Instalación y configuración de cortafuegos - … · Instalación y configuración de cortafuegos....

2012

Álvaro Primo Guijarro

Seguridad Informática

07/02/2012

Instalación y configuración de cortafuegos


Tabla de contenido Cortafuegos ................................................................................................................................... 4

Concepto . Utilización de cortafuegos. ......................................................................................... 4

Historia de los cortafuegos. ...................................................................................................... 5

Primera generación – cortafuegos de red: filtrado de paquetes .......................................... 5

Segunda generación – cortafuegos de estado ...................................................................... 6

Tercera generación - cortafuegos de aplicación ................................................................... 6

Acontecimientos posteriores ................................................................................................ 7

Funciones principales de un cortafuegos .................................................................................. 7

Listas de control de acceso (ACL). ............................................................................................. 9

Ventajas y Limitaciones de los cortafuegos. ........................................................................... 10

Políticas de cortafuegos. ......................................................................................................... 10

Tipos de cortafuegos. .............................................................................................................. 11

Nivel de aplicación de pasarela ...................................................................................... 11

Circuito a nivel de pasarela ............................................................................................. 11

Cortafuegos de capa de red o de filtrado de paquetes .............................................. 11

Cortafuegos de capa de aplicación ............................................................................... 11

Cortafuegos personal ....................................................................................................... 11

Clasificación por ubicación. ..................................................................................................... 11

Clasificación por tecnología. ................................................................................................... 12

Arquitectura de cortafuegos. .................................................................................................. 12

Cortafuegos de filtrado de paquetes ...................................................................................... 12

Dual-Homed Host .................................................................................................................... 13

Screened Host ......................................................................................................................... 14

Screened Subnet (DMZ) .......................................................................................................... 15

Cortafuegos software y hardware............................................................................................... 17

Cortafuegos software integrados en los sistemas operativos. ............................................... 17

Cortafuegos en Windows .................................................................................................... 17

Cortafuegos en Ubuntu ....................................................................................................... 17

Cortafuegos en MAC ........................................................................................................... 18

Cortafuegos software libres y propietarios. ............................................................................ 18

Cortafuegos hardware. Gestión Unificada de Amenazas “Firewall UTM” (Unified Threat

Management). ......................................................................................................................... 19

empresas del sector firewalls o cortafuegos por hardware y UTM ............................................ 19


Cortafuegos

Concepto . Utilización de cortafuegos.

Un cortafuegos (firewall en inglés) es una parte de un sistema o una red que está diseñada para bloquear el acceso no autorizado, permitiendo al mismo tiempo comunicaciones autorizadas.

Se trata de un dispositivo o conjunto de dispositivos configurados para permitir, limitar, cifrar, descifrar, el tráfico entre los diferentes ámbitos sobre la base de un conjunto de normas y otros criterios.

Los cortafuegos pueden ser implementados en hardware o software, o una combinación de ambos. Los cortafuegos se utilizan con frecuencia para evitar que los usuarios de Internet no autorizados tengan acceso a redes privadas conectadas a Internet, especialmente intranets. Todos los mensajes que entren o salgan de la intranet pasan a través del cortafuegos, que examina cada mensaje y bloquea aquellos que no cumplen los criterios de seguridad especificados. También es frecuente conectar al cortafuegos a una tercera red, llamada Zona desmilitarizada o DMZ, en la que se ubican los servidores de la organización que deben permanecer accesibles desde la red exterior.

Un cortafuegos correctamente configurado añade una protección necesaria a la red, pero que en ningún caso debe considerarse suficiente. La seguridad informática abarca más ámbitos y más niveles de trabajo y protección.


Historia de los cortafuegos.

El término "firewall / fireblock" significaba originalmente una pared para confinar un incendio o

riesgo potencial de incendio en un edificio. Más adelante se usa para referirse a las estructuras

similares, como la hoja de metal que separa el compartimiento del motor de un vehículo o una

aeronave de la cabina. La tecnología de los cortafuegos surgió a finales de 1980, cuando

Internet era una tecnología bastante nueva en cuanto a su uso global y la conectividad. Los

predecesores de los cortafuegos para la seguridad de la red fueron los routers utilizados a

finales de 1980, que mantenían a las redes separadas unas de otras. La visión de Internet

como una comunidad relativamente pequeña de usuarios con máquinas compatibles, que

valoraba la predisposición para el intercambio y la colaboración, terminó con una serie de

importantes violaciones de seguridad de Internet que se produjo a finales de los 80:

Clifford Stoll, que descubrió la forma de manipular el sistema de espionaje alemán.

Bill Cheswick, cuando en 1992 instaló una cárcel simple electrónica para observar a un

atacante.

En 1988, un empleado del Centro de Investigación Ames de la NASA, en California, envió

una nota por correo electrónico a sus colegas que decía:

"Estamos bajo el ataque de un virus de Internet! Ha llegado a Berkeley, UC San Diego,

Lawrence Livermore, Stanford y la NASA Ames."

El Gusano Morris, que se extendió a través de múltiples vulnerabilidades en las máquinas

de la época. Aunque no era malicioso, el gusano Morris fue el primer ataque a gran escala

sobre la seguridad en Internet; la red no esperaba ni estaba preparada para hacer frente a

su ataque.

Primera generación – cortafuegos de red: filtrado de paquetes

El primer documento publicado para la tecnología firewall data de 1988, cuando el equipo de

ingenieros Digital Equipment Corporation (DEC) desarrolló los sistemas de filtro conocidos

como cortafuegos de filtrado de paquetes. Este sistema, bastante básico, fue la primera

generación de lo que se convertiría en una característica más técnica y evolucionada de la

seguridad de Internet. En AT&T Bell, Bill Cheswick y Steve Bellovin, continuaban sus

investigaciones en el filtrado de paquetes y desarrollaron un modelo de trabajo para su propia

empresa, con base en su arquitectura original de la primera generación.

El filtrado de paquetes actúa

mediante la inspección de los

paquetes (que representan la unidad

básica de transferencia de datos

entre ordenadores en Internet). Si un

paquete coincide con el conjunto de

reglas del filtro, el paquete se

reducirá (descarte silencioso) o será

rechazado (desprendiéndose de él y

enviando una respuesta de error al

emisor). Este tipo de filtrado de

paquetes no presta atención a si el

paquete es parte de una secuencia


existente de tráfico. En su lugar, se filtra cada paquete basándose únicamente en la

información contenida en el paquete en sí (por lo general utiliza una combinación del emisor del

paquete y la dirección de destino, su protocolo, y, en el tráfico TCP y UDP, el número de

puerto). Los protocolos TCP y UDP comprenden la mayor parte de comunicación a través de

Internet, utilizando por convención puertos bien conocidos para determinados tipos de tráfico,

por lo que un filtro de paquetes puede distinguir entre ambos tipos de tráfico (ya sean

navegación web, impresión remota, envío y recepción de correo electrónico, transferencia

de archivos…); a menos que las máquinas a cada lado del filtro de paquetes son a la vez

utilizando los mismos puertos no estándar.

El filtrado de paquetes llevado a cabo por un cortafuegos actúa en las tres primeras capas del

modelo de referencia OSI, lo que significa que todo el trabajo lo realiza entre la red y las capas

físicas. Cuando el emisor origina un paquete y es filtrado por el cortafuegos, éste último

comprueba las reglas de filtrado de paquetes que lleva configuradas, aceptando o rechazando

el paquete en consecuencia. Cuando el paquete pasa a través de cortafuegos, éste filtra el

paquete mediante un protocolo y un número de puerto base (GSS). Por ejemplo, si existe una

norma en el cortafuegos para bloquear el acceso telnet, bloqueará el protocolo IP para el

número de puerto 23.

Segunda generación – cortafuegos de estado

Durante 1989 y 1990, tres colegas de los laboratorios AT&T Bell, Dave Presetto, Janardan

Sharma, y Nigam Kshitij, desarrollaron la tercera generación de servidores de seguridad. Esta

tercera generación cortafuegos tiene en cuenta además la colocación de cada paquete

individual dentro de una serie de paquetes. Esta tecnología se conoce generalmente como la

inspección de estado de paquetes, ya que mantiene registros de todas las conexiones que

pasan por el cortafuegos, siendo capaz de determinar si un paquete indica el inicio de una

nueva conexión, es parte de una conexión existente, o es un paquete erróneo. Este tipo de

cortafuegos pueden ayudar a prevenir ataques contra conexiones en curso o ciertos ataques

de denegación de servicio.

Tercera generación - cortafuegos de aplicación

Son aquellos que actúan sobre la capa de aplicación del modelo OSI. La clave de un

cortafuegos de aplicación es que puede entender ciertas aplicaciones y protocolos (por

ejemplo: protocolo de transferencia de ficheros, DNS o navegación web), y permite detectar si

un protocolo no deseado se coló a través de un puerto no estándar o si se está abusando de

un protocolo de forma perjudicial.

Un cortafuegos de aplicación es mucho más

seguro y fiable cuando se compara con un

cortafuegos de filtrado de paquetes, ya que

repercute en las siete capas del modelo de

referencia OSI. En esencia es similar a un

cortafuegos de filtrado de paquetes, con la

diferencia de que también podemos filtrar el

contenido del paquete. El mejor ejemplo de

cortafuegos de aplicación es ISA (Internet

Security and Acceleration).


Un cortafuegos de aplicación puede filtrar protocolos de capas superiores tales como

FTP, TELNET, DNS, DHCP, HTTP, TCP, UDP y TFTP (GSS). Por ejemplo, si una

organización quiere bloquear toda la información relacionada con una palabra en

concreto, puede habilitarse el filtrado de contenido para bloquear esa palabra en

particular. No obstante, los cortafuegos de aplicación resultan más lentos que los de

estado.

Acontecimientos posteriores

En 1992, Bob Braden y DeSchon Annette, de la Universidad del Sur de California (USC),

dan forma al concepto de cortafuegos. Su producto, conocido como "Visas", fue el

primer sistema con una interfaz gráfica con colores e iconos, fácilmente

implementable y compatible con sistemas operativos como Windows de Microsoft o

MacOS de Apple. En 1994, una compañía israelí llamada Check Point Software

Technologies lo patentó como software denominándolo FireWall-1.

La funcionalidad existente de inspección profunda de paquetes en los actuales

cortafuegos puede ser compartida por los sistemas de prevención de intrusiones (IPS).

Actualmente, el Grupo de Trabajo de Comunicación Middlebox de la Internet

Engineering Task Force (IETF) está trabajando en la estandarización de protocolos para

la gestión de cortafuegos.

Otro de los ejes de desarrollo consiste en integrar la identidad de los usuarios dentro

del conjunto de reglas del cortafuegos. Algunos cortafuegos proporcionan

características tales como unir a las identidades de usuario con las direcciones IP o

MAC. Otros, como el cortafuegos NuFW, proporcionan características de identificación

real solicitando la firma del usuario para cada conexión.

Funciones principales de un cortafuegos

Un firewall permite proteger una red privada contra cualquier acción hostil, al limitar

su exposición a una red no confiable2 aplicando mecanismos de control para restringir

el acceso desde y hacia ella al nivel definido en la política de seguridad. Generalmente

un firewall es utilizado para hacer de intermediario entre una red de una organización

e Internet u otra red no confiable.

Estos mecanismos de control actúan sobre los medios de comunicación entre las dos

redes, en particular, sobre la familia de protocolos utilizada para la comunicación de

sistemas remotos. La más comúnmente usada es TCP/IP ya que dispone de amplios

desarrollos de mecanismos estándares para su uso en varios aspectos, incluyendo en

seguridad.


La tarea de un firewall consiste en inspeccionar y controlar todo el tráfico entre la red

local e Internet. De esta forma se intenta detectar y rechazar todo el tráfico

potencialmente peligroso antes de que alcance otras partes de la red interna, en

algunos casos también se efectúan registros de tales actividades. La determinación de

qué es peligroso para la red local, es especificada en la política de seguridad adoptada

por el sitio.

La protección que provee un firewall es de diferentes tipos:

Bloquea tráfico no deseado.

Redirecciona tráfico de entrada a sistemas internos de más confianza;

Oculta sistemas vulnerables, que pueden ser fácilmente asegurados, de

Internet;

Puede registrar el tráfico desde y hacia la red privada;

Puede ocultar información como ser nombres de sistemas, topología de la red,

tipos de dispositivos de red, e identificadores de usuarios internos, de Internet;

Puede proveer autenticación más robusta que las aplicaciones estándares;

... entre otros.

El firewall permite lograr esta protección aislando el segmento de la topología

correspondiente a la red local del resto de Internet, controlando todo el tráfico que

llega y sale de la misma.

Un firewall ayuda a manejar una variedad de aspectos en el punto de acceso a la red

pública manteniendo a los intrusos fuera, mientras permite a la red interna

concentrarse en ofrecer sus servicios. La idea básica es permitir a los usuarios de una

red protegida acceder a una red pública y al mismo tiempo hacer disponibles a la red

pública los servicios y productos de la compañía, ofrecidos por esta red protegida.

El control de acceso que ofrece un firewall a

un sistema de red permite que algunos

servidores pueden hacerse disponibles desde

la red externa, mientras otros puedan ser

cerrados del acceso externo no deseado.

Previniendo, de esta forma, que los servicios

inseguros o vulnerables sean explotados por

atacantes externos, es posible el uso de estos

servicios con un riesgo reducido de exposición

ya que solo algunos protocolos seleccionados

serán capaces de pasar a través del firewall.


Listas de control de acceso (ACL).

Una lista de control de acceso o ACL (del inglés, access control list) es un concepto

de seguridad informática usado para fomentar la separación de privilegios. Es una

forma de determinar los permisos de acceso apropiados a un determinado objeto,

dependiendo de ciertos aspectos del proceso que hace el pedido.

Las ACL permiten controlar el flujo del tráfico en equipos de redes, tales

como enrutadores y conmutadores. Su principal objetivo es filtrar tráfico,

permitiendo o denegando el tráfico de red de acuerdo a alguna condición. Sin

embargo, también tienen usos adicionales, como por ejemplo, distinguir "tráfico

interesante" (tráfico suficientemente importante como para activar o mantener una

conexión) en RDSI.

En redes informáticas, ACL se refiere a una lista de reglas que detallan puertos de

servicio o nombres de dominios (de redes) que están disponibles en un terminal u

otro dispositivo de capa de red, cada uno de ellos con una lista de terminales y/o

redes que tienen permiso para usar el servicio. Tanto servidores individuales

como enrutadores pueden tener ACL de redes. Las listas de control de acceso pueden

configurarse generalmente para controlar tráfico entrante y saliente y en este

contexto son similares a un cortafuegos.

Existen dos tipos de listas de control de acceso:

Listas estándar, donde solo tenemos que especificar una dirección de origen;

Listas extendidas, en cuya síntaxis aparece el protocolo y una dirección de

origen y de destino.


Ventajas y Limitaciones de los cortafuegos.

Obviamente, la principal ventaja de un firewall es que permite la interconexión segura

de una red privada con una red pública para aprovechar los beneficios que ésta ofrece.

Un firewall puede resultar en una reducción de costos si todo el software de seguridad

puede ser situado en un único sistema firewall, en lugar de ser distribuido en cada

servidor o máquina de la red privada.

Existen algunas desventajas de los

firewalls: cosas de las cuales los

firewalls no puede proteger, como

ser amenazas de puntos de acceso

alternativos no previstos

(backdoors) y ataques originados

en el interior de la red. El problema

de los firewalls es que limitan el

acceso desde y hacia Internet, pero

es un precio que se debe pagar y es

una cuestión de análisis de costo /

beneficio al desarrollar una

implementación de seguridad.

Políticas de cortafuegos.

Hay dos políticas básicas en la configuración de un cortafuegos que cambian radicalmente la filosofía fundamental de la seguridad en la organización:

Política restrictiva: Se deniega todo el tráfico excepto el que está explícitamente permitido. El cortafuegos obstruye todo el tráfico y hay que habilitar expresamente el tráfico de los servicios que se necesiten. Esta aproximación es la que suelen utilizar la empresas y organismos gubernamentales.

Política permisiva: Se permite todo el tráfico excepto el que esté explícitamente denegado. Cada servicio potencialmente peligroso necesitará ser aislado básicamente caso por caso, mientras que el resto del tráfico no será filtrado. Esta aproximación la suelen utilizar universidades, centros de investigación y servicios públicos de acceso a internet.

La política restrictiva es la más segura, ya que es más difícil permitir por error tráfico potencialmente peligroso, mientras que en la política permisiva es posible que no se haya contemplado algún caso de tráfico peligroso y sea permitido por omisión.


Tipos de cortafuegos.

Nivel de aplicación de pasarela

Aplica mecanismos de seguridad para aplicaciones específicas, tales como servidores FTP

y Telnet. Esto es muy eficaz, pero puede imponer una degradación del rendimiento.

Circuito a nivel de pasarela

Aplica mecanismos de seguridad cuando una conexión TCP o UDP es establecida. Una vez

que la conexión se ha hecho, los paquetes pueden fluir entre los anfitriones sin más control.

Permite el establecimiento de una sesión que se origine desde una zona de mayor seguridad

hacia una zona de menor seguridad.

Cortafuegos de capa de red o de filtrado de paquetes

Funciona a nivel de red (capa 3 del modelo OSI, capa 2 del stack de protocolos TCP/IP) como

filtro de paquetes IP. A este nivel se pueden realizar filtros según los distintos campos de los

paquetes IP: dirección IP origen, dirección IP destino. A menudo en este tipo de cortafuegos se

permiten filtrados según campos de nivel de transporte (capa 3 TCP/IP, capa 4 Modelo OSI),

como el puerto origen y destino, o a nivel de enlace de datos (no existe en TCP/IP, capa 2

Modelo OSI) como la dirección MAC.

Cortafuegos de capa de aplicación

Trabaja en el nivel de aplicación (capa 7 del modelo OSI), de manera que los filtrados se

pueden adaptar a características propias de los protocolos de este nivel. Por ejemplo, si se

trata de tráfico HTTP, se pueden realizar filtrados según la URL a la que se está intentando

acceder.

Un cortafuegos a nivel 7 de tráfico HTTP suele denominarse proxy, y permite que los

computadores de una organización entren a Internet de una forma controlada. Un proxy oculta

de manera eficaz las verdaderas direcciones de red.

Cortafuegos personal

Es un caso particular de cortafuegos que se instala como software en un computador, filtrando

las comunicaciones entre dicho computador y el resto de la red. Se usa por tanto, a nivel

personal.

Clasificación por ubicación.

Cortafuegos personales (para PC) Cortafuegos para pequeñas oficinas (SOHO) Equipos hardware específicos (Appliances) Cortafuegos corporativo


Clasificación por tecnología.

Filtros de paquetes

Proxy de aplicación

Inspección de estados (statefull inspection)

Hibridos

Arquitectura de cortafuegos.

Cortafuegos de filtrado de paquetes

Un firewall sencillo puede consistir en un dispositivo capaz de filtrar paquetes,

un choke: se trata del modelo de cortafuegos más antiguo ([Sch97]), basado

simplemente en aprovechar la capacidad de algunos routers - denominados screening

routers - para hacer un enrutado selectivo, es decir, para bloquear o permitir el

tránsito de paquetes mediante listas de control de acceso en función de ciertas

características de las tramas, de forma que el router actue como pasarela de toda la

red. Generalmente estas características para determinar el filtrado son las direcciones

origen y destino, el protocolo, los puertos origen y destino (en el caso de TCPy UDP), el

tipo de mensaje (en el caso de ICMP) y los interfaces de entrada y salida de la trama en

el router.

En un cortafuegos de filtrado de paquetes los accesos desde la red interna al exterior

que no están bloqueados son directos (no hay necesidad de utilizar proxies, como

sucede en los cortafuegos basados en una máquina con dos tarjetas de red), por lo que

esta arquitectura es la más simple de implementar (en muchos casos

sobre hardware ya ubicado en la red) y

la más utilizada en organizaciones que

no precisan grandes niveles de

seguridad - como las que vemos aquí -.

No obstante, elegir un cortafuegos tan

sencillo puede no ser recomendable en

ciertas situaciones, o para

organizaciones que requieren una mayor

seguridad para su subred, ya que los

simples chokes presentan más

desventajas que beneficios para la red

protegida. El principal problema es que

no disponen de un sistema de


monitorización sofisticado, por lo que muchas veces el administrador no puede

determinar si el router está siendo atacado o si su seguridad ha sido comprometida.

Además las reglas de filtrado pueden llegar a ser complejas de establecer, y por tanto

es difícil comprobar su corrección: habitualmente sólo se comprueba a través de

pruebas directas, con los problemas de seguridad que esto puede implicar.

Si a pesar de esto decidimos utilizar un router como filtro de paquetes, como en

cualquierfirewall es recomendable bloquear todos los servicios que no se utilicen

desde el exterior (especialmente NIS, NFS, X-Window y TFTP), así como el acceso

desde máquinas no confiables hacia nuestra subred; además, es también importante

para nuestra seguridad bloquear los paquetes con encaminamiento en origen

activado.

Dual-Homed Host

El segundo modelo de cortafuegos está formado por simples máquinas Unix equipadas

con dos o más tarjetas de red y denominadas ([SH95]) anfitriones de dos bases (dual-

homed hosts) o multibase (multi-homed hosts), y en las que una de las tarjetas se suele

conectar a la red interna a proteger y la otra a la red externa a la organización. En esta

configuración el choke y el bastión coinciden en el mismo equipo: la máquina Unix.

El sistema ha de ejecutar al menos un

servidor proxy para cada uno de los servicios

que deseemos pasar a través del cortafuegos, y

también es necesario que el IP Forwarding esté

deshabilitado en el equipo: aunque una

máquina con dos tarjetas puede actuar como

un router, para aislar el tráfico entre la red

interna y la externa es necesario que

el choke no enrute paquetes entre ellas. Así, los

sistemas externos `verán' al host a través de

una de las tarjetas y los internos a través de la

otra, pero entre las dos partes no puede existir

ningún tipo de tráfico que no pase por el

cortafuegos: todo el intercambio de datos entre las redes se ha de realizar bien a

través de servidores proxy situados en el host bastión o bien permitiendo a los

usuarios conectar directamente al mismo. La segunda de estas aproximaciones es sin

duda poco recomendable, ya que un usuario que consiga aumentar su nivel de


privilegios en el sistema puede romper toda la protección del cortafuegos, por ejemplo

reactivando el IP Forwarding); además - esto ya no relativo a la seguridad sino a la

funcionalidad del sistema - suele ser incómodo para los usuarios tener que acceder a

una máquina que haga de puente entre ellos e Internet. De esta forma, la ubicación

de proxies es lo más recomendable, pero puede ser problemático el configurar cierto

tipo de servicios o protocolos que no se diseñaron teniendo en cuenta la existencia de

un proxy entre los dos extremos de una conexión.

Screened Host

Un paso más en términos de seguridad de los cortafuegos es la arquitectura screened

host ochoke-gate, que combina un router con un host bastión, y donde el principal

nivel de seguridad proviene del filtrado de paquetes (es decir, el router es la primera y

más importante línea de defensa). En la máquina bastión, único sistema accesible

desde el exterior, se ejecutan losproxies de las aplicaciones, mientras que el choke se

encarga de filtrar los paquetes que se puedan considerar peligrosos para la seguridad

de la red interna, permitiendo únicamente la comunicación con un reducido número

de servicios.

Dónde situar el sistema bastión, en la red interna o en el exterior del router? La

mayoría de autores ([Ran93], [Sem96]...) recomiendan situar el router entre la red

exterior y el hostbastión, pero otros ([WC94]) defienden justo lo contrario: situar el

bastión en la red exterior no provoca aparentemente una degradación de la seguridad,

y además ayuda al administrador a comprender la necesidad de un elevado nivel de

fiabilidad en esta máquina, ya que está sujeta a ataques externos y no tiene por qué

ser un host fiable; de cualquier forma, la `no degradación' de la seguridad mediante

esta aproximación es más que discutible, ya que habitualmente es más fácil de


proteger un router que una máquina con un operativo de propósito general, como

Unix, que además por definición ha de ofrecer ciertos servicios: no tenemos más que

fijarnos en el número de problemas de seguridad que afectan a por ejemplo a IOS (el

sistema operativo de los routers Cisco), muy reducido frente a los que afectan a

diferentes flavours de Unix

La primera aproximación entraña un mayor nivel de complejidad a la hora de

configurar las listas de control de acceso del router, mientras que si elegimos la

segunda la dificultad está en configurar los servidores proxy (recordemos que no todas

las aplicaciones soportan bien estos mecanismos) en el host bastión. Desde el punto

de vista de la seguridad es más recomendable la segunda opción, ya que la

probabilidad de dejar escapar tráfico no deseado es menor.

La arquitectura screened host puede parecer a primera vista más peligrosa que la

basada en una simple máquina con varias interfaces de red; en primer lugar, tenemos

no uno sino dos sistemas accesibles desde el exterior, por lo que ambos han de ser

configurados con las máximas medidas de seguridad. Además, la mayor complejidad

de diseño hace más fácil la presencia de errores que puedan desembocar en una

violación de la política implantada, mientras que con un host con dos tarjetas nos

aseguramos de que únicamente aquellos servicios con un proxy configurado podrán

generar tráfico entre la red externa y la interna (a no ser que por error activemos el IP

Forwarding

Screened Subnet (DMZ)

La arquitectura Screened Subnet, también conocida como red perimétrica o De-

Militarized Zone(DMZ) es con diferencia la más utilizada e implantada hoy en día, ya

que añade un nivel de seguridad en las arquitecturas de cortafuegos situando una

subred (DMZ) entre las redes externa e interna, de forma que se consiguen reducir los

efectos de un ataque exitoso al hostbastión: como hemos venido comentando, en los

modelos anteriores toda la seguridad se centraba en el bastión16.1, de forma que si la

seguridad del mismo se veía comprometida, la amenaza se extendía automáticamente

al resto de la red. Como la máquina bastión es un objetivo interesante para muchos

piratas, la arquitectura DMZ intenta aislarla en una red perimétrica de forma que un

intruso que accede a esta máquina no consiga un acceso total a la subred protegida.

Screened subnet es la arquitectura más segura, pero también la más compleja; se

utilizan dosrouters, denominados exterior e interior, conectados ambos a la red


perimétrica como se muestra en la figura 15.2. En esta red perimétrica, que constituye

el sistema cortafuegos, se incluye el host bastión y también se podrían incluir sistemas

que requieran un acceso controlado, como baterías de módems o el servidor de

correo, que serán los únicos elementos visibles desde fuera de nuestra red.

El router exterior tiene como misión bloquear el tráfico no deseado en ambos sentidos

(hacia la red perimétrica y hacia la red externa), mientras que el interior hace lo mismo

pero con el tráfico entre la red interna y la perimétrica: así, un atacante habría de

romper la seguridad de ambos routers para acceder a la red protegida; incluso es

posible implementar una zona desmilitarizada con un único router que posea tres o

más interfaces de red, pero en este caso si se compromete este único elemento se

rompe toda nuestra seguridad, frente al caso general en que hay que comprometer

ambos, tanto el externo como el interno.

Esta arquitectura de cortafuegos elimina los puntos únicos de fallo presentes en las

anteriores: antes de llegar al bastión (por definición, el sistema más vulnerable) un

atacante ha de saltarse las medidas de seguridad impuestas por el enrutador externo.

Si lo consigue, como hemos aislado la máquina bastión en una subred estamos

reduciendo el impacto de un atacante que logre controlarlo, ya que antes de llegar a la

red interna ha de comprometer también al segundorouter; en este caso extremo (si un

pirata logra comprometer el segundo router), la arquitectura DMZ no es mejor que

un screened host. Por supuesto, en cualquiera de los tres casos (compromiso

del router externo, del host bastión, o del router interno) las actividades de un pirata

pueden violar nuestra seguridad, pero de forma parcial.


Cortafuegos software y hardware

Cortafuegos software integrados en los sistemas operativos.

Cortafuegos en Windows

El propio sistema Windows, nos permite proteger a nuestro equipo mediante el firewall

proporcionado por ellos.

Cortafuegos en Ubuntu

Linux permite instalar software cortafuegos, para proteger el equipo de la red.

Instalación y configuración de cortafuegos Cortafuegos en MAC

El que viene por defecto permite denegar y permitir según que servicios:

Cortafuegos software libres y propietarios.

Para impedir que terceros no autorizados accedan al sistema a través de la red, se recomienda utilizar un cortafuegos. Mediante una restricción selectiva del tráfico de red, el cortafuegos no sólo repele los accesos indeseados procedentes del exterior, sino que también, en caso de una infección del sistema, impide que el programa dañino "hable con su dueño" y que copie, en ocasiones, más programas dañinos o transfiera datos del sistema al atacante. Se distinguen dos clases principales de cortafuegos: los que se basan en el hardware y los que se basan en el software.

Los cortafuegos basados en el hardware se colocan físicamente entre la conexión a Internet y la red que se quiera proteger de modo integral. Muchos routers DSL tienen ya


algunas funcionalidades básica de cortafuegos. Los cortafuegos de hardware dividen la red interna que protegen de la red externa (es decir, de Internet) de forma lógica.

Cortafuegos hardware. Gestión Unificada de Amenazas “Firewall UTM”

(Unified Threat Management).

Los cortafuegos por hardware, es un dispositivo específico instalado en una red para levantar una defensa y proteger a la red del exterior.

En esta web expondremos empresas y sus respectivos productos, detallaremos cada producto, sus características y la posibilidad de contactar con un distribuidor para un mayor detalle o para una posible compra.

También entraremos en las nuevas soluciones perimetrales que han evolucionado de los firewalls de hardware, cubriendo las deficiencias que tienen los firewalls por hardware, sencillamente, no se diseñaron para analizar y procesar los contenidos de las aplicaciones del tráfico de red.

Estas soluciones son los UTM (unified threat management) o Gestión Unificada de Amenazas, que son los UTM, cual es el funcionamiento de los UTM, que protección ofrece respecto a otras soluciones perimetrales.

Además recopilaremos de internet artículos relacionados con los cortafuegos como acceso a descargas defirewalls por software

empresas del sector firewalls o cortafuegos por hardware y UTM

tuxgate

clavister

alphashield

http://www.firewalls-hardware.com/unified-threat-management-gestion-unificada-amenazas-utm.asp






http://www.firewalls-hardware.com/tuxgate.asp


http://www.firewalls-hardware.com/clavister.asp


http://www.firewalls-hardware.com/alphashield.asp





Instalación y configuración de cortafuegos - … · Instalación y configuración de cortafuegos....

Documents

Transcript of Instalación y configuración de cortafuegos - … · Instalación y configuración de cortafuegos....