SEGURIDAD Y ALTA DISPONIBILIDAD En Este Libro Se Abarcara La Asignatura De Servicios De Red E Internet Del Grado Superior De Informática

SEGURIDAD Y ALTA DISPONIBILIDAD En este libro se abarcara la asignatura de servicios de red e internet del grado superior de informática.

Escrito por: Nicolás Madrid Gallego

Nicolás Madrid Gallego IES GREGORIO PRIETO CORTAFUEGOS SEGURIDAD Y ALTA DISPONIBILIDAD CORTAFUEGOS

SEGURIDAD Y ALTA DISPONIBILIDAD CORTAFUEGOS

Contenido 1.- Concepto . Utilización de cortafuegos...... 3 2.-Historia de los cortafuegos ...... 4 Primera generación – cortafuegos de red: filtrado de paquetes ...... 5 Segunda generación – cortafuegos de estado ...... 5 Tercera generación - cortafuegos de aplicación...... 6 Acontecimientos posteriores ...... 6 1.3.-Funciones principales de un cortafuegos: Filtrado de paquetes de datos, filtrado por aplicación, Reglas de filtrado y registros de sucesos de un cortafuegos ...... 7 Filtrado de paquetes ...... 7 1.4.-Listas de control de acceso (ACL) ...... 10 1.5.-Ventajas y Limitaciones de los cortafuegos ...... 12 Ventajas de un cortafuegos...... 12 1.6.-Políticas de cortafuegos...... 12 Hay dos políticas básicas en la configuración de un cortafuegos que cambian radicalmente la filosofía fundamental de la seguridad en la organización:...... 12 1.7.-Tipos de cortafuegos...... 13 1.8.-Arquitectura cortafuegos ...... 15 1.8.- Pruebas de funcionamiento. Sondeo ...... 16 2.-Cortafuegos software y hardware ...... 16 2.1Cortafuegos software integrados en los sistemas operativos ...... 16 2.2.- Cortafuegos software libres y propietario ...... 19 2.3.- Distribuciones libres para implementar cortafuegos en máquinas dedicadas19 2.4.- Cortafuegos hardware. Gestión Unificada de Amenazas “Firewall UTM” (Unified Threat Management)...... 22

1.- Concepto . Utilización de cortafuegos. Un cortafuegos (firewall en inglés) es una parte de un sistema o una red que está diseñada para bloquear el acceso no autorizado, permitiendo al mismo tiempo comunicaciones autorizadas. Se trata de un dispositivo o conjunto de dispositivos configurados para permitir, limitar, cifrar, descifrar, el tráfico entre los diferentes ámbitos sobre la base de un conjunto de normas y otros criterios.

SEGURIDAD Y ALTA DISPONIBILIDAD CORTAFUEGOS

Los cortafuegos pueden ser implementados en hardware o software, o una combinación de ambos. Los cortafuegos se utilizan con frecuencia para evitar que los usuarios de Internet no autorizados tengan acceso a redes privadas conectadas a Internet, especialmente intranets. Todos los mensajes que entren o salgan de la intranet pasan a través del cortafuegos, que examina cada mensaje y bloquea aquellos que no cumplen los criterios de seguridad especificados. También es frecuente conectar al cortafuegos a una tercera red, llamada Zona desmilitarizada o DMZ, en la que se ubican los servidores de la organización que deben permanecer accesibles desde la red exterior. Un cortafuegos correctamente configurado añade una protección necesaria a la red, pero que en ningún caso debe considerarse suficiente. Laseguridad informática abarca más ámbitos y más niveles de trabajo y protección.

2.-Historia de los cortafuegos El término "firewall / fireblock" significaba originalmente una pared para confinar un incendio o riesgo potencial de incendio en un edificio. Más adelante se usa para referirse a las estructuras similares, como la hoja de metal que separa el compartimiento del motor de un vehículo o una aeronave de la cabina. La tecnología de los cortafuegos surgió a finales de 1980, cuando Internet era una tecnología bastante nueva en cuanto a su uso global y la conectividad. Los predecesores de los cortafuegos para la seguridad de la red fueron los routers utilizados a finales de 1980, que mantenían a las redes separadas unas de otras. La visión de Internet como una comunidad relativamente pequeña de usuarios con máquinas compatibles, que valoraba la predisposición para el intercambio y la colaboración, terminó con una serie de importantes violaciones de seguridad de Internet que se produjo a finales de los 80:

. Clifford Stoll, que descubrió la forma de manipular el sistema de espionaje alemán. . Bill Cheswick, cuando en 1992 instaló una cárcel simple electrónica para observar a un atacante. . En 1988, un empleado del Centro de Investigación Ames de la NASA, en California, envió una nota por correo electrónico a sus colegas que decía:

"Estamos bajo el ataque de un virus de Internet! Ha llegado a Berkeley, UC San Diego, Lawrence Livermore, Stanford y la NASA Ames."

. El Gusano Morris, que se extendió a través de múltiples vulnerabilidades en las máquinas de la época. Aunque no era malicioso, el gusano Morris fue el primer ataque a gran escala sobre la seguridad en Internet; la red no esperaba ni estaba preparada para hacer frente a su ataque. 4

SEGURIDAD Y ALTA DISPONIBILIDAD CORTAFUEGOS

Primera generación – cortafuegos de red: filtrado de paquetes El primer documento publicado para la tecnología firewall data de 1988, cuando el equipo de ingenieros Digital Equipment Corporation (DEC) desarrolló los sistemas de filtro conocidos como cortafuegos de filtrado de paquetes. Este sistema, bastante básico, fue la primera generación de lo que se convertiría en una característica más técnica y evolucionada de la seguridad de Internet. En AT&T Bell, Bill Cheswick y Steve Bellovin, continuaban sus investigaciones en el filtrado de paquetes y desarrollaron un modelo de trabajo para su propia empresa, con base en su arquitectura original de la primera generación. El filtrado de paquetes actúa mediante la inspección de los paquetes (que representan la unidad básica de transferencia de datos entre ordenadores en Internet). Si un paquete coincide con el conjunto de reglas del filtro, el paquete se reducirá (descarte silencioso) o será rechazado (desprendiéndose de él y enviando una respuesta de error al emisor). Este tipo de filtrado de paquetes no presta atención a si el paquete es parte de una secuencia existente de tráfico. En su lugar, se filtra cada paquete basándose únicamente en la información contenida en el paquete en sí (por lo general utiliza una combinación del emisor del paquete y la dirección de destino, su protocolo, y, en el tráfico TCP y UDP, el número de puerto). Los protocolos TCP y UDP comprenden la mayor parte de comunicación a través de Internet, utilizando por convención puertos bien conocidos para determinados tipos de tráfico, por lo que un filtro de paquetes puede distinguir entre ambos tipos de tráfico (ya sean navegación web, impresión remota, envío y recepción de correo electrónico, transferencia de archivos…); a menos que las máquinas a cada lado del filtro de paquetes son a la vez utilizando los mismos puertos no estándar. El filtrado de paquetes llevado a cabo por un cortafuegos actúa en las tres primeras capas del modelo de referencia OSI, lo que significa que todo el trabajo lo realiza entre la red y las capas físicas. Cuando el emisor origina un paquete y es filtrado por el cortafuegos, éste último comprueba las reglas de filtrado de paquetes que lleva configuradas, aceptando o rechazando el paquete en consecuencia. Cuando el paquete pasa a través de cortafuegos, éste filtra el paquete mediante un protocolo y un número de puerto base (GSS). Por ejemplo, si existe una norma en el cortafuegos para bloquear el acceso telnet, bloqueará el protocolo IP para el número de puerto 23. Segunda generación – cortafuegos de estado

SEGURIDAD Y ALTA DISPONIBILIDAD CORTAFUEGOS

Durante 1989 y 1990, tres colegas de los laboratorios AT&T Bell, Dave Presetto, Janardan Sharma, y Nigam Kshitij, desarrollaron la tercera generación de servidores de seguridad. Esta tercera generación cortafuegos tiene en cuenta además la colocación de cada paquete individual dentro de una serie de paquetes. Esta tecnología se conoce generalmente como la inspección de estado de paquetes, ya que mantiene registros de todas las conexiones que pasan por el cortafuegos, siendo capaz de determinar si un paquete indica el inicio de una nueva conexión, es parte de una conexión existente, o es un paquete erróneo. Este tipo de cortafuegos pueden ayudar a prevenir ataques contra conexiones en curso o ciertos ataques de denegación de servicio. Tercera generación - cortafuegos de aplicación Son aquellos que actúan sobre la capa de aplicación del modelo OSI. La clave de un cortafuegos de aplicación es que puede entender ciertas aplicaciones y protocolos (por ejemplo: protocolo de transferencia de ficheros, DNS o navegación web), y permite detectar si un protocolo no deseado se coló a través de un puerto no estándar o si se está abusando de un protocolo de forma perjudicial. Un cortafuegos de aplicación es mucho más seguro y fiable cuando se compara con un cortafuegos de filtrado de paquetes, ya que repercute en las siete capas del modelo de referencia OSI. En esencia es similar a un cortafuegos de filtrado de paquetes, con la diferencia de que también podemos filtrar el contenido del paquete. El mejor ejemplo de cortafuegos de aplicación es ISA (Internet Security and Acceleration). Un cortafuegos de aplicación puede filtrar protocolos de capas superiores tales como FTP, TELNET, DNS, DHCP, HTTP, TCP, UDP y TFTP (GSS). Por ejemplo, si una organización quiere bloquear toda la información relacionada con una palabra en concreto, puede habilitarse el filtrado de contenido para bloquear esa palabra en particular. No obstante, los cortafuegos de aplicación resultan más lentos que los de estado. Acontecimientos posteriores En 1992, Bob Braden y DeSchon Annette, de la Universidad del Sur de California (USC), dan forma al concepto de cortafuegos. Su producto, conocido como "Visas", fue el primer sistema con una interfaz gráfica con colores e iconos, fácilmente implementable y compatible con sistemas operativos como Windows de Microsoft o MacOS de Apple. En 1994, una compañía israelí llamada Check Point Software Technologies lo patentó como software denominándolo FireWall-1.

SEGURIDAD Y ALTA DISPONIBILIDAD CORTAFUEGOS

La funcionalidad existente de inspección profunda de paquetes en los actuales cortafuegos puede ser compartida por los sistemas de prevención de intrusiones (IPS). Actualmente, el Grupo de Trabajo de Comunicación Middlebox de la Internet Engineering Task Force (IETF) está trabajando en la estandarización de protocolos para la gestión de cortafuegos. Otro de los ejes de desarrollo consiste en integrar la identidad de los usuarios dentro del conjunto de reglas del cortafuegos. Algunos cortafuegos proporcionan características tales como unir a las identidades de usuario con las direcciones IP o MAC. Otros, como el cortafuegos NuFW, proporcionan características de identificación real solicitando la firma del usuario para cada conexión.

1.3.-Funciones principales de un cortafuegos: Filtrado de paquetes de datos, filtrado por aplicación, Reglas de filtrado y registros de sucesos de un cortafuegos

Filtrado de paquetes Un sistema de firewall opera según el principio del filtrado simple de paquetes, o filtrado de paquetes stateless. Analiza el encabezado de cada paquete de datos (datagrama) que se ha intercambiado entre un ordenador de red interna y un ordenador externo. Así, los paquetes de datos que se han intercambiado entre un ordenador con red externa y uno con red interna pasan por el firewall y contienen los siguientes encabezados, los cuales son analizados sistemáticamente por el firewall:

 La dirección IP del ordenador que envía los paquetes  La dirección IP del ordenador que recibe los paquetes  El tipo de paquete (TCP, UDP, etc.)  El número de puerto (recordatorio: un puerto es un número asociado a un servicio o a una aplicación de red). Las direcciones IP que los paquetes contienen permiten identificar el ordenador que envía los paquetes y el ordenador de destino, mientras que el tipo de paquete y el número de puerto indican el tipo de servicio que se utiliza. La siguiente tabla proporciona ejemplos de reglas del firewall:

Regla Acción IP fuente IP destino Protocolo Puerto Puerto

SEGURIDAD Y ALTA DISPONIBILIDAD CORTAFUEGOS

fuente destino

192.168.10 194.154.19 cualqui 1 Aceptar tcp 25 .20 2.3 era

192.168.10. cualqui 2 Aceptar Cualquiera tcp 80 3 era

192.168.10 cualqui 3 Aceptar cualquiera tcp 80 .0/24 era

cualqui cualquier 4 Negar Cualquiera cualquiera cualquiera era a

Los puertos reconocidos (cuyos números van del 0 al 1023) están asociados con servicios ordinarios (por ejemplo, los puertos 25 y 110 están asociados con el correo electrónico y el puerto 80 con la Web). La mayoría de los dispositivos de firewall se configuran al menos para filtrar comunicaciones de acuerdo con el puerto que se usa. Normalmente, se recomienda bloquear todos los puertos que no son fundamentales (según la política de seguridad vigente). Por ejemplo, el puerto 23 a menudo se bloquea en forma predeterminada mediante dispositivos de firewall, ya que corresponde al protocolo TELNET, el cual permite a una persona emular el acceso terminal a una máquina remota para ejecutar comandos a distancia. Los datos que se intercambian a través de TELNET no están codificados. Esto significa que es probable que un hacker observe la actividad de la red y robe cualquier contraseña que no esté codificada. Generalmente, los administradores prefieren el protocolo SSH, el cual tiene la reputación de ser seguro y brinda las mismas funciones que TELNET.

Filtrado de aplicaciones El filtrado de aplicaciones permite filtrar las comunicaciones de cada aplicación. El filtrado de aplicaciones opera en el nivel 7 (capa de aplicaciones) del modelo OSI, a diferencia del filtrado simple de paquetes (nivel 4). El filtrado de aplicaciones implica el conocimiento de los protocolos utilizados por cada aplicación. Como su nombre lo indica, el filtrado de aplicaciones permite filtrar las comunicaciones de cada aplicación. El filtrado de aplicaciones implica el conocimiento de las aplicaciones en la red y un gran entendimiento de la forma en que en ésta se estructuran los datos intercambiados (puertos, etc.). Un firewall que ejecuta un filtrado de aplicaciones se denomina generalmente "pasarela de aplicaciones" o ("proxy"), ya que actúa como relé entre dos redes mediante la intervención y la realización de una evaluación completa del contenido en los paquetes intercambiados. Por lo tanto, el proxy actúa como

SEGURIDAD Y ALTA DISPONIBILIDAD CORTAFUEGOS intermediario entre los ordenadores de la red interna y la red externa, y es el que recibe los ataques. Además, el filtrado de aplicaciones permite la destrucción de los encabezados que preceden los mensajes de aplicaciones, lo cual proporciona una mayor seguridad.

Este tipo de firewall es muy efectivo y, si se ejecuta correctamente, asegura una buena protección de la red. Por otra parte, el análisis detallado de los datos de la aplicación requiere una gran capacidad de procesamiento, lo que a menudo implica la ralentización de las comunicaciones, ya que cada paquete debe analizarse minuciosamente. Además, el proxy debe interpretar una gran variedad de protocolos y conocer las vulnerabilidades relacionadas para ser efectivo. Finalmente, un sistema como este podría tener vulnerabilidades debido a que interpreta pedidos que pasan a través de sus brechas. Por lo tanto, el firewall (dinámico o no) debería disociarse del proxy para reducir los riesgos de comprometer al sistema.

Reglas de filtrados de paquetes Las reglas de filtrado se basan en revisar la información que poseen los paquetes en su encabezado, lo que hace posible su desplazamiento en un proceso de IP. Esta información consiste en la dirección IP fuente, la dirección IP destino, el protocolo de encapsulado (TCP, UDP,ICMP, o IP tunnel), el puerto fuente TCP/UDP, el puerto destino TCP/UDP, el tipo de mensaje ICMP, la interface de entrada del paquete, y la interface de salida del

SEGURIDAD Y ALTA DISPONIBILIDAD CORTAFUEGOS

paquete. Si se encuentra la correspondencia y las reglas permiten el paso del paquete, este será desplazado de acuerdo a la información a la tabla de ruteo, si se encuentra la correspondencia y las reglas niegan el paso, el paquete es descartado. Si estos no corresponden a las reglas, un parámetro configurable por incumplimiento determina descartar o desplazar el paquete.

Las reglas acerca del filtrado de paquetes a través de un ruteador para rehusar/permitir el trafico esta basado en un servicio en especifico, desde entonces muchos servicios vierten su información en numerosos puertos TCP/UDP conocidos. Por ejemplo, un servidor Telnet esta a la espera para conexiones remotas en el puerto 23 TCP y un servidor SMTP espera las conexiones de entrada en el puerto 25 TCP. Para bloquear todas las entradas de conexión Telnet, el ruteador simplemente descarta todos los paquetes que contengan el valor del puerto destino TCP igual a 23. Para restringir las conexiones Telnet a un limitado numero de servidores internos, el ruteador podrá rehusar el paso a todos aquellos paquetes que contengan el puerto destino TCP igual a 23 y que no contengan la dirección destino IP de uno de los servidores permitidos. Algunas características típicas de filtrado que un administrador de redes podría solicitar en un ruteador filtra-paquetes para perfecionar su funcionamiento serian:  Permitir la entrada de sesiones Telnet únicamente a una lista especifica de servidores internos.  Permitir la entrada de sesiones FTP únicamente a los servidores internos especificados.  Permitir todas las salidas para sesiones Telnet.  Permitir todas las salidas para sesiones FTP.  Rehusar todo el trafico UDP.

1.4.-Listas de control de acceso (ACL)

Una lista de control de acceso o ACL (del inglés, access control list) es un concepto de seguridad informática usado para fomentar la separación de privilegios. Es una forma de determinar los permisos de acceso apropiados a

SEGURIDAD Y ALTA DISPONIBILIDAD CORTAFUEGOS un determinado objeto, dependiendo de ciertos aspectos del proceso que hace el pedido. Las ACL permiten controlar el flujo del tráfico en equipos de redes, tales como enrutadores y conmutadores. Su principal objetivo es filtrar tráfico, permitiendo o denegando el tráfico de red de acuerdo a alguna condición. Sin embargo, también tienen usos adicionales, como por ejemplo, distinguir "tráfico interesante" (tráfico suficientemente importante como para activar o mantener una conexión) enRDSI.

En redes informáticas

En redes informáticas, ACL se refiere a una lista de reglas que detallan puertos de servicio o nombres de dominios (de redes) que están disponibles en un terminal u otro dispositivo de capa de red, cada uno de ellos con una lista de terminales y/o redes que tienen permiso para usar el servicio. Tanto servidores individuales como enrutadores pueden tener ACL de redes. Las listas de control de acceso pueden configurarse generalmente para controlar tráfico entrante y saliente y en este contexto son similares a un cortafuegos. Existen dos tipos de listas de control de acceso:

. Listas estándar, donde solo tenemos que especificar una dirección de origen; . Listas extendidas, en cuya síntaxis aparece el protocolo y una dirección de origen y de destino.

SEGURIDAD Y ALTA DISPONIBILIDAD CORTAFUEGOS

1.5.-Ventajas y Limitaciones de los cortafuegos

Ventajas de un cortafuegos Bloquea el acceso a personas y/o aplicaciones no autorizadas a redes privadas. Limitaciones de un cortafuegos Las limitaciones se desprenden de la misma definición del cortafuegos: filtro de tráfico. Cualquier tipo de ataque informático que use tráfico aceptado por el cortafuegos (por usar puertos TCP abiertos expresamente, por ejemplo) o que sencillamente no use la red, seguirá constituyendo una amenaza. La siguiente lista muestra algunos de estos riesgos:

. Un cortafuegos no puede proteger contra aquellos ataques cuyo tráfico no pase a través de él. . El cortafuegos no puede proteger de las amenazas a las que está sometido por ataques internos o usuarios negligentes. El cortafuegos no puede prohibir a espías corporativos copiar datos sensibles en medios físicos de almacenamiento (discos, memorias, etc.) y sustraerlas del edificio. . El cortafuegos no puede proteger contra los ataques de ingeniería social. . El cortafuegos no puede proteger contra los ataques posibles a la red interna por virus informáticos a través de archivos y software. La solución real está en que la organización debe ser consciente en instalar software antivirus en cada máquina para protegerse de los virus que llegan por cualquier medio de almacenamiento u otra fuente. . El cortafuegos no protege de los fallos de seguridad de los servicios y protocolos cuyo tráfico esté permitido. Hay que configurar correctamente y cuidar la seguridad de los servicios que se publiquen en Internet.

1.6.-Políticas de cortafuegos.

Hay dos políticas básicas en la configuración de un cortafuegos que cambian radicalmente la filosofía fundamental de la seguridad en la organización:

. Política restrictiva: Se deniega todo el tráfico excepto el que está explícitamente permitido. El cortafuegos obstruye todo el tráfico y hay que habilitar expresamente el tráfico de los servicios que se necesiten. Esta

SEGURIDAD Y ALTA DISPONIBILIDAD CORTAFUEGOS

aproximación es la que suelen utilizar la empresas y organismos gubernamentales. . Política permisiva: Se permite todo el tráfico excepto el que esté explícitamente denegado. Cada servicio potencialmente peligroso necesitará ser aislado básicamente caso por caso, mientras que el resto del tráfico no será filtrado. Esta aproximación la suelen utilizar universidades, centros de investigación y servicios públicos de acceso a internet. La política restrictiva es la más segura, ya que es más difícil permitir por error tráfico potencialmente peligroso, mientras que en la política permisiva es posible que no se haya contemplado algún caso de tráfico peligroso y sea permitido por omisión.

1.7.-Tipos de cortafuegos. Clasificación por tecnología:

– Filtros de paquetes

Un firewall sencillo puede consistir en un dispositivo capaz de filtrar paquetes, un choke: se trata del modelo de cortafuegos más antiguo basado simplemente en aprovechar la capacidad de algunos routers - denominados screening routers - para hacer un enrutado selectivo, es decir, para bloquear o permitir el tránsito de paquetes mediante listas de control de acceso en función de ciertas características de las tramas, de forma que el router actue como pasarela de toda la red. Generalmente estas características para determinar el filtrado son las direcciones origen y destino, el protocolo, los puertos origen y destino (en el caso de TCP y UDP), el tipo de mensaje (en el caso de ICMP) y los interfaces de entrada y salida de la trama en el router.

En un cortafuegos de filtrado de paquetes los accesos desde la red interna al exterior que no están bloqueados son directos (no hay necesidad de utilizar proxies, como sucede en los cortafuegos basados en una máquina con dos tarjetas de red), por lo que esta arquitectura es la más simple de implementar (en muchos casos sobre hardware ya ubicado en la red) y la más utilizada en organizaciones que no precisan grandes niveles de seguridad - como las que vemos aquí -. No obstante, elegir un cortafuegos tan sencillo puede no ser recomendable en ciertas situaciones, o para organizaciones que requieren una mayor seguridad para su subred, ya que los simples chokes presentan más desventajas que beneficios para la red protegida. El principal problema es que no disponen de un sistema de monitorización sofisticado, por lo que muchas veces el administrador no puede determinar si el router está siendo atacado o si su seguridad ha sido

SEGURIDAD Y ALTA DISPONIBILIDAD CORTAFUEGOS comprometida. Además las reglas de filtrado pueden llegar a ser complejas de establecer, y por tanto es difícil comprobar su corrección: habitualmente sólo se comprueba a través de pruebas directas, con los problemas de seguridad que esto puede implicar.

Si a pesar de esto decidimos utilizar un router como filtro de paquetes, como en cualquier firewall es recomendable bloquear todos los servicios que no se utilicen desde el exterior (especialmente NIS, NFS, X-Window y TFTP), así como el acceso desde máquinas no confiables hacia nuestra subred; además, es también importante para nuestra seguridad bloquear los paquetes con encaminamiento en origen activado.

– Proxy de aplicación

Además del filtrado de paquetes, es habitual que los cortafuegos utilicen aplicaciones software para reenviar o bloquear conexiones a servicios como finger, telnet o FTP; a tales aplicaciones se les denomina servicios proxy, mientras que a la máquina donde se ejecutan se le llama pasarela de aplicación.

Los servicios proxy poseen una serie de ventajas de cara a incrementar nuestra seguridad; en primer lugar, permiten únicamente la utilización de servicios para los que existe un proxy, por lo que si en nuestra organización la pasarela de aplicación contiene únicamente proxies para telnet, HTTP y FTP, el resto de servicios no estarán disponibles para nadie. Una segunda ventaja es que en la pasarela es posible filtrar protocolos basándose en algo más que la cabecera de las tramas, lo que hace posible por ejemplo tener habilitado un servicio como FTP pero con órdenes restringidas (podríamos bloquear todos los comandos put para que nadie pueda subir ficheros a un servidor). Además, los application gateways permiten un grado de ocultación de la estructura de la red protegida (por ejemplo, la pasarela es el único sistema cuyo nombre está disponible hacia el exterior), facilita la autenticación y la auditoría del tráfico sospechoso antes de que alcance el host destino y, quizás más importante, simplifica enormemente las reglas de filtrado implementadas en el router(que como hemos dicho antes pueden convertirse en la fuente de muchos problemas de seguridad): sólo hemos de permitir el tráfico hacia la pasarela, bloqueando el resto.

Clasificación por ubicación:

– Cortafuegos personales (para PC)

SEGURIDAD Y ALTA DISPONIBILIDAD CORTAFUEGOS

El cortafuegos de tipo entrante es el que controla las conexiones que "entran" en el sistema. Esto quiere decir que está pensado en mayor medida para servidores, para comprobar desde qué direcciones IP se quieren establecer conexiones a sus servicios. Por ejemplo, desde el punto de vista de un servidor que muestra páginas web, un cliente que desee visualizar esa página, será una conexión entrante que deberá verificar en su tabla de reglas. Este tipo de cortafuegos es muy usado tanto en servidores como en sistemas que habitualmente actúan como clientes. Por ejemplo, Windows XP lo activa por defecto desde su Service Pack 2, publicado en 2004. Desde entonces, todos los sistemas Windows cuentan con un cortafuegos entrante activado por defecto. También, la inmensa mayoría de los routers usados para establecer una conexión ADSL tienen un firewall entrante activado por defecto, que protege al ordenador interno.

– Cortafuegos para pequeñas oficinas (SOHO)

– Equipos hardware específicos (Appliances)

– Cortafuegos corporativos

1.8.-Arquitectura cortafuegos Las principales arquitecturas de cortafuegos son:

Computador Múlti-puerto (ó "multi-homed host"): Se trata de un computador que tiene más de un interface de red, cada interface se conecta a segmentos de red física y lógicamente separados. Un computador de doble puerto (un computador con dos interfaces) es el ejemplo más común de computador multi-puerto. Un cortafuegos de doble puerto es un cortafuegos con dos tarjetas de red (ó NICs, NetworkInterface Cards), cada interface conectado a una red diferente. El encaminamiento del cortafuegos seinhabilitará para un cortafuegos de doble puerto para que los paquetes IP de una red no se encaminen directamente de una red a la otra

SEGURIDAD Y ALTA DISPONIBILIDAD CORTAFUEGOS

Computador Pantalla (ó "screened host"):Un cortafuegos con esta arquitectura utiliza un computador denominado "bastión" para que todos los computadores de fuera se conecten, en vez de permitir conexión directa a otros computadores internos menos seguros. Para realizar esto, un router de filtrado de paquetes se configura para que todas las conexiones a la red interna desde la red externa se dirijan hacia el computador "bastión". Si se debe utilizar un cortafuegos de filtrado de paquetes, entonces un computador "bastión" debería establecerse para que todas las conexiones desde la red externa vayan a través del computador "bastión" para impedir que la conexión Internet directa entre la red de la organización y el mundo exterior. Subred Pantalla (ó "screened subnet"): Esta arquitectura es esencialmente similar a la arquitectura del "computador pantalla", pero añade una capa extra de seguridad creando una red en la que reside el computador "bastión"(denominada "red perimetral") que se encuentra separada de la red interna. Una "subred pantalla" se crea añadiendo una red perimetral que separe la red interna de la externa. Esto asegura que si existe un ataque con éxito en el computador bastión, el atacante está restringido a la red perimetral por el "router pantalla" que se conecta entre la red interna y la red perimetral. 1.8.- Pruebas de funcionamiento. Sondeo Un Firewall funciona, en principio, denegando cualquier tráfico que se produzca cerrando todos los puertos de nuestro PC. En el momento que un determinado servicio o programa intente acceder al ordenador nos lo hará saber. Podremos en ese momento aceptar o denegar dicho tráfico, pudiendo asimismo hacer (para no tener que repetir la operación cada vez) "permanente" la respuesta hasta que no cambiemos nuestra política de aceptación.

También puedes optar por configurar el Firewall de manera que reciba sin problemas cierto tipo de datos (FTP, chat o correo, por ejemplo) y que filtre el resto de posibilidades. Un firewall puede ser un dispositivo software o hardware, es decir, un aparatito que se conecta entre la red y el cable de la conexión a Internet, o bien un programa que se instala en la máquina que tiene el modem que conecta con Internet. Windows XP cuenta con un Firewall, aunque muy sencillo. Sólo te permite filtrar la información que entra en tu ordenador, no la que sale. De esta forma, no te servirá de nada si tienes instalado un programa Adware que recoge datos de tu equipo y se conecta al exterior para enviarlos. Conviene que te instales un Firewall más completo y que te permita configurar políticas de seguridad.

2.-Cortafuegos software y hardware

2.1Cortafuegos software integrados en los sistemas operativos V Ejemplos de cortafuegos Windows cuenta con un cortafuegos integrado, tanto entrante como saliente. Su interfaz básica es muy sencilla.

SEGURIDAD Y ALTA DISPONIBILIDAD CORTAFUEGOS

Mac OS X cuenta con un cortafuegos integrado, sólo para conexiones entrantes.

SEGURIDAD Y ALTA DISPONIBILIDAD CORTAFUEGOS

Para sistemas Linux, es necesario utilizar la línea de comando. Se utilizan reglas llamadas iptables, que están implementadas en todos los kernel2 de todos los Linux. Son configurables a través de líneas de comando, y permiten total control de puertos y direcciones (tanto entrantes como salientes). Sin embargo, existen diferentes "interfaces" gráficas que pueden ser instaladas para manejar de forma más cómoda el cortafuegos y sus reglas iptables.

SEGURIDAD Y ALTA DISPONIBILIDAD CORTAFUEGOS

2.2.- Cortafuegos software libres y propietario En el apartado de Filtros Software es donde aparece la distinción entre Firewall libre o de pago, puesto que todos los Firewall Hardware son propietarios.

Estos filtros no son capaces de manejar enormes caudales de conexión (como los Hardware de gama alta), por lo que se recomiendan para empresas de tamaño medio o menores (hasta un usuario final) que quieran tener un control mas estricto de sus redes y no les importe dedicar esfuerzos a la seguridad a cambio de poder tener complejas configuraciones a un precio menor que el de un Firewall Box y obtener un rendimiento optimo del dinero gastado (solo pagas por el software de seguridad y lo instalas en una maquina disponible) o incluso conseguir un buen nivel de seguridad de forma gratuita (aunque con la necesidad de un conocimiento y esfuerzo aun mayores). Así, podemos encontrar usuarios para los que será suficiente un Firewall gratuito, pero que requerirá un esfuerzo extra para su puesta en marcha, otros usuarios que querrán un nivel de seguridad mayor pero con un esfuerzo mínimo, y que probablemente opten por un Filtro Hardware, y otro tipo de usuarios que requerirán también un nivel de seguridad mayor, pero que no tendrán inconveniente en esforzarse para conseguirlo y probablemente opten por un filtro software (que además permite la compartición de servidores en una maquina, aunque esta opción no sea recomendable).

LIBRE

La mayoría de Firewall libres se distribuyen para Linux, y se basan en IPChains, una facilidad que ofrece el sistema operativo para filtrar el trafico. Para poner un Firewall basado en IPChains es necesario un extenso conocimiento de Redes, ya que las reglas hay que ponerlas basándose en direcciones IP de destino / origen, puertos y protocolo de aplicación. además también requiere conocer la sintaxis de IPChains (se ofrece una pequeña guía en un apéndice) y conocer el Sistema Operativo, para saber donde colocar el archivo de reglas y como hacer un script de arranque. además es necesario ajustar el Sistema Operativo para que sea seguro, y no tenga activados mas servicios de los necesarios. Ofrecen una seguridad limitada, ya que no hacen análisis de trafico de ningún tipo, pero son fácilmente escalables ya que usa un sistema operativo “normal” (no propietario) y se pueden integrar Proxies de distintos tipos, así como programas de IDS, antitroyanos, etc, todos ellos de libre distribución. Son útiles para usuarios finales de Linux, que pueden instalar un

Firewall a medida sin necesidad de cambiar nada del sistema operativo. Para un

2.3.- Distribuciones libres para implementar cortafuegos en máquinas dedicadas Top Cortafuegos para el sistemas operativo GNU/Linux 19

SEGURIDAD Y ALTA DISPONIBILIDAD CORTAFUEGOS

1. Firestarter Firestarter es un programa visual del cortafuegos de código abierto. El software apunta combinar facilidad de empleo con características de gran alcance, por lo tanto sirviendo a usuarios Linux y otros.

2. Zorp GPL:

Fácil manejo, utiliza una lengua de escritura para describir las decisiones de política, permite supervisar el tráfico cifrado, eliminar las acciones del cliente, proteger tus servidores gracias a capacidades de identificación… La lista es sin fin.

3. Turtle:

Permite que realices un cortafuego de Linux simple y rápidamente. Ha basado en el núcleo 2.4.x e Iptables. Su manera del funcionamiento es fácil de entender: puedes definir los diversos elementos del cortafuego (zonas, anfitriones, redes) y después fijas los servicios que deseas permitir entre los diversos elementos o grupos de elementos. Puedes hacer esto que corrige simplemente un archivo de XML o que use un interfaz cómodo , Webmin.

4. LutelWall:

Herramienta de alto nivel para la configuración del cortafuego de Linux. Utiliza human-readable y es fácil la configuración para instalar Netfilter de la manera más segura. La flexibilidad de LutelWall permite a los adminstradores del cortafuegos hacerlos desde muy simples, solo- dirigidos, hasta muy complejos - con múltiples subredes, DMZ y cambios de dirección del tráfico. LutelWall hace uso del código de netfilter en el núcleo de 2.4 Linux y es más robusto y configurable que una escritura equivalente de IPchains

5. Floppy

Aplicación para a aumentar las capacidades de tu cortafuesgos: tener acceso a las listas, IP-masquerading (conversión de dirección de red),paquete para formar el tráfico. 20

SEGURIDAD Y ALTA DISPONIBILIDAD CORTAFUEGOS

6. Guarddog:

Guarddog se dirige a dos grupos de usuarios. Principiante a los usuarios intermedios que no son expertos en establecimiento de una red y seguridad del TCP/IP, y esos usuarios que no desean ocuparse de los shell scriptes secretos y de los parámetros de ipchains/iptables.

Para Windows:

WIPFW es una versión para Windows de IPFW1, el cortafuegos de FreeBSD. Realiza funciones de filtrado de paquetes y también de monitorización y contabilidad del tráfico. Sirve para cualquier Windows (a partir de Windows 2000) y dispone de versiones de 32 y 64 bit, así como de un interfaz gráfico que hay que descargar por separado. Su licencia es de tipo BSD y cuenta con un foro de usuarios. Añado a continuación algunos pantallazos del interfaz, para que se vea que WIPFW no es precisamente un firewall "para torpes"...

SEGURIDAD Y ALTA DISPONIBILIDAD CORTAFUEGOS

2.4.- Cortafuegos hardware. Gestión Unificada de Amenazas “Firewall UTM” (Unified Threat Management). “Endian UTM software le ofrece la tecnología de Endian para el control de amenazas en un único programa, permitiéndole convertir cualquier PC en un dispositivo integral de seguridad. De rienda suelta al poder de Endian UTM a través del Hardware de su preferencia y otorgue a su plataforma de red la protección que necesita. Endian Firewall, software appliance incluye funciones de seguridad tales como el paquete dinámico de Firewall, VPN, anti-virus, anti- spam, protección de la web y filtración de correo electrónico, ayudándole a reducir tiempo y gastos administrativos. Endian ha diseñado este dispositivo para cubrir las necesidades de todo tipo de negocio, pequeño o grande, en la

SEGURIDAD Y ALTA DISPONIBILIDAD CORTAFUEGOS búsqueda por una protección óptima para su sistema de red. ” Algunas caracteristicas son:  Administración unificada de amenazas para proteger su red y optimizar el flujo de información.

 Funciona con cualquier tipo de Hardware y lo convierte en un dispositivo multifuncional de seguridad.

 Fácil configuración y manejo de funciones avanzadas de seguridad.

 Protección de correo electrónico y de internet con diversos niveles de filtro.

 Siempre actualizado con lo último en anti-spam, anti-spyware, anti-virus y servicios de filtración de contenidos.

 Administración y servicio centralizado a través de la red Endian.

 Recuperación de datos instantánea, minimizando caídas y fallas en el sistema.