Firewalls y Seguridad en Internet

1. Firewalls y seguridad en Internet

Introduccin.
La seguridad ha sido el principal punto a tratar cuando una organizacin desea
conectar su red privada a Internet. Sin tomar en cuenta el tipo de negocios, se
ha incrementado el numero de usuarios de redes privadas por la demanda del
acceso a los servicios de Internet tal es el caso del World Wide Web (WWW),
Internet Mail (e-mail), elnet, ! "ile rans#er $rotocol ("$). %dicionalmente los
corporativos buscan las venta&as 'ue o#recen las paginas en el WWW ! los
servidores "$ de acceso p(blico en Internet. Los administradores de red
tienen 'ue incrementar todo lo concerniente a la seguridad de sus sistemas,
debido a 'ue se e)pone la organizacin privada de sus datos as* como la
in#raestructura de su red a los +)pertos de Internet (Internet Crackers). $ara
superar estos temores ! proveer el nivel de proteccin re'uerida, la
organizacin necesita seguir una pol*tica de seguridad para prevenir el acceso
no-autorizado de usuarios a los recursos propios de la red privada, !
protegerse contra la e)portacin privada de in#ormacin. odav*a, aun si una
organizacin no esta conectada a Internet, esta deber*a establecer una pol*tica
de seguridad interna para administrar el acceso de usuarios a porciones de red
! proteger sensitivamente la in#ormacin secreta.
1.1. Firewalls
,n "ire-all en Internet es un sistema o grupo de sistemas 'ue impone una
pol*tica de seguridad entre la organizacin de red privada ! el Internet. +l
#ire-all determina cual de los servicios de red pueden ser accesados dentro de
esta por los 'ue est.n #uera, es decir 'ui/n puede entrar para utilizar los
recursos de red pertenecientes a la organizacin. $ara 'ue un #ire-all sea
e#ectivo, todo tr.#ico de in#ormacin a trav/s del Internet deber. pasar a trav/s
del mismo, donde podr. ser inspeccionada la in#ormacin. +l #ire-all podr.
(nicamente autorizar el paso del tr.#ico, ! /l mismo podr. ser inmune a la
penetracin.
0esa#ortunadamente,
este sistema no
puede o#recer
proteccin alguna una
vez 'ue el agresor lo
traspasa o permanece
en torno a /ste.
Ilustracin 1-1 La
Poltica De
Seguridad Crea Un
Permetro De
Defensa.
+sto es importante, !a 'ue debemos de notar 'ue un #ire-all de Internet no es
&ustamente un ruteador, un servidor de de#ensa, o una combinacin de
elementos 'ue proveen seguridad para la red. +l #ire-all es parte de una
pol*tica de seguridad completa 'ue crea un per*metro de de#ensa dise1ada
para proteger las #uentes de in#ormacin. +sta pol*tica de seguridad podr.
incluir publicaciones con las gu*as de a!uda donde se in#orme a los usuarios de
sus responsabilidades, normas de acceso a la red, pol*tica de servicios en la
red, pol*tica de autenticidad en acceso remoto o local a usuarios propios de la
red, normas de dial-in ! dial-out, reglas de encriptacin de datos ! discos,
normas de proteccin de virus, ! entrenamiento. odos los puntos potenciales
de ata'ue en la red podr.n ser protegidos con el mismo nivel de seguridad. ,n
#ire-all de Internet sin una pol*tica de seguridad comprensiva es como poner
una puerta de acero en una tienda.
1.1.1.1. Beneficios de un firewall en Internet
Los #ire-alls en Internet administran los accesos posibles del Internet a la red
privada. Sin un #ire-all, cada uno de los servidores propios del sistema se
e)ponen al ata'ue de otros servidores en el Internet. +sto signi#ica 'ue la
seguridad en la red privada depende de la 20ureza3 con 'ue cada uno de los
servidores cuenta ! es (nicamente seguro tanto como la seguridad en la
#ragilidad posible del sistema.
+l #ire-all permite al administrador de la red de#inir un 2cho4e point3 (cuello de
botella), manteniendo al margen los usuarios no-autorizados (tal, como.,
hac4ers, crac4ers, v.ndalos, ! esp*as) #uera de la red, prohibiendo
potencialmente la entrada o salida al vulnerar los servicios de la red, !
proporcionar la proteccin para varios tipos de ata'ues posibles. ,no de los
bene#icios clave de un #ire-all en Internet es 'ue a!uda a simpli#icar los
traba&os de administracin, una vez 'ue se consolida la seguridad en el sistema
#ire-all, es me&or 'ue distribuirla en cada uno de los servidores 'ue integran
nuestra red privada.
+l #ire-all o#rece un punto donde la seguridad puede ser monitoreada ! si
aparece alguna actividad sospechosa, este generara una alarma ante la
posibilidad de 'ue ocurra un ata'ue, o suceda alg(n problema en el tr.nsito de
los datos. +sto se podr. notar al acceder la organizacin a Internet, la pregunta
general es 2si3 pero 2cu.ndo3 ocurrir. el ata'ue. +sto es e)tremadamente
importante para 'ue el administrador audite ! lleve una bit.cora del tr.#ico
signi#icativo a trav/s del #ire-all. ambi/n, si el administrador de la red toma el
tiempo para responder una alarma ! e)amina regularmente los registros de
base. +sto es innecesario para el #ire-all, desde 'ue el administrador de red
desconoce si ha sido e)itosamente atacado.
Ilustracin 1-
!eneficios De
Un Firewall De
Internet.
5on el paso de algunos a1os, el Internet ha e)perimentado una crisis en las
direcciones, logrando 'ue el direccionamiento I$ sea menos generoso en los
recursos 'ue proporciona. $or este medio se organizan las compa1*as
conectadas a Internet, debido a esto ho! no es posible obtener su#icientes
registros de direcciones I$ para responder a la poblacin de usuarios en
demanda de los servicios. ,n #ire-all es un lugar lgico para desplegar un
raductor de 0irecciones de 6ed (7%) esto puede a!udar aliviando el espacio
de direccionamiento acortando ! eliminando lo necesario para reenumerar
cuando la organizacin cambie del $roveedor de Servicios de Internet (IS$).
,n #ire-all de Internet es el punto per#ecto para auditar o registrar el uso del
Internet. +sto permite al administrador de red &usti#icar el gasto 'ue implica la
cone)in a Internet, localizando con precisin los cuellos de botella potenciales
del ancho de banda, ! promueve el m/todo de cargo a los departamentos
dentro del modelo de #inanzas de la organizacin.
,n #ire-all de Internet o#rece un punto de reunin para la organizacin. Si una
de sus metas es proporcionar ! entregar servicios in#ormacin a consumidores,
el #ire-all de Internet es ideal para desplegar servidores WWW ! "$.
"inalmente, el #ire-all puede presentar los problemas 'ue genera un punto de
#alla simple. +n#atizando si este punto de #alla se presenta en la cone)in a
Internet, aun as* la red interna de la organizacin puede seguir operando -
(nicamente el acceso a Internet est. perdido.
La preocupacin principal del administrador de red, son los m(ltiples accesos a
Internet, 'ue se pueden registrar con un monitor ! un #ire-all en cada punto de
acceso 'ue posee la organizacin hacia el Internet. +stos dos puntos de
acceso signi#ica dos puntos potenciales de ata'ue a la red interna 'ue tendr.n
'ue ser monitoreados regularmente8
1.1.. Limitaciones de un firewall
,n #ire-all no puede protegerse contra a'uellos ata'ues 'ue se e#ect(en #uera
de su punto de operacin. $or e&emplo, si e)iste una cone)in dial-out sin
restricciones 'ue permita entrar a nuestra red protegida, el usuario puede hacer
una cone)in SLI$ o $$$ a Internet. Los usuarios con sentido com(n suelen
2irritarse3 cuando se re'uiere una autenticacin adicional re'uerida por un
"ire-all $ro)! server ("$S) lo cual se puede ser provocado por un sistema de
seguridad circunvecino 'ue esta incluido en una cone)in directa SLI$ o $$$
del IS$. +ste tipo de cone)iones
derivan la seguridad provista por
#ire-all construido cuidadosamente,
creando una puerta de ata'ue. Los
usuarios pueden estar consientes de
'ue este tipo de cone)iones no son
permitidas como parte integral de la
ar'uitectura de la seguridad en la
organizacin.
Ilustracin 1-" Cone#in
Circun$ecina %l Firewall De Internet.
+l #ire-all no puede protegerse de las amenazas a 'ue est. sometido por
traidores o usuarios inconscientes. +l #ire-all no puede prohibir 'ue los
traidores o esp*as corporativos copien datos sensitivos en discos o tar&etas
$5M5I% ! substraigan /stas del edi#icio.
+l #ire-all no puede proteger contra los ata'ues de la 2Ingenier*a Social3, por
e&emplo un 9ac4er 'ue pretende ser un supervisor o un nuevo empleado
despistado, persuade al menos so#isticado de los usuarios a 'ue le permita
usar su contrase1a al servidor del corporativo o 'ue le permita el acceso
2temporal3 a la red.
$ara controlar estas situaciones, los empleados deber*an ser educados acerca
de los varios tipos de ata'ue social 'ue pueden suceder, ! a cambiar sus
contrase1as si es necesario peridicamente.
+l #ire-all no puede protegerse contra los ata'ues posibles a la red interna por
virus in#ormativos a trav/s de archivos ! so#t-are. :btenidos del Internet por
sistemas operativos al momento de comprimir o descomprimir archivos
binarios, el #ire-all de Internet no puede contar con un sistema preciso de
S5%7 para cada tipo de virus 'ue se puedan presentar en los archivos 'ue
pasan a trav/s de /l.
La solucin real est. en 'ue la organizacin debe ser consciente en instalar
so#t-are anti-viral en cada host para protegerse de los virus 'ue llegan por
medio de discos o cual'uier otra #uente.
"inalmente, el #ire-all de Internet no puede protegerse contra los ata'ues
posibles en la trans#erencia de datos, estos ocurren cuando aparentemente
datos inocuos son enviados o copiados a un servidor interno ! son e&ecutados
despachando un ata'ue. $or e&emplo, una trans#erencia de datos podr*a causar
'ue un servidor modi#icara los archivos relacionados a la seguridad haciendo
m.s #.cil el acceso de un intruso al sistema.
5omo nosotros podemos ver, el desempe1o de los servidores $ro)! en un
servidor de de#ensa es un e)celente medio de prohibicin a las cone)iones
directas por agentes e)ternos ! reduce las amenazas posibles por los ata'ues
con trans#erencia de datos.
1.2. Herramientas del hacker
+s di#*cil describir el ata'ue 2t*pico3 de un hac4er debido a 'ue los intrusos
poseen di#erentes niveles de t/cnicos por su e)periencia ! son adem.s son
motivados por diversos #actores. %lgunos hac4ers se intrigan por el desa#*o,
otros gozan de hacer la vida di#*cil a los dem.s, ! otros tantos substraen datos
delicados para alg(n bene#icio propio.
1..1. &ecoleccin de informacin
;eneralmente, el primer paso es saber en 'u/ #orma se recolecta la
in#ormacin ! adem.s 'ue tipo de in#ormacin es. La meta es construir una
base de datos 'ue contenga la organizacin de la red ! colectar la in#ormacin
acerca de los servidores residentes.
+sta es una lista de herramientas 'ue un hac4er puede usar para colectar esta
in#ormacin<
+l protocolo S7M$ puede utilizarse para e)aminar la tabla de ruteo en
un dispositivo inseguro, esto sirve para aprender los detalles m.s
*ntimos acerca del ob&etivo de la topolog*a de red perteneciente a una
organizacin.
+l programa race6oute puede revelar el n(mero de redes intermedias
! los ruteadores en torno al servidor especi#ico.
+l protocolo Whois 'ue es un servicio de in#ormacin 'ue provee datos
acerca de todos los dominios 07S ! el administrador del sistema
responsable para cada dominio. 7o obstante 'ue esta in#ormacin es
anticuada.
Servidores 07S pueden ser accesados para obtener una lista de las
direcciones I$ ! sus correspondientes 7ombres ($rograma 7sloo4up).
+l protocolo "inger puede revelar in#ormacin detallada acerca de los
usuarios (nombres de Login, n(meros tele#nicos, tiempo ! (ltima
sesin, etc.) de un servidor en espec*#ico.
+l programa $ing puede ser empleado para localizar un servidor
particular ! determinar si se puede alcanzar. +sta simple herramienta
puede ser usada como un programa de escaneo pe'ue1o 'ue por medio
de llamadas a la direccin de un servidor haga posible construir una lista
de los servidores 'ue actualmente son residentes en la red.
1... Sondeo del sistema 'ara de(ilitar la seguridad
0espu/s 'ue se obtienen la in#ormacin de red perteneciente a dicha
organizacin, el hac4er trata de probar cada uno de los servidores para debilitar
la seguridad.
+stos son algunos usos de las herramientas 'ue un hac4er puede utilizar
autom.ticamente para e)plorar individualmente los servidores residentes en
una red<
,na vez obtenida una lista no obstantemente pe'ue1a de la vulnerabilidad
de servicios en la red, un hac4er bien instruido puede escribir un pe'ue1o
programa 'ue intente conectarse a un puerto especi#icando el tipo de servicio
'ue esta asignado al servidor en cuestin. La corrida del programa presenta
una lista de los servidores 'ue soportan servicio de Internet ! est.n e)puestos
al ata'ue.
+st.n disponibles varias herramientas del dominio p(blico, tal es el caso
como el 6astreador de Seguridad en Internet (ISS) o la 9erramienta para
%n.lisis de Seguridad para %uditar 6edes (S%%7), el cual puede rastrear una
subred o un dominio ! ver las posibles #ugas de seguridad. +stos programas
determinan la debilidad de cada uno de los sistemas con respecto a varios
puntos de vulnerabilidad comunes en un sistema. +l intruso usa la in#ormacin
collectada por este tipo de rastreadores para intentar el acceso no-autorizado al
sistema de la organizacin puesta en la mira.
,n administrador de redes h.bil puede usar estas herramientas en su red
privada para descubrir los puntos potenciales donde esta debilitada su
seguridad ! as* determina 'ue servidores necesitan ser remendados !
actualizados en el so#-are.
1..". %cceso a sistemas 'rotegidosi
+l intruso utiliza los resultados obtenidos a trav/s de las pruebas para poder
intentar accesar a los servicios espec*#icos de un sistema. 0espu/s de tener el
acceso al sistema protegido, el hac4er tiene disponibles las siguientes
opciones<
$uede atentar destru!endo toda evidencia del asalto ! adem.s podr. crear
nuevas #ugas en el sistema o en partes subalternas con el compromiso de
seguir teniendo acceso sin 'ue el ata'ue original sea descubierto.
$ueden instalar pa'uetes de sondeo 'ue inclu!an cdigos binarios conocidos
como 2caballos de ro!a3 protegiendo su actividad de #orma transparente. Los
pa'uetes de sondeo colectan las cuentas ! contrase1as para los servicios de
elnet ! "$ permitiendo al hac4er e)pandir su ata'ue a otras ma'uinas.
$ueden encontrar otros servidores 'ue realmente comprometan al sistema.
+sto permite al hac4er e)plotar vulnerablemente desde un servidor sencillo
todos a'uellos 'ue se encuentren a trav/s de la red corporativa.
Si el hac4er puede obtener acceso privilegiado en un sistema compartido,
podr. leer el correo, buscar en archivos
1.3. Bases para el diseo decisivo del firewall
5uando se dise1a un #ire-all de Internet, se tiene 'ue tomar algunas
decisiones 'ue pueden ser asignadas por el administrador de red<
$osturas sobre la pol*tica del "ire-all.
La pol*tica interna propia de la organizacin para la seguridad total.
+l costo #inanciero del $ro!ecto 2"ire-all3.
Los componentes o la construccin de secciones del "ire-all.
1.".1. Polticas del firewall.
Las posturas del sistema #ire-all describen la #iloso#*a #undamental de la
seguridad en la organizacin. +stas son dos posturas diametralmente opuestas
'ue la pol*tica de un #ire-all de Internet puede tomar<
27o todo lo espec*#icamente permitido esta prohibido3
27i todo lo espec*#icamente prohibido esta permitido3
la primera postura asume 'ue un #ire-all puede obstruir todo el tr.#ico ! cada
uno de los servicios o aplicaciones deseadas necesariamente para ser
implementadas b.sicamente caso por caso.
+sta propuesta es recomendada (nicamente a un limitado numero de servicios
soportados cuidadosamente seleccionados en un servidor. La desventa&a es
'ue el punto de vista de 2seguridad3 es mas importante 'ue - #acilitar el uso - de
los servicios ! estas limitantes numeran las opciones disponibles para los
usuarios de la comunidad. +sta propuesta se basa en una #iloso#*a
conservadora donde se desconocen las causas acerca de los 'ue tienen la
habilidad para conocerlas.
La segunda postura asume 'ue el #ire-all puede desplazar todo el tr.#ico ! 'ue
cada servicio potencialmente peligroso necesitara ser aislado b.sicamente
caso por caso. +sta propuesta crea ambientes mas #le)ibles al disponer mas
servicios para los usuarios de la comunidad. La desventa&a de esta postura se
basa en la importancia de 2#acilitar el uso3 'ue la propia - seguridad = del
sistema. ambi/n adem.s, el administrador de la red esta en su lugar de
incrementar la seguridad en el sistema con#orme crece la red. 0esigual a la
primer propuesta, esta postura esta basada en la generalidad de conocer las
causas acerca de los 'ue no tienen la habilidad para conocerlas
1.".. Poltica interna de la seguridad
an discutidamente escuchada, un #ire-all de Internet no esta solo - es parte
de la pol*tica de seguridad total en una organizacin -, la cual de#ine todos los
aspectos en competentes al per*metro de de#ensa. $ara 'ue esta sea e)itosa,
la organizacin debe de conocer 'ue es lo se esta protegiendo. La pol*tica de
seguridad se basara en una conduccin cuidadosa analizando la seguridad, la
asesor*a en caso riesgo, ! la situacin del negocio. Si no se posee con la
in#ormacin detallada de la pol*tica a seguir, aun 'ue sea un #ire-all
cuidadosamente desarrollado ! armado, estar. e)poniendo la red privada a un
posible atentado.
1.".". Costo del firewall
>5uanto puede o#recer una organizacin por su seguridad?, un simple pa'uete
de #iltrado #ire-all puede tener un costo m*nimo !a 'ue la organizacin necesita
un ruteador conectado a Internet, ! dicho pa'uete !a esta incluido como
est.ndar del e'uipo. ,n sistema comercial de #ire-all provee un incremento
mas a la seguridad pero su costo puede ser de @AB,CCC hasta @BDC,CCC pesos
dependiendo de la comple&idad ! el numero de sistemas protegidos. Si la
organizacin posee al e)perto en casa, un #ire-all casero puede ser construido
con so#t-are de dominio publico pero este ahorro de recursos repercuten en
t/rminos del tiempo de desarrollo ! el despliegue del sistema #ire-all.
"inalmente re'uiere de soporte continuo para la administracin, mantenimiento
general, actualizacin de so#t-are, reparacin de seguridad, e incidentes de
mane&o.
1.".). Com'onentes del sistema firewall
0espu/s de las decisiones acerca de los e&emplos previos, la organizacin
puede determinar espec*#icamente los componentes del sistema. ,n #ire-all
t*pico se compone de uno, o una combinacin, de los siguientes obst.culos.
6uteador "iltra-pa'uetes.
;ate-a! a 7ivel-aplicacin.
;ate-a! a 7ivel-circuito.
por lo 'ue resta del capitulo, se discutir. cada una de las opciones para la
edi#icacin de obst.culos ! se describir. como se puede traba&ar &unto con ellos
para construir un e#ectivo sistema #ire-all de Internet.
1.4. dificando o!st"culos# ruteador filtra$pa%uetes
+ste ruteador toma las decisiones de rehusarEpermitir el paso de cada uno de
los pa'uetes 'ue son recibidos. +l ruteador e)amina cada datagrama para
determinar si este corresponde a uno de sus pa'uetes #iltrados ! 'ue a su vez
ha!a sido aprobado por sus reglas. Las reglas de #iltrado se basan en revisar la
in#ormacin 'ue poseen los pa'uetes en su encabezado, lo 'ue hace posible
su desplazamiento en un proceso de I$. +sta in#ormacin consiste en la
direccin I$ #uente, la direccin I$ destino, el protocolo de encapsulado (5$,
,0$,I5M$, o I$ tunnel), el puerto #uente 5$E,0$, el puerto destino
5$E,0$, el tipo de mensa&e I5M$, la inter#ace de entrada del pa'uete, ! la
inter#ace de salida del pa'uete. Si se encuentra la correspondencia ! las reglas
permiten el paso del pa'uete, este ser. desplazado de acuerdo a la
in#ormacin a la tabla de ruteo, si se encuentra la correspondencia ! las reglas
niegan el paso, el pa'uete es descartado. Si estos no corresponden a las
reglas, un par.metro con#igurable por incumplimiento determina descartar o
desplazar el pa'uete.
Ilustracin 1-) &uteador Filtra-Pa*uetes.
1.).1. Ser$icio de'endiente del filtrado
Las reglas acerca del #iltrado de pa'uetes a trav/s de un ruteador para
rehusarEpermitir el tr.#ico esta basado en un servicio en especi#ico, desde
entonces muchos servicios vierten su in#ormacin en numerosos puertos
5$E,0$ conocidos.
$or e&emplo, un servidor elnet esta a la espera para cone)iones remotas en el
puerto BA 5$ ! un servidor SM$ espera las cone)iones de entrada en el
puerto BF 5$. $ara blo'uear todas las entradas de cone)in elnet, el
ruteador simplemente descarta todos los pa'uetes 'ue contengan el valor del
puerto destino 5$ igual a BA. $ara restringir las cone)iones elnet a un
limitado numero de servidores internos, el ruteador podr. rehusar el paso a
todos a'uellos pa'uetes 'ue contengan el puerto destino 5$ igual a BA y 'ue
no contengan la direccin destino I$ de uno de los servidores permitidos.
%lgunas caracter*sticas t*picas de #iltrado 'ue un administrador de redes podr*a
solicitar en un ruteador #iltra-pa'uetes para per#ecionar su #uncionamiento
serian<
$ermitir la entrada de sesiones elnet (nicamente a una lista especi#ica de
servidores internos.
$ermitir la entrada de sesiones "$ (nicamente a los servidores internos
especi#icados.
$ermitir todas las salidas para sesiones elnet.
$ermitir todas las salidas para sesiones "$.
6ehusar todo el tr.#ico ,0$.
1.).. Ser$icio inde'endiente del filtrado
+ste tipo de ata'ues ciertamente son di#*ciles de identi#icar usando la
in#ormacin b.sica de los encabezados debido a 'ue estos son independientes
al tipo de servicio. Los ruteadores pueden ser con#igurados para protegerse de
este tipo de ata'ues pero son mas di#*ciles de especi#icar desde entonces las
reglas para el #iltrado re'uieren de in#ormacin adicional 'ue pueda ser
estudiada ! e)aminada por la tabla de ruteo, inspeccionando las opciones
especi#icas I$, revisando #ragmentos especiales de edicin, etc. %lgunos
e&emplos de este tipo de ata'ues inclu!e<
%gresiones :riginadas $or +l 0ireccionamiento I$. $ara este tipo de ata'ue, el
intruso trasmite pa'uetes desde a#uera pretendiendo pasar como servidor
interno - los pa'uetes poseen una direccin #uente I$ #alsa de un servidor
interno del sistema -. +l agresor espera 'ue usando este impostor se pueda
penetrar al sistema para emplearlo seguramente como direccin #uente donde
los pa'uetes 'ue trasmita sean autenti#icados ! los del otro servidor sean
descartados dentro del sistema. Los ata'ues por seudo-#uentes pueden ser
#rustrados si descartamos la direccin #uente de cada pa'uete con una
direccin #uente 2interno3 si el pa'uete arriva en una de las inter#aces del
ruteador 2e)terno3.
%gresiones :riginadas +n +l 6uteador. +n un ata'ue de ruteo, la estacin de
origen especi#ica la ruta 'ue un pa'uete deber. de tomar cuando cruce a
trav/s del Internet. +ste tipo de ata'ues son dise1ados para cuanti#icar las
derivaciones de seguridad ! encauzan al pa'uete por un inesperado camino a
su destino. Los ata'ues originados en el ruteador pueden ser #rustrados
simplemente descartando todos los pa'uetes 'ue contengan #uentes de ruteo
opcionales.
%gresiones $or "ragmentacin. $or este tipo de ata'ues, los intrusos utilizan
las caracter*sticas de #ragmentacin para crear #ragmentos e)tremadamente
pe'ue1os ! obligan a la in#ormacin del encabezado 5$ a separarce en
pa'uetes. +stos pe'ue1os #ragmentos son dise1ados para evitar las reglas
de#inidas por el #iltrado de un ruteador e)aminando los primeros #ragmentos ! el
resto pasa sin ser visto. %un'ue si bien (nicamente es e)plotado por sencillos
decodi#icadores, una agresin pe'ue1isima puede ser #rustrada si se descartan
todos los pa'uetes donde el tipo de protocolo es 5$ ! la #ragmentacin de
compensacin I$ es igual a G.
1.).". !eneficios del ruteador filtra-'a*uetes
La ma!or*a de sistemas #ire-all son desplegados usando (nicamente
ruteadores #iltra-pa'uetes. :tros 'ue tienen tiempo planean los #iltros !
con#iguran el ruteador, sea este pe'ue1o o no , el costoso para implementar la
#iltracin de pa'uetes no es caraH desde 'ue los componentes b.sicos de los
ruteadores inclu!en revisiones est.ndar de so#t-are para dicho e#ecto. 0esde
entonces el acceso a Internet es generalmente provisto a trav/s de inter#aces
W%7, optimando la operacin del ruteador moderando el tr.#ico ! de#iniendo
menos #iltros. "inalmente, el ruteador de #iltrado es por lo general transparente
a los usuarios #inales ! a las aplicaciones por lo 'ue no se re'uiere de
entrenamiento especializado o so#t-are especi#ico 'ue tenga 'ue ser instalado
en cada uno de los servidores.
1.).). Limitaciones del ruteador filtra-'a*uetes
0e#inir el #iltrado de pa'uetes puede ser una tarea comple&a por'ue el
administrador de redes necesita tener un detallado estudio de varios servicios
de Internet, como los #ormatos del encabezado de los pa'uetes, ! los valores
espec*#icos esperados a encontrase en cada campo. Si las necesidades de
#iltrado son mu! comple&as, se necesitara soporte adicional con lo cual el
con&unto de reglas de #iltrado puede empezar a complicar ! alargar el sistema
haciendo mas di#*cil su administracin ! comprensin. "inalmente, estas ser.n
menos #.ciles de veri#icar para las correcciones de las reglas de #iltrado
despu/s de ser con#iguradas en el ruteador. $otencialmente se puede de&ar
una localidad abierta sin probar su vulnerabilidad.
5ual'uier pa'uete 'ue pasa directamente a trav/s de un ruteador puede ser
posiblemente usado como parte inicial un ata'ue dirigido de datos. 9aciendo
memoria este tipo de ata'ues ocurren cuando los datos aparentementes
inocuos se desplazan por el ruteador a un servidor interno. Los datos contienen
instrucciones ocultas 'ue pueden causar 'ue el servidor modi#i'ue su control
de acceso ! seguridad relacionando sus archivos #acilitando al intruso el
acceso al sistema.
;eneralmente, los pa'uetes entorno al ruteador disminu!en con#orme el
numero de #iltros utilizados se incrementa. Los ruteadores son optimizados
para e)traer la direccin destino I$ de cada pa'uete, haciendo relativamente
simple la consulta a la tabla de ruteo, ! el desplazamiento de pa'uetes para la
inter#ace apropiada de la transmisin. Si esta autorizado el #iltro, no (nicamente
podr. el ruteador tomar la decisin de desplazar cada pa'uete, pero tambi/n
sucede aun aplicando todas las reglas de #iltrado. +sto puede consumir ciclos
de 5$, e impactar el per#ecto #uncionamiento del sistema.
+l #iltrado de pa'uetes I$ no puede ser capaz de proveer el su#iciente control
sobre el tr.#ico. ,n ruteador "iltra-$a'uetes puede permitir o negar un servicio
en particular, pero no es capaz de comprender el conte)toEdato del servicio.
$or e&emplo, un administrador de red necesita #iltrar el tr.#ico de una capa de
aplicacin - limitando el acceso a un subcon&unto de comandos disponibles por
"$ o elnet, blo'uear la importacin de Mail o 7e-sgroups concerniente a
tpicos espec*#icos. +ste tipo de control es mu! per#eccionado a las capas altas
por los servicios de un servidor $ro)! ! en ;ate-a!s a 7ivel-aplicacin.
1.&. dificando o!st"culos# 'atewa(s a nivel$aplicacin
Los gate-a!s nivel-aplicacin permiten al administrador de red la
implementacin de una pol*tica de seguridad estricta 'ue la 'ue permite un
ruteador #iltra-pa'uetes. Mucho me&or 'ue depender de una herramienta
gen/rica de #iltra-pa'uetes para administrar la circulacin de los servicios de
Internet a trav/s del #ire-all, se instala en el gate-a! un cdigo de
propositoespecial (un servicio $ro)!) para cada aplicacin deseada. Si el
administrador de red no instala el cdigo $ro)! para la aplicacin particular, el
servicio no es soportado ! no podr.n desplazarse a trav/s del #ire-all.
%un cuando, el cdigo $ro)! puede ser con#igurado para soportar (nicamente
las caracter*sticas especi#icas de una aplicacin 'ue el administrador de red
considere aceptable mientras niega todas las otras. ,n aumento de seguridad
de este tipo incrementa nuestros costos en t/rminos del tipo de gate-a!
seleccionado, los servicios de aplicaciones del $ro)!, el tiempo ! los
conocimientos re'ueridos para con#igurar el gate-a!, ! un decrecimiento en el
nivel de los servicios 'ue podr.n obtener nuestros usuarios, dando como
resultado un sistema carente de transparencia en el mane&o de los usuarios en
un ambiente 2amigable3. 5omo en todos los casos el administrador de redes
debe de balancear las necesidades propias en seguridad de la organizacin
con la demanda de 2#.cil de usar3 demandado por la comunidad de usuarios.
+s importante notar 'ue los usuarios tienen acceso por un servidor $ro)!, pero
ellos &amas podr.n seccionar en el ;ate-a! a nivel-aplicacin. Si se permite a
los usuarios seccionar en el sistema de #ire-all, la seguridad es amenazada
desde el momento en 'ue un intruso puede potencialmente e&ecutar muchas
actividades 'ue comprometen la e#ectividad del sistema.
$or e&emplo, el intruso podr*a obtener el acceso de root, instalar un caballo de
tro!a para colectar las contrase1as, ! modi#icar la con#iguracin de los archivos
de seguridad en el #ilre-all.
1.+.1. Ser$idor de defensa
,n ruteador #iltra-pa'uetes permite la circulacin directa de los pa'uetes dentro
! #uera del sistema, di#erente a esto el ;ate-a! a nivel-aplicacin de&a 'ue la
in#ormacin circule entre los sistemas pero no permite el intercambio directo de
pa'uetes. +l principal riesgo de permitir 'ue los pa'uetes se intercambien
dentro ! #uera del sistema se debe a 'ue el servidor residente en los sistemas
de proteccin de la red podr. ser asegurado contra cual'uier amenaza
representada por los servicios permitidos.
,n ;ate-a! a nivel-aplicacin por lo regular es descrito como un 2servidor de
de#ensa3 por'ue es un sistema dise1ado espec*#icamente blindado ! protegido
contra cual'uier ata'ue. 9a! varias caracter*sticas de dise1o 'ue son usadas
para hacer mas seguro un servidor de de#ensa<
La plata#orma de 9ard-are del servidor de de#ensa e&ecuta una versin
2segura3 de su sistema operativo. $or e&emplo, si el servidor de de#ensa es una
plata#orma ,7II, se e&ecutara una versin segura del sistema operativo ,7II
'ue es dise1ado espec*#icamente para proteger los sistemas operativos
vulnerables ! garantizar la integridad del #ire-all.
,nicamente los servicios 'ue el administrador de redes considera
esenciales son instalados en el servidor de de#ensa. La lgica de operacin es
'ue si el servicio no esta instalado, este puede ser atacado. ;eneralmente, un
con&unto limitado de aplicaciones $ro)! tales como elnet, 07S, "$, SM$, !
autenticacin de usuarios son instalados en este servidor.
+l servidor de de#ensa podr. re'uerir de una autenticacin adicional para
'ue el usuario accese a los servicios $ro)!. $or e&emplo, el servidor de de#ensa
es ideal para colocar un sistema #uerte de supervisin de autorizacin (tal como
la tecnolog*a 2una-sola vez3 de contrase1a donde una tar&eta inteligente
generaba un cdigo de acceso (nico por medios criptogr.#icos).
%dicionalmente, cada servicio $ro)! podr. re'uerir de autorizacin propia
despu/s 'ue el usuario tenga acceso a su sesin.
5ada $ro)! es con#igurado para soportar (nicamente un subcon&unto de
aplicaciones est.ndar de un con&unto de comandos. Si un comando est.ndar
no es soportado por la aplicacin $ro)!, es por'ue simplemente no esta
disponible para el usuario.
5ada $ro)! esta con#igurado para de&ar acceder (nicamente a los
servidores especi#icados en el sistema. +sto signi#ica 'ue e)iste un con&unto de
caracter*sticasEcomandos 'ue podr.n ser aplicados para un subcon&unto de
sistemas en la red protegida.
5ada $ro)! mantiene la in#ormacin detallada ! auditada de todos los
registros del tr.#ico, cada cone)in , ! la duracin de cada cone)in. +l registro
de audicin es un herramienta esencial para descubrir ! #inalizar el ata'ue de
un intruso.
5ada $ro)! es un programa pe'ue1o ! sencillo espec*#icamente dise1ado
para la seguridad de redes. +ste permite 'ue el cdigo #uente de la aplicacin
pueda revisar ! analizar posibles intrusos ! #ugas de seguridad. $or e&emplo,
una t*pica aplicacin - ,7II mailJ - puede tener alrededor de BC,CCC l*neas de
cdigo cuando un correo $ro)! puede contener menos de mil.
5ada $ro)! es independiente de todas las dem.s aplicaciones $ro)! en el
servidor de de#ensa. Si se sucitara un problema con la operacin de cual'uier
$ro)!, o si se descubriera un sistema vulnerable, este puede desinstalarse sin
a#ectar la operacin de las dem.s aplicaciones. %un, si la poblacin de
usuarios re'uiere el soporte de un nuevo servicio, el administrador de redes
puede #.cilmente instalar el servicio $ro)! re'uerido en el servidor de de#ensa.
,n $ro)! generalmente #unciona sin acceso al disco lo (nico 'ue hace es
leer su archivo de con#iguracin inicial . desde 'ue la aplicacin $ro)! no
e&ecuta su acceso al disco para soporte, un intruso podr. encontrar mas
di#icultades para instalar caballos de ro!a per&udiciales ! otro tipo de archivos
peligrosos en el servidor de de#ensa.
5ada $ro)! corre como un usuario no-previlegiado en un directorio privado
! seguro del servidor de de#ensa.
1.&.1.1 )emplo# telnet pro*(
La ilustra la operacin de un elnet $ro)! en un servidor de de#ensa. $ara este
e&emplo, un cliente e)terno e&ecuta una sesin elnet hacia un servidor
integrado dentro del sistema de seguridad por el ;ate-a! a nivelaplicacin.
Ilustracin 1-+ ,elnet Pro#y.
+l elnet $ro)! nunca permite al usuario remoto 'ue se registre o tenga acceso
directo al servidor interno. +l cliente e)terno e&ecuta un telnet al servidor de
de#ensa donde es autorizado por la tecnolog*a 2una-sola vez3 de contrase1a.
0espu/s de ser autenti#icado, el cliente obtiene acceso a la inter#ace de usuario
del elnet $ro)!. +ste (nicamente permite un subcon&unto de comandos elnet
! adem.s determina cual de los servidores son disponibles para el acceso v*a
elnet.
Ilustracin 1-- Sesin .a
,erminal De ,elnet Pro#y.
Los usuarios e)ternos especi#ican el
servidor de destino ! el elnet
$ro)! una vez hecha la cone)in,
los comandos internos son
desplazados hacia el cliente e)terno. +l cliente e)terno cree 'ue el elnet
$ro)! es el servidor interno real, mientras el servidor interno cree 'ue el elnet
pro)! es un cliente e)terno. +l Ilustracin G-J presenta la salida en pantalla de
la terminal de un cliente e)terno como la 2cone)in3 a el servidor interno una
vez establecida. 7tese 'ue el cliente no se esta registrando al servidor de
de#ensa - el usuario comienza su sesin autenti#ic.ndose por el servidor de
de#ensa e intercambia respuestas, una vez 'ue se le ha permitido seccionar se
comunica con el elnet $ro)! -. 0espu/s de pasar el intercambio de
respuestas, el servidor $ro)! limita un con&unto de comandos ! destinos 'ue
est.n disponibles para los clientes e)ternos. La autenticacin puede basarse
en 2algo conocido por los usuarios3 (como una contrase1a) o 2algo 'ue tengan3
'ue posean #*sicamente (como una tar&eta electrnica) cual'uiera de las dos.
%mbas t/cnicas est.n su&etas a plagio, pero usando una combinacin de
ambos m/todos se incrementa la probabilidad del uso correcto de la
autenticacin. +n el e&emplo de elnet, el $ro)! transmite un re'uerimiento de
registro ! el usuario, con la a!uda de su tar&eta electrnica, obtendr. una
respuesta de validacin por un numero. *picamente, se le entrega al usuario
su tar&eta desactivada para 'ue el introduzca un $I7K ! se le regresa la tar&eta,
basada en parte como llave 2secreta3 de encriptacion ! con un relo& interno
propio, una vez 'ue se establece la sesin se obtiene un valor de respuesta
encriptado.
1.+.. !eneficios del gateway a ni$el-a'licacin
Son muchos los bene#icios desplegados en un gate-a! a nivel-aplicacin. +llos
dan a la administracin de red un completo control de cada servicio desde
aplicaciones pro)! limitadas por un con&unto de comandos ! la determinacin
del servidor interno donde se puede accesar a los servicios. %un cuando, el
administrador de la red tenga el completo control acerca de 'ue servicios 'ue
son permitidos desde la carencia de un servicio pro)! para uno en particular
signi#ica 'ue el servicio esta completamente blo'ueado. Los gate-a!s a
nivelaplicacin tienen la habilidad de soportar autenticaciones #orzando al
usuario para proveer in#ormacin detallada de registro. "inalmente, las reglas
de #iltrado para un gate-a! de este tipo son mucho mas #.ciles de con#igurar !
probar 'ue en un ruteador #iltra-pa'uetes.
1.+.". Limitaciones del gateway a ni$el-a'licacin
$robablemente una de las grandes limitaciones de un gate-a! a
nivelaplicacin es 'ue re'uiere de modi#icar la conducta del usuario o re'uiere
de la instalacin de so#t-are especializado en cada sistema 'ue accese a los
servicios $ro)!. $or e&emplo, el acceso de elnet v*a gate-a! a nivel aplicacin
demanda modi#icar la conducta del usuario desde el momento en 'ue se
re'uiere de dos pasos para hacer una cone)in me&or 'ue un paso.
5omo siempre, el so#t-are especializado podr. ser instalado en un sistema
terminado para hacer las aplicaciones del gate-a! transparentes al permitir a
los usuarios especi#icar el servidor de destino, me&or 'ue el propio, en un
comando de telnet.
1.+. dificando o!st"culos# 'atewa( a nivel$circuito
,n ;ate-a! a nivel-circuito es en si una #uncin 'ue puede ser per#eccionada
en un ;ate-a! a nivel-aplicacin. % nivel-circuito simplemente trasmite las
cone)iones 5$ sin cumplir cual'uier proceso adicional en #iltrado de
pa'uetes.
Ilustracin 1-/0ateway 1i$el-Circuito.
La Ilustracin G-K muestra la operacin de una cone)in t*pica elnet a trav/s
de un ;ate-a! a nivel-circuito. al como se menciono anteriormente, este
gate-a! simplemente trasmite la cone)in a trav/s del #ire-all sin e)aminarlo
adicionalmente, #iltrarlo, o dirigiendo el protocolo de elnet. +l gate-a! a
nivelcircuito acciona como una cable copiando los b!tes antes ! despu/s entre
la cone)in interna ! la cone)in e)terna. 0e cual'uier modo, la cone)in del
sistema e)terno act(a como si #uera originada por el sistema de #ire-all
tratando de bene#iciar el encubrir la in#ormacin sobre la proteccin de la red.
+l ;ate-a! a nivel-circuito se usa #recuentemente para las cone)iones de
salida donde el administrador de sistemas somete a los usuarios internos. La
venta&a preponderante es 'ue el servidor de de#ensa puede ser con#igurado
como un ;ate-a! 2h*brido3 soportando nivel-aplicacin o servicios $ro)! para
cone)iones de venida ! #unciones de nivel-circuito para cone)iones de ida. +sto
hace 'ue el sistema de #ire-all sea #.cil de usar para los usuarios internos
'uienes desean tener acceso directo a los servicios de Internet mientras se
proveen las #unciones del #ire-all necesarias para proteger la organizacin de
los ata'ues e)ternos.