enfrentarse con el firewall. El firewall utiliza funciones a nivel de aplicacin para determinar si las solicitudes "acia y desde la red e#terna se aceptar'n o negar'n. 7i la solicitud pasa el escrutinio del firewall se enviar' a la red interna para el tr'fico de entrada. (ara el tr'fico de salida 8 tr'fico "acia la red e#terna 9 las solicitudes se enviar'n al router de seleccin. Algunas organizaciones prefieren !ue su proveedor de acceso a $nternet $A( proporcione las reglas de los filtros de pa!uetes para el tr'fico en red enviado a la red de dic"a organizacin. El filtro de pa!uetes a%n act%a como la primera lnea de defensa pero se debe confiar al $A( el mantenimiento adecuado de las reglas del filtro de pa!uetes. 1tro punto a tener en cuenta es la seguridad del router de seleccin. 7us tablas de enrutamiento deben configurarse para enviar el tr'fico e#terno al firewall. =ic"as tablas necesitan estar protegidas contra las invasiones y los cambios no autorizados. 7i la entrada a las tablas se cambia para !ue el tr'fico no se enve al firewall sino en forma directa a la red conectada localmente el firewall se ignorar'. Adem's si el router responde a los mensajes $*)( 8protocolo $nternet de mensajes de control9 de redireccin ser' vulnerable a los falsos mensajes $*)( !ue enve el intruso. (or lo tanto debe in"abilitarse la respuesta a los mensajes $*)( de redireccin. 7e deben eliminar los servicios de red innecesarios y utilizar el enrutamiento est'tico. En especial asegurarse !ue los demonios >routed? y >gated? no se encuentren en ejecucin, de lo contrario las rutas ser'n anunciadas al mundo e#terior. (or otro lado realizar entradas permanentes en la tabla de cac" AB( para se-alar al firewall. Entre los servicios a in"abilitar se encuentran: AB( redirecciones $*)( AB( apoderado )1( y mensajes $*)( no alcanzables &E50E&. En una operacin AB( normal las tablas AB( de entrada se construyen de manera din'mica y e#piran despus de un tiempo determinado. $ncializar en forma manual la tabla cac"e AB( para el router y el firewall. 5as entradas AB( realizadas en forma manual nunca e#piran y act%an como entradas >est'ticas?. *on el procesamiento AB( in"abilitado en el router ste no proporcionar' su direccin de "ardware.

7erver $nternet

6$B E<A55

Lic. Jorge Alberto Villafae

!gina "4 de #"

Universidad Catlica de Salta

Arquitectura de Firewalls

Firewall como servidor de bastin con dos interfaces de red Dajo esta configuracin una interfaz est' conectada a la red >e#terior? y la otra interfaz lo est' a la red >interior?. +no de los puertos del router 8 el de la primera lnea de defensa 9 est' conectado a la red >interior? y el otro lo est' a $nternet. 0tese !ue "ablamos de red >interior? >e#terior? e $nternet, a!u surge el nuevo concepto de red e#terior !ue es la !ue se ubica entre el firewall y el router. =e nuevo el router debe configurarse para enviar todo el tr'fico recibido de las redes e#ternas para la red interna "acia la interfaz de red >interior? del bastin. Antes de enviar el tr'fico el router aplicar' sus reglas de filtro de pa!uetes. 7lo el tr'fico de red !ue pase estas reglas se dirigir' "acia el firewall, el resto "abr' de rec"azarse. +n intruso debe penetrar primero en el router y si lo logra se enfrentar' al firewall. 0o e#isten servidores en la red e#terior m's !ue el router y una de las interfaces de red del firewall. 5a red e#terior forma una zona desmilitarizada =)G. Ha !ue la =)G slo tiene dos cone#iones de red puede reemplazarla un enlace dedicado punto a punto. Este "ec"o dificultar' m's conectarse con este enlace mediante analizadores de protocolos. 7i se utiliza una red Et"ernet o to.en ring para la =)G una estacin de trabajo !ue colo!ue su interfaz de red en el modo promiscuo puede capturar el tr'fico de la red y tener acceso a los datos delicados. (or lo general las interfaces de red slo leen el pa!uete !ue se le dirija en forma directa. En el modo promiscuo sin embargo dic"as interfaces leen todos los pa!uetes !ue ve la interface de red. &odos los servidores de la organizacin 8 e#cepto el firewall 9 est'n conectados a la red interior. Esta configuracin tiene otra ventaja sobre esa configuracin de red en la cual slo se empleaba una interface de red del firewall. Esta ventaja es !ue el firewall no se puede ignorar al atacar las tablas de enrutamiento de los routers. El tr'fico de la red debe pasar por este firewall para llegar a la red interior.

Lic. Jorge Alberto Villafae

!gina "" de #"

Universidad Catlica de Salta

Arquitectura de Firewalls

$nternet Bed E#terna Bouter de 7eleccin

=)G

Bed E#terior

Bed $nterna 6$B E<A55

7erver

Dos firewalls y dos DMZ En este caso ambas interfaces de los firewalls se encuentran configuradas. &res zonas de red est'n formadas en la red interna: la red e#terior la red privada y la red interior. E#iste una red privada entre los firewalls interior y e#terior. +na organizacin puede colocar algunos servidores en la red privada y mantener los m's delicados detr's del firewall interior. (or otra parte una organizacin !uiz' desee una seguridad m'#ima y usar la red privada como una segunda zona de buffer o =)G interior adem's de mantener todos los servidores en la red interior. 7i una empresa !uiere proporcionar acceso completo a una gran variedad de servicios como 6&( annimo 8 protocolo de transferencia de arc"ivos 9 Eop"er y <<< 8 <orld <ide <eb 9 puede proveer ciertos servidores de sacrificio en la =)G e#terior. 5os firewalls no deben confiar en ning%n tr'fico generado desde estos servidores de sacrificio. El router de seleccin debe estar configurado para enviar todo el tr'fico recibido desde las redes e#ternas para la red interna "acia el firewall interior. Antes de mandar el tr'fico el router aplicar' las reglas de filtro de pa!uetes. 7lo el tr'fico de la red !ue pasa esas reglas se dirigir' al firewall e#terior, el resto ser' rec"azado. +n intruso debe penetrar primero el router y si lo "ace se enfrentar' al firewall e#terior. 7in !ue le importe violar las defensas de la red e#terior el intruso penetra en le firewall interior. (or ello si los recursos lo permiten tal vez se desee dar a cada firewall la responsabilidad de un grupo administrativo diferente. Esto asegura !ue los errores de un grupo de administradores Lic. Jorge Alberto Villafae !gina "# de #"

Universidad Catlica de Salta

Arquitectura de Firewalls

no los repitan los dem's administradores. &ambin se debe garantizar !ue los dos grupos compartan informacin acerca de debilidades descubiertas en los firewalls. 1tro tipo de configuracin de red se obtiene al utilizar dos firewalls pero slo una interfaz de red de cada anfitrin. +n segundo router llamado el ?a"ogador? se agrega entre la =)G y las redes interiores. 7e debe asegurar !ue los firewalls no se ignoren y !ue los routers usen rutas est'ticas. A partir de estos elementos firewalls con una o dos interfaces de red y routers se pueden lograr diferentes configuraciones !ue surgen de la combinacin de ellos. *uando slo est en uso una interfaz de red del firewall se deben utilizar rutas est'ticas en los routers y configurar bien las entradas de las tablas de enrutamiento para asegurar !ue los firewalls no se ignoren.
$nternet Bed E#terna Bouter de 7eleccin

=)G E#terior

Bed E#terior

Bed $nterna

6$B E<A55 E;&EB$1B

=)G $nterior

Bed (riv ada

6$B E<A55 $0 &EB$1B

Bed $nterior

7erver

Subredes Seleccionadas En algunas configuraciones de barreras de proteccin tanto la red e#terna no confiable como la red interna pueden tener acceso a una red aislada, sin embargo ning%n tr'fico de red puede Lic. Jorge Alberto Villafae !gina "( de #"

Universidad Catlica de Salta

Arquitectura de Firewalls

fluir entre ambas redes a travs de la red aislada. El aislamiento de la red se lleva a cabo mediante una combinacin de routers de seleccin configurados de manera adecuada. =ic"a red se conoce como red seleccionada. Algunas redes seleccionadas pueden tener compuertas a nivel de aplicacin !ue act%an como firewalls y permiten el acceso interactivo a los servicios e#teriores. 5os routers se utilizan para conectar a $nternet con la red interna. El firewall es una compuerta de aplicacin y rec"aza todo el tr'fico !ue no se acepte de manera e#presa. *omo la %nica manera de tener acceso a la subred seleccionada es mediante el firewall es bastante difcil !ue el intruso viole esta subred. 7i la invasin viene por $nternet el intruso debe volver a configurar el enrutamiento en $nternet la subred seleccionada y la red interna para tener libre acceso 8 lo cual se logra con dificultad si los routers permiten el acceso slo a los servidores especficos 9. 7i alguien violara al firewall el intruso forzara su entrada "acia uno de los anfitriones en la red interna y despus el router para tener acceso a la subred seleccionada. Este tipo de invasin de tipo aislamiento es difcil de lograr sin desconectarse o sin activar alguna alarma. *omo las redes seleccionadas no permiten !ue el tr'fico de red fluya entre $nternet y la red interna las direcciones $( de los anfitriones en dic"as redes se ocultan unas de otras. Esto permite !ue una organizacin a la !ue el 0$* 8 *entro de $nformacin de red 9 a%n no le "aya asignado oficialmente n%meros de red tenga acceso a $nternet mediante servicios de compuertas de aplicacin proporcionados por el firewall en la subred seleccionada. 7i estos servicios usados con la compuerta de aplicacin est'n restringidos estas limitantes pueden estimular !ue la red interna asigne n%meros de red de manera oficial. Compuertas a nivel de aplicacin 5as compuertas a nivel de aplicacin pueden manejar tr'fico de almacenaje y envo as como tr'fico interactivo. =ic"as compuertas est'n programadas para comprender tr'fico al nivel de aplicacin del usuario 8 capa I del modelo 17$ 9, por lo tanto pueden proporcionar controles de acceso a niveles de usuario y de protocolos de aplicacin. Adem's es factible utilizarlas para mantener un registro inteligente de todos los usos de las aplicaciones. 5a "abilidad para registrar y controlar todo el tr'fico de entrada y de salida es una de las caractersticas principales de las compuertas a nivel de aplicacin. 5as compuertas por s mismas pueden integrar si es necesario seguridad adicional. (ara cada aplicacin !ue se transmita las compuertas a nivel de aplicacin utilizan un cdigo de propsito especial. Eracias a este cdigo las compuertas de aplicacin proporcionan un alto nivel de seguridad. (ara cada nuevo tipo de aplicacin !ue se agregue a la red y !ue re!uiera proteccin tiene !ue escribirse un nuevo cdigo de propsito especial, por lo tanto la mayora de este tipo de compuertas provee un subgrupo limitado de aplicaciones y servicios b'sicos. (ara utilizar las compuertas a nivel de aplicacin los usuarios deben conectarse a la m'!uina de la compuerta de aplicacin o implementar un servicio especfico para la aplicacin de cliente para cada servidor !ue emplear' el servicio. *ada mdulo de compuerta especfica para la aplicacin puede tener su propio grupo de "erramientas de administracin y lenguaje de comandos. +na desventaja de muc"as compuertas es !ue debe escribirse un programa personalizado para cada aplicacin. 7in embargo este "ec"o tambin es una ventaja en seguridad pues no

Lic. Jorge Alberto Villafae

!gina ") de #"

Universidad Catlica de Salta

Arquitectura de Firewalls

se pueden pasar las barreras de proteccin a menos !ue "aya estipulado una compuerta e#plcita a nivel de aplicacin. El programa personalizado de aplicacin act%a como un >apoderado? !ue acepta las llamadas entrantes y las verifica con la lista de acceso de los tipos de solicitudes permitidas. En este caso se trata de un servidor apoderado de aplicacin. Al recibir la llamada y verificar !ue sea permitida el apoderado enva la solicitud al servidor correspondiente, por lo tanto act%a como un servidor y como cliente. &rabaja como un servidor para recibir la solicitud entrante y como un cliente al enviarla. =espus de establecer la sesin el apoderado de aplicacin funciona como un relevo y copia los datos e#istentes entre el cliente !ue inici la aplicacin y el servidor. =ado !ue todos los datos ente el cliente y el servidor los intercepta el apoderado de la aplicacin ste tiene control total sobre la sesin y puede "acer un registro tan detallado como usted lo re!uiera.

Lic. Jorge Alberto Villafae

!gina "/ de #"

Universidad Catlica de Salta

Arquitectura de Firewalls

Arquitecturas no reco-endadas
En realidad la mayora de los autores y los administradores con e#periencia de campo en el tema de la utilizacin de firewalls como parte de una poltica general de seguridad de una organizacin establecen una serie de consejos en cuanto a la configuracin tanto de los firewalls como de los routers de manera tal de no dejar bac. doors !ue permitan el ingreso no autorizado y !ue no podamos rastrear. (ara "ablar de ar!uitecturas no recomendadas seguramente estaremos situados en la deformacin de alguna de las e#puestas anteriormente. Entre ellas encontramos por ejemplo la utilizacin de =)G con servidores con m's de una interfaz de red de las cuales una apunta a la red interna o servidores !ue contengan pools de mdems para cone#iones dial/up y pertenezcan a la red interna. El primero de los casos se da cuando por razones de nuestro negocio debemos ofrecer servicios a la red e#terna con lo cual podemos pensar en ubicar el servidor en una =)G. Jasta a!u no "ay problema pero si por alguna razn pens'ramos en agregar otra tarjeta de red apunta a la red interna para servicios de bac.up centralizado o lo !ue fuere estamos generando un bac. door !ue permite el acceso directo a nuestra red interna obviando el filtrado del firewall. El segundo paso constituye un punto crucial en la proteccin de nuestra red. Joy por "oy son necesarias las cone#iones dial/up para todo lo !ue constituye el acceso remoto de nuestro empleados para tares de mantenimiento por ejemplo pero este tipo de acceso debe estar correctamente administrado y centralizado de manera tal !ue podamos asegurarnos !ue todo el tr'fico !ue se genere a partir de esos servidores sea controlado. En el ejemplo planteado basta con fran!uear al servidor dedicado a las cone#iones dial/up !ue por cierto no tiene por !ue tener todas las medidas de proteccin !ue puede tener un firewall para tener acceso a toda la red interna sin someterse a los filtros de los firewalls. En realidad se debe considerar como ar!uitecturas no recomendadas a a!uellas !ue de alguna u otra forma evitan !ue el tr'fico de red se someta al an'lisis de un firewall.

Lic. Jorge Alberto Villafae

!gina "0 de #"

Universidad Catlica de Salta

Arquitectura de Firewalls

5stado actual en el -ercado

Joy por "oy en el mercado e#isten infinidad de proveedores de aplicaciones de firewalls !ue est'n complementadas con los esfuerzos por elevar el nivel de seguridad de los distintos sistemas operativos. Estas aplicaciones de firewalls est'n disponibles para los distintos sistemas operativos y si bien en lneas generales todos cumplen b'sicamente las mismas funciones cada proveedor tiene sus caractersticas particulares !ue se van igualando de uno a otro con el correr del tiempo y el desarrollo de los distintos releases. Entre los productos m's utilizados se encuentran 6irewall/2 (i# y Baptor de las empresas *"e.point *isco y J( respectivamente. $ndagando un poco en el mercado local se puede comprobar !ue el producto de *isco esta siendo muy utilizado debido a su integracin >nativo? en todas a!uellas organizaciones !ue est'n utilizando routers *isco Adem's de verificar las caractersticas particulares de cada uno se pueden bajar de $nternet versiones de evaluacin para corroborar las distintas facilidades como as tambin observar como se adapta a la organizacin donde se implementar'.

Lic. Jorge Alberto Villafae

!gina "1 de #"

Universidad Catlica de Salta

Arquitectura de Firewalls

Conclusiones
*reo !ue a lo largo de este trabajo "a !uedado demostrado !ue nuestros problemas no est'n solucionados simplemente con la implementacin de un es!uema de firewall, de "ec"o si en realidad no forma parte de una poltica de seguridad integral de la organizacin de nada servir' tener la configuracin m's segura en lo !ue a firewall respecta. +na vez superado este punto es decir e#iste la voluntad poltica dentro de la organizacin de implementar una poltica de seguridad seria todo el personal de la misma esta concientizado de ello y fundamentalmente la m's alta direccin esta impulsando este desafo es conveniente pensar en la implementacin de un es!uema de firewall. A partir del "ec"o ya consumado !ue constituye la interconectividad a travs de $nternet es fundamental la utilizacin de filtros debido a !ue seguramente nuestra organizacin estar' tambin accediendo a los servicios !ue $nternet nos ofrece. Qu ar!uitectura es la m's apropiada tendr' !ue ver seguramente con la criticidad de nuestros servicios lo valioso de nuestra informacin los servicios !ue ofreceremos y obtendremos de $nternet y de los recursos con los cuales contemos para llevar adelante este desafo. H por %ltimo debemos tener en cuenta !ue este tema no consiste solo en implementar un firewall y problema resuelto. 5a importancia operativa es tal !ue debemos estar constantemente revisando las polticas los logs etc. para poder determinar si estamos siendo vulnerables en alg%n aspecto. (or otro lado un firewall en mi opinin personal debe asemejarse a un antivirus el cual si no se actualiza constantemente deja de ser seguro. &engamos en cuenta !ue el firewall constituye la puerta de acceso a nuestra informacin vital por ende a nuestro negocio y por %ltimo a nuestro dinero.

Lic. Jorge Alberto Villafae

!gina "2 de #"

Universidad Catlica de Salta

Arquitectura de Firewalls

6ibliograf7a + fuentes de Infor-acin

Bibliografa $nternet y 7eguridad en Bedes :aranjit 7iyan y *"ris Jare ed. (rentice Jall Internet ( UR ! www.Kcom.com www.scrc.ncsl.nist.gov www.inter"ac..com www.icsa.com www.cisco.com www."p.com ftp.tis.com www.netresearc".com

Lic. Jorge Alberto Villafae

!gina "3 de #"

Universidad Catlica de Salta

Arquitectura de Firewalls

Acrni-os
AB( =)G 6&( $A( $*)( $( 067 +I* 0$7 17$ B(* 7E$= 7+$= &*( +=( <<< Address Besolution (rotocol Gona =esmilitarizada 6ile &ransfer (rotocol $nternet Access (rovider $nternet *ontrol )essaje (rotocol $nternet (rotocol 0etwor. 6ile 7ystem +etwor, In$or ation *enter 0etwor. $nformation 7ervice 1rganization 7tandars $nternational Bemote (rocess *ontrol 7witc" Eroup $dentification 7witc" +ser $dentification &ransmission *ontrol (rotocol +ser =atagrama (rotocol <orld <ide <eb

Lic. Jorge Alberto Villafae

!gina #4 de #"

Universidad Catlica de Salta

Arquitectura de Firewalls

'losario
'ccounti# Begistro o contabilidad de las operaciones "ac, door +n agujero de seguridad en un sistema !ue permite el acceso continuo de un intruso. Filtrado de pa-uetes *aracterstica !ue permite a un router realizar decisiones del tipo pasa no/pasa para cada pa!uete $( bas'ndose en la informacin contenida en el "eader del mismo. Firewall 7istema o grupo de ellos enfocados "acia una poltica de control de acceso entre la red de la organizacin e $nternet. .ata#ra a (a!uete de $( !ue contiene toda la informacin de control de la cone#in y el segmento de datos &*(A+=( .ial/up Acceso por la red telefnica. 0eader Encabezado de los pa!uetes de $(. 0osts En lneas generales servidor conectado a la red 1ro2y 3erver 7ervicio de propsito especial cdigo de aplicacin instalado en un firewall. El pro#y server permite !ue el administrador de la red permita o rec"ace determinados servicios de una aplicacin en particular. 3ervidor de "astin +n firewall especialmente dise-ado y armado para proteger contra ata!ues e#ternos.

Lic. Jorge Alberto Villafae

!gina #" de #"