Está en la página 1de 29

Seguridad y Auditora

Controles de acceso (Firewalls)

Profesor: Jorge Marn Alumno: Lucas Marzetti Ao: 2008


Firewalls y Seguridad en Internet

Firewalls y seguridad en Internet Introduccin. La seguridad ha sido el principal concerniente a tratar cuando una organizacin desea conectar su red privada al Internet. Sin tomar en cuenta el tipo de negocios, se ha incrementado el nmero de usuarios de redes privadas por la demanda del acceso a los servicios de Internet tal es el caso del World Wide Web (WWW), Internet Mail (email), Telnet, y File Transfer Protocol (FTP). Adicionalmente los corporativos buscan las ventajas que ofrecen las paginas en el WWW y los servidores FTP de acceso pblico en el Internet. Los administradores de red tienen que incrementar todo lo concerniente a la seguridad de sus sistemas, debido a que se expone la organizacin privada de sus datos as como la infraestructura de sus red a los Expertos de Internet (Internet Crackers). Para superar estos temores y proveer el nivel de proteccin requerida, la organizacin necesita seguir una poltica de seguridad para prevenir el acceso no-autorizado de usuarios a los recursos propios de la red privada, y protegerse contra la exportacin privada de informacin. Todava, aun si una organizacin no est conectada al Internet, esta debera establecer una poltica de seguridad interna para administrar el acceso de usuarios a porciones de red y proteger sensitivamente la informacin secreta. Firewalls Un Firewall en Internet es un sistema o grupo de sistemas que impone una poltica de seguridad entre la organizacin de red privada y el Internet. El firewall determina cual de los servicios de red pueden ser accesados dentro de esta por los que estn fuera, es decir quin puede entrar para utilizar los recursos de red pertenecientes a la organizacin. Para que un firewall sea efectivo, todo trfico de informacin a travs de Internet deber pasar a travs del mismo donde podr ser inspeccionada la informacin. El firewall podr nicamente autorizar el paso del trfico, y el mismo podr ser inmune a la penetracin. Desafortunadamente, este sistema no puede ofrecer proteccin alguna una vez que el agresor lo traspasa o permanece en torno a este.

Ilustracin -1 La Poltica De Seguridad Crea Un Permetro De Defensa. esto es importante, ya que debemos de notar que un firewall de Internet no es justamente un ruteador, un servidor de defensa, o una combinacin de elementos que proveen seguridad para la red. El firewall es parte de una poltica de seguridad completa que crea un permetro de defensa diseada para proteger las fuentes de informacin. Esta poltica de seguridad podr incluir publicaciones con las guas de ayuda donde se informe a los usuarios de sus responsabilidades, normas de acceso a la red, poltica de servicios en la red, poltica de autenticidad en acceso remoto o local a usuarios propios de la red, normas de dial-in y dial-out, reglas de encriptacin de datos y discos, normas de proteccin de virus, y entrenamiento. Todos los puntos potenciales de ataque en la red podrn ser protegidos con el mismo nivel de seguridad. Un firewall de Internet sin una poltica de seguridad comprensiva es como poner una puerta de acero en una tienda. Beneficios de un firewall en Internet Los firewalls en Internet administran los accesos posibles del Internet a la red privada. Sin un firewall, cada uno de los servidores propios del sistema se expone al ataque de otros servidores en Internet. Esto significa que la seguridad en la red privada depende de la "Dureza" con que cada uno de los servidores cuenta y es nicamente seguro tanto como la seguridad en la fragilidad posible del sistema. El firewall permite al administrador de la red definir un "choke point" (embudo), manteniendo al margen los usuarios no-autorizados (tal, como., hackers, crackers, vndalos, y espas) fuera de la red, prohibiendo potencialmente la entrada o salida al vulnerar los servicios de la red, y proporcionar la proteccin para varios tipos de ataques posibles. Uno de los beneficios clave de un firewall en

Internet es que ayuda a simplificar los trabajos de administracin, una vez que se consolida la seguridad en el sistema firewall, es mejor que distribuirla en cada uno de los servidores que integran nuestra red privada. El firewall ofrece un punto donde la seguridad puede ser monitoreada y si aparece alguna actividad sospechosa, este generara una alarma ante la posibilidad de que ocurra un ataque, o suceda algn problema en el trnsito de los datos. Esto se podr notar al acceder la organizacin a Internet. La pregunta general es "si" pero "cuando" ocurrir el ataque. Esto es extremadamente importante para que el administrador audite y lleve una bitcora del trfico significativo a travs del firewall. Tambin, si el administrador de la red toma el tiempo para responder una alarma y examina regularmente los registros de base. Esto es innecesario para el firewall, desde que el administrador de red desconoce si ha sido exitosamente atacado.

Concentra la seguridad Centraliza los accesos Genera alarmas de seguridad Traduce direcciones (NAT) Monitorea y registra el uso de Servicios de WWW y FTP. Internet. Ilustracin -2

Beneficios De Un Firewall De Internet. Con el paso de algunos aos, Internet ha experimentado una crisis en las direcciones, logrando que el direccionamiento IP sea menos generoso en los recursos que proporciona. Por este medio se organizan las compaas conectadas a Internet, debido a esto hoy no es posible obtener suficientes registros de direcciones IP para responder a la poblacin de usuarios en demanda de los servicios. Un firewall es un lugar lgico para desplegar un Traductor de Direcciones de Red (NAT) esto puede ayudar aliviando el espacio de direccionamiento acortando y eliminando lo necesario para reenumerar cuando la organizacin cambie del Proveedor de Servicios de Internet (ISP).

Un firewall de Internet es el punto perfecto para auditar o registrar el uso de Internet. Esto permite al administrador de red justificar el gasto que implica la conexin al Internet, localizando con precisin los cuellos de botella potenciales del ancho de banda, y promueve el mtodo de cargo a los departamentos dentro del modelo de finanzas de la organizacin. Un firewall de Internet ofrece un punto de reunin para la organizacin. Si una de sus metas es proporcionar y entregar servicios informacin a consumidores, el firewall de Internet es ideal para desplegar servidores WWW y FTP. Finalmente, el firewall puede presentar los problemas que genera un punto de falla simple. Enfatizando si este punto de falla se presenta en la conexin a Internet, aun as la red interna de la organizacin puede seguir operando - nicamente el acceso al Internet est perdido - . La preocupacin principal del administrador de red, son los mltiples accesos a Internet, que se pueden registrar con un monitor y un firewall en cada punto de acceso que posee la organizacin hacia Internet. Estos dos puntos de acceso significan dos puntos potenciales de ataque a la red interna que tendrn que ser monitoreados regularmente. Limitaciones de un firewall Un firewall no puede protegerse contra aquellos ataques que se efecten fuera de su punto de operacin. Por ejemplo, si existe una conexin dial-out sin restricciones que permita entrar a nuestra red protegida, el usuario puede hacer una conexin SLIP o PPP a Internet. Los usuarios con sentido comn suelen "irritarse" cuando se requiere una autenticacin adicional requerida por un Firewall Proxy server (FPS) lo cual se puede ser provocado por un sistema de seguridad circunvecino que est incluido en una conexin directa SLIP o PPP del ISP. Este tipo de conexiones derivan la seguridad provista por firewall construido cuidadosamente, creando una puerta de ataque. Los usuarios pueden estar consientes de que este tipo de conexiones no son permitidas como parte de integral de la arquitectura de la seguridad en la organizacin.

Ilustracin -3

Conexin Circunvecina Al Firewall De Internet. El firewall no puede protegerse de las amenazas a que est sometido por traidores o usuarios inconscientes. El firewall no puede prohibir que los traidores o espas corporativos copien datos sensitivos en disquetes o tarjetas PCMCIA y substraigan estas del edificio. El firewall no puede proteger contra los ataques de la "Ingeniera Social", por ejemplo un Hacker que pretende ser un supervisor o un nuevo empleado despistado, persuade al menos sofisticado de los usuarios a que le permita usar su contrasea al servidor del corporativo o que le permita el acceso "temporal" a la red. Para controlar estas situaciones, los empleados deberan ser educados acerca de los varios tipos de ataque social que pueden suceder, y a cambiar sus contraseas si es necesario peridicamente. El firewall no puede protegerse contra los ataques posibles a la red interna por virus informativos a travs de archivos y software. Obtenidos del Internet por sistemas operativos al momento de comprimir o descomprimir archivos binarios, el firewall de Internet no puede contar con un sistema preciso de SCAN para cada tipo de virus que se puedan presentar en los archivos que pasan a travs de l. La solucin real est en que la organizacin debe ser consciente en instalar software anti-viral en cada despacho para protegerse de los virus que llegan por medio de disquetes o cualquier otra fuente. Finalmente, el firewall de Internet no puede protegerse contra los ataques posibles en la transferencia de datos, estos ocurren cuando

aparecen datos inocuos son enviados o copiados a un servidor interno y son ejecutados despachando un ataque. Por ejemplo, una transferencia de datos podra causar que un servidor modificara los archivos relacionados a la seguridad haciendo ms fcil el acceso de un intruso al sistema. Como nosotros podemos ver, el desempeo de los servidores Proxy en un servidor de defensa es un excelente medio de prohibicin a las conexiones directas por agentes externos y reduce las amenazas posibles por los ataques con transferencia de datos.

Herramientas del hacker Es difcil describir el ataque "tpico" de un hacker debido a que los intrusos poseen diferentes niveles de tcnicos por su experiencia y son adems son motivados por diversos factores. Algunos hackers son apasionados por el desafo, otros ms gozan de hacer la vida difcil a los dems, y otros tantos substraen datos delicados para algn beneficio propio. Recoleccin de informacin Generalmente, el primer paso es saber en qu forma se recolecta la informacin y adems que tipo de informacin es. La meta es construir una base de datos que contenga la organizacin de la red y colectar la informacin acerca de los servidores residentes. Esta es una lista de herramientas que un hacker puede usar para colectar esta informacin: El protocolo SNMP puede utilizarse para examinar la tabla de ruteo en un dispositivo inseguro, esto sirve para aprender los detalles ms ntimos acerca del objetivo de la topologa de red perteneciente a una organizacin. El programa TraceRoute puede revelar el nmero de redes intermedias y los ruteadores en torno al servidor especfico. El protocolo Whois que es un servicio de informacin que provee datos acerca de todos los dominios DNS y el administrador del sistema responsable para cada dominio. No obstante que esta informacin es anticuada. Servidores DNS pueden accesarce para obtener una lista de las direcciones IP y sus correspondientes Nombres (Programa Nslookup).

El protocolo Finger puede revelar informacin detallada acerca de los usuarios (nombres de Login, nmeros telefnicos, tiempo y ltima sesin, etc.) de un servidor en especfico. El programa Ping puede ser empleado para localizar un servidor particular y determinar si se puede alcanzar. Esta simple herramienta puede ser usada como un programa de escaneo pequeo que por medio de llamadas a la direccin de un servidor haga posible construir una lista de los servidores que actualmente son residentes en la red. Sondeo del sistema para debilitar la seguridad Despus que se obtienen la informacin de red perteneciente a dicha organizacin, el hacker trata de probar cada uno de los servidores para debilitar la seguridad. Estos son algunos usos de las herramientas que un hacker puede utilizar automticamente para explorar individualmente los servidores residentes en una red: Una vez obtenida una lista no obstantemente pequea de la vulnerabilidad de servicios en la red, un hacker bien instruido puede escribir un pequeo programa que intente conectarse a un puerto especificando el tipo de servicio que est asignado al servidor en cuestin. La corrida del programa presenta una lista de los servidores que soportan servicio de Internet y estn expuestos al ataque. Estn disponibles varias herramientas del dominio pblico, tal es el caso como el Rastreador de Seguridad en Internet (ISS) o la Herramienta para Anlisis de Seguridad para Auditar Redes (SATAN) , el cual puede rastrear una subred o un dominio y ver las posibles fugas de seguridad. Estos programas determinan la debilidad de cada uno de los sistemas con respecto a varios puntos de vulnerabilidad comunes en un sistema. El intruso usa la informacin recolectada por este tipo de rastreadores para intentar el acceso no-autorizado al sistema de la organizacin puesta en la mira. Un administrador de redes hbil puede usar estas herramientas en su red privada para descubrir los puntos potenciales donde est debilitada su seguridad y as determina que servidores necesitan ser remendados y actualizados en el software.

Acceso a sistemas protegidos

El intruso utiliza los resultados obtenidos a travs de las pruebas para poder intentar accesar a los servicios especficos de un sistema. Despus de tener el acceso al sistema protegido, el hacker tiene disponibles las siguientes opciones: Puede atentar destruyendo toda evidencia del asalto y adems podr crear nuevas fugas en el sistema o en partes subalternas con el compromiso de seguir teniendo acceso sin que el ataque original sea descubierto. Pueden instalar paquetes de sondeo que incluyan cdigos binarios conocidos como "caballos de Troya" protegiendo su actividad de forma transparente. Los paquetes de sondeo colectan las cuentas y contraseas para los servicios de Telnet y FTP permitiendo al hacker expandir su ataque a otras maquinas. Pueden encontrar otros servidores que realmente comprometan al sistema. Esto permite al hacker explotar vulnerablemente desde un servidor sencillo todos aquellos que se encuentren a travs de la red corporativa. Si el hacker puede obtener acceso privilegiado en un sistema compartido, podr leer el correo, buscar en archivos Bases para el diseo decisivo del firewall Cuando se disea un firewall de Internet, se tiene que tomar algunas decisiones que pueden ser asignadas por el administrador de red: Posturas sobre la poltica del Firewall. La poltica interna propia de la organizacin para la seguridad total. El costo financiero del Proyecto "Firewall". Los componentes o la construccin de secciones del Firewall. Polticas del firewall. Las posturas del sistema firewall describen la filosofa fundamental de la seguridad en la organizacin. Estas son dos posturas diametralmente opuestas que la poltica de un firewall de Internet puede tomar: "No todo lo especficamente permitido est prohibido" "Ni todo lo especficamente prohibido est permitido"

La primera postura asume que un firewall puede obstruir todo el trfico y cada uno de los servicios o aplicaciones deseadas necesariamente para ser implementadas bsicamente caso por caso. Esta propuesta es recomendada nicamente a un limitado nmero de servicios soportados cuidadosamente seleccionados en un servidor. La desventaja es que el punto de vista de "seguridad" es ms importante que - facilitar el uso - de los servicios y estas limitantes numeran las opciones disponibles para los usuarios de la comunidad. Esta propuesta se basa en una filosofa conservadora donde se desconocen las causas acerca de los que tienen la habilidad para conocerlas. La segunda postura asume que el firewall puede desplazar todo el trfico y que cada servicio potencialmente peligroso necesitara ser aislado bsicamente caso por caso. Esta propuesta crea ambientes ms flexibles al disponer ms servicios para los usuarios de la comunidad. La desventaja de esta postura se basa en la importancia de "facilitar el uso" que la propia - seguridad - del sistema. Tambin adems, el administrador de la red est en su lugar de incrementar la seguridad en el sistema conforme crece la red. Desigual a la primera propuesta, esta postura est basada en la generalidad de conocer las causas acerca de los que no tienen la habilidad para conocerlas Poltica interna de la seguridad Tan discutidamente escuchada, un firewall de Internet no est solo es parte de la poltica de seguridad total en una organizacin -, la cual define todos los aspectos en competentes al permetro de defensa. Para que esta sea exitosa, la organizacin debe de conocer que es lo s est protegiendo. La poltica de seguridad se basara en una conduccin cuidadosa analizando la seguridad, la asesora en caso riesgo, y la situacin del negocio. Si no se posee con la informacin detallada de la poltica a seguir, aun que sea un firewall cuidadosamente desarrollado y armado, estar exponiendo la red privada a un posible atentado. Costo del firewall Cunto puede ofrecer una organizacin por su seguridad?, un simple paquete de filtrado firewall puede tener un costo mnimo ya que la organizacin necesita un ruteador conectado a Internet, y dicho paquete ya est incluido como estndar del equipo. Un sistema comercial de firewall provee un incremento ms a la seguridad pero su costo puede ser de $32,000 hasta $240,000 pesos dependiendo de

la complejidad y el nmero de sistemas protegidos. Si la organizacin posee al experto en casa, un firewall casero puede ser construido con software de dominio pblico pero este ahorro de recursos repercuten en trminos del tiempo de desarrollo y el despliegue del sistema firewall. Finalmente requiere de soporte continuo para la administracin, mantenimiento general, actualizacin de software, reparacin de seguridad, e incidentes de manejo. Componentes del sistema firewall Despus de las decisiones acerca de los ejemplos previos, la organizacin puede determinar especficamente los componentes del sistema. Un firewall tpico se compone de uno, o una combinacin, de los siguientes obstculos. Ruteador Filtra-paquetes. Gateway a Nivel-aplicacin. Gateway a Nivel-circuito. Por lo que resta del captulo, se discutir cada una de las opciones para la edificacin de obstculos y se describir como se puede trabajar junto con ellos para construir un efectivo sistema firewall de Internet. Edificando obstculos: ruteador filtra-paquetes Este ruteador toma las decisiones de rehusar/permitir el paso de cada uno de los paquetes que son recibidos. El ruteador examina cada datagrama para determinar si este corresponde a uno de sus paquetes filtrados y que a su vez haya sido aprobado por sus reglas. Las reglas de filtrado se basan en revisar la informacin que poseen los paquetes en su encabezado, lo que hace posible su desplazamiento en un proceso de IP. Esta informacin consiste en la direccin IP fuente, la direccin IP destino, el protocolo de encapsulado (TCP, UDP,ICMP, o IP tnel), el puerto fuente TCP/UDP, el puerto destino TCP/UDP, el tipo de mensaje ICMP, la interface de entrada del paquete, y la interface de salida del paquete. Si se encuentra la correspondencia y las reglas permiten el paso del paquete, este ser desplazado de acuerdo a la informacin a la tabla de ruteo, si se encuentra la correspondencia y las reglas niegan el paso, el paquete es descartado. Si estos no corresponden a las reglas, un parmetro configurable por incumplimiento determina descartar o desplazar el paquete.

Ilustracin -4 Ruteador Filtra-Paquetes.

Servicio dependiente del filtrado Las reglas acerca del filtrado de paquetes a travs de un ruteador para rehusar/permitir el trafico est basado en un servicio en especifico, desde entonces muchos servicios vierten su informacin en numerosos puertos TCP/UDP conocidos. Por ejemplo, un servidor Telnet esta a la espera para conexiones remotas en el puerto 23 TCP y un servidor SMTP espera las conexiones de entrada en el puerto 25 TCP. Para bloquear todas las entradas de conexin Telnet, el ruteador simplemente descarta todos los paquetes que contengan el valor del puerto destino TCP igual a 23. Para restringir las conexiones Telnet a un limitado nmero de servidores internos, el ruteador podr rehusar el paso a todos aquellos paquetes que contengan el puerto destino TCP igual a 23 y que no contengan la direccin destino IP de uno de los servidores permitidos. Algunas caractersticas tpicas de filtrado que un administrador de redes podra solicitar en un ruteador filtra-paquetes para perfeccionar su funcionamiento serian: Permitir la entrada de sesiones Telnet nicamente a una lista especifica de servidores internos. Permitir la entrada de sesiones FTP nicamente a los servidores internos especificados. Permitir todas las salidas para sesiones Telnet. Permitir todas las salidas para sesiones FTP. Rehusar todo el trafico UDP. Servicio independiente del filtrado

Este tipo de ataques ciertamente son difciles de identificar usando la informacin bsica de los encabezados debido a que estos son independientes al tipo de servicio. Los ruteadores pueden ser configurados para protegerse de este tipo de ataques pero son ms difciles de especificar desde entonces las reglas para el filtrado requieren de informacin adicional que pueda ser estudiada y examinada por la tabla de ruteo, inspeccionando las opciones especificas IP, revisando fragmentos especiales de edicin, etc. Algunos ejemplos de este tipo de ataques incluye: Agresiones Originadas Por El Direccionamiento IP. Para este tipo de ataque, el intruso trasmite paquetes desde afuera pretendiendo pasar como servidor interno - los paquetes poseen una direccin fuente IP falsa de un servidor interno del sistema -. El agresor espera que usando este impostor se pueda penetrar al sistema para emplearlo seguramente como direccin fuente donde los paquetes que trasmita sean autentificados y los del otro servidor sean descartados dentro del sistema. Los ataques por pseudo-fuentes pueden ser frustrados si descartamos la direccin fuente de cada paquete con una direccin fuente "interno" si el paquete llega en una de las interfaces del ruteador "externo". Agresiones Originadas En El Ruteador. En un ataque de ruteo, la estacin de origen especifica la ruta que un paquete deber de tomar cuando cruce a travs del Internet. Este tipo de ataques son diseados para cuantificar las derivaciones de seguridad y encauzan al paquete por un inesperado camino a su destino. Los ataques originados en el ruteador pueden ser frustrados simplemente descartando todos los paquetes que contengan fuentes de ruteo opcionales. Agresiones Por Fragmentacin. Por este tipo de ataques, los intrusos utilizan las caractersticas de fragmentacin para crear fragmentos extremadamente pequeos y obligan a la informacin del encabezado TCP a separarse en paquetes. Estos pequeos fragmentos son diseados para evitar las reglas definidas por el filtrado de un ruteador examinando los primeros fragmentos y el resto pasa sin ser visto. Aunque si bien nicamente es explotado por sencillos decodificadores, una agresin pequesima puede ser frustrada si se descartan todos los paquetes donde el tipo de protocolo es TCP y la fragmentacin de compensacin IP es igual a 1.

Beneficios del ruteador filtra-paquetes La mayora de sistemas firewall son desplegados usando nicamente ruteadores filtra-paquetes. Otros que tienen tiempo planean los filtros y configuran el ruteador, sea este pequeo o no, el costoso para implementar la filtracin de paquetes no es cara; desde que los componentes bsicos de los ruteadores incluyen revisiones estndar de software para dicho efecto. Desde entonces el acceso a Internet es generalmente provisto a travs de interfaces WAN, optimando la operacin del ruteador moderando el trfico y definiendo menos filtros. Finalmente, el ruteador de filtrado es por lo general transparente a los usuarios finales y a las aplicaciones por lo que no se requiere de entrenamiento especializado o software especifico que tenga que ser instalado en cada uno de los servidores. Limitaciones del ruteador filtra-paquetes Definir el filtrado de paquetes puede ser una tarea compleja porque el administrador de redes necesita tener un detallado estudio de varios servicios de Internet, como los formatos del encabezado de los paquetes, y los valores especficos esperados a encontrase en cada campo. Si las necesidades de filtrado son muy complejas, se necesitara soporte adicional con lo cual el conjunto de reglas de filtrado puede empezar a complicar y alargar el sistema haciendo ms difcil su administracin y comprensin. Finalmente, estas sern menos fciles de verificar para las correcciones de las reglas de filtrado despus de ser configuradas en el ruteador. Potencialmente se puede dejar una localidad abierta sin probar su vulnerabilidad. Cualquier paquete que pasa directamente a travs de un ruteador puede ser posiblemente usado como parte inicial un ataque dirigido de datos. Haciendo memoria este tipo de ataques ocurren cuando los datos aparentemente inocuos se desplazan por el ruteador a un servidor interno. Los datos contienen instrucciones ocultas que pueden causar que el servidor modifique su control de acceso y seguridad relacionando sus archivos facilitando al intruso el acceso al sistema. Generalmente, los paquetes entorno al ruteador disminuyen conforme el numero de filtros utilizados se incrementa. Los ruteadores son optimizados para extraer la direccin destino IP de cada paquete, haciendo relativamente simple la consulta a la tabla de ruteo, y el desplazamiento de paquetes para la interface apropiada de la transmisin. Si est autorizado el filtro, no nicamente podr el ruteador tomar la decisin de desplazar cada paquete, pero tambin

sucede aun aplicando todas las reglas de filtrado. Esto puede consumir ciclos de CPU e impactar el perfecto funcionamiento del sistema. El filtrado de paquetes IP no puede ser capaz de proveer el suficiente control sobre el trfico. Un ruteador Filtra-Paquetes puede permitir o negar un servicio en particular, pero no es capaz de comprender el contexto/dato del servicio. Por ejemplo, un administrador de red necesita filtrar el trfico de una capa de aplicacin - limitando el acceso a un subconjunto de comandos disponibles por FTP o Telnet, bloquear la importacin de Mail o News Groups concerniente a tpicos especficos. Este tipo de control es muy perfeccionado a las capas altas por los servicios de un servidor Proxy y en Gateway a Nivelaplicacin. Edificando obstculos: Gateway a nivel-aplicacin Los Gateway nivel-aplicacin permiten al administrador de red la implementacin de una poltica de seguridad estricta que la que permite un ruteador filtra-paquetes. Mucho mejor que depender de una herramienta genrica de filtra-paquetes para administrar la circulacin de los servicios de Internet a travs del firewall, se instala en el Gateway un cdigo de propsito-especial (un servicio Proxy) para cada aplicacin deseada. Si el administrador de red no instala el cdigo Proxy para la aplicacin particular, el servicio no es soportado y no podrn desplazarse a travs del firewall. Aun cuando, el cdigo Proxy puede ser configurado para soportar nicamente las caractersticas especificas de una aplicacin que el administrador de red considere aceptable mientras niega todas las otras. Un aumento de seguridad de este tipo incrementa nuestros costos en trminos del tipo de Gateway seleccionado, los servicios de aplicaciones del Proxy, el tiempo y los conocimientos requeridos para configurar el Gateway, y un decrecimiento en el nivel de los servicios que podrn obtener nuestros usuarios, dando como resultado un sistema carente de transparencia en el manejo de los usuarios en un ambiente "amigable". Como en todos los casos el administrador de redes debe de balancear las necesidades propias en seguridad de la organizacin con la demanda de "fcil de usar" demandado por la comunidad de usuarios. Es importante notar que los usuarios tienen acceso por un servidor Proxy, pero ellos jams podrn seccionar en el Gateway a nivel-

aplicacin. Si se permite a los usuarios seccionar en el sistema de firewall, la seguridad es amenazada desde el momento en que un intruso puede potencialmente ejecutar muchas actividades que comprometen la efectividad del sistema. Por ejemplo, el intruso podra obtener el acceso de root, instalar un caballo de Troya para colectar las contraseas, y modificar la configuracin de los archivos de seguridad en el firewall.

Servidor de defensa Un ruteador filtra-paquetes permite la circulacin directa de los paquetes dentro y fuera del sistema, diferente a esto el Gateway a nivel-aplicacin deja que la informacin circule entre los sistemas pero no permite el intercambio directo de paquetes. El principal riesgo de permitir que los paquetes se intercambien dentro y fuera del sistema se debe a que el servidor residente en los sistemas de proteccin de la red podr ser asegurado contra cualquier amenaza representada por los servicios permitidos. Un Gateway a nivel-aplicacin por lo regular es descrito como un "servidor de defensa" porque es un sistema diseado especficamente blindado y protegido contra cualquier ataque. Hay varias caractersticas de diseo que son usadas para hacer ms seguro un servidor de defensa: La plataforma de Hardware del servidor de defensa ejecuta una versin "segura" de su sistema operativo. Por ejemplo, si el servidor de defensa es una plataforma UNIX, se ejecutara una versin segura del sistema operativo UNIX que es diseado especficamente para proteger los sistemas operativos vulnerables y garantizar la integridad del firewall. nicamente los servicios que el administrador de redes considera esenciales son instalados en el servidor de defensa. La lgica de operacin es que si el servicio no est instalado, este puede ser atacado. Generalmente, un conjunto limitado de aplicaciones Proxy tales como Telnet, DNS, FTP, SMTP, y autenticacin de usuarios son instalados en este servidor. El servidor de defensa podr requerir de una autenticacin adicional para que el usuario acceda a los servicios Proxy. Por ejemplo, el servidor de defensa es ideal para colocar un sistema fuerte de supervisin de autorizacin (tal como la tecnologa "una-sola vez" de

contrasea donde una tarjeta inteligente generaba un cdigo de acceso nico por medios criptogrficos). Adicionalmente, cada servicio Proxy podr requerir de autorizacin propia despus que el usuario tenga acceso a su sesin. Cada Proxy es configurado para soportar nicamente un subconjunto de aplicaciones estndar de un conjunto de comandos. Si un comando estndar no es soportado por la aplicacin Proxy, es porque simplemente no est disponible para el usuario. Cada Proxy est configurado para dejar acceder nicamente a los servidores especificados en el sistema. Esto significa que existe un conjunto de caractersticas/comandos que podrn ser aplicados para un subconjunto de sistemas en la red protegida. Cada Proxy mantiene la informacin detallada y auditada de todos los registros del trfico, cada conexin, y la duracin de cada conexin. El registro de audicin es una herramienta esencial para descubrir y finalizar el ataque de un intruso. Cada Proxy es un programa pequeo y sencillo especficamente diseado para la seguridad de redes. Este permite que el cdigo fuente de la aplicacin pueda revisar y analizar posibles intrusos y fugas de seguridad. Por ejemplo, una tpica aplicacin - UNIX mail puede tener alrededor de 20,000 lneas de cdigo cuando un correo Proxy puede contener menos de mil. Cada Proxy es independiente de todas las dems aplicaciones Proxy en el servidor de defensa. Si se produjera un problema con la operacin de cualquier Proxy, o si se descubriera un sistema vulnerable, este puede desinstalarse sin afectar la operacin de las dems aplicaciones. Aun, si la poblacin de usuarios requiere el soporte de un nuevo servicio, el administrador de redes puede fcilmente instalar el servicio Proxy requerido en el servidor de defensa. Un Proxy generalmente funciona sin acceso al disco lo nico que hace es leer su archivo de configuracin inicial. Desde que la aplicacin Proxy no ejecuta su acceso al disco para soporte, un intruso podr encontrar ms dificultades para instalar caballos de Troya perjudiciales y otro tipo de archivos peligrosos en el servidor de defensa. Cada Proxy corre como un usuario no-privilegiado en un directorio privado y seguro del servidor de defensa.

Ejemplo: telnet proxy La ilustra la operacin de un Telnet Proxy en un servidor de defensa. Para este ejemplo, un cliente externo ejecuta una sesin Telnet hacia un servidor integrado dentro del sistema de seguridad por el Gateway a nivel-aplicacin.

Ilustracin -5 Telnet Proxy. El Telnet Proxy nunca permite al usuario remoto que se registre o tenga acceso directo al servidor interno. El cliente externo ejecuta un telnet al servidor de defensa donde es autorizado por la tecnologa "una-sola vez" de contrasea. Despus de ser autentificado, el cliente obtiene acceso a la interface de usuario del Telnet Proxy. Este nicamente permite un subconjunto de comandos Telnet y adems determina cual de los servidores son disponibles para el acceso va Telnet.

Sesin Va Terminal De Telnet Proxy. Los usuarios externos especifican el servidor de destino y el Telnet Proxy una vez hecha la conexin, los comandos internos son desplazados hacia el cliente externo. El cliente externo cree que el Telnet Proxy es el servidor interno real, mientras el servidor interno cree que el Telnet proxy es un cliente externo. El Ilustracin -7 presenta la salida en pantalla de la terminal de un cliente externo como la "conexin" al servidor interno una vez establecida. Ntese que el cliente no se est registrando al servidor de defensa - el usuario comienza su sesin autentificndose por el servidor de defensa e intercambia respuestas, una vez que se le ha permitido seccionar se comunica con el Telnet Proxy -. Despus de pasar el intercambio de respuestas, el servidor Proxy limita un conjunto de comandos y destinos que estn disponibles para los clientes externos.

La autenticacin puede basarse en "algo conocido por los usuarios" (como una contrasea) o "algo que tengan" que posean fsicamente (como una tarjeta electrnica) cualquiera de las dos. Ambas tcnicas estn sujetas a plagio, pero usando una combinacin de ambos mtodos se incrementa la probabilidad del uso correcto de la autenticacin. En el ejemplo de Telnet, el Proxy transmite un requerimiento de registro y el usuario, con la ayuda de su tarjeta electrnica, obtendr una respuesta de validacin por un nmero. Tpicamente, se le entrega al usuario su tarjeta desactivada para que el introduzca un PIN y se le regresa la tarjeta, basada en parte como llave "secreta" de encriptacin y con un reloj interno propio, una vez que se establece la sesin se obtiene un valor de respuesta encriptado. Beneficios del Gateway a nivel-aplicacin Son muchos los beneficios desplegados en un Gateway a nivelaplicacin. Ellos dan a la administracin de red un completo control de cada servicio desde aplicaciones proxy limitadas por un conjunto de comandos y la determinacin del servidor interno donde se puede accesar a los servicios. Aun cuando, el administrador de la red tenga el completo control acerca de que servicios que son permitidos desde la carencia de un servicio proxy para uno en particular significa que el servicio est completamente bloqueado. Los Gateway a nivelaplicacin tienen la habilidad de soportar autenticaciones forzando al usuario para proveer informacin detallada de registro. Finalmente, las reglas de filtrado para un Gateway de este tipo son mucho ms fciles de configurar y probar que en un ruteador filtra-paquetes. Limitaciones del Gateway a nivel-aplicacin Probablemente una de las grandes limitaciones de un Gateway a nivel-aplicacin es que requiere de modificar la conducta del usuario o requiere de la instalacin de software especializado en cada sistema que acceda a los servicios Proxy. Por ejemplo, el acceso de Telnet va Gateway a nivel-aplicacin demanda modificar la conducta del usuario desde el momento en que se requiere de dos pasos para hacer una conexin mejor que un paso. Como siempre, el software especializado podr ser instalado en un sistema terminado para hacer las aplicaciones del Gateway transparentes al permitir a los usuarios especificar el servidor de destino, mejor que el propio, en un comando de telnet. Edificando obstculos: Gateway a nivel-circuito

Un Gateway a nivel-circuito es en s una funcin que puede ser perfeccionada en un Gateway a nivel-aplicacin. A nivel-circuito simplemente trasmite las conexiones TCP sin cumplir cualquier proceso adicional en filtrado de paquetes.

Ilustracin -8

Gateway Nivel-Circuito. La Ilustracin -9 muestra la operacin de una conexin tpica Telnet a travs de un Gateway a nivel-circuito. Tal como se menciono anteriormente, este Gateway simplemente trasmite la conexin a travs del firewall sin examinarlo adicionalmente, filtrarlo, o dirigiendo el protocolo de Telnet. El Gateway a nivel-circuito acciona como un cable copiando los bytes antes y despus entre la conexin interna y la conexin externa. De cualquier modo, la conexin del sistema externo acta como si fuera originada por el sistema de firewall tratando de beneficiar el encubrir la informacin sobre la proteccin de la red. El Gateway a nivel-circuito se usa frecuentemente para las conexiones de salida donde el administrador de sistemas somete a los usuarios internos. La ventaja preponderante es que el servidor de defensa puede ser configurado como un Gateway "hbrido" soportando nivel-aplicacin o servicios Proxy para conexiones de venida y funciones de nivel-circuito para conexiones de ida. Esto hace que el sistema de firewall sea fcil de usar para los usuarios internos quienes desean tener acceso directo a los servicios de Internet mientras se proveen las funciones del firewall necesarias para proteger la organizacin de los ataques externos.
::::: Tipos de Firewall ::::: Filtros a nivel paquete (Packet Filters): Esta tecnologa pertenece a la primera generacin de firewalls la cual analiza el trfico de la red. Cada paquete que entra o sale de la red es

inspeccionado y lo acepta o rechaza basndose en las reglas definidas por el usuario. El filtrado de paquetes es efectivo y transparente para los usuarios de la red, pero es difcil de configurar. Adems de que es susceptible a IP Spoofing. Las reglas para rechazar o aceptar un paquete son las siguientes: Si no se encuentra una regla que aplicar al paquete, el paquete es rechazado. Si se encuentra una regla que aplicar al paquete, y la regla permite el paso, se establece la comunicacin. Si se encuentra una regla que aplicar al paquete, y la regla rechaza el paso, el paquete es rechazado. Firewall a nivel circuito (Circuit Level Firewalls): Esta tecnologa pertenece a la segunda generacin de firewalls y valida que los paquetes pertenezcan ya sea a una solicitud de conexin o bien a una conexin entre dos computadoras. Aplica mecanismos de seguridad cuando una conexin TCP o UDP es establecida. Una vez que la conexin se establece, los paquetes pueden ir y venir entre las computadoras sin tener que ser revisados cada vez. El firewall mantiene una tabla de conexiones vlidas y permite que los paquetes de la red pasen a travs de ella si corresponden a algn registro de la tabla. Una vez terminada la conexin, la tabla se borra y la transmisin de informacin entre las dos computadoras se cierra. Firewall a nivel aplicacin (Application Layer Firewalls): Pertenece a la tercera generacin de firewalls. Examina la informacin de todos los paquetes de la red y mantiene el estado de la conexin y la secuencia de la informacin. En este tipo de tecnologa tambin se puede validar claves de acceso y algunos tipos de solicitudes de servicios. La mayora de estos tipos de firewalls requieren software especializado y servicios Proxy. Un Servicio Proxy es un programa que aplica mecanismos de seguridad a ciertas aplicaciones, tales como FTP o HTTP. Un servicio proxy puede incrementar el control al acceso, realizar chequeos detallados a los datos y generar auditorias sobre la informacin que se transmite. Filtros dinmicos a nivel paquete (Dynamic Packet Filters): Pertenece a la cuarta generacin de firewall y permite modificaciones a las reglas de seguridad sobre la marcha. En la prctica, se utilizan dos o ms tcnicas para configurar el firewall. Un firewall es considerado la primera lnea de defensa para proteger la informacin privada. Definiciones de algunos trminos usados en este artculo:

Paquete: un paquete es una pieza de un mensaje trasmitido. Una parte importante del paquete es que contiene la direccin destino, adems de la informacin o datos. En redes IP, generalmente son llamados datagramas. IP Spoofing: Es una tcnica usada para obtener acceso no autorizado a las computadoras, en donde el intruso enva mensajes a una computadora con una direccin IP indicando que el mensaje viene de una computadora confiable. Para lograr el IP Spoofing, un hacker debe primero de usar una variedad de tcnicas para encontrar la direccin IP de una computadora confiable y posteriormente modificar el encabezado del paquete para que parezca que el paquete viene de esa computadora. FTP: Abreviatura para File Transfer Protocol, es el protocolo usado en Internet para enviar archivos. Servidor Proxy: Es un servidor que se encuentra entre una aplicacin cliente, por ejemplo un navegador de internet, y un servidor real. El servidor proxy intercepta todas las requisiciones que van al servidor para ver si l las puede cumplir, si no es as, le enva la requisicin al servidor real. TCP: Abreviatura para Transmission Control Protocol. TCP es uno de los protocolos principales para las redes tipo TCP/IP. En donde, el protocolo IP, lidia solamente con los paquetes y el TCP hace posible que dos computadoras establezcan la conexin e intercambio de informacin. TCP garantiza el envo de la informacin y tambin garantiza que los paquetes son entregados en el mismo orden en que fueron enviados. UDP: Abreviatura para User Datagram Protocol, es un protocolo sin conexin, que, como TCP, corre encima de redes IP networks. A diferencia del TCP/IP, UDP/IP da muy pocos servicios de recuperacin de errores, pero ofrece a cambio una manera directa de enviar y recibir datagramas sobre una red IP. Este protocolo es usado principalmente para transmitir mensajes sobre una red. Puertos Cada proceso que se comunica con otro proceso se identifica a s mismo a la familia de protocolos TCP/IP por uno o ms puertos. Un puerto es un nmero de 16 bits, usado por el protocolo host-a-host para identificar a qu protocolo de ms alto nivel o programa de aplicacin (proceso) debe entregar los mensajes de entrada. Como algunos programas de ms alto nivel son protocolos por s mismos, estandarizados en la familia de protocolos TCP/IP, tales como telnet y ftp, usan el mismo nmero de puerto en todas las realizaciones de TCP/IP. Aquellos nmeros de puerto "asignados" se denominan puertos bienconocidos y las aplicaciones estndares servicios bien-conocidos. Los puertos "bien-conocidos" los controla y asigna la Autoridad de Nmeros Asignados de Internet (IANA) y en la mayora de los sistemas slo pueden usarlo los procesos del sistema o programas ejecutados con privilegios de usuario. Los puertos "bien-conocidos" asignados ocupan

nmeros de puerto en el rango de 0 a 1023. Los puertos con nmeros dentro del rango 1024-65535 no los controla la IANA y la mayor parte de los sistemas nicamente usan programas desarrollados por usuarios. La confusin debida a que dos aplicaciones diferentes intentan usar los mismos nmeros de puerto sobre un host se evita escribiendo esas aplicaciones para pedir un puerto TCP/IP disponible. Puesto que este nmero de puerto se asigna dinmicamente, debe diferir de una invocacin de una aplicacin a la prxima. Un puerto puede estar:

Abierto: Acepta conexiones. Hay una aplicacin escuchando en este puerto. Esto no quiere decir que se tenga acceso a la aplicacin, slo que hay posibilidad de conectarse. Cerrado: Se rechaza la conexin. Probablemente no hay aplicacin escuchando en este puerto, o no se permite el acceso por alguna razn. Este es el comportamiento normal del sistema operativo. Bloqueado o Sigiloso: No hay respuesta. Este es el estado ideal para un cliente en Internet, de esta forma ni siquiera se sabe si el ordenador est conectado. Normalmente este comportamiento se debe a un cortafuegos de algn tipo, o a que el ordenador est apagado.

Listado de los puertos ms comunes

Puerto/Capa 1 5 7 9 11 13 17 18 19 20 21 22 23 25 37 39 42 43 49 50 53 63

Nombre tcpmux rje echo discard systat daytime qotd msp chargen ftp-data ftp ssh telnet smtp time rlp nameserver nicname tacacs re-mail-ck domain whois++

Comentario Multiplexador de servicios de puertos TCP Entrada de trabajo remota Servicio echo Servicio nulo para la evaluacin de conexiones Servicio de estado del sistema para listar los puertos conectados Enva la fecha y la hora al puerto solicitante Enva la cita del da al host conectado Protocolo de envo de mensajes Servicio de generacin de caracteres; enva flujos infinitos de caracteres Puerto de datos FTP Puerto del Protocolo de transferencia de archivos (FTP); algunas veces utilizado por el Protocolo de servicio de archivos (FSP). Servicio de shell seguro (SSH) El servicio Telnet Protocolo simple de transferencia de correo (SMTP) Protocolo de hora (Time Protocol) Protocolo de ubicacin de recursos Servicio de nombres de Internet Servicio de directorio WHOIS Terminal Access Controller Access Control System para el acceso y autenticacin basado en TCP/IP Protocolo de verificacin de correo remoto Servicios de nombres de dominio (tales como BIND) WHOIS++, Servicios extendidos WHOIS

67 68 69 70 71 72 73 73 79 80 88 95 101 102/tcp 105 107 109 110 111

bootps bootpc tftp gopher netrjs-1 netrjs-2 netrjs-3 netrjs-4 finger http kerberos supdup hostname iso-tsap csnet-ns rtelnet pop2 pop3 sunrpc

Servicios del Protocolo Bootstrap o de inicio (BOOTP); tambin usado por los servicios del protocolo de configuracin dinmica de host (DHCP). Cliente bootstrap (BOOTP); tambin usado por el protocolo de configuracin dinmica de host (DHCP) Protocolo de transferencia de archivos triviales (TFTP) Bsqueda y recuperacin de documentos de Internet Gopher Servicio de trabajos remotos Servicio de trabajos remotos Servicio de trabajos remotos Servicio de trabajos remotos Servicio Finger para informacin de contacto de usuarios Protocolo de transferencia de hipertexto (HTTP) para los servicios del World Wide Web (WWW) Sistema de autenticacin de redes Kerberos Extensin del protocolo Telnet Servicios de nombres de host en mquinas SRI-NIC Aplicaciones de redes del Entorno de desarrollo ISO (ISODE) Servidor de nombres de mailbox; tambin usado por el servidor de nombres CSO Telnet remoto Protocolo Post Office versin 2 Protocolo Post Office versin 3 Protocolo de Llamadas de procedimientos remotos (RPC) para la ejecucin de comandos remotos, utilizado por Sistemas de archivos de red (Network Filesystem, NFS) Protocolos de autenticacin y Ident Servicios del protocolo de transferencia de archivos seguros (SFTP) Servicios de rutas de Unix-to-Unix Copy Protocol (UUCP)

113 115 117

auth sftp uucp-path

119 123 137 138 139 143 161 162 163 164 174 177 178 179 191 194 199 201 202 204 206 209 210

nntp ntp netbios-ns netbios-dgm netbios-ssn imap snmp snmptrap cmip-man cmip-agent mailq xdmcp nextstep bgp prospero irc smux at-rtmp at-nbp at-echo at-zis qmtp z39.50

Protocolo de transferencia para los grupos de noticias de red (NNTP) para el sistema de discusiones USENET Protocolo de tiempo de red (NTP) Servicios de nombres NETBIOS utilizados en Red Hat Enterprise Linux por Samba Servicios de datagramas NETBIOS utilizados en Red Hat Enterprise Linux por Samba Servicios de sesin NETBIOS utilizados en Red Hat Enterprise Linux por Samba Protocolo de acceso a mensajes de Internet (IMAP) Protocolo simple de administracin de redes (SNMP) Traps para SNMP Protocolo comn de administracin de la informacin (CMIP) Protocolo comn de administracin de la informacin (CMIP) Cola de transporte de correos electrnicos MAILQ Protocolo de control del gestor de pantallas X (XDMCP) Servidor de ventanas NeXTStep Border Gateway Protocol Servicios de sistemas de archivos distribuidos Prospero Internet Relay Chat (IRC) SNMP UNIX Multiplexer Enrutamiento AppleTalk Enlace de nombres AppleTalk Echo AppleTalk Zona de informacin AppleTalk Protocolo de transferencia rpida de correo (QMTP) Base de datos NISO Z39.50

213 220 245 347 363 369 370 372 389 427 434 435 443 444 445 464 468 487 488 496 500 535

ipx imap3 link fatserv rsvp_tunnel rpc2portmap codaauth2 ulistproc ldap svrloc mobileipagent mobilip-mn https snpp microsoft-ds kpasswd puertos saft gss-http pim-rp-disc isakmp iiop

El protocolo de intercambio de paquetes entre redes (IPX), es un protocolo de datagramas usado comnmente en ambientes Novell Netware Protocolo de acceso a mensajes de Internet versin 3 Servicio LINK / 3-DNS iQuery Servicio de administracin de cintas y archivos FATMEN Tnel RSVP Portmapper del sistema de archivos Coda Servicios de autenticacin del sistema de archivos Coda UNIX LISTSERV Protocolo Lightweight de acceso a directorios (LDAP) Protocolo de ubicacin de servicios (SLP) Agente mvil del Protocolo Internet Gestor mvil del Protocolo Internet (IP) Protocolo de transferencia de hipertexto seguro (HTTP) Protocolo simple de Network Paging Bloque de mensajes de servidor (Server Message Block, SMB) sobre TCP/IP Servicios Kerberos de cambio de contraseas y llaves Protocolo de gestin de llaves de sesiones Photuris Protocolo simple de transferencia de archivos asncrono (SAFT) Servicios de seguridad genrica (GSS) para HTTP Punto de descubrimiento rendezvous (RP-DISC) para servicios del protocolo de multidifusin independiente (PIM) Protocolo de gestin de llaves y asociacin de seguridad de Internet, Internet Security Association and Key Management Protocol (ISAKMP) Internet Inter-Orb Protocol (IIOP)

538 546 547 554 563 565 587 610 611 612 631 636 674 694 749 750 765 767 873 992 993 994 995

gdomap

GNUstep Distributed Objects Mapper (GDOMAP)

dhcpv6-client Cliente DHCP, Protocolo de configuracin dinmica de host, versin 6 dhcpv6Servicio DHCP, protocolo de configuracin dinmica server de host, versin 6 puertos Protocolo de control de flujo de media en tiempo real (RTSP) nntps Protocolo de transferencia para los grupos de noticias de red sobre Secure Sockets Layer (NNTPS) whoami Listado de ID de usuarios de whoami submission npmp-local npmp-gui hmmp-ind ipp ldaps Agente de entrega de mensajes de correo (MSA) Protocolo de gestin de perifricos de red (NPMP) local / Sistema de colas distribuidas (DQS) GUI del protocolo de gestin de perifricos de red (NPMP) / Sistema de colas distribuidas (DQS) HyperMedia Management Protocol (HMMP) Indication / DQS Protocolo de impresin de Internet (IPP)

Protocolo Lightweight de acceso a directorios sobre capas de enchufes seguras (LDAPS) acap Protocolo de configuracin de acceso a la aplicacin (ACAP) ha-cluster Servicios de latidos (heartbeat) para Clusters de alta disponibilidad kerberos-adm Administracin de base de datos Kerberos versin 5 (v5) 'kadmin' kerberos-iv Servicios Kerberos versin 4 (v4) webster phonebook rsync telnets imaps ircs pop3s Diccionario de red Libreta de telfonos de red Servicios de transferencia de archivos rsync Telnet sobre Capas de enchufes seguras (TelnetS) Protocolo de acceso a mensajes de Internet sobre Capas de enchufes seguras (IMAPS) Internet Relay Chat sobre Capas de enchufes seguras (IRCS) Protocolo de oficina de correos versin 3 sobre Capa de enchufe segura (POP3S)

Pueden verse ms en: http://web.mit.edu/rhel-doc/4/RH-DOCS/rhelsg-es-4/ch-ports.html