Está en la página 1de 21

Universidad Catlica de Salta Arquitectura de Firewalls

Lic. 1orge Alberto Jillafae Pgina 1 de 21


Indice

Indice ............................................................................................................................ 1
Objetivos ....................................................................................................................... 2
Introduccin .................................................................................................................. 3
Conceptos Generales ................................................................................................ 3
Tipos y diseos de Firewalls ......................................................................................... 5
Usos frecuentes, problemas y diseos bsicos ......................................................... 5
Tipos bsicos............................................................................................................. 5
Arquitectura ............................................................................................................... 6
De dos bases ......................................................................................................... 7
Cmo se compromete la seguridad en esta configuracin ..................................... 8
Servicios................................................................................................................. 9
Firewall como servidor bastin ............................................................................... 9
Firewall como servidor de bastin con dos interfaces de red ................................ 11
Dos firewalls y dos DMZ ....................................................................................... 12
Subredes Seleccionadas ...................................................................................... 13
Compuertas a nivel de aplicacin ......................................................................... 14
Arquitecturas no recomendadas ................................................................................. 16
Estado actual en el mercado ....................................................................................... 17
Conclusiones .............................................................................................................. 18
Bibliografa y fuentes de Informacin .......................................................................... 19
Bibliografa .............................................................................................................. 19
Internet ( URL ) ........................................................................................................ 19
Acrnimos ................................................................................................................... 20
Glosario ...................................................................................................................... 21

Universidad Catlica de Salta Arquitectura de Firewalls


Lic. 1orge Alberto Jillafae Pgina 2 de 21
Objetivos

A travs de la realizacin de la presente monografa se buscaron los siguientes objetivos:

Que el lector se introduzca en el concepto de firewalls. Esto incluye entender como funcio-
na, para que sirve y el porqu de su necesidad.
Que el lector tome conciencia de la necesidad en lo que a seguridad respecta del uso de
barreras de proteccin a partir de que todas las redes corporativas de una organizacin hoy
por hoy se encuentran conectadas al mundo exterior a travs de Internet, y por ende ex-
puestas a mltiples intentos de accesos no autorizados.
Que el lector reconozca los diferentes tipos de firewalls en cuanto al nivel que protegen
El tema central de la presente, que el lector se informe de las diferentes configuraciones y
arquitecturas que se pueden establecer mediante el uso de los firewalls, como as tambin
mostrarle ventajas y desventajas de cada una de ellas. Tambin incluyo en este punto una
serie de consejos en cuanto a configuracin, que si bien para un administrador experimen-
tado puede resultar triviales, no dejan de ser relevantes como carcter informativo y de re-
ferencia para aquel que se inicia en este tema.
Por ltimo, dar una breve idea del estado de este tema como producto en el mercado.

Universidad Catlica de Salta Arquitectura de Firewalls


Lic. 1orge Alberto Jillafae Pgina 3 de 21
Introduccin

Conceptos Cenerales

Muchos de los problemas de seguridad que aparecieron con la interconexin de redes en el
surgimiento de Internet pueden ser remediados o atenuados mediante el uso de determinadas
tcnicas y controles. Con un firewall podemos implementar un nivel de seguridad apropiado
permitiendo al mismo tiempo el acceso a los vitales servicios de Internet. Un firewall es un sis-
tema o un grupo de sistemas que implementan una poltica de control de acceso entre dos o
ms redes. Podemos imaginarlo como compuesto por dos grandes mdulos; uno destinado a
bloquear los accesos y el otro a permitirlos. El firewall constituye la herramienta pero se des-
prende que debemos tener muy claro que tipo de control de acceso debemos implementar, y a
su vez esto constituye un subconjunto de la poltica de seguridad de la compaa.

El firewall proporciona un nico check-point que preserva a la intranet del ataque de intrusos
que pudieran accederla. Nos permite monitorear la seguridad a travs de sus alarmas y logs,
los cuales deben ser revisados peridicamente pues debemos poder determinar hipotticos in-
tentos de acceso ya que el mismo firewall puede ser violado y una vez que esto sucede esta-
mos sin proteccin. Como agregados a su funcin primordial los firewalls proveen dos funcio-
nes extras; el servicio de NAT-Network Address Translator que permite que un servidor de mi
intranet se presente en Internet con un nmero de IP vlido sin necesidad de reconfigurarlo, y
por otro lado ofrece un punto de logeo y monitoreo del uso de Internet en cuanto a requerimien-
tos para poder determinar anchos de bandas, problemas de saturacin del vnculo, etc..

Como se dijo un firewall es parte de una poltica y no podemos dejarle librada toda la respon-
sabilidad cuando tenemos accesos de tipo PPP por ejemplo, o un empleado divulga la informa-
cin; este tipo de casos estn denotando la existencia de back-doors evidentemente muy ape-
tecibles como objetivo de cualquier ataque. Otro punto importante es que a pesar de que la in-
formacin pase por un firewall este no nos puede garantizar 100% la ausencia de virus, pues
su inmensa variedad hace imposible que se pueda analizar cada uno de los paquetes que pa-
san a travs de l. Por ltimo, si bien en la actualidad el tema est lo suficientemente pulido,
existen aplicaciones que pueden estar mal diseadas y que permiten que se puedan transmitir
paquetes no deseados encapsulados dentro de los mensajes que trafican; este era el caso de
viejas versiones del sendmail, por ejemplo. Por todo esto la utilizacin de un firewall no consti-
tuye la panacea para resolver todos los problemas de seguridad de Internet.

Podemos citar algunos ejemplos de usos ms comunes de firewalls. La proteccin ante la utili-
zacin de servicios vulnerables; expusimos la vulnerabilidad de algunas aplicaciones, entre las
cuales podemos encontrar en la actualidad el NFS y NIS, por dar un ejemplo. Este tipo de ser-
vicios son vulnerables a los ataques; no podemos optar por deshabilitarlos pues son muy tiles
en la intranet con lo cual con la utilizacin de un firewall estaramos filtrando todos los accesos
externos a este tipo de servicios. Por otro lado se puede administrar un control de acceso; esto
se traduce en implementar polticas que permitan el acceso a algunos servidores y a otros no.
Adems la utilizacin de un firewall nos permite perfeccionar el control de la seguridad en cuan-
to a su centralizacin, pues adems de todo el subsistema de auditoria podramos concentrar
todos los add-on de software de seguridad en un punto central en lugar de implementarlo en
cada hosts ( sumando a esto el mantenimiento que ello implica ). Otras soluciones de este tipo
como por ejemplo Kerberos obligan a hacer actualizaciones hosts por hosts y si bien en algu-
nos casos son las soluciones ms adecuadas los firewalls tienden a simplificar esta tarea. Co-
mo una actividad secundaria podemos citar el hecho de que si todo el trfico hacia Internet pa-
Universidad Catlica de Salta Arquitectura de Firewalls


Lic. 1orge Alberto Jillafae Pgina 4 de 21
sa por un firewall esto me permite a partir de su accounting determinar el grado de uso del
vnculo de red y proyectar crecimiento; este ltimo punto debe estar soportado por otras herra-
mientas.

Universidad Catlica de Salta Arquitectura de Firewalls


Lic. 1orge Alberto Jillafae Pgina 5 de 21
1ipos y diseos de Firewalls

Usos frecuentes, problemas y diseos bsicos

La desventaja ms obvia del uso de firewalls es que puede bloquear servicios que los usuarios
quieran usar, tal como TELNET, FTP, X WINDOWS, NFS, etc.. De todas maneras este tipo de
restricciones no son atribuciones solo aplicables en los firewalls pues puede ser implementada
en los hosts localmente. En realidad se debe intentar conseguir un balance que satisfaga los
requerimientos de seguridad como las necesidades de los usuarios.

Otro punto ha tener muy en cuenta y que ms de una vez se deja de lado es que la configura-
cin de un firewall si bien tiene muchsimas ventajas del lado de un nico punto de control de la
seguridad, ese punto puede constituir un cuello de botella para el trfico de red.

Cuando se decide instalar un firewall el primer y ms importante punto tiene que ver con la de-
cisin poltica de cmo se quiere operar el sistema: todo aquellos no especificado se bloquea;
este poltica pretende que el firewall bloquee todo el trfico, y las aplicaciones que se deseen
dejar pasar debern ser especificadas una por una y con el razonable fundamento del caso.
Este tipo de decisin es altamente recomendada, pues crea un ambiente muy seguro en el cual
solo algunos servicios selectos son soportados. Por el otro lado y totalmente opuesta a la
primera se encuentra la poltica de permitir todo aquello que no este negado. Esta poltica su-
pone que el firewall dejar pasar todo el trfico salvo aquellos servicios que se han considerado
peligrosos y que se configurarn caso por caso. Este tipo de decisin crea un ambiente ms
flexible, con ms servicios disponibles para los usuarios.

Probablemente la decisin tenga ms que ver con cuestiones polticas que con un diseo
tcnico.
El segundo punto es determinar el nivel de auditoria y control a implementar y por ltimo el te-
ma financiero. En este aspecto, el financiero, podemos encontrar soluciones que no nos cos-
tarn nada en cuestin de dinero y aquellas que rondan los U$S 100000, pero no solo debe-
mos tener en cuenta este costo inicial sino el costo de mantenimiento.

1ipos bsicos

Conceptualmente hay dos tipos de firewalls, nivel de red y nivel de aplicacin.


Los firewalls de nivel de red toman sus acciones en funcin del origen, la direccin de destino y
el port en cada paquete IP. Los modernos firewalls de este tipo se han sofisticado y mantienen
informacin respecto del estado de las conexiones que estn activas a travs de l, etc.. Este
tipo de firewall tienden a ser muy rpidos y son transparentes al usuario.

Los firewalls de nivel de aplicacin por lo general son hosts corriendo proxy servers, que no
permiten el trfico directo entre redes, manteniendo una elaborada auditoria y logeo del trfico
que pasa a travs de l. Este tipo de firewall puede ser utilizado para realizar las tareas relati-
vas al NAT, debido a que como las comunicaciones van de un lado hacia el otro se puede en-
mascarar la ubicacin original. Este tipo tiende a proveer una auditora ms detallada y un ma-
yor grado de seguridad que los de nivel de red.

Universidad Catlica de Salta Arquitectura de Firewalls


Lic. 1orge Alberto Jillafae Pgina de 21
Los routers de filtro de paquetes, que corresponden al primer grupo, realizan una decisin del
tipo pasa no pasa para cada paquete que recibe. El router examina cada datagrama para de-
terminar si se aplican sus reglas de filtrado. Las reglas de filtrado se basan en la informacin
contenida en el header del paquete. Esta informacin consiste en el IP de origen, la IP de des-
tino, el protocolo encapsulado ( TCP, UDP, ICMP ), el port TCP/UDP de origen y de destino,
etc. Toda esta informacin es controlada contra las reglas de filtrado definidas, pudiendo ser
enrutada si existe una regla que lo permite, descartada si una regla as lo indica y si no existe
regla comparable un parmetro previamente configurado determinar si el paquete pasa o no.

Dentro de este tipo estn los que filtran en funcin del servicio involucrado. Esto es posible
pues hay muchos servicios para los cuales estn normalizados los ports en los que escuchan,
por lo cual se pueden definir reglas que involucren el port, definiendo la aceptacin o el recha-
zo.

Por otro lado frente a diferentes ataques que se fueron produciendo surgieron otros firewalls
cuyas reglas son independientes del servicio; estas reglas exigen un anlisis ms detallado que
involucra el ruteo, las opciones de IP, verificacin de los fragmentos de desplazamiento y pun-
tos por el estilo.

La mayora de los firewalls implementados sobre Internet estn desarrollados sobre el concep-
to de filtrado de paquetes. Este tipo de firewalls no son difciles de configurar debido a que su
software contiene una serie de reglas previamente configuradas y fundamentalmente son
transparentes al usuario y no exigen instalar ningn software adicional en los hosts.

Por otro lado cuando se debe customizar de manera tal de adaptarlo a aplicaciones especficas
de cada empresa la tarea se puede hacer algo compleja pues exige una figura de administra-
dor que debe conocer los servicios de Internet, los distintos encabezados de los paquetes, los
distintos valores que se espera encontrar en los campos a analizar. Si se requiere un filtrado
complejo, las reglas pueden volverse demasiado largas con la consecuencia de una difcil ad-
ministracin y seguimiento.

Como dijimos los filtros a nivel de aplicacin permiten aplicar un esquema de seguridad ms
estricto. En estos firewalls se instala un software especfico para cada aplicacin a controlar (
un proxy server ); de hecho si no se instala los servicios relativos a la aplicacin las comunica-
ciones no podrn ser enrutadas, punto que no se convierte en trivial pues de esta forma esta-
mos garantizando que todas aquellas nuevas aplicaciones desconocidas no podrn acceder a
nuestra red. Otro ventaja que trae el uso de este tipo de firewall es que permite el filtrado del
protocolo, por ejemplo se podra configurar el proxy server que atiende el FTP para que pueda
aceptar conexiones pero denegar el uso del comando put asegurando de esta forma que no
nos puedan escribir ningn archivo o que impida navegar por el FS; esto es lo que hay se co-
noce como un FTP annimo

Este tipo de configuracin incrementa los costos de la plataforma sobre la cual funcionar el fil-
tro.

Algunos autores reconocen otro nivel de aplicacin de firewall que es nivel de circuito, que en
realidad no procesa ni filtra el protocolo, sino que simplemente establece un circuito entre ori-
gen y destino.

Arquitectura

Universidad Catlica de Salta Arquitectura de Firewalls


Lic. 1orge Alberto Jillafae Pgina 7 de 21
Las tecnologas de filtrado de paquetes que se emplean en los firewalls constituyen una mane-
ra eficaz y general para controlar el trfico en la red. Tales tecnologas tienen la ventaja de no
realizar ningn cambio en las aplicaciones del cliente y el servidor, pues operan en las capas IP
y TCP, las cuales son independientes de los niveles de aplicacin segn se establece en el
modelo OSI. Por otro lado, los enfoques de la filtracin de paquetes no han declarado muchos
requerimientos de seguridad, por la informacin incompleta con la que trabajan. Slo la infor-
macin de las capas de transporte y red, como las direcciones IP, los nmeros de puerto y las
banderas TCP estn disponibles para las decisiones de filtracin. En muchas implementacio-
nes de los filtros de paquete, el nmero de reglas puede ser limitado; adems, mientras mayor
sea este nmero, habr una alta penalizacin en el desempeo, a causa del proceso adicional
necesario para las reglas complementarias.

En vista de la falta de informacin de contexto, ciertos protocolos como el UDP y RPC no pue-
den filtrarse con efectividad. Adems, en muchas implemetaciones, faltan los mecanismos de
intervencin y alerta. Muchas de estas implementaciones de filtros pueden requerir un alto nivel
de comprensin de los protocolos de comunicacin y su comportamiento, cuando se utilizan
por diferentes aplicaciones.

Los dispositivos de filtracin de paquetes, casi siempre se mejoran mediante otros tipos dispo-
sitivos llamados barreras de proteccin. Las barreras de proteccin se llaman as porque ope-
ran en las capas superiores del modelo OSI y tienen informacin completa sobre las funciones
de la aplicacin en la cual basan sus decisiones. Estos constituyen la mayora de los firewalls
tal cual hoy los conocemos.

Existen varios mtodos para construir una barrera de proteccin. Las organizaciones con talen-
to en la programacin y recursos financieros suficientes, en general prefieren usar un mtodo
personalizado de barreras de proteccin para proteger la red de la organizacin. Si se ejecuta
de manera adecuada, tal vez ste sea el mtodo ms eficaz y por supuesto el ms costoso.

Otras organizaciones prefieren usar los productos comerciales existentes, as como personali-
zarlos y configurarlos para cumplir la poltica de seguridad de red de esas organizaciones.

De aqu en adelante iremos describiendo las distintas arquitecturas con las cuales se puede
implementar una barrera de proteccin para nuestra red

De dos bases

Un firewall de dos bases no es nada ms y nada menos que un firewall con dos interfaces de
red, que permite asilar una red interna de una red externa no confiable. Como este anfitrin no
enva ningn trfico TCP/IP, bloquea por completo cualquier trfico IP entre las redes no con-
fiables interna y externa.

Muchos servicios Internet son en esencia de almacenaje y envo. Si estos servicios se ejecutan
en el anfitrin, pueden configurarse para transmitir servicios de aplicacin desde una red hacia
la otra. Si los datos de aplicacin deben cruzar la barrera, es factible configurar los agentes
emisores de aplicacin para hacer la ejecucin en el anfitrin. Estos agentes son programas
especiales, utilizados para enviar solicitudes de aplicacin entre dos redes conectadas. Otro
mtodo es permitir que los usuarios se conecten al anfitrin de dos bases y despus tengan
accesos a los servicios externos desde la interfaz de red externa del anfitrin.

Si se usan los emisores de aplicacin, el trfico de la aplicacin no puede cruzar la barrera, a
menos que el emisor de aplicacin se ejecute y se configure en el servidor de barrera de pro-
Universidad Catlica de Salta Arquitectura de Firewalls


Lic. 1orge Alberto Jillafae Pgina 8 de 21
teccin. Esta accin es la implementacin de la poltica si no est permitido de manera expre-
sa, est prohibido. Si se autoriza a los usuarios conectarse en forma directa a la barrera de
proteccin, puede comprometerse la seguridad de sta porque la barrera es el punto central de
la conexin entre la red externa y la interna. Por definicin, la barrera de este tipo est en zona
de riesgo. Si el usuario selecciona una contrasea dbil o compromete su cuenta de usuario (
al proporcionar la contrasea ), la zona de riesgo quiz se extienda a la red interna y por lo tan-
to eliminar el objetivo de la barrera.

Si se mantienen registros adecuados de la conexiones de usuarios, es posible rastrear las co-
nexiones no autorizadas a la barrera, en el momento que se descubra una brecha de seguri-
dad. En cambio si se impide que los usuarios se conecten en forma directa a la barrera, cual-
quier intento de conexin directa se registrar como algo notorio y como una brecha potencial
de seguridad.

Este tipo de firewall, con una interfaz mirando a cada red, es la configuracin bsica usada en
las barreras de proteccin. Los aspectos delicados son que el enrutamiento se encuentra in-
habilitado y que la nica ruta entre los segmentos de red es a travs de una funcin de capa de
aplicacin. Si el enrutamiento se ha configurado de manera errnea por accidente ( o por dise-
o ) para permanecer activo, se ignorarn las funciones de la capa de aplicacin de las barre-
ras de proteccin.

La mayora de estas configuraciones estn montadas sobre mquinas UNIX. En algunos im-
plementaciones de este sistema operativo, las funciones de enrutamiento se activan de manera
predeterminada, por lo cual es importante verificar que dichas funciones estn inhabilitadas.



Cmo se compromete la seguridad en esta configuracin

La mayor amenaza ocurre cuando el intruso obtiene el acceso directo de conexin al firewall.
La conexin siempre se da mediante una aplicacin apoderada del servidor. Las conexiones
desde redes externa requieren una autenticacin ms rigurosa.

Si el usuario obtiene acceso al servidor, la red interna puede ser invlida. Estas invasiones
pueden tener cualquiera de las siguientes fuentes:

Autorizaciones dbiles en el sistema de archivos
Volmenes montados en NFS en la red interna
Programas de respaldo de red que puedan restituir autorizaciones excesivas
Internet
FIREWALL
Universidad Catlica de Salta Arquitectura de Firewalls


Lic. 1orge Alberto Jillafae Pgina 9 de 21
El uso de scripts administrativos que no se hayan asegurado de manera adecuada
Comprensin del sistema a partir de antiguos niveles de revisin del software y notas que
no se hayan asegurado de manera adecuada
La instalacin de antiguos kernels de sistema operativo que activen el envo IP o la instala-
cin de versiones de antiguos kernels de sistema operativo con problemas de seguridad
conocidos
El uso de facilidades de Berkeley tal como el .rhosts o el hosts.equiv que definen equiva-
lencia entre servidores o usuarios de distintos servidores, por lo cual se inhabilita el sistema
de autenticacin.

Si el servidor firewall falla, la red interna no tendr defensa ante futuros intrusos, a menos que
el problema se detecte y corrija con rapidez.

Como se mencion antes, la variable ipforwarding del kernel de UNIX controla el desempeo
del enrutamiento IP. Si el intruso obtiene suficiente privilegios del sistema, podr cambiar el va-
lor de esta variable y habilitar el envo IP, con lo cual se ignorar el mecanismo de la barrera.
Servicios
Adems de inhabilitar el envo de IP, se debe eliminar todos los programas y servicios que
puedan ser peligrosos en las manos de un intruso. Algunos de las precauciones a tomar son
las siguientes:

Eliminar las herramientas de programacin: compiladores, enlazadores, etc..
Eliminar los programas con autorizaciones de SUID y SGID que no se necesiten o no se
comprendan. Si los programas no funcionan, siempre es factible colocar de nuevo aquellos
que son esenciales.
Utilizar particiones en el disco para que, en caso de haber una invasin para llenar todo el
espacio del disco en la particin, la invasin queda confinada en dicho espacio.
Eliminar todas las cuentas especiales y del sistema que no necesite
Eliminar los servicios de red que no se requieran. Utilizar el comando netstat a para verifi-
car que solo tiene los servicios precisos. Editar los archivos de servicio /etc/inetd.conf para
eliminar las definiciones de servicio innecesarias.

Firewall como servidor bastin

Un firewall es un servidor de barrera de proteccin que es determinante para la seguridad en la


red. Es el servidor central para la seguridad en la red de una organizacin y, por su funcin,
debe estar en una buena fortaleza. Esto significa que el firewall lo monitorean con detenimiento
los administradores de la red. La seguridad del sistema y del software del servidor debe revi-
sarse con regularidad. Asimismo, es preciso observar los registros de acceso en busca de
cualquier brecha potencial de seguridad y de un intento de asalto al servidor.

La configuracin antes comentada es un caso especial del firewall. Como los firewalls actan
como un punto de interfaz para una red externa no confiable, casi siempre estn sujetos a in-
vasiones. La distribucin ms simple es aquella en la que el servidor constituye el primer y ni-
co punto de entrada para el trfico de una red externa.

En vista de que el firewall es determinante para la seguridad de la red interna, por lo regular se
coloca otra primera lnea de defensa entre la red externa no confiable y la red interna. Esta
lnea casi siempre la proporciona un router de seleccin. En este esquema el firewall tiene una
sola interfaz de red conectada a la red interna y el enrutador de seleccin tiene dos, una a In-
ternet y la otra a la red interna enrutando todo el trfico hacia el bastin.
Universidad Catlica de Salta Arquitectura de Firewalls


Lic. 1orge Alberto Jillafae Pgina 1 de 21
Se debe configurar el router para que enve primero hacia el firewall todo el trfico recibido de
las redes externas para la red interna. Antes de enviar el trfico hacia este servidor, el router
aplicar sus reglas de filtro en el trfico del paquete. Slo el trfico de red que pase tales reglas
ser dirigido hacia el firewall; el resto del trfico ser rechazado. Esta arquitectura da un mayor
nivel de confianza en la seguridad de la red. Un intruso necesita penetrar primero en el router
de seleccin y, si lo logra, debe enfrentarse con el firewall.

El firewall utiliza funciones a nivel de aplicacin para determinar si las solicitudes hacia y desde
la red externa se aceptarn o negarn. Si la solicitud pasa el escrutinio del firewall, se enviar a
la red interna para el trfico de entrada. Para el trfico de salida ( trfico hacia la red externa ),
las solicitudes se enviarn al router de seleccin.

Algunas organizaciones prefieren que su proveedor de acceso a Internet, IAP, proporcione las
reglas de los filtros de paquetes para el trfico en red enviado a la red de dicha organizacin. El
filtro de paquetes an acta como la primera lnea de defensa, pero se debe confiar al IAP el
mantenimiento adecuado de las reglas del filtro de paquetes.

Otro punto a tener en cuenta es la seguridad del router de seleccin. Sus tablas de enrutamien-
to deben configurarse para enviar el trfico externo al firewall. Dichas tablas necesitan estar
protegidas contra las invasiones y los cambios no autorizados. Si la entrada a las tablas se
cambia para que el trfico no se enve al firewall sino en forma directa a la red conectada lo-
calmente, el firewall se ignorar.

Adems si el router responde a los mensajes ICMP (protocolo Internet de mensajes de control)
de redireccin, ser vulnerable a los falsos mensajes ICMP que enve el intruso. Por lo tanto,
debe inhabilitarse la respuesta a los mensajes ICMP de redireccin. Se deben eliminar los ser-
vicios de red innecesarios y utilizar el enrutamiento esttico. En especial, asegurarse que los
demonios routed y gated no se encuentren en ejecucin; de lo contrario, las rutas sern
anunciadas al mundo exterior. Por otro lado, realizar entradas permanentes en la tabla de
cach ARP para sealar al firewall.

Entre los servicios a inhabilitar se encuentran: ARP, redirecciones ICMP, ARP apoderado,
MOP y mensajes ICMP no alcanzables, TELNET. En una operacin ARP normal, las tablas
ARP de entrada se construyen de manera dinmica y expiran despus de un tiempo determi-
nado. Incializar en forma manual la tabla cache ARP para el router y el firewall. Las entradas
ARP realizadas en forma manual nunca expiran y actan como entradas estticas. Con el
procesamiento ARP inhabilitado en el router, ste no proporcionar su direccin de hardware.




Internet
FIREWALL
Server
Universidad Catlica de Salta Arquitectura de Firewalls


Lic. 1orge Alberto Jillafae Pgina 11 de 21
Firewall como servidor de bastin con dos interfaces de red

Bajo esta configuracin una interfaz est conectada a la red exterior y la otra interfaz lo est a
la red interior. Uno de los puertos del router ( el de la primera lnea de defensa ) est conec-
tado a la red interior y el otro lo est a Internet. Ntese que hablamos de red interior, exte-
rior e Internet; aqu surge el nuevo concepto de red exterior que es la que se ubica entre el fi-
rewall y el router.

De nuevo el router debe configurarse para enviar todo el trfico recibido de las redes externas
para la red interna hacia la interfaz de red interior del bastin. Antes de enviar el trfico, el
router aplicar sus reglas de filtro de paquetes. Slo el trfico de red que pase estas reglas se
dirigir hacia el firewall; el resto habr de rechazarse. Un intruso debe penetrar primero en el
router y, si lo logra, se enfrentar al firewall.

No existen servidores en la red exterior ms que el router y una de las interfaces de red del fi-
rewall. La red exterior forma una zona desmilitarizada DMZ. Ya que la DMZ slo tiene dos co-
nexiones de red, puede reemplazarla un enlace dedicado punto a punto. Este hecho dificultar
ms conectarse con este enlace mediante analizadores de protocolos. Si se utiliza una red Et-
hernet o token ring para la DMZ, una estacin de trabajo que coloque su interfaz de red en el
modo promiscuo puede capturar el trfico de la red y tener acceso a los datos delicados. Por lo
general, las interfaces de red slo leen el paquete que se le dirija en forma directa. En el modo
promiscuo, sin embargo, dichas interfaces leen todos los paquetes que ve la interface de red.
Todos los servidores de la organizacin ( excepto el firewall ) estn conectados a la red interior.

Esta configuracin tiene otra ventaja sobre esa configuracin de red en la cual slo se emplea-
ba una interface de red del firewall. Esta ventaja es que el firewall no se puede ignorar al atacar
las tablas de enrutamiento de los routers. El trfico de la red debe pasar por este firewall para
llegar a la red interior.



Universidad Catlica de Salta Arquitectura de Firewalls


Lic. 1orge Alberto Jillafae Pgina 12 de 21

Dos firewalls y dos DMZ

En este caso ambas interfaces de los firewalls se encuentran configuradas. Tres zonas de red
estn formadas en la red interna: la red exterior, la red privada y la red interior.

Existe una red privada entre los firewalls interior y exterior. Una organizacin puede colocar al-
gunos servidores en la red privada y mantener los ms delicados detrs del firewall interior. Por
otra parte, una organizacin quiz desee una seguridad mxima y usar la red privada como
una segunda zona de buffer o DMZ interior, adems de mantener todos los servidores en la red
interior.

Si una empresa quiere proporcionar acceso completo a una gran variedad de servicios, como
FTP annimo ( protocolo de transferencia de archivos ), Gopher y WWW ( World Wide Web ),
puede proveer ciertos servidores de sacrificio en la DMZ exterior. Los firewalls no deben confiar
en ningn trfico generado desde estos servidores de sacrificio.

El router de seleccin debe estar configurado para enviar todo el trfico recibido desde las re-
des externas para la red interna hacia el firewall interior. Antes de mandar el trfico, el router
aplicar las reglas de filtro de paquetes. Slo el trfico de la red que pasa esas reglas se diri-
gir al firewall exterior; el resto ser rechazado. Un intruso debe penetrar primero el router y, si
lo hace, se enfrentar al firewall exterior.

Sin que le importe violar las defensas de la red exterior, el intruso penetra en le firewall interior.
Por ello, si los recursos lo permiten, tal vez se desee dar a cada firewall la responsabilidad de
un grupo administrativo diferente. Esto asegura que los errores de un grupo de administradores
Internet
FIREWALL
Server
DMZ
Router de
Seleccin
Red Interna
Red
Exterior
Red
Externa
Universidad Catlica de Salta Arquitectura de Firewalls


Lic. 1orge Alberto Jillafae Pgina 13 de 21
no los repitan los dems administradores. Tambin se debe garantizar que los dos grupos
compartan informacin acerca de debilidades descubiertas en los firewalls.

Otro tipo de configuracin de red se obtiene al utilizar dos firewalls, pero slo una interfaz de
red de cada anfitrin. Un segundo router llamado el ahogador se agrega entre la DMZ y las
redes interiores. Se debe asegurar que los firewalls no se ignoren y que los routers usen rutas
estticas.

A partir de estos elementos, firewalls con una o dos interfaces de red y routers, se pueden lo-
grar diferentes configuraciones que surgen de la combinacin de ellos. Cuando slo est en
uso una interfaz de red del firewall, se deben utilizar rutas estticas en los routers y configurar
bien las entradas de las tablas de enrutamiento para asegurar que los firewalls no se ignoren.

Subredes Seleccionadas

Internet
FIREWALL
EXTERIOR
Server
DMZ Exterior
Red
Exterior
Red
Externa
Router de
Seleccin
FIREWALL
INTERIOR
DMZ Interior
Red Privada
Red Interior
Red Interna
Universidad Catlica de Salta Arquitectura de Firewalls


Lic. 1orge Alberto Jillafae Pgina 14 de 21
En algunas configuraciones de barreras de proteccin, tanto la red externa no confiable como
la red interna pueden tener acceso a una red aislada; sin embargo, ningn trfico de red puede
fluir entre ambas redes a travs de la red aislada. El aislamiento de la red se lleva a cabo me-
diante una combinacin de routers de seleccin configurados de manera adecuada. Dicha red
se conoce como red seleccionada.

Algunas redes seleccionadas pueden tener compuertas a nivel de aplicacin, que actan como
firewalls y permiten el acceso interactivo a los servicios exteriores. Los routers se utilizan para
conectar a Internet con la red interna. El firewall es una compuerta de aplicacin y rechaza todo
el trfico que no se acepte de manera expresa.

Como la nica manera de tener acceso a la subred seleccionada es mediante el firewall, es
bastante difcil que el intruso viole esta subred. Si la invasin viene por Internet, el intruso debe
volver a configurar el enrutamiento en Internet, la subred seleccionada y la red interna para te-
ner libre acceso ( lo cual se logra con dificultad si los routers permiten el acceso slo a los ser-
vidores especficos ). Si alguien violara al firewall , el intruso forzara su entrada hacia uno de
los anfitriones en la red interna y despus el router, para tener acceso a la subred selecciona-
da. Este tipo de invasin de tipo aislamiento es difcil de lograr sin desconectarse o sin activar
alguna alarma.

Como las redes seleccionadas no permiten que el trfico de red fluya entre Internet y la red in-
terna, las direcciones IP de los anfitriones en dichas redes se ocultan unas de otras. Esto per-
mite que una organizacin a la que el NIC ( Centro de Informacin de red ) an no le haya
asignado oficialmente nmeros de red, tenga acceso a Internet mediante servicios de compuer-
tas de aplicacin, proporcionados por el firewall en la subred seleccionada. Si estos servicios
usados con la compuerta de aplicacin estn restringidos, estas limitantes pueden estimular
que la red interna asigne nmeros de red de manera oficial.
Compuertas a nivel de aplicacin

Las compuertas a nivel de aplicacin pueden manejar trfico de almacenaje y envo, as como
trfico interactivo. Dichas compuertas estn programadas para comprender trfico al nivel de
aplicacin del usuario ( capa 7 del modelo OSI ); por lo tanto, pueden proporcionar controles de
acceso a niveles de usuario y de protocolos de aplicacin. Adems, es factible utilizarlas para
mantener un registro inteligente de todos los usos de las aplicaciones. La habilidad para regis-
trar y controlar todo el trfico de entrada y de salida es una de las caractersticas principales de
las compuertas a nivel de aplicacin. Las compuertas por s mismas pueden integrar, si es ne-
cesario, seguridad adicional.

Para cada aplicacin que se transmita, las compuertas a nivel de aplicacin utilizan un cdigo
de propsito especial. Gracias a este cdigo, las compuertas de aplicacin proporcionan un al-
to nivel de seguridad. Para cada nuevo tipo de aplicacin que se agregue a la red y que requie-
ra proteccin, tiene que escribirse un nuevo cdigo de propsito especial; por lo tanto, la ma-
yora de este tipo de compuertas provee un subgrupo limitado de aplicaciones y servicios bsi-
cos.

Para utilizar las compuertas a nivel de aplicacin, los usuarios deben conectarse a la mquina
de la compuerta de aplicacin o implementar un servicio especfico para la aplicacin de cliente
para cada servidor que emplear el servicio. Cada mdulo de compuerta especfica para la
aplicacin puede tener su propio grupo de herramientas de administracin y lenguaje de co-
mandos.

Universidad Catlica de Salta Arquitectura de Firewalls


Lic. 1orge Alberto Jillafae Pgina 15 de 21
Una desventaja de muchas compuertas es que debe escribirse un programa personalizado pa-
ra cada aplicacin. Sin embargo, este hecho tambin es una ventaja en seguridad, pues no se
pueden pasar las barreras de proteccin a menos que haya estipulado una compuerta explcita
a nivel de aplicacin.

El programa personalizado de aplicacin acta como un apoderado que acepta las llamadas
entrantes y las verifica con la lista de acceso de los tipos de solicitudes permitidas. En este ca-
so, se trata de un servidor apoderado de aplicacin. Al recibir la llamada y verificar que sea
permitida, el apoderado enva la solicitud al servidor correspondiente; por lo tanto, acta como
un servidor y como cliente. Trabaja como un servidor para recibir la solicitud entrante y como
un cliente al enviarla. Despus de establecer la sesin, el apoderado de aplicacin funciona
como un relevo y copia los datos existentes entre el cliente que inici la aplicacin y el servidor.
Dado que todos los datos ente el cliente y el servidor los intercepta el apoderado de la aplica-
cin, ste tiene control total sobre la sesin y puede hacer un registro tan detallado como usted
lo requiera.
Universidad Catlica de Salta Arquitectura de Firewalls


Lic. 1orge Alberto Jillafae Pgina 1 de 21
Arquitecturas no recomendadas

En realidad la mayora de los autores y los administradores con experiencia de campo en el
tema de la utilizacin de firewalls como parte de una poltica general de seguridad de una or-
ganizacin establecen una serie de consejos en cuanto a la configuracin tanto de los firewalls
como de los routers de manera tal de no dejar back doors que permitan el ingreso no autoriza-
do y que no podamos rastrear.

Para hablar de arquitecturas no recomendadas seguramente estaremos situados en la defor-
macin de alguna de las expuestas anteriormente.

Entre ellas encontramos por ejemplo la utilizacin de DMZ con servidores con ms de una in-
terfaz de red, de las cuales una apunta a la red interna, o servidores que contengan pools de
mdems para conexiones dial-up y pertenezcan a la red interna.

El primero de los casos se da cuando por razones de nuestro negocio debemos ofrecer servi-
cios a la red externa, con lo cual podemos pensar en ubicar el servidor en una DMZ. Hasta
aqu no hay problema, pero si por alguna razn pensramos en agregar otra tarjeta de red
apunta a la red interna, para servicios de backup centralizado o lo que fuere, estamos gene-
rando un back door, que permite el acceso directo a nuestra red interna obviando el filtrado del
firewall.

El segundo paso, constituye un punto crucial en la proteccin de nuestra red. Hoy por hoy son
necesarias las conexiones dial-up para todo lo que constituye el acceso remoto de nuestro em-
pleados, para tares de mantenimiento, por ejemplo, pero este tipo de acceso debe estar correc-
tamente administrado y centralizado, de manera tal que podamos asegurarnos que todo el
trfico que se genere a partir de esos servidores sea controlado. En el ejemplo planteado basta
con franquear al servidor dedicado a las conexiones dial-up, que por cierto no tiene por que te-
ner todas las medidas de proteccin que puede tener un firewall, para tener acceso a toda la
red interna sin someterse a los filtros de los firewalls.

En realidad se debe considerar como arquitecturas no recomendadas a aquellas que de alguna
u otra forma evitan que el trfico de red se someta al anlisis de un firewall.

Universidad Catlica de Salta Arquitectura de Firewalls


Lic. 1orge Alberto Jillafae Pgina 17 de 21
Estado actual en el mercado

Hoy por hoy en el mercado existen infinidad de proveedores de aplicaciones de firewalls, que
estn complementadas con los esfuerzos por elevar el nivel de seguridad de los distintos sis-
temas operativos.

Estas aplicaciones de firewalls estn disponibles para los distintos sistemas operativos y si bien
en lneas generales todos cumplen bsicamente las mismas funciones, cada proveedor tiene
sus caractersticas particulares que se van igualando de uno a otro con el correr del tiempo y el
desarrollo de los distintos releases.

Entre los productos ms utilizados se encuentran Firewall-1, Pix y Raptor, de las empresas
Chekpoint, Cisco y HP respectivamente.

Indagando un poco en el mercado local se puede comprobar que el producto de Cisco esta
siendo muy utilizado, debido a su integracin nativo en todas aquellas organizaciones que
estn utilizando routers Cisco
Adems de verificar las caractersticas particulares de cada uno se pueden bajar de Internet
versiones de evaluacin para corroborar las distintas facilidades como as tambin observar
como se adapta a la organizacin donde se implementar.
Universidad Catlica de Salta Arquitectura de Firewalls


Lic. 1orge Alberto Jillafae Pgina 18 de 21
Conclusiones

Creo que a lo largo de este trabajo ha quedado demostrado que nuestros problemas no estn
solucionados simplemente con la implementacin de un esquema de firewall; de hecho si en
realidad no forma parte de una poltica de seguridad integral de la organizacin de nada servir
tener la configuracin ms segura en lo que a firewall respecta.

Una vez superado este punto, es decir existe la voluntad poltica dentro de la organizacin de
implementar una poltica de seguridad seria, todo el personal de la misma esta concientizado
de ello y fundamentalmente la ms alta direccin esta impulsando este desafo, es conveniente
pensar en la implementacin de un esquema de firewall.

A partir del hecho ya consumado que constituye la interconectividad a travs de Internet, es
fundamental la utilizacin de filtros debido a que seguramente nuestra organizacin estar
tambin accediendo a los servicios que Internet nos ofrece. Qu arquitectura es la ms apro-
piada tendr que ver seguramente con la criticidad de nuestros servicios, lo valioso de nuestra
informacin, los servicios que ofreceremos y obtendremos de Internet, y de los recursos con los
cuales contemos para llevar adelante este desafo.

Y por ltimo, debemos tener en cuenta que este tema no consiste solo en implementar un fire-
wall y problema resuelto. La importancia operativa es tal que debemos estar constantemente
revisando las polticas, los logs, etc. para poder determinar si estamos siendo vulnerables en
algn aspecto. Por otro lado un firewall, en mi opinin personal debe asemejarse a un antivirus,
el cual si no se actualiza constantemente deja de ser seguro. Tengamos en cuenta que el fire-
wall constituye la puerta de acceso a nuestra informacin vital, por ende a nuestro negocio y
por ltimo a nuestro dinero.
Universidad Catlica de Salta Arquitectura de Firewalls


Lic. 1orge Alberto Jillafae Pgina 19 de 21
Bibliografia y fuentes de Informacin

Bibliografa
Internet y Seguridad en Redes, Karanjit Siyan y Chris Hare, ed. Prentice Hall
Internet ( URL )
www.3com.com
www.scrc.ncsl.nist.gov
www.interhack.com
www.icsa.com
www.cisco.com
www.hp.com
ftp.tis.com
www.netresearch.com

Universidad Catlica de Salta Arquitectura de Firewalls


Lic. 1orge Alberto Jillafae Pgina 2 de 21
Acrnimos

ARP Address Resolution Protocol


DMZ Zona Desmilitarizada
FTP File Transfer Protocol
IAP Internet Access Provider
ICMP Internet Control Messaje Protocol
IP Internet Protocol
NFS Network File System
NIC Network Information Center
NIS Network Information Service
OSI Organization Standars International
RPC Remote Process Control
SGID Switch Group Identification
SUID Switch User Identification
TCP Transmission Control Protocol
UDP User Datagrama Protocol
WWW World Wide Web
Universidad Catlica de Salta Arquitectura de Firewalls


Lic. 1orge Alberto Jillafae Pgina 21 de 21
Closario

Accountig
Registro o contabilidad de las operaciones
Back door
Un agujero de seguridad en un sistema que permite el acceso continuo de un intruso.
Filtrado de paquetes
Caracterstica que permite a un router realizar decisiones del tipo pasa no-pasa para
cada paquete IP, basndose en la informacin contenida en el header del mismo.
Firewall
Sistema o grupo de ellos enfocados hacia una poltica de control de acceso entre la red
de la organizacin e Internet.
Datagrama
Paquete de IP que contiene toda la informacin de control de la conexin y el segmento
de datos TCP/UDP
Dial-up
Acceso por la red telefnica.
Header
Encabezado de los paquetes de IP.
Hosts
En lneas generales, servidor conectado a la red
Proxy Server
Servicio de propsito especial, cdigo de aplicacin instalado en un firewall. El proxy
server permite que el administrador de la red permita o rechace determinados servicios de una
aplicacin en particular.
Servidor de Bastin
Un firewall especialmente diseado y armado para proteger contra ataques externos.