Monografias.com > Sin categoría
Descargar Imprimir Comentar Ver trabajos relacionados

Por qué usar Intranet (página 4)




Enviado por alexmcse

Partes: 1, 2, 3, 4

Componentes del
sistema firewall

Después de las decisiones acerca de los ejemplos
previos, la organización puede determinar
específicamente los componentes del sistema. Un firewall
típico se compone de uno, o una combinación, de los
siguientes obstáculos.

  • Ruteador Filtra-paquetes.
  • Gateway a Nivel-aplicación.
  • Gateway a Nivel-circuito.

por lo que resta del capitulo, se discutirá cada
una de las opciones para la edificación de
obstáculos y se describirá como se puede trabajar
junto con ellos para construir un efectivo sistema firewall de
Internet.

Edificando
obstáculos: ruteador filtra-paquetes

Este ruteador toma las decisiones de rehusar/permitir el
paso de cada uno de los paquetes que son recibidos. El ruteador
examina cada datagrama para determinar si este corresponde a uno
de sus paquetes filtrados y que a su vez haya sido aprobado por
sus reglas. Las reglas de filtrado se basan en revisar la
información que poseen los paquetes en su encabezado, lo
que hace posible su desplazamiento en un proceso de IP. Esta
información consiste en la dirección IP fuente, la
dirección IP destino, el protocolo de encapsulado (TCP,
UDP,ICMP, o IP tunnel), el puerto fuente TCP/UDP, el puerto
destino TCP/UDP, el tipo de mensaje ICMP, la interface de entrada
del paquete, y la interface de salida del paquete. Si se
encuentra la correspondencia y las reglas permiten el paso del
paquete, este será desplazado de acuerdo a la
información a la tabla de ruteo, si se encuentra la
correspondencia y las reglas niegan el paso, el paquete es
descartado. Si estos no corresponden a las reglas, un
parámetro configurable por incumplimiento determina
descartar o desplazar el paquete.

Servicio dependiente
del filtrado

Las reglas acerca del filtrado de paquetes a
través de un ruteador para rehusar/permitir el trafico
esta basado en un servicio en especifico, desde entonces muchos
servicios vierten su información en numerosos puertos
TCP/UDP conocidos.

Por ejemplo, un servidor Telnet esta a la espera para
conexiones remotas en el puerto 23 TCP y un servidor SMTP espera
las conexiones de entrada en el puerto 25 TCP. Para bloquear
todas las entradas de conexión Telnet, el ruteador
simplemente descarta todos los paquetes que contengan el valor
del puerto destino TCP igual a 23. Para restringir las conexiones
Telnet a un limitado numero de servidores internos, el ruteador
podrá rehusar el paso a todos aquellos paquetes que
contengan el puerto destino TCP igual a 23 y que no contengan la
dirección destino IP de uno de los servidores
permitidos.

Algunas características típicas de
filtrado que un administrador de redes podría solicitar en
un ruteador filtra-paquetes para perfecionar su funcionamiento
serian:

  • Permitir la entrada de sesiones Telnet
    únicamente a una lista especifica de servidores
    internos.
  • Permitir la entrada de sesiones FTP únicamente
    a los servidores internos especificados.
  • Permitir todas las salidas para sesiones
    Telnet.
  • Permitir todas las salidas para sesiones
    FTP.
  • Rehusar todo el trafico UDP.

Servicio
independiente del filtrado

Este tipo de ataques ciertamente son difíciles de
identificar usando la información básica de los
encabezados debido a que estos son independientes al tipo de
servicio. Los ruteadores pueden ser configurados para protegerse
de este tipo de ataques pero son mas difíciles de
especificar desde entonces las reglas para el filtrado requieren
de información adicional que pueda ser estudiada y
examinada por la tabla de ruteo, inspeccionando las opciones
especificas IP, revisando fragmentos especiales de
edición, etc. Algunos ejemplos de este tipo de ataques
incluye:

  • Agresiones Originadas Por El Direccionamiento
    IP.

Para este tipo de ataque, el intruso trasmite paquetes
desde afuera pretendiendo pasar como servidor
interno

– los paquetes poseen una dirección fuente IP
falsa de un servidor interno del sistema -. El agresor espera
que usando este impostor se pueda penetrar al sistema para
emplearlo seguramente como dirección fuente donde los
paquetes que trasmita sean autentificados y los del otro
servidor sean descartados dentro del sistema. Los ataques por
seudo-fuentes pueden ser frustrados si descartamos la
dirección fuente de cada paquete con una
dirección fuente "interno" si el paquete arriva en una
de las interfaces del ruteador "externo".

  • Agresiones Originadas En El Ruteador.

En un ataque de ruteo, la estación de origen
especifica la ruta que un paquete deberá de tomar cuando
cruce a través del Internet. Este tipo de ataques son
diseñados para cuantificar las derivaciones de seguridad
y encauzan al paquete por un inesperado camino a su destino.
Los ataques originados en el ruteador pueden ser frustrados
simplemente descartando todos los paquetes que contengan
fuentes de ruteo opcionales.

  • Agresiones Por Fragmentación.

Por este tipo de ataques, los intrusos utilizan las
características de fragmentación para crear
fragmentos extremadamente pequeños y obligan a la
información del encabezado TCP a separarce en paquetes.
Estos pequeños fragmentos son diseñados para
evitar las reglas definidas por el filtrado de un ruteador
examinando los primeros fragmentos y el resto pasa sin ser
visto. Aunque si bien únicamente es explotado por
sencillos decodificadores , una agresión
pequeñisima puede ser frustrada si se descartan todos
los paquetes donde el tipo de protocolo es TCP y la
fragmentación de compensación IP es igual a
1.

Beneficios del
ruteador filtra-paquetes

La mayoría de sistemas firewall son desplegados
usando únicamente ruteadores filtra-paquetes. Otros que
tienen tiempo planean los filtros y configuran el ruteador, sea
este pequeño o no , el costoso para implementar la
filtración de paquetes no es cara; desde que los
componentes básicos de los ruteadores incluyen revisiones
estándar de software para dicho efecto. Desde entonces el
acceso a Internet es generalmente provisto a través de
interfaces WAN, optimando la operación del ruteador
moderando el trafico y definiendo menos filtros. Finalmente, el
ruteador de filtrado es por lo general transparente a los
usuarios finales y a las aplicaciones por lo que no se requiere
de entrenamiento especializado o software especifico que tenga
que ser instalado en cada uno de los servidores.

Limitaciones del
ruteador filtra-paquetes

Definir el filtrado de paquetes puede ser una tarea
compleja porque el administrador de redes necesita tener un
detallado estudio de varios servicios de Internet, como los
formatos del encabezado de los paquetes, y los valores
específicos esperados a encontrase en cada campo. Si las
necesidades de filtrado son muy complejas, se necesitara soporte
adicional con lo cual el conjunto de reglas de filtrado puede
empezar a complicar y alargar el sistema haciendo mas
difícil su administración y comprensión.
Finalmente, estas serán menos fáciles de verificar
para las correcciones de las reglas de filtrado después de
ser configuradas en el ruteador. Potencialmente se puede dejar
una localidad abierta sin probar su vulnerabilidad.

Cualquier paquete que pasa directamente a través
de un ruteador puede ser posiblemente usado como parte inicial un
ataque dirigido de datos. Haciendo memoria este tipo de ataques
ocurren cuando los datos aparentementes inocuos se desplazan por
el ruteador a un servidor interno. Los datos contienen
instrucciones ocultas que pueden causar que el servidor modifique
su control de acceso y seguridad relacionando sus archivos
facilitando al intruso el acceso al sistema.

Generalmente, los paquetes entorno al ruteador
disminuyen conforme el numero de filtros utilizados se
incrementa. Los ruteadores son optimizados para extraer la
dirección destino IP de cada paquete, haciendo
relativamente simple la consulta a la tabla de ruteo, y el
desplazamiento de paquetes para la interface apropiada de la
transmisión. Si esta autorizado el filtro, no
únicamente podrá el ruteador tomar la
decisión de desplazar cada paquete, pero también
sucede aun aplicando todas las reglas de filtrado. Esto puede
consumir ciclos de CPU e impactar el perfecto funcionamiento del
sistema.

El filtrado de paquetes IP no puede ser capaz de proveer
el suficiente control sobre el trafico. Un ruteador
Filtra-Paquetes puede permitir o negar un servicio en particular,
pero no es capaz de comprender el contexto/dato del servicio. Por
ejemplo, un administrador de red necesita filtrar el trafico de
una capa de aplicación – limitando el acceso a un
subconjunto de comandos
disponibles por FTP o Telnet, bloquear la importación de Mail o Newsgroups
concerniente a tópicos específicos. Este tipo de
control es muy perfeccionado a las capas altas por los servicios
de un servidor Proxy y en Gateways a
Nivel-aplicación.

Edificando obstáculos: gateways a
nivel-aplicación

Los gateways nivel-aplicación permiten al
administrador de red la implementación de una
política de seguridad estricta que la que permite un
ruteador filtra-paquetes. Mucho mejor que depender de una
herramienta genérica de filtra-paquetes para administrar
la circulación de los servicios de Internet a
través del firewall, se instala en el gateway un
código de proposito-especial (un servicio Proxy) para cada
aplicación deseada. Si el administrador de red no instala
el código Proxy para la aplicación particular, el
servicio no es soportado y no podrán desplazarse a
través del firewall.

Aun cuando, el código Proxy puede ser configurado
para soportar únicamente las características
especificas de una aplicación que el administrador de red
considere aceptable mientras niega todas las otras.

Un aumento de seguridad de este tipo incrementa nuestros
costos en términos del tipo de gateway seleccionado, los
servicios de aplicaciones del Proxy, el tiempo y los
conocimientos requeridos para configurar el gateway, y un
decrecimiento en el nivel de los servicios que podrán
obtener nuestros usuarios, dando como resultado un sistema
carente de transparencia en el manejo de los usuarios en un
ambiente "amigable". Como en todos los casos el administrador de
redes debe de balancear las necesidades propias en seguridad de
la organización con la demanda de "fácil de usar"
demandado por la comunidad de usuarios.

Es importante notar que los usuarios tienen acceso por
un servidor Proxy, pero ellos jamas podrán seccionar en el
Gateway a nivel-aplicación. Si se permite a los usuarios
seccionar en el sistema de firewall, la seguridad es amenazada
desde el momento en que un intruso puede potencialmente ejecutar
muchas actividades que comprometen la efectividad del
sistema.

Por ejemplo, el intruso podría obtener el acceso
de root, instalar un caballo de troya para colectar las
contraseñas, y modificar la configuración de los
archivos de seguridad en el filrewall.

Servidor de
defensa

Un ruteador filtra-paquetes permite la
circulación directa de los paquetes dentro y fuera del
sistema, diferente a esto el Gateway a nivel-aplicación
deja que la información circule entre los sistemas pero no
permite el intercambio directo de paquetes. El principal riesgo
de permitir que los paquetes se intercambien dentro y fuera del
sistema se debe a que el servidor residente en los sistemas de
protección de la red podrá ser asegurado contra
cualquier amenaza representada por los servicios
permitidos.

Un Gateway a nivel-aplicación por lo regular es
descrito como un "servidor de defensa" porque es un sistema
diseñado específicamente blindado y protegido
contra cualquier ataque. Hay varias características de
diseño que son usadas para hacer mas seguro un servidor de
defensa:

  • La plataforma de Hardware del servidor de defensa
    ejecuta una versión "segura" de su sistema operativo.
    Por ejemplo, si el servidor de defensa es una plataforma UNIX,
    se ejecutara una versión segura del sistema operativo
    UNIX que es diseñado específicamente para
    proteger los sistemas operativos vulnerables y garantizar la
    integridad del firewall.
  • Unicamente los servicios que el administrador de
    redes considera esenciales son instalados en el servidor de
    defensa. La lógica de operación es que si el
    servicio no esta instalado, este puede ser atacado.
    Generalmente, un conjunto limitado de aplicaciones Proxy tales
    como Telnet, DNS, FTP, SMTP, y autenticación de usuarios
    son instalados en este servidor.
  • El servidor de defensa podrá requerir de una
    autenticación adicional para que el usuario accese a los
    servicios Proxy. Por ejemplo, el servidor de defensa es ideal
    para colocar un sistema fuerte de supervisión de autorización (tal
    como la tecnología "una-sola vez" de contraseña
    donde una tarjeta inteligente generaba un código de
    acceso único por medios
    criptográficos). Adicionalmente, cada servicio Proxy
    podrá requerir de autorización propia
    después que el usuario tenga acceso a su
    sesión.
  • Cada Proxy es configurado para soportar
    únicamente un subconjunto de aplicaciones
    estándar de un conjunto de comandos. Si un comando
    estándar no es soportado por la aplicación Proxy,
    es porque simplemente no esta disponible para el
    usuario.
  • Cada Proxy esta configurado para dejar acceder
    únicamente a los servidores especificados en el sistema.
    Esto significa que existe un conjunto de
    características/comandos que podrán ser aplicados
    para un subconjunto de sistemas en la red
    protegida.
  • Cada Proxy mantiene la información detallada y
    auditada de todos los registros del trafico, cada
    conexión , y la duración de cada conexión.
    El registro de
    audición es un herramienta esencial para descubrir y
    finalizar el ataque de un intruso.
  • Cada Proxy es un programa pequeño y sencillo
    específicamente diseñado para la seguridad de
    redes. Este permite que el código fuente de la
    aplicación pueda revisar y analizar posibles intrusos y
    fugas de seguridad. Por ejemplo, una típica
    aplicación – UNIX mail – puede tener alrededor de 20,000
    líneas de código cuando un correo Proxy puede
    contener menos de mil.
  • Cada Proxy es independiente de todas las demás
    aplicaciones Proxy en el servidor de defensa. Si se sucitara un
    problema con la operación de cualquier Proxy, o si se
    descubriera un sistema vulnerable, este puede desinstalarse sin
    afectar la operación de las demás aplicaciones.
    Aun, si la población de usuarios requiere el soporte de
    un nuevo servicio, el administrador de redes puede
    fácilmente instalar el servicio Proxy requerido en el
    servidor de defensa.
  • Un Proxy generalmente funciona sin acceso al disco lo
    único que hace es leer su archivo de
    configuración inicial . desde que la aplicación
    Proxy no ejecuta su acceso al disco para soporte, un intruso
    podrá encontrar mas dificultades para instalar caballos
    de Troya perjudiciales y otro tipo de archivos peligrosos en el
    servidor de defensa.
  • Cada Proxy corre como un usuario no-previlegiado en
    un directorio privado y seguro del servidor de
    defensa.

Telnet Proxy.

El Telnet Proxy nunca permite al usuario remoto que se
registre o tenga acceso directo al servidor interno. El cliente
externo ejecuta un telnet al servidor de defensa donde es
autorizado por la tecnología "una-sola vez" de
contraseña. Después de ser autentificado, el
cliente obtiene acceso a la interface de usuario del Telnet
Proxy. Este únicamente permite un subconjunto de comandos
Telnet y además determina cual de los servidores son
disponibles para el acceso vía Telnet.

Sesión Vía Terminal De Telnet
Proxy.

Los usuarios externos especifican el servidor de destino
y el Telnet Proxy una vez hecha la conexión, los comandos
internos son desplazados hacia el cliente externo. El cliente
externo cree que el Telnet Proxy es el servidor interno real,
mientras el servidor interno cree que el Telnet proxy es un
cliente externo.

Se presenta la salida en pantalla de la terminal de un
cliente externo como la "conexión" a el servidor interno
una vez establecida. Nótese que el cliente no se esta
registrando al servidor de defensa – el usuario comienza su
sesión autentificándose por el servidor de defensa
e intercambia respuestas, una vez que se le ha permitido
seccionar se comunica con el Telnet Proxy -. Después de
pasar el intercambio de respuestas, el servidor Proxy limita un
conjunto de comandos y destinos que están disponibles para
los clientes externos.

La autenticación puede basarse en "algo conocido
por los usuarios" (como una contraseña) o "algo que
tengan" que posean físicamente (como una tarjeta
electrónica) cualquiera de las dos. Ambas técnicas
están sujetas a plagio, pero usando una combinación
de ambos métodos se
incrementa la probabilidad del uso correcto de la
autenticación. En el ejemplo de Telnet, el Proxy transmite
un requerimiento de registro y el usuario, con la ayuda de su
tarjeta electrónica, obtendrá una respuesta de
validación por un numero. Típicamente, se le
entrega al usuario su tarjeta desactivada para que el introduzca
un PIN y se le regresa la tarjeta, basada en parte como llave
"secreta" de encriptacion y con un reloj interno propio, una vez
que se establece la sesión se obtiene un valor de
respuesta encriptado.

Beneficios del
gateway a nivel-aplicación

Son muchos los beneficios desplegados en un gateway a
nivel-aplicación. Ellos dan a la administración de
red un completo control de cada servicio desde aplicaciones proxy
limitadas por un conjunto de comandos y la determinación
del servidor interno donde se puede accesar a los servicios. Aun
cuando, el administrador de la red tenga el completo control
acerca de que servicios que son permitidos desde la carencia de
un servicio proxy para uno en particular significa que el
servicio esta completamente bloqueado. Los gateways a
nivel-aplicación tienen la habilidad de soportar
autenticaciones forzando al usuario para proveer
información detallada de registro. Finalmente, las reglas
de filtrado para un gateway de este tipo son mucho mas
fáciles de configurar y probar que en un ruteador
filtra-paquetes.

Limitaciones del
gateway a nivel-aplicación

Probablemente una de las grandes limitaciones de un
gateway a nivel-aplicación es que requiere de modificar la
conducta del
usuario o requiere de la instalación de software
especializado en cada sistema que accese a los servicios Proxy.
Por ejemplo, el acceso de Telnet vía gateway a
nivel-aplicación demanda modificar la conducta del usuario
desde el momento en que se requiere de dos pasos para hacer una
conexión mejor que un paso. Como siempre, el software
especializado podrá ser instalado en un sistema terminado
para hacer las aplicaciones del gateway transparentes al permitir
a los usuarios especificar el servidor de destino, mejor que el
propio, en un comando de telnet.

Edificando obstáculos: gateway a
nivel-circuito

Un Gateway a nivel-circuito es en si una función
que puede ser perfeccionada en un Gateway a
nivel-aplicación. A nivel-circuito simplemente trasmite
las conexiones TCP sin cumplir cualquier proceso adicional en
filtrado de paquetes.

Queda demostrado la operación de una
conexión típica Telnet a través de un
Gateway a nivel-circuito. Tal como se menciono anteriormente,
este gateway simplemente trasmite la conexión a
través del firewall sin examinarlo adicionalmente,
filtrarlo, o dirigiendo el protocolo de Telnet. El gateway a
nivel-circuito acciona como una cable copiando los bytes antes y
después entre la conexión interna y la
conexión externa. De cualquier modo, la conexión
del sistema externo actúa como si fuera originada por el
sistema de firewall tratando de beneficiar el encubrir la
información sobre la protección de la
red.

El Gateway a nivel-circuito se usa frecuentemente para
las conexiones de salida donde el administrador de sistemas
somete a los usuarios internos. La ventaja preponderante es que
el servidor de defensa puede ser configurado como un Gateway
"híbrido" soportando nivel-aplicación o servicios
Proxy para conexiones de venida y funciones de nivel-circuito
para conexiones de ida.

Esto hace que el sistema de firewall sea fácil de
usar para los usuarios internos quienes desean tener acceso
directo a los servicios de Internet mientras se proveen las
funciones del firewall necesarias para proteger la
organización de los ataques externos.

Espero que les sirva.

 

 

V. Alex Silva Z.

Partes: 1, 2, 3, 4
 Página anterior Volver al principio del trabajoPágina siguiente 

Nota al lector: es posible que esta página no contenga todos los componentes del trabajo original (pies de página, avanzadas formulas matemáticas, esquemas o tablas complejas, etc.). Recuerde que para ver el trabajo en su versión original completa, puede descargarlo desde el menú superior.

Todos los documentos disponibles en este sitio expresan los puntos de vista de sus respectivos autores y no de Monografias.com. El objetivo de Monografias.com es poner el conocimiento a disposición de toda su comunidad. Queda bajo la responsabilidad de cada lector el eventual uso que se le de a esta información. Asimismo, es obligatoria la cita del autor del contenido y de Monografias.com como fuentes de información.

Categorias
Newsletter