Cortafuegos Redes CORTAFUEGOS Miguel Ángel Belenguer S

Anuncio
Cortafuegos
Redes
CORTAFUEGOS
Miguel Ángel Belenguer Sánchez
Página 1 de 8
Cortafuegos
Redes
CORTAFUEGOS
1. Introducción.
Un Cortafuegos o Firewall es un dispositivo formado por uno o varios equipos
que se sitúa entre la red de una organización o empresa y la red exterior, como se
muestra en la siguiente figura:
El motivo de la colocación de dicho objetivo es aumentar el nivel de seguridad
cuando se quiere conectar una empresa con LANs al exterior, los problemas
planteados al realizar dicha conexión son varios entre los que se pueden citar los
siguientes:
-
Posibilidad de acceder a información vital de la empresa desde el exterior.
-
Envío de programas malignos desde el exterior.
-
Uso de aplicaciones de internet no autorizadas en la empresa o acceso a
lugares no autorizados.
Debido a las diversas funcionalidades que debe desempeñar un cortafuegos
estos se pueden dividir en varios componentes , existiendo por ejemplo el componente
del filtrado de tráfico y el proxy de aplicación y el componente de monitorización de la
actividad.
Página 2 de 8
Cortafuegos
Redes
Un cortafuegos debe colocarse entre la red exterior y un punto de entrada a la
red local y todo el tráfico tanto de entrada como de salida con la red exterior debe
pasar a través de este para que este lo analice y en función del tipo de tráfico y la
funcionalidad este la dejará pasar o no.
A pesar de que un cortafuegos aumente la seguridad de un sistema que se
conecta al exterior este no nos asegura total seguridad, hay cosas contra las que no
nos puede proteger un cortafuegos, como los ataques que se producen por cauces
distintos a donde está instalado el cortafuegos, si hay un agujero de seguridad de este
tipo anula toda la seguridad que pueda aportar el firewall, esto se puede observar en la
siguiente figura:
1.1 Definición de Cortafuegos.
Cortafuegos (Firewall). Barrera de protección. Es un procedimiento de
seguridad que coloca un sistema de computación programado especialmente entre
una red de área local (LAN) de una organización Internet. La barrera de protección
impide que los crackers tengan acceso a la red interna. Por desgracia, también impide
que los usuarios de la organización obtengan un acceso directo a Internet. El acceso
que proporciona la barrera de protección es indirecto y mediado por los programas
llamados servidores apoderados.
2. Componentes de un cortafuegos.
2.1 Filtrado de paquetes.
Cualquier router IP utiliza reglas de filtrado de paquetes, este filtrado de
paquetes se puede utilizar para implementar diferentes políticas de seguridad de una
red para evitar el acceso no autorizado entre dos redes. La forma en que actúa este
filtrado es la siguiente: el router analiza la cabecera de cada paquete fijándose en
valores de la cabecera como las direcciones y puertos origen y destino o el protocolo
utilizado (TCP, UDP, ICMP...), con esta información y en función de una serie de
reglas establecidas de antemano se bloquea la trama o se le deja pasar.
Por tanto antes de poner en funcionamiento un router para hacerlo funcionar
como cortafuegos habrá que establecer las reglas para descartar tramas o dejarlas
pasar, para especificar estas reglas se suele usar una tabla de condiciones y acciones
en función de la información de cabecera citada anteriormente. Cuando se hace una
Página 3 de 8
Cortafuegos
Redes
comprobación de las reglas se va consultando la tabla condición a condición hasta que
se encuentre alguna que haga referencia a los datos extraídos de la cabecera del
paquete, en este caso mirará la acción correspondiente a dicha condición y la
ejecutará.
A la hora de introducir las reglas en la tabla es importante el orden en que
estas son introducidas y el orden con el que son procesadas debido a que puede
pasar que un mismo paquete cumpla varias condiciones y las acciones a tomar son
distintas para cada condición, por ejemplo puede ser que para la dirección origen de
un paquete una regla diga que se ha de dejar el paso del paquete y haya otra regla
que para la dirección de destino del paquete se diga que se debe denegar el paso del
paquete, en este caso se ejecutaría la acción de la primera regla analizada.
Otro factor importante cuando se introducen las reglas en la tabla es qué hacer
con los paquetes para los que no se cumple las condiciones de ninguna regla, lo más
normal es denegar el paso a estos paquetes y para introducir esto lo que se hace es
añadir una última regla en la tabla en la que las condiciones es que sea cualquier
paquete y en la acción se diga que se deniegue el paso de dicho paquete.
2.2 Proxy de aplicación.
El proxy de aplicación es otro componente de un cortafuegos. Los servicios
proxy sor aplicaciones software para reenviar o bloquear conexiones a servicios como
finger, telnet o FTP y a la máquina donde se ejecutan dichas aplicaciones se le llama
pasarela de aplicación.
Las funcionalidades que introducen los servicios proxy dentro de un
cortafuegos son las siguientes:
-
Permite solo la utilización de servicios para los que existe un proxi haciendo
que el resto de servicios no estén disponibles.
-
Se pueden filtrar protocolos basándose en más parámetros que los
aportados por la cabecera de los paquetes en función de la aplicación que
se esté ejecutando.
-
La aplicación gateways permite que haya una ocultación de la estructura de
la red protegida, facilita la autenticación y la auditoría del tráfico
sospechoso antes de que alcance el host destino y simplifica mucho las
reglas de filtrados del router.
Los inconvenientes de los cortafuegos que incorporan el componente del proxy
de aplicación es que cada servicio que se ofrezca necesita su propio proxy, que son
más caros y que el rendimiento es menor.
2.3 Monitorización de la actividad.
Es importante que los cortafuegos monitoricen todo lo que está sucediendo a
través de ellos, esta monitorización muestra los intentos de ataques producidos con
información como el origen, las franjas horarias, los tipos de acceso,... además
muestra la existencia de tramas sospechosas. Dicha monitorización se debe leer con
frecuencia para que el administrador de la red tome medidas si se detectan
actividades sospechosas.
Página 4 de 8
Cortafuegos
Redes
La información que debe registrar dicha monitorización suele ser la siguiente:
-
Registros estándar (estadísticas de tipos
frecuencias o direcciones fuentes y destino.
de
paquetes
recibidos,
-
Información de la conexión (oriten y destino, nombre de servicio, hora y
duración).
-
Intentos de uso de protocolos denegados.
-
Intentos de falsificación de dirección por parte de máquinas internas al
perímetro de seguridad (paquetes que llegan desde la red externa con la
dirección de un equipo interno)
-
Tramas recibidas desde routers desconocidos.
Una medida muy efectiva y que aumenta mucho la seguridad es el introducir en
el cortafuegos servicios trampa, que consiste en sustituir algunos servicios con estos
servicios trampa de forma que un atacante cree acceder a este servicio, con dichos
servicios podemos monitorizar las acciones de ataque que este lleva a efecto y
además se le mantiene entretenido para que no realice otros ataques, estos servicios
actúan igual que un troyano de forma que el atacante piensa que está accediendo a un
servicio pero en realidad está accediendo al servicio trampa que se ha puesto.
3. Arquitecturas de cortafuegos.
3.1 Cortafuegos de filtrado de paquetes.
Se basa en aprovechar la capacidad de algunos routers para bloquear o filtrar
paquetes en función de su protocolo, su servicio o su dirección IP. Esta arquitectura es
la más simple y se usa en organizaciones que no precisan de grandes niveles de
seguridad. El hecho de ser el más simple hace que no sea recomendable para
organizaciones que precisan un nivel aceptable de seguridad puesto que a presenta
una serie de desventajas como que no puede determinar si el router está siendo
atacado y que las reglas de filtrado pueden llegar a ser complejas de establecer
dificultando la comprobación de su corrección.
3.2 Dual-Homed Host.
La arquitectura Dual-Homed Host está formada por máquinas Unix
simples equipadas con dos tarjetas de red, una de dichas tarjetas se suele
conectar a la red interna de la organización que pretendemos proteger y la otra
a la red externa.
Es necesario que el IT Forwarding esté desabilitado en el sistema Unix y
que este ejecute un servidor proxy para cada servicio que se quiera pasar por
el cortafuegos. El tráfico de información ha de pasar a través de los servidores
proxy situados en el host bastion.
Esta arquitectura entraría dentro de los cortafuegos que tienen un proxy
de aplicación. Una representación de esta arquitectura se muestra en la
siguiente figura:
Página 5 de 8
Cortafuegos
Redes
3.3 Screened Host.
La arquitectura Screened Host combina un router con un host bastion. En el
host bastion se ejecutan los proxies de las aplicaciones puesto que este es el único
accesible desde el exterior y el router se encarga de filtrar los paquetes.
A la hora de implementar la arquitectura hay dos opciones, situar el router entre
la red exterior y el host bastion o situar el host bastion en la red exterior, siendo lo más
utilizado la colocación del router entre la red exterior y el host bastion.
En esta arquitectura el el host se controla por el router operando a nivel de red.
Un esquema de esta arquitectura se muestra en la siguiente figura:
3.4 Screened Subnet (DMZ).
La arquitectura Screened Subnet o DMZ (De.Militarized Zone) es la
arquitectura más segura pero a su vez la más compleja. DMZ sitúa una subred (DMZ)
entre las redes externa e interna, reduciendo los efectos de un ataque exitoso al host
bastion. Esta subred sirve como una red perimétrica entre el exterior y la red interna a
Página 6 de 8
Cortafuegos
Redes
proteger de forma que cuando un atacante acceda al host bastion no consiga un
acceso total a dicha red interna.
Screened Subnet contiene dos routers (exterior e interior) que se conectan a la
red perimétrica y el host bastion que se sitúa dentro de la red perimétrica. Las
funcionalidades de ambos routers son distintas, mientras el router interno debe
bloquear el tráfico no deseado en ambos sentidos, el interno bloquea el tráfico no
deseado entre la red interna y la perimétrica, con lo que aunque un atacante lograse
romper la seguridad del router externo todavía se encontraría con el router interno.
Esta arquitectura permite seguir aumentando la seguridad colocando más subredes
periféricas pero lógicamente esto también aumenta el coste y sobre todo la
complejidad.
A pesar de que esta arquitectura es la más segura no se puede hablar de
seguridad absoluta (la seguridad infinita no existe) y también tiene problemas como
que al ser muy compleja se configure mal y se creen agujeros de seguridad.
La siguiente figura muestra la representación de esta arquitectura DMZ:
Bibliografía y referencias:
-
Seguridad en Unix y Redes Versión 1.2 (2 de octubre de 2000).
Autor: Antonio Villalón Huerta.
-
Seguridad en redes de datos.
Instituto Nacional de Estadística e Informática.
-
Apuntes de la asignatura de Redes de Ingeniería Informática de la
Universidad de Valencia.
Autor: Rogelio Montañana
Página 7 de 8
Cortafuegos
Redes
-
http://www.aebius.com/b_datos_doc/pages/firewalls1.htm
-
http://www.aebius.com/b_datos_doc/pages/vpn_1.htm
-
http://www.aebius.com/b_datos_doc/pages/redescomp1.htm
Página 8 de 8
Documentos relacionados
Descargar