Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Firewall C
Firewall C
Autors:
Albert Ruiz Gómez
Vicenç Cortés Olea
1.- Introducción.
La seguridad ha sido el principal premirsa a tratar cuando una organización desea conectar su red
privada al Internet. Sin tomar en cuenta el tipo de negocios, se ha incrementado el numero de usuarios de
redes privadas por la demanda del acceso a los servicios de Internet tal es el caso del World Wide Web
(WWW), Internet Mail (e-mail), Telnet, y File Transfer Protocol (FTP). Adicionalmente los corporativos
buscan las ventajas que ofrecen las paginas en el WWW y los servidores FTP de acceso publico en el
Internet.
Los administradores de red tienen que incrementar todo lo concerniente a la seguridad de sus
sistemas, debido a que se expone la organización privada de sus datos así como la infraestructura de sus
red a los Expertos de Internet (Internet Crakers). Para superar estos temores y proveer el nivel de
protección requerida, la organización necesita seguir una política de seguridad para prevenir el acceso no-
autorizado de usuarios a los recursos propios de la red privada, y protegerse contra la exportación privada
de información. Todavía, aun si una organización no esta conectada al Internet, esta debería establecer
una política de seguridad interna para administrar el acceso de usuarios a porciones de red y proteger
sensitivamente la información secreta.
Son muchos los que utilizan firewall como término genérico que describe un amplio rango de
funciones, además de la arquitectura de los dispositivos que protegen a la red. Algunos, en realidad,
utilizan el término firewall para describir casi cualquier dispositivo de seguridad de red, como un
dispositivo de encriptación de hardware, un router de selección o un gateway a nivel de aplicación.
En general, una firewall se coloca entre la red interna confiable y la red externa no confiable. El
firewall actúa como un punto de cierre que monitorea y rechaza el tráfico de red a nivel de aplicación.
Los firewall también pueden operar en las capas de red y transporte en cuyo caso examinan los
encabezados de IP y de TCP de paquetes entrantes y salientes, Y rechazan o pasan paquetes en función de
las reglas de filtración de paquetes programadas.
Para comprender cómo funciona un firewall, lo compararemos la red con un edificio en el que
quiere controlar el acceso. El edificio tiene un vestíbulo como único punto de entrada. En este vestíbulo
tiene recepcionistas para recibir a los visitantes, guardias de seguridad para controlarlos, cámaras de vídeo
para grabar sus acciones y lectores de tarjetas identificadoras para comprobar la identidad de los visitantes
que entran en el edificio.
Estas medidas pueden funcionar bien para controlar el acceso al edificio. Pero si una persona no
autorizada consigue entrar en el edificio, no hay forma de proteger el edificio ante las acciones del
intruso. Sin embargo, si supervisa los movimientos del intruso, tiene la oportunidad de detectar las
actividades sospechosas que pueda llevar a cabo.
Al definir la estrategia del firewall, es posible que piense que hay suficiente con prohibir todo lo
que represente un riesgo para la organización y permitir todo lo demás. Sin embargo, dado que los piratas
informáticos crean nuevos métodos de ataque constantemente, debe anticiparse con métodos para evitar
dichos ataques. Como en el ejemplo del edificio, se deben buscar señales de que alguien ha roto las
defensas de alguna manera. Generalmente ocasiona muchos más daños y gastos recuperarse de una
intrusión que impedirla.
En el caso de un firewall, la mejor estrategia es permitir solamente las aplicaciones que haya
probado y que le merezcan toda confianza. Si se sigue esta estrategia, se debe definir la lista de servicios a
ejecutar en el firewall de forma exhaustiva. Puede reconocer cada servicio por la dirección de la conexión
(de interna a externa o de externa a interna). También se debe listar los usuarios a los que se autorizará el
uso de cada servicio y las máquinas que pueden emitir una conexión para el mismo.
El siguiente ejemplo muestra como funciona un firewall(cortafuegos):
Aquí tenemos 3 terminales en una red con un servidor a la cabeza al cuál le hemos implementado
un Firewall y un Router. Cada terminal de esta LAN, incluido el Servidor tiene una dirección IP personal
que la va a identificar en la Red y sólo en la red, pero el Firewall tendrá otra que será la que haga posible
una identificación con el exterior. Al instalar el Firewall debemos dotar al ordenador servidor con las dos
direcciones IP: una para que se puedan conectar los terminales de la LAN a él y otra real de identificación
con el exterior.
Opciones que da un Firewall
Primero: Organización. Toda la red está sujeta a éste, y la red sólo podrá acceder a los
parámetros que el Firewall tenga permitido o posibilite mediante su configuración. Por ejemplo, si una
terminal de la red intenta enviar un paquete a una dirección IP no autorizada, el Firewall rechazará éste
envío impidiendo realizar ésta transmisión.
Con el Firewall podemos definir tamaños de paquetes, IP con las que no interesa comunicación,
deshabilitación de envíos o recogida de paquetes por determinados puertos, imposibilitar el uso del
comando Finger, etc.
Para el usuario la LAN es transparente, es decir, si desde cualquier estación enviamos un paquete
a una IP y el Firewall nos valida el tamaño, IP de destino, puerto, etc (Estos parámetros varían según las
necesidades de seguridad cada red, y por tanto del nivel de configuración del Firewall), no veremos
proceso alguno, seria como si no hubiera nada vigilando por nuestra seguridad, aunque si lo hay.
Los Firewall son complejos, ya no en si mismos, sino en definición. Hoy en día a un Router
que cumpla funciones de Firewall le daremos esta clasificación.El concepto de seguridad aplicado sería:
Filtrar antes de repartir, mejor que multiplicar por x el trabajo de seguridad en una red.
6.- ¿Qué puede hacer un firewall para proteger la red?
Se instala un firewall entre la red y el punto de conexión con Internet (u otra red no de
confianza). El firewall lpermite limitar los puntos de entrada a la red. Un Firewall proporciona un único
punto de contacto (denominado punto de concentración) entre la red e Internet. Dado que tiene un único
punto de contacto, tendrá más control sobre qué tráfico permitirá entrar y salir de la red.
El firewall aparece como una única dirección para el público. El firewall proporciona acceso a la
red no de confianza a través de servidores proxy o SOCKS o de la conversión de direcciones de red
(NAT) a la vez que oculta las direcciones de la red interna. Por consiguiente, el firewall mantiene la
confidencialidad de la red interna. Conservar la información sobre la red en privado es una de las formas
en que el firewall puede evitar que se produzcan ataques en los que el intruso se haga pasar por otra
persona (suplantación (spoofing)).
Un firewall le permite controlar el tráfico de entrada y salida de la red para reducir al mínimo el
riesgo de ataque a la red. El firewall filtra todo el tráfico que entra en la red de forma que sólo puedan
entrar tipos específicos de tráfico para destinos específicos. Esto minimiza el riesgo de que alguien utilice
TELNET o el protocolo de transferencia de archivos (FTP) para obtener acceso a los sistemas internos.
Es difícil describir en gran detalle y cantidad las herramientas de un hacker debido a que cada
uno tiene sus propias técnicas y objetivos, algunos simplemente espían (hackers pasivos), el otro tipo es
de los que además de espiar causan daños (hackers destructores). Aquí nombramos algunas cuyo puede
ser restringido por el firewall:
El protocolo SNMP (Simple Network Manager Protocol) que puede ser usado para examinar la
tabla de ruteo que usa la intranet, y conocer de esta manera la topología de la red.
El programa TraceRoute que puede revelar detalles de la red y de los enrutadores.
El protocolo Whois, que es un servicio de información que provee datos acerca del servidor de
nombres de la intranet.
El acceso al servidor DNS que podría listar los IP's de los diferentes hosts de la intranet y sus
correspondientes nombres.
El protocolo finger, que puede revelar información sobre los usuarios (como su login, sus
números telefónicos, la fecha y hora de la ultima conexión, etc..)
El programa ping, que puede ser empleado para localizar un host particular, y al obtener
diferentes IP's construir una lista de los host residentes actualmente en la red.
Los Firewall ofrecen excelente protección a posibles amenazas, pero no son una solución
completamente segura. Ciertas amenazas están fuera del control del Firewall.
Los Firewalls son la primera línea de defensa frente a los atacantes, estos componentes deben
estar óptimamente configurados para ser efectivos, de lo contrario es posible que un atacante aproveche
las vulnerabilidades para lograr entrar al host o a una posible red interna.
El diseño de un firewall, tiene que ser el producto de una organización consciente de los
servicios que se necesitan, además hay que tener presentes los puntos vulnerables de toda red, los
servicios que dispone como públicos al exterior de ella (WWW, FTP, telnet, entre otros) y conexiones por
módem. Hay varias consideraciones a tener en cuenta al momento de implementar un firewall entre
Internet y una intranet (red LAN). Algunas de estas consideraciones son:
Subredes seleccionadas
En algunas configuraciones de firewall se puede crear una red aislada del tipo que se muestra en
la siguiente figura. En esta red, tanto la red externa no fiable como la red interna puede tener acceso a la
red aislada. Sin embargo, no puede fluir tráfico entre la red externa no fiable y la red interna a través de la
red aislada. El aislamiento de la red se desarrolla utilizando una combinación de routers de selección que
se configuran de manera apropiada. A esa red aislada se le llama subred seleccionada.
Algunas subredes seleccionadas tal vez tengan gateways a nivel de aplicación que actúan como
hosts de protección y proporcionan acceso interactivo a los servicios exteriores .
En la figura que hay más abajo, vemos una subred seleccionada que utiliza la configuración
"SB1S". Se muestra una subred seleccionada que está configurada con un host de protección como punto
de acceso central a la subred seleccionada. Este tipo de configuración es S-B1-S o "SBlS". Los routers de
selección se utilizan para conectar a Internet y a la red interna. El host de protección es un gateway de
aplicación y niega el tráfico expresamente permitido.
Debido a que el único acceso a la subred seleccionada se da a través del host de protección, es
muy difícil que un intruso abra una brecha en la subred seleccionada. Si la intrusión viene a través de
Internet, el intruso tendría que reconfigurar el enrutamiento en Internet, la subred seleccionada y la red
interna para tener libre acceso. Aunque se abra una brecha en dicho host, el intruso tendría que
introducirse en uno de los hosts de la red interna y luego regresar al router de selección para tener acceso
a la subred seleccionada. Es difícil hacer este tipo de intrusión sin desconectarse a sí mismo o activar una
alarma.
Un subred seleccionada que utiliza la configuración "SB1S".
Debido a que las subredes seleccionadas no permiten que el tráfico de red fluya entre Internet y
la red interna, las direcciones IP de los hosts en estas redes están ocultas entre sí. Esto permite que una
organización a la que el Centro de Información de Red (NIC, Network Information Center) aún no le
haya asignado oficialmente números de red, tenga acceso a Internet a través de
servicios de gateway de aplicación proporcionados por el host de protección (o bastión como vemos en la
imagen) en la subred seleccionada.
Tipos de Firewalls
Podemos catalogar los firewall, según su manera de operar, en dos grandes grupos :
1. firewalls de nivel de red.
2. firewalls de nivel de aplicación.
También se conocen como Packet-Filtering Gateways. Estos firewall son los más económicos. Las
capacidades de filtro suelen estar presentes en el software del router, y como probablemente se necesite
un router para conectar a Internet no hay ningún coste adicional.
Los network firewalls operan despreciando paquetes en base a sus direcciones de origen o destino, o
sus puertos. En general se carece de información de contexto, las decisiones son tomadas sólo en base a la
información del paquete en cuestión. En función del router, el filtrado se puede hacer a la entrada, a la
salida o en ambos lados. El administrador realiza una lista de máquinas aceptados y servicios, y una lista
de máquinas y servicios a denegar.
El problema es que la mayoría de políticas de seguridad necesitan un control más fino que este. Uno
puede desear que la máquina A se pueda comunicar con la B, pero sólo para enviar correo, otros servicios
estarían denegados. Se pueden definir reglas a este nivel. Aún con una perfecta implementación del filtro,
nuestra red interna no estaría totalmente segura.
2. FireWall de Nivel de Aplicación.
Estos firewalls tienen la responsabilidad de tomar los paquetes de una red y llevarlos a otra,
previamente abren el paquete, examinan el contenido, y se aseguran que no tiene ningún riesgo potencial.
Una vez los paquetes están chequeados, y son seguros, el firewall construye unos nuevos con el
mismo contenido. Así pues sólo los paquetes para los cuales hay un código de construcción pueden
atravesar el firewall, no se pueden enviar paquetes no autorizados porque no hay código para generarlos.
Filtrado de paquetes
a. Rechazo de paquetes en función de
i. Dirección de origen/destino
ii. Servicio (puerto)
b. Decisiones tomadas paquete a paquete
c. Posibilidades de filtrado
i. A la entrada
ii. A la salida
d. Problemas:
i. Direcciones IP fáciles de enmascarar
ii. Servicios en puertos no estándar
Proxy genérico
a. Todos los servicios se solicitan a un único puerto del proxy
a. Control adicional: límite de tiempo, autenticación.
b. El proxy conecta con el servicio solicitado de la Intranet
c. Habitualmente un único nodo externo
d. Problemas:
a. Servicios que requieren un puerto especifico.
b. Hay que modificar los clientes: circuito virtual a través del proxy.
c. Usuarios internos que no cooperan.
Reencaminador
a. Protocolo fuente – reencamicador para identificar destino y servicio
a. control adicional: limite de tiempo, autenticación
b. Una vez validada, la conexión es entre fuente y destino
c. Múltiples nodos sin transparencia.
d. Problemas:
a. Hay que modificar los clientes (sus librerías)
b. Usuarios internos que no cooperan
Servidor proxy
a. Desempaquetado y empaquetado
a. Control total del tráfico
b. Protección ante virus
c. Control de acceso (horarios, facturación) por servicio.
b. Dos interfaces de red
c. Seguridad activa
d. Problemas:
a. Clientes específicos
9.- Beneficios de un firewall
Los firewalls manejan el acceso entre dos redes. Si no existiera, todos los hosts de la
Intranet estarían expuestos a ataques desde hosts remotos en Internet. Esto significa que la seguridad de
toda la red, estaría dependiendo de cuan fácil fuera violar la seguridad local de cada máquina interna.
El firewall es el punto ideal para monitorear la seguridad de la red y generar alarmas de intentos
de ataque, el administrador de la red escogerá la decisión de si revisar estas alarmas o no, la decisión
tomada por éste no cambiaria la manera de operar del firewall.
Otra causa que ha hecho que el uso de firewalls se haya convertido de uso imperativo es el hecho
que en los últimos años en Internet han entrado en crisis el número disponible de direcciones IP, esto ha
hecho que las intranets adopten direcciones CIRD (o direcciones sin clase), las cuales salen a Internet por
medio de un NAT (Network address traslator), y efectivamente el lugar ideal y seguro para alojar el NAT
ha sido el firewall.
Los firewalls también han sido importantes desde el punto de vista de llevar las estadísticas del
ancho de banda "consumido" por el tráfico de la red, y qué procesos han influido más en ese tráfico, de
esta manera el administrador de la red puede restringir el uso de estos procesos y economizar o
aprovechar mejor ancho de banda.
Finalmente, los firewalls también son usados para albergar los servicios WWW y FTP de la
intranet, estos servicios se caracterizan por tener interfaces al exterior de la red privada y se ha
demostrado que son puntos vulnerables para acceder a ella.
Proxy se define en términos generales como "la autoridad o poder para actuar para otro". En el contexto
de networking un servicio proxy es aquel provee un ordenador asumiendo la autoridad de actuar para
ordenadores a los cuales esta conectado. Este servicio es útil en situaciones en que ordenadores de
redes diferentes no estén conectados directamente para intercambiar información.
El producto Proxy Server de Microsoft se debe montar sobre un servidor Microsoft NT.
Network1 presenta su herramienta FireWall Plus (FWP) que, como su nombre lo indica, es una
poderosa herramienta de seguridad multiprotocolo, diseñada para trabajar en ambientes network-to-
network, client-to-client, client-to-server y server-to-server. Trabaja bajo cualquier protocolo y con
cualquier aplicación en Internet o intranets. La arquitectura de esta herramienta permite añadir a las
aplicaciones y a las comunicaciones la propiedad de encriptación, autoverificación, VPN (Virtual Private
Network) y administración remota. Puede correrse en plataformas Windows NT, Windows 95, Win 3.x y
D.O.S. FWP trabaja en cooperación con el Kernel de NT y protege completamente al sistema operativo
de cualquier acceso no autorizado (a nivel usuario, archivo, proceso, etc.) para los ambientes
descentralizados cliente/servidor (C/S) en los que cada día transita más información confidencial.
Módulo Firewall que se instala dentro de los router Cisco de la serie 1600 (o 2500). Provee una
solución ideal para empresas que deseen integrar, sin necesidad de máquinas adicionales, los servicios de
ruteo y seguridad en sus actuales routers Cisco, manteniendo así su inversión.
Ventajas :
Control de Acceso basado en Contexto (CBAC): provee filtros seguros y por aplicación para el
tráfico IP, soportando los últimos protocolos de aplicaciones avanzadas.
Bloqueo Java: protección frente a aplicaciones Java con peligros de seguridad, permitiendo el
acceso solo a los applets Java de fuentes previamente autorizadas.
Detección y Prevención de Servicios Denegados: protege de los ataques más comunes a las
redes internas.
Alertas en Tiempo Real: crea logs de los servicios denegados y otras condiciones que presenten
riesgos de seguridad al interior de la red de la empresa.
Control de Uso: permite llevar un control de usuarios, tiempo de acceso, direcciones de origen y
destino, puertas usadas y total de bytes transmitidos.
Configuración y administración integradas con Cisco IOS.
11.- Bibliografía
http://www.cisco.com/univercd/cc/td/doc/product/iaabu/pix/index.htm
http://www.microsoft.com/intlkb/SPAIN/E10/5/56.ASP
http://www.gifweb.com/firewall.html
http://maxwell.univalle.edu.co/~caraquin/#intro
http://www.viared.cl/servypro/watchguard.htm
http://www.abits.com.mx/Productos/firewall.htm
http://www.tic.com.mx/productos/internet/firewalls/firewalls.htm
http://tallan.unp.edu.pe/ingindustrial/daiinfo/sisi982.htm
http://www.soltel.com.uy/Firewall.html
http://www.maestrosdelweb.org/editorial/computacion/firewall.asp
http://www.ibm.com/co/products/fire.html
http://alen.ait.uvigo.es/~manolo/nst/seguridad/sld017.htm
http://www.wingate.com.mx/
http://www.camhi.cl/servypro/ms-proxy.htm
http://www.penta.ufrgs.br/gereseg/unlp/12tema4.htm
http://www.rdc.cl/prodserv/firewall.htm
12.- Índice
1.- Introducción
2.- ¿Qué es un firewall?
3.- Objetivo de un firewall
4.- Componentes del firewall
5.- ¿Cómo funciona un firewall?
6.- ¿Qué puede hacer un firewall para proteger la red?
7.- ¿Qué no puede hacer un firewall para proteger la red?
8.- Implementación y configuración de firewalls
9.- Beneficios de un firewall
10.- Firewalls en el mercado
11.- Bibliografía
12.- Índice