FIREWALLS

Diseo y Panormica Actual

anaXmon Comunidad DragonJAR La seguridad no fue uno de los principios fundamentales de diseo de las primeras redes y protocolos entre los 60s y 70s, razn por la cual se han desarrollado tecnologas para complementar dichos sistemas y aadirles una capa de seguridad de la que carecan. Una de las ms trascendentales han sido los firewalls, con ms de 25 aos de antigedad, que han sufrido una evolucin increble en trminos de complejidad y efectividad, a tal punto de ser prcticamente imprescindibles para cualquier red informtica de la actualidad. Vamos a darle una mirada profunda a sus caractersticas y topologas, al tiempo que repasamos algunas recomendaciones de diseo y conocemos los ms utilizados actualmente a nivel empresarial. FIREWALLS La definicin ms sencilla para un firewall es que es un dispositivo que filtra el trfico entre una red protegida (interna) y una red insegura (externa), con el objetivo de proteger la red interna de la gran cantidad de amenazas provenientes de la red externa. Para lograrlo se implementan polticas o reglas que indican qu hacer ante diferentes tipos de trfico. Debido a que constituye un punto nico de falla y un cuello de botella para el trfico de la red, la teora ha sugerido que deberan ejecutarse en una mquina dedicada sin tener otros servicios habilitados, esto con el fin de agudizar su desempeo y reducir las posibilidades de compromiso por parte de atacantes (a menor nmero de servicios habilitados mayor dificultad para atacar el sistema). Sin embargo esta tecnologa ha evolucionado hasta alcanzar una integracin con otros sistemas generando nuevos conceptos conceptos tales como Deep Packet Inspection y UTM (Unified Threat Management). Deep Packet Inspection: Firewalls que se integran con sistemas IDS e IPS para analizar a profundidad el trfico que lo atraviesa. Dicha integracin eleva de forma importante el nivel de seguridad de la solucin, al chequear la carga til (payload) de los paquetes y evaluarla utilizando heurstica e identificacin de firmas para tomar decisiones con respecto al procesamiento del paquete. UTM: Corresponden a la tendencia ms seguida en la actualidad y ampliamente difundida en las empresas. Consolidan gran cantidad de servicios de seguridad en una sola mquina, como VPN, IDS, IPS, Mail Gateway, Antivirus, Antispam, Web Proxy, NAT, DHCP Server, entre muchos otros. Este tipo de sistemas se ubican en el borde del permetro para proteger la red interna y brindar servicios tanto al exterior como interior de la red. Ofrece un sin nmero de ventajas, aunque constituyen un punto nico de falla de altsima importancia para la red al reunir tantos servicios en un solo dispositivo. TIPOS DE FIREWALL Es importante recalcar que la seleccin e implementacin de un firewall depende completamente de las necesidades de la organizacin antes que de las caractersticas propias del firewall, es decir, no hay un diseo universal que aplique a cualquier infraestructura. Existen 3 grupos grandes de firewalls: 1. GATEWAY FIREWALL Controla el trfico con base en la informacin contenida en las headers de los paquetes referentes a direcciones IP (origen y destino), puertos (origen y destino) y protocolos. Existen 2 categoras dentro de este grupo: - Packet filter Fue la primer tecnologa de firewalls que vio la luz a finales de los 80s y principios de los 90s, consistente en filtrar cada paquete de forma independiente con base en IP fuente, IP destino, puerto fuente, puerto destino y protocolo. Ofrecen ventajas en su alto desempeo y bajo costo, pero presentan una debilidad mayscula en el hecho que al manejar cada paquete de forma aislada son incapaces de reconocer diversos tipos de ataques como flooding o DDoS, por tal motivo se conocen como firewall stateless, es decir, que no son conscientes de las sesiones o conexiones que recibe. Las ACL de algunos routers son un ejemplo de packet filtering, en el que cada paquete se compara contra una tabla de reglas de IP, puertos y protocolos. Este caso no es muy recomendable, lo ms adecuado es usar un router endurecido dedicado nicamente a enrutamiento y un firewall detrs encargado de realizar el filtrado del trfico, as el desempeo del router no se afecta y se optimiza el desempeo de la red. - Stateful Inspection Desarrollado por Check Point Software Technologies a mediados de los 90s. Es el tipo de firewall ms utilizado y recomendado para proteger redes, generalmente el permetro de una red es controlado por un firewall de este tipo. Cumple las mismas funciones que un packet filter y adicionalmente registra las conexiones que pasan a travs de s en una tabla, que chequea con cada entrada o salida de un paquete para determinar si lo permite o lo deniega, evitando as los tipos de ataques a los que un packet filter es vulnerable (flooding, DDoS, etc.). Los statefull firewall ofrecen equilibrio en desempeo entre firewalls packet filter y application proxy.

2. APPLICATION PROXY FIREWALL Es el firewall ms completo que existe, aunque presenta el menor throughput y el mayor costo (si se opta por una opcin comercial). Se diferencia de los gateways firewalls en que tiene la capacidad de revisar hasta la capa 7 (aplicacin) y la carga til (payload) del paquete, es decir, realiza un chequeo completo. Es vital comprender en primera instancia el concepto de proxy, que es un intermediario entre el usuario y el servicio que solicite, o sea el usuario v el proxy como el servidor, mientras el servidor v el proxy como el usuario. El mismo concepto se aplica a la tecnologa de firewalls, donde el paquete es recibido y chequeado por el proxy firewall, que termina la conexin con el origen y establece una conexin con el destino (el usuario), es decir, el proxy firewall se convierte en el nuevo origen del paquete (modifica el campo source del paquete). El objetivo de actuar como intermediario es simular que el proxy recibe y procesa el paquete como si estuviera destinado a l, as determina si el mismo es seguro o no, para dejarlo pasar su destino verdadero. La principal desventaja de este tipo de firewall es que demandan mayor procesamiento, por lo que pueden traer lentitud dependiendo del volumen de trfico de la red. Un ejemplo de application proxy es el ISA (Internet Security & Aceleration) Server de Microsoft. 3. PERSONAL FIREWALL Podra considerarse un tercer tipo de firewall, que se ejecuta en las mquinas de los usuarios y que tiene como objetivo protegerlas de trfico generado dentro de la misma red, mitigando, por ejemplo, la propagacin de malware. Tambin permiten definir con ms detalle el trfico permitido hacia y desde cada host de la red. TOPOLOGAS Existen diferentes formas de proteger una red mediante firewalls, como se dijo anteriormente, cada implementacin depende de forma especfica de la organizacin y sus necesidades, por tanto no existe una topologa nica que garantice la seguridad de cualquier red, sino una poltica de seguridad que tras un estudio profundo de la organizacin en cuestin, debe generar los lineamientos que aporten al diseo ms adecuado, en este caso, de la topologa de firewall a implementar. Caso 1: Router ACLs Constituye la forma ms sencilla e insegura de topologa, en la cual el router desempea funciones de enrutamiento y filtrado de paquetes, es decir, es el dispositivo encargado de las comunicaciones y seguridad de la red. Este tipo de diseo presenta la desventaja de exponer la red a un gran nmero de ataques debido a su naturaleza stateless. Fue una solucin aceptable en su poca, que en en la actualidad no debera implementarse por ningn motivo.

Topologa 1. Filtrado mediante Router ACLs Caso 2: Servidores conectados directamente a Red Insegura Servidores que ofrecen servicios al exterior de la red se encuentran conectados directamente al router y no al firewall, que protege la red interna. Toda la seguridad de los servidores depende de s mismos, es decir, deben implementar diferentes mecanismos y tcnicas de endurecimiento para soportar ataques desde la red insegura y continuar funcionando. Como recomendacin deben tener el mnimo de paquetes instalados y servicios habilitados, as como endurecimiento a nivel de sistema operativo y servicios. El acceso desde los servidores pblicos hacia la red interna es estrictamente prohibido debido a que pueden ser utilizados como salto hacia la red interna.

Topologa 2. Servidores conectados directamente a red Insegura

Caso 3: Demilitarized Zone (Single Firewall) Tanto los servidores pblicos como la red interna son protegidos por un firewall. El rea en la que se ubican los servidores pblicos se conoce como zona desmilitarizada, que puede definirse como una rea pblica protegida que ofrece servicios al interior y exterior de la red. La red interna se comunica con la DMZ mediante enrutamiento (no deberan compartir el mismo segmento de red por razones obvias de seguridad). Este tipo de diseo es muy comn, debido a su fcil implementacin, seguridad y control del flujo de trfico.

Topologa 3. Demilitarized Zone (Single Firewall)

Caso 4: Demilitarized Zone (Dual Firewall) El diseo de firewall dual adiciona un gateway firewall para controlar y proteger la red interna, una de las razones es la proteccin de los servidores pblicos frente a ataques provenientes de la red interna (como es bien conocido la mayor cantidad de ataques son generados desde dentro de la red). Ofrece mayor seguridad para la red interna al no contar con un punto nico de ataque como en las anteriores topologas. Como desventajas puede decirse que tiene mayor dificultad de configuracin y monitoreo, as como mayores costos en hardware y software. Su implementacin es adecuada para redes grandes en las que hay flujo de trfico importante entre la red interna y la DMZ, donde tambin se demanda mayor seguridad para la red LAN. Algunos expertos en seguridad afirman que para esta arquitectura deberan implementarse dos tipos diferentes de firewalls (fabricantes distintos), debido a que si un atacante logra pasar el firewall exterior, ya tendra suficiente informacin para superar el firewall interno (asumiendo que es de la misma clase), ya que tendran similar configuracin al firewall ya violentado.

Topologa 4. Demilitarized Zone (Dual Firewall)

Ejemplo Defense In-depth Defense In-Depth es un concepto en seguridad de la informacin en el que la seguridad de un sistema informtico se implementa mediante capas para maximizar la proteccin. En el siguiente ejemplo se observa cmo se aplica este concepto combinando diferentes tipos de firewalls que protegen diferentes activos de la red. Esta segmentacin de la red permite que no se comprometa toda la red cuando un sistema es atacado exitosamente.

Ejemplo Defense In-depth Observaciones: - En el borde del permetro se ubica un Stateful Gateway Firewall que realiza el filtrado de paquetes y protege la DMZ y LAN de trfico proveniente de Internet, as como el que viaja entre la LAN y la DMZ. En este punto de la arquitectura de la red se busca seguridad y desempeo. Como alternativa podra ubicarse un firewall en frente de la red interna, como lo especifica el caso 4 (Dual Firewall). - Los servidores crticos y con informacin ms sensible de las redes son protegidos por Application Proxy Firewalls, para estos recursos la seguridad es mucho ms importante que el desempeo. - Cada servidor implementa mecanismos de seguridad propios que permiten reforzar la seguridad de la red, como endurecimiento de sistema operativo y servicios. - Los usuarios tienen un firewall personal instalado en sus mquinas. - El router no realiza filtrado o cifrado, es una mquina dedicada a enrutamiento que tambin ha sido endurecida a nivel de sistema. ACTUALIDAD Un firewall puede implementarse en hardware o software como veremos a continuacin. FIREWALL APPLIANCE (BASADO EN HARDWARE) Mquinas endurecidas, optimizadas y diseadas para realizar trabajos exclusivos de firewall, especialmente de filtrado de paquetes. Brindan grandes ventajas: - Sistema operativo desarrollado y concebido para mitigar ataques. - Mayor desempeo en comparacin con los firewalls basados en software. - Menor tiempo de implementacin que los firewalls basados en software. - Reducen necesidad de decidir entre hardware, sistema operativo y software de filtrado, ya que todo viene configurado, simplificado y optimizado en un solo paquete. A continuacin un listado de los appliances ms utilizados en las medianas y grandes empresas: - Cisco PIX (Private Internet Exchange.) - http://www.cisco.com/en/US/products/sw/secursw/ps2120/index.html - Juniper NetScreen - http://www.juniper.net/us/en/products-services/security/netscreen/ - SonicWall - http://www.sonicwall.com/us/products/7543.html - Checkpoint - http://www.checkpoint.com/products/appliances/index.html - Astaro - http://www.astaro.com/our_products/astaro_security_gateway

FIREWALL BASADO EN SOFTWARE Constituyen una alternativa ms econmica en relacin que los firewall basados en hardware, pero presentan mayores desafos en su implementacin: debe seleccionarse adecuadamente la plataforma de hardware y endurecer el sistema operativo, debido a que sistemas Windows o Unix no son optimizados (por defecto) para uso para realizar reenvo de paquetes (forwarding), adems corren por defecto servicios que no son requeridos si la mquina funciona como firewall exclusivamente. En conclusin presentan un mayor desafo en su configuracin. Algunos ejemplos de firewalls basados en software: - Checkpoint (Virtualizado) - http://www.checkpoint.com/products/security_virtualization/index.html - IPTables - http://www.netfilter.org/ - Microsoft Internet Security & Aceleration Server http://www.microsoft.com/forefront/edgesecurity/isaserver/en/us/default.aspx - Untangle - http://www.untangle.com/home - SmoothWall - http://www.smoothwall.com - Engarde Secure Linux - http://www.engardelinux.org/ - m0n0wall- http://m0n0.ch/wall/ IMPLEMENTAR UN FIREWALL Recordemos que el diseo de la arquitectura y reglas del firewall se soportan sobre las polticas de seguridad de la organizacin. Los conceptos de diseo de la topologa fueron mencionados anteriormente, en cuanto a las reglas que controlarn el trfico, es recomendable seguir el siguiente el procedimiento: 1. Reunir suficiente informacin que permita permita una concepcin de las reglas ajustada al sistema donde se implementarn, para ello se deben estudiar los servicios ofrecidos en la red y el tipo de usuarios que los reciben, considerando: - Nivel de acceso a la informacin (privado/pblico) - Criticidad de la informacin (alta, media, baja) - Seguridad en comunicaciones (cifrado o texto claro) 2. Con base en los requerimientos reunidos, se definen zonas denominadas Security Areas, que constituyen un conjunto de activos de red con atributos y requerimientos de seguridad similares, es decir, la red es dividida en reas con permisos y restricciones comunes. Cada una de ellas tiene un nivel de riesgo de 1 a 5 (1=alto, 5=bajo) que debe ser debidamente justificado y que permitir definir prioridades e incluso QoS (calidad de servicio) sobre diferente tipo de trfico. La siguiente tabla ilustra las Security Areas de un diseo para una red hipottica. rea de Seguridad Internet DMZ Servidores Internos LAN Nivel de Descripcin Riesgo 1 Conexin con redes externas. Incluye router y firewall. Red de servidores para servicios internos.

2 Servidores pblicos 3

4 Red de usuarios

3. Construir en un nivel lgico las reglas que sern aplicadas a cada una de las Security Areas. La siguiente tabla explica este concepto que contina con el ejemplo anterior. Origen LAN LAN Internet LAN DMZ Destino Internet DMZ DMZ Servidores Internos Internet Acceso Permitido Permitido Permitido Permitido Permitido Protocolos Logs Descripcin Acceso a pginas web desde red LAN Conexin a servidor de correo en la DMZ Acceso a servidores web de la red desde Internet Acceso a servicios LAN Resolucin DNS para servidores pblicos de la DMZ

HTTP, HTTPS No SMTP S

HTTP, HTTPS S SMB, HTTP, HTTPS, DNS DNS S No

Como se puede apreciar, se define qu tipo de accesos son permitidos entre las Security Areas y cundo almacenar registros de las conexiones. Las reglas planteadas deben ser depuradas y re-evaluadas para asegurar que su implementacin no causarn impactos negativos en la red, por ejemplo un DoS. Sera conveniente que el equipo de Tecnologa y Seguridad de la Informacin trabajen en conjunto para llevar a cabo estos procesos.

4. Una vez finalizado el diseo se procede con la implementacin y pruebas correspondientes de la solucin. TIPS DE SELECCIN DE FIREWALL Los criterios ms importantes para escoger un firewall incluyen: - Throughput esperado: un firewall es un bottleneck para la red, una medida que es necesaria en la que se pierde en desempeo y se gana en seguridad. Este es un criterio de diseo importante porque se debe seleccionar una solucin que no afecte considerablemente los tiempos de transferencia de informacin. - Presupuesto: existen diversas alternativas libres y comerciales, a las cuales se les debe evaluar ventajas y desventajas en trminos de credibilidad, calidad, soporte, casos de xito y costos. - Nmero de redes a proteger: el tamao de la red es un punto importante que define las capacidades del hardware de la mquina. Tambin debe estudiarse y considerarse el trfico estimado que controlar el firewall. - Nivel de profundidad del filtrado: dependiendo de los recursos a proteger es conveniente decidir hasta qu capa debe realizarse chequeo de los paquetes, considerando que a mayor nivel de profundidad se pierde en velocidad pero se gana en seguridad. - Capacidad de escalabilidad de las funciones del firewall. NOTAS/RECOMENDACIONES - Un firewall funciona si existe un permetro de red bien definido, en donde no existen otras conexiones o enlaces que rompan el permetro en cuestin. Por ejemplo un access point indebidamente protegido, es un dispositivo que rompe un permetro de seguridad, permitindole a un atacante registrarse automticamente dentro de la red sin haber interactuado siquiera con el firewall. Otro ejemplo puede ser un usuario que se conecte a Internet mediante un mdem desde el interior del permetro. - Las reglas del firewall deben ser chequeadas peridicamente, debido a que muchas veces creamos reglas temporales que se convierten en permanentes porque olvidamos removerlas. - Es una buena prctica realizar la revisin continua de los reportes o logs generados para detectar situaciones que puedan ser prevenidas a tiempo. - Un firewall debera ser lo mas simple y minimalista posible, es decir, que solo tenga instalado el software necesario para cumplir con el control del trfico. Atacantes han comprometido firewalls mal implementados, que tenan instalados compiladores y otros paquetes que facilitan el despliegue de un ataque. - La seguridad de la red no se concentra en el firewall, aunque es parte importante de la misma, sino en una poltica de seguridad coherente que se adapte a la organizacin y su misin, en la que se tome la red como un todo y no como sub-sistemas independientes que dependen de un firewall para protegerse. - Sobre IPTables: >No ofrece chequeo a nivel de aplicacin. >Es software libre de gran robustez, pero tiene una curva de aprendizaje amplia en comparacin con productos comerciales. >No ofrece soporte oficial, situacin que le pone en desventaja debido a que las grandes empresas requieren cumplir con reglamentacin y estndares que les exigen implementar productos certificados y soportados por empresas de calidad. - Redes Microsoft requieren ISA Server?: No necesariamente, deben considerarse los tips de seleccin de firewall mencionados anteriormente, adems esta decisin producira una total dependencia con un solo proveedor, con el que se contratara infraestructura y seguridad. Es ms aconsejable la diversificacin del sistema, evitando as que una vulnerabilidad pueda afectar la totalidad de la red. - Combinar Tecnologas de Firewalls Es una prctica muy conveniente, como se mencion anteriormente en el ejemplo de Defense In-Depth. En la realidad es comn encontrar arquitecturas que protegen el permetro de la red con Cisco PIX, IPTables o Juniper Netscreen, mientras los activos ms valiosos con Microsoft ISA Server. - Recomendaciones para los servidores pblicos: > Es importante subrayar que los servidores pblicos deben tener sus propios mecanismos de seguridad sin importar si se encuentran protegidos por un firewall. > Es una buena prctica de seguridad que los servidores sean endurecidos, actualizados y parchados antes de su conexin y puesta en produccin. > No debe existir conexin directa entre los servidores pblicos y la red interna, esto con el objetivo de evitar el acceso a esta ltima desde servidores en la DMZ que puedan estar comprometidos. > Los servidores de la DMZ no deberan tener cuentas registradas del dominio de la red debido a que podran exponer la estructura del mismo hacia el exterior de la red.

BIBLIOGRAFA - Security in Computing, Fourth Edition Charles P. Pfleeger - Pfleeger Consulting Group, Shari Lawrence Pfleeger Prentice Hall 2006 - Firewall Policies and VPN Congurations Anne Henmi, Mark Lucas, Abhishek Singh, Chris Cantrell Syngress Publishing,Inc 2006 - Firewall Evolution - Deep Packet Inspection Ido Dubrawsky 2003-07-29 Security Focus: http://www.securityfocus.com/infocus/1716 - The Enemy Within: Firewalls and Backdoors Bob Rudis and Phil Kostenbader 2003-06-09 Security Focus: http://www.securityfocus.com/infocus/1701 - Firewall Evolution - Deep Packet Inspection Ido Dubrawsky 2003-07-29 Security Focus: http://www.securityfocus.com/infocus/1716

Creative Commons 2.5 Colombia Reconocimiento - No Comercial - Compartir