FIREWALL
¿Qué es una red firewall?
Se puede definir de una forma simple un firewall, como aquel sistema o conjunto combinado de sistemas que crean una barrera segura entre 2 redes. Para ilustrar esta definición podemos observar la figura.
¿Por qué utilizar un firewall?
El propósito de las redes firewall es mantener a los intrusos fuera del alcance de los trabajos que son propiedad de la propia empresa.
Muchas empresas usan un firewall como una barrera para proteger información confidencial de la empresa, la cual se quiere poder consultar desde internet pero solo a personal autorizado. Muchos de estos sistemas han llegado a ser partes importantes de la estructura de servicios de Internet (entre los ejemplos encontrados tenemos: UUnet.uu.net, whitehouse.gov, gatekeeper.dec.com).
¿Contra qué puede proteger una red firewall?
Por ejemplo un firewall puede permitir solamente tráfico de correo a través de él, de modo que protegen la intrusión a través de cualquier otro servicio de red. Otros firewall proporcionan menos restricciones y bloquean servicios que son conocidos por sus constantes problemas de intrusión.
Generalmente, los firewalls están configuradas para proteger contra "logins" interactivos sin autorización expresa, desde cualquier parte del mundo. Esto, ayuda principalmente, a prevenir actos de vandalismos en máquinas y software de nuestra red. Los firewalls más elaboradas bloquean el tráfico de fuera a dentro, permitiendo a los usuarios del interior, comunicarse libremente con los usuarios del exterior. El firewall, puede protegernos de cualquier tipo de ataque a la red, siempre y cuando se configuren para ello. Son también un buen sistema de seguridad a la hora de controlar estadísticas de usuarios que intentaron conectarse y no lo consiguieron, tráfico que atravesó el mismo, etc... proporcionan un sitema muy comodo de auditar la red.
¿Contra qué no puede proteger una red firewall?
Las redes firewall no pueden protegernos de ataques que se producen por cauces distintos al propio firewall. Muchas organizaciones que están aterradas con las conexiones que se puedan producir a través de Internet no tienen coherencia política a la hora de protegerse de invasiones a través de modems con acceso via teléfono. Es estupido poner una puerta de acero de 6 pulgadas de espesor si se vive en una casa de madera, pero por desgracia, algunas empresas se gastan mucho dinero en comprar firewalls caros, descuidando después las numerosas aberturas por las que se puede colar un intruso (lo que se llaman "back-doors" o "puertas traseras"). Para que un firewall tenga una efectividad completa, debe ser una parte consistente en la arquitectura de seguridad de la empresa. Por ejemplo, una organización que posea datos clasificados o de alto secreto, no necesita una red firewall: En primer lugar, ellos no deberían engacharse a Internet, o los sistemas con los datos realmente secretos deberían ser aislados del resto de la red corportiva.
¿Qué ocurre con los virus?
El firewall no puede protegernos contra los virus. Hay demasiados modos de condificación binaria de ficheros para transmitirlos a través de la red y también son demasiadas las diferentes arquitecturas y virus que intentan introducirse en ellas. En el tema de los virus, la mayor responsaiblidad recae como casi siempre en los usuarios de la red, los cuales deberían tener una gran control sobre los programas que ejecutan y donde se ejecutan.
¿Cuales son algunas de las decisiones básicas al adquirir una red firewall?
Hay una serie de asuntos básicos que hay que tratar en el momento de que una persona toma la responsabilidad (o se la asignan), de diseñar, especificar e implementar o supervisar la instalación de un firewall.
El primero y más importante, es reflejar la política con la que la compañía u organización quiere trabajar con el sistema: ¿Se destina el firewall para denegar todos los servicios excepto aquellos críticos para la misión de conectarse a la red? o ¿Se destina el firewall para porporcionar un método de medición y auditoria de los accesos no autorizados a la red?
El segundo es: ¿Qué nivel de vigilancia, redundancia y control queremos? Hay que establecer un nivel de riesgo aceptable para resolver el primer asunto tratado, para ellos se pueden establecer una lista de comprobación de lo que debería ser vigilado, permitido y denegado. En otras palabras, se empieza buscando una serie de objetivos y entonces se combina un análisis de necesidades con una estimación de riesgos para llegar a una lista en la que se especifique los que realmente se puede implementar.
El tercer asunto es financiero. Es importante intentar cuantificar y proponer soluciones en términos de cuanto cuesta comprar o implementar tal cosa o tal otra. Por ejemplo, un producto completo de red firewall puede costar 100.000 dolares. Pero este precio se trata de un firewall de altas prestaciones. A veces lo realmente necesario no es gastarse mucho dinero en un firewall muy potente, sino perder un poco de tiempo en evaluar las necesidades y encontrar un firewall que se adpate a nuestras necesidades.
En cuanto al asunto técnico, se debe tomar la decisión de colocar una máquina desprotegida en el exterior de la red para correr servicios proxy tales como telnet, ftp, news, etc.., o bien colocar un router cribador a modo de filtro, que permita comunicaciones con una o más máquinas internas. Hay ventajas e incovenientes en ambas opciones, con una máquina proxy se proporciona un gran nivel de auditoria y seguridad en cambio se incrementan los coste de configuración y disminuye el nivel de servicio que pueden proporcionar.
¿Cuales son los tipos básicos de redes firewall?
Conceptualmente, hay dos tipos de firewalls:
1.-) Nivel de red.
2.-) Nivel de aplicación.
No hay tantas diferencias entre los dos tipos como se podría pensar. Pero en cualquier caso, se deberá prestar atención y poner mucho cuidado a la hora de instalar la que realmente se necesita en nuestra organización.
Las firewalls a nivel de red generalmente, toman las decisiones basándose en el origen, dirección de destino y puertos que leen en la cabecera de los paquetes IP. Un simple router es un "tradicional" firewall a nivel de red, particularmente, desde el momento que no puede tomar decisiones sofisticadas a nivel de la aplicación que genera el tráfico a traves del firewall. Los modernos firewall a nivel de red se han sofisticado ampliamente, y ahora mantienen información interna sobre las conexiones que están pasando a través de el, los contenidos de algunos datagramas y otra serie de datos. Un aspecto importante que distingue a las firewall a nivel de red es que ellos enrutan el tráfico directamente a través de ellos, de forma que un usuario cualquiera necesita tener un bloque válido de dirección IP asignado. Las firewalls a nivel de red tienden a ser más veloces y más transparentes a los usuarios.
Un ejemplo de una firewall a nivel de red se muestra en la figura anterior. En este ejemplo se representa un firewall a nivel de red llamada "Screend Host Firewall". En dicho firewall, se accede a y desde un único host el cual es controlado por un router operando a nivel de red. El host es como un bastión, dado que está muy defendido y es un punto seguro para refugiarse contra los ataques.
Otros ejemplo sobre una firewall a nivel de red es el mostrado en la figura anterior. En este ejemplo se representa un firewall a nivel de red llamado "screened subnet firewall". En dicho firewall se accede a y desde el conjunto de la red, la cual es controlada por un router operando a nivel de red. Es similar al firewall indicado en el ejemplo anterior salvo que esta si que es una red efectiva de hosts protegidos.
Los Firewalls a nivel de aplicación son generalmente, hosts que corren bajo servidores proxy, que no permiten tráfico directo entre redes y que realizan logins elaborados y auditan el tráfico que pasa a través de ellos. Los firewall a nivel de aplicación se puede usar como traductores de direcciones de red, desde el tráfico que entra por un extremo hasta el que sale por el otro. Los firewalls a nivel de aplicación, tienden a proporcionar mayor detalle en los informes auditados e implementan modelos de conservación de la seguridad. Esto los hace diferenciarse de los firewalls a nivel de red.
Un ejemplo de un firewall a nivel de aplicación es el mostrado en la figura anterior. En este ejemplo, se representa un firewall a nivel de aplicación llamada "dual homed gateway". Una firewall de este tipo es un host de alta seguridad que corre bajo software proxy. Consta de 2 interfaces de red (uno a cada red) los cuales bloquean todo el tráfico que pasa a traves del host.
El futuro de los firewalls se encuentra a medio camino entre los firewalls a nivel de red y los firewalls a nivel de aplicación. El resultado final de los estudios que se hagan será un sistema rápido de protección de paquetes que conecte y audite datos que pasan a través de él. Cada vez más, las firewalls (tanto a nivel de red como de aplicación), incorporan encriptación de modo que, pueden proteger el tráfico que se produce entre ellas e Internet. Los firewalls con encriptación extremo-a-extremo (end-to-end), se pueden usar por organizaciones con múltiples puntos de conexión a Internet , para conseguir utilizar Internet como una "central privada" donde no sea necesario preocuparse de que los datos o contraseñas puedan ser capturadas.
¿Qué son los servidores proxy y como trabajan?
Un servidor proxy, es una aplicacion que media en el tráfico que se produce entre una red protegida e Internet. Los proxies se utilizan a menudo, como sustitutorios de routers controladores de tráfico, para prevenir el tráfico que pasa directamente entre las redes. Muchos proxies contienen logines auxiliares y soportan la autentificación de usuarios. Un proxy debe entender el protocolo de la aplicación que está siendo usada, aunque también pueden implementar protocolos específicos de seguridad (por ejemplo: un proxy FTP puede ser configurado para permitir FTP entrante y bloquear FTP saliente).
Los servidores proxy, son aplicaciones específicas. Un conjunto muy conocido de servidores proxy son los TIS Internet Firewall Toolkit "FWTK", que incluyen proxies para Telnet, rlogin, FTP, X-Windows, http/Web, y NNTP/Usenet news.
¿Cómo podemos hacer para que trabajen la Web/http con un firewall?
Hay 3 formas de conseguirlo:
1.- Permitir establecer conexiones via un router, si se están usando routers protegidos.
2.- Usar un cliente Web que soporte por ejemplo SOCKS, y correr SOCKS en tu firewall.
3.- Ejecutar alguna clase de servidor Web proxy en el firewall. El TIS firewall tollkit incluye un proxy llamado http-gw, el cual permite proxy Web, gopher/gopher+ y FTP. Además, muchos clientes Web, tienen servidores proxy construidos directamente en ellos, que soportan: Netspace, Mosaic, Spry, Chamaleon, etc...
¿Qué ocurre con la denegación del servicio?
La denegación de servicio se produce cuanto alguien decide hacer inútil tu red mandando un gran ancho de banda y produciendo un atasco en la conexión a internet. El problema con la denegación de servicio en Internet es que es imposible prevenirlo. La razón viene, por la distribución natural de la red: cada nodo está conectado via otra red la cual está conectada a otra red, etc... Un administrador de firewall o de un ISP sólo tiene control sobre unos pocos elementos locales dentro del su radio de acción, no puede controlar todo internet.
Seguridad de firewall
¿Cómo sabemos si un firewall es seguro? Es muy dificil saberlo, dado que no hay tests formales que puedan ser facilmente aplicados a algo tán flexible como un firewall. Una moraleja dice que cuanto mayor tráfico de entrada y salida permite una firewall y más servicios permite, menor será su resistencia contra los ataques externos. El único firewall que es absolutamente seguro es aquel que está apagado.
Una pregunta tópica: ¿Más caro equivale a más seguro?
Un error común en los firewalls es pensar que cuanto más caro se consigue más seguridad en el mismo. Hay que pensar que si el coste de una firewall es 2 veces superior al de otro, el vendedor tendría que ser capaz de explicarnos por qué dicho producto es 2 veces mejor que el otro.
¿Qué vendedores proporcionan servicio de firewall?
Algunos proveedores de servicios Internet ofrecen un soporte de firewall como parte del servicio de conexión a Internet. Para organizaciones que son novatas en el uso de TCP/IP o que tienen prisa, es una opción atractiva, dado que un mismo vendedor proporcionar soporte de red, de alquiler de linea y de firewall.
Una cosa importante que proporciona un vendedor con respecto a los firewalls, es un entendimiento de como hacer una política sensata de seguridad. A menos que se sea un verdadero entendido en la materia es mejor dejarse aconsejar antes de lanzarse a la aventura. Cuando un vendedor proporcione soporte de firewall, esté podrá guiarnos a través de la configuración de la firewall para que evitemos ataques externos.
Glosario de términos relacionados con firewall.
Abuso de privilegio:
Cuando un usuario realiza una acción que no tiene asignada de acuerdo a la política organizativa o a la ley.
Ataque interior:
Un ataque originado desde dentro de la red protegida.
Autentificación:
El proceso para determinar la identidad de un usuario que está intentando acceder a un sistema.
Autorización:
Proceso destinado a determinar que tipos de actividades se permiten. Normalmente, la autorización, está en el contexto de la autentificación: una vez autentificado el usuario en cuestión, se les puede autorizar realizar diferentes tipos de acceso o actividades.
Bastion Host:
Un sistema que ha sido configurado para resistir los ataques y que se encuentra instalado en una red en la que se prevee que habrá ataques. Frecuentemente, los Bastion hosts son componentes de las firewalls, o pueden ser servidores Web "exteriores" o sistemas de acceso público. Normalmente, un bastion hosts está ejecutanto alguna aplicación o sistema operativo de propósito general (por ejemplo: UNIX, VMS, WNT, etc...) más que un sistema operativo de firewall.
Detección de intrusión:
Detección de rupturás o intentos de rupturas bien sea manual o vía sistemas expertos de software que atentan contra las actividades que se producen en la red o contra la información disponible en la misma.
Dual Homed Gateway:
Un "Dual Homed Gateway" es un sistema que tiene 2 o más interfaces de red, cada uno de los cuales está conectado a una red diferente. En las configuraciones firewall, un "dual homed gateway" actua generalmente, como bloqueo o filtrador de parte o del total del tráfico que intenta pasar entre las redes.
Firewall:
Un sistema o combinación de sistemas que implementan una frontera entre 2 o más redes.
Firewall a nivel de aplicación:
Un sistema firewall en el que el servicio se proporciona por procesos que mantienen estados de conexión completos con TCP y secuenciamiento. Las firewalls a nivel de aplicación, a menudo redirigen el tráfico, de modo que el tráfico saliente, es como si se hubiera originado desde la firewall y no desde el host interno.
Firewall a nivel de red:
Una firewall en la que el tráfico es exáminado a nivel de paquete, en el protocolo de red.
Host-based Security:
La técnica para asegurar de los ataques, a un sistema individual.
Logging:
El proceso de almacenamiento de información sobre eventos que ocurren en la firewall o en la red.
Perimeter-based Security:
La técnica de securización de una red, para controlar los accesos a todos los puntos de entrada y salida de la red.
Política:
Reglas de gobierno a nivel empresarial/organizativo que afectan a los recursos informáticos, prácticas de seguridad y procedimientos operativos.
Proxy:
Un agente software que actua en beneficio de un usuario. Los proxies típicos, aceptan una conexión de un usuario, toman una decisión al respecto de si el usuario o cliente IP es o no un usuario del proxy, quizas realicen procesos de autentificación adicionales y entonces completan una conexión entre el usuario y el destino remoto.
Router - Encaminador -:
Dispositivo destinado a conectar 2 o más redes de area local y que se utiliza para encaminar la información que atraviesa dicho dispositivo.
Screened Host:
Un host - ordenador servidor - en una red, detrás de un router protegido. El grado en que el host puede ser accesible depende de las reglas de protección del router.
Screened Subnet:
Una subred, detrás de un router protegido. El grado en que la subred puede ser accesible depende de las reglas de protección del router.
Tunneling Router:
Un router o sistema capaz de dirigir el tráfico, encriptándolo y encapsulándolo para transmitirlo a traves de una red y que también es capaz de desencapsular y descifrar lo encriptado.