Firewalls

Introduccin

Los primeros dispositivos del tipo Firewall (o cortafuegos) aparecieron en la mitad de la dcada de los 80. Desde esos primeros Cortafuegos que implementaron simples y rudimentarios filtros de paquetes hasta

los actuales dispositivos capaces de analizar simultneamente la actividad en mltiples capas de la red, la tecnologa ha evolucionado mucho creando herramientas ms sofisticadas y ms seguras.

La popularizacin de Internet ha originado mltiples problemas de seguridad hasta el punto en que, hoy por hoy, esta inseguridad inherente a la red es, segn todos los expertos, el principal obstculo para el

xito de las actividades de Comercio Electrnico.

El Cortafuegos se ha convertido, de esta forma, en un dispositivo indispensable dentro de la arquitectura de cualquier red de ordenadores que tenga acceso a Internet.

Seguridad en TCP/IP

A pesar de que la familia de protocolos TCP/IP fue desarrollada inicialmente para el Departamento de Defensa de los Estados Unidos, existen en ella un nmero considerable de graves problemas de seguridad que son inherentes al protocolo e independientes del nivel de correccin de cualquier implementacin. El

hecho de que un host confe en algo tan vulnerable como la direccin IP que viene escrita en un paquete como nica autenticacin de la procedencia de dichos datos, los casi inexistentes mecanismos de

autenticacin asociados a los protocolos de enrutamiento o la falta de mecanismos que garanticen la confidencialidad y la integridad de los datos que viajan a travs de una red son claros ejemplos de ello.

Algunos de estos problemas pueden ser solventados mediante el uso de un cortafuegos. Los cortafuegos, junto con los antivirus, constituyen hoy en da la herramienta de seguridad ms efectiva y ampliamente

extendida a nivel corporativo (y crece poco a poco a nivel domstico gracias a la proliferacin de cortafuegos personales) y se revela como el nico mecanismo de seguridad verdaderamente efectivo para

protegernos de estas vulnerabilidades intrnsecas al protocolo TCP/IP.

Los principales riesgos de una organizacin con salida a Internet son los mismos que debemos tener en cuenta a la hora de proteger un sistema cualquiera: confidencia lidad, integridad y disponibilidad. Los siguientes son los ataque ms frecuentes y populares que vulneran estos principios:

o Sniffers. o Suplantacin de IP o Spoofing. o Ataques de contraseas

o Control de salida ilegal informacin sensible desde una fuente interna. o Ataques de Hombre en el medio (o man-in-the-middle attacks).

o Ataques de Denegacin de Servicio, Denial of Service o ataques DoS. o Ataques a nivel de aplicacin para explotar vulnerabilidades conocidas. o Caballos de Troya (Trojan Horses), Virus y otros cdigos maliciosos.

De que puede protegernos?

El nivel de proteccin que puede darnos un cortafuegos depende en gran medida, de nuestras necesidades.

Imaginemos, por ejemplo, que nuestra nica necesidad es recibir y entregar correos electrnicos. Un cortafuegos puede defendernos efectivamente de cualquier ataque que no vaya dirigido a este servicio.

Generalmente, los cortafuegos se configuran para protegernos contra cualquier intento de acceso

desautorizado o no correctamente autenticado desde el exterior hacia el interior de nuestra red, o viceversa.

Pero, adicionalmente, uno de los puntos ms importantes a tener en cuenta es que un cortafuegos nos proporciona un punto nico e ineludible de acceso a nuestra red donde podemos centralizar las medidas de seguridad y auditora sobre la misma.

De que NO puede protegernos?

Son tres las principales amenazas sobre las cuales un cortafuegos no puede

protegernos. Las dos primeras son evidentes.

Un cortafuegos no puede protegernos contra amenazas que no pasan a travs de l.

Como decamos en el punto anterior, el cortafuegos debe de ser el punto nico e ineludible de acceso a

nuestra red. Si esto no es as su efectividad es slo parcial.

Tampoco pueden protegernos, generalmente, contra amenazas que proceden del interior de nuestra red. Un empleado malicioso, un troyano o algunos tipos de virus pueden usar mecanismos vlidos desde dentro para realizar acciones maliciosas.

Por ltimo, los cortafuegos no pueden protegernos contra clientes o servicios que admitimos como vlidos

pero que son vulnerables.

Tampoco puede protegernos contra mecanismos de tunneling sobre HTTP, SMTP u otros protocolos. No son muy efectivos, a pesar de que algunos fabricantes as lo anuncian, contra los virus. Los cortafuegos

no pueden ni deben sustituir otros mecanismos de seguridad que reconozcan la naturaleza y efectos de los datos y aplicaciones que se estn manejando y acten en consecuencia.

Generalidades, Tipos y Tecnologas

Los cortafuegos son dispositivos o sistemas que controlan el flujo de trfico entre dos o ms redes

empleando ciertas polticas de seguridad. Bsicamente son dispositivos cuya funcionalidad se limita a permitir o bloquear el trfico entre dos redes en base a una serie de reglas. Su complejidad reside en las

reglas que admiten y en como realizan la toma de decisiones en base a dichas reglas.

La tecnologa empleada en los cortafuegos ha ido madurando a medida que la industria especializada avanzaba y ahora tenemos una amplia variedad de dispositivos que realizan esta funcin de distintas formas. Una forma prctica y sencilla de comparar las bondades de cada plataforma es examinando las

capas del modelo OSI donde el cortafuegos interacta.

La clasificacin conceptual ms simple divide los cortafuegos en slo dos tipos:

o Cortafuegos a nivel de red (trabajan en las capas 2, 3 y/o 4).

o Cortafuegos a nivel de aplicacin (trabajan en las capas 5, 6 y/o 7).

Representacin del Modelo OSI

Como regla general, podemos afirmar que cuanto ms bajas sean las capas en las que el cortafuegos

trabaja, su evaluacin ser ms rpida y transparente pero su capacidad de accin ante ataques complejos es menor.

La industria, sin embargo, suele hacer una clasificacin generacional ms amplia: las dos primeras

generaciones estn formadas por cortafuegos de red con una diferencia fundamental entre ellas: que tengan en cuenta o no informacin del estado de la conexin a la hora de evaluar las reglas. La tercera generacin

est orientada a filtrados a nivel de aplicacin y, por ltimo, la cuarta generacin vuelve al nivel de red y est orientada al filtrado dinmico de paquetes. Incluimos un quinto apartado dedicado a los cortafuegos hbridos, ltima tendencia de la industria, los cuales pueden situarse simultneamente en ms de una de

estas categoras.

Tenemos an otra clasificacin dependiendo del, por llamarlo de algn modo, acabado externo del producto. As, tenemos cortafuegos que son meros servicios que se ejecutan sobre sistemas operativos

robustos (como IPFilter o IPTables en el mundo Linux o CISCO Centri Firewall para tecnologa NT), complejas herramientas modulares que pueden instalarse en varias mquinas (como es el caso de Firewall-1 de Central Point que posee dos mdulos separados: inspeccin y gestin), o puede tratarse de sistemas

dedicados que incluyen dentro de una caja compacta el hardware, el sistema operativo y el software especfico, todo ello completamente listo para trabajar (es el caso del CISCO PIX Firewall).

Frente de un Firewall Juniper SSG350M

Frente de uno de los Modelos de Firewall CheckPoint

Cortafuegos de Filtrado de Paquetes

El trmino en ingls por el que se los conoce es Packet Filter Firewalls. Se trata del tipo ms bsico de cortafuegos. Analizan el trfico de la red fundamentalmente en la capa 3, teniendo en cuenta a veces

algunas caractersticas del trfico generado en las capas 2 y/o 4 y algunas caractersticas fsicas propias de la capa 1. Los elementos de decisin con que cuentan a la hora de decidir si un paquete es vlido o no son los siguientes:

o La direccin de origen desde donde, supuestamente, viene el paquete (capa 3).

o La direccin del host de destino del paquete (capa 3). o El protocolo especfico que est siendo usado para la comunicacin, frecuentemente Ethernet o IP

aunque existen cortafuegos capaz de desenvolverse con otros protocolos como IPX, NetBios, etc (capas 2 y 3).

o El tipo de trfico: TCP, UDP o ICMP (capas 3 y 4).

o Los puertos de origen y destino de la sesin (capa 4). o El interface fsico del cortafuegos a travs del que el paquete llega y por el que habra que darle

salida (capa 1), en dispositivos con 3 o ms interfaces de red.

Con todas o algunas de esta caractersticas se forman dos listas de reglas: una de permitidas y otra de denegadas. La forma en que un paquete recibido se procesa en funcin de estas dos listas difiere segn el modelo, el fabricante o el modo de actuacin configurado y define en gran medida la permisividad del

cortafuegos.

Los ms restrictivos exigen que el paquete pase con xito por ambas listas, es decir, que no sea expresamente denegado en la una y sea expresamente autorizado en la segunda. Otras veces existe una

nica lista de reglas y el paquete es procesado segn la primera regla que encontramos en la tabla y define como tratarlo. Otros cortafuegos usan la ltima regla que encuentran como accin a efectuar.

Por ltimo, tambin encontramos diferencias en cuanto a que hacer cuando no se encuentra ninguna regla

vlida: algunos productos aceptan el paquete y otros lo rechazan. Es, pues, fundamental conocer perfectamente el modo de trabajo del equipo que nos ocupa en cada momento.

Aparte de Aceptar (Accept) o Rechazar (Reject o Deny), la mayora de los cortafuegos de este tipo poseen un tercer tipo de accin: Descartar (Discard o Drop). Cuando un paquete es procesado por una regla que

define esta accin, este se elimina silenciosamente sin devolverse error alguno al originario del mismo creando un efecto de agujero negro y evitando as el cortafuegos revelar su presencia.

Las principales bondades de este tipo de cortafuegos estn en su rapidez, transparencia y flexibilidad.

Proporcionan un alto rendimiento y escalabilidad y muy bajo coste, y son muy tiles para bloquear la mayora de los ataques de Denegacin de Servicio, por ello se siguen implementando como servicios

integrados en algunos routers y dispositivos hardware de balanceo de carga de gama media-alta.

Sus principales inconvenientes son su limitada funcionalidad y su dificultad a la hora de configurarlos y mantenerlos. Son fcilmente vulnerables mediante tcnicas de spoofing y no pueden prevenir contra

ataques que exploten vulnerabilidades especficas de determinadas aplicaciones, puesto que no examinan las capas altas del modelo OSI. La informacin almacenada en los logs de accesos es tan imprecisa como

los parmetros usados en la configuracin de su lista de reglas (direcciones de origen, de destino, puertos, protocolos, interfaces de red, etc.) y la complejidad en la construccin de reglas hace que deban de ser configurados por expertos conocedores del protocolo y que sean muy susceptibles a los errores.

No son, pues, efectivos como medida nica de seguridad, pero si muy prcticos como primera barrera, en

la que se bloquean ciertos ataques, se filtran protocolos no deseados y se pasan los paquetes restantes a otro cortafuegos que examine las capas ms altas del protocolo.

Cortafuegos con Inspeccin de Estado

Los cortafuegos de segunda generacin, llamados cortafuegos con inspeccin de estado, o Stateful Inspection Firewalls o Circuit Level Firewalls, son bsicamente cortafuegos de filtrado de paquetes en los que, adems, se valida a la hora de aceptar o rechazar un paquete el hecho de que este sea una peticin de

nueva conexin o pertenezca a un circuito virtual (o sesin) ya establecido entre un host externo y otro interno.

Cuando una aplicacin crea una sesin TCP con un host remoto, se establece un puerto en el sistema

originario de la conexin con objeto de recibir all los datos provenientes del sistema remoto. De acuerdo a las especificaciones de TCP, este puerto del host cliente estar comprendido entre el 1023 y el 16.384.

En el sistema remoto se establecer, asimismo, un puerto que ser siempre menor al 1024.

Los cortafuegos por filtrado de paquetes deben de permitir trfico entrante en todos los puertos superiores (1023 hasta 16.384) para permitir los datos de retorno de las conexiones salientes. Esto crea un gran riesgo de intrusiones. Los cortafuegos con inspeccin de estado resuelven eficazmente este problema

construyendo una tabla con informacin correspondiente a todas las sesiones TCP abiertas y los puertos que utilizan para recibir los datos y no permitiendo el trfico entrante a ningn paquete que no corresponda

con ninguna de estas sesiones y puertos.

Para hacer esto, los cortafuegos de este tipo examinan rigurosamente el establecimiento de cada conexin (en la capa 4 del modelo OSI) para asegurarse de que esta es legtima y est permitida. Los paquetes no son remitidos a su destino hasta que el establecimiento de la conexin ha sido correctamente completado

y verificado.

El cortafuegos mantiene una tabla de conexiones vlidas (en la que se incluye informacin del estado de cada sesin) y deja pasar los paquetes que contienen informacin correspondiente a una entrada vlida en

dicha tabla de circuitos virtuales. Una vez que la conexin finaliza la entrada en la tabla es eliminada y el circuito virtual entre los dos hosts es cerrado.

Las tablas de estado de circuitos virtuales suelen contener, por cada conexin, la siguiente informacin:

o Un identificador de sesin nico asignado por el cortafuegos a cada conexin establecida.

o El estado de la conexin: negocindose, establecida o cerrndose. (capa 4) o El nmero de secuencia del ltimo paquete (capa 4). o La direccin IP origen de los datos (capa 3).

o La direccin IP destino de los datos (capa 3). o La interfaz fsica de red, a travs de la que los paquetes llegan (capa 1).

o La interfaz fsica de red, a travs de la que los paquetes salen (capa 1).

Usando esta informacin y con un ligero escrutinio de las cabeceras de los paquetes, el cortafuegos es capaz de determinar cuando un paquete es vlido y cuando no lo es. Una vez que la conexin es

establecida, el resto de los paquetes asociados con ella son rutados sin ms comprobaciones. Esto los hara, de base, tremendamente vulnerables a ciertos tipos de ataques, pero muy pocos cortafuegos de este tipo

son tan rudimentarios. Sobre esta base, y aprovechando la gran velocidad y consistencia que supone la misma, se realizan otro tipo de verificaciones para, por ejemplo, asegurarnos que no ha habido suplantamiento (spoofing), que no existen paquetes malformados, etc.

Tambin son comunes en ellos la implantacin de sistemas de translacin de direcciones, NAT, que

ocultan eficazmente el interior de nuestra red a intrusos externos.

Las principales ventajas de este esquema de salvaguardas son la velocidad de filtrado, la solidez de sus principios de cara a establecer una poltica de seguridad y, en conjunto con un esquema de traslacin de

direcciones, la slida proteccin adicional a las direcciones IP internas.

Sus principales debilidades residen en su limitacin estrictamente al escrutinio del protocolo TCP, la imposibilidad de chequear protocolos de niveles altos, las limitaciones inherentes a su mecnica de

actuacin a la hora de llevar un registro de sucesos y la imposibilidad de implementar algunos servicios de valor aadido, como realizar cacheado de objetos http o filtrado de URLs (puesto que no entienden estos protocolos).

Cortafuegos a Nivel de Aplicacin

Como su nombre indica, esta generacin de cortafuegos evala los paquetes realizando una validacin en la capa de aplicacin (capa 7) antes de permitir una conexin manteniendo, al igual que hacen los

cortafuegos de inspeccin de estado, un riguroso control del estado de todas las conexiones y el nmero de secuencia de los paquetes. Adicionalmente, este tipo de cortafuegos suelen prestar, dado su emplazamiento en la capa 7, servicios de autenticacin de usuarios.

La prctica totalidad de los cortafuegos de este tipo, suelen prestar servicios de Proxy. Tanto es as que a

menudo se identifican biunvocamente unos con otros. Un Proxy es un servicio especfico que controla el trfico de un determinado protocolo (como HTTP, FTP, DNS, etc.), proporcionando un control de acceso

adicional y un detallado registro de sucesos respecto al mismo. Los servicios o agentes tpicos con que cuentan este tipo de dispositivos son: DNS, FTP, HTTP, HTTPS, LDAP, y SMTP. Algunos fabricantes proporcionan agentes genricos que, en teora, son capaces de inspeccionar cualquier protocolo de la red,

pero lgicamente, usarlos le resta robustez al esquema y facilita a un intruso la labor de establecer un tnel (tunneling) a travs de l.

Los agentes o servicios Proxy estn formados por dos componentes: un servidor y un cliente. Ambos

suelen implementarse como dos procesos diferentes lanzados por un nico ejecutable. El servidor acta como destino de las conexiones solicitadas por un cliente de la red interna. El cliente del servicio proxy

es el que realmente encamina la peticin hacia el servidor externo y recibe la respuesta de este.

Posteriormente, el servidor proxy remite dicha respuesta al cliente de la red interna. De esta forma estamos creando un aislamiento absoluto impidiendo una comunicacin directa entre la red interna y la externa. En el dilogo entre cliente y servidor proxy se evalan las peticiones de los clientes de la red interna y se

decide aceptarlas o rechazarlas en base a un conjunto de reglas, examinando meticulosamente que los paquetes de datos sean en todo momento correctos. Puesto que son servicios hechos a medida para el

protocolo que inspeccionan, tenemos un control total y un registro de sucesos al ms alto detalle.

En el siguiente grfico podemos ver un ejemplo de cmo se desarrolla la comunicacin antes descrita:

Las principales ventajas de este tipo de cortafuegos son sus detallados registros de trfico (ya que pueden

examinar la totalidad del paquete de datos), el valor aadido que supone tener un servicio de autenticac in de cara a securizar nuestra red, y la casi nula vulnerabilidad que presentan ante ataques de suplantac in

(spoofing), el aislamiento que realizan de nuestra red, la seguridad que proporciona la comprensin a alto nivel de los protocolos que inspeccionan y los servicios aadidos, como cach y filtro de URLs, que prcticamente todos implementan.

Entre los inconvenientes estn sus menores prestaciones (en cuanto a velocidad de inspeccin se refiere)

frente a los otros modelos ya vistos, la necesidad de contar con servicios especficos para cada tipo distinto de trfico, la imposibilidad de ejecutar muchos otros servicios en el (puesto que se escucha en los mismos

puertos), la imposibilidad de inspeccionar protocolos como UDP, RPC y otros servicios comunes, la necesidad de reemplazar la pila TCP nativa en el servidor donde se ejecutan y lo vulnerables que resultan ante ataques directos al sistema operativo sobre el que se suelen ejecutar.

Cortafuegos de Filtrado Dinmico de Paquetes

Las tcnicas de filtrado dinmico de paquetes surgen como necesidad de proporcionar mecanismos efectivos de seguridad sobre el trfico UDP. Este tipo de cortafuegos asocian el trfico UDP con

conexiones virtuales. Si un paquete de respuesta se genera y enva de vuelta al peticionario original, se establece una conexin virtual y se permite al futuro paquete de respuesta atravesar el cortafuegos. La

informacin asociada a una conexin virtual se guarda durante un periodo de tiempo muy corto y si no se recibe dicho paquete de respuesta durante este, la conexin es invalidada. Algunos modelos de este tipo

de cortafuegos pueden realizan controles similares a ste sobre el protocolo ICMP.

Por lo dems, estos cortafuegos se comportan exactamente igual que los de filtrado simple de paquetes, con sus mismas ventajas e idnticos inconvenientes

Cortafuegos Hbridos

En los ltimos aos las fronteras entre las distintas generaciones de cortafuegos aqu expuestas se han difuminado y, cada vez en mayor medida, aparecen en el mercado productos comerciales que combinan las mejores caractersticas de dos o ms de estas plataformas. As, por ejemplo, podemos encontrar con

facilidad cortafuegos a nivel de aplicacin con servicios de proxy que incluyen filtrado de paquetes para inspeccionar las tramas UDP que antes le estaban restringidas.

En definitiva, la hibridacin de tecnologas y la amalgama de caractersticas de los actuales productos ha

potenciado las ventajas de estos equipos pero tambin ha complicado en gran medida la tarea de elegir cual es el cortafuegos ms adecuado a nuestras necesidades.

Translacin de Direcciones (NAT)

Un valor aadido sobre los cortafuegos actuales son los servicios adicionales de que disponen y que

facilitan las labores de proteccin y administracin de la red. Se trata de servicios en algunos casos hechos a medida y en otros habituales de otros dispositivos pero que, en cualquier caso, representan un punto

importante a la hora de decidirnos por una u otra implementacin. En este apartado veremos brevemente algunos de ellos.

Los servicios de NAT (Network Address Translation) resuelven dos de los principales problemas de

seguridad e infraestructura de las redes actuales. En primer lugar, constituyen una herramienta muy efectiva para esconder las direcciones de red reales de nuestra red interna. En segundo lugar, y debido a la reduccin del espacio de direcciones IP disponibles, muchas organizaciones usan NAT para permitir la

salida a Internet de sus equipos de la red interna con un mnimo de direcciones legalmente vlidas (ver RFC 1918).

Existen tres estrategias diferentes a la hora de implementar NAT que veremos brevemente a continuac in.

Translacin de Direcciones de Red Esttica

En este esquema de NAT cada sistema interno de la red privada tiene su propia direccin IP exterior. Con este sistema se logra esconder el esquema interno de nuestra red, pero no la reduccin de direcciones IP vlidas de acceso al exterior. Los cortafuegos que incluyen esta caracterstica usan para ello una simple

tabla de correspondencia entre unas direcciones y otras.

Translacin de Direcciones de Red Oculta

Con este esquema todos los sistemas de la red interna comparten la misma direccin IP externa. Reviste

dos importantes inconvenientes: es imposible poner a disposicin de los usuarios externos ningn recurso de la red interna, y obliga al Cortafuegos a usar su propia direccin externa como sustituta de la direccin de todos los equipos que protege, con lo cual implcitamente estamos revelando la direccin del mismo y

lo hacemos susceptible de ser atacado directamente, adems de restarle flexibilidad al sistema.

Translacin de Puertos

El sistema de translacin de puertos (PAT) resuelve los dos problemas vistos en el esquema anterior,

convirtindolo en la mejor forma de implementar NAT. En primer lugar no es necesario usar la direccin externa del Cortafuegos, sino que podemos crear otra direccin virtual para este propsito. En segundo

lugar, es posible hacer accesibles recursos internos a los usuarios del exterior.

El cortafuegos usa el puerto del cliente para identificar cada conexin entrante y construye a tal efecto una tabla de traslaciones como la mostrada a continuacin:

La translacin de puertos se realiza de forma secuencial en algunos sistemas (como el de la tabla del ejemplo anterior) y aleatoria, dentro de un rango de puertos vlidos, en otros.

Se trata, de los tres esquemas vistos, del ms conveniente, flexible, seguro y por tanto el ms ampliamente usado en la actualidad.

Redes Privadas Virtuales (VPN)

Uno de los servicios adicionales ms valorados de los Cortafuegos actuales es la posibilidad d

construccin de Redes privadas Virtuales (VPN o Virtual Private Networks) que permiten extender a las comunicaciones externas la seguridad del interior de nuestra red.

Una VPN se construye en la cspide de la pila de protocolos ya existentes en la red usando protocolos

adicionales y fuertes cifrados y mecanismos de control de integridad, sustitucin o repeticin de la informacin transmitida.

Existen diferentes formas de construir una VPN. Quizs la forma ms lgica y comnmente usada es utilizar para ello el estndar IPSec., consistente en una porcin de las caractersticas de seguridad de IPv6

separadas y portadas para ser usadas en IPv4. Otras opciones son el estndar propuesto por Microsoft llamado PPTP (Point to Point Tunneling Protocol) o L2TP (Layer 2 Tunneling Protocol), propuesto por

la IETF (Internet Engineering Task Force).

El motivo por el que se coloca el servidor de VPN en el cortafuegos es evidente: colocarlo detrs de l hara que el trfico cifrado entrante y saliente generado por el servidor VPN no pudiese ser inspeccionado totalmente y hubiera que obviar funciones como las de autenticacin, logging, escaneo de virus etc. sobre

todo este trfico. Colocando el servidor VPN detrs del cortafuegos lo hacemos vulnerable a ataques directos.

El principal problema de las VPN es el elevado coste de recursos que supone el cifrado completo de las

comunicaciones lo cual reduce considerablemente el ancho de banda efectivo que somos capaces de tratar. Una solucin para mitigar este problema es usar una tarjeta cifradora por hardware, las cuales suelen

reducir en aproximadamente un 50% el tiempo necesario en realizar la encriptacin.

Cisco VPN 3000 - Equipo Concentrator de VPN Dedicado

Reguladores de Ancho de Banda

Estos dispositivos, denominados Bandwidth Shapers o Throttlers, estn adquiriendo un auge asombroso en los ltimos tiempos y son ya muchas las formas en las que nos los encontramos: programas o elementos

especficos o servicios de valor aadido en routers o cortafuegos.

Un modelador del ancho de banda se emplaza entre la red interna y la salida a Internet (el mismo lugar del cortafuegos, de ah su inclusin en los mismos) y puede ser comparado con un guardia del trfico. Mediante reglas, se definen distintas colas, cada una de las cuales alberga un tipo distinto de trfico: e-

mails, transferencias de ficheros, trfico http, archivos musicales o de video, etc. Cada una de las colas de trfico posee una prioridad distinta, de forma que podemos poner en primer lugar aquellas que

correspondan al trfico ms crtico para nuestra organizacin.

El modelador realiza la distincin entre los distintos tipos de trfico de formas muy diferentes : inspeccionando directamente las cabeceras en busca de identificar un determinado protocolo, en funcin

de los puertos a los que son dirigidos los paquetes, etc. A veces esto no es suficiente. Un sistema bien conocido para intercambio de ficheros como edonkey usa el puerto 80 para asemejar trfico web. Otros, como KaZaa, desobedece los estndares y usa ms de un puerto simultneamente. Para estos casos los

Shapers usan mtodos similares a los de los antivirus y buscan patrones (signatures) que identifican estos trficos.

Aunque pueda parecer que estos mtodos introducen ms retardo que desahogo en el trfico de la red no

es as en absoluto: los shapers analizan, al igual que los cortafuegos con inspeccin de estado, slo los primeros paquetes de una conexin y una vez que esta es identificada la asignan a una cola de trfico en particular hasta que esta finaliza.

Interfaz de Gestin de un Regulador de Ancho de Banda BlueCoat

Inspeccin de Contenidos

Es uno de los servicios adicionales ms interesantes que ofrecen los Cortafuegos a Nivel de Aplicacin: realizar una inspeccin de contenidos en el trfico HTTP y SMTP incluyendo los siguientes elementos:

o Applets de Java

o Cdigo ActiveX, JavaScript o CGI. o Inspeccin de virus (binarios y de macro). o Inspeccin del contenido de ciertos formatos (.zip, .doc, .xls, .ppt, etc.)

o Bloqueo de contenidos en base a URLs, direcciones IP y/o palabras clave. o Bloqueo de comandos especficos de determinadas aplicaciones.

Autenticacin de Usuarios

Otro servicio bsico en los cortafuegos a nivel de aplicacin es la autenticacin de usuarios que en los

dispositivos a nivel de red debe limitarse a la direccin IP de procedencia de la peticin, con el consiguiente riesgo de suplantacin, mientras que en estos pueden habilitarse servicios clsicos de

combinacin login / password.

Alta Disponibilidad y Balanceo de Carga

Como hemos visto en las descripciones anteriores, uno de los principales inconvenientes de los

cortafuegos es la disminucin del rendimiento que provocan, efecto que se ve agravado en algunos esquemas ms que en otros. Los cortafuegos empresariales de gama alta suelen ofrecer una solucin para paliar este problema al mismo tiempo que ofrecen redundancia mediante el balanceo de carga entre dos o

ms dispositivos cortafuegos. Logramos, de esta forma, mejorar el problema del rendimiento y ofrecer alta disponibilidad y tolerancia a fallos en nuestra poltica de seguridad.

Interfaz de Gestin Web de un Firewall Sophos UTM

Firewall de Windows

Firewall de Windows viene con Windows (a partir de Windows XP SP1) y est activado de manera predeterminada.

La siguiente es una imagen que muestra cmo funciona el firewall:

Se recomienda utilizar estos parmetros de configuracin de firewall:

o El firewall est activado para todas las conexiones de red. o El firewall bloquea todas las conexiones entrantes, excepto las que se hayan permitido

especficamente. o El firewall est activado para todos los tipos de red (privada, pblica o dominio).

Activar y desactivar Firewall de Windows

1. Para abrir el Firewall de Windows, hacemos click en Buscar dentro del men Inicio, escribimos firewall en el cuadro de bsqueda y despus hacemos clic en Firewall de Windows.

2. Hacemos clic en Activar o desactivar Firewall de Windows. Es posible que se nos solicite una

contrasea de administrador o que confirmemos nuestra eleccin. 3. Realizamos una de las acciones siguientes:

o Clic en Activar Firewall de Windows en cada tipo de red que deseemos proteger y despus hacemos clic en Aceptar.

o Clic en Desactivar Firewall de Windows (no recomendado) en cada tipo de red que deseemos dejar

de proteger y, a continuacin, clic en Aceptar.

Descripcin de la configuracin de Firewall de Windows

Podemos personalizar cuatro opciones de configuracin para cada tipo de red (pblica, privada o dominio).

Para buscar estas opciones de configuracin, seguimos estos pasos:

A continuacin explicamos qu hace cada parmetro de configuracin y cundo debemos usarlo:

o Activar Firewall de Windows . Esta configuracin est activada de forma predeterminada. Cuando Firewall de Windows est activado, se bloquea la recepcin de informacin a travs del firewall

para la mayora de las aplicaciones. Si queremos permitir que una aplicacin reciba informac in, seguimos los pasos de la siguiente seccin para agregarla a la lista de aplicaciones permitidas.

o Bloquear todas las conexiones entrantes, incluidas las de la lista de aplicaciones permitidas Con esta opcin se bloquean todos los intentos de conexin al equipo no solicitados. Podemos utiliza r la

cuando necesitemos mxima proteccin para el equipo, como cuando estemos conectados con una red pblica en un hotel o aeropuerto. Si bloqueamos todas las conexiones entrantes, an puedremos ver la mayora de las pginas web, as como enviar y recibir mensajes de correo electrnico y

mensajes instantneos. o Notificarme cuando Firewall de Windows bloquee una nueva aplicacin . Si activamos esta casilla,

Firewall de Windows nos informar cada vez que bloquee una aplicacin nueva y nos ofrecer la opcin de desbloquearla.

o Desactivar Firewall de Windows (no recomendado). No deberamos utilizar esta opcin a menos

que se ejecutemos otro firewall en el equipo.

Permitir que una aplicacin reciba informacin a travs del

firewall

De manera predeterminada, Firewall de Windows bloquea la mayora de las aplicaciones para ayudar a hacer que nuestro equipo sea ms seguro. Para funcionar correctamente, algunas aplicaciones

probablemente requieran que les permitamos recibir informacin a travs del firewall.

1. Clic en Permitir una aplicacin o una caracterstica a travs de Firewall de Windows . 2. Clic en Cambiar configuracin. Es posible que se nos solicite una contrasea de administrador o

que confirmemos nuestra eleccin.

3. Activamos la casilla situada junto a la aplicacin que deseamos permitir, seleccionando los tipos de red en los que deseamos permitir la comunicacin y, a continuacin, hacemos clic en Aceptar.

Abrir un puerto en Firewall de Windows

Si Firewall de Windows est bloqueando una aplicacin y deseamos permitir que esa aplicacin reciba

informacin a travs del firewall, normalmente podremos hacerlo seleccionando la aplicacin en la lista de aplicaciones permitidas, como se describe en la seccin anterior.

No obstante, si la aplicacin no est incluida en la lista, probablemente debamos abrir un puerto (una

manera en que las aplicaciones reciben informacin a travs del firewall).

Por ejemplo, si deseamos jugar en red, es posible que debamos abrir un puerto para el programa de juego, de manera que el firewall permita que la informacin del juego llegue a nuestro equipo. Los puertos

permanecen abiertos todo el tiempo, por lo que deberemos cerrarlos cuando ya no los necesitemos.

1. Clic en Configuracin avanzada. Es posible que se nos solicite una contrasea de administrador o que confirmemos nuestra eleccin.

2. En el cuadro de dilogo Firewall de Windows con seguridad avanzada , en el panel de la izquierda,

clic en Reglas de entrada y, en el panel de la derecha, clic en Nueva regla. 3. Seguimos las instrucciones en pantalla.

Deteccin y Prevencin de Intrusos

Cmo todas las vulnerabilidades no son conocidas, as como tampoco son conocidos los posibles ataques, se han desarrollado productos para detectar tanto las posibles vulnerabilidades de los programas instalados

en los ordenadores, del sistema operativo como de servicios de red, como los posibles ataques que se pueden perpetrar.

Han surgido detectores de ataques, que actan como centinelas, esperando desde cambios en los permisos

de los ficheros y accesos no permitidos en los sistemas, hasta ataques conocidos en el flujo de datos que circula por las redes.

Cortafuegos vs IDS

Es entonces cuando hablamos de los Intrusion Detection Systems (IDS) e Intrusion Prevention Systems

(IPS). De ahora en adelante, ambos sern referenciados como IDS.

Un IDS es un sistema que intenta detectar y alertar sobre las intrusiones intentadas en un sistema o en una red, considerando intrusin a toda actividad no autorizada o que no debera ocurrir en ese sistema. Segn

esta definicin, muchos podran pensar que ese trabajo ya se realiza mediante los cortafuegos o firewa lls. Pero ahora veremos las diferencias entre los dos componentes y como un IDS es un buen complemento de los cortafuegos.

La principal diferencia, es que un cortafuegos es una herramienta basada en la aplicacin de un sistema de restricciones y excepciones sujeta a muchos tipos de ataques, desde los ataques tunneling(saltos de barrera) a los ataques basados en las aplicaciones. Los cortafuegos filtran los paquetes y permiten su paso

o los bloquean por medio de una tabla de decisiones basadas en el protocolo de red utilizado.

Las reglas verifican contra una base de datos que determina si est permitido un protocolo determinado y permite o no el paso del paquete basndose en atributos tales como las direcciones de origen y de destino,

el nmero de puerto, etc... Esto se convierte en un problema cuando un atacante enmascara el trfico que debera ser analizado por el cortafuegos o utilizar un programa para comunicarse directamente con una aplicacin remota. Estos aspectos se escapan a las funcionalidades previstas en el diseo inicial de los

cortafuegos. Es aqu donde entran los IDS, ya que estos son capaces de detectar cuando ocurren estos fallos.

Definiciones

Como se ha descrito en el apartado anterior, un IDS es un software que monitorea el trfico de una red y

los sistemas de una organizacin en busca de seales de intrusin, actividades de usuarios no autorizados y la ocurrencia de malas prcticas, como en el caso de los usuarios autorizados que intentan sobrepasar

sus lmites de restriccin de acceso a la informacin.

Algunas de las caractersticas deseables para un IDS son:

o Deben estar continuamente en ejecucin con un mnimo de supervisin. o Se deben recuperar de las posibles cadas o problemas con la red.

o Debe poderse analizar l mismo y detectar si ha sido modificado por un atacante. o Debe utilizar los mnimos recursos posibles. o Debe estar configurado acorde con la poltica de seguridad seguida por la organizacin.

o Debe de adaptarse a los cambios de sistemas y usuarios y ser fcilmente actualizable.

Tipos de IDS

Existen varios tipos de IDS, clasificados segn el tipo de situacin fsica, del tipo de deteccin que posee o de su naturaleza y reaccin cuando detecta un posible ataque.

Por situacin

Segn la funcin del software IDS, estos pueden ser:

o NIDS (Network Intrusion Detection System) o HIDS (Host Intrusion Detection System)

Los NIDS analizan el trfico de la red completa, examinando los paquetes individualmente,

comprendiendo todas las diferentes opciones que pueden coexistir dentro de un paquete de red y detectando paquetes armados maliciosamente y diseados para no ser detectados por los cortafuegos.

Pueden buscar cual es el programa en particular del servidor web al que se est accediendo y con qu opciones y producir alertas cuando un atacante intenta explotar algn fallo en este programa. Los NIDS tienen dos componentes:

o Un sensor: situado en un segmento de la red, la monitoriza en busca de trfico sospechoso

o Una consola: recibe las alarmas del sensor o sensores y dependiendo de la configuracin reacciona a las alarmas recibidas.

Las principales ventajas del NIDS son:

o Detectan accesos no deseados a la red.

o No necesitan instalar software adicional en los servidores en produccin. o Fcil instalacin y actualizacin por que se ejecutan en un sistema dedicado.

Como principales desventajas se encuentran:

o Examinan el trfico de la red en el segmento en el cual se conecta, pero no puede detectar un ataque

en diferentes segmentos de la red. La solucin ms sencilla es colocar diversos sensores. o Pueden generar trfico en la red. o Ataques con sesiones encriptadas son difciles de detectar.

En cambio, los HIDS analizan el trfico sobre un servidor o una PC, se preocupan de lo que est sucediendo en cada host y son capaces de detectar situaciones como los intentos fallidos de acceso o modificaciones en archivos considerados crticos. Las ventajas que aporta el HIDS son:

o Herramienta potente, registra comandos utilizados, ficheros abiertos,...

o Tiende a tener menor nmero de falsos-positivos que los NIDS, entendiendo falsos-positivos a los paquetes etiquetados como posibles ataques cuando no lo son.

o Menor riesgo en las respuestas activas que los IDS de red. o Los inconvenientes son: o Requiere instalacin en la mquina local que se quiere proteger, lo que supone una carga adicional

para el sistema. o Tienden a confiar en las capacidades de auditora y logging de la mquina en s.

Segn los modelos de deteccin

Los dos tipos de detecciones que pueden realizar los IDS son:

o Deteccin del mal uso. o Deteccin del uso anmalo.

La deteccin del mal uso involucra la verificacin sobre tipos ilegales de trfico de red, por ejemplo,

combinaciones dentro de un paquete que no se podran dar legtimamente. Este tipo de deteccin puede incluir los intentos de un usuario por ejecutar programas sin permiso (por ejemplo, sniffers). Los

modelos de deteccin basado en el mal uso se implementan observando cmo se pueden explotar los puntos dbiles de los sistemas, describiendolos mediante unos patrones o una secuencia de eventos o datos (firma) que sern interpretados por el IDS.

La deteccin de actividades anmalas se apoya en estadsticas tras comprender cual es el trfico normal en la red del que no lo es. Un claro ejemplo de actividad anmala sera la deteccin de trfico fuera de horario de oficina o el acceso repetitivo desde una mquina remota (rastreo de puertos). Este modelo de

deteccin se realiza detectando cambios en los patrones de utilizacin o comportamiento del sistema. Esto se consigue realizando un modelo estadstico que contenga una mtrica definida y compararlo con los

datos reales analizados en busca de desviaciones estadsticas significantes.

Segn su naturaleza

Un tercer y ltimo tipo bsico de clasificacin sera respecto a la reaccin del IDS frente a un posible ataque:

o Pasivos.

o Reactivos.

Los IDS pasivos detectan una posible violacin de la seguridad, registran la informacin y genera una alerta.

Los IDS reactivos estn diseados para responder ante una actividad ilegal, por ejemplo, sacando al

usuario del sistema o mediante la reprogramacin del cortafuegos para impedir el trfico desde una fuente hostil. A este tipo de sistemas se los suele llamar Intrusion Prevention System (IPS), o Sistema de

Prevencin de Intrusiones.

Topologas de IDS

Existen muchas formas de aadir las herramientas IDS a nuestra red, cada una de ellas tiene su ventaja y su desventaja. La mejor opcin debera ser un compendio entre coste econmico y propiedades deseadas,

manteniendo un alto nivel de ventajas y un nmero controlado de desventajas, todo ello de acuerdo con las necesidades de la organizacin.

Por este motivo, las posiciones de los IDS dentro de una red son varias y aportan diferentes caractersticas.

A continuacin vamos a ver diferentes posibilidades en una misma red. Imaginemos que tenemos una red donde un cortafuegos nos divide la Internet de la zona desmilitarizada (DMZ Demilitarized Zone), y otro que divide la DMZ de la intranet de la organizacin como se muestra en el dibujo 1. Por zona

desmilitarizada entendemos la zona que debemos mostrar al exterior, la zona desde la cual mostramos nuestros servicios o productos:

Red con IDS simple

Si situamos un IDS antes del cortafuegos exterior permitira detectar el rastreo de puertos de

reconocimiento que seala el comienzo de una actividad maliciosa, y obtendramos como ventaja un aviso prematuro. Sin embargo, si los rastreos no son seguidos por un ataque real, se generar un numeroso

nmero de alertas innecesarias con el peligro de comenzar a ignorarlas.

Si optamos por colocar el IDS en la zona desmilitarizada (DMZ) tendramos como ventaja la posibilidad de adecuar la base de datos de atacantes del NIDS para considerar aquellos ataques dirigidos a los sistemas que estn en la DMZ (servidor web y servidor de correo) y configurar el cortafuegos para bloquear ese

trfico.

As mismo, un NIDS dentro de la red, por ejemplo, de Recursos Humanos podra monitorear todo el trfico para fuera y dentro de esa red. Este NIDS no debera ser tan poderoso como los comentados anteriormente,

puesto que el volumen y el tipo de trfico es ms reducido. El resultado lo podemos visualizar el segundo dibujo:

HoneyPots

Como se analiz anteriormente, existen varias tcnicas para detectar que existe un ataque en curso, y reaccionar adecuadamente a l.

Pero existe un enfoque mucho ms sencillo para detectar a la mayora de los atacantes y malware que

puede estar funcionando en nuestra red.

Se basa en la premisa de que, si disponemos de un dispositivo que no tiene absolutamente ninguna funcin real para la infraestructura, es decir, que no cumple ninguna funcin, ni como cliente, ni como servidor... cualquier intento de conexin hacia l podra considerarse como un intento de ataque. Por qu? Porque

si ese equipo no brinda ningn servicio a nuestra red, el hecho de que alguien est intentando conectarse debe significar que esa persona est buscando posibles vctimas para un ataque.

Tambin podra tratarse de un malware, que ya ha infectado alguno de nuestros dispositivos, y ahora se

encuentra en proceso de replicacin hacia otros dispositivos de la misma red.

Este mtodo de deteccin de intrusos es relativamente fcil de implementar, y se conoce como HoneyPot, porque lo que estamos instalando es una especie de Tarro de Miel (en ingls, HoneyPot)

para atraer a posibles atacantes.

Tambin podramos configurar este dispositivo para que parezca ser un sistema muy vulnerable, por ejemplo, que simule tener instalado un sistema operativo Microsoft Windows 2000, sin parches de

seguridad, y con el servidor web Internet Information Server (IIS) en su versin 4.

Una vez hecho esto, podremos registrar cualquier intento de conexin a nuestro HoneyPot como un intento de ataque, y reaccionar adecuadamente.

Implementacin de Mejoras

Por otra parte, el registro de la actividad del atacante que interacta con el honeypot muestra nuevas

tcnicas o tendencias de ataques de los que podemos aprender, y por lo tanto, permite planificar e implantar las medidas de seguridad oportunas a corto, medio e incluso a largo plazo para paliar posibles

futuros ataques sobre los sistemas productivos de la empresa.

Clasificacin

Existen diversas formas de clasificar los honeypots. Aqu lo haremos basndonos en dos de sus propiedades principales: la localizacin concreta dentro de una red y la interaccin que permite con el

atacante.

Segn la Localizacin

Pueden situarse en un entorno de:

Produccin

El objetivo que se pretende alcanzar al implantar un honeypot en una red en produccin no es otro que la

obtencin de informacin sobre las tcnicas empleadas para tratar de vulnerar los sistemas que componen dicha infraestructura.

El abanico de posibilidades que nos ofrece un honeypot en una red en produccin es muy amplio. Desde

la posibilidad de ubicar el honeypot en el segmento de la red de servidores internos de la compaa, con el objetivo de detectar posibles accesos por parte de usuarios internos a recursos crticos de la organizac in (por ejemplo al fichero de nminas), hasta la publicacin de un servicio web con idntica configuracin y

diseo que el mismo servicio que est en produccin o preproduccin.

El mayor inconveniente que supone esta eleccin es el peligro que supone para los sistemas organizat ivos el permitir (incluso provocar) que el trfico malintencionado conviva con el legtimo.

Investigacin

En este caso, el principal objetivo es la recopilacin de la mayor cantidad de informacin que permita al

investigador poder analizar las nuevas tendencias en los mtodos de ataque, as como los principa les objetivos perseguidos y los distintos orgenes de los ataques. El resultado de este anlisis es recogido en

informes cuyo objetivo es respaldar la toma de decisiones en la implantacin de las medidas de seguridad preventivas.

La principal ventaja de situar el honeypot en una red independiente, dedicada nicamente a la investigacin, es la separacin del sistema vulnerable del resto de sistemas productivos y evitar as la

posibilidad de sufrir un ataque a travs del propio honeypot. Por el contrario, el inconveniente es la cantidad de recursos necesarios. Sobre la arquitectura a emplear profundizaremos en prximos posts.

Segn la Interaccin

Otro mtodo de clasificacin de los tarros de miel es el que define la INTERACCIN con el atacante. En este caso, los honeypots se agrupan en dos tipos:

Baja Interaccin

El honeypot emula un servicio, una aplicacin o un sistema vulnerable. Sus caractersticas principales son

su sencilla instalacin y configuracin, junto con lo limitado de su capacidad para obtener diferentes tipos de datos. Unos ejemplos de honeypots de este tipo son:

Honeyd: Quizs uno de los honeypots ms sencillos y populares. Es un demonio que crea hosts virtua les en una red. Los anfitriones pueden ser configurados para ejecutar servicios arbitrarios, y su

comportamiento puede ser adaptado para que simule estar en ejecucin en ciertos sistemas operativos.

HoneyC: El objetivo de este honeypot es la identificacin de servidores web maliciosos en la red. Para ello emula varios clientes y recaba la mayor cantidad posible de informacin de las respuestas de los

servidores cuando stos contestan a sus solicitudes de conexin. HoneyC es ampliable de diversas formas: pueden utilizarse diferentes clientes, sistemas de bsqueda y algoritmos de anlisis.

Nephentes: Honeypot de baja interaccin que pretende emular vulnerabilidades conocidas para recopilar

informacin sobre posibles ataques. Nepenthes est diseado para emular vulnerabilidades que los gusanos utilizan para propagarse y cuando estos intentan aprovecharlas, captura su cdigo para su posterior anlisis.

Honeytrap: Este honeypot est destinado a la observacin de ataques contra servicios de red. En contraste

con otros honeypots, que se suelen centrar en la recogida de malware, el objetivo de Honeytrap es la captura de exploits.

Glastopf: Emula miles de vulnerabilidades para recopilar datos de los ataques contra aplicaciones web. La

base para la recoleccin de informacin es la respuesta correcta que se le ofrece al atacante cuando intenta explotar la aplicacin web. Es fcil de configurar y una vez indexado por los buscadores, los intentos de explotacin de sus vulnerabilidades se multiplican.

Alta Interaccin

En este caso el honeypot es una aplicacin con la cual se puede interactuar y que responde como se espera, con la diferencia de que su diseo est orientado a realizar un registro exhaustivo de la actividad que se lleva a cabo sobre ella y de que la informacin que contiene no es relevante en ningn caso.

HI-HAT (High Interaction Honeypot Analysis Toolkit): Herramienta que transforma aplicaciones php en

aplicaciones honeypot de alta interaccin. Adems ofrece una interfaz web que permite consultar y monitorizar los datos registrados.

HoneyBow: Herramienta de recopilacin de malware que puede integrarse con el honeypot de baja

interaccin Nephentes para crear una herramienta de recoleccin mucho ms completa.

Sebek: Funciona como un HIDS (Host-based Intrusion Detection System) permitiendo capturar una gran variedad de informacin sobre la actividad en un sistema ya que acta a muy bajo nivel. Es una

arquitectura cliente-servidor, con capacidad multiplataforma, que permite desplegar honeypots cliente en sistemas Windows, Linux, Solaris, *BSD, etc., que se encargan de la captura y el envo de la actividad

recopilada hacia el servidor Sebek. Podramos decir que forma parte de una tercera generacin de honeypots.

Capture-HPC: Del tipo cliente, como HoneyC, identifica servidores potencialmente maliciosos interactuando con ellos, utilizando una mquina virtual dedicada y observando cambios de sistema no

previstos o autorizados.

Bibliografa

Este texto est basado en Cortafuegos. Comparativa entre las Distintas Generaciones y Funcionalidades

Adicionales (Versin 1.1), escrito por Jos Mara Morales Vzquez