Documentos de Académico
Documentos de Profesional
Documentos de Cultura
WAN e Internet
ndice de contenidos
Captulo 1
4
5
9
11
12
14
16
17
17
18
18
19
19
20
20
20
20
20
Captulo 2
21
22
23
24
25
26
26
27
28
28
29
30
31
31
32
Captulo 3
33
CONFIGURACIN DE CORTAFUEGOS
Pgina 1
33
34
35
39
39
40
42
45
49
50
Pgina 2
51
52
59
60
61
CAPTULO 1
En la gestin de redes, es importante definir zonas confiables por las que los datos pueden
distribuirse sin miedo de que lleguen a manos indebidas, y en las que los usuarios pueden ir de
un sitio a otro sin tener que identificarse a cada momento. Una zona es confiable si podemos
fiarnos de quienes estn dentro, bien porque est fsicamente segregada del resto del mundo,
bien porque el nexo de unin con otras redes establece una poltica fiable de control de
acceso.
Normalmente se quiere conectar una red interna (Intranet) a la red pblica mundial (Internet)
pero evitando la falta de limitaciones y controles implcitos en Internet. Para lo cual se suele
establecer un nico nexo de unin entre las dos redes con un estrecho control. Un punto de
paso obligado permite evitar que nada se escape de una red a otra red, y que nadie la
atraviese sin la debida autorizacin.
Los cortafuegos (firewalls) son dispositivos que controlan el flujo de trfico entre dos o ms
redes, permiten o bloquean el trfico en base a una serie de reglas emanadas de las polticas
de seguridad de la organizacin. Su complejidad reside en las reglas que admiten y en como
toman las decisiones en base a dichas reglas.
Un cortafuegos rara vez se basa en una sola tcnica: por lo general es una combinacin de
tcnicas desarrolladas para solucionar diferentes problemas. La mayora de los cortafuegos
emplean una combinacin de filtrado de paquetes y de servidores proxy. Los problemas a
resolver dependen de los servicios a proporcionar y del nivel de riesgo que se est dispuesto a
aceptar.
Un cortafuegos normalmente se instala en el punto donde la red interna protegida se conecta
con Internet
Los cortafuegos pueden hacer mucho por la seguridad de un sitio, de hecho pueden:
Ser fuente de decisiones de seguridad, permiten concentrar las medidas de
seguridad en el punto de inspeccin.
Permitir que slo pasen los servicios que cumplan con las reglas establecidas para
ello.
Almacenar de manera eficiente la relacin con Internet. Un cortafuegos puede
registrar lo que ocurre entre la red protegida y la red externa.
Limitar los riesgos. A veces se utiliza un cortafuegos para mantener separada una
seccin de una red local de otra, y as evitar que los problemas que impactan en
una seccin se extiendan a travs de toda la red.
Pgina 3
Un cortafuegos nos protege contra las amenazas de la red, pero ciertas amenazas estn fuera
de su control. Por ejemplo, no puede protegernos contra:
Ataques internos.
Conexiones que no pasan por l.
Amenazas desconocidas. Ningn cortafuegos puede defenderse de manera automtica
contra cada nueva amenaza que surge, no se puede instalar un cortafuegos y esperar
que nos proteja para siempre
Virus. Aunque los cortafuegos revisan todo el trnsito que entra para determinar si
puede pasar a la red interna, la revisin, en la mayora de los casos, se realiza a nivel
de direcciones fuente y destino y de nmeros de puerto, no en los detalles de los
datos. La proteccin contra virus en un cortafuegos no es muy prctico.
Los cortafuegos son cada vez ms necesarios en nuestras redes, pero todos los expertos
recomiendan que no se usen en lugar de otras herramientas, sino junto a ellas.
1.1. TIPOS DE CORTAFUEGOS
En la actualidad existe una amplia variedad de dispositivos que realizan las funciones de
cortafuegos, una forma prctica y sencilla de comparar las caractersticas y ventajas de cada
plataforma es examinando las capas del modelo OSI donde el cortafuegos interacta.
La clasificacin ms comn divide los cortafuegos en los siguientes tipos:
Cortafuegos a nivel de red (trabajan en las capas 2,3 y/o 4)
Cortafuegos a nivel de sesin (trabajan e las capas 3,4 y/o 5)
Cortafuegos a nivel de aplicacin (trabajan en las capas 5,6 y/o 7)
Como regla general, podemos afirmar que cuanto ms bajas sean las capas en las que trabaja,
su evaluacin ser ms rpida y transparente, pero su capacidad de accin ante ataques
complejos es menor.
Un cortafuegos a nivel de red se suele implantar en equipos encaminadores (Routers). Su
operacin se asemeja a la de un guardia urbano que en un cruce decide qu coches pueden
pasar y cules no, dependiendo de su origen y su destino. A la vez que cada paquete se
encamina hacia su destino, se filtran los paquetes no deseados.
El filtrado dinmico de paquetes permite, analizando el contenido de algunos paquetes,
detectar el establecimiento de una sesin (por ejemplo TLS o FTP) y activar una ventana
temporal que autoriza o no el trnsito directo de los paquetes asociados.
Los cortafuegos a nivel de aplicacin evalan los paquetes en la capa de aplicacin, nivel 7 de
OSI, antes de permitir una conexin manteniendo un riguroso control del estado de todas las
Pgina 4
La prctica totalidad de los cortafuegos de este tipo, suelen prestar servicios de proxy
(intermediario). Tanto es as que a menudo se identifican biunvocamente unos con otros. Un
proxy es un servicio especfico que controla el trfico de un determinado protocolo (como
HTTP, FTP, DNS, LDAP, SMTP, Telnet, etc.), proporcionando un control de acceso adicional y un
registro detallado de sucesos respecto al mismo.
Con la instalacin de intermediarios (proxies) tambin conocidos como pasarelas (application
gateways), el cliente, situado en un lado del cortafuegos, habla con un servidor situado en el
propio cortafuegos. Este servidor le identifica, registra sus peticiones y, si lo considera
oportuno, encamina estas hacia el verdadero servidor situado al otro lado del cortafuegos. La
contestacin regresa por el mismo camino, quedando igualmente registrada.
1.2. FILTRADO DE PAQUETES
Los paquetes son las unidades bsicas de informacin de los protocolos TCP/IP, en cada nivel
un paquete tiene dos partes: el encabezado y el cuerpo. El filtrado de paquetes es un
mecanismo que, en base a la informacin del encabezado del paquete, permite controlar qu
informacin puede fluir desde y hacia una red. Los filtros permiten o bloquean los paquetes,
en general mientras se enrutan de una red a otra. Para realizar el filtrado de paquetes se
deben establecer un conjunto de reglas que especifiquen qu tipos de paquetes van a
permitirse y qu tipos van a bloquearse.
El filtrado de paquetes se puede realizar en un enrutador o en un anfitrin. El tipo de
enrutador utilizado en un cortafuegos para filtrado de paquetes se conoce como enrutador de
proteccin (screening router). Un esquema bsico se muestra en la figura abajo.
Se trata del tipo ms bsico de cortafuegos. Analizan el trfico de red fundamentalmente en la
capa 3, teniendo en cuenta, a veces, alguna de las caractersticas del trfico generado en las
capas 1, 2 y/o 4. Los elementos con que se cuenta a la hora de decidir si un paquete es vlido
o no son los siguientes:
La direccin de origen desde donde, supuestamente, viene el paquete (capa 3)
La direccin del host de destino del paquete (capa 3)
El tipo de trfico o protocolo: TCP, UDP o ICMP (capas 3 y 4)
Los puertos de origen y destino de la sesin (capa 4)
La interface fsica del cortafuegos a travs de la que llega el paquete y por la que
habra de darle salida (capa 1).
Curso online Seguridad en Redes WAN e Internet
Mdulo 1
Pgina 5
Pgina 6
Para configurar un enrutador con filtrado de paquetes, primero se debe decidir qu servicios
se quieren permitir o negar, y despus convertir las decisiones en reglas sobre los paquetes.
Tambin hay que tener en cuenta que, por lo general, los protocolos son bidireccionales; casi
siempre incluyen un extremo que enva una solicitud o comando, y otro que enva una
respuesta. Cuando se diseen las reglas para el filtrado de paquetes, se debe tener en cuenta
que los paquetes viajan en ambas direcciones. Por ejemplo, no sirve de nada permitir
paquetes Telnet de salida que enviarn comandos desde el teclado a un anfitrin remoto, si no
se permite que regresen los paquetes para esa conexin que traen el despliegue en pantalla.
Por el contrario, tampoco sirve de nada bloquear media conexin. Muchos ataques pueden
llevarse a cabo si los atacantes pueden introducir paquetes en nuestra red, aunque no puedan
obtener respuestas. Esto es posible porque las respuestas pueden ser lo suficientemente
predecibles para permitir que los atacantes lleven a cabo su parte de la conversacin sin tener
que ver las respuestas. Por ejemplo, aunque el atacante no pueda ver directamente el archivo
/etc/passwd, quiz puedan ejecutar un comando para que le enve una copia.
Las reglas de filtrado, generalmente se expresan como una simple tabla de condiciones y
acciones que se consulta en orden hasta encontrar una regla que permita tomar una decisin
sobre el bloqueo o el reenvo de la trama.
La forma de procesar un paquete difiere segn el modelo, el fabricante o el modo de actuacin
configurado y define en gran medida la permisividad del cortafuegos:
Para el filtrado de paquetes, los sistemas ms normales y restrictivos, utilizan dos
listas de reglas: una de permitidas y otra de denegadas. Estos sistemas exigen que
el paquete pase con xito por ambas listas, es decir, que no sea expresamente
denegado en la una y sea expresamente autorizado en la segunda.
En otros sistemas existe una nica lista de reglas y el paquete es procesado segn
la primera regla de la tabla que defina como tratarlo.
Por ltimo, tambin encontramos diferencias en qu hacer cuando no se
encuentra ninguna regla vlida: algunos productos aceptan el paquete y otros lo
rechazan; de cualquier forma, para evitar problemas, lo mejor es insertar siempre
una regla por defecto al final de la lista.
Pgina 7
En la siguiente tabla tenemos un ejemplo de una de estas ltimas listas de reglas en la que el
cortafuegos posee la direccin IP 192.168.1.1:
Reg Direcc. de
Puerto de Direcc.de
Puerto de Accin
origen
origen
destino
Cualquiera
Cualquiera
Cualquiera
Aceptar
Cualquiera
Aceptar
Cualquiera
Cualquiera Cualquiera
destino
Aceptar
Descripcin
Aparte de Aceptar (accept) o Rechazar (Deny o Drop), la mayora de los cortafuegos de este
tipo poseen un tercer tipo de accin: Descartar (Discard o Stealth). Cuando un paquete es
procesado por una regla que define esta accin, este se elimina silenciosamente sin devolver
error alguno al originario del mismo creando un efecto de agujero negro y evitando as el
cortafuegos revelar su presencia.
Curso online Seguridad en Redes WAN e Internet
Mdulo 1
Pgina 8
Ciertas protecciones slo se pueden proporcionar, cuando los enrutadores con filtrado se
colocan en lugares especficos de la red. Por ejemplo, es una buena idea rechazar todos los
paquetes que, viniendo del exterior, tienen direcciones fuente internas porque son, por lo
general, parte de los ataques de falsificacin de direccin. En tales casos, un atacante finge
venir de una mquina interna. Esta decisin slo puede tomarse con un enrutador colocado en
el permetro de la red. Slo un enrutador en esa posicin ser capaz de reconocer tal paquete,
al observar la direccin fuente y si el paquete vino desde dentro (la conexin interna de la red)
o desde fuera (la conexin externa de la red).
Una regla para bloquear los paquetes que entran con direcciones fuente falsificadas
(direcciones de nuestra red interna), podra ser:
Regla
Sentido
Accin
Entrada
Interna
Rechazar
Cualquiera
Pgina 9
Pgina 10
protocolos no deseados y se pasan los paquetes restantes a otro cortafuegos que examine los
protocolos de las capas ms altas.
1.2.2. CORTAFUEGOS CON INSPECCIN DE ESTADO
Pgina 11
La interfaz fsica de red, si procede, a travs de la que los paquetes salen (capa 1)
Usando esta informacin y analizando las cabeceras de los paquetes, el cortafuegos es capaz
de determinar cundo un paquete es vlido y cuando no lo es. Los campos de la cabecera de
TCP que habitualmente inspeccionan los cortafuegos son Puertos origen y destino, nmero de
secuencia y nmero de acknowledgement.
Sobre esta base se realizan otro tipo de verificaciones para, por ejemplo, asegurarnos que no
ha habido suplantacin (spoofing), que no existen paquetes mal formados etc. Tambin son
comunes en ellos la implantacin de sistemas de translacin de direcciones, NAT, que ocultan
eficazmente el interior de nuestra red a intrusos externos.
1.2.3. Consideraciones para configurar un cortafuegos con inspeccin de estado
Pgina 12
Pgina 13
.
1.3. SISTEMAS PROXY
Los servidores proxy son programas de aplicacin o servidores especializados que se ejecutan
en un cortafuegos anfitrin: ya sea un anfitrin con doble acceso con una interface en la red
interna y la otra en la red externa, o algn otro anfitrin bastin que tenga acceso a Internet y
sea accesible desde las mquinas internas. Estos programas toman las solicitudes de los
usuarios para servicios de Internet y, si son acordes con la poltica de seguridad del sitio, los
envan a los servidores reales. Los servidores proxy proporcionan conexiones sustitutas y
actan como compuertas a los servicios; por esta razn se conocen a veces como compuertas
a nivel aplicacin, y a las mquinas donde se ejecutan pasarelas de aplicacin.
Los sistemas proxy evitan la frustracin del usuario y las inseguridades de un anfitrin con
doble acceso, automatizando la interaccin con tal anfitrin. El usuario tiene la ilusin de que
trata directamente (o casi en forma directa) con el servidor que est en Internet, con un
mnimo de interaccin directa con el anfitrin con doble acceso.
Un servicio proxy requiere dos componentes: un servidor proxy y un cliente proxy. En esta
situacin, el servidor proxy se ejecuta en el anfitrin con doble acceso. Un cliente proxy es una
versin especial de un programa cliente comn (por ejemplo, un cliente Telnet o FTP) que se
comunica con el servidor proxy en lugar de hacerlo con el verdadero servidor que est en
Internet, con frecuencia, los programas cliente comunes pueden usarse como clientes proxy.
El servidor proxy evala solicitudes del cliente proxy y decide, en base a un conjunto de reglas,
cules aprobar y cules negar. Si aprueba una solicitud, el servidor proxy contacta con el
verdadero servidor en nombre del cliente (de ah viene el trmino proxy, representante), y
procede a transmitir las solicitudes del cliente proxy al verdadero servidor, y las respuestas del
verdadero servidor al cliente proxy.
Pgina 14
Pgina 15
Pgina 16
Los servicios proxy no nos protegen de todas las debilidades de los protocolos
El uso de proxy requiere determinar que operaciones son seguras en un protocolo. No todos
los protocolos proporcionan formas fciles de hacer esto. Por ejemplo, el protocolo X
Windows, proporciona un gran nmero de operaciones inseguras, y es difcil hacerlo funcionar
cuando se le quitan las operaciones inseguras.
1.3.2. TIPOS DE SERVIDORES PROXY
En los ltimos aos las fronteras entre las distintas generaciones de cortafuegos aqu
expuestas se han difuminado y, cada vez hay en el mercado ms productos comerciales que
combinan las mejores caractersticas de dos o ms de estas plataformas. As, por ejemplo,
podemos encontrar con facilidad cortafuegos a nivel de aplicacin con servicios proxy que
Pgina 17
incluyen filtrado de paquetes para inspeccionar las tramas UDP que antes le estaban
restringidas.
1.4. SERVICIOS ADICIONALES PROPORCIONADOS POR LOS
CORTAFUEGOS
Un valor aadido sobre los cortafuegos actuales son los servicios adicionales que disponen y
que facilitan las labores de proteccin y administracin de la red. Se trata de servicios en
algunos casos hechos a medida, y en otros habituales de otros dispositivos pero que, en
cualquier caso, representan un punto importante a la hora de decantarnos por una u otra
implementacin.
1.4.1. Translacin de Direcciones de Red (NAT)
Los servicios de NAT (Network Address Translation) resuelven dos de los principales problemas
de seguridad e infraestructura de las redes actuales. En primer lugar, constituyen una
herramienta muy efectiva para esconder las direcciones de red reales de nuestra red interna.
En segundo lugar, y debido a la reduccin del espacio de direcciones IP disponibles, muchas
organizaciones usan NAT para permitir la salida a Internet de sus equipos de red interna con
un mnimo de direcciones legalmente vlidas. Existen tres estrategias diferentes a la hora de
implementar NAT:
Translacin de Direcciones de Red Esttica
En este esquema de NAT cada sistema interno de la red privada tiene su propia direccin IP
exterior. Con este sistema se logra esconder el esquema interno de nuestra red, pero no la
reduccin de direcciones IP vlidas de acceso al exterior. Los cortafuegos que incluyen esta
caracterstica usan para ello una simple tabla de correspondencia entre unas direcciones y
otras.
Translacin de Direcciones de Red Oculta
Con este esquema todos los sistemas de la red interna comparten la misma direccin IP
externa. Reviste dos importantes inconvenientes: es imposible poner a disposicin de los
usuarios externos ningn recurso de la red interna, y obliga al cortafuegos a usar su propia
direccin externa como sustituta de la direccin de todos los equipos que protege, con lo cual
implcitamente estamos revelando la direccin del mismo y lo hacemos susceptible de ser
atacado directamente, adems de restarle flexibilidad al sistema.
Translacin de Puertos
El sistema de translacin de Puertos (PAT) resuelve los dos problemas vistos en el esquema
anterior convirtindolo en la mejor forma de implementar NAT. En primer lugar no es
necesario usar la direccin externa del cortafuegos, sino que podemos crear otra direccin
virtual para este propsito. En segundo lugar, es posible hacer accesibles recursos internos a
los usuarios del exterior.
El cortafuegos usa el puerto del cliente para identificar cada conexin entrante y construye a
tal efecto una tabla de translaciones como la siguiente:
Pgina 18
Direccin IP interna
PAT
192.168.1.108
1028
3313
192.168.1.112
1039
3314
192.168.1.102
1400
3315
192.168.1.101
1515
3316
192.168.1.115
1027
3317
192.168.1.120
1026
3318
Pgina 19
Uno de los servicios ms interesantes que, a nivel de aplicacin, ofrecen los cortafuegos, es
realizar una inspeccin de contenidos en el trfico http y SMTP que permita incluir diferentes
elementos como videos HTML o Flash, cdigos (Applets de Java, Cdigo ActiveX, JavaScript o
CGI), inspeccin de virus (binarios o de macro), inspeccin del contenido de ciertos formatos
ampliamente introducidos (zip, docx, xlsx, pptx, odt, etc.), bloqueo de contenidos en base a
URLs, direcciones IP y/o palabras clave, o bloqueo de comandos especficos de determinadas
aplicaciones.
1.4.6. Autenticacin de usuarios
Otro servicio bsico en los cortafuegos a nivel de aplicacin es la autenticacin de usuarios que
en los dispositivos a nivel de red debe limitarse a la direccin IP de procedencia de la peticin,
con el consiguiente riesgo de suplantacin, mientras que en estos pueden habilitarse servicios
clsicos de combinacin login/password.
1.4.7. Alta Disponibilidad y Balanceo de Carga
Los sistemas de deteccin de intrusos son herramientas o dispositivos que nos permiten
inspeccionar nuestro sistema, generar alertas y conocer cuando alguien ha tratado de penetrar
en nuestro sistema o lo ha conseguido. Existen dos tipos de sistemas IDS los de hosts y los de
Curso online Seguridad en Redes WAN e Internet
Mdulo 1
Pgina 20
redes. Los IDS de hosts se basan en el anlisis de las estadsticas de uso o el uso indebido de
ciertos recursos (comandos, archivos, etc.) del sistema. Los IDS de red buscan patrones
sospechosos en los paquetes TCP, malformaciones en la estructura de los mismos, etc.
CAPTULO 2
Pgina 21
Internet
Anfitrin con
doble acceso
FIREWALL
RED INTERNA
Pgina 22
La arquitectura de red para un cortafuegos de anfitrin con doble acceso es bastante sencilla:
el anfitrin se coloca entre, y se conecta a, Internet y la red interna. La figura VII-5 muestra
esta arquitectura.
2.2. ARQUITECTURA DE ANFITRIN DE PROTECCIN
Mientras una arquitectura de anfitrin con doble acceso proporciona servicios desde un
anfitrin conectado a varias redes (pero con el enrutamiento desactivado), una arquitectura de
anfitrin de proteccin proporciona servicios en un anfitrin conectado slo a la red interna,
utilizando un enrutador independiente para el filtrado de paquetes. La figura VII-6 muestra
una versin sencilla de una arquitectura de anfitrin de proteccin.
El anfitrin bastin est colocado en la red interna. El filtrado de paquetes en el enrutador de
proteccin est configurado de tal manera que el anfitrin bastin es el nico sistema en la red
interna con el que los anfitriones en Internet pueden abrir conexiones (por ejemplo, para
entregar correo electrnico). Aun as, slo estn permitidas ciertos tipos de conexiones.
Cualquier sistema externo que intente tener acceso a los sistemas o servicios internos tendr
que conectarse con este anfitrin. Por lo tanto, el anfitrin bastin debe mantener un alto
nivel de seguridad.
El filtrado de paquetes tambin permite que el anfitrin bastin abra conexiones permitidas al
mundo exterior (lo permitido lo determina la poltica de seguridad especfica del sitio).
En el enrutador de proteccin el filtrado de paquetes se puede configurar para:
Permitir que otros anfitriones internos abran conexiones con anfitriones en Internet para
ciertos servicios (permitiendo esos servicios a travs del filtrado de paquetes).
No permitir las conexiones de anfitriones internos (obligndolos a utilizar servicios proxy a
travs del anfitrin bastin).
Se pueden mezclar estos enfoques para diferentes servicios; algunos pueden permitirse
directamente por medio del filtrado de paquetes; otros pueden permitirse slo de manera
indirecta por medio de proxies. Todo depende de la poltica especfica que el sitio intente
cumplir.
Debido a que esta arquitectura permite que los paquetes se muevan de Internet a las redes
internas, puede parecer ms arriesgada que la arquitectura de anfitrin con doble acceso,
diseada para que ningn paquete externo alcance la red interna. Sin embargo, en la prctica,
la arquitectura de anfitrin con doble acceso tambin es propensa a fallar permitiendo que, en
realidad, pasen los paquetes de la red externa a la interna. Adems, es ms fcil defender un
enrutador, que proporciona un conjunto muy limitado de servicios, que defender un anfitrin.
Para casi todos los propsitos, la arquitectura de anfitrin de proteccin proporciona ms
seguridad y facilidad de uso que la arquitectura de anfitrin con doble acceso.
Pgina 23
Pgina 24
Algunos sitios van tan lejos como para crear una serie de capas de redes permetro entre el
mundo exterior y su red interna. Los servicios menos confiables y ms vulnerables se colocan
en las redes de permetro exteriores, ms lejos de la red interior. La idea es que al atacante
que penetre a una mquina en la red de permetro exterior, le costar ms trabajo atacar con
xito las mquinas internas debido a las capas adicionales de seguridad entre el permetro
exterior y la red interna. Sin embargo, esto slo es cierto si las distintas capas tienen sentido; si
los sistemas de filtrado entre cada capa permiten lo mismo entre todas las capas, las capas
adicionales no proporcionan mayor seguridad.
La figura muestra una posible configuracin de cortafuegos con una arquitectura de subred de
proteccin.
La red de permetro es una capa adicional de seguridad, ubicada entre la red externa y la red
interna protegida. Si un atacante entra con xito a los lmites externos del cortafuegos, la red
de permetro ofrece una capa adicional de proteccin entre el atacante y los sistemas internos.
Con una red de permetro, si alguien entra a un anfitrin bastin, podr curiosear slo su
trfico. Todo el trfico en la red de permetro debe ser de o para el anfitrin bastin, o hacia o
desde Internet.
Curso online Seguridad en Redes WAN e Internet
Mdulo 1
Pgina 25
Debido a que el trfico estrictamente interno (trfico entre dos anfitriones internos que se
supone es importante) no pasa por la red de permetro, aunque el anfitrin bastin est en
peligro los atacantes no podrn verlo. Parte del trabajo de disear un cortafuegos consiste en
asegurar que este trfico no sea, en s, lo suficientemente confidencial como para que leerlo
comprometa su sitio.
2.3.2. Anfitrin bastin
El enrutador interior (a veces llamado enrutador de choque) protege la red interna tanto de
Internet como de la red de permetro.
El enrutador interior realiza la mayor parte del filtrado de paquetes para el cortafuegos.
Permite que servicios seleccionados salgan de la red interna hacia Internet. Estos servicios son
los que un sitio puede soportar y proporcionar con seguridad utilizando el filtrado de paquetes
en lugar de servicios proxy. Cada sitio debe establecer su propia definicin de qu significa
seguro, tendr que considerar sus propias necesidades, capacidades y limitaciones; no hay
una respuesta nica sobre los servicios a permitir para todos los sitios.
El objetivo del enrutador interior es limitar los servicios entre el anfitrin bastin y la red
interna para reducir el nmero de mquinas (y de servicios en esas mquinas) que pueden ser
Curso online Seguridad en Redes WAN e Internet
Mdulo 1
Pgina 26
atacadas desde el anfitrin bastin, en caso de verse comprometido. Para alcanzar este
objetivo se debe:
Limitar los servicios permitidos entre el anfitrin bastin y la red interna slo a los que
en realidad se necesiten, como SMTP (para que el anfitrin bastin pueda enviar el
correo electrnico que entra), o DNS (para que el anfitrin bastin pueda responder a
las preguntas de las mquinas internas, o preguntarles).
Limitar los servicios, hasta donde sea posible, permitindoles ir o venir de anfitriones
internos determinados; por ejemplo, SMTP podra estar limitado slo a conexiones
entre el anfitrin bastin y el servidor o servidores de correo interno.
Poner mucha atencin en la seguridad de estos anfitriones internos y de los servicios
restantes que pueden ser contactados por el anfitrin bastin, pues sern los que
perseguir el atacante si logra entrar en el anfitrin bastin.
2.3.4. Enrutador exterior
En teora, el enrutador exterior (a veces llamado enrutador de acceso) protege tanto la red de
permetro como la red interna de Internet. En la prctica los enrutadores exteriores tienden a
permitir casi cualquier cosa que salga de la red de permetro y, en general, realizan muy poco
filtrado de paquetes. Las reglas de filtrado para proteger las mquinas internas tienen que ser,
en esencia, las mismas tanto para el enrutador interior como para el exterior; si hay un error
en las reglas que permita el acceso a un atacante, es probable que el error est presente en
ambos enrutadores.
Las nicas reglas para el filtrado de paquetes realmente especiales en el enrutador exterior
son las que protegen las mquinas de la red de permetro (esto es, los anfitriones bastin y el
enrutador interno).
El resto de reglas que se podran establecer en el enrutador exterior son duplicados de las del
enrutador interior. Son reglas que evitan que el trfico inseguro pase entre los anfitriones
internos e Internet. Para soportar los servicios proxy, el enrutador interior debe permitir que
los anfitriones internos enven paquetes de algunos protocolos hacia el anfitrin bastin, el
enrutador exterior debera dejar pasar esos protocolos siempre y cuando vengan del anfitrin
bastin. Estas reglas son deseables para dar un nivel adicional de seguridad, pero en teora
slo bloquean paquetes que no pueden existir porque ya han sido bloqueados por el
enrutador interior. Si en realidad existen, es porque el enrutador interior fall o alguien ha
conectado un anfitrin inesperado a la red de permetro.
Una de las tareas que el enrutador exterior puede realizar con xito, y que no se puede hacer
fcilmente en otro lugar, es el bloqueo de cualquier paquete que entra de Internet que tiene
direcciones fuentes falsificadas. Tales paquetes dicen venir desde la red interna, pero en
realidad entran de Internet.
El enrutador interior puede hacer esto, pero no determinar si los paquetes que deben provenir
de la red permetro son falsos. Aunque en la red permetro no debe haber nada totalmente
Curso online Seguridad en Redes WAN e Internet
Mdulo 1
Pgina 27
confiable, esta zona debe ser ms confiable que el universo exterior. Poder falsificar paquetes
desde ella, da al atacante casi todas las ventajas para comprometer al anfitrin bastin. El
enrutador externo se encuentra en un lmite ms claro. El enrutador interior tampoco puede
proteger los sistemas en la red de permetro contra paquetes falsificados.
2.4. Variaciones en las arquitecturas de cortafuegoss
Adems de las arquitecturas de cortafuegos estndar ya comentadas, para adaptarse mejor a
la poltica de seguridad, al hardware y al presupuesto de cada sitio hay una gran flexibilidad en
la configuracin y combinacin de los componentes de un cortafuegos. A continuacin se
describen algunas variantes comunes.
2.4.1. UTILIZACIN DE MLTIPLES ANFITRIONES BASTIONES
Las razones por las que se recomienda esta configuracin, ver figura VII-8, son el rendimiento,
la redundancia y la necesidad de separar datos o servidores por cuestiones de seguridad:
Para que el rendimiento de los usuarios propios no se vea mermado por las actividades de
usuarios externos, se puede decidir que un anfitrin bastin gestione los servicios importantes
para los usuarios internos (como SMTP, proxy, etc.), mientras que el otro anfitrin maneje los
servicios que proporciona Internet (por ejemplo, FTP annimo).Tambin, por razones de
rendimiento, se pueden instalar varios anfitriones bastin con los mismos servicios, aunque
esta solucin presenta el problema del balanceo de cargas.
Para obtener redundancia el cortafuegos se puede configurar con varios anfitriones bastin,
de este modo, si uno falla o est sobrecargado los servicios pueden ser proporcionados por
otro. Por ejemplo, se podra configurar y designar varios anfitriones bastin como servidores
DNS para un dominio (por medio de registros NS de DNS que especifiquen los servidores de
nombre para un dominio) o como servidores SMTP (por medio de registros MX [Intercambio
de correo] de DNS, que especifican qu servidores aceptarn correo para un anfitrin o
dominio determinados) o ambos.
Por razones de seguridad y para evitar que los conjuntos de datos de los servicios se
interfieran entre s, se podra, por ejemplo, proporcionar un servidor http para que lo usen los
clientes de la empresa en Internet, y otro para que lo use el pblico en general. Al
proporcionar dos servidores, se pueden ofrecer diferentes datos a los clientes y es posible
mejorar el rendimiento, pues permite usar una mquina menos cargada y ms potente.
Tambin se podran ejecutar los servidores http y el FTP annimo en mquinas
independientes, a fin de eliminar la posibilidad de que se pueda utilizar un servidor para poner
en riesgo el otro
Pgina 28
Pgina 29
Pgina 30
Existen ciertos casos en que tiene sentido conectar varios enrutadores exteriores a la misma
red de permetro. Por ejemplo cuando:
Para tener redundancia, se tienen varias conexiones con Internet, a travs de diferentes
proveedores de servicio (multihoming).
Se tiene una conexin a Internet, ms otras conexiones a otros sitios.
Anexar varios enrutadores exteriores que van a la misma red externa (por ejemplo, dos
proveedores de Internet distintos) no es un problema de seguridad significativo. Aunque esta
solucin permite tener diferentes conjuntos de filtros, sera mejor tener un enrutador exterior
con mltiples interfaces de red exterior.
Las cosas son ms complejas si las conexiones son a diferentes lugares; por ejemplo, una a
Internet y otra a un sitio con el que se est colaborando y para el que se necesita ms ancho
de banda. Este tipo de arquitectura tiene sentido para evitar que un atacante que entrara al
anfitrin bastin de la red de permetro curiosease el trfico sensible entre su sitio y el
colaborador. En caso de ser as, convendra instalar varias redes de permetro en lugar de
varios enrutadores exteriores en una sola red de permetro.
En ciertas situaciones tiene sentido que la configuracin incluya mltiples redes de permetro.
No tiene mucho sentido pagar por dos conexiones a Internet y luego ejecutar ambas a travs
del mismo enrutador o enrutadores o dos enrutadores a travs de una nica red de permetro.
Curso online Seguridad en Redes WAN e Internet
Mdulo 1
Pgina 31
Poner dos enrutadores exteriores, dos redes de permetro y dos enrutadores interiores
asegura que no haya un nico punto de falla entre las redes internas y las externas.
Tambin se podran colocar dos o ms redes de permetro, a fin de transmitir datos
moderadamente confidenciales a travs de una red perimetral, y una conexin a Internet a
travs de la otra. En este caso, hasta puede conectar ambas redes de permetro al mismo
enrutador interior.
Tener mltiples redes de permetro es menos arriesgado que tener mltiples enrutadores
interiores compartiendo la misma red interna, pero aun as el mantenimiento es un problema.
Teniendo mltiples enrutadores internos se pueden presentar varios puntos de riesgo. Esos
enrutadores deben vigilarse con cuidado para que continen aplicando las polticas de
seguridad apropiadas.
2.5. Cortafuegos internos
Con frecuencia tiene sentido mantener una parte de una organizacin separada de otra. No
todos los usuarios necesitan los mismos servicios o informacin, y con frecuencia la seguridad
es ms crtica en unas unidades que en otras. La mayora de las organizaciones tienen
aplicaciones o procesos que deben ser especialmente seguros. En las universidades, pueden
ser proyectos de investigacin especficos, o las oficinas de registro de alumnos; en compaas
comerciales, pueden ser nuevos productos bajo desarrollo; en casi cualquier lugar, las
mquinas de contabilidad y finanzas necesitan proteccin adicional. Algunos trabajos del
gobierno clasificados tambin requieren proteccin extra.
Muchas de las herramientas y tcnicas que se utilizan para construir cortafuegos para Internet
tambin son tiles para construir estos cortafuegos internos.
Curso online Seguridad en Redes WAN e Internet
Mdulo 1
Pgina 32
CAPTULO 3
CONFIGURACIN DE CORTAFUEGOS
ELECTRNICO
El correo electrnico es uno de los servicios ms vulnerables. Los servidores de correo son
blancos tentadores para los atacantes, porque aceptan datos arbitrarios de cualquier anfitrin
externo.
Un sistema de correo tiene tres partes, cada una de estas partes es vulnerable por razones
distintas:
Un servidor acepta correo de anfitriones externos o lo enva a ellos. El servidor acepta
comandos directamente (relacionados con la entrega de correo) de anfitriones
externos, si el servidor no es seguro, puede dar al atacante todo el acceso que el
mismo tiene. Ataques en el canal de comandos
Un agente de entrega coloca el correo en el buzn correcto en el anfitrin local. El
agente de entrega necesita permisos especiales porque necesita escribir dentro del
buzn de cada usuario. Aunque el agente de entrega no necesita comunicarse con el
Curso online Seguridad en Redes WAN e Internet
Mdulo 1
Pgina 33
Pgina 34
Estos permisos de root pueden ser un problema cuando Sendmail acta como servidor SMTP,
ya que un atacante que logra explotar un error a travs de una conexin SMTP se comunica
con un proceso que se est ejecutando como root. El proceso puede hacer, en esencia,
cualquier cosa en la mquina destino cuando lo quiera el atacante.
Las principales caractersticas para configurar SMTP se pueden resumir en:
Utilizar las caractersticas de guardar y enviar de SMTP para enviar todo el correo
que entra y sale a travs del anfitrin bastin
Utilizar el filtrado de paquetes para limitar las conexiones SMTP de los anfitriones
externos slo al anfitrin bastin
Utilizar el filtrado de paquetes para limitar las conexiones SMTP del anfitrin
bastin a un servidor interno o conjunto de servidores especficos
Permitir que cualquier sistema interno enve correo de salida al anfitrin bastin
Mantener al da los parches en los agentes de entrega y agentes de usuario
Educar a los usuarios en relacin con los engaos basados en el correo, as como
darles instrucciones sobre la ejecucin de determinados programas o para cambiar
sus contraseas a cadenas especficas
Generalmente, los filtros a establecer son para permitir SMTP de entrada y salida slo entre
anfitriones externos y el anfitrin bastin, y entre el anfitrin bastin y los servidores de
correo internos.
3.1.2. PROTOCOLOS DE ENTREGA DE CORREO ELECTRNICO: POP E IMAP
SMTP se utiliza para intercambiar correo entre servidores. Para que los usuarios accedan a su
correo como un archivo en la mquina donde fue entregado por SMTP, se suele utilizar un
protocolo independiente.
POP e IMAP son protocolos cliente-servidor que sirven para manejar buzones electrnicos de
usuario.
Con POP, el buzn de un usuario (el verdadero archivo donde el correo electrnico del usuario
se guarda para que lo vea despus) est en un servidor, no en la mquina personal del usuario.
Cuando el usuario quiere su correo electrnico, accede a su buzn utilizando un programa
cliente en su propia mquina empleando el protocolo POP. POP echa un cerrojo al buzn y no
permite el acceso concurrente al buzn a ninguna otra aplicacin, ni siquiera para recibir
mensajes nuevos. POP permite conocer los mensajes que hay en el servidor y su longitud,
transferir mensajes, marcarlos para su borrado y cerrar la sesin borrando los mensajes
marcados.
Pgina 35
Pgina 36
Con el uso de POP a travs de Internet se presentan dos cuestiones de seguridad importantes:
Primera, evitar que los clientes y servidores POP estndar enven la contrasea POP del
usuario a travs de Internet en forma clara, de modo que cualquiera que espe la conexin
puede captar y volver a utilizarla despus con todos los privilegios del usuario (no slo su
correo electrnico); en la mayora de los casos, la contrasea POP es la misma que la
contrasea de usuario de inicio de sesin. Existen variantes de POP ms seguras que
soportan Kerberos (con frecuencia llamado KPOP) y contraseas que no se pueden volver
a utilizar para autenticar (con frecuencia llamado APOP), pero estas variantes seguras no
estn soportadas ampliamente.
Direccin
Direccin
fuente
Direccin
destino
Protoc
olo
Puerto
fuente
Puerto
destino
ACK
Notas
Dentro
Externo
Interno
TCP
>1023
110
Conexin POP de
109a
Fuera
Fuera
Interno
Interno
Externo
Externo
TCP
TCP
Entrada, cliente a
servidor
109a
Conexin POP de
entrada, servidor a
cliente
>1023
Conexin POP de
salida, cliente a
servidor
110
>1023
110
109a
Conexin POP de
salida, servidor a
Pgina 37
Dentro
Externo
Interno
TCP
110
109a
cliente
>1023
ACK no est encendido en el primer paquete de este tipo (establecer conexin) pero lo estar
en los dems
Una conexin POP de salida permitira a los usuarios de un sitio obtener su correo desde otros
sitios, la cual habra que permitir si existiera cierta demanda. POP a travs de Internet es tan
poco comn que quiz a nadie le interesa POP de salida.
Las conexiones POP entrantes son las que permiten a las personas que estn en otros sitios
leer el correo entregado para ellas en su sitio. Si se requiere esta funcionalidad las conexiones
POP se deben limitar a un servidor POP ejecutndose en un solo anfitrin, lo cual limitar el
nmero de cuentas vulnerables y la informacin que pasa a travs de Internet.
Las principales caractersticas para configurar POP se pueden resumir en:
No permitir que los usuarios transfieran el correo de su sitio a travs de Internet por medio
de POP, a no ser que se pueda hacer sin dar a conocer contraseas o que no preocupe la
confidencialidad del correo en s o se tenga un canal cifrado para transferirlo.
Si hay usuarios que desean transferir correo desde otros sitios por medio de POP, se debe
hacer filtrado de paquetes, tal vez limitndolo a conexiones provenientes de sitios
especficos o a anfitriones especficos de la red interna.
El uso de proxy podra ser una solucin efectiva para algunos problemas de POP.
La figura abajo muestra cmo se suele implementar POP con un cortafuegos.
Pgina 38
La inseguridad inicial del protocolo POP, que solo ofrece autenticacin segura con APOP y
KPOP, ha llevado a una solucin muy extendida: situarlo detrs de un servidor (wrapper) de
SSL/TLS. De esta forma las sesiones POP se pueden beneficiar de la seguridad de la sesin
negociada e incluir confidencialidad e integridad. POP3S se presta por TCP en el puerto 995.
IMAP se defini desde su versin 3 con capacidades de seguridad de forma que permite el uso
de avanzados APIs como Servicio Genrico de Seguridad (GSS), o STARTTLS. IMAP se presta
sobre TCP en el puerto 220, o sobre SSL/TLS en el puerto 993.
3.2. CARACTERSTICAS PARA CONFIGURAR EL WWW
El servicio WWW se proporciona sobre el protocolo HTTP, que va sobre TCP en su puerto 80,
habitualmente.
Los proxy-caches de HTTP a menudo los encontramos en el puerto 8080. Cuando se quiere dar
un servicio seguro, se utiliza HTTP sobre un canal seguro SSL/TLS en el puerto 443.
3.2.1. CARACTERSTICAS DE HTTP PARA USARLO COMO PROXY
Pgina 39
Aunque hay varias alternativas en relacin donde colocar el servidor web la ms comn es
colocarlo en la red permetro.
3.2.2. LA SEGURIDAD EN RELACIN CON HTTP
Pgina 40
Los programas externos ejecutados por servidores http con frecuencia son guiones (scripts)
para la shell escritos para una finalidad concreta, pero las personas que los escriben,
normalmente saben poco o nada sobre como escribir guiones seguros (que no es tarea fcil,
aun para un experto).
Debido a que es difcil tener certeza de la seguridad de los guiones en s, lo mejor que se puede
hacer es proporcionar un entorno seguro (utilizando chroot y otros mecanismos) donde se
puedan ejecutar los guiones sin que se puedan salir de l.
2. Que un atacante cargue sus propios programas externos y los ejecute
Mediante una inyeccin de cdigo, o utilizando una combinacin con otro servicio: servidor de
ficheros en red CIFS, NFS, o FTP annimo, etc.
Ante este tipo de casos, de nuevo, la mejor postura es limitar las reas del sistema de archivos
a las que cada servidor pueda acceder (normalmente usando el comando chroot) y
proporcionar un entorno restringido en donde se pueda ejecutar cada servidor
b) Que puede hacer un servidor malicioso a los clientes http
Los servidores http pueden proporcionar archivos de datos en varios formatos: de texto
simple, html, documentos PostScript, de video sin movimiento (DIF y JPEG), de pelculas
(MPEG), de audio, etc. Los clientes http casi nunca intentan comprender y procesar todos
estos formatos de datos. Comprenden alguno (como HTML, texto libre y GIF) pero en
ocasiones dependen de programas externos para manejar el resto. Estos programas externos
muestran, reproducen, hacen una presentacin preliminar, imprimen o hacen lo que sea
apropiado para el formato de los datos.
El problema que se plantea es como evitar que los usuarios cambien sus archivos de
configuracin para agregar nuevas aplicaciones, ejecutar aplicaciones distintas o pasar
argumentos diferentes.
No existe una defensa simple e infalible contra este tipo de problemas. Se depende del
cuidado con que se hayan configurado los programas cliente y auxiliares que se hayan
instalado, as como de la formacin y entrenamiento de los usuarios para que sean conscientes
de estos problemas.
Las principales recomendaciones para configurar el web se resumen en:
Si es posible ejecutar un servidor http, en un anfitrin bastin dedicado
Configurar el servidor http para que controle a que se tiene acceso; en especial, hay que
estar pendiente de las formas en que se podra cargar un programa en el sistema (por
ejemplo, por medio de correo o FTP) y luego ejecutarlo por medio del servidor http.
Controlar cuidadosamente los programas externos a los que puede acceder el servidor http.
Pgina 41
Debido a que algunos servidores http utilizan nmeros de puerto que no son estndar, si todos
los anfitriones internos accedan a todos los servidores http hay que permitirles acceder a
todos los puertos TCP. Si no importa dar acceso a los usuarios a todos los puertos TCP, se
puede utilizar el filtrado de paquetes para examinar el bit ACK a fin de permitir conexiones de
salida por esos puertos (pero no conexiones de entrada desde ellos). En caso de que s
importe, entonces se debe restringir a los usuarios a los servidores en el puerto estndar (80) o
utilizar un proxy.
Utilizar http en un servidor proxy con capacidad de memoria cach brinda beneficios en cuanto
a ancho de banda de la red, as como en el control de usuarios.
Configurar los clientes http con cuidado y advertir a los usuarios de que no deben cambiar la
configuracin ni instalar extensiones, etc. basndose en consejos externos y nunca por correo
electrnico.
3.3. CARACTERSTICAS PARA CONFIGURAR SSH
SSH es un servicio de ejecucin remota de comandos basado en TCP.
Por lo general los servidores SSH utilizan el puerto 22 y los clientes puertos por encima del
1023.
SSH permite establecer una sesin en un servidor remoto y adems facilita el establecimiento
de tneles para transportar otros servicios, por ejemplo la interfaz grfica (XWindows o el que
sea), una conexin con un servidor de base de datos, etc. Hay clientes y servidores de SSH para
la inmensa mayora de los sistemas operativos ms populares, y muchos de ellos son software
libre.
Las principales recomendaciones para configurar SSH se resumen en:
Realizar una gestin consciente de las claves pblicas de las mquinas.
Cada vez que se actualice la clave, actualizarla en los sistemas implicados.
Difundir y publicar el historial de claves pblicas actualizado.
Limitar el acceso privilegiado (root) a la mquina, no permitirlo con contrasea
a no ser que sea indispensable.
No permitir versiones antiguas del protocolo (ssh1).
No permitir a todos los usuarios, por ejemplo limitarlo a usuarios fsicos que lo
soliciten.
Forzar el uso de claves pblicas largas (1024/2048) y desautorizar el uso de
contraseas.
Protegerlo detrs del firewall.
Pgina 42
-t rsa
Pgina 43
Una vez generada la nueva pareja de claves del usuario, hay que actualizarla en las claves
autorizadas de los servidores a los que normalmente acceda, en los ficheros authorized_keys
de su cuenta. Una vez hecho esto, podemos entrar en el servidor utilizando la pareja de claves
pblica/privada que hemos creado. Lo podemos ver en detalle si activamos la opcin de
depuracin con -v. Por ejemplo:
amarin@laptop:~$ slogin -v host
OpenSSH_5.8p1 Debian-7ubuntu1, OpenSSL 1.0.0e 6 Sep 2011
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: Applying options for *
debug1: Connecting to host [x.x.x.x] port 22.
debug1: Connection established.
debug1: identity file /home/amarin/.ssh/id_rsa type 1
debug1: Checking blacklist file /usr/share/ssh/blacklist.RSA2048
debug1: Checking blacklist file /etc/ssh/blacklist.RSA-2048
debug1: identity file /home/amarin/.ssh/id_rsa-cert type -1
debug1: identity file /home/amarin/.ssh/id_dsa type -1
debug1: identity file /home/amarin/.ssh/id_dsa-cert type -1
debug1: identity file /home/amarin/.ssh/id_ecdsa type -1
debug1: identity file /home/amarin/.ssh/id_ecdsa-cert type -1
debug1: Remote protocol version 2.0, remote software version
OpenSSH_3.8.1p1 Debian-8.sarge.6
debug1: match: OpenSSH_3.8.1p1 Debian-8.sarge.6 pat OpenSSH_3.*
debug1: Enabling compatibility mode for protocol 2.0
debug1: Local version string SSH-2.0-OpenSSH_5.8p1 Debian7ubuntu1
debug1: SSH2_MSG_KEXINIT sent
debug1: SSH2_MSG_KEXINIT received
debug1: kex: server->client aes128-ctr hmac-md5 none
debug1: kex: client->server aes128-ctr hmac-md5 none
debug1: SSH2_MSG_KEX_DH_GEX_REQUEST(1024<1024<8192) sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_GROUP
debug1: SSH2_MSG_KEX_DH_GEX_INIT sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_REPLY
debug1: Server host key: RSA
be:99:4a:db:3a:ed:f2:e3:39:a2:03:5d:2b:17:42:7a
debug1: Host host is known and matches the RSA host key.
debug1: Found key in /home/amarin/.ssh/known_hosts:6
debug1: ssh_rsa_verify: signature correct
debug1: SSH2_MSG_NEWKEYS sent
debug1: expecting SSH2_MSG_NEWKEYS
debug1: SSH2_MSG_NEWKEYS received
debug1: Roaming not allowed by server
debug1: SSH2_MSG_SERVICE_REQUEST sent
debug1: SSH2_MSG_SERVICE_ACCEPT received
debug1: Authentications that can continue: publickey,keyboardinteractive
debug1: Next authentication method: publickey
debug1: Offering RSA public key: /home/amarin/.ssh/id_rsa
debug1: Server accepts key: pkalg ssh-rsa blen 279
debug1: Authentication succeeded (publickey).
Curso online Seguridad en Redes WAN e Internet
Mdulo 1
Pgina 44
Pgina 45
Ahora bien, si lo que queremos es denegar el uso de POP3 y solo permitir el uso de POP con
SSL, cambiaramos en la ltima regla anterior ACCEPT por DROP y aadiramos las reglas:
Pgina 46
iptables -N RULE_POP3S
iptables -A OUTPUT -p tcp -m tcp --dport 995 -m state --state NEW -j RULE_POP3S
iptables -A INPUT -p tcp -m tcp --dport 995 -m state --state NEW -j RULE_POP3S
iptables -A FORWARD -p tcp -m tcp --dport 995 -m state --state NEW -j RULE_POP3S
iptables -A RULE_POP3S -j LOG --log-level info --log-prefix "POP3S: aceptada "
iptables -A RULE_POP3S -j ACCEPT
Veamos un caso prtico para permitir el uso de SSH:
Vamos a comenzar permitiendo el acceso a la mquina por ssh:
iptables -A INPUT -i eth0 -p tcp dport 22 -j ACCEPT
A continuacin consideremos el caso muy comn ataques de diccionario de SSH, es decir,
vamos a protegernos de que una o ms mquinas estn intentando probar con combinaciones
de usuarios/contraseas para entrar en nuestra mquina por SSH. Especficamente lo que
vamos a hacer es poner un contador de forma que si en menos de 10 minutos tenemos ms de
15 intentos desde el mismo origen, tiramos el paquete.
Primero borramos y creamos una nueva cadena que llamaremos ATSSH:
iptables -X ATSSH
iptables -N ATSSH
Especificamos una regla con el lmite de intentos:
iptables -A ATSSH -m recent ! --rcheck --seconds 600 --hitcount 15 --rttl --name SSH --rsource j RETURN
iptables -A ATSSH -j LOG --log-level debug --log-prefix "Parado ataque a SSH: "
iptables -A ATSSH -p tcp -j DROP
Por ltimo aadimos mediante una regla en la cadena INPUt la cadena que acabamos de
definir (ATSSH):
iptables -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW -m recent --name SSH --set -rsource -j ATSSH
Seguir la especificacin de cadenas y reglas, puede llegar a ser tedioso e incluso complicado.
Existen herramientas que ofrecen un interfaz de usuario ms amigable que la lnea de
comandos de iptables, por ejemplo fwbuilder, turtle firewall, o ufw.
Pgina 47
Fwbuilder, es una herramienta GUI muy popular que permite gestionar los firewalls de
distintas mquinas: examinarlos, cambiarlos, y cargarlos desde la mquina del administrador.
Tiene gran cantidad de plantillas para diversos cortafuegos, entre ellos los basados en iptables.
Adems ofrece una biblioteca de protocolos, aplicaciones y utilidades que puede agilizar la
definicin y comprobacin de reglas. A continuacin mostramos una captura de pantalla de la
configuracin de una mquina que puede ser accedida solo a travs de SSH:
Tambin podemos seleccionar una regla y pedirle que la compile para examinar el resultado:
Pgina 48
Pgina 49
que llevan estas tareas de forma comercial. El Internic es un instrumento del ICANN para el
gobierno de nombres que nos facilita la consulta de dominios y datos asociados con los
tcnicos responsables (whois).
DNS funciona de la siguiente manera: cuando una aplicacin necesita conocer algn dato
sobre un dominio/nombre, construye una consulta que enva a su servidor DNS. Si ste tiene la
informacin guardada de preguntas anteriores la devolver directamente, y en caso contrario
reenviar la consulta al servidor de nombres sufijo cuya direccin conozca. Por esta razn
todos los servidores DNS estn obligados a conocer las direcciones de todos los servidores raz.
Una vez obtenida la respuesta se devolver al que la origin (y los servidores intermedios la
almacenarn en sus cachs durante el tiempo marcado por el administrador de la zona.
3.5.1. CARATERSTICAS DEL DNS PARA EL FILTRADO DE PAQUETES
Pgina 50
DNS est estructurado para que los servidores siempre acten como proxy para los clientes.
Tambin es posible utilizar una caracterstica de DNS llamada forwarding (reenvo), para que
un servidor DNS sea realmente un proxy para otro servidor.
3.5.2. PROBLEMAS DE SEGURIDAD DEL DNS
A continuacin se describen alguno de los problemas de seguridad que plantea el uso de DNS.
Respuestas falsas a solicitudes DNS
El primer problema de seguridad con DNS es que muchos servidores y clientes DNS pueden
ser engaados por un atacante para crear informacin falsa. Muchos clientes y servidores no
revisan si las respuestas que obtienen se relacionan con las preguntas que realmente hicieron,
o si vienen del servidor al que le preguntaron. Por ello los servidores pueden responder a
solicitudes con informacin falsa. Por ejemplo, un atacante podra cargar la cach de su
servidor con informacin que dice que su direccin IP corresponde al nombre de un anfitrin
en el cual se confa para darle acceso sin contrasea por medio de rlogin. Las versiones
recientes de DNS para UNIX (BIND 4.9 y posteriores) revisan para ver si hay respuestas falsas.
Datos desiguales de nombre de anfitrin y direccin IP en los rboles DNS
En un caso como el que acabamos de describir, si se busca el nombre de anfitrin
correspondiente a la direccin IP del atacante (bsqueda inversa), se obtiene el nombre de un
anfitrin en el cual se confa. Si luego se busca la direccin IP de este nombre de anfitrin
(bsqueda doble inversa), se podr comprobar que la direccin IP no es igual a la que usa el
atacante, lo que indica que algo sospechoso est sucediendo.
Cualquier programa que tome decisiones de autenticacin o autorizacin basndose en la
informacin del nombre de anfitrin que obtiene del DNS debe tener mucho cuidado de
verificar los datos con este mtodo de bsqueda inversa y bsqueda doble inversa.
Pgina 51
de productos, o el tipo de los anfitriones (lo cual puede facilitar un ataque). Por ejemplo, es
fcil adivinar el tipo de un sistema si su nombre es lab-windows o cisco-gw.
La informacin de nombre de anfitrin ms sencilla puede ser til para un atacante que quiere
infiltrarse en un sitio por medio de engaos, de manera fsica o electrnica, por ejemplo
mediante un ataque de ingeniera social.
Adems de los nombres de anfitriones internos, con frecuencia se coloca otra informacin
complementaria dentro del DNS, la cual es til localmente pero no se desea que la vea un
atacante. Los registros de recursos HINFO y TXT de DNS son muy reveladores.
3.5.3. CONFIGURACIN DEL DNS PARA OCULTAR INFORMACIN
Aprovechando la capacidad del DNS de transmitir solicitudes, se puede dar a los anfitriones
internos una vista sin restricciones de los datos DNS de los servidores internos y externos,
mientras que a los anfitriones externos se restringe a una vista limitada (sana) de datos de
DNS internos. La figura ms abajo abajo muestra cmo configurar DNS para ocultar
informacin.
A continuacin se dan algunas recomendaciones para revelar slo los datos que se quiere que
la gente conozca.
3.5.3.1 Configurar un servidor DNS falso en el anfitrin bastin para que lo utilice
el mundo exterior
El primer paso para ocultar informacin DNS al mundo exterior es configurar un servidor DNS
falso en el anfitrin bastin. A este servidor deben apuntar los registros del servidor de
nombres mantenido por el dominio padre, el servidor falso debe configurarse para que sea el
servidor principal del conjunto de servidores autorizados; los otros servidores DNS son
secundarios de este servidor principal.
Todo lo que sabe este servidor falso, en el anfitrin bastin, sobre su dominio es la
informacin que se quiere revelar al mundo exterior, que, tpicamente, slo incluye los datos
bsicos del nombre del anfitrin y direccin IP de los siguientes anfitriones:
Las mquinas que estn en la red de permetro (por ejemplo, las mquinas que
conforman el cortafuegos).
Cualquier mquina que alguien del mundo exterior necesita contactar
directamente. Por ejemplo, un servidor interno de noticias de Usenet (NNTP)
accesible desde el proveedor de servicios; o cualquier anfitrin accesible a
travs de Internet para usuarios de confianza.
Adems, se deben publicar registros MX para cualquier nombre de dominio o anfitrin
utilizado como parte de las direcciones de correo electrnico en los mensajes de correo
electrnico y en la colocacin de noticias de Usenet, para que las personas puedan responder
a estos mensajes. Hay que tener presente que la contestacin a los mensajes se puede
demorar das, semanas, meses y hasta aos despus de que fueron enviados. Si un nombre de
dominio o anfitrin determinado se ha utilizado como parte de una direccin de correo
Curso online Seguridad en Redes WAN e Internet
Mdulo 1
Pgina 52
electrnico, quiz se deba conservar un registro MX para ese anfitrin o dominio para siempre,
o por lo menos hasta mucho despus de que ya no exista, a fin de que las personas puedan
responder a mensajes antiguos.
Tambin se debe publicar informacin falsa para cualquier mquina que pueda contactar el
mundo exterior en forma directa. Muchos servidores en Internet (por ejemplo, la mayora de
los servidores de FTP annimo principales) insisten en conocer el nombre de anfitrin (no slo
la direccin IP) de cualquier mquina que se comunica con ellos, aunque no hagan nada con el
nombre de anfitrin excepto registrarlo.
Como ya mencionamos, las mquinas que tienen direcciones IP y necesitan nombres de
anfitriones para registrarlos realizan bsquedas inversas. Con una bsqueda inversa, el
servidor empieza con la direccin IP remota de la conexin entrante y busca el nombre de
anfitrin del que proviene esa conexin.
Si todo lo que queran estos servidores con las bsquedas inversas era un nombre para el
registro, se podra simplemente crear un registro PTR comodn. Ese registro indicara que un
rango de direcciones pertenece a un anfitrin desconocido en un dominio determinado. Por
ejemplo, podra tener una bsqueda para *.19.16.172.IN-ADDR.ARPA que devuelva
desconocido.algnlado.net). Devolver esta informacin sera ms o menos til; por lo menos le
indicara al administrador del servidor de quien era la mquina (de algnlado.net). Cualquiera
que tuviera un problema con la mquina podra efectuar un seguimiento a travs de los
contactos publicados para el dominio algnlado.net.
Sin embargo, si slo se hace esto existe un problema. Muchos servidores (en especial los
servidores de FTP annimo) hacen una bsqueda doble inversa, y no se comunican con el
cliente a menos que la bsqueda tenga xito.
Las personas que ejecutan servidores FPT annimos que hacen bsquedas dobles inversas
argumentan que quienes quieren los servicios tienen la responsabilidad de ser miembros de la
comunidad de redes, y eso requiere que sean identificables. En realidad es cierto que quienes
mantienen alguno de los servidores FTP annimos ms grandes y mejor conocidos estn del
lado de quienes favorecen la bsqueda doble inversa, y no proporcionarn servicio a no ser
que sta tenga xito.
En la bsqueda doble inversa, un cliente DNS:
Realiza una bsqueda inversa para traducir una direccin IP a un nombre de anfitrin.
Hace una bsqueda normal en ese nombre de anfitrin para determinar su direccin
IP nominal.
Compara esta direccin IP nominal con la direccin IP original.
Pgina 53
Pgina 54
ver slo la direccin de ste. Para una red grande, esto por s solo puede hacer que valga la
pena emplear el servidor proxy para FTP.
3.5.3.2 Configurar un servidor DNS verdadero en un sistema interno para que lo
Pgina 55
El siguiente paso es configurar los clientes DNS internos para que hagan todas sus
indagaciones al servidor interno. En los sistemas UNIX, existen dos casos:
Cuando el servidor interno recibe una indagacin sobre un sistema interno, o
sobre un sistema externo que est en su cach, contesta directamente.
Cuando el servidor interno recibe una indagacin sobre un sistema externo
que no est en su cach, la enva al servidor del anfitrin bastin (a travs de
forwarders). El servidor del anfitrin bastin obtiene la respuesta de los
servidores DNS apropiados en Internet y transmite la respuesta al servidor
interno, el cual responde al cliente original y conserva la respuesta.
Pgina 56
La clave de toda esta configuracin para ocultar informacin es que los clientes DNS en el
anfitrin bastin deben consultar al servidor interno para obtener informacin, no al servidor
que est en el anfitrin bastin. De esta forma, los clientes DNS en el anfitrin bastin (como
Sendmail, por ejemplo) pueden utilizar los nombres de anfitrin reales y continuar as para los
anfitriones internos, pero los clientes que estn en el mundo exterior no pueden tener acceso
a los datos internos. De nuevo, existen dos casos:
Cuando un cliente DNS en el anfitrin bastin pregunta sobre un sistema
interno, obtiene la respuesta real directamente del servidor interno.
Cuando un cliente DNS en el anfitrin bastin pregunta sobre un sistema
externo, el servidor DNS interno transmite la solicitud al servidor DNS en el
anfitrin bastin. Este ltimo servidor obtiene la respuesta de los servidores
DNS apropiados en Internet, y luego la transmite de nuevo al servidor interno.
Este, a su vez, responde al cliente original en el anfitrin bastin.
Pgina 57
Los clientes DNS en el anfitrin bastin podran obtener informacin sobre anfitriones
externos de forma ms directa preguntndole al servidor DNS en el anfitrin bastin en lugar
de hacerlo al que est en el anfitrin interno. Sin embargo, si hicieran esto, no podran obtener
la informacin interna real, que slo el servidor en el anfitrin interno tiene. Necesitan esta
informacin, porque se comunican con los anfitriones internos as como con los externos.
3.5.3.5 Qu debe permitir el sistema de filtrado de paquetes
Para que funcione este esquema de direccionamiento con cualquier sistema de filtrado de
paquetes entre el anfitrin bastin y los sistemas internos, el filtrado debe permitir:
Solicitudes DNS del servidor interno al servidor del anfitrin bastin: los
paquetes UDP del puerto 53 en el servidor interno al puerto 53 en el anfitrin
bastin (regla A), y los paquetes TCP de los puertos por encima del 1023 en el
servidor interno al puerto 53 en el anfitrin bastin (regla B)
Respuesta a esas solicitudes del anfitrin bastin al servidor interno: los
paquetes UDP del puerto 53 en el anfitrin bastin al puerto 53 en el servidor
interno (regla C), y los paquetes TCP con el bit ACK encendido del puerto 53 en
el anfitrin bastin a los puertos por encima del 1023 en el servidor interno
(regla D)
Solicitudes DNS de los clientes DNS del anfitrin bastin al servidor interno; los
paquetes UDP y TCP de los puertos por encima del 1023 en el anfitrin bastin
al puerto 53 en el servidor interno (reglas E y F)
Respuestas del servidor interno a esos clientes DNS del anfitrin bastin: los
paquetes UDP y los paquetes TCP con el bit ACK encendido del puerto 53 en el
servidor interno a los puertos por encima del 1023 en el anfitrin bastin ( G y
H)
Regla
Direc-
Dir.
Dir.
Proto-
Puerto
Puerto
ACK
Accin
cin
fuente
destino
colo
fuente
destino
Externo
53
53
Permitir
Externo
>1023
53
Cualquiera Permitir
Interno
53
53
Permitir
Interno
53
>1023
Si
Permitir
Pgina 58
Interno
>1023
53
Cualquiera Permitir
Externo
53
>1023
Si
Permitir
El enfoque que hemos descrito antes no es la nica posibilidad. Supongamos que se considera
que no es necesario ocultar los datos del DNS interno al mundo exterior. En este caso la
configuracin DNS es similar a la anterior, pero ms sencilla. La figura abajo muestra cmo
funciona DNS sin ocultar informacin.
Pgina 59
Instalar un servidor DNS externo en un anfitrin bastin para que el mundo exterior
acceda a l.
No dar visibilidad al mundo exterior a los registros HINFO; o no utilizarlos o configurar
DNS para ocultar informacin.
Utilizar una implementacin del BIND actualizada y bsquedas dobles inversas para
evitar engaos
Considerar la posibilidad de ocultar todos los datos de DNS internos y utilizar
direccionamiento y registros falsos.
Curso online Seguridad en Redes WAN e Internet
Mdulo 1
Pgina 60
Desactivar, usando el filtrado de paquetes, las transferencias de zona excepto para los
servidores secundarios. Aunque se haya decidido no ocultar la informacin DNS, tal
vez no haya una razn vlida para que alguien, a no ser los servidores secundarios,
realicen una transferencia de zona. No permitir las transferencias de zona se lo pone
un poco ms difcil a los atacantes.
3.6. CONCLUSIONES
El esquema descrito ofrece muchas ventajas, las desventajas potenciales son el costo y la
complejidad y pensamos que estos factores son relativos y asumibles.
Los servicios Telenet y FTP, se deberan evitar y migrar a sus versiones seguras. Adems el uso
de FTP est en declive, debido al uso intensivo de HTTP para descarga de ficheros, o de otros
programas P2P, que estn ms all del alcance de este programa.
Si se necesita ahorrar dinero, sera factible construir una arquitectura de subred de proteccin
usando un solo enrutador con tres interfaces. La solucin sera un poco ms compleja, pues
habra que unir los dos grupos de filtrado anteriormente descritos.
Pgina 61
Pgina 62