CONSULTORÍA ESTRATÉGICA EN TECNOLOGÍAS DE LA INFORMACIÓN Y COMUNICACIONES

CONSULTORIA EN REDES Y SERVICIOS DE TELECOMUNICACIONES




Cortafuegos para la seguridad corporativa

Autor: Ramón Jesús Millán Tejedor

Publicado en Monografias.com, Trabajos 60, 2008

Acceder al articulo en Monografias.com



IntroducciÓn

El concepto de seguridad y control del acceso en los sistemas corporativos es ya un clásico en muchos ámbitos de la telemática, sin embargo, Internet ha puesto de moda y en evidencia las carencias y el descuido que respecto a la seguridad, observan muchos de los sistemas conectados a la red de redes.

Son muchos los lugares de las redes de empresa donde los piratas informáticos pueden penetrar para introducir virus, extraer información o causar daños de todo tipo. Así mismo, también es bastante frecuente la captura de tráfico ilegal, pudiendo los intrusos disponer de información muy valiosa de comportamiento, información personal e incluso infamación de las transacciones realizadas.

El principio de los mecanismos de seguridad de los sistemas corporativos es el de mantener a los intrusos fuera de la red de la empresa, permitiéndole a ésta realizar su trabajo. La tecnología fundamental utilizada en estos casos es la instalación de un firewall o cortafuegos.

Seguridad en los sistemas corporativos mediante cortafuegos

En el entorno de redes de ordenadores, un cortafuegos es un sistema de contención que intenta impedir la diseminación de daños a través suyo. Físicamente, un cortafuegos de Internet es un sistema o grupo de sistemas informáticos situados en el perímetro de una red para proteger todas sus vías de acceso estableciendo un control del tráfico de entrada y salida. La podemos asemejar a una aduana, que vigila todo lo que la atraviesa, decidiendo qué puede o no atravesarla y bajo qué condiciones. Por consiguiente, un cortafuegos sólo protege contra la diseminación de los ataques derivados de accesos públicos, es decir, sólo puede controlar el tráfico que pasa a través de él.

Desde el punto de vista de las funciones, el cortafuegos tiene una doble misión:

En función de las implementaciones, el énfasis se hará en el tráfico que debe ser bloqueado y en otros casos se centrarán en el tipo de tráfico que deben permitir.

Los principales aspectos críticos que deberá resolver la configuración del cortafuegos en los sistemas corporativos se centrarán en las siguientes problemáticas:

Cortafuegos

Conceptos básicos

Como hemos visto, un cortafuegos es un dispositivo lógico que protege a una red privada del resto de la red pública. Pero se ha de recalcar que, no se trata de cualquier sistema capaz de mejorar la seguridad de la red interna, sino que ha de cumplir tres premisas:

  1. Todo el tráfico entre la red interna y la externa debe pasar necesariamente a través del cortafuegos. Para ello pueden emplearse varias arquitecturas físicas y lógicas.
  2. Sólo el tráfico autorizado según la política de seguridad del administrador de la red interna puede pasar de una red a otra.
  3. El sistema cortafuegos es inmune a ataques desde la red externa.

A partir de estas premisas son posibles distintas implantaciones de cortafuegos diferenciadas por la arquitectura concreta que asegura la premisa (1) y por la forma de efectuar el filtrado de la información de una red a otra, según la (3).

El funcionamiento básico de un cortafuegos es el siguiente:

Se tienen de este modo dos redes distintas que comparten un ordenador. La máquina puente o cortafuegos, puede comunicarse tanto con la red protegida como con Internet. La red protegida no puede comunicarse con Internet, e Internet no puede comunicarse con la red protegida, pues se ha deshabilitado el reenvío IP en el único punto en que se conectan. De este modo, si se quiere acceder a Internet desde la red protegida, hay que hacer primero un telnet al cortafuegos, y acceder a Internet desde él. De la misma forma, para acceder a la red protegida desde Internet, se debe pasar antes por el cortafuegos. Este mecanismo implica que cualquier ataque desde el exterior deberá siempre realizarse también en dos pasos: primeramente deberá caer el cortafuegos que actúa como muralla para, después, atacar el interior. De esta forma se facilita la defensa, pues se puede concentrar el esfuerzo defensivo sobre el cortafuegos.

Tipos de cortafuegos

Ateniéndonos al mecanismo de funcionamiento, o métodos de filtrado de la información, podemos distinguir dos tipos de cortafuegos según a que nivel respecto al modelo OSI actúen:

Recordemos que los encaminadores o routers, son dispositivos que interconectan redes a nivel de red del modelo OSI de la ISO. Realizan funciones de control de tráfico y encaminamiento de paquetes por el camino más eficiente en cada momento. La diferencia fundamental con los puentes o bridges, que trabajan a nivel de enlace, es que éstos no son capaces de realizar tareas de encaminamiento en tiempo real. Las pasarelas o gateways son ordenadores que funcionan a nivel de aplicación del modelo OSI de ISO. Es el más potente de todos los dispositivos de interconexión de redes. Permiten interconectar redes de distintas arquitecturas, es decir, realiza conversiones de protocolo, a diferencia de los encaminadores. En el contexto dado, pasarela es una máquina que conecta dos o más redes, encaminando paquetes de una a otra.

Métodos de filtrado de información

Pasarelas a nivel de red

Descripción

Los cortafuegos más sencillos se basan en el filtrado de paquetes. Los dispositivos típicamente utilizados son los encaminadores apantallados, capaces de filtrar paquetes en base a la dirección origen y/o destino y al servicio o puerto al que acceden.

Se puede usar el filtrado para bloquear conexiones a o desde servidores o redes determinadas, así como para bloquear puertos especiales. Esto nos permite activar o desactivar servicios bien conocidos de forma selectiva para aquellos servidores o redes que no consideremos seguros o que queramos proteger especialmente.

Proteccion a traves de una pasarela a nivel de red

Figura 1: Protección a través de una pasarela a nivel de red.

Por ejemplo, una red local podría permitir sólo el acceso externo al puerto 25, correspondiente al protocolo SMTP (Simple Mail Transfer Protocol) de su servidor de correo, pero no a los de ningún otro ordenador, forzando así a que todo el correo entrante pase por el servidor y, protegiendo el demonio de correo de las demás máquinas de ataques externos. También puede ser interesante, establecer filtros temporales, en los que ciertos servicios están habilitados durante una determinada franja horaria durante la cual se tiene la certeza de que los mismos no son necesarios.

A partir de la política de seguridad establecida, se determinarán las reglas de filtrado de paquetes que debe interpretar el encaminador. Cada vez que el encaminador recibe un paquete por una de sus dos interfaces, comprueba secuencialmente cada una de las reglas y cuando encuentra un patrón que se ajusta al del paquete recibido, ejecuta la acción pertinente, es decir, permite o deniega el acceso.

Los distintos modelos de encaminadores existentes, tienen diferentes formas y capacidades de filtrado:

 

También es posible aplicar la filtración a través de PCs, gracias a programas como KarlBridge o Drawbridge. Los productos basados en PC son populares por su bajo coste, comparado con las plataformas Unix basadas en RISC o con productos encaminadores especiales. No obstante, la evolución de las características de este tipo de programas, los hacen más semejantes a pasarelas a nivel de aplicación que a meros dispositivos de filtración de paquetes.

Problemas

Los principales problemas que presentan los cortafuegos basados en dispositivos de filtrado de información a nivel 3 y 4 de la torre OSI, son:

Ejemplo

A continuación abordamos un ejemplo que le ayudará a entender el modo de operación de los filtros de paquetes, obtenido del libro “Internet y seguridad en redes” de Karanjit Siyan, Ph.D. y Chris Hare, publicado por Prentice-Hall Hispanoamericana S.A. En la Figura 2, se muestra una red con la siguiente política de seguridad:

Esta política de seguridad se puede expresar como un conjunto de reglas de filtro para los puertos externo (Tabla 1) e interno (Tabla 2) del encaminador apantallado.

Ejemplo de cortafuegos a nivel de red

Figura 2: Red del ejemplo.

En los encaminadores Cisco, las reglas en los filtros de paquetes para el puerto externo e interno, pueden implantarse como se muestra a continuación:


Número de regla del filtro Acción Fuente Puerto fuente Destino Puerto destino Opciones de bandera de protocolo Descripción
1 bloquea 144.19.0.0 * * 70 TCP Bloquea el acceso de salida para Gopher
2 bloquea 144.19.0.0 * * 80 TCP Bloquea el acceso de salida para WWW
3 acepta 144.19.0.0 * * * TCP Acepta todo el acceso TCP que falta

Tabla 1: Reglas del filtro para el puerto externo.

Número de regla del filtro Acción Fuente Puerto fuente Destino Puerto destino Opciones de bandera de protocolo Descripción
1 acepta * * 144.19.0.0 * TCP ACK=1
TCP RST=1
Permite los paquetes de entrada que sean parte de una conexión TCP establecida
2 acepta * * 144.19.74.200 25 TCP Permite el acceso al correo electrónico por política de seguridad
3 acepta * * 144.19.74.201 25 TCP Permite el acceso al correo electrónico por política de seguridad
4 acepta * * 144.19.74.200 119 TCP Permite el acceso NNTP por política de seguridad
5 acepta * * 144.19.74.201 119 TCP Permite el acceso NNTP por política de seguridad
6 acepta * * 144.19.74.202 53 UDP Permite el acceso DNS por política de seguridad

Tabla 2: Reglas del filtro para el puerto interno.

El formato general para las listas extendidas utilizadas en este caso, es:

access-list lista {permit|deny} protocolo {ip|tcp|udp|icmp} fuente máscara_de_fuente destino máscara_de_destino [operador operando]

Con los valores de operador y operando se comparan los números de puerto o puntos de acceso a servicio. Estos valores son significativos para TCP y UDP. Los operadores pueden ser: lt (menor que), eq (igual que), gt (mayor que) y neq (diferente de). El operando es el valor decimal del puerto destinatario del protocolo especificado.

Pasarelas a nivel de aplicación

Descripción

Como hemos visto, los filtros de paquetes son demasiado rígidos, difíciles de configurar y sus capacidades de registro histórico son muy limitadas. Además su funcionamiento de basa en un sistema todo o nada: el acceso a un servicio en o desde una máquina se permite o no, pero no hay un término medio.

Protección tras un servidor proxy

Figura 3: Protección tras un servidor.

El siguiente paso es usar pasarelas a nivel de aplicación (gateway o proxy): en estos sistemas el usuario no accede directamente al servicio sino un sistema intermedio que realiza las comprobaciones pertinentes, anota la transacción, toma una decisión y, si es positiva, actúa de intermediario entre el cliente y el servicio remoto correspondiente, posiblemente controlando la ejecución del protocolo del servicio y tomando notas adicionales.

Para ello se coloca en la máquina puente un tipo especial de servidor (no sólo WWW, sino también de otros servicios, como por ejemplo: FTP, Gopher, Wais…), denominado proxy, que actúa como cliente de los servidores externos a la vez que como servidor de los clientes externos. Así no será necesario que un usuario se conecte a la máquina puente para realizar un FTP al exterior. Simplemente, configurará su cliente de FTP para que emplee el servidor de la máquina puente como proxy. A partir de este momento, creerá establecer conexiones con el exterior, cuando en realidad su cliente FTP se estará conectando con el proxy y pidiéndole que éste establezca una conexión con el exterior para extraer un fichero y luego entregárselo. Es decir, enviará a su apoderado a la Internet externa ya que él no está autorizado a salir. Lo mismo ocurre con un servicio WWW. Un cliente interno podría acceder a un servidor corporativo de la Intranet y, a la vez, ser incapaz de establecer conexiones con el exterior. Si se instala un servidor proxy de WWW en la máquina puente y se configuran los clientes de la Intranet para utilizarlo, estos dirigirán todas sus peticiones HTTP (HyperText Transport Protocol) al proxy que, a su vez, recuperará por ellos la información del exterior y se la devolverá a ellos. El usuario tendrá la sensación de conectarse directamente ya que todo el proceso será, para él, transparente.

De lo anterior, se deduce que la funcionalidad de actuar como proxy es una característica relacionada con la seguridad, no hay que confundir pues esta funcionalidad con la de caché. En efecto, una primera idea que le puede venir a la cabeza es que si los clientes van a consultar a un proxy es probable que varios hagan la misma consulta. Por tanto, no sería mala idea la incorporación de una caché a los servidores proxy. Si un usuario accede al mismo, éste comprueba, en primer lugar, si el objeto buscado se encuentra en su caché y, de ser así, lo devuelve sin necesidad de realizar una conexión con el exterior. De ahí que la mayoría de los proveedores de Internet cuenten con cachés de varios gigas en sus proxys. De esta forma parecen más rápidos ante sus clientes y ahorran ancho de banda. Ambas funciones, la de caché y proxy ya vienen incorporadas dentro de muchos servidores WWW.

Los servicios a proteger más comunes son:

Otro tipo de pasarelas a nivel de aplicación además de los servidores proxy o apoderados, son las pasarelas a nivel de circuito. En éstas los paquetes se envían a un proceso a nivel de aplicación de usuario. Las pasarelas a nivel de circuito se dedican a reencaminar conexiones TCP. Cada vez que se tenga que establecer una conexión a través del cortafuegos debe establecerse un circuito TCP hasta éste y tras hacer las comprobaciones pertinentes, el cortafuegos establece un segundo circuito hasta el destino requerido. Entonces, el cortafuegos actúa como un mero cable de conexión entre ambos circuitos, copiando los bytes de uno a otro lado. Las compuertas a nivel de circuito constituyen el método más general y flexible para construir pasarelas a nivel de aplicación.

Problemas

Los principales problemas que presentan los cortafuegos basados en dispositivos de filtrado de información a nivel 7 de la torre OSI, son:

Volver al listado de artículos