Seguridad de redes: Firewalls

Anuncio
Ingeniería Técnica en Informática de Gestión
Ampliación de Sistemas Operativos
− CONTENIDO −
Introducción 03
1 ¿Qué es un Firewall? 03
2 Amenazas de los Firewalls 05
3 Consejos para un Usuario Doméstico 05
• No minusvalore los peligros de la Red 06
• No minusvalore el atractivo de su ordenador para un atacante 06
• No sobrevalore a los atacantes 07
• No sobrevalore la fortaleza de su máquina 07
4 Características de un Firewall 07
4.1 Política de Seguridad 07
• Registro de Operaciones 07
• Interfaces 08
• Autenticación de Usuarios 08
• Correlación de Direcciones 09
• Restricciones de Día y Hora 10
• Control de la Carga 10
• Canalización 10
5 Tipos de Firewalls 10
• Filtrador de Paquetes 10
• Pasarelas a Nivel de Aplicación 11
• Pasarelas a Nivel de Redes 12
• Configuraciones de los Firewalls 12
6 Host Bastión 12
7 Integración con el Entorno 13
• Integración de los Firewalls con la Auditoria de la Intranet 13
• Integración de los Firewalls con los Controles de Acceso 14
• Integración de Firewalls con los navegadores WEB 14
8 Puertos y Servicios 14
• Servicios Internet integrados en UNIX 16
• Servicios de Transferencia de Archivos 17
1
• Servicios de Conexión 18
• Servicios de Información 18
9 Glosario de Términos relacionados con Firewall 19
Conclusiones 20
Referencias 21
Seguridad en Redes: Firewalls
Introducción
En la sociedad de hoy en día, el acceso a cualquier clase de información se ve facilitado por diferentes
tecnologías de conexión, con costos muy accesibles, que permiten interactuar local o remotamente con
diferentes centros de cómputos. Sin embargo, este acceso instantáneo a la información trae consigo muchas
dificultades en cuanto a la seguridad y privacidad de la información de una organización.
La red es usualmente la parte mas insegura de una organización. Por consiguiente, se deben desarrollar
políticas de seguridad para poder prevenir cualquier acceso no autorizado a la misma como pueden ser
hackers o usuarios de la misma red que no deberían tener acceso a ciertos recursos del sistema. Estas políticas
deben ser más exigentes sobretodo si dicha organización cuenta con un acceso a alguna red pública, como
puede ser Internet.
Los protocolos de comunicación TCP/IP, los más utilizados en Internet, en principio no fueron concebidos
para manejar comunicaciones seguras. Por lo tanto, el mecanismo de seguridad se ejecuta fuera de los
mismos. No olvidemos que la red en si es tan vulnerable como su punto mas débil.
Una posible solución para proteger todo el sistema consiste en no permitir ningún acceso desde el exterior al
interior, pero de esta forma solo podríamos mandar solicitudes pero no podríamos recibir el contenido de las
mismas.
Otra posibilidad es permitir ciertas clases de accesos y negar otros, eliminando así la dificultad antes
mencionada. Esta clase de seguridad se puede implementar mediante un Firewall.
1 ¿Qué es un Firewall?
Se puede definir de una forma simple un sistema firewall, como aquel sistema o conjunto combinado de
sistemas que crean una barrera segura entre 2 redes.
El firewall es un sistema que refuerza las políticas de control de acceso. Estas políticas regulan el tráfico entre
una red interna (de confianza) y otra red externa (de dudosa confianza). Normalmente, los firewall se utilizan
para proteger a las redes internas del acceso no autorizado vía Internet o mediante otra red externa.
2
Fig 1. Localización de un firewall
La función del firewall, por tanto, es bloquear el tráfico no autorizado entre un sistema de confianza y un
sistema de dudosa confianza.
Un firewall es, a menudo, instalado en el punto donde una red interna se conecta con Internet. Todo tráfico
externo de Internet hacia la red interna pasa a través del firewall, así puede determinar si dicho tráfico es
aceptable de acuerdo a sus políticas de seguridad.
Aunque el propósito principal de los firewall es mantener a los intrusos fuera del alcance de la información
que es propiedad de un ente determinado, ya sea un usuario, una empresa o un gobierno, su posición dentro
del acceso a distintas redes le vuelve muy útil para controlar estadísticas de situaciones como usuarios que
intentaron conectarse y no lo consiguieron, tráfico que atravesó la misma, etc... Esto proporciona un sistema
muy cómodo de auditar la red. Algunas de sus funciones son las siguientes:
• Restringir la entrada a usuarios a puntos cuidadosamente controlados.
• Prevenir los ataques
• Dividir una red en zonas con distintas necesidades de seguridad
• Auditar el acceso a la red.
Algunos firewall solamente permiten tráfico de correo a través de ellos, de modo que protegen de cualquier
ataque sobre la red distinto de un servicio de correo electrónico. Otros firewall proporcionan menos
restricciones y bloquean servicios que son conocidos por sus constantes problemas de intrusión. De los
servicios ya hablaremos más adelante. Generalmente, los firewalls están configuradas para proteger contra
"logins" sin autorización. Esto ayuda principalmente a prevenir actos de vandalismos en máquinas y software
de nuestra red. Redes firewalls más elaboradas bloquean el tráfico de fuera a dentro, permitiendo a los
usuarios del interior comunicarse libremente con los usuarios del exterior. Los firewall pueden protegernos de
cualquier tipo de ataque a la red, siempre y cuando se configuren para ello.
Hay una serie de asuntos básicos que hay que tratar en el momento de que una persona adquiere la
responsabilidad de diseñar, especificar e implementar o supervisar la instalación de un firewall en una
empresa:
• Reflejar la política con la que la compañía u organización quiere trabajar con el sistema: ¿Se destina la
firewall para denegar todos los servicios o solo algunos?, ¿se va a emplear al firewall para proporcionar un
método de medición y auditoria de los accesos no autorizados a la red?. De la política hablaremos un poco
más adelante.
• Determinar el nivel de vigilancia, redundancia y control que queremos. La seguridad total es imposible, así
que tendremos que establecer una nivel de riesgo aceptable. Para ello se pueden establecer una lista de
comprobación de los que debería ser vigilado, permitido y denegado.
• El tercer asunto es financiero. Es importante intentar cuantificar y proponer soluciones en términos de
cuánto cuesta comprar o implementar tal cosa o tal otra. A veces lo realmente necesario no es gastarse
mucho dinero en una firewall muy potente, sino perder tiempo en evaluar las necesidades y encontrar una
firewall que se adapte a ellas.
La elección de un firewall, como se puede comprobar, no va a ser sencilla y dependerá de muchos factores,
principalmente de la política de seguridad y de la inversión económica que vayamos a emplear.
3
2 Amenazas de los Firewall
La imagen popular del hacker es la de un joven inexperto, con mucho tiempo disponible, intentando meterse
en un sistema por la emoción que eso le representa. Muy probablemente este hacker intente atacarnos por
algunos de los agujeros ya conocidos y que seguramente pueda ser cubierto por un firewall convencional, pero
¿qué pasa con un hacker que sabe, que está a la última sobre los riesgos de la seguridad y tiene las más
novedosas herramientas de cracking? Los hay que se diseñan sus propios ataques específicos, que se hacen
sus propios programas, y que no aprovechan las fisuras de seguridad conocidas, sino que descubren otras
nuevas.
Con esto tratamos de poner de manifiesto que, si surgen nuevas amenazas, un firewall no será capaz de
proteger contra ellas. Hay que tener en mente que continuamente se descubren nuevas fisuras por las que se
puede acceder a un sistema.
Además, los firewalls no pueden protegernos muy bien contra los virus. Hay demasiados modos de
codificación de ficheros para transmitirlos a través de la red y también son demasiadas las diferentes
arquitecturas y virus que intentan introducirse en ellas. En el tema de los virus y los troyanos, la mayor
responsabilidad recae como casi siempre en los usuarios de la red, los cuales deberían tener un mínimo control
sobre los programas que ejecutan y donde los ejecutan.
Como es obvio, Las redes firewall tampoco pueden protegernos de ataques que se producen por cauces
distintos de la red firewall instalada. No es nada inteligente poner una puerta de acero de 10 centímetros de
espesor si se vive en una casa de madera, pero por desgracia, algunas empresas se gastan mucho dinero en
comprar redes firewall caras, descuidando después las numerosas aberturas por las que se puede colar un
intruso (lo que se llaman "back−doors" o "puertas traseras"). Para que una firewall tenga una efectividad
completa, debe ser una parte consistente en la arquitectura de seguridad de la empresa.
Otro ente contra el que los firewalls no pueden luchar es contra el de los traidores y espías que haya en la
propia organización. Es evidente que de nada sirve que se instale una firewall para proteger nuestra red si
existen personas dentro de la misma que se dedican a traspasar información confidencial a través de disquetes
a terceras personas.
Si tienes funcionando un programa firewall de cualquier tipo, no lo dejes todo en sus manos para proteger tu
sistema, la seguridad total es imposible. La única forma de garantizar una total seguridad es no estar
conectado a nada, excepto a la electricidad. Por ejemplo, una organización que posea datos clasificados o de
alto secreto no necesita una red firewall: no deberían conectarse a Internet o, por lo menos, los sistemas con
los datos que son realmente secretos deberían ser aislados del resto de la red de la empresa.
3. Consejos para un Usuario Doméstico
No solo las empresas sufren ataques procedentes de otras redes, ya que un usuario convencional con una
simple conexión a Internet también puede ser atacado. En esta, como en otras facetas de la vida, la prudencia
puede jugar un papel importante: no te conviertas en un objetivo. Para ello no des información personal ni
contraseñas, ni te metas en peleas ni seas provocativo. De esta manera, posiblemente utilices menos tu
firewall. Como es natural, tampoco es aconsejable que aceptes ni ejecutes programas de gente extraña.
CONSEJO 1: "No minusvalore los peligros de la Red".
La Red es un territorio frecuentado por las mismas personas que habitan el mundo físico. Por tanto, al igual
que hay una inmensa mayoría de personas sensatas y respetuosas, puede dar por seguro que habrá gamberros,
acosadores, chantajistas y todo género de delincuentes, que encuentran en las peculiares características del
4
medio digital (como pueden ser la inexistencia de distancias, la facilidad para automatizar los ataques, el
anonimato, etc.) un terreno extremadamente favorable para cometer sus tropelías con la mayor impunidad.
Como consecuencia, del mismo modo que usted nunca se aventuraría a pasear por ciertas zonas de ciudades
desconocidas, no estará de más adoptar algunas precauciones a la hora de transitar los procelosos caminos de
la Red.
CONSEJO 2: "No minusvalore el atractivo de su ordenador para un atacante".
Nunca considere su ordenador poco atractivo para un atacante. Algunos atacantes puedan estar interesados en
entrar en su máquina cualquiera y ,contra lo que pueda pensarse, a muchos intrusos les importa muy poco
quién sea su dueño. Muchos de ellos simplemente se dedican a escanear máquinas al azar. Posteriormente,
una vez detectadas aquellas que presentan huecos fáciles de explotar, pueden decidir entrar e instalarse en
ellas con fines muy diversos, como puedan ser explorar sus datos buscando detalles de interés, asustarle,
divertirse a su costa, hacerle un estropicio en su disco duro o, aun peor, utilizarle como cómplice involuntario
para atacar otras máquinas más importantes que la suya.
No minusvalore jamás la posibilidad de ser atacado: cualquier máquina conectada a la red siempre puede ser
útil para otros. No se preocupe por "si" será atacado; sólo pregúntese "cuándo".
CONSEJO 3: "No sobrevalore a los atacantes".
De la misma forma que nadie debe minusvalorar el atractivo de su máquina para un atacante, tampoco nadie
debería sobrevalorar las capacidades de éste. En contra de la creencia popular, no es en absoluto necesario que
el atacante sea un hacker superdotado. De hecho, una persona con esas capacidades acostumbra a tener
mejores cosas que hacer y, si el riesgo fuera ése, tampoco existiría demasiada gente a la que temer.
Los atacantes suelen ser vulgares aprendices de brujo que han descubierto maneras de atacar y de fastidiar que
funcionan a golpe de ratón, y experimentan tal sensación de poder al utilizarlas, que el juego se acaba
convirtiendo en adicción. La posibilidad de hacer caer webs multimillonarios y que la hazaña obtenga eco en
todos los noticiarios puede ser muy tentadora. Y lo peor de todo es pensar que su propio ordenador puede
convertirse (sin que usted lo sepa) en cómplice y esclavo de alguno de estos ciberonanistas.
CONSEJO 4: No sobrevalore la fortaleza de su máquina.
Si de algo pueden estar seguros los usuarios es de la existencia de fallos potenciales en absolutamente todos
los programas, sistemas operativos, navegadores y sistemas que puedan concebirse. Tomemos un ejemplo de
actualidad: Linux.
Para prácticamente toda la comunidad informática, Linux es mucho más seguro que Windows. Esta
afirmación debería ser transformada en otra, mucho más ajustada a la realidad: Linux PUEDE SER mucho
más seguro que Windows. Linux, al contrario que Windows, tiene un enorme potencial para convertir un
ordenador en una fortaleza casi inexpugnable, ya que pone en manos del usuario todo el código del sistema
para que pueda ser modificado como le plazca. ¿Cuál es la consecuencia de esto? La responsabilidad de
conseguir un sistema seguro pasa a estar en sus manos. Linux no da seguridad instantánea, sino que pone a
disposición del usuario los medios para conseguirla. Como puede suponerse, lograrlo sólo estará al alcance de
5
los que están dispuestos a realizar ese esfuerzo adicional.
Podríamos decir en este aspecto que nada conspira más contra la auténtica seguridad que la falsa sensación de
seguridad.
LA REGLA DE ORO
Los consejos anteriores se resumen en una regla de oro:
TÓMESE EN SERIO LA SEGURIDAD DE SU PROPIO ORDENADOR.
4 Características de un Firewall
Un firewall, debido a su funcionalidad, debe ser capaz de ofrecernos una serie de características mínimas
como puede ser el empleo de una adecuada política de seguridad. Como ya veremos más adelante, esto sólo
no basta, sino que el firewall además debe de ser capaz de poder ofrecer otros servicios como pueden ser el
registro de las operaciones que vaya realizando y el poseer una interfaz fácil e intuitiva que reduzca al mínimo
la posibilidad de que el operario se equivoque a la hora de configurarlo y mantenerlo. Algunas de las
características que definen a un firewall son:
4.1 Política de Seguridad
Consiste en determinar los principios generales en los que debe basarse el diseño de un sistema de seguridad,
en nuestro caso un firewall:
• Política Principal: Todo aquello que no esta expresamente permitido esta prohibido
• Política de Diseño: Encaminada a la minimización y la simplicidad.
• Política de Escepticismo: Tras dotar al firewall de todas las protecciones disponibles se toma en
consideración que se pueden desarrollar nuevas técnicas y que ningún grado de seguridad es absoluto.
4.2 Registro de Operaciones
Como ya dijimos anteriormente, el firewall podía ser utilizado para obtener datos estadísticos acerca de la
afluencia entre ambas redes. Pues bien, para poder realizar esta estadística deberá recoger, como mínimo, la
siguiente información y almacenarla en algún fichero:
• Service Information − fecha, y hora.
• Remote Information − dirección IP del presunto intruso, así como el puerto y el protocolo utilizado.
• Local Information − dirección IP de destino y puerto.
• Filter Information − actuación del filtro y qué adaptador de red lo hizo.
• Packet Information − encabezamiento e información del paquete.
Esta información también es muy útil en caso de producirse un ataque para poder conocer por donde se
ha intentado entrar, cuándo y porqué, cuál ha sido la estrategia que ha seguido el firewall, si el ataque
ha sido o no exitoso... Estos datos nos van a permitir poder hacer un seguimiento sobre el
funcionamiento del firewall.
4.3 Interfaces
Con una política de seguridad lo suficientemente hermética y un firewall eficaz, el mayor riesgo provendrá de
6
un error humano del administrador del firewall. Estos pueden incorporar un gran número de funciones que
complican su trabajo de administración. Los firewall que cuentan con una buena interfaz reducen la
posibilidad de errores humanos y simplifican el trabajo del administrador del firewall.
Una interfaz fácil de utilizar y con un número mínimo de opciones de configuración reduce la posibilidad de
que se produzcan errores de administración. Naturalmente, un número menor de opciones de configuración
puede significar también menor flexibilidad de configuración.
Existen tres clases de interfaz del administrador de firewalls:
• Administración basada en ficheros de texto.
• Administración basada en menús de texto.
• Administración basada en GUI.
La interfaz basada en ficheros de texto es la de uso más extendido en lo que respecta a los firewalls de
elaboración propia. Este tipo de interfaces permiten al administrador editar un archivo específico donde puede
introducir parámetros de configuración específicos. Se trata de la interfaz de elección para los administradores
de sistemas UNIX tradicionales, dado que ofrece una interfaz de control a bajo nivel con los mecanismos del
firewall. La desventaja de dicho control a bajo nivel es que resulta mucho más fácil cometer errores, ya que, al
editar un fichero, pueden producirse errores de escritura u otros errores técnicos que, en un sistema basado en
menús, es menos probable que ocurran.
La interfaz de administrador basada en menús de texto presenta un menú basado en texto que reduce la
probabilidad de producirse errores pero que proporciona menor capacidad de control para el administrador.
Sin embargo, la posibilidad de error no queda totalmente excluida, dado que el administrador no siempre
puede ver el efecto de algunos cambios.
La interfaz gráfica de usuario, o GUI, para administradores incorpora ventanas, botones, menús desplegables
y pantallas de ayuda que facilitan el trabajo de configuración. La mayoría de proveedores ha optado por
incluir esta interfaz en sus productos, puesto que tiende a ser más fácil de utilizar y no es susceptible a muchos
de los errores que pueden producirse en los otros dos tipos de interfaz.
4.4 Autenticación de Usuarios
La dirección IP del host origen se emplea para efectuar el control básico de acceso. Sin embargo, esta
dirección puede ser suplantada fácilmente, especialmente por hosts que forman parte de la misma red.
Además, en el caso de conexiones procedentes de hosts multiusuario, la dirección de éstos no permite
distinguir un usuario de otro. La mayoría de firewalls a nivel de aplicación soportan la autenticación de
usuarios para algunos servicios de red. Para ello, el firewall interrumpe la conexión y solicita a los usuarios
que se identifiquen antes de continuar la conexión hacia el destino deseado.
Sin embargo, la mayoría de protocolos de servicio de red no toleran dicha interrupción y, por lo tanto, no
pueden soportar los métodos de autenticación, como contraseñas y tarjetas inteligentes. Otros protocolos
como el correo electrónico o los grupos de noticias no establecen una conexión directa con el usuario, por lo
que no es posible solicitar información para la identificación.
Los servicios de red estándar que contemplan la posibilidad de que un firewall pueda realizar funciones de
autenticación son Telnet y FTP. Algunos firewall soportan también la autenticación para los servicios X11 y
HTTP.
Los mecanismos estándar de autenticación que ofrecen los firewalls en la actualidad son contraseñas
convencionales, tarjetas inteligentes y servicios S/Key. El mecanismo de contraseñas convencional emplea
7
contraseñas multiuso y no es recomendable utilizarlo en Internet porque las contraseñas pueden ser
interceptadas y empleadas más adelante por un intruso. Las tarjetas inteligentes verifican la identidad de un
usuario devolviendo una respuesta única basada en un número aleatorio, que proporciona el firewall. Los
usuarios responden introduciendo el número en un dispositivo autentificador, que calcula la respuesta
apropiada.
4.5 Correlación de Direcciones
Antes de producirse el auge de Internet, muchas organizaciones poseían redes privadas desprovistas de
conexión con otras redes también privadas. Como estaban aisladas entre sí, no tenían que solicitar a las
autoridades de Internet direcciones de red no utilizadas. En lugar de ello, escogían cualquier clase de dirección
IP que les apetecía.
Con el advenimiento de la Internet como parte de la infraestructura global, estas organizaciones han
comenzado a conectarse a Internet y no pueden utilizar las mismas direcciones porque probablemente ya han
sido asignadas a otro usuario.
Naturalmente, las organizaciones podrían solicitar una clase de dirección única, pero resultaría muy costoso
cambiar todas sus computadoras y es difícil obtener las direcciones IP.
Otra solución consistiría en que el firewall correlacionara direcciones origen legales con direcciones de
Internet legales en el momento que abandonan la intranet interna. En esta situación, es necesario
descorrelacionar la dirección de destino de los paquetes de retorno o restaurarla a la dirección original.
En realidad, la correlación de direcciones no es una cuestión de seguridad, pero el firewall está situado
generalmente en el punto ideal de la arquitectura de la red, a fin de proporcionar este servicio.
Una razón plausible para tener o mantener direcciones ilegales en la red es que puede poner trabas a los
intrusos que hayan podido entrar en la misma evitando el firewall. En este caso, los paquetes del intruso
pueden encontrar dificultades para llegar a la red, ya que los protocolos de direccionamiento estándar los
dirigirán hacia el propietario de la dirección real. Ésta es una protección adicional mínima y, probablemente,
no compensa la reducción de la velocidad y el aumento de la complejidad al tener que correlacionar todas las
direcciones.
4.6 Restricciones de Día y Hora
La política de seguridad puede variar en función de del día de la semana y la hora del día. Por ejemplo, es
posible permitir transferir archivos a Internet durante las horas laborales normales, aunque no durante los fines
de semana o después de las 6 de la tarde. Algunos firewall permiten basar las reglas de acceso o listas de
acceso en la hora del día y el día de la semana.
4.7 Control de la Carga
El control de la carga es una característica que ofrecen muy pocos firewalls. Para la mayoría de estos, cuando
se permite el acceso, el host o la red pueden efectuar un número ilimitado de conexiones. Es útil poder
establecer limitaciones al número de conexiones simultáneas con un host o una red de hosts que puede haber
activas. Esta característica puede ayudar a impedir ataques por inundación, mediante los cuales un pirata
informático inunda la red con conexiones a fin de ocultar el ataque real.
4.8 Canalización
La canalización es la capacidad de combinar múltiples servicios de aplicación en una única conexión. Los
8
intrusos emplean en ocasiones esta técnica para disfrazar un servicio no autorizado (por ejemplo, FTP) como
servicio autorizado (como el correo electrónico).
Un firewall puede proporcionar también la característica de canalización para permitir a dos sitios de una
compañía compartir servicios en Internet que no serían autorizados normalmente a través del mismo.
5 Tipos de Firewalls
Existen tres tipos fundamentales de firewalls, pudiendo catalogarse en función al nivel en el que se
encuentren. Esto no siempre es cierto ya que un firewall, para ser completo, deberá estar presente en todos los
niveles.
5.1 Filtrador de Paquetes (Packet Filter)
Va a analizar la información contenida dentro de los paquetes IP antes de permitirles el acceso o no al
ordenador. Para ello va a coger los paquetes IP y les va a aplicar unas reglas de filtrado. Normalmente se
implementa mediante un router con 2 interfaces de red: uno de cara al interior y otro de cara al exterior.
Algunos firewalls de este estilo permiten establecer también filtros a nivel de puertos, con lo que podremos
determinar que servicios dejamos pasar y cuales no. Además, algunos routers utilizan el bit de ACK del
protocolo IP para el reconocimiento de la conexión. Cuando este bit está activo, quiere decir que el paquete
está esperando la respuesta de otro paquete anterior que hemos lanzado nosotros. Usando esta técnica algunos
firewalls permiten pasar cualquier tipo de información pero si y solo si la comunicación ha sido iniciada por
una máquina interna.
El firewall va a contener en su interior una lista de filtros a aplicar. Estos filtros se aplican a los paquetes
secuencialmente, de forma que si el paquete es aceptado por uno de ellos pasará al sistema, mientras que si no
es así se le aplicará el siguiente filtro. Como es obvio, el último filtro no va a permitir el acceso a nada.
Fig 2. Funcionamiento de un Filtrador de Paquetes
5.2 Pasarelas a Nivel de Aplicación
Es el extremo opuesto a los filtradores de paquetes. En lugar de filtrar el flujo de paquetes, tratan los servicios
por separado, utilizando el código adecuado en cada uno de ellos. Es probablemente el sistema más seguro, ya
que no necesita utilizar complicadas listas de acceso y centraliza en un solo punto la gestión del servicio,
además de que nos permitirá controlar y conocer información de cada uno de los servicios por separado.
9
Este tipo de firewalls es la única solución efectiva para el tratamiento de servicios cuya conexión debe ser
iniciada desde el exterior. Servicios como FTP, Telnet o E−Mail deberán tratarse con esta categoría de
firewall.
En realidad, lo que suele hacerse a la hora de trabajar con este sistema de protección es establecer una puerta
de acceso para cada servicio. Como esta puerta es de uso obligatorio, podemos establecer sobre ella los
criterios de control que mejor nos convengan. Una vez sobrepasada la puerta, puede ocurrir que la propia
pasarela ofrezca el servicio de forma segura o que se establezca una conexión con un ordenador interno que
realmente ofrezca el servicio, teniendo a éste último configurado para aceptar conexiones tan solo de dentro a
afuera.
Fig 3. Pasarela a nivel de aplicación
5.3 Pasarelas a Nivel de Red
Se basan en el control de las conexiones TCP y su manera de actuar es la que sigue: por un lado reciben las
peticiones de conexión a un puerto TCP y por el otro se establecen las conexiones con el destinatario deseado
si se han cumplido las restricciones de acceso establecidas.
Normalmente, este tipo de firewalls trabajan junto a los servidores proxy. Si la acreditación es positiva se
entabla la conexión. Por su forma de trabajar son muy adecuados para la recogida de información.
Este tipo de firewalls suele ser el más adecuado para el tratamiento de conexiones salientes, y con él no será
nada complicado establecer restricciones sobre los ordenadores a los que se puede acceder o limitar el
máximo de accesos permitidos.
5.4 Configuraciones de Firewalls
Acabamos de ver los 3 tipos de firewalls que existen, pero los hemos tratado de forma independiente, no como
sistema. Cuando se realiza un firewall suelen emplearse todos o algunos de los tipos vistos anteriormente.
Esto se debe a que cada uno de ellos realiza la protección a un nivel distinto, desde los paquetes de red,
pasando por los puertos y llegando hasta el servicio propiamente dicho. De esta forma, cuanta más seguridad
queramos, más componentes deberemos emplear en nuestro firewall.
Fig 4. Un firewall completo
El futuro de las firewalls se encuentra a medio camino entre las firewalls a nivel de red y las firewalls a nivel
de aplicación empleando filtradores de paquetes. El resultado final de los estudios que se hagan será un
sistema rápido de protección de paquetes que conecte y audite datos que pasan a través de el. Cada vez más,
las firewalls tanto a nivel de red como de aplicación incorporan encriptación de modo que pueden proteger el
tráfico que se produce entre ellas e Internet. Este tipo de firewall se puede utilizar por organizaciones con
múltiples puntos de conexión a Internet para conseguir utilizar Internet como una "central privada" donde no
sea necesario preocuparse de que los datos o contraseñas puedan ser capturadas.
6 Host Bastion
Probablemente, los hosts bastión son los tipos de firewall más comunes en el ámbito de las empresas,
formando parte de un sistema de firewall más complejo.
La arquitectura basada en un host bastión consiste en un terminal que va a estar configurado para resistir los
ataques procedentes del exterior. El blindaje del host bastión es importante porque se sitúa normalmente en un
lugar expuesto directamente a Internet. Al igual que la mayoría de firewalls, el host bastión posee una
10
conexión a la red interna y otra conexión a la red exterior (por lo general Internet). Esta forma de host bastión
obligaba a los usuarios del interior a registrarse en el firewall y a efectuar desde el host bastión todas sus
acciones con la red exterior. Su ventaja radicaba en el hecho de que esta configuración aislaba a los hosts
internos del exterior, pero afectaba considerablemente la capacidad de los usuarios para interaccionar con la
red exterior. A medida que evolucionó la tecnología de los bastiones, fueron agregándoseles aplicaciones
proxy con el fin de que actuaran en representación del usuario. El resultado de esta evolución es la
arquitectura basada en una pasarela a nivel de aplicación descrita anteriormente.
Fig 5. Un Host Bastion
Los hosts bastión pueden ser sustituibles, ya que van a estar configurados para resistir los ataques, pero si son
vulnerados van a suponer una amenaza para la red interna. De este modo, ningún host que se encuentre dentro
de ésta red interna debe confiar en ellos.
7 Integración con el Entorno
7.1 Integración de los firewalls con la auditoría de la Intranet.
Un gran número de sistemas operativos, como Windows NT y la mayoría de versiones de UNIX, incluyen
mecanismos de auditoría en línea que vuelcan registros de auditoría sobre ficheros de registros.
Estos registros presentan dos desafíos. En primer lugar, puesto que aumentan de tamaño, los administradores
de las intranets deben proporcionar medios para interpretar y utilizar la información auditada. Las
herramientas para la detección de intrusiones son prometedoras en este aspecto.
En segundo lugar, los administradores de firewall deben determinar una forma de combinar estos registros de
auditoría con los registros generados en la pasarela a nivel de aplicación a fin de descifrar los detalles de
ataques potenciales que pueden haberse producido. Lamentablemente, los formatos estándar de los registros
de auditoría no gozan de una amplia aceptación, lo cual dificulta una fácil compatibilidad.
7.2 Integración de los firewalls con los controles de acceso.
Cualquier control de acceso básico que puede obtenerse en un sistema operativo, aplicación o producto de red
necesita también coordinarse con la protección que ofrece un firewall. De hecho, a medida que la seguridad de
las redes evolucionó y maduró a lo largo de las décadas de los 70 y 80, la mayoría de redes de las
organizaciones gubernamentales y privadas confiaban en los controles de acceso convencionales de los
11
sistemas operativos y las aplicaciones como principal estrategia de protección.
Sin embargo, el problema principal de dicho enfoque residía en el hecho de que, para proteger adecuadamente
todos los elementos de una empresa determinada por medio de los controles de acceso ofrecidos por el
sistema operativo y las aplicaciones, era necesario garantizar antes un cierto nivel de uniformidad entre dichos
sistemas operativos y las aplicaciones. Si, por ejemplo, una empresa hubiera tenido diez sistemas operativos
diferentes ejecutándose en diez plataformas distintas, habría sido prácticamente imposible establecer una
estrategia de seguridad uniforme para todos los sistemas operativos y las aplicaciones. Pero las empresas no
están prácticamente nunca dispuestas a deshacerse de sus sistemas operativos y aplicaciones por razones de
seguridad.
Este problema básico de integrar la seguridad del sistema operativo y de las aplicaciones en una empresa
típica ayuda a explicar la gran aceptación que tienen los firewalls. Si se instala una defensa de perímetro en la
red de una empresa, los sistemas operativos y las aplicaciones internas dejan de ser tan vulnerables a un
ataque y, presumiblemente, causa de preocupación.
Así pues, un firewall permite establecer protecciones por control de acceso uniformemente en el perímetro y a
medida que se necesitan dentro de los sistemas operativos y las aplicaciones de la empresa, tanto en los que
son seguros como en los que no lo son.
7.3 Integración de firewalls con los navegadores WEB.
El advenimiento de la web ha hecho que un gran número de usuarios comiencen a interactuar con un firewall
principalmente a través de su navegador de web. Por ello, es buena idea comprender de qué forma se integran
habitualmente los firewalls con las funciones de los navegadores de web.
Existen dos posibilidades distintas para integrar un navegador con un firewall. En el primer caso se incluye en
la intranet una función proxy genérica para firewall, normalmente basada en socks, que nos va a permitir el
tráfico de salida de la intranet pero no el de regreso hacia ésta.
El segundo enfoque de configuración de un firewall es el más convencional, basado en proxies específicos
para cada protocolo. La configuración de estos proxies consiste simplemente en especificar la ubicación del
proxy correspondiente a cada protocolo seleccionado. Para realizar esta simple configuración es necesario
conocer los nombres de las máquinas y los números de los puertos.
8 Puertos y Servicios
Los computadores, para comunicarse entre sí, utilizan una especie de conectores virtuales denominados
puertos. Estos puertos no deben confundirse con los puertos hardware que existen en los computadores, como
pueden ser el puerto serie, el puerto paralelo... en este apartado hablaremos de puertos de comunicaciones.
Podemos hacernos una idea del concepto comparando un ordenador con un terminal de teléfono. El teléfono
permite llamar a miles de números diferentes, así como recibir llamadas realizadas desde cualquiera de ellos.
Sin embargo, el teléfono no necesita para ello disponer de miles (o millones) de clavijas físicas, ya que a
través de una única salida (y un único cable) se puede llamar al número que se desee y/o recibir llamadas
desde cualquier número.
El ordenador funciona de forma similar. Para establecer una conexión entre 2 equipos será necesario
proporcionar el número que identifica al ordenador con el que desea conectar (conocido por su dirección IP) y
el número que identifica un determinado puerto al que se desea acceder de esa máquina concreta. Si esa
dirección IP está disponible para recibir peticiones en ese puerto, la comunicación se establece conforme a
unas reglas preestablecidas denominadas protocolos. Por lo general, un equipo de usuario actuará como
12
cliente, que solicita información disponible en un servidor, donde se ejecutará un determinado servicio
dedicado a satisfacer ese tipo de peticiones. Aún así, la transmisión de datos acostumbra a ser bidireccional,
de modo que el servidor llamado también necesita enviar los datos solicitados a algún puerto del cliente. Por
último, la transmisión de datos entre ambas máquinas no se realiza en forma de flujo continuo, sino como una
serie de paquetes individuales, cada unos de los cuales lleva en su cabecera los datos de identificación
necesarios para llegar a su destino y ser reubicado allí en el lugar que le corresponda para recomponer el
mensaje original.
Fig 6. Comunicación bidireccional cliente − servidor
Cuando hablamos de servicios nos referimos a protocolos a nivel de aplicación. Estos servicios se identifican
mediante el número del puerto de destino, teniendo estos servicios números de puertos conocidos que son
fijos (como por ejemplo telnet, que tiene el puerto 21).
Para que una aplicación pueda utilizar un servicio determinado va a emplear la técnica vista anteriormente: se
establece la comunicación entre una dirección IP y un puerto determinado de esa dirección IP. Es muy
importante que los firewall nieguen cualquier servicio que no puedan reconocer y que el cliente NO tenga
abiertos los puertos que ofrecen servicios propios de un servidor.
El rango de numeración de los puertos abarca desde 0 a 65535. Dentro de ese rango, se diferencian tres
subcategorías:
• Los puertos 0−1023 se denominan Puertos Conocidos (Well Known Ports) dado que su uso está
estandarizado y se limita por lo general a usuarios privilegiados y procesos del sistema.
• Los puertos 1024−49151 se denominan Puertos Registrados y son utilizados por los programas y
procesos de los usuarios normales.
• Los puertos 49152−65535 se denominan Dinámicos o Privados.
El funcionamiento de los servicios se entenderá mejor con un ejemplo. Cuando un usuario teclea una
dirección web está haciendo una llamada al puerto 80 (www) de un servidor, desde un puerto (a partir del
1024) del computador desde el que llama, que va a ser el cliente. Si está disponible, el servidor web
responderá a ese mismo puerto de su ordenador, y se establecerá entre ambos el intercambio de datos.
A la vista de este simple ejemplo, se puede ver que no podemos bloquear todos los puertos de nuestros
ordenadores, puesto que nos quedaríamos incomunicados. No obstante, también se hace evidente que si
mantenemos abiertos puertos innecesarios, ofreciendo al exterior servicios que no deseamos ofrecer, nuestro
ordenador hará de servidor (quizás sin nuestro conocimiento) y cualquiera podrá conectarse a nuestra máquina
y establecer comunicaciones con ella, con muy diversos fines. El ordenador de un usuario doméstico
generalmente necesitará ser capaz de iniciar comunicaciones y sostenerlas, pero no tiene ningún sentido que
atienda peticiones de servicios no autorizadas originadas en el exterior. Puesto que −como ya hemos dicho−
los paquetes de datos llevan identificadores de su origen y destino (y otros). De esta forma ya podemos
entrever que:
• Filtrar adecuadamente estos paquetes
• Controlar los puertos
• No ofrecer servicios innecesarios
13
Van a ser los tres pilares fundamentales de nuestro futuro sistema de seguridad. Empezamos así a
aproximarnos al concepto mismo de firewall personal.
Para finalizar con este apartado, he aquí una lista de servicios mínimos y básicos soportados por la mayoría de
los firewalls y una breve descripción de los mismos:
8.1 Servicios Internet Integrados en UNIX
DNS (Protocolo TCP o UDP número de puerto 53)
Por lo general, el Domain Name System. (DNS) no es un servicio que utilicen directamente los usuarios.
Consiste en una base de datos utilizada para asociar nombres a direcciones IP. Cuando un usuario solicita
conectarse a un host, la aplicación de red llama al DNS para averiguar la dirección IP asociada al host.
Los servidores DNS comparten información, siendo precisamente de esta capacidad de la que debemos
protegemos, debido a que no es deseable que ningún servidor DNS de Internet pueda actualizar los nombres
de servidor de la red propia. En una situación de este tipo, los atacantes pueden redefinir la dirección de un
host externo a la Intranet con una dirección de confianza de la red con la dirección de un host interno.
El firewall debe permitir a los servidores DNS de la red propia el acceso a servidores de nombres del exterior
e incluso su actualización con direcciones nuevas, negando a los externos poder actualizar los registros de los
servidores de nuestra red.
RPC (Protocolos TCP, UCP)
Remote Procedure Call (RPC) fue desarrollado inicialmente por Sun Microsystems y se basa en un concepto
muy simple: un computador hace una llamada a un servidor solicitándole un servicio. A partir de entones, se
creará en el cliente un `representante' de ese servicio, de tal forma que cualquier proceso lo pueda invocar
localmente, al igual que lo haría con cualquier otra rutina del Sistema Operativo. Este `representante' se
encarga simplemente de transmitir las llamadas al servidor real para que éste las procese y devuelva la
respuesta, que será entregada al usuario a través del `representante'.
E−MAIL (Protocolo TCP Puerto número 25)
Mail, o "e−mail", es uno de los servicios más utilizados en Internet. Permite a los usuarios enviar mensajes sin
que sea necesario establecer una conexión directa entre el host remitente y el host destinatario. Un mensaje de
correo puede recorrer un gran número de hosts antes de llegar a su destino. El protocolo de correo estándar
que se emplea en Internet es el Simple Mail Transfer Protocol (SMTP).
Otro protocolo de mensajería muy empleado es el POP, que permite a un agente de usuario de correo recoger
los mensajes destinados a un usuario concreto.
También se ha desarrollado otro protocolo: Multipurpose Internet Mail Extensions (MIME), que permite
transmitir mensajes con una semántica adicional en el contenido, como puede ser la transmisión de caracteres
extendidos, distintos del ASCII, que soporta SMTP. También permite la ejecución automática en el ordenador
receptor de cualquier programa, si no se establecen los mecanismos de protección adecuados.
8.2 Servicios de Transferencia de Ficheros
FTP (Protocolo TCP Puerto número 21)
FTP o File Transfer Protocol (protocolo de transferencia de archivos). Se trata del protocolo estándar para
14
transferir archivos entre sistemas que soporta una autenticación sencilla de contraseñas.
Permite la transmisión de ficheros de texto y binarios, aparte de funciones sencillas de gestión de los
directorios como puede ser listar o borrar los ficheros remotos.
El sistema FTP más utilizado en Internet es el FTP Anónimo, que permite a usuarios no autorizados recoger
ficheros de una zona restringida del disco.
Para cada archivo FTP o transferencia de información, se establece habitualmente una conexión de red aparte
desde el host de destino hacia el host desde donde se origina la conexión FTP. El firewall debe ser capaz de
permitir esta segunda conexión en el sentido contrario ya que si no, no se transferirán los datos. Por lo general,
un puerto origen TCP de 20 identifica la conexión de datos.
NFS (Protocolo UDP, Puerto número 2049)
Network File System (NFS) permite a los usuarios compartir sistemas de ficheros con otros usuarios. Este tipo
de característica es un estándar de las redes de PC como Novell Netware o Microsoft Windows. El NFS
estándar proporciona muy poca seguridad y, por eso, es vulnerable a los ataques.
La mayoría de expertos en firewall recomiendan no permitir conexiones NFS a través del firewall, aunque
muchos administradores de intranets ,especialmente en entornos académicos, no están dispuesto a prescindir
de este servicio. De todos modos, las pasarelas a nivel de aplicación no soportan habitualmente este servicio y
el filtrado de paquetes no elimina el riesgo que trae el mismo.
8.3 Servicios de Conexión
Telnet (Protocolo TCP Puerto número 23)
TeInet es el protocolo y aplicación estándar para la entrada en sistemas remotos. Una sesión de Telnet suele
iniciarse invocando al proceso de login, para que el usuario se acredite e inicialice la sesión.
Proporciona una conexión entre dos sistemas basada en carácter. Todos los firewall de pasarela a nivel de
aplicación lo soportan. Muchos de ellos pueden además autentificar el usuario Telnet en el propio firewall.
rLogin (Protocolo TCP, Puerto número 513)
El comando rlogin (login remoto) es utilizados para acceder desde un sistema local a otro remoto. Pero no se
recomienda su uso para acceder a/o desde Internet porque la mayoría de ellos no soportan funciones
adecuadas para la autenticación de usuarios.
X11 (Protocolo TCP Puerto número 6.000 y superiores)
X11 se emplea principalmente en el entorno gráfico de usuario, de uso generalizado en estaciones de trabajo
UNIX. La mayoría de servidores X soportan más de un puerto Xserver 6.001, y es posible emplear números
de puerto superiores a este último.
X11 va a permitir a una aplicación remota presentar gráficos y aceptar órdenes de un ratón en una estación de
trabajo X o en un PC que soporta una interfaz XWindows. Sin embargo, esta potencia se proporciona a
expensas de un cierto riesgo para la seguridad, ya que la aplicación remota puede tomar completamente el
control de la pantalla, del teclado e incluso del ratón. Si tiene previsto establecer conexiones X11 desde
Internet, el firewall debe poder soportar este tipo de operaciones, además de filtrar las conexiones o comandos
X11 no deseados.
15
8.4 Servicios de Información
WWW (Protocolo TCP Puerto número 80 y otros)
Probablemente, la World Wide Web (WWW) es la principal responsable del repentino interés y expansión que
ha experimentado Internet actualmente. El principal protocolo de servicio empleado por la Web es el
Hypertext Transfer Protocol (HTTP), que permite a los usuarios transferir documentos desde un servidor
HTTP Este protocolo está soportado por aplicaciones cliente gráficas conocidas como navegadores o
browsers.
Generalmente, un ordenador cliente contacta con un servidor, al cual envía una referencia a una información.
El servidor contestará con un fichero o con referencias a otros servidores donde puede encontrarse la
información solicitada.
Son varios los problemas de seguridad que se han relacionado con el HTTP y, principalmente, a los servidores
y navegadores asociados al mismo ya que, entre otras cosas, nunca salen al 100% libres de errores.
Network News (Protocol TCP Puerto número 119)
El servicio de noticias es otro servicio de uso bastante generalizado. Permite a los usuarios acceder a grupos
de noticias a fin de leer información o de participar en debates. Los grupos de noticias constan de una serie de
mensajes que tienen un tema común. Los usuarios pueden leer estos mensajes y agregar los suyos propios.
Existe un grupo de noticias para prácticamente cualquier tema imaginable. El protocolo empleado es el
Network News Transfer Protocol (NNTP), que es similar al SMTP empleado en el correo electrónico.
IRC (Protocolo TCP, puerto número 6667)
La aplicación Internet Relay Chat (IRC) ofrece la posibilidad de participar en conferencias con múltiples
usuarios en un entorno de texto. Con una aplicación IRC cliente, un usuario puede ponerse en contacto con un
servidor IRC y unirse a una conversación.
La principal amenaza asociada a este servicio no es inherente al protocolo, sino que representa más bien una
amenaza de ingeniería social. Entre otras cosas, la ingeniería social es el acto que puede perpetrar un atacante
para obligar a un usuario o administrador a que proporcione información de autenticación o a que reduzca los
controles de seguridad. Un usuario de Internet puede intentar convencer a un usuario interno para que
modifique la configuración de su computadora a fin de proporcionar una característica determinada. Dicha
modificación puede ser un método del que le servirá al usuario externo para penetrar en la computadora del
usuario interno. Un proxy IRC situado en el firewall no tiene una gran utilidad para contrarrestar esta
amenaza.
Finger (Protocolo TCP, puerto 79)
El servicio finger fue desarrollado para permitir a los usuarios de una red poder localizar a otros usuarios.
Gracias a finger es posible averiguar nombres de entrada en el sistema (logins), y los nombres reales de los
usuarios. Esta es una información valiosa para un intruso potencial, por lo que el firewall debe prohibir
cualquier solicitud de finger procedente del exterior. Una alternativa para descartar las solicitudes de finger
procedentes del exterior es tener un proxy de finger que muestre un mensaje estándar como "Esta red no
soporta el servicio finger".
9 Glosario de Términos Relacionados con Firewall.
En esta lista aparecen algunos términos vinculados de alguna manera con los firewall. Como son muchísimos
16
sólo se han recogido algunos de ellos, y son:
• Abuso de privilegio: se produce cuando un usuario realiza una acción que no tiene asignada de
acuerdo a la política organizativa o a la ley.
• Ataque interior: es un ataque originado desde dentro de la propia red protegida.
• Autentificación: proceso que determina la identidad de un usuario que está intentando acceder a un
sistema.
• Autorización: proceso destinado a determinar que tipos de actividades se permiten. Normalmente la
autorización se encuentra en el contexto de la autentificación: una vez autentificado el usuario en
cuestión, se les puede autorizar realizar diferentes tipos de acceso o actividades.
• Bastion Host: un sistema que ha sido configurado para resistir los ataques y que se encuentra
instalado en una red en la que se prevé que habrá ataques. Normalmente, un bastion host está
ejecutando alguna aplicación o sistema operativo de propósito general (como: UNIX o WNT) más
que un sistema operativo de firewall.
• Detección de intrusión: detección de rupturas o intentos de rupturas bien sea manual o vía sistemas
expertos de software que atentan contra las actividades que se producen en la red o contra la
información disponible en la misma.
• Dual Homed Gateway: es un sistema que tiene 2 o más interfaces de red, cada uno de los cuales está
conectado a una red diferente. En las configuraciones firewall, un "dual homed gateway" actúa
generalmente, como bloqueo o filtrador de parte o del total del tráfico que intenta pasar entre las
redes.
• Logging: el proceso de almacenamiento de información sobre eventos que ocurren en el firewall o en
la red.
• Política: reglas de gobierno a nivel empresarial / organizativo que afectan a los recursos informáticos,
prácticas de seguridad y procedimientos operativos.
• Proxy: un agente software que actúa en beneficio de un usuario. Los proxies típicos, aceptan una
conexión de un usuario, toman una decisión al respecto de si el usuario o cliente IP es o no un usuario
del proxy, quizás realicen procesos de autentificación adicionales y entonces completan una conexión
entre el usuario y el destino remoto.
• Router − Encaminador −: dispositivo destinado a conectar 2 o más redes de área local y que se
utiliza para encaminar la información que atraviesa dicho dispositivo.
• Screened Host: un host detrás de un router protegido. El grado en que el host puede ser accesible
depende de las reglas de protección del router.
• Screened Subnet: una subred detrás de un router protegido. El grado en que la subred puede ser
accesible depende de las reglas de protección del router.
Conclusiones
La ventaja obtenida de poder obtener información contenida en varias redes trae consigo muchas dificultades
en cuanto a la seguridad y privacidad. No debemos olvidar que una red es tan débil como su punto más
17
vulnerable y, que en el caso de Internet, los protocolos no fueron diseñados para sostener comunicaciones
seguras.
La red es usualmente la parte mas insegura de una organización. Por consiguiente, se deben desarrollar
políticas de seguridad para poder prevenir cualquier acceso no autorizado a la misma como pueden ser
hackers o usuarios de la misma red que no deberían tener acceso a ciertos recursos del sistema. Estas políticas
deben ser más exigentes sobretodo si dicha organización cuenta con un acceso a alguna red pública, como
puede ser Internet.
Un usuario casero, aunque no se de cuenta, tampoco debe descuidar el acceso indiscriminado a su ordenador,
ya que la supresión o el acceso a cierta información relevante acerca de él puede costarle más de un disgusto.
Lo mas seguro es no tener acceso a nada, pero esto no nos produciría ninguna ventaja. La mejor solución pasa
por permitir ciertas clases de accesos y negar otros. Esta clase de seguridad se puede implementar mediante un
Firewall.
Referencias
Novatica , Seguridad e Informática. Número 116. Julio − Agosto de 1995
www.kriptopolis.com
www.geocities.com/multi_educa/rpv.html
www.cyberangels.org/international/espanol/net−ed/firewalls.html
www.geocities.com/TimesSquare/Alley/8532/proxiesII.txt
www.geocities.com/siliconvalley/way/4651/seguridad/firewalls/
El contenido de estas direcciones se encuentra referido al mes de Abril de 2001
Seguridad en Redes: Firewalls
21
Ampliación de Sistemas Operativos
Filtrador de paquetes
Pasarelas a nivel de aplicación
Pasarelas a nivel de
red
Nivel mas alto
Red externa
(dudosa confianza)
18
Red interna
(entera confianza)
Paquete IP
Packet Filter
Paquete aceptado
Paquete denegado
Mayor contacto directo con la información
Red exterior
Red interior
Host Bastion
Puerto de acceso
al Servidor
Puerto de acceso
al Cliente
Cliente
Servidor
19
Descargar