Materia: Seguridad Informtica 1

Firewall y Proxy
1. Definicin de Firewall
Un firewall se puede definir como un sistema o grupo de sistemas cuya finalidad es hacer cumplir una poltica de control de acceso entre dos redes interconectadas. Es un mecanismo que permite proteger a una red confiable de las redes no confiables con las que esta se encuentra conectada, permitiendo an el trfico entre ambas. William Cheswick y el Doctor Steve Bellovin definen un firewall como una coleccin de componentes o sistema puesto entre dos redes que posee las siguientes propiedades: Todo el trfico que sale y entra de una red debe pasar a travs del firewall. Cuando decimos esto, nos referimos a los datos transportados segn la suite de protocolos TCP/IP. Solo el trfico autorizado, segn lo definido en la poltica de seguridad implementada, debe pasar a travs del firewall. El sistema por s mismo es altamente resistente a las penetraciones. Es importante decir que los firewalls son necesarios para poder monitorear las conexiones entre diferentes redes, actuando de esta manera como mediadores de las conexiones.

1.1 Firewall como filtro Los firewalls pueden actuar como filtros que determinan que datos pasan de una red a otra y cules no. Por ejemplo, consideremos el caso de un router: Los routers toman las decisiones de ruteo basados en la informacin contenida en sus tablas de ruteo. Es posible entonces modificar dichas tablas de manera que, por ejemplo, puedan pasar a travs del router datos que provienen de ciertas direcciones. De esta forma un router se convierte en un dispositivo de control de acceso que puede filtrar paquetes. 2.2 Firewalls que actan como gateways Un Gateway puede definirse como una computadora que provee servicios entre dos redes interconectadas. Un firewall, adems de filtrar paquetes puede actuar como un Gateway. De esta forma, el trfico pasa a travs del Gateway, el cual se encarga de pasar los datos, de acuerdo a lo especificado en la poltica de de control de acceso implementada, a un filtro, a una red o incluso a otro Gateway.

2. Proteccin de interredes
Cuando se conectan redes entre s los riesgos de ataques aumentan, de manera que es necesario que las redes se protejan de aquellas que son consideradas redes no confiables. Es en este punto donde los firewalls entran en juego. El Doctor Steve Bellovin, de los laboratorios Bell, dijo alguna vez que los firewalls son barreras entre nosotros y ellos, para valores arbitrarios de ellos. Los firewalls son puntos de control de seguridad que permiten conectar redes confiables con redes no confiables. En este punto es importante destacar que los firewalls no solo son importantes dentro de una organizacin (por ejemplo para controlar el acceso entre diferentes segmentos de una WAN) sino que tambin son importantes cuando una organizacin conecta su red a internet.

3. Firewalls y polticas
El uso de firewalls est estrechamente relacionado con la poltica de seguridad implementada en la organizacin que los utiliza y en especial con la poltica de control de acceso definida. Existen dos tipos de polticas de red que influyen directamente en la implementacin, configuracin y uso de un firewall: La poltica de acceso a servicios de red y la poltica de diseo de un firewall. 3.1 Poltica de acceso a servicios Esta poltica define los servicios que sern permitidos o denegados explcitamente desde las redes restringidas, adems de especificar la manera en la que los servicios sern usados. Para que un firewall funcione de la manera que las organizaciones desean, la poltica de acceso a servicios debe existir antes de que se implemente el uso del firewall. Esta poltica debe ser realista, en el sentido de que debe mantener un balance entre la proteccin de una red y los servicios a los que se podrn acceder. Es decir, debe permitir que las redes se protejan con el uso de firewalls pero sigan siendo tiles a los usuarios.
Pgina

Materia: Seguridad Informtica 1

3.2 Poltica de diseo de firewalls Esta poltica especifica como un firewall restringir a el acceso a una red y como se implementar a el filtrado de paquetes segn lo especificado en la poltica de acceso a servicios. Es por eso que debe definirse primero la poltica de acceso a servicios y luego la poltica de diseo de firewalls. La poltica de diseo de firewalls es especfica de los firewalls y define las reglas a ser usadas para implementar la poltica de acceso a servicios Los firewalls implementan bsicamente dos polticas de diseo: Permitir el acceso a cualquier servicio, a menos que se especifique explcitamente lo contrario. Esta alternativa es conocida como permisiva. En este caso, los firewalls permiten que acedan a la red protegida todos los servicios, a excepcin de aquellos que son identificados como no permitidos por la poltica de acceso a servicios. Denegar cualquier servicio, a menos que se especifique explcitamente lo contrario. Esta alternativa es conocida como restrictiva. Los firewalls que implementan esta alternativa deniegan, por defecto, cualquier servicio, a excepcin de aquellos que se definen en la poltica de acceso a servicios como permitidos.

En definitiva, para la implementacin de firewalls debe tenerse en cuenta la poltica de seguridad definida y saber identificar cules son los servicios que sern permitidos y cules son los que deben ser denegados.

4. Tipos de firewalls
Anteriormente se vi que es necesario definir una poltica de diseo de firewalls y es a partir de esta poltica que surgen los diferentes tipos de firewalls que pueden implementarse. Veamos cuales son los distintos tipos de firewall que pueden implementarse: 4.1 Firewall de filtrado de paquetes El filtrado de paquetes consiste en impedir que ciertos paquetes de informacin (paquetes IP en general) puedan acceder a la red que se est protegiendo o que puedan salir de la red en cuestin. Bsicamente es un mecanismo que permite impedir que ciertos paquetes accedan o salgan de una determinada red. De esta forma los administradores de redes pueden controlar el trfico y de esta manera reducir la posibilidad de ataques externos. Por ejemplo, los routers pueden filtrar paquetes IP basados en ciertas reglas, como lo son: Direccin IP fuente. Direccin IP destino. Puerto TCP/UDP fuente. Puerto TCP/UDP destino. Las tcnicas de filtrado permiten bloquear conexiones desde o hacia ciertos host o redes y pueden bloquear conexiones a puertos especficos. Por ejemplo, se podran filtrar paquetes que provienen de direcciones que son consideradas no confiables o se podra impedir incluso que los usuarios de una red interna tengan acceso a ciertas direcciones. Por ltimo, es importante destacar que el filtrado de paquetes puede ser esttico o dinmico. Filtrado esttico: En este caso el firewall permite el acceso del trfico autorizado, segn lo especificado en la poltica de acceso a servicios, a travs de puertas que estn siempre abiertas. Filtrado dinmico: En este tipo de filtrado, el firewall permite el acceso de paquetes segn la informacin contenida en la cabecera de los mismos.

4.1.1 Ventajas del filtrado El filtrado de paquetes tiene las siguientes ventajas: Permitir mayor proteccin. Soporta la mayora de los servicios. Se tiene un mayor control de lo que entra a una red que se considera confiable. 4.1.2 Desventajas del filtrado El filtrado de paquetes tiene las siguientes desventajas:
Pgina

Materia: Seguridad Informtica 1

Reduce el riesgo de ataques pero no los impide, ya que una vez que se tiene acceso a la red se pueden explotar las vulnerabilidades de los host internos. No posee autenticacin de usuarios.

4.2 Servidores proxy Para solucionar los problemas que tienen los firewalls de filtrado de paquetes y superar sus desventajas, se han desarrollado aplicaciones de software que pueden filtrar conexiones relacionadas con ciertos servicios (por ejemplo: TELNET, FTP, etc.). Estas aplicaciones son conocidas como servidores proxy o gateways de aplicacin. El objetivo de los servidores proxy es actuar como una especie de intermediario entre dos redes interconectadas, permitiendo que los host que pertenecen a una red, que se considera confiable, se comuniquen de manera indirecta con host de otras redes o servidores externos. Las ventajas que tiene el uso de servidores proxy son las siguientes: Ocultamiento de informacin: La informacin propia de los host de una red (en particular su nombre) no debe darse a conocer al exterior (a travs del uso de un servidor DNS) para que los host externos puedan comunicarse con dichos host. Es decir, los host externos solo deben conocer la identidad del servidor proxy para poder comunicarse indirectamente con los host internos a travs del proxy. Mecanismos de autenticacin y login robustos: El proxy puede implementar un mecanismo de autenticacin y login para que los host externos tengan acceso a la red que est siendo protegida por el servidor proxy. Menor complejidad en las reglas de filtrado: Las reglas de filtrado de paquetes que utiliza un router se tornan menos complejas, debido a que el router no tiene que controlar si los paquetes estn dirigidos a los host individuales, simplemente controla que los paquetes estn dirigidos al servidor proxy. Como ejemplo de servidor proxy puede considerarse un proxy de e-mails, el cual se encarga de centralizar los mails que llegan a una red interna y los redirige a los usuarios de la red. Todos los mails que llegan o salen deben pasar por el proxy y de esta manera se puede tener mayor control sobre la informacin que entra a una organizacin, por ejemplo, no permitiendo la llegada de los mails basura controlando de esta forma el spam. Una funcin alternativa que cumplen los servidores proxy es la de actuar como un buffer que almacena la informacin que viaja entre las redes, permitiendo as una velocidad de acceso mayor ya que los datos pueden ser buscados primero en el proxy y luego, sino se encuentran all, pedirlos a los servidores externos. 4.3 Firewalls de inspeccin de paquetes Algunos de los firewalls usados en las conexiones de redes organizacionales a internet, combinan las dos tcnicas vistas anteriormente: filtrado de paquetes y servidores proxy. Esta alternativa de diseo puede permitir un alto grado de control de acceso, pero pone lmites en cuanto a la flexibilidad y transparencia de la conectividad; adems de hacer ms difcil y compleja la configuracin de los firewalls que implementan ambos mecanismos. Una alternativa de diseo consiste en inspeccionar los paquetes en lugar de solo filtrarlos de acuerdo a sus direcciones o nmeros de puerto, es decir, considerar el contenido de los paquetes. Este tipo de firewalls utiliza un modulo de inspeccin de paquetes para los diferentes protocolos utilizados en cada una de las capas de la arquitectura de red (modelo OSI). Por ejemplo, los servidores proxy tienen acceso solo a la informacin relacionada con la capa de aplicacin y los router tienen acceso a informacin relacionada con las capas inferiores (transporte y red) mientras que los firewalls que realizan inspeccin de paquetes tienen la capacidad de integrar la informacin obtenida desde todas las capas en un solo punto de inspeccin. Este tipo de filtrado inteligente puede combinarse con la habilidad de poder escanear sesiones de red. Esto es lo que se conoce como filtrado de sesin. Con esta estrategia, el mdulo que se encarga del filtrado utiliza reglas inteligentes que permiten no solo inspeccionar los paquetes individuales sino que tambin, basndose en la informacin de inicio y fin de sesin, permite inspeccionar una sesin de red. Algunas de las ventajas que ofrece este tipo de firewall son las siguientes: Un mdulo de inspeccin puede manipular paquetes de forma ms rpida que un servidor proxy, lo que permite reducir costos.
Pgina

Materia: Seguridad Informtica 1

Los firewalls de inspeccin pueden proveer traduccin de direcciones, escaneo del contenido de los paquetes para la bsqueda de virus, entre otros servicios. La principal desventaja de este tipo de firewall es que el nivel de procesamiento requerido en comparacin con el filtrado de paquetes comn, es mayor. 4.4 Firewalls hbridos Este tipo de firewall combina las tcnicas de control de trfico de paquetes vistas anteriormente. Por ejemplo, un firewall que utiliza tcnicas de filtrado puede ser mejorado agregndole la capacidad de inspeccionar paquetes. El problema que tiene esta estrategia de agregar capacidades o mtodos de seguridad a los firewalls es que no necesariamente se incrementa la seguridad. Como conclusin se puede decir que todos los tipos de firewalls vistos son equivalentes en cuanto a la funcionalidad y el hecho de que un firewall pertenezca a un determinado tipo, no significa que realice todo el procesamiento de seguridad que caracteriza al tipo de firewall.

5. Testeo de firewalls
Siempre que se utiliza un firewall es necesario realizar un testeo del mismo para encontrar posibles errores de funcionamiento y para asegurarse de que la implementacin del firewall est de acuerdo con la poltica definida en la organizacin que lo utiliza. El testeo de firewalls debe ser realizado por el personal adecuado, en general, el administrador de la red. Existen tres situaciones obvias en las cuales un firewall debe ser testeado: Inmediatamente despus de haber instalado un firewall, para asegurarse de que la instalacin fue correcta. Despus de realizar cualquier cambio en la red, para asegurarse de que el firewall sigue funcionando de manera correcta. Peridicamente, para controlar su funcionamiento. Ejemplo de algunos testeos que pueden realizarse en un firewall son: Testeo de protocolos no soportados: Consiste en utilizar protocolos no autorizados por la poltica de seguridad para detectar fallas en el firewall. Intentos de login a los servidores de FTP y TELNET: Esto permite detectar si los intentos de login como un usuario no existente, se registran como intentos de acceso fallidos o si se registran de forma separada. El testeo de firewalls es importante y siempre debe realizarse, para poder asegurarse de que la implementacin del firewall respeta la poltica de acceso a servicios.

Pgina