Cortafuegos Redes CORTAFUEGOS Miguel Ángel Belenguer Sánchez Página 1 de 8 Cortafuegos Redes CORTAFUEGOS 1. Introducción. Un Cortafuegos o Firewall es un dispositivo formado por uno o varios equipos que se sitúa entre la red de una organización o empresa y la red exterior, como se muestra en la siguiente figura: El motivo de la colocación de dicho objetivo es aumentar el nivel de seguridad cuando se quiere conectar una empresa con LANs al exterior, los problemas planteados al realizar dicha conexión son varios entre los que se pueden citar los siguientes: - Posibilidad de acceder a información vital de la empresa desde el exterior. - Envío de programas malignos desde el exterior. - Uso de aplicaciones de internet no autorizadas en la empresa o acceso a lugares no autorizados. Debido a las diversas funcionalidades que debe desempeñar un cortafuegos estos se pueden dividir en varios componentes , existiendo por ejemplo el componente del filtrado de tráfico y el proxy de aplicación y el componente de monitorización de la actividad. Página 2 de 8 Cortafuegos Redes Un cortafuegos debe colocarse entre la red exterior y un punto de entrada a la red local y todo el tráfico tanto de entrada como de salida con la red exterior debe pasar a través de este para que este lo analice y en función del tipo de tráfico y la funcionalidad este la dejará pasar o no. A pesar de que un cortafuegos aumente la seguridad de un sistema que se conecta al exterior este no nos asegura total seguridad, hay cosas contra las que no nos puede proteger un cortafuegos, como los ataques que se producen por cauces distintos a donde está instalado el cortafuegos, si hay un agujero de seguridad de este tipo anula toda la seguridad que pueda aportar el firewall, esto se puede observar en la siguiente figura: 1.1 Definición de Cortafuegos. Cortafuegos (Firewall). Barrera de protección. Es un procedimiento de seguridad que coloca un sistema de computación programado especialmente entre una red de área local (LAN) de una organización Internet. La barrera de protección impide que los crackers tengan acceso a la red interna. Por desgracia, también impide que los usuarios de la organización obtengan un acceso directo a Internet. El acceso que proporciona la barrera de protección es indirecto y mediado por los programas llamados servidores apoderados. 2. Componentes de un cortafuegos. 2.1 Filtrado de paquetes. Cualquier router IP utiliza reglas de filtrado de paquetes, este filtrado de paquetes se puede utilizar para implementar diferentes políticas de seguridad de una red para evitar el acceso no autorizado entre dos redes. La forma en que actúa este filtrado es la siguiente: el router analiza la cabecera de cada paquete fijándose en valores de la cabecera como las direcciones y puertos origen y destino o el protocolo utilizado (TCP, UDP, ICMP...), con esta información y en función de una serie de reglas establecidas de antemano se bloquea la trama o se le deja pasar. Por tanto antes de poner en funcionamiento un router para hacerlo funcionar como cortafuegos habrá que establecer las reglas para descartar tramas o dejarlas pasar, para especificar estas reglas se suele usar una tabla de condiciones y acciones en función de la información de cabecera citada anteriormente. Cuando se hace una Página 3 de 8 Cortafuegos Redes comprobación de las reglas se va consultando la tabla condición a condición hasta que se encuentre alguna que haga referencia a los datos extraídos de la cabecera del paquete, en este caso mirará la acción correspondiente a dicha condición y la ejecutará. A la hora de introducir las reglas en la tabla es importante el orden en que estas son introducidas y el orden con el que son procesadas debido a que puede pasar que un mismo paquete cumpla varias condiciones y las acciones a tomar son distintas para cada condición, por ejemplo puede ser que para la dirección origen de un paquete una regla diga que se ha de dejar el paso del paquete y haya otra regla que para la dirección de destino del paquete se diga que se debe denegar el paso del paquete, en este caso se ejecutaría la acción de la primera regla analizada. Otro factor importante cuando se introducen las reglas en la tabla es qué hacer con los paquetes para los que no se cumple las condiciones de ninguna regla, lo más normal es denegar el paso a estos paquetes y para introducir esto lo que se hace es añadir una última regla en la tabla en la que las condiciones es que sea cualquier paquete y en la acción se diga que se deniegue el paso de dicho paquete. 2.2 Proxy de aplicación. El proxy de aplicación es otro componente de un cortafuegos. Los servicios proxy sor aplicaciones software para reenviar o bloquear conexiones a servicios como finger, telnet o FTP y a la máquina donde se ejecutan dichas aplicaciones se le llama pasarela de aplicación. Las funcionalidades que introducen los servicios proxy dentro de un cortafuegos son las siguientes: - Permite solo la utilización de servicios para los que existe un proxi haciendo que el resto de servicios no estén disponibles. - Se pueden filtrar protocolos basándose en más parámetros que los aportados por la cabecera de los paquetes en función de la aplicación que se esté ejecutando. - La aplicación gateways permite que haya una ocultación de la estructura de la red protegida, facilita la autenticación y la auditoría del tráfico sospechoso antes de que alcance el host destino y simplifica mucho las reglas de filtrados del router. Los inconvenientes de los cortafuegos que incorporan el componente del proxy de aplicación es que cada servicio que se ofrezca necesita su propio proxy, que son más caros y que el rendimiento es menor. 2.3 Monitorización de la actividad. Es importante que los cortafuegos monitoricen todo lo que está sucediendo a través de ellos, esta monitorización muestra los intentos de ataques producidos con información como el origen, las franjas horarias, los tipos de acceso,... además muestra la existencia de tramas sospechosas. Dicha monitorización se debe leer con frecuencia para que el administrador de la red tome medidas si se detectan actividades sospechosas. Página 4 de 8 Cortafuegos Redes La información que debe registrar dicha monitorización suele ser la siguiente: - Registros estándar (estadísticas de tipos frecuencias o direcciones fuentes y destino. de paquetes recibidos, - Información de la conexión (oriten y destino, nombre de servicio, hora y duración). - Intentos de uso de protocolos denegados. - Intentos de falsificación de dirección por parte de máquinas internas al perímetro de seguridad (paquetes que llegan desde la red externa con la dirección de un equipo interno) - Tramas recibidas desde routers desconocidos. Una medida muy efectiva y que aumenta mucho la seguridad es el introducir en el cortafuegos servicios trampa, que consiste en sustituir algunos servicios con estos servicios trampa de forma que un atacante cree acceder a este servicio, con dichos servicios podemos monitorizar las acciones de ataque que este lleva a efecto y además se le mantiene entretenido para que no realice otros ataques, estos servicios actúan igual que un troyano de forma que el atacante piensa que está accediendo a un servicio pero en realidad está accediendo al servicio trampa que se ha puesto. 3. Arquitecturas de cortafuegos. 3.1 Cortafuegos de filtrado de paquetes. Se basa en aprovechar la capacidad de algunos routers para bloquear o filtrar paquetes en función de su protocolo, su servicio o su dirección IP. Esta arquitectura es la más simple y se usa en organizaciones que no precisan de grandes niveles de seguridad. El hecho de ser el más simple hace que no sea recomendable para organizaciones que precisan un nivel aceptable de seguridad puesto que a presenta una serie de desventajas como que no puede determinar si el router está siendo atacado y que las reglas de filtrado pueden llegar a ser complejas de establecer dificultando la comprobación de su corrección. 3.2 Dual-Homed Host. La arquitectura Dual-Homed Host está formada por máquinas Unix simples equipadas con dos tarjetas de red, una de dichas tarjetas se suele conectar a la red interna de la organización que pretendemos proteger y la otra a la red externa. Es necesario que el IT Forwarding esté desabilitado en el sistema Unix y que este ejecute un servidor proxy para cada servicio que se quiera pasar por el cortafuegos. El tráfico de información ha de pasar a través de los servidores proxy situados en el host bastion. Esta arquitectura entraría dentro de los cortafuegos que tienen un proxy de aplicación. Una representación de esta arquitectura se muestra en la siguiente figura: Página 5 de 8 Cortafuegos Redes 3.3 Screened Host. La arquitectura Screened Host combina un router con un host bastion. En el host bastion se ejecutan los proxies de las aplicaciones puesto que este es el único accesible desde el exterior y el router se encarga de filtrar los paquetes. A la hora de implementar la arquitectura hay dos opciones, situar el router entre la red exterior y el host bastion o situar el host bastion en la red exterior, siendo lo más utilizado la colocación del router entre la red exterior y el host bastion. En esta arquitectura el el host se controla por el router operando a nivel de red. Un esquema de esta arquitectura se muestra en la siguiente figura: 3.4 Screened Subnet (DMZ). La arquitectura Screened Subnet o DMZ (De.Militarized Zone) es la arquitectura más segura pero a su vez la más compleja. DMZ sitúa una subred (DMZ) entre las redes externa e interna, reduciendo los efectos de un ataque exitoso al host bastion. Esta subred sirve como una red perimétrica entre el exterior y la red interna a Página 6 de 8 Cortafuegos Redes proteger de forma que cuando un atacante acceda al host bastion no consiga un acceso total a dicha red interna. Screened Subnet contiene dos routers (exterior e interior) que se conectan a la red perimétrica y el host bastion que se sitúa dentro de la red perimétrica. Las funcionalidades de ambos routers son distintas, mientras el router interno debe bloquear el tráfico no deseado en ambos sentidos, el interno bloquea el tráfico no deseado entre la red interna y la perimétrica, con lo que aunque un atacante lograse romper la seguridad del router externo todavía se encontraría con el router interno. Esta arquitectura permite seguir aumentando la seguridad colocando más subredes periféricas pero lógicamente esto también aumenta el coste y sobre todo la complejidad. A pesar de que esta arquitectura es la más segura no se puede hablar de seguridad absoluta (la seguridad infinita no existe) y también tiene problemas como que al ser muy compleja se configure mal y se creen agujeros de seguridad. La siguiente figura muestra la representación de esta arquitectura DMZ: Bibliografía y referencias: - Seguridad en Unix y Redes Versión 1.2 (2 de octubre de 2000). Autor: Antonio Villalón Huerta. - Seguridad en redes de datos. Instituto Nacional de Estadística e Informática. - Apuntes de la asignatura de Redes de Ingeniería Informática de la Universidad de Valencia. Autor: Rogelio Montañana Página 7 de 8 Cortafuegos Redes - http://www.aebius.com/b_datos_doc/pages/firewalls1.htm - http://www.aebius.com/b_datos_doc/pages/vpn_1.htm - http://www.aebius.com/b_datos_doc/pages/redescomp1.htm Página 8 de 8