Ferreras Matías – Macri Gabriel UNMdP – Facultad de Ingeniería - LAC FIREWALL Ferreras Matías – Macri Gabriel UNMdP – Facultad de Ingeniería - LAC

¿Qué es un firewall? Los firewalls son sistemas de seguridad que controlan el tráfico de entrada y salida en una red, basándose en un conjunto de reglas o políticas. Éstos establecen una barrera entre una red confiable interna y otra que puede no llegar a ser confiable, por ejemplo, Internet

¿Por qué se necesita un firewall? Hoy en día, la gran mayoría de los dispositivos tienen acceso a Internet, el cual es una fuente inmensa de información. Sin embargo, a pesar de sus beneficios, Internet también es una fuente inmensa de amenazas para el usuario, porque posibilita la contaminación y destrucción de información de muchas maneras.

¿Por qué se necesita un firewall? Es entonces donde surge la necesidad de un firewall. Un firewall es básicamente un dispositivo de protección. Al construir uno, lo primero que se debe tener en cuenta es qué se quiere proteger. Al conectarse a Internet se ponen en riesgo los datos personales, los recursos (hardware) y la reputación. Datos personales: La privacidad La integridad La disponibilidad

Principio de funcionamiento Un firewall es una parte de un sistema o una red que está diseñada para bloquear el acceso no autorizado. Un firewall correctamente configurado añade una protección necesaria a la red, pero que en ningún caso debe considerarse suficiente. La seguridad informática abarca más ámbitos y más niveles de trabajo y protección.

Definiciones importantes Proxies Un proxy es un sistema informático que sirve de intermediario en las peticiones de recursos que realiza un cliente a otro servidor. Esta situación estratégica de punto intermedio suele ser aprovechada para soportar una serie de funcionalidades: control de acceso, registro del tráfico, prohibir cierto tipo de tráfico, mejorar el rendimiento, mantener el anonimato, etc.

Definiciones importantes Host bastión Un bastión host es una aplicación que se localiza en un servidor con el fin de ofrecer seguridad a la red interna, por lo que ha sido especialmente configurado para la recepción de ataques. Este host es la presencia pública del usuario en Internet. Se lo puede pensar como el hall de entrada de un edificio. Los extraños no tienen permitido subir las escaleras ni usar los ascensores del edificio pero si pueden caminar libremente por el hall. Como el hall de entrada de un edificio, el host bastión también se encuentra expuesto a elementos potencialmente hostiles. Es entonces el host bastión aquel sistema que cualquier extraño, dañino o no, debe atravesar para lograr acceder al sistema o servicio. Debido a que el host bastión es el dispositivo de mayor exposición, a su vez debe ser el dispositivo con mayor seguridad.

Tipos de firewall Hay diferentes tipos de firewalls dependiendo de dónde este teniendo lugar la comunicación, dónde es interceptada y el tráfico que está siendo rastreado. Existen tres categorías principales: Filtrado de paquetes estáticos (stateless packet filtering) Filtrado de paquetes dinámico (stateful packet filtering) Firewalls de aplicación (Application-layer firewalls)

Filtrado de paquetes estático Operan en un nivel relativamente bajo de la pila de protocolo TCP/IP, controlando el acceso a través del firewall mediante un conjunto establecido de reglas. La información con la que se basa el filtrado es: Dirección IP destino Dirección IP fuente Protocolo (TCP, UDP o paquetes ICMP) Puerto destino TCP o UDP Puerto fuente TCP o UDP Tipo de mensaje ICMP Tamaño del paquete

Filtrado de paquetes estático La configuración de un filtro de paquetes es un proceso de tres pasos. Establecer qué debe ser permitido y qué no. Los tipos de paquetes permitidos deben ser especificados formalmente, en términos de expresiones lógicas sobre los campos del paquete. Las expresiones deben ser re-escritas en la sintaxis que el fabricante especifique.

Filtrado de paquetes estático Ventajas Un único router de filtrado ubicado estratégicamente puede ayudar a proteger una red completa. El filtrado de paquetes simple es extremadamente eficiente. Desventajas Las reglas tienden a ser difíciles de configurar. Las reglas son difíciles de testear. Un sistema de filtrado de paquetes defectuoso puede permitir paquetes indeseados. Realizar filtrado de paquetes a nivel de router puede incrementar de manera significativa el procesamiento en el mismo.

Filtrado de paquetes dinámico Los filtros de paquetes dinámicos son la tecnología más comúnmente utilizada. Están diseñados para aquellos sistemas que quieren una buena protección y transparencia en sus comunicaciones. En principio los filtros de paquetes dinámicos se comportan como los filtros de paquetes estáticos. El tráfico de paquetes es examinado, si satisfacen los criterios como por ejemplo puertos o direcciones aceptadas, tienen permitido pasar. Sin embargo, permiten ver un poco más de los paquetes. Esto se llama el filtrado de paquetes con estado debido a que el filtro de paquetes tiene que hacer un seguimiento del estado de las transacciones. También se conoce como filtrado dinámico de paquetes debido a que el comportamiento del sistema cambia dependiendo del tráfico que analiza.

Filtrado de paquetes dinámico Los sistemas de filtrado de paquetes dinámicos ofrecen seguimiento de estado y/o comprobación de protocolos (para protocolos conocidos). El seguimiento de estado permite hacer las reglas como las siguientes: ''Dejar pasar paquetes UDP entrantes sólo si son respuestas a paquetes UDP salientes que se han visto. ‘‘ ''Aceptar paquetes TCP con SYN solo como parte de la iniciación conexión TCP. ‘‘

Firewalls de aplicación Un firewall de aplicación es una tipo de firewall que controla la entrada, salida y/o el acceso desde, hacia o a través de una aplicación o servicio. Opera monitoreando y potencialmente bloqueando la entrada, salida o llamados de servicios de un sistema que no cumplan con las políticas configuradas del firewall. El firewall de aplicación está diseñado para controlar todo el tráfico de red sobre cualquier capa del sistema OSI por encima de la de aplicación. Puede controlar aplicaciones o servicios específicamente a diferencia del filtrado de paquetes anterior, el cual, sin agregar otro software, no puede controlar el tráfico de red respecto de una aplicación específica.

Firewalls de aplicación Se requerirá un hardware distinto al anterior para poder implementar este tipo de filtrado. En principio, para poder filtrar más allá de los encabezados o puertos, es necesario que el gateway conozca los protocolos para desencapsular e interpretar la información dentro del paquete. Esto se logra mediante un dispositivo intermediario que lea y aplique las reglas de las políticas de seguridad para dejar pasar la información permitida y bloquear aquello que no lo esté. Este intermediario deberá conocer, como se dijo anteriormente, el o los protocolos que se quieran monitorear, y se logra programando un proxy, ya sea uno para todos los protocolos, o uno dedicado a cada protocolo. Este tipo de sistemas se llaman dual-homed hosts o gateways debido a la presencia de dos placas de red, que son necesarias para regular la comunicación en ambas direcciones.

Arquitecturas Screening router Este tipo de cortafuegos pertenece a la capa de red, de manera que filtra por direcciones origen y destino, por protocolo o por puertos origen y destino; es decir parámetros de la capa TCP/IP. La arquitectura con la que se forma combina un router con un host bastión donde el principal nivel de seguridad proviene del filtrado de paquetes (Packet Filter), es decir, el router es la primera y más importante línea de defensa. En la máquina bastión, único sistema accesible desde el exterior, se ejecutan los proxies de las aplicaciones, mientras que el router se encarga de filtrar los paquetes que se puedan considerar peligrosos para la seguridad de la red interna, permitiendo únicamente la comunicación con un número reducido de servicios. Esta arquitectura está cada vez más en desuso debido a que presenta dos puntos únicos de fallo, el router y el bastión: si un atacante consigue controlar cualquiera de ellos, tiene acceso a toda la red protegida.

Arquitecturas Dual-homed hosts   Este modelo de Firewall perteneciente al grupo de filtrado a nivel de aplicación está formado por máquinas equipadas con dos o más tarjetas de red y en las que una de las tarjetas se suele conectar a la red interna a proteger y la otra a la red externa a la organización. En esta configuración el router y el bastión coinciden en el mismo equipo. El sistema debe ejecutar al menos un servidor proxy para cada uno de los servicios que deseemos pasar a través del Firewall y también es necesario que el IP Forwarding esté deshabilitado en el equipo, pues aunque una máquina con dos tarjetas puede actuar como un router para aislar el tráfico entre la red interna y la externa es necesario que el router no envíe paquetes entre ellas. Así, los sistemas externos verán al host a través de una de las tarjetas y los internos a través de la otra, pero entre las dos partes no puede existir ningún tipo de tráfico que no pase por el Firewall. Por otra parte, el hecho de que haya un Proxy existirá una aplicación de software que permitirá un amplio número de procesos de carga y de control de acceso, lo que obliga un filtrado mucho más elaborado y consecuentemente un mayor tiempo de carga.

¿Cómo se implementa un firewall? Definición de las necesidades El primer paso en el diseño de un firewall es la definición de que es lo que se necesita exactamente. Ahora necesitamos saber que queremos que el firewall haga (políticas de seguridad). Tener en cuenta el tipo de servicios que se van a brindar y a quienes. ¿Los usuarios van a acceder a internet? ¿Para qué? Limitaciones, por ejemplo monetaria.

¿Cómo se implementa un firewall? Políticas de seguridad Definir el tipo de filtrado que se necesita para esta red. Definir qué servicios se desean permitir o denegar, y traducir esas decisiones a normas sobre los paquetes. Recordar que los protocolos son generalmente bidireccionales. Tener cuidado en las discusiones de "entrada" (inbound) frente a "salida" (outbound). Cuando se habla con otros acerca del filtrado, debe comunicarse con claridad si se está hablando de entrada y salida de paquetes o de servicios. Es importante distinguir las dos posturas que se pueden elegir en la elaboración de las política de seguridad: negar todo por defecto o permitir todo por defecto. Tener cuidado de como las nuevas reglas van a interactuar con las viejas. Al borrar las viejas reglas de filtrado, muchos sistemas pueden quedar permitiendo todo el tráfico que los atraviese. Siempre especifique hosts y redes en las reglas de filtrado por dirección IP, nunca por nombre de host o por el nombre de la red.

¿Cómo se implementa un firewall? Evaluación de las posibilidades Una vez definido esto, se evaluarán las posibilidades disponibles, teniendo en cuenta aquellos que permitan un crecimiento, por ejemplo en una empresa, para aumentar el número de redes. Realizar cambios más adelante debido al crecimiento de las necesidades, puede llevar a la necesidad de cambiar los equipos y tener que volver a programarlos, lo cual no es recomendable. Armado del firewall Se deben tener registros sobre las actividades del firewall: esta es la mejor manera de detectar ataques y evitar que causen grandes daños. A su vez es fundamental poseer backups de las distintas partes que lo componen, ya que permitirá reconstruir nuestro sistema luego de una situación de emergencia. A su vez es usual requerir un sistema de auditoría de seguridad que monitoree que el firewall funciona correctamente, y que se nos envíen reportes periódicos indicando su estado. A su vez se suelen emplear sistemas de alarmas que nos avisan sobre funcionamientos incorrectos.

Vulnerabilidades Antes de empezar un ataque, cualquier intruso debe conocer, con la mayor precisión posible, a qué se enfrenta, es por eso que en el primer ataque se querrá obtener la mayor cantidad de información sobre el atacado. Se debe evitar proporcionar información gratuita, ya que podría ser utilizada de manera maliciosa por parte de un individuo con malas intenciones. La información fundamental que necesita un atacante es la dirección IP de la víctima, o de lo contrario el nombre del dominio que pretende atacar. Con un simple paquete ICMP es capaz de obtener la dirección IP de cualquier dominio lo cual se debe evitar en la configuración de nuestros Firewalls. Por otro lado, es importante distinguir los ataques que se realizan desde Internet, accediendo a nuestro servidor a través de la dirección IP pública, y los que se realizan desde dentro de nuestra propia red. En el caso de los ataques internos, si éstos los hace algún usuario de la red, se vuelven ataques más peligrosos debido a que poseen más información sobre nuestra red.

Vulnerabilidades Escaneo de puertos Una de las primeras actividades que un atacante realizará contra su objetivo será sin duda un escaneo de puertos; esto le permitirá obtener en primer lugar información básica acerca de qué servicios está ofreciendo el usuario y, adicionalmente, otros detalles de su entorno como el sistema operativo del host o ciertas características de la arquitectura de la red. Analizando qué puertos están abiertos en un sistema, el atacante puede buscar agujeros en cada uno de los servicios ofrecidos: cada puerto abierto en una máquina es una potencial puerta de entrada. Negaciones de Servicio (DoS) Las negaciones de servicio o Denial-of-Service son ataques dirigidos contra un recurso informático con el objetivo de degradar total o parcialmente los servicios prestados por ese recurso. Este tipo de ataques constituyen en muchos casos uno de los ataques más sencillos y contundentes contra todo tipo de servicios. Barridos PING es uno de los ataques más comunes de Denegación de Servicio. Es el envío continuado de paquetes ICMP contra una dirección de broadcast, de manera que respondan todas las máquinas que se encuentren en esa red.

Vulnerabilidades Spoofing El spoofing o engaño de una dirección IP consiste en suplantar la identidad de una máquina. El intruso simula la identidad de otra máquina de la red para conseguir acceso a recursos de un tercer sistema que ha establecido algún tipo de confianza basada en el nombre o la dirección IP del host suplantado. El propósito de estos ataques es tentar al host atacado, para que acepte datos como si vinieran de la fuente original o bien para recibir datos que deberían ir hacia la máquina suplantada y alterarlos. Sniffing El Sniffing es un tipo de ataque de interceptación en el que una máquina diferente a la máquina destino lee los datos de la red. Esto se realiza con una interfaz de red que lee todos los paquetes que circulan por la red, tanto dirigidas a ella como a otras máquinas; el leerlas no implica el eliminarlas de la red, por lo que el host destino legítimo la recibirá y eliminará sin notar nada extraño

Bibliografía Building Internet Firewalls. Elizabeth D. Zwicky, Simon Cooper & D. Brent Chapman. Second Edition, June 2000 Firewalls and Internet Security. Second Edition. Repelling the Wily Hacker. Wiliam R. Cheswik, Steven M. Bellovin, Aviel D. Rubin. Addison-Wesley. Ingham, Kenneth; Forrest, Stephanie 2002. "A History and Survey of Network Firewalls".

Preguntas orientadoras ¿Qué es un Firewall y como funciona? ¿Qué tipos de firewalls hay y en qué se diferencian? ¿Cuáles son las principales vulnerabilidades? ¿Qué se entiende por políticas de seguridad y cómo se implementan?

Muchas gracias por su atención Muchas gracias por su atención. Autores: Macri, Luis Gabriel Ferreras, Matías