MECANISMOS DE PREVENCIN Y PROTECCIN FIREWALL

Firewall - Cortafuegos
Un firewall se puede definir como un sistema o grupo de sistemas cuya finalidad es hacer cumplir una poltica de control de acceso entre dos redes interconectadas. Es un mecanismo que permite proteger a una red confiable de las redes no confiables con las que esta se encuentra conectada, permitiendo an el trfico entre ambas. William Cheswick y el Dr. Steve Bellovin definen un firewall como una coleccin de componentes o sistema puesto entre dos redes que posee las siguientes propiedades: Todo el trfico que sale y entra de una red debe pasar a travs del firewall. Cuando decimos esto, nos referimos a los datos transportados segn la suite de protocolos TCP/IP. Solo el trfico autorizado, segn lo definido en la poltica de seguridad implementada, debe pasar a travs del firewall. El sistema por si mismo es altamente resistente a las penetraciones.

Modos de actuar de un Firewall

1.- Firewalls que actan como filtro. Los firewalls pueden actuar como filtros que determinan que datos pasan de una red a otra y cuales no. Por ejemplo, tenemos el caso de un router: Los routers toman las decisiones de ruteo basados en la informacin contenida en sus tablas de ruteo. Es posible entonces modificar dichas tablas de manera que, por ejemplo, puedan pasar a travs del router datos que provienen de ciertas direcciones. De esta forma un router se convierte en un dispositivo de control de acceso que puede filtrar paquetes. 1.- Firewalls que actan como gateways. Un gateway puede definirse como una computadora que provee servicios entre dos redes interconectadas. Un firewall, adems de filtrar paquetes puede actuar como un gateway. De esta forma, el trfico pasa a travs del gateway, el cual se encarga de pasar los datos, de acuerdo a lo especificado en la poltica de control de acceso implementada, a un filtro, a una red o incluso a otro gateway.

Proteccin de Interredes
Cuando se conectan redes entre s los riesgos de ataques aumentan, de manera que es necesario que las redes se protejan de aquellas que son consideradas redes no confiables. Es en este punto donde los firewalls entran en juego.
Es importante destacar que los firewalls no solo son importantes dentro de una organizacin (por ejemplo para controlar el acceso entre diferentes segmentos de una WAN) sino que tambin son importantes cuando una organizacin conecta su red a internet. Los firewalls son barreras entre nosotros y ellos, para valores arbitrarios de ellos Dr. Steve Bellovin, Laboratorios Bell.

Firewalls y Polticas
El uso de firewalls est estrechamente relacionado con la poltica de seguridad implementada en la organizacin que los utiliza y en especial con la poltica de control de acceso definida. Existen dos tipos de polticas de red que influyen directamente en la implementacin, configuracin y uso de un firewall: La poltica de acceso a servicios de red y la poltica de diseo de un firewall. 1.- Poltica de acceso a servicios de red. Esta poltica define los servicios que sern permitidos o denegados explcitamente desde las redes restringidas, adems de especificar la manera en la que los servicios sern usados. Para que un firewall funcione de la manera que las organizaciones desean, la poltica de acceso a servicios debe existir antes de que se implemente el uso del firewall. Esta poltica debe ser realista, en el sentido de que debe mantener un balance entre la proteccin de una red y los servicios a los que se podrn acceder. Es decir, debe permitir que las redes se protejan con el uso de firewalls pero sigan siendo tiles a los usuarios.

2.- Poltica de diseo de un Firewall. Esta poltica especifica como un firewall restringir el acceso a una red y como se implementar el filtrado de paquetes segn lo especificado en la poltica de acceso a servicios. Es por eso que debe definirse primero la poltica de acceso a servicios y luego la poltica de diseo de firewalls. La poltica de diseo de firewalls es especfica de los firewalls y define las reglas a ser usadas para implementar la poltica de acceso a servicios. Los firewalls implementan bsicamente 2 polticas de diseo:
Permitir el acceso a cualquier servicio, a menos que se especifique explcitamente lo contrario. Esta alternativa es conocida como permisiva. En este caso, los firewalls permiten que acedan a la red protegida todos los servicios, a excepcin de aquellos que son identificados como no permitidos por la poltica de acceso a servicios.

Denegar cualquier servicio, a menos que se especifique explcitamente lo contrario. Esta alternativa es conocida como restrictiva. Los firewalls que implementan esta alternativa deniegan, por defecto, cualquier servicio, a excepcin de aquellos que se definen en la poltica de acceso a servicios como permitidos.
En definitiva, para la implementacin de firewalls debe tenerse en cuenta la poltica de seguridad definida y saber identificar cuales son los servicios que sern permitidos y cuales son los que deben ser denegados.

Tipos de Firewall
1.- Firewall de filtrado de paquetes.

Este es el ms simple tipo de firewall, se encuentra presente en la mayora de los routers. El filtrado de paquetes consiste en impedir que ciertos paquetes de informacin (paquetes IP en general) puedan acceder a la red que se est protegiendo o que puedan salir de la red en cuestin. De esta forma los administradores de redes pueden controlar el trfico y reducir la posibilidad de ataques externos. Por ejemplo, los routers pueden filtrar paquetes IP basados en ciertas reglas, como lo son: Direccin IP fuente. Direccin IP destino. Puerto TCP/UDP fuente. Puerto TCP/UDP destino.
El filtrado de paquetes puede ser esttico o dinmico. Filtrado esttico: En este caso el firewall permite el acceso del trfico autorizado, segn lo especificado en la poltica de acceso a servicios, a travs de puertas que estn siempre abiertas. Ejemplo. access-list 1 permit 192.168.32.192 0.0.0.15 access-list 2 deny any line vty 0 4 access-class 1 in Filtrado dinmico: En este tipo de filtrado, el firewall permite el acceso de paquetes segn la informacin contenida en la cabecera de los mismos.

Ventajas del filtrado. Permitir mayor proteccin. Soporta la mayora de los servicios. Se tiene un mayor control de lo que entra a una red que se considera confiable. Compatibilidad, rendimiento y escalabilidad. Desventajas del filtrado. Reduce el riesgo de ataques, pero no los impide, ya que una vez que se tiene acceso a la red se pueden explotar las vulnerabilidades de los host internos. No posee autenticacin de usuarios. Nivel de seguridad considerado bajo, adems que no soporta protocolos avanzados.

2.- Servidores Proxy Firewall o Gateways de Aplicacin. Estos dispositivos han sido diseados para solucionar los problemas que tienen los firewalls de filtrado de paquetes y superar sus desventajas, se han desarrollado aplicaciones de software que pueden filtrar conexiones relacionadas con ciertos servicios (por ejemplo: TELNET, FTP, etc.). El objetivo de los servidores proxy es actuar como una especie de intermediario entre dos redes interconectadas, permitiendo que los host que pertenecen a una red, que se considera confiable, se comuniquen de manera indirecta con host de otras redes o servidores externos. Desde otra perspectiva este tipo de firewall, trabajando en el nivel de aplicacin sera lo siguiente: Los firewalls como Gateway de aplicacin, corren en la capa 7 del modelo OSI, cuando una conexin llega al firewall de aplicacin proxy , el proxy completa la conexin, y crea una nueva desde el proxy hasta el destino final, es este sentido el proxy no rutea el trafico sino que almacena la conexin modifica los datos si es necesario y solo entonces manda la conexin hacia el destino final. Ventajas. Ocultamiento de informacin: La informacin propia de los host de una red (en particular su nombre) no debe darse a conocer al exterior (a travs del uso de un servidor DNS) para que los host externos puedan comunicarse con dichos host. Es decir, los host externos solo deben conocer la identidad del servidor proxy para poder comunicarse indirectamente con los host internos a travs del proxy. Mecanismos de autenticacin y login robustos (seguridad robusta): El proxy puede implementar un mecanismo de autenticacin y login para que los host externos tengan acceso a la red que est siendo protegida por el servidor proxy. Menor complejidad en las reglas de filtrado: Las reglas de filtrado de paquetes que utiliza un router se tornan menos complejas, debido a que el router no tiene que controlar si los paquetes estn dirigidos a los host individuales, simplemente controla que los paquetes estn dirigidos al servidor proxy.

Ventajas. Cumplimiento de estndares sobre protocolos.

Desventajas. El anlisis de los paquetes afecta directamente al rendimiento de la red. Son hasta cierto punto difciles de escalar. Generalmente se requiere de soporte para la aplicacin (Gateway de aplicacin).

3.- Firewalls de inspeccin de paquetes (statefull inspection).

Algunos de los firewalls usados en las conexiones de redes organizacionales a internet, combinan las dos tcnicas vistas anteriormente: filtrado de paquetes y servidores proxy. Esta alternativa de diseo puede permitir un alto grado de control de acceso, pero pone lmites en cuanto a la flexibilidad y transparencia de la conectividad; adems de hacer ms difcil y compleja la configuracin de los firewalls que implementan ambos mecanismos. Una alternativa de diseo consiste en inspeccionar los paquetes en lugar de solo filtrarlos de acuerdo a sus direcciones o nmeros de puerto, es decir, considerar el contenido de los paquetes. Este tipo de firewalls utiliza un mdulo de inspeccin de paquetes para los diferentes protocolos utilizados en cada una de las capas de la arquitectura de red (modelo OSI). Los firewalls que realizan inspeccin de paquetes tienen la capacidad de integrar la informacin obtenida desde todas las capas en un solo punto de inspeccin. Este tipo de filtrado inteligente puede combinarse con la habilidad de poder escanear sesiones de red. Esto es lo que se conoce como filtrado de sesin. Con esta estrategia, el mdulo que se encarga del filtrado utiliza reglas inteligentes que permiten no solo inspeccionar los paquetes individuales sino que tambin, basndose en la informacin de inicio y fin de sesin, permite inspeccionar una sesin de red.

Cmo funciona?
Las conexiones entrantes son agregadas a las tablas de estado del kernel que mantiene el registro de las conexiones y los timeouts correspondientes. El Stateful inspection firewall puede observar todo el paquete sin necesidad de almacenarlo en buffer.

Ventajas. Un mdulo de inspeccin puede manipular paquetes de forma ms rpida que un servidor proxy, lo que permite reducir costos. Los firewalls de inspeccin pueden proveer traduccin de direcciones, escaneo del contenido de los paquetes para la bsqueda de virus, entre otros servicios. Alto rendimiento. Soporte a protocolos dinmicos. Alto nivel de seguridad. Transparencia.
Desventajas. La principal desventaja de este tipo de firewall es que el nivel de procesamiento requerido en comparacin con el filtrado de paquetes comn, es mayor.

Testeo de Firewalls
Siempre que se utiliza un firewall es necesario realizar un testeo del mismo para encontrar posibles errores de funcionamiento y para asegurarse de que la implementacin del firewall est de acuerdo con la poltica definida en la organizacin que lo utiliza. El testeo de firewalls debe ser realizado por el personal adecuado, en general, el administrador de la red. Existen tres situaciones obvias en las cuales un firewall debe ser testeado: Inmediatamente despus de haber instalado un firewall, para asegurarse de que la instalacin fue correcta. Despus de realizar cualquier cambio en la red, para asegurarse de que el firewall sigue funcionando de manera correcta. Peridicamente, para controlar su funcionamiento. Ejemplo de algunos testeos que pueden realizarse en un firewall son: Testeo de protocolos no soportados: Consiste en utilizar protocolos no autorizados por la poltica de seguridad para detectar fallas en el firewall. Intentos de login a los servidores de FTP y TELNET: Esto permite detectar si los intentos de login como un usuario no existente, se registran como intentos de acceso fallidos o si se registran de forma separada. El testeo de firewalls es importante y siempre debe realizarse, para poder asegurarse de que la implementacin del firewall respeta la poltica de acceso a servicios.