Un cortafuegos o firewall es un sistema de defensa basado en el hecho de que
todo el trfico de entrada o salida a la red debe pasar obligatoriamente por un sistema de seguridad capaz de autorizar, denegar, y tomar nota de todo aquello que ocurre, de acuerdo con una poltica de control de acceso entre redes. Controla tanto la comunicacin desde el exterior como el trfico generado desde la propia mquina o red interna. Acta a base de normas que establece el administrador de seguridad o, en su defecto, el administrador de red o el usuario final. Dichas reglas definen las acciones correspondientes a llevar a cabo cuando se recibe un paquete que cumpla unas determinadas caractersticas. Apesar de que hay programas que se venden bajo la denominacin de firewall, un firewall NO es un programa, sino que consiste en un conjunto de medidas hardware y software destinadas a asegurar una instalacin de red. En definitiva, se trata de cualquier sistema empleado para "separar" una mquina o una subred del resto, protegindola de servicios y protocolos que puedan suponer una amenaza a la seguridad desde el exterior. El espacio protegido por un cortafuego se denomina permetro de seguridad, mientras que la red externa recibe el nombre de zona de riesgo. Cortafuegos o Firewall: - Sistema que implanta una poltica de control de accesos entre dos redes (p.e. Internet- LAN) Mecanismos que utiliza: - Bloquea o Permite l trfico entre redes - Hay que tener muy claro lo que se quiere permitir o denegar Por qu necesito un Firewall? - Permitir acceso a Internet de usuarios internos - Permitir acceso desde Internet a usuarios autorizados - Prohibir acceso desde Internet a los no autorizados Contra qu protege un Cortafuegos Contra accesos no autenticados del exterior. Contra trfico no autorizado del exterior Permitiendo salida desde el interior Proporciona un nico punto para implantar una poltica de seguridad y auditora. Ha de protegerse a s mismo
Contra qu NO protege un Cortafuegos Contra accesos externos que no van por el cortafuegos (modems,...). Contra ataques desde el interior Contra virus, troyanos, tneles Contra salida de info por otro medio (disketes, etc.) Debe ser parte de una poltica global
Fabricantes existentes en el mercado www.icsalabs.net Productos firewall certificados por ICSA Checkpoint Firewall-1 StoneGate Cisco PIX CyberGuard NetScreen Gaunlet Tipos de Cortafuegos (1) Filtros de Paquetes (nivel de red): - Trabajan a nivel de red (IP) - Filtran paquetes IP segn sus cabeceras y basados en los siguientes criterios: Direcciones IP origen y destino Puertos TCP/UDP origen y destino - Un router es un cortafuegos bsico a nivel de red - Pueden utilizar filtros estticos o dinmicos - PROS: Independencia de las aplicaciones Son muy rpidos y escalables - CONS: Menor nivel de seguridad No examinan el trfico ni entienden el contexto Tipos de Cortafuegos (2) Gateways de aplicacin (nivel aplicacin): - No permiten trfico entre las dos redes, si no es mediante un proxy a nivel de aplicacin. - Existe una conexin entre el exterior y el cortafuegos y otra entre el cortafuegos y el interior - Servidores proxy - PROS: Alto nivel de seguridad Examinan informacin a nivel de aplicacin Toman decisiones basadas en datos de cada aplicacin - CONS: Menor rendimiento y escalabilidad Rompe el modelo cliente/servidor (requiere dos conexiones) Requiere implantar un proxy por cada aplicacin Tipos de Cortafuegos (3) Inspeccin de estados (varios niveles) - Realizan filtros en base a las cabeceras, el paquete se intercepta a nivel de red, pero extrae informacin de los datos para analizar en funcin de la aplicacin. - Mantiene una tabla dinmica de estados con informacin para las decisiones de seguridad - No rompe el modelo cliente/servidor - PROS: Alta seguridad, velocidad y escalabilidad Inspecciona los datos a nivel aplicacin - CONS: No se rompe la conexin totalmente Tipos de Cortafuegos (4) Cortafuegos hbridos - La mayora de los productos comerciales actuales - Incorporan mezcla de varias tecnologas - Pueden definirse reglas de filtros para trfico que requiere alta velocidad, y proxy para alta seguridad - Adaptativos (proxy durante el establecimiento y filtro de paquetes durante la transferencia de datos) Tipos de cortafuegos por ubicacin Cortafuegos personales (PC): - Novedad en el mercado. Protegen el PC controlando el stack IP e inspeccionando las aplicaciones ms comunes - Permiten filtros de entrada y salida. - Utilizables en PC en LAN, Modem, ADSL... Cortafuegos para pequeas oficinas: - Small Office Home Office (SOHO) - Protegen a varios usuarios en pequeas oficinas (tpicamente entre 2 y 50) - Suelen ser pequeos equipos instalados antes del router, o incluso integrados - Muy utilizable para el acceso con ADSL Tipos de cortafuegos por ubicacin Equipos hardware (Appliances): - Utilizados en oficinas medias y sucursales - Fciles de configurar, con funcionalidades bsicas y gestionados centralizadamente - Utilizan sistemas operativos propios del hardware en el que estn implantados Cortafuegos corporativos: - El punto central de accesos a Internet de una empresa. - Punto central donde se implanta la poltica de seguridad de la empresa - Puede conectar mltiples redes - Software que se instala en grandes servidores con configuraciones tolerantes a fallos Arquitecturas de cortafuegos Arquitectura hardware: - Servidores estndar Windows o Unix con S.O. Seguros o reforzados - Hardware especfico Arquitectura de red, Mltiples interfaces: Interface Externo: Internet Interface Interno: LAN, Intranet Zona Desmilitarizada (DMZ): Servidores pblicos Alta disponibilidad: - Arquitecturas tolerantes a fallos al ser un punto crtico de acceso Concepto de zona desmilitarizada-DMZ Zona desmilitarizada DMZ: - Subred intermedia entre Internet y la Intranet - Se instalan los servidores de acceso pblico como Web, eMail, FTP - Los accesos a la Intranet pasan previamente por la DMZ, dando paso a la LAN solo lo imprescindible - Se instalan sistemas de filtrado y deteccin antivirus previo al envo a la Intranet - Se pueden establecer zonas de cuarentena - Los servidores de la DMZ se robustecen Fallos comunes al implantar un firewall Implantar un Fw sin poltica de seguridad Aadir reglas y servicios sin distinguir entre necesidades y deseos Concentrarse en el Fw ignorando otras medidas de seguridad Ignorar las alarmas y logs que da el Fw Anular las alarmas de bajo nivel y repetitivas Permitir a demasiado personal acceder e incluso administrar parmetros del Fw Permitir el uso de mdems independientes Clases de ataques Averiguacin y robo de password - No es difcil hacerse Administrador o Root Aprovechar bugs y puertas traseras: - De los SO, software de base o aplicaciones propias Fallos en los mecanismos de autenticacin: - Por la utilizacin de mecanismos dbiles Fallos en los protocolos de comunicaciones Obtencin de informacin transmitida o almacenada en claro Denegacin de servicio (DoS) Ingeniera social Tipos de cortafuegos Clasificacin por tecnologa: - Filtros de paquetes - Proxy de aplicacin - Inspeccin de estados (statefull inspection) - Hibridos Clasificacin por ubicacin: - Cortafuegos personales (para PC) - Cortafuegos para pequeas oficinas (SOHO) - Equipos hardware especficos (Appliances) - Cortafuegos corporativos
Comparativa GNU/Linux vs Microsoft Windows Tecnoblogy Aspecto GNU/Linux Windows Filosofa Es un sistema al que cualquiere puede acceder. Se puede distribuir, usar y modificar libremente Pertenece a una compaa, Microsoft, que es la nica autorizada tanto de realizar modificaciones como de distribuirlo. Precio Es software libre, de uso gratuito con tantas licencias como se deseen. Dependiendo de las versiones, cientos de euros por cada licencia. Desarrollo Mantenido por miles de voluntarios en todo el mundo, pertenece a una comunidad en la que cualquiera puede participar. Desarrollado por Microsoft, que vende los datos tcnicos imprescindibles y ms relevantes y oculta otros. Cdigo fuente Abierto a todo el mundo. Cerrado, secreto empresarial. Estabilidad Muy estable, siendo relativamente difcil que el sistema se quede colgado. Cuando una aplicacin se bloquea es fcil e inmediato terminar ese proceso, sin que afecta a la estabilidad del resto del sistema. Puede funcionar durante meses sin reiniciar y con el mismo rendimiento. Cuelgues habituales del sistema, para muchas tareas administrativas es necesario reiniciar la mquina. Cuando una aplicacin se queda bloqueada repercute en el resto, llegando comprometer la estabilidad de todo el sistema. No es capaz de funcionar ms de una semana sin reiniciar, decreciendo enormemente el rendimiento. Comparativa GNU/Linux vs Microsoft Windows Tecnoblogy Seguridad Extremadamente seguro. Su sistema de permisos hace que los pocos virus que existen no causen ningn dao al sistema. Absolutamente inseguro, existen miles de virus y la instalacin de firewares, antivirus, etc es completamente necesaria. Algunos de ellos pueden llegar a formatear la particin Windows. Facilidad de uso Para tareas cotidianas, la misma que Windows. Segn la distribucin, ciertas tareas administrativas pueden suponer pequeos problemas para los usuarios ms novatos. Da a da mejora en este aspecto. Precisamente la idea de Windows era llevar la informtica al usuario ms inexperto, descuidando sin embargo otros aspectos de suma importancia. Controladores de Hardware Desarrollados por voluntarios. La mayora de dispositivos funcionan a la perfeccin, otros no lo hacen completamente ya que sus fabricantes ocultan los detalles tcnicos. Todos los fabricantes de dispositivos los venden junto a controladores especficos de Windows, que deben funcionar en pocos minutos. Difusin Poco extendido en hogares. Utilizado casi por la totalidad de servidores (los propios server de Microsoft funcionan bajo Linux). Ocupa el 90% del mercado de ordenadores domsticos. Comparativa GNU/Linux vs Microsoft Windows Tecnoblogy Disponibilidad de programas Existen programas para realizar todas las tareas, aunque la variedad no es tan grande como en Windows. Millones de programas de todo tipo. Precio de los programas Generalmente libres y gratuitos. No obstante, tambin existen de pago. La mayor parte son de pago, y es necesario abonar cientos de euros por las licencias. Compatibilidad con otros sistemas operativos Se comunica por red con cualquier sistema. Escribe en todos los sistemas de archivos, si bien el NTFS no lo controla con total estabilidad, al no haber proporcionado Windows todos sus detalles. Suele presentar incompatibilidades con otros sistemas operativos, e incluso con versiones anteriores del mismo. Slo lee y escribe sus propios sistemas de archivos.