- Se conecta a una interfaz de Internet.
- Se conecta a la otra interfaz de red que se quiere
proteger.
Se tienen de este modo dos redes distintas que
comparten un ordenador. La máquina puente o cortafuegos,
puede comunicarse tanto con la red protegida como con Internet.
La red protegida no puede comunicarse con Internet, e Internet no
puede comunicarse con la red protegida, pues se ha deshabilitado
el reenvío IP en el
único punto en que se conectan. De este modo, si se quiere
acceder a Internet desde la red protegida, hay que hacer primero
un telnet al cortafuegos, y acceder a Internet desde
él. De la misma forma, para acceder a la red protegida
desde Internet, se debe pasar antes por el cortafuegos. Este
mecanismo implica que cualquier ataque desde el exterior
deberá siempre realizarse también en dos pasos:
primeramente deberá caer el cortafuegos que actúa
como muralla para, después, atacar el interior. De esta
forma se facilita la defensa, pues se puede concentrar el
esfuerzo defensivo sobre el cortafuegos.
Ateniéndonos al mecanismo de funcionamiento, o métodos de
filtrado de la información, podemos distinguir dos tipos
de cortafuegos según a que nivel respecto al modelo OSI
actúen:
- Nivel de red (protocolo
IP) y de transporte
(protocolos
UDP/TCP). El control de
tráfico a estos niveles consiste en analizar todos los
paquetes que llegan a una interfaz de red, y decidir si se les
deja pasar o no dependiendo de criterios como: tipo de
protocolo, dirección de la fuente y dirección
de destino, fundamentalmente. Estos cortafuegos se basan en:
encaminadores apantallados o pasarelas a nivel de red. - Nivel de aplicación. El control se hace
interceptando las comunicaciones a nivel del protocolo de
comunicaciones propio de cada servicio,
que es modificado para incluir medidas adicionales de seguridad.
Se basan en pasarelas a nivel de aplicación.
Recordemos que los encaminadores o routers, son
dispositivos que interconectan redes a nivel de red del modelo
OSI de la
ISO. Realizan
funciones de
control de tráfico y encaminamiento de paquetes por el
camino más eficiente en cada momento. La diferencia
fundamental con los puentes o bridges, que trabajan a
nivel de enlace, es que éstos no son capaces de realizar
tareas de encaminamiento en tiempo real.
Las pasarelas o gateways son ordenadores que funcionan a
nivel de aplicación del modelo OSI de ISO. Es el
más potente de todos los dispositivos de
interconexión de redes. Permiten interconectar redes de
distintas arquitecturas, es decir, realiza conversiones de
protocolo, a diferencia de los encaminadores. En el contexto
dado, pasarela es una máquina que conecta dos o más
redes, encaminando paquetes de una a otra.
Los cortafuegos más sencillos se basan en el filtrado
de paquetes. Los dispositivos típicamente utilizados son
los encaminadores apantallados, capaces de filtrar paquetes en
base a la dirección origen y/o destino y al servicio o
puerto al que acceden.
Se puede usar el filtrado para bloquear conexiones a o desde
servidores o
redes determinadas, así como para bloquear puertos
especiales. Esto nos permite activar o desactivar servicios bien
conocidos de forma selectiva para aquellos servidores o redes que
no consideremos seguros o que
queramos proteger especialmente.
Figura 1: Protección a través
de una pasarela a nivel de red.
Por ejemplo, una red local podría
permitir sólo el acceso externo al puerto 25,
correspondiente al protocolo SMTP (Simple Mail Transfer
Protocol) de su servidor de
correo, pero no a los de ningún otro ordenador, forzando
así a que todo el correo entrante pase por el servidor y,
protegiendo el demonio de correo de las demás máquinas
de ataques externos. También puede ser interesante,
establecer filtros temporales, en los que ciertos servicios
están habilitados durante una determinada franja horaria
durante la cual se tiene la certeza de que los mismos no son
necesarios.
A partir de la política de seguridad
establecida, se determinarán las reglas de filtrado de
paquetes que debe interpretar el encaminador. Cada vez que el
encaminador recibe un paquete por una de sus dos interfaces,
comprueba secuencialmente cada una de las reglas y cuando
encuentra un patrón que se ajusta al del paquete recibido,
ejecuta la acción
pertinente, es decir, permite o deniega el acceso.
Los distintos modelos de
encaminadores existentes, tienen diferentes formas y capacidades
de filtrado:
- Sólo filtran paquetes que entran en cada
interfaz. - Sólo filtran los paquetes que van a salir por cada
interfaz. - Filtran tanto a la entrada como a la salida del paquete de
la interfaz. - Otros, pueden fijarse en información adicional en
cada paquete, como puede ser el bit de asentimiento, que
permite distinguir entre paquetes de inicio de una
conexión TCP y paquetes pertenecientes a una
conexión ya iniciada. De esta forma puede impedirse que
se establezca una conexión, si esta se origina desde el
exterior, pero permitir dicha conexión si el origen
está en la red interna. Otra característica que
suele ser configurable es el modo en que los paquetes son
descartados. En general, los encaminadores emiten mensajes de
redirección ICMP (Internet Control Message
Protocol) cuando un paquete IP no puede ser encaminado,
indicando el motivo. Pero en determinados casos es interesante
descartar el paquete sin informar al destino del descarte.
También es posible aplicar la filtración a
través de PCs, gracias a programas como
KarlBridge o Drawbridge. Los productos
basados en PC son populares por su bajo coste, comparado con las
plataformas Unix basadas
en RISC o con productos encaminadores especiales. No obstante, la
evolución de las características de
este tipo de programas, los hacen más semejantes a
pasarelas a nivel de aplicación que a meros dispositivos
de filtración de paquetes.
- Problemas
Los principales problemas que
presentan los cortafuegos basados en dispositivos de filtrado de
información a nivel 3 y 4 de la torre OSI, son:
- El gran problema de los cortafuegos a nivel 3, es que
restringen mucho el acceso a Internet desde la red protegida.
Básicamente, reducen su uso al que se podría
hacer desde un terminal. Si bien muchas veces el objetivo
buscado por el administrador
de la Intranet, es
restringir el acceso al exterior desde el interior de la red
corporativa, este hecho se vuelve especialmente incómodo
cuando se desea facilitar libertad de
movimientos a los usuarios del interior. El problema se agrava
dado que el punto crítico del sistema es la
máquina puente y, sin no se desea comprometer su
seguridad, no conviene permitir el acceso a la misma por parte
de los usuarios. Pero si los usuarios no pueden acceder a la
misma no podrían acceder al exterior… - El hecho de tener que entrar en el cortafuegos y desde
allí realizar todo el acceso a Internet es una
restricción muy seria. Por ejemplo, programas como
Netscape, que requieren una conexión directa a Internet,
no funcionan desde detrás de un cortafuegos. Otros
servicios, como FTP y
DNS tampoco
pueden ser controlados correctamente mediante un mero filtrado
de paquetes, pues requieren del establecimiento de conexiones
en ambos sentidos. - Existen protocolos cuyos servidores actúan en
puertos no reservados (por debajo del 1.024), como es el caso
del protocolo X11 o protocolos que no poseen una
dirección del servidor fija, como el portmapper
de SunOS, que da lugar a que RPC (Remote Procedure Call)
no pueda filtrarse con efectividad. - En muchas implantaciones de filtración de paquetes,
faltan los mecanismos de intervención y alerta y
también pueden sufrir malas interfaces de administración y de usuario.
- Ejemplo
A continuación abordamos un ejemplo que le
ayudará a entender el modo de operación de los
filtros de paquetes, obtenido del libro
"Internet y seguridad en redes" de Karanjit Siyan,
Ph.D. y Chris
Hare, y publicado por Prentice-Hall Hispanoamericana S.A. En la
Figura 2, se muestra una red
con la siguiente política de seguridad:
- Las noticias y
el correo
electrónico de entrada se aceptan en los servidores
1444.19.74.200 y 144.19.74.201. - Se acepta el acceso DNS para el servidor de compuerta
144.19.74.202. - El acceso a los servicios NFS (Network File System)
de la red interna no está permitido para las
máquinas externas. - A las máquinas internas se les permite el acceso a
las redes externas, excepto a Gopher y WWW.
Esta política de seguridad se puede expresar como un
conjunto de reglas de filtro para los puertos externo (Tabla 1) e
interno (Tabla 2) del encaminador apantallado.
Figura 2: Red del ejemplo.
En los encaminadores Cisco, las reglas en los filtros de
paquetes para el puerto externo e interno, pueden implantarse
como se muestra a continuación:
- Regla 1 del filtro de paquetes para el puerto externo:
access-list 101 deny tcp 144.19.0.0 0.0.255.255 0.0.0.0
255.255.255.255 eq 70
- Regla 2 del filtro de paquetes para el puerto externo:
access-list 101 deny tcp 144.19.0.0 0.0.255.255 0.0.0.0
255.255.255.255 eq 80
- Regla 3 del filtro de paquetes para el puerto externo:
access-list 101 permit tcp 144.19.0.0 0.0.255.255 0.0.0.0
255.255.255.255
- Regla 1 del filtro de paquetes para el puerto interno:
access-list 102 permit tcp 0.0.0.0 255.255.255.255
144.19.0.0 0.0.255.255 Ä
established
- Regla 2 del filtro de paquetes para el puerto interno:
access-list 102 permit tcp 0.0.0.0 255.255.255.255
144.19.74.200 0.0.0.0 Ä eq
25
- Regla 3 del filtro de paquetes para el puerto interno:
access-list 102 permit tcp 0.0.0.0 255.255.255.255
144.19.74.201 0.0.0.0 Ä eq
25
- Regla 4 del filtro de paquetes para el puerto interno:
access-list 102 permit tcp 0.0.0.0 255.255.255.255
144.19.74.200 0.0.0.0 Ä eq
119
- Regla 5 del filtro de paquetes para el puerto interno:
access-list 102 permit tcp 0.0.0.0 255.255.255.255
144.19.74.201 0.0.0.0 Ä eq
119
- Regla 6 del filtro de paquetes para el puerto interno:
access-list 102 permit udp 0.0.0.0 255.255.255.255
144.19.74.202 0.0.0.0 Ä eq
53
Número de regla del | Acción | Fuente | Puerto fuente | Destino | Puerto destino | Opciones de bandera de | Descripción |
1 | Bloquea | 144.19.0.0 | * | * | 70 | TCP | Bloquea el acceso de salida para Gopher |
2 | Acepta | 1444.19.0.0 | * | * | 80 | TCP | Bloquea el acceso de salida para WWW |
3 | Acepta | 144.19.0.0 | * | * | * | TCP | Acepta todo el acceso TCP que falta |
Tabla 1:
Reglas del filtro para el puerto externo.
Número de regla del | Acción | Fuente | Puerto fuente | Destino | Puerto destino | Opciones de bandera de | Descripción |
1 | Acepta | * | * | 144.19.0.0 | * | TCP ACK=1 TCP RST=1 | Permite los paquetes de entrada que sean parte de |
2 | Acepta | * | * | 144.19.74.200 | 25 | TCP | Permite el acceso al correo electrónico por |
3 | Acepta | * | * | 144.19.74.201 | 25 | TCP | Permite el acceso al correo electrónico por |
4 | Acepta | * | * | 144.19.74.200 | 119 | TCP | Permite el acceso NNTP por política de |
5 | Acepta | * | * | 144.19.74.201 | 119 | TCP | Permite el acceso NNTP por política de |
6 | Acepta | * | * | 144.19.74.202 | 53 | UDP | Permite el acceso DNS por política de |
Tabla 2:
Reglas del filtro para el puerto interno.
El formato general para las listas extendidas utilizadas
en este caso, es:
access-list lista {permit|deny} protocolo
{ip|tcp|udp|icmp} fuente máscara_de_fuente destino
máscara_de_destino [operador operando]
- La lista es un valor entero
entre 100 y 199 y se utiliza para identificar una o más
condiciones de permiso y/o de negación. Si se utiliza la
palabra permit una correspondencia del paquete y de la
condición causará que éste se acepte, y si
se utiliza deny se rechaza. - El protocolo representa el protocolo a filtrar. Notar
que puesto que IP encapsula los protocolos IP, TCP, UDP e ICMP,
puede utilizarse para igualar cualquiera de
éstos. - La fuente es la dirección IP de la
máquina fuente. - La máscara_de_fuente de 32 bytes no deben
confundirse con las máscaras de subred empleadas para
subdividir un número de asignación de una red:
los bits correspondientes a 1 en la máscara de fuente se
ignoran en la comparación, mientras que los
correspondientes a 0 se usan en ésta. - Los valores de
destino y máscara_de_destino sirven para igualar la
dirección P destinataria, teniendo la máscara
destino el mismo significado que la de fuente.
Con los valores de
operador y operando se comparan los números de puerto o
puntos de acceso a servicio. Estos valores son significativos
para TCP y UDP. Los operadores pueden ser: lt (menor que), eq
(igual que), gt (mayor que) y neq (diferente de). El operando es
el valor decimal del puerto destinatario del protocolo
especificado.
Como hemos visto, los filtros de paquetes son demasiado
rígidos, difíciles de configurar y sus capacidades
de registro
histórico son muy limitadas. Además su
funcionamiento de basa en un sistema todo o nada: el acceso a un
servicio en o desde una máquina se permite o no, pero no
hay un término medio.
Figura 3: Protección tras un
servidor proxy.
El siguiente paso es usar pasarelas a nivel de
aplicación (gateway o proxy): en estos
sistemas el
usuario no accede directamente al servicio sino un sistema
intermedio que realiza las comprobaciones pertinentes, anota la
transacción, toma una decisión y, si es positiva,
actúa de intermediario entre el cliente y el
servicio remoto correspondiente, posiblemente controlando la
ejecución del protocolo del servicio y tomando notas
adicionales.
Para ello se coloca en la máquina puente un tipo
especial de servidor (no sólo WWW, sino también de
otros servicios, como por ejemplo: FTP, Gopher, Wais…),
denominado proxy, que actúa como cliente de los
servidores externos a la vez que como servidor de los clientes
externos. Así no será necesario que un usuario se
conecte a la máquina puente para realizar un FTP al
exterior. Simplemente, configurará su cliente de FTP para
que emplee el servidor de la máquina puente como
proxy. A partir de este momento, creerá establecer
conexiones con el exterior, cuando en realidad su cliente FTP se
estará conectando con el proxy y pidiéndole
que éste establezca una conexión con el exterior
para extraer un fichero y luego entregárselo. Es decir,
enviará a su apoderado a la Internet externa ya que
él no está autorizado a salir. Lo mismo ocurre con
un servicio WWW. Un cliente interno podría acceder a un
servidor corporativo de la Intranet y, a la vez, ser incapaz de
establecer conexiones con el exterior. Si se instala un servidor
proxy de WWW en la máquina puente y se configuran
los clientes de la Intranet para utilizarlo, estos
dirigirán todas sus peticiones HTTP
(HyperText Transport Protocol) al proxy que, a su
vez, recuperará por ellos la información del
exterior y se la devolverá a ellos. El usuario
tendrá la sensación de conectarse directamente ya
que todo el proceso
será, para él, transparente.
De lo anterior, se deduce que la funcionalidad de actuar
como proxy es una característica relacionada con la
seguridad, no hay que confundir pues esta funcionalidad con la de
caché. En efecto, una primera idea que le puede venir a la
cabeza es que si los clientes van a consultar a un proxy
es probable que varios hagan la misma consulta. Por tanto, no
sería mala idea la incorporación de una
caché a los servidores proxy. Si un usuario accede
al mismo, éste comprueba, en primer lugar, si el objeto
buscado se encuentra en su caché y, de ser así, lo
devuelve sin necesidad de realizar una conexión con el
exterior. De ahí que la mayoría de los proveedores de
Internet cuenten con cachés de varios gigas en sus
proxys. De esta forma parecen más rápidos
ante sus clientes y ahorran ancho de banda. Ambas funciones, la
de caché y proxy ya vienen incorporadas dentro de
muchos servidores WWW.
Los servicios a proteger más comunes
son:
- TELNET. Se hace un login inicial al
cortafuegos, durante el cual se puede filtrar por la
dirección de origen y destino, proceder de una
identificación sólida (por ejemplo mediante
tarjetas
inteligentes) y a una verificación segura de la identidad
(por ejemplo con claves desechables). Si se acepta, el
cortafuegos establece una comunicación con el punto de destino y
puede opcionalmente traducir las comunicaciones sobre la
marcha, utilizando si se desea cifrado. A todo lo largo del
proceso, se pueden hacer anotaciones de su
evolución. - FTP. Adicionalmente puede permitir aceptar o denegar
comandos
concretos de clientes específicos. - SMTP. Además de establecer sistemas de
verificación de identidad del sistema remoto y del
remitente de mensajes, permite centralizar todo el correo
institucional en una sola máquina, que se encarga
después de distribuirlo a cada usuario en su
buzón correspondiente. Además, muchos cortafuegos
disponen de un servidor de correo especial con mayores niveles
de seguridad. - Otros: X, Gopher, HTTP y NNTP (Network News
Transfer Protocol) son otros servicios que resulta deseable
poder
interceptar, identificando usuarios y aceptando o denegando el
acceso en base a criterios refinados. - Verificación de identidad. Todas las
conexiones remotas y en especial las de los módems
deberían atravesar un sistema de verificación
avanzado en el cortafuegos, pues basta con que una de estas
vías de acceso se comprometa para subvertir todo el
sistema. El problema es que esto requiere enseñar a los
usuarios a manejar sistemas de verificación
avanzados. - Llamadas de entrada/salida. Los módems,
líneas RDSI, X-25… son muy útiles para el
acceso a la Intranet por parte de los teletrabajadores, que a
su vez podrán acceder a sitios de Internet no permitidos
dentro de ésta. Es necesario que un cortafuegos controle
estas líneas directas verificando la identidad de los
usuarios y los patrones de uso. - Conexión de red remota. Las conexiones
vía PPP (Point to Point Protocol) también
son un peligro potencial en la medida en que son una vía
de entrada, debiendo ser centralizadas y filtradas a
través de un cortafuegos que entienda y controle estos
protocolos. - Servicios de información. Son servicios que
están abiertos públicamente para proporcionar
información (por ejemplo un servidor WWW o FTP
anónimo). Para evitar que se conviertan en un peligro
puede ser conveniente ponerlos fuera del área protegida
por el cortafuegos (con una fuerte política de copias de
seguridad) o incorporar su acceso en éste. - Interacciones remotas. Cuando se necesita que
áreas protegidas por el cortafuegos cooperen entre
sí, si no se tiene cuidado, las interacciones entre
ellas pueden hacer imposible la colaboración o la
seguridad:
- Ninguno de los responsables locales debe confiar
plenamente en el otro. - Es conveniente proveer de un mecanismo
cómodo y eficiente a los usuarios para acceder a los
recursos
compartidos si se desea contar con su colaboración y
no dañar su capacidad de trabajo. - Para compatibilizar el acceso a recursos
compartidos hay muchas soluciones
que deben considerarse con cuidado: usar el mismo tipo de
cortafuegos usar un sistemas compatible de control de acceso
convertir las comunicaciones a un protocolo
común…
Otro tipo de pasarelas a nivel de aplicación
además de los servidores proxy o apoderados, son
las pasarelas a nivel de circuito. En éstas los paquetes
se envían a un proceso a nivel de aplicación de
usuario. Las pasarelas a nivel de circuito se dedican a
reencaminar conexiones TCP. Cada vez que se tenga que establecer
una conexión a través del cortafuegos debe
establecerse un circuito TCP hasta éste y tras hacer las
comprobaciones pertinentes, el cortafuegos establece un segundo
circuito hasta el destino requerido. Entonces, el cortafuegos
actúa como un mero cable de conexión entre ambos
circuitos,
copiando los bytes de uno a otro lado. Las compuertas a nivel de
circuito constituyen el método
más general y flexible para construir pasarelas a nivel de
aplicación.
- programa
cliente especial, lo cual podría constituir un
inconveniente. - Degradación del rendimiento del cortafuegos.
Puesto que el filtrado de información a nivel 3 y 4 es
muy sencillo, los encaminadores apantallados suelen ser muy
rápidos y transparentes al usuario. En cambio el
filtrado a nivel 7, supone un mayor retardo en el análisis de cada paquete. No obstante, el
hecho de efectuar el control a este nivel dándole al
cortafuegos conocimiento
sobre los protocolos de alto nivel que está manejando
incrementa mucho la seguridad.
Autor:
Ramón Jesús Millán
Tejedor
Ingeniero de Telecomunicación y Master en
Tecnologías de la Información
Web:
Página anterior | Volver al principio del trabajo | Página siguiente |