La vida en un mundo centrado en la red

Aspectos bsicos de networking: Captulo 1

Proteccin de redes con Firewalls

El trmino firewall se refera originalmente a una pared a prueba de fuego (generalmente hecha de piedra o metal), que evitaba que las llamas se extendieran entre las estructuras que conectaba. Luego, el trmino fue aplicado a la plancha de metal que separaba el compartimento del motor de un vehculo o aeronave del compartimento del pasajero. Eventualmente, el trmino se adapt para su uso en las redes de computadoras: el firewall evita que trfico indeseable ingrese a reas restringidas de la red. El firewall es un sistema o grupo de sistemas que aplica una poltica de control de acceso entre las redes. Puede incluir opciones como un router de filtrado de paquetes, un switch con dos VLANs y mltiples hosts con software de firewall.

Proteccin de redes con Firewalls

Los firewalls son cosas diferentes para diferentes personas y organizaciones, pero todos comparten ciertas propiedades: Resisten ataques Son el nico punto de trnsito entre las redes (todo el trfico fluye a travs del firewall) Aplican la poltica de control de acceso

Proteccin de redes con Firewalls

En 1988, DEC cre el primer firewall de red en la forma de un firewall de filtrado de paquetes. Estos firewalls primitivos inspeccionaban los paquetes para ver si coincidan con grupos de reglas establecidos, con la opcin de reenviar o descartar los paquetes. Este tipo de filtrado de paquetes, conocido como filtrado sin estados (stateless), ocurre sin importar si el paquete es parte de un

flujo de datos existente. Cada paquete es filtrado basndose exclusivamente en los valores de ciertos parmetros del encabezado del paquete, de manera similar al filtrado efectuado por las ACLs.

Proteccin de redes con Firewalls

En 1989, AT&T Bell Laboratories desarroll el primer firewall con estados (stateful). Los firewalls con estados filtran los paquetes basndose en la informacin extrada de los datos que fluyen a travs del firewall y almacenada en l. Este tipo de firewall es capaz de determinar si un paquete pertenece a un flujo de datos existente. Las reglas estticas, como las de los firewalls de filtrado de paquetes, son suplementadas por reglas dinmicas creadas en tiempo real para definir estos flujos activos. Los firewalls con estados ayudan a mitigar ataques de DoS que explotan conexiones activas a travs de dispositivos de red.

Proteccin de redes con Firewalls Proteccin de redes con Firewalls

Algunos de los beneficios del uso de un firewall en una red: Puede prevenir la exposicin de hosts y aplicaciones sensibles a usuarios no confiables. Puede sanitizar el flujo de protocolos, previniendo la explotacin de fallas en los protocolos. Puede bloquearse el acceso de datos maliciosos a servidores y clientes. Puede hacer que la aplicacin de la poltica de seguridad se torne simple, escalable y robusta. Puede reducir la complejidad de la administracin de la seguridad de la red al reducir la mayora del control de acceso a la red a algunos puntos.

Proteccin de redes con

Firewalls
Los firewalls tambin tienen limitaciones: Si est mal configurado, el firewall puede tener consecuencias serias (nico punto de falla). Muchas aplicaciones no pueden pasar a travs del firewall en forma segura. Los usuarios pueden intentar buscar maneras de sortear el firewall para recibir material bloqueado, exponiendo la red a potenciales ataques. El rendimiento de la red puede disminuir. Puede hacerse tunneling de trfico no autorizado o puede disfrazrselo como trfico legtimo.

Tipos de firewall
Hay varios tipos de firewalls de filtrado, incluyendo los siguientes: Firewall de filtrado de paquetes (Packet-filtering firewall) Tpicamente consiste en un router con la capacidad de filtrar paquetes con algn tipo de contenido, como informacin de capa 3 y, en

ocasiones, de capa 4. Firewall con estados - (Stateful firewall) Monitorea el estado de las conexiones, si estn en estado de iniciacin, transferencia de datos o terminacin. Firewall gateway de aplicacin (proxy) (Application gateway firewall) Filtra segn informacin de las capas 3, 4, 5 y 7 del modelo de referencia OSI. La mayora del control y filtrado del firewall se hace por software. Firewall de traduccin de direcciones (Address translation firewall) Expande el nmero de direcciones IP disponibles y esconde el diseo del direccionamiento de la red. Firewall basado en hosts (servidor y personal) - (Host-based firewall) Una PC o servidor que ejecuta software de firewall. Firewall transparente - (Transparent firewall) Filtra trfico IP entre un par de interfaces conmutadas. Firewall hbrido - (Hybrid firewall) Es una combinacin de varios tipos de firewalls

diferentes. Por ejemplo, un firewall de inspeccin de aplicaciones combina un firewall con estados con un firewall de gateway de aplicacin.

Tipos de firewall Tipos de firewall Tipos de firewall Tipos de firewall Tipos de firewall
Los firewalls de filtrado de paquetes revisan una tabla simple para permitir o denegar el trfico basndose en criterios especficos: Direccin IP de origen Direccin IP de destino Protocolo Nmero de puerto de origen Nmero de puerto de destino Recepcin del paquete de sincronizacin e inicio de conexin (SYN)

Tipos de firewall
Los firewalls con estados son la tecnologa

de firewall ms verstil y comn en uso actualmente. Proporcionan filtrado de paquetes con estados utilizando la informacin de conexiones mantenida en una tabla de estados. El filtrado con estados es una arquitectura de firewall que se clasifica como de capa de Red, aunque, para algunas aplicaciones, tambin puede analizar trfico de capas 4 y 5. A diferencia del filtrado de paquetes esttico, que examina paquetes en base a la informacin del encabezado del paquete, el filtrado con estados monitorea cada conexin que pasa por las interfaces del firewall y confirma su validez. Los firewalls con estados usan una tabla de estados para monitorear el proceso de la comunicacin. El firewall examina la informacin en los encabezados de paquetes de capa 3 y segmentos de capa 4. Por ejemplo, el firewall busca en los encabezados TCP los bits de control synchronize (SYN), reset (RST), acknowledgment (ACK), finish (FIN) y otros

para determinar el estado de la conexin.

Tipos de firewall
Sin embargo, hay una desventaja potencial en el uso de filtrado con estados. Aunque la inspeccin con estados proporciona velocidad y transparencia, los paquetes dentro de la red deben poder salir de la red. Esto puede exponer las direcciones IP internas a potenciales atacantes. La mayora de los firewalls tiene incorporados inspeccin por estados, traduccin de direcciones de red (network address translation - NAT) y servidores proxy para mayor seguridad.

Tipos de firewall Tipos de firewall

Cisco Systems proporciona varias opciones para que los profesionales de la seguridad en redes implementen soluciones de firewall. Estas incluyen el firewall IOS de Cisco, el PIX Security Appliances (este producto ya no est en circulacin), y el Adaptive Security Appliances.

 El firewall IOS de Cisco es una funcin especializada del IOS de Cisco que se ejecuta en los routers Cisco. Es un firewall de calidad profesional que soporta pequeas y medianas empresas (PyMEs) y oficinas sucursales. El Cisco PIX Security Appliance es un dispositivo autnomo que asegura una robusta ejecucin de las polticas de usuario y aplicacin, una proteccin multivector contra ataques y servicios de conectividad segura. El Cisco PIX Security Appliances puede acomodarse a una gama de requerimientos y tamaos de redes. El Cisco ASA Adaptive Security Appliances es una solucin de fcil despliegue que integra capacidades de software, seguridad en comunicaciones unificadas Cisco (voz y video), capa de sockets seguros (SSL) y VPNs IPsec, IPS y servicios de seguridad de contenidos. Diseado como un componente clave de las redes autodefensivas de Cisco, Cisco ASA proporciona servicios inteligentes de

defensa de amenazas y comunicaciones seguras que detienen los ataques antes de que afecten la continuidad de los negocios. Los ASA fueron diseados para proteger las redes de todos los tamaos y bajar los costos generales de despliegue y operacin para la empresa al proporcionar una seguridad global multicapa.

Los Firewalls en el diseo de redes

En la seguridad de las redes, a menudo se hace referencia a una zona desmilitarizada (demilitarized zone - DMZ). Una DMZ es una porcin de red conectada con un firewall o grupo de firewalls. El trmino proviene de una descripcin militar de un rea ubicada entre zonas militares en la que no se permite conflicto Las DMZs definen las porciones de la red que son confiables y las que no lo son. El diseo de firewall principalmente se trata de interfaces de dispositivos que permiten o deniegan trfico basndose en el origen, el

destino y el tipo de trfico.

Los Firewalls en el diseo de redes Los Firewalls en el diseo de redes

Un router de Cisco que ejecuta el firewall IOS de Cisco es tanto un router como un firewall. Si hay dos firewalls, una opcin de diseo viable es unirlos con una LAN que funcione como DMZ. Esta opcin proporciona a los hosts en la red pblica no confiable acceso redundante a los recursos de la DMZ.

Los Firewalls en el diseo de redes Control de acceso basado en el contexto

El control de acceso basado en el contexto (Context-Based Access Control - CBAC) es una solucin disponible dentro del firewall IOS de Cisco. CBAC filtra inteligentemente

los paquetes TCP y UDP en base a informacin de sesin de protocolo de capa de aplicacin. Proporciona filtrado de capa de aplicacin con estados, incluyendo protocolos que son especficos de aplicaciones nicas, as como protocolos y aplicaciones multimedia que requieren mltiples canales para la comunicacin, como FTP y H.323.

Control de acceso basado en el contexto

CBAC tambin puede examinar las conexiones soportadas para ejecutar las traducciones de direcciones necesarias bsandose en la informacin NAT y PAT contenida en el paquete. CBAC puede bloquear conexiones peer-to-peer (P2P), como las utilizadas por las aplicaciones Gnutella y KaZaA, as como el trfico de mensajera instantnea como Yahoo!, AOL y MSN. CBAC proporciona cuatro funciones principales: filtrado de trfico, inspeccin

de trfico, deteccin de intrusos y generacin de auditoras y alertas.

Control de acceso basado en el contexto

Filtrado de trfico CBAC puede ser configurado para permitir el paso de trfico de retorno TCP y UDP especfico a travs del firewall cuando la conexin se inicia dentro de la red. Logra esto al crear entradas temporales en una ACL que Inspeccin de trfico Como CBAC inspecciona paquetes de capa de aplicacin y mantiene informacin de sesiones TCP y UDP, puede detectar y prevenir ciertos tipos de ataques de red como inundacin SYN. Un ataque de inundacin SYN ocurre cuando un atacante inunda a un servidor con un aluvin de solicitudes de conexin y no completa la conexin.de otra manera denegara el trfico. CBAC tambin contribuye a la proteccin

contra ataques de DoS de otras maneras: inspecciona los nmeros de secuencia de los paquetes de las conexiones TCP para ver si estn dentro de los rangos experados y los descarta si le resultan sospechosos.

Control de acceso basado en el contexto

Deteccin de intrusos CBAC proporciona una cantidad limitada de deteccin de intrusos para la proteccin contra ataques SMTP especficos. Con la deteccin de intrusos, los mensajes syslog son revisados y monitoreados en bsqueda de firmas de ataques especficas. Ciertos tipos de ataques de red tienen caractersticas o firmas especficas. Generacin de alertas y auditoras CBAC tambin genera registros de auditoras y alertas en tiempo real. Las funciones de registros de auditora mejoradas usan syslog para monitorear todas las transacciones de red y grabar las marcas de tiempo, hosts de origen y

destino, puertos utilizados y el nmero total de bytes transmitidos en reportes avanzados basados en sesin.

Control de acceso basado en el contexto Control de acceso basado en el contexto

Es importante destacar que CBAC slo ofrece filtrado esto significa que, si el protocolo no es especificado, las ACLs existentes determinarn el filtrado del protocolo, ya que no se crear una entrada temporal. Aunque el concepto de una defensa perfecta no es alcanzable, CBAC detecta y previene contra la mayora de los ataques populares de las redes. Sin embargo, no hay defensas impenetrables. Un atacante hbil y determinado puede aun encontrar maneras de lanzar un ataque efectivo. para los protocolos especificados por el administrador,

Operacin de CBAC
Sin CBAC, el filtrado de trfico se limita a implementaciones ACL que examinan paquetes en la capa de red o, a lo sumo, la capa de transporte. CBAC usa un filtro de paquetes con estados que es sensible a las aplicaciones. Esto significa que el filtro es capaz de reconocer todas las sesiones de una aplicacin dinmica. CBAC examina no slo la informacin de capas de red y de transporte, sino tambin la informacin de protocolo de capa de aplicacin (como informacin de conexiones FTP) para conocer el estado de la sesin. La tabla de estados monitorea las sesiones e inspecciona todos los paquetes que pasan a travs del firewall de filtrado de paquetes con estados. CBAC luego usa la tabla de estados para configurar entradas de ACL dinmica que permitan el paso del trfico de retorno a travs del firewall o router de permetro.

Operacin de CBAC

 CBAC crea entradas en las ACLs de las interfaces del firewall agregando una entrada ACL temporal para una sesin especfica. Estas entradas son creadas cuando trfico especfico sale de la red interna protegida a travs del firewall. Las entradas temporales permiten el ingreso del trfico de retorno que normalmente sera bloqueado y canales de datos adicionales a la red interna a travs del firewall slo si son parte de la misma sesin y tienen las mismas propiedades esperadas que el trfico original que dispar al CBAC cuando sali por el firewall. Sin esta entrada temporal de ACL, este trfico sera denegado por la ACL preexistente. La tabla de estados cambia dinmicamente y se adapta con el flujo de trfico.

Operacin de CBAC Operacin de CBAC Operacin de CBAC Operacin de CBAC

Con CBAC, los protocolos que sern

inspeccionados se especifican en una regla de inspeccin. La regla de inspeccin se aplica a una interfaz en una direccin (de entrada o de salida) cuando se aplica la inspeccin. El motor del firewall inspecciona slo los paquetes de los protocolos especificados si ya han pasado por la ACL de entrada que se aplica a la interfaz interna. Si la ACL deniega un paquete, el paquete se descarta y no es inspeccionado por el firewall. Los paquetes que coinciden con la regla de inspeccin generan una entrada de ACL dinmica que permite el acceso del trfico de retorno al firewall. El firewall crea y elimina ACLs a medida que las aplicaciones lo requieran. Cuando una aplicacin se cierra, CBAC elimina todas las ACLs dinmicas de esa sesin.

Operacin de CBAC Configuracin de CBAC

La configuracin de CBAC tiene cuatro pasos:

 Paso 1. Elegir una interfaz - interna o externa. Paso 2. Configurar ACLs IP en la interfaz. Paso 3. Definir reglas de inspeccin. Paso 4. Aplicar una regla de inspeccin a una interfaz.

Configuracin de CBAC
Eleccin de una interfaz Primero determine las interfaces internas y externas para aplicar la inspeccin. Con CBAC, interno y externo se refiere a la direccin de la conversacin. La interfaz en la que las sesiones pueden ser iniciadas debe seleccionarse como la interfaz interna. Las sesiones que tengan origen en la interfaz externa sern bloqueadas. CBAC tambin puede ser configurado en dos direcciones en una o ms interfaces. Configure el firewall en dos direcciones cuando las redes de ambos lados del firewall requieran proteccin, como en configuraciones extranet e intranet, y para la proteccin contra ataques de DoS. Si

configura CBAC en dos direcciones, configure una direccin primero usando las designaciones de interfaz interna o externa. Cuando configure CBAC en la otra direccin, las designaciones de interfaz deben invertirse.

Configuracin de CBAC Configuracin de CBAC Configuracin de CBAC

Configuracin de ACLs IP en la interfaz Para que el firewall IOS de Cisco funcione correctamente, el administrador debe configurar ACLs IP en las interfaces interna, externa y DMZ. Para proporcionar los beneficios de seguridad de las ACLs, el administrador debe configurar, como mnimo, ACLs en los routers de borde situados en el borde de la red entre las redes interna y externa. Esto proporciona un buffer bsico desde la red externa o desde un rea menos controlada de la red de una empresa a un rea ms sensible de la red.

Configuracin de CBAC
Definicin de reglas de inspeccin El administrador debe definir reglas de inspeccin para especificar qu protocolos de capa de aplicacin inspeccionar en una interfaz. Normalmente, slo es necesario definir una regla de inspeccin. La nica excepcin ocurre si es necesario habilitar el motor del firewall en dos direcciones en una sola interfaz del firewall. En este caso, el administrador puede configurar dos reglas, una por cada direccin.

Configuracin de CBAC
La regla de inspeccin debe especificar cada protocolo que se desea inspeccionar, as como UDP, ICMP o TCP genrico, si se desea. La inspeccin de TCP genrico y UDP permite dinmicamente el trfico de retorno de las sesiones activas. La inspeccin de ICMP permite los paquetes de respuesta de eco se reenven como una respuesta a mensajes eco ICMP previamente enviados.

 La regla de inspeccin consiste en una serie de sentencias, cada una especificando el protocolo y el mismo nombre de regla de inspeccin. Las reglas de inspeccin incluyen opciones para el control de mensajes de alerta y registro de auditora.

Configuracin de CBAC
Las reglas de inspeccin se configuran en el modo de configuracin global. Router(config)# ip inspect name nombre_inspeccin protocolo [alert {on | off}] [audittrail {on | off}] [timeout segundos] Ejemplo 1 En este ejemplo, la regla de inspeccin se llamar FWRULE. FWRULE inspecciona SMTP y FTP con alertas y registros de auditora habilitados. FWRULE tiene un tiempo de vencimiento por inactividad de 300 segundos. ip inspect name FWRULE smtp alert on audit-trail on timeout 300 ip inspect name FWRULE ftp alert on audit-

trail on timeout 300

Configuracin de CBAC Configuracin de CBAC

Aplicacin de una regla de inspeccin a una interfaz El ltimo paso para la configuracin de CBAC es la aplicacin de la regla de inspeccin a la interfaz. Esta es la sintaxis del comando utilizado para activar una regla de inspeccin en una interfaz. Router(config-if)# ip inspect nombre_inspeccin {in | out} Para que el firewall IOS de Cisco sea efectivo, tanto las reglas de inspeccin como las ACLs deben ser aplicadas estratgicamente a todas las interfaces del router. Hay dos principios que guian la aplicacin de reglas de inspeccin y ACLs en el router: En la interfaz en la que se inicia el trfico, aplique una ACL en la direccin de entrada para permitir slo el trfico solicitado y

aplique la regla en la direccin de entrada para inspeccionar el trfico solicitado. En las otras interfaces, aplique una ACL en la direccin de entrada para denegar todo el trfico, excepto el trfico que no ha sido inspeccionado por el firewall, como GRE o ICMP que no est relacionado con mensajes de solicitud de eco y su respuesta.

Configuracin de CBAC
Por ejemplo, un administrador necesita permitir a los usuarios internos iniciar trfico TCP, UDP e ICMP con todas las fuentes externas. Se permite a los clientes externos comunicarse con el servidor SMTP server (209.165.201.1) y el servidor HTTP (209.165.201.2) que estn localizados en la DMZ de la empresa. Tambin es necesario permitir ciertos mensajes ICMP en todas las interfaces. Todo el resto del trfico de la red externa es denegado. Para este ejemplo, primero cree una ACL que permita las sesiones TCP, UDP e ICMP y deniegue todo el resto del trfico.

 R1(config)# access-list 101 permit tcp 10.10.10.0 0.0.0.255 any R1(config)# access-list 101 permit udp 10.10.10.0 0.0.0.255 any R1(config)# access-list 101 permit icmp 10.10.10.0 0.0.0.255 any R1(config)# access-list 101 deny ip any any Esta ACL ser aplicada a la interfaz interna en direccin de entrada. La ACL procesa trfico que se inicia en la red interna antes de dejar la red. R1(config)# interface Fa0/0 R1(config-if)# ip access-group 101 in

Configuracin de CBAC
Si la configuracin se detuviera all, todo el trfico de retorno, a excepcin de los mensajes ICMP, sera denegado por causa de la ACL externa. A continuacin, cree reglas de inspeccin para TCP y UDP. R1(config)# ip inspect name MYSITE tcp R1(config)# ip inspect name MYSITE udp Estas reglas de inspeccin debern aplicarse en la interfaz interna en direccin

de entrada. R1(config)# interface Fa0/0 R1(config-if)# ip inspect MYSITE in La lista de inspeccin crea automticamente sentencias de ACL temporal en la ACL de entrada que se aplican a la interfaz externa para conexiones TCP y UDP. Esto permite el trfico TCP y UDP que responde a solicitudes generadas en la red interna. Para deshabilitar CBAC en el router, use el comando global no ip inspect. Router(config)# no ip inspect FALTA IPS. CONTINUARA.