Introduccin. La seguridad ha sido el principal punto a tratar cuando una organizacin desea conectar su red privada a Internet. Sin tomar en cuenta el tipo de negocios, se ha incrementado el numero de usuarios de redes privadas por la demanda del acceso a los servicios de Internet tal es el caso del World Wide Web (WWW), Internet Mail (e-mail), elnet, ! "ile rans#er $rotocol ("$). %dicionalmente los corporativos buscan las venta&as 'ue o#recen las paginas en el WWW ! los servidores "$ de acceso p(blico en Internet. Los administradores de red tienen 'ue incrementar todo lo concerniente a la seguridad de sus sistemas, debido a 'ue se e)pone la organizacin privada de sus datos as* como la in#raestructura de su red a los +)pertos de Internet (Internet Crackers). $ara superar estos temores ! proveer el nivel de proteccin re'uerida, la organizacin necesita seguir una pol*tica de seguridad para prevenir el acceso no-autorizado de usuarios a los recursos propios de la red privada, ! protegerse contra la e)portacin privada de in#ormacin. odav*a, aun si una organizacin no esta conectada a Internet, esta deber*a establecer una pol*tica de seguridad interna para administrar el acceso de usuarios a porciones de red ! proteger sensitivamente la in#ormacin secreta. 1.1. Firewalls ,n "ire-all en Internet es un sistema o grupo de sistemas 'ue impone una pol*tica de seguridad entre la organizacin de red privada ! el Internet. +l #ire-all determina cual de los servicios de red pueden ser accesados dentro de esta por los 'ue est.n #uera, es decir 'ui/n puede entrar para utilizar los recursos de red pertenecientes a la organizacin. $ara 'ue un #ire-all sea e#ectivo, todo tr.#ico de in#ormacin a trav/s del Internet deber. pasar a trav/s del mismo, donde podr. ser inspeccionada la in#ormacin. +l #ire-all podr. (nicamente autorizar el paso del tr.#ico, ! /l mismo podr. ser inmune a la penetracin. 0esa#ortunadamente, este sistema no puede o#recer proteccin alguna una vez 'ue el agresor lo traspasa o permanece en torno a /ste. Ilustracin 1-1 La Poltica De Seguridad Crea Un Permetro De Defensa. +sto es importante, !a 'ue debemos de notar 'ue un #ire-all de Internet no es &ustamente un ruteador, un servidor de de#ensa, o una combinacin de elementos 'ue proveen seguridad para la red. +l #ire-all es parte de una pol*tica de seguridad completa 'ue crea un per*metro de de#ensa dise1ada para proteger las #uentes de in#ormacin. +sta pol*tica de seguridad podr. incluir publicaciones con las gu*as de a!uda donde se in#orme a los usuarios de sus responsabilidades, normas de acceso a la red, pol*tica de servicios en la red, pol*tica de autenticidad en acceso remoto o local a usuarios propios de la red, normas de dial-in ! dial-out, reglas de encriptacin de datos ! discos, normas de proteccin de virus, ! entrenamiento. odos los puntos potenciales de ata'ue en la red podr.n ser protegidos con el mismo nivel de seguridad. ,n #ire-all de Internet sin una pol*tica de seguridad comprensiva es como poner una puerta de acero en una tienda. 1.1.1.1. Beneficios de un firewall en Internet Los #ire-alls en Internet administran los accesos posibles del Internet a la red privada. Sin un #ire-all, cada uno de los servidores propios del sistema se e)ponen al ata'ue de otros servidores en el Internet. +sto signi#ica 'ue la seguridad en la red privada depende de la 20ureza3 con 'ue cada uno de los servidores cuenta ! es (nicamente seguro tanto como la seguridad en la #ragilidad posible del sistema. +l #ire-all permite al administrador de la red de#inir un 2cho4e point3 (cuello de botella), manteniendo al margen los usuarios no-autorizados (tal, como., hac4ers, crac4ers, v.ndalos, ! esp*as) #uera de la red, prohibiendo potencialmente la entrada o salida al vulnerar los servicios de la red, ! proporcionar la proteccin para varios tipos de ata'ues posibles. ,no de los bene#icios clave de un #ire-all en Internet es 'ue a!uda a simpli#icar los traba&os de administracin, una vez 'ue se consolida la seguridad en el sistema #ire-all, es me&or 'ue distribuirla en cada uno de los servidores 'ue integran nuestra red privada. +l #ire-all o#rece un punto donde la seguridad puede ser monitoreada ! si aparece alguna actividad sospechosa, este generara una alarma ante la posibilidad de 'ue ocurra un ata'ue, o suceda alg(n problema en el tr.nsito de los datos. +sto se podr. notar al acceder la organizacin a Internet, la pregunta general es 2si3 pero 2cu.ndo3 ocurrir. el ata'ue. +sto es e)tremadamente importante para 'ue el administrador audite ! lleve una bit.cora del tr.#ico signi#icativo a trav/s del #ire-all. ambi/n, si el administrador de la red toma el tiempo para responder una alarma ! e)amina regularmente los registros de base. +sto es innecesario para el #ire-all, desde 'ue el administrador de red desconoce si ha sido e)itosamente atacado. Ilustracin 1- !eneficios De Un Firewall De Internet. 5on el paso de algunos a1os, el Internet ha e)perimentado una crisis en las direcciones, logrando 'ue el direccionamiento I$ sea menos generoso en los recursos 'ue proporciona. $or este medio se organizan las compa1*as conectadas a Internet, debido a esto ho! no es posible obtener su#icientes registros de direcciones I$ para responder a la poblacin de usuarios en demanda de los servicios. ,n #ire-all es un lugar lgico para desplegar un raductor de 0irecciones de 6ed (7%) esto puede a!udar aliviando el espacio de direccionamiento acortando ! eliminando lo necesario para reenumerar cuando la organizacin cambie del $roveedor de Servicios de Internet (IS$). ,n #ire-all de Internet es el punto per#ecto para auditar o registrar el uso del Internet. +sto permite al administrador de red &usti#icar el gasto 'ue implica la cone)in a Internet, localizando con precisin los cuellos de botella potenciales del ancho de banda, ! promueve el m/todo de cargo a los departamentos dentro del modelo de #inanzas de la organizacin. ,n #ire-all de Internet o#rece un punto de reunin para la organizacin. Si una de sus metas es proporcionar ! entregar servicios in#ormacin a consumidores, el #ire-all de Internet es ideal para desplegar servidores WWW ! "$. "inalmente, el #ire-all puede presentar los problemas 'ue genera un punto de #alla simple. +n#atizando si este punto de #alla se presenta en la cone)in a Internet, aun as* la red interna de la organizacin puede seguir operando - (nicamente el acceso a Internet est. perdido. La preocupacin principal del administrador de red, son los m(ltiples accesos a Internet, 'ue se pueden registrar con un monitor ! un #ire-all en cada punto de acceso 'ue posee la organizacin hacia el Internet. +stos dos puntos de acceso signi#ica dos puntos potenciales de ata'ue a la red interna 'ue tendr.n 'ue ser monitoreados regularmente8 1.1.. Limitaciones de un firewall ,n #ire-all no puede protegerse contra a'uellos ata'ues 'ue se e#ect(en #uera de su punto de operacin. $or e&emplo, si e)iste una cone)in dial-out sin restricciones 'ue permita entrar a nuestra red protegida, el usuario puede hacer una cone)in SLI$ o $$$ a Internet. Los usuarios con sentido com(n suelen 2irritarse3 cuando se re'uiere una autenticacin adicional re'uerida por un "ire-all $ro)! server ("$S) lo cual se puede ser provocado por un sistema de seguridad circunvecino 'ue esta incluido en una cone)in directa SLI$ o $$$ del IS$. +ste tipo de cone)iones derivan la seguridad provista por #ire-all construido cuidadosamente, creando una puerta de ata'ue. Los usuarios pueden estar consientes de 'ue este tipo de cone)iones no son permitidas como parte integral de la ar'uitectura de la seguridad en la organizacin. Ilustracin 1-" Cone#in Circun$ecina %l Firewall De Internet. +l #ire-all no puede protegerse de las amenazas a 'ue est. sometido por traidores o usuarios inconscientes. +l #ire-all no puede prohibir 'ue los traidores o esp*as corporativos copien datos sensitivos en discos o tar&etas $5M5I% ! substraigan /stas del edi#icio. +l #ire-all no puede proteger contra los ata'ues de la 2Ingenier*a Social3, por e&emplo un 9ac4er 'ue pretende ser un supervisor o un nuevo empleado despistado, persuade al menos so#isticado de los usuarios a 'ue le permita usar su contrase1a al servidor del corporativo o 'ue le permita el acceso 2temporal3 a la red. $ara controlar estas situaciones, los empleados deber*an ser educados acerca de los varios tipos de ata'ue social 'ue pueden suceder, ! a cambiar sus contrase1as si es necesario peridicamente. +l #ire-all no puede protegerse contra los ata'ues posibles a la red interna por virus in#ormativos a trav/s de archivos ! so#t-are. :btenidos del Internet por sistemas operativos al momento de comprimir o descomprimir archivos binarios, el #ire-all de Internet no puede contar con un sistema preciso de S5%7 para cada tipo de virus 'ue se puedan presentar en los archivos 'ue pasan a trav/s de /l. La solucin real est. en 'ue la organizacin debe ser consciente en instalar so#t-are anti-viral en cada host para protegerse de los virus 'ue llegan por medio de discos o cual'uier otra #uente. "inalmente, el #ire-all de Internet no puede protegerse contra los ata'ues posibles en la trans#erencia de datos, estos ocurren cuando aparentemente datos inocuos son enviados o copiados a un servidor interno ! son e&ecutados despachando un ata'ue. $or e&emplo, una trans#erencia de datos podr*a causar 'ue un servidor modi#icara los archivos relacionados a la seguridad haciendo m.s #.cil el acceso de un intruso al sistema. 5omo nosotros podemos ver, el desempe1o de los servidores $ro)! en un servidor de de#ensa es un e)celente medio de prohibicin a las cone)iones directas por agentes e)ternos ! reduce las amenazas posibles por los ata'ues con trans#erencia de datos. 1.2. Herramientas del hacker +s di#*cil describir el ata'ue 2t*pico3 de un hac4er debido a 'ue los intrusos poseen di#erentes niveles de t/cnicos por su e)periencia ! son adem.s son motivados por diversos #actores. %lgunos hac4ers se intrigan por el desa#*o, otros gozan de hacer la vida di#*cil a los dem.s, ! otros tantos substraen datos delicados para alg(n bene#icio propio. 1..1. &ecoleccin de informacin ;eneralmente, el primer paso es saber en 'u/ #orma se recolecta la in#ormacin ! adem.s 'ue tipo de in#ormacin es. La meta es construir una base de datos 'ue contenga la organizacin de la red ! colectar la in#ormacin acerca de los servidores residentes. +sta es una lista de herramientas 'ue un hac4er puede usar para colectar esta in#ormacin< +l protocolo S7M$ puede utilizarse para e)aminar la tabla de ruteo en un dispositivo inseguro, esto sirve para aprender los detalles m.s *ntimos acerca del ob&etivo de la topolog*a de red perteneciente a una organizacin. +l programa race6oute puede revelar el n(mero de redes intermedias ! los ruteadores en torno al servidor especi#ico. +l protocolo Whois 'ue es un servicio de in#ormacin 'ue provee datos acerca de todos los dominios 07S ! el administrador del sistema responsable para cada dominio. 7o obstante 'ue esta in#ormacin es anticuada. Servidores 07S pueden ser accesados para obtener una lista de las direcciones I$ ! sus correspondientes 7ombres ($rograma 7sloo4up). +l protocolo "inger puede revelar in#ormacin detallada acerca de los usuarios (nombres de Login, n(meros tele#nicos, tiempo ! (ltima sesin, etc.) de un servidor en espec*#ico. +l programa $ing puede ser empleado para localizar un servidor particular ! determinar si se puede alcanzar. +sta simple herramienta puede ser usada como un programa de escaneo pe'ue1o 'ue por medio de llamadas a la direccin de un servidor haga posible construir una lista de los servidores 'ue actualmente son residentes en la red. 1... Sondeo del sistema 'ara de(ilitar la seguridad 0espu/s 'ue se obtienen la in#ormacin de red perteneciente a dicha organizacin, el hac4er trata de probar cada uno de los servidores para debilitar la seguridad. +stos son algunos usos de las herramientas 'ue un hac4er puede utilizar autom.ticamente para e)plorar individualmente los servidores residentes en una red< ,na vez obtenida una lista no obstantemente pe'ue1a de la vulnerabilidad de servicios en la red, un hac4er bien instruido puede escribir un pe'ue1o programa 'ue intente conectarse a un puerto especi#icando el tipo de servicio 'ue esta asignado al servidor en cuestin. La corrida del programa presenta una lista de los servidores 'ue soportan servicio de Internet ! est.n e)puestos al ata'ue. +st.n disponibles varias herramientas del dominio p(blico, tal es el caso como el 6astreador de Seguridad en Internet (ISS) o la 9erramienta para %n.lisis de Seguridad para %uditar 6edes (S%%7), el cual puede rastrear una subred o un dominio ! ver las posibles #ugas de seguridad. +stos programas determinan la debilidad de cada uno de los sistemas con respecto a varios puntos de vulnerabilidad comunes en un sistema. +l intruso usa la in#ormacin collectada por este tipo de rastreadores para intentar el acceso no-autorizado al sistema de la organizacin puesta en la mira. ,n administrador de redes h.bil puede usar estas herramientas en su red privada para descubrir los puntos potenciales donde esta debilitada su seguridad ! as* determina 'ue servidores necesitan ser remendados ! actualizados en el so#-are. 1..". %cceso a sistemas 'rotegidosi +l intruso utiliza los resultados obtenidos a trav/s de las pruebas para poder intentar accesar a los servicios espec*#icos de un sistema. 0espu/s de tener el acceso al sistema protegido, el hac4er tiene disponibles las siguientes opciones< $uede atentar destru!endo toda evidencia del asalto ! adem.s podr. crear nuevas #ugas en el sistema o en partes subalternas con el compromiso de seguir teniendo acceso sin 'ue el ata'ue original sea descubierto. $ueden instalar pa'uetes de sondeo 'ue inclu!an cdigos binarios conocidos como 2caballos de ro!a3 protegiendo su actividad de #orma transparente. Los pa'uetes de sondeo colectan las cuentas ! contrase1as para los servicios de elnet ! "$ permitiendo al hac4er e)pandir su ata'ue a otras ma'uinas. $ueden encontrar otros servidores 'ue realmente comprometan al sistema. +sto permite al hac4er e)plotar vulnerablemente desde un servidor sencillo todos a'uellos 'ue se encuentren a trav/s de la red corporativa. Si el hac4er puede obtener acceso privilegiado en un sistema compartido, podr. leer el correo, buscar en archivos 1.3. Bases para el diseo decisivo del firewall 5uando se dise1a un #ire-all de Internet, se tiene 'ue tomar algunas decisiones 'ue pueden ser asignadas por el administrador de red< $osturas sobre la pol*tica del "ire-all. La pol*tica interna propia de la organizacin para la seguridad total. +l costo #inanciero del $ro!ecto 2"ire-all3. Los componentes o la construccin de secciones del "ire-all. 1.".1. Polticas del firewall. Las posturas del sistema #ire-all describen la #iloso#*a #undamental de la seguridad en la organizacin. +stas son dos posturas diametralmente opuestas 'ue la pol*tica de un #ire-all de Internet puede tomar< 27o todo lo espec*#icamente permitido esta prohibido3 27i todo lo espec*#icamente prohibido esta permitido3 la primera postura asume 'ue un #ire-all puede obstruir todo el tr.#ico ! cada uno de los servicios o aplicaciones deseadas necesariamente para ser implementadas b.sicamente caso por caso. +sta propuesta es recomendada (nicamente a un limitado numero de servicios soportados cuidadosamente seleccionados en un servidor. La desventa&a es 'ue el punto de vista de 2seguridad3 es mas importante 'ue - #acilitar el uso - de los servicios ! estas limitantes numeran las opciones disponibles para los usuarios de la comunidad. +sta propuesta se basa en una #iloso#*a conservadora donde se desconocen las causas acerca de los 'ue tienen la habilidad para conocerlas. La segunda postura asume 'ue el #ire-all puede desplazar todo el tr.#ico ! 'ue cada servicio potencialmente peligroso necesitara ser aislado b.sicamente caso por caso. +sta propuesta crea ambientes mas #le)ibles al disponer mas servicios para los usuarios de la comunidad. La desventa&a de esta postura se basa en la importancia de 2#acilitar el uso3 'ue la propia - seguridad = del sistema. ambi/n adem.s, el administrador de la red esta en su lugar de incrementar la seguridad en el sistema con#orme crece la red. 0esigual a la primer propuesta, esta postura esta basada en la generalidad de conocer las causas acerca de los 'ue no tienen la habilidad para conocerlas 1.".. Poltica interna de la seguridad an discutidamente escuchada, un #ire-all de Internet no esta solo - es parte de la pol*tica de seguridad total en una organizacin -, la cual de#ine todos los aspectos en competentes al per*metro de de#ensa. $ara 'ue esta sea e)itosa, la organizacin debe de conocer 'ue es lo se esta protegiendo. La pol*tica de seguridad se basara en una conduccin cuidadosa analizando la seguridad, la asesor*a en caso riesgo, ! la situacin del negocio. Si no se posee con la in#ormacin detallada de la pol*tica a seguir, aun 'ue sea un #ire-all cuidadosamente desarrollado ! armado, estar. e)poniendo la red privada a un posible atentado. 1.".". Costo del firewall >5uanto puede o#recer una organizacin por su seguridad?, un simple pa'uete de #iltrado #ire-all puede tener un costo m*nimo !a 'ue la organizacin necesita un ruteador conectado a Internet, ! dicho pa'uete !a esta incluido como est.ndar del e'uipo. ,n sistema comercial de #ire-all provee un incremento mas a la seguridad pero su costo puede ser de @AB,CCC hasta @BDC,CCC pesos dependiendo de la comple&idad ! el numero de sistemas protegidos. Si la organizacin posee al e)perto en casa, un #ire-all casero puede ser construido con so#t-are de dominio publico pero este ahorro de recursos repercuten en t/rminos del tiempo de desarrollo ! el despliegue del sistema #ire-all. "inalmente re'uiere de soporte continuo para la administracin, mantenimiento general, actualizacin de so#t-are, reparacin de seguridad, e incidentes de mane&o. 1.".). Com'onentes del sistema firewall 0espu/s de las decisiones acerca de los e&emplos previos, la organizacin puede determinar espec*#icamente los componentes del sistema. ,n #ire-all t*pico se compone de uno, o una combinacin, de los siguientes obst.culos. 6uteador "iltra-pa'uetes. ;ate-a! a 7ivel-aplicacin. ;ate-a! a 7ivel-circuito. por lo 'ue resta del capitulo, se discutir. cada una de las opciones para la edi#icacin de obst.culos ! se describir. como se puede traba&ar &unto con ellos para construir un e#ectivo sistema #ire-all de Internet. 1.4. dificando o!st"culos# ruteador filtra$pa%uetes +ste ruteador toma las decisiones de rehusarEpermitir el paso de cada uno de los pa'uetes 'ue son recibidos. +l ruteador e)amina cada datagrama para determinar si este corresponde a uno de sus pa'uetes #iltrados ! 'ue a su vez ha!a sido aprobado por sus reglas. Las reglas de #iltrado se basan en revisar la in#ormacin 'ue poseen los pa'uetes en su encabezado, lo 'ue hace posible su desplazamiento en un proceso de I$. +sta in#ormacin consiste en la direccin I$ #uente, la direccin I$ destino, el protocolo de encapsulado (5$, ,0$,I5M$, o I$ tunnel), el puerto #uente 5$E,0$, el puerto destino 5$E,0$, el tipo de mensa&e I5M$, la inter#ace de entrada del pa'uete, ! la inter#ace de salida del pa'uete. Si se encuentra la correspondencia ! las reglas permiten el paso del pa'uete, este ser. desplazado de acuerdo a la in#ormacin a la tabla de ruteo, si se encuentra la correspondencia ! las reglas niegan el paso, el pa'uete es descartado. Si estos no corresponden a las reglas, un par.metro con#igurable por incumplimiento determina descartar o desplazar el pa'uete. Ilustracin 1-) &uteador Filtra-Pa*uetes. 1.).1. Ser$icio de'endiente del filtrado Las reglas acerca del #iltrado de pa'uetes a trav/s de un ruteador para rehusarEpermitir el tr.#ico esta basado en un servicio en especi#ico, desde entonces muchos servicios vierten su in#ormacin en numerosos puertos 5$E,0$ conocidos. $or e&emplo, un servidor elnet esta a la espera para cone)iones remotas en el puerto BA 5$ ! un servidor SM$ espera las cone)iones de entrada en el puerto BF 5$. $ara blo'uear todas las entradas de cone)in elnet, el ruteador simplemente descarta todos los pa'uetes 'ue contengan el valor del puerto destino 5$ igual a BA. $ara restringir las cone)iones elnet a un limitado numero de servidores internos, el ruteador podr. rehusar el paso a todos a'uellos pa'uetes 'ue contengan el puerto destino 5$ igual a BA y 'ue no contengan la direccin destino I$ de uno de los servidores permitidos. %lgunas caracter*sticas t*picas de #iltrado 'ue un administrador de redes podr*a solicitar en un ruteador #iltra-pa'uetes para per#ecionar su #uncionamiento serian< $ermitir la entrada de sesiones elnet (nicamente a una lista especi#ica de servidores internos. $ermitir la entrada de sesiones "$ (nicamente a los servidores internos especi#icados. $ermitir todas las salidas para sesiones elnet. $ermitir todas las salidas para sesiones "$. 6ehusar todo el tr.#ico ,0$. 1.).. Ser$icio inde'endiente del filtrado +ste tipo de ata'ues ciertamente son di#*ciles de identi#icar usando la in#ormacin b.sica de los encabezados debido a 'ue estos son independientes al tipo de servicio. Los ruteadores pueden ser con#igurados para protegerse de este tipo de ata'ues pero son mas di#*ciles de especi#icar desde entonces las reglas para el #iltrado re'uieren de in#ormacin adicional 'ue pueda ser estudiada ! e)aminada por la tabla de ruteo, inspeccionando las opciones especi#icas I$, revisando #ragmentos especiales de edicin, etc. %lgunos e&emplos de este tipo de ata'ues inclu!e< %gresiones :riginadas $or +l 0ireccionamiento I$. $ara este tipo de ata'ue, el intruso trasmite pa'uetes desde a#uera pretendiendo pasar como servidor interno - los pa'uetes poseen una direccin #uente I$ #alsa de un servidor interno del sistema -. +l agresor espera 'ue usando este impostor se pueda penetrar al sistema para emplearlo seguramente como direccin #uente donde los pa'uetes 'ue trasmita sean autenti#icados ! los del otro servidor sean descartados dentro del sistema. Los ata'ues por seudo-#uentes pueden ser #rustrados si descartamos la direccin #uente de cada pa'uete con una direccin #uente 2interno3 si el pa'uete arriva en una de las inter#aces del ruteador 2e)terno3. %gresiones :riginadas +n +l 6uteador. +n un ata'ue de ruteo, la estacin de origen especi#ica la ruta 'ue un pa'uete deber. de tomar cuando cruce a trav/s del Internet. +ste tipo de ata'ues son dise1ados para cuanti#icar las derivaciones de seguridad ! encauzan al pa'uete por un inesperado camino a su destino. Los ata'ues originados en el ruteador pueden ser #rustrados simplemente descartando todos los pa'uetes 'ue contengan #uentes de ruteo opcionales. %gresiones $or "ragmentacin. $or este tipo de ata'ues, los intrusos utilizan las caracter*sticas de #ragmentacin para crear #ragmentos e)tremadamente pe'ue1os ! obligan a la in#ormacin del encabezado 5$ a separarce en pa'uetes. +stos pe'ue1os #ragmentos son dise1ados para evitar las reglas de#inidas por el #iltrado de un ruteador e)aminando los primeros #ragmentos ! el resto pasa sin ser visto. %un'ue si bien (nicamente es e)plotado por sencillos decodi#icadores, una agresin pe'ue1isima puede ser #rustrada si se descartan todos los pa'uetes donde el tipo de protocolo es 5$ ! la #ragmentacin de compensacin I$ es igual a G. 1.).". !eneficios del ruteador filtra-'a*uetes La ma!or*a de sistemas #ire-all son desplegados usando (nicamente ruteadores #iltra-pa'uetes. :tros 'ue tienen tiempo planean los #iltros ! con#iguran el ruteador, sea este pe'ue1o o no , el costoso para implementar la #iltracin de pa'uetes no es caraH desde 'ue los componentes b.sicos de los ruteadores inclu!en revisiones est.ndar de so#t-are para dicho e#ecto. 0esde entonces el acceso a Internet es generalmente provisto a trav/s de inter#aces W%7, optimando la operacin del ruteador moderando el tr.#ico ! de#iniendo menos #iltros. "inalmente, el ruteador de #iltrado es por lo general transparente a los usuarios #inales ! a las aplicaciones por lo 'ue no se re'uiere de entrenamiento especializado o so#t-are especi#ico 'ue tenga 'ue ser instalado en cada uno de los servidores. 1.).). Limitaciones del ruteador filtra-'a*uetes 0e#inir el #iltrado de pa'uetes puede ser una tarea comple&a por'ue el administrador de redes necesita tener un detallado estudio de varios servicios de Internet, como los #ormatos del encabezado de los pa'uetes, ! los valores espec*#icos esperados a encontrase en cada campo. Si las necesidades de #iltrado son mu! comple&as, se necesitara soporte adicional con lo cual el con&unto de reglas de #iltrado puede empezar a complicar ! alargar el sistema haciendo mas di#*cil su administracin ! comprensin. "inalmente, estas ser.n menos #.ciles de veri#icar para las correcciones de las reglas de #iltrado despu/s de ser con#iguradas en el ruteador. $otencialmente se puede de&ar una localidad abierta sin probar su vulnerabilidad. 5ual'uier pa'uete 'ue pasa directamente a trav/s de un ruteador puede ser posiblemente usado como parte inicial un ata'ue dirigido de datos. 9aciendo memoria este tipo de ata'ues ocurren cuando los datos aparentementes inocuos se desplazan por el ruteador a un servidor interno. Los datos contienen instrucciones ocultas 'ue pueden causar 'ue el servidor modi#i'ue su control de acceso ! seguridad relacionando sus archivos #acilitando al intruso el acceso al sistema. ;eneralmente, los pa'uetes entorno al ruteador disminu!en con#orme el numero de #iltros utilizados se incrementa. Los ruteadores son optimizados para e)traer la direccin destino I$ de cada pa'uete, haciendo relativamente simple la consulta a la tabla de ruteo, ! el desplazamiento de pa'uetes para la inter#ace apropiada de la transmisin. Si esta autorizado el #iltro, no (nicamente podr. el ruteador tomar la decisin de desplazar cada pa'uete, pero tambi/n sucede aun aplicando todas las reglas de #iltrado. +sto puede consumir ciclos de 5$, e impactar el per#ecto #uncionamiento del sistema. +l #iltrado de pa'uetes I$ no puede ser capaz de proveer el su#iciente control sobre el tr.#ico. ,n ruteador "iltra-$a'uetes puede permitir o negar un servicio en particular, pero no es capaz de comprender el conte)toEdato del servicio. $or e&emplo, un administrador de red necesita #iltrar el tr.#ico de una capa de aplicacin - limitando el acceso a un subcon&unto de comandos disponibles por "$ o elnet, blo'uear la importacin de Mail o 7e-sgroups concerniente a tpicos espec*#icos. +ste tipo de control es mu! per#eccionado a las capas altas por los servicios de un servidor $ro)! ! en ;ate-a!s a 7ivel-aplicacin. 1.&. dificando o!st"culos# 'atewa(s a nivel$aplicacin Los gate-a!s nivel-aplicacin permiten al administrador de red la implementacin de una pol*tica de seguridad estricta 'ue la 'ue permite un ruteador #iltra-pa'uetes. Mucho me&or 'ue depender de una herramienta gen/rica de #iltra-pa'uetes para administrar la circulacin de los servicios de Internet a trav/s del #ire-all, se instala en el gate-a! un cdigo de propositoespecial (un servicio $ro)!) para cada aplicacin deseada. Si el administrador de red no instala el cdigo $ro)! para la aplicacin particular, el servicio no es soportado ! no podr.n desplazarse a trav/s del #ire-all. %un cuando, el cdigo $ro)! puede ser con#igurado para soportar (nicamente las caracter*sticas especi#icas de una aplicacin 'ue el administrador de red considere aceptable mientras niega todas las otras. ,n aumento de seguridad de este tipo incrementa nuestros costos en t/rminos del tipo de gate-a! seleccionado, los servicios de aplicaciones del $ro)!, el tiempo ! los conocimientos re'ueridos para con#igurar el gate-a!, ! un decrecimiento en el nivel de los servicios 'ue podr.n obtener nuestros usuarios, dando como resultado un sistema carente de transparencia en el mane&o de los usuarios en un ambiente 2amigable3. 5omo en todos los casos el administrador de redes debe de balancear las necesidades propias en seguridad de la organizacin con la demanda de 2#.cil de usar3 demandado por la comunidad de usuarios. +s importante notar 'ue los usuarios tienen acceso por un servidor $ro)!, pero ellos &amas podr.n seccionar en el ;ate-a! a nivel-aplicacin. Si se permite a los usuarios seccionar en el sistema de #ire-all, la seguridad es amenazada desde el momento en 'ue un intruso puede potencialmente e&ecutar muchas actividades 'ue comprometen la e#ectividad del sistema. $or e&emplo, el intruso podr*a obtener el acceso de root, instalar un caballo de tro!a para colectar las contrase1as, ! modi#icar la con#iguracin de los archivos de seguridad en el #ilre-all. 1.+.1. Ser$idor de defensa ,n ruteador #iltra-pa'uetes permite la circulacin directa de los pa'uetes dentro ! #uera del sistema, di#erente a esto el ;ate-a! a nivel-aplicacin de&a 'ue la in#ormacin circule entre los sistemas pero no permite el intercambio directo de pa'uetes. +l principal riesgo de permitir 'ue los pa'uetes se intercambien dentro ! #uera del sistema se debe a 'ue el servidor residente en los sistemas de proteccin de la red podr. ser asegurado contra cual'uier amenaza representada por los servicios permitidos. ,n ;ate-a! a nivel-aplicacin por lo regular es descrito como un 2servidor de de#ensa3 por'ue es un sistema dise1ado espec*#icamente blindado ! protegido contra cual'uier ata'ue. 9a! varias caracter*sticas de dise1o 'ue son usadas para hacer mas seguro un servidor de de#ensa< La plata#orma de 9ard-are del servidor de de#ensa e&ecuta una versin 2segura3 de su sistema operativo. $or e&emplo, si el servidor de de#ensa es una plata#orma ,7II, se e&ecutara una versin segura del sistema operativo ,7II 'ue es dise1ado espec*#icamente para proteger los sistemas operativos vulnerables ! garantizar la integridad del #ire-all. ,nicamente los servicios 'ue el administrador de redes considera esenciales son instalados en el servidor de de#ensa. La lgica de operacin es 'ue si el servicio no esta instalado, este puede ser atacado. ;eneralmente, un con&unto limitado de aplicaciones $ro)! tales como elnet, 07S, "$, SM$, ! autenticacin de usuarios son instalados en este servidor. +l servidor de de#ensa podr. re'uerir de una autenticacin adicional para 'ue el usuario accese a los servicios $ro)!. $or e&emplo, el servidor de de#ensa es ideal para colocar un sistema #uerte de supervisin de autorizacin (tal como la tecnolog*a 2una-sola vez3 de contrase1a donde una tar&eta inteligente generaba un cdigo de acceso (nico por medios criptogr.#icos). %dicionalmente, cada servicio $ro)! podr. re'uerir de autorizacin propia despu/s 'ue el usuario tenga acceso a su sesin. 5ada $ro)! es con#igurado para soportar (nicamente un subcon&unto de aplicaciones est.ndar de un con&unto de comandos. Si un comando est.ndar no es soportado por la aplicacin $ro)!, es por'ue simplemente no esta disponible para el usuario. 5ada $ro)! esta con#igurado para de&ar acceder (nicamente a los servidores especi#icados en el sistema. +sto signi#ica 'ue e)iste un con&unto de caracter*sticasEcomandos 'ue podr.n ser aplicados para un subcon&unto de sistemas en la red protegida. 5ada $ro)! mantiene la in#ormacin detallada ! auditada de todos los registros del tr.#ico, cada cone)in , ! la duracin de cada cone)in. +l registro de audicin es un herramienta esencial para descubrir ! #inalizar el ata'ue de un intruso. 5ada $ro)! es un programa pe'ue1o ! sencillo espec*#icamente dise1ado para la seguridad de redes. +ste permite 'ue el cdigo #uente de la aplicacin pueda revisar ! analizar posibles intrusos ! #ugas de seguridad. $or e&emplo, una t*pica aplicacin - ,7II mailJ - puede tener alrededor de BC,CCC l*neas de cdigo cuando un correo $ro)! puede contener menos de mil. 5ada $ro)! es independiente de todas las dem.s aplicaciones $ro)! en el servidor de de#ensa. Si se sucitara un problema con la operacin de cual'uier $ro)!, o si se descubriera un sistema vulnerable, este puede desinstalarse sin a#ectar la operacin de las dem.s aplicaciones. %un, si la poblacin de usuarios re'uiere el soporte de un nuevo servicio, el administrador de redes puede #.cilmente instalar el servicio $ro)! re'uerido en el servidor de de#ensa. ,n $ro)! generalmente #unciona sin acceso al disco lo (nico 'ue hace es leer su archivo de con#iguracin inicial . desde 'ue la aplicacin $ro)! no e&ecuta su acceso al disco para soporte, un intruso podr. encontrar mas di#icultades para instalar caballos de ro!a per&udiciales ! otro tipo de archivos peligrosos en el servidor de de#ensa. 5ada $ro)! corre como un usuario no-previlegiado en un directorio privado ! seguro del servidor de de#ensa. 1.&.1.1 )emplo# telnet pro*( La ilustra la operacin de un elnet $ro)! en un servidor de de#ensa. $ara este e&emplo, un cliente e)terno e&ecuta una sesin elnet hacia un servidor integrado dentro del sistema de seguridad por el ;ate-a! a nivelaplicacin. Ilustracin 1-+ ,elnet Pro#y. +l elnet $ro)! nunca permite al usuario remoto 'ue se registre o tenga acceso directo al servidor interno. +l cliente e)terno e&ecuta un telnet al servidor de de#ensa donde es autorizado por la tecnolog*a 2una-sola vez3 de contrase1a. 0espu/s de ser autenti#icado, el cliente obtiene acceso a la inter#ace de usuario del elnet $ro)!. +ste (nicamente permite un subcon&unto de comandos elnet ! adem.s determina cual de los servidores son disponibles para el acceso v*a elnet. Ilustracin 1-- Sesin .a ,erminal De ,elnet Pro#y. Los usuarios e)ternos especi#ican el servidor de destino ! el elnet $ro)! una vez hecha la cone)in, los comandos internos son desplazados hacia el cliente e)terno. +l cliente e)terno cree 'ue el elnet $ro)! es el servidor interno real, mientras el servidor interno cree 'ue el elnet pro)! es un cliente e)terno. +l Ilustracin G-J presenta la salida en pantalla de la terminal de un cliente e)terno como la 2cone)in3 a el servidor interno una vez establecida. 7tese 'ue el cliente no se esta registrando al servidor de de#ensa - el usuario comienza su sesin autenti#ic.ndose por el servidor de de#ensa e intercambia respuestas, una vez 'ue se le ha permitido seccionar se comunica con el elnet $ro)! -. 0espu/s de pasar el intercambio de respuestas, el servidor $ro)! limita un con&unto de comandos ! destinos 'ue est.n disponibles para los clientes e)ternos. La autenticacin puede basarse en 2algo conocido por los usuarios3 (como una contrase1a) o 2algo 'ue tengan3 'ue posean #*sicamente (como una tar&eta electrnica) cual'uiera de las dos. %mbas t/cnicas est.n su&etas a plagio, pero usando una combinacin de ambos m/todos se incrementa la probabilidad del uso correcto de la autenticacin. +n el e&emplo de elnet, el $ro)! transmite un re'uerimiento de registro ! el usuario, con la a!uda de su tar&eta electrnica, obtendr. una respuesta de validacin por un numero. *picamente, se le entrega al usuario su tar&eta desactivada para 'ue el introduzca un $I7K ! se le regresa la tar&eta, basada en parte como llave 2secreta3 de encriptacion ! con un relo& interno propio, una vez 'ue se establece la sesin se obtiene un valor de respuesta encriptado. 1.+.. !eneficios del gateway a ni$el-a'licacin Son muchos los bene#icios desplegados en un gate-a! a nivel-aplicacin. +llos dan a la administracin de red un completo control de cada servicio desde aplicaciones pro)! limitadas por un con&unto de comandos ! la determinacin del servidor interno donde se puede accesar a los servicios. %un cuando, el administrador de la red tenga el completo control acerca de 'ue servicios 'ue son permitidos desde la carencia de un servicio pro)! para uno en particular signi#ica 'ue el servicio esta completamente blo'ueado. Los gate-a!s a nivelaplicacin tienen la habilidad de soportar autenticaciones #orzando al usuario para proveer in#ormacin detallada de registro. "inalmente, las reglas de #iltrado para un gate-a! de este tipo son mucho mas #.ciles de con#igurar ! probar 'ue en un ruteador #iltra-pa'uetes. 1.+.". Limitaciones del gateway a ni$el-a'licacin $robablemente una de las grandes limitaciones de un gate-a! a nivelaplicacin es 'ue re'uiere de modi#icar la conducta del usuario o re'uiere de la instalacin de so#t-are especializado en cada sistema 'ue accese a los servicios $ro)!. $or e&emplo, el acceso de elnet v*a gate-a! a nivel aplicacin demanda modi#icar la conducta del usuario desde el momento en 'ue se re'uiere de dos pasos para hacer una cone)in me&or 'ue un paso. 5omo siempre, el so#t-are especializado podr. ser instalado en un sistema terminado para hacer las aplicaciones del gate-a! transparentes al permitir a los usuarios especi#icar el servidor de destino, me&or 'ue el propio, en un comando de telnet. 1.+. dificando o!st"culos# 'atewa( a nivel$circuito ,n ;ate-a! a nivel-circuito es en si una #uncin 'ue puede ser per#eccionada en un ;ate-a! a nivel-aplicacin. % nivel-circuito simplemente trasmite las cone)iones 5$ sin cumplir cual'uier proceso adicional en #iltrado de pa'uetes. Ilustracin 1-/0ateway 1i$el-Circuito. La Ilustracin G-K muestra la operacin de una cone)in t*pica elnet a trav/s de un ;ate-a! a nivel-circuito. al como se menciono anteriormente, este gate-a! simplemente trasmite la cone)in a trav/s del #ire-all sin e)aminarlo adicionalmente, #iltrarlo, o dirigiendo el protocolo de elnet. +l gate-a! a nivelcircuito acciona como una cable copiando los b!tes antes ! despu/s entre la cone)in interna ! la cone)in e)terna. 0e cual'uier modo, la cone)in del sistema e)terno act(a como si #uera originada por el sistema de #ire-all tratando de bene#iciar el encubrir la in#ormacin sobre la proteccin de la red. +l ;ate-a! a nivel-circuito se usa #recuentemente para las cone)iones de salida donde el administrador de sistemas somete a los usuarios internos. La venta&a preponderante es 'ue el servidor de de#ensa puede ser con#igurado como un ;ate-a! 2h*brido3 soportando nivel-aplicacin o servicios $ro)! para cone)iones de venida ! #unciones de nivel-circuito para cone)iones de ida. +sto hace 'ue el sistema de #ire-all sea #.cil de usar para los usuarios internos 'uienes desean tener acceso directo a los servicios de Internet mientras se proveen las #unciones del #ire-all necesarias para proteger la organizacin de los ata'ues e)ternos.