• Author / Uploaded
• Francisco Sola Victorio

• Categories
• Servidor proxy
• Cortafuegos (informática)
• Enrutador (Computación)
• Red de área amplia
• Red de computadoras

Citation preview

1. Introducción En todas las corporaciones existen redes de carácter privado que necesitan comunicarse con el exterior. Cuando permitimos que los usuarios de una red privada accedan a servicios externos o interactúen con otros equipos localizados en redes públicas debemos aplicar ciertas medidas de seguridad. La seguridad perimetral es la encargada de establecer la línea de defensa entre las redes públicas no seguras del exterior y las redes privadas de confianza internas. 1.1 Objetivos de la seguridad perimetral ▪ Proporcionar un único punto de interconexión con el exterior. ▪ Redirigir el tráfico entrante a los sistemas adecuados dentro de la intranet. ▪ Centralizar el control de acceso para mantener a los intrusos a raya, permitiendo que los usuarios internos trabajen con normalidad. ▪ Permitir sólo ciertos tipos de tráfico (p. ej. correo electrónico) o entre ciertos equipos. ▪ Rechazar conexiones a servicios o equipos con información comprometedora. ▪ Ocultar sistemas o servicios vulnerables que no son fáciles de proteger. ▪ Ocultar información: nombres de sistemas, topología de la red, tipos de dispositivos de red, cuentas de usuarios internos, etc. ▪ Auditar el tráfico entre el exterior y el interior. 1.2 Conceptos básicos Cortafuegos o firewall Componente o conjunto de componentes que restringen el acceso entre una red protegida e Internet, o entre varias de redes en general. Se encarga de controlar puertos y conexiones, permitiendo o denegando el flujo de datos entre equipos. Router exterior o de acceso Router que conecta con la red pública (Internet). Router interior o de estrangulamiento (choke router) Router que conecta con la red privada (Internet). Equipo o anfitrión (host) Equipo conectado a la red. Equipo bastión (Bastion host) Equipo que debe ser fuertemente asegurado por ser susceptible de recibir ataques, fundamentalmente porque está expuesto a Internet y constituye unos de los principales puntos de contacto para los usuarios de la red interna. El router externo deberá estar configurado para enviar los datos al bastión mientras que los clientes de la red privada accederán al mismo internamente. Anfitrión de dos bases (Dual-homed host) Es un equipo que tiene al menos dos interfaces de red (o bases). Suele utilizarse cuando se quiere dar un servicio en Internet pero, al mismo tiempo, se habilitan otros servicios administrativos únicamente accesibles desde la red interna que, de otro modo, sería demasiado peligroso exponer a la red pública. Filtrado de paquetes Acción que toma un dispositivo para controlar de forma selectiva el flujo de datos desde y hacia una red. Los filtros de paquetes permiten o bloquean paquetes, normalmente mientras los encaminan entre una y otra red. Para llevar a cabo el filtrado de paquetes, se configura

un conjunto de reglas que especifican qué tipos de paquetes son permitidos y cuáles son bloqueados. Red perimetral Red que se añade entre una red protegida y una red externa para proporcionar una capa adicional de seguridad. A la red perimetral, en ocasiones, se le llama DMZ. Proxy Programa que se encarga de las conexiones con los servidores externos en representación de los clientes internos. Los clientes de proxy se dirigen a los servidores proxy, los cuales retransmiten las solicitudes que son aprobadas hacia los servidores reales. Cuando el proxy recibe la respuesta, se la devuelve a los clientes. 2. Arquitecturas de cortafuegos 2.1 Router de filtrado (screening router) Es posible utilizar un sistema de filtrado de paquetes como cortafuegos simplemente utilizando un router que haga de criba para proteger toda la red. Principalmente, los criterios de filtrado que se pueden utilizar con este sistema serían: • Direcciones de origen y destino. • Puertos de origen y destino. • Tipo de paquete (TCP, UDP o ICMP). • Interfaces de entrada y salida de router. Este tipo de cortafuegos no es muy flexible. Aunque puede permitir o bloquear ciertos protocolos por el número de puerto, es complicado permitir ciertas operaciones a la vez que se bloquean otras para un mismo protocolo. Esta arquitectura es apropiada en los siguientes casos: • La red a proteger ya tiene un alto nivel de seguridad en sus equipos. • Existe un número limitado de protocolos y éstos son sencillos. • Los requisitos de rendimiento y redundancia son máximos. 2.2 Anfitrión de dos bases (dual-homed host) Esta arquitectura se monta sobre un anfitrión de doble base. Un equipo que dispone de al menos dos interfaces de red. Los anfitriones de doble base permiten el acceso a los servicios de la otra red haciendo de proxy o intermediario, el inconveniente es que puede que ciertos protocolos de la capa aplicación no estén disponibles. Este tipo de cortafuegos proporciona un nivel de control muy alto, pero necesita más recursos y su rendimiento es inferior al de un router de filtrado. También hay que tener en cuenta que representa un punto único de fallo, por lo que es imprescindible fortificar su seguridad de forma impecable, de lo contrario, cualquier atacante que comprometa el anfitrión tendrá acceso a toda la red interna o podría dejar incomunicada a la organización dejándolo inoperativo. Esta arquitectura es apropiada en los siguientes casos: • No hay una gran cantidad de tráfico hacia Internet. • El tráfico hacia Internet no es crítico para el negocio. • No se proporcionan servicios a los usuarios de Internet. • La red a proteger no contiene datos extremadamente valiosos. 2.3 Equipos multipropósito Sería posible conseguir un alto rendimiento para algunos protocolos usando técnicas de filtrado mientras aplicamos un mayor control sobre otros protocolos utilizando técnicas de proxy. Por contra, estaríamos sujetos a posibles vulnerabilidades; por ejemplo, puede ocurrir que el filtro de paquetes esté dejando pasar directamente el tráfico que pensábamos que estaba siendo inspeccionado por el proxy. 2.4 Bastión protegido (screened host)

La arquitectura de bastión protegido proporciona acceso a servicios a través de un anfitrión conectado únicamente a la red privada, utilizando un router por separado. El filtrado de paquetes en el router está configurado de modo que el bastión es el único sistema de la red interna con el que los equipos de Internet pueden establecer conexiones. Cualquier sistema externo que intente acceder a los sistemas internos tendrá que hacerlo a través del bastión. El filtrado de paquetes permite al bastión establecer las conexiones permitidas con la red externa (de acuerdo con la política de seguridad). En cuanto al resto de equipos, el router de filtrado puede configurarse de alguna de los siguientes formas: • Permitir a otros equipos de la red interna establecer conexiones con equipos de Internet para ciertos servicios. • Bloquear todas las conexiones provenientes de los equipos internos con el exterior forzando a que deban hacerse a través del bastión mediante servicios de proxy. Esta arquitectura es apropiada en los siguientes casos: • Se producen pocas conexiones entrantes desde Internet. • Los equipos de la red a proteger tiene una nivel de seguridad relativamente alto. 2.5 Subred protegida (screened subnet) La arquitectura de subred protegida añade un nivel adicional de seguridad sobre la arquitectura de bastión protegido añadiendo una red perimetral que aísla aun más a la red privada de Internet. En su forma más simple, esta arquitectura utiliza dos routers de filtrado, ambos conectados a la red perimetral. Uno se encuentra entre la red perimetral y la red interna, y el otro se encuentra entre la red perimetral y la red externa (usualmente Internet). Para entrar en la red interna con este tipo de arquitectura, el atacante tendría que comprometer ambos routers. No hay ningún punto único vulnerable que pueda comprometer a la red interna. A continuación estudiaremos con más detenimiento los elementos de la arquitectura de subred protegida. La red perimetral La red perimetral es otra capa de seguridad, una red adicional entre la red externa y la red interna protegida. Si un atacante irrumpe con éxito dentro de la red perimetral no podrá, por ejemplo, espiar el tráfico que circula entre los equipos de la red privada. El equipo bastión Con la arquitectura de subred protegida, el bastión se conecta a la red perimetral. Este equipo es el principal punto de contacto para las conexiones entrantes desde el mundo exterior. Por ejemplo: • Para aceptar correo electrónico entrante (SMTP). • Para las conexiones entrantes hacia el servidor FTP anónimo del sitio. • Para las consultas DNS sobre el dominio de la organización. El router interno El router interior, a veces llamado router estrangulador (choke router), protege la red interna, tanto de Internet como de la red perimetral. Realiza la mayor parte del filtrado de paquetes del cortafuegos. Permite acceder desde la red interna a los servicios de Internet que se consideren seguros. Debemos limitar los servicios permitidos entre el host bastión y la red interna solamente a aquellos que realmente se necesitan. El router externo El router exterior (también llamado router de acceso) protege tanto la red perimetral y la red interna de Internet. Las reglas de filtrado de paquetes para proteger las máquinas internas tendrían que ser esencialmente las mismas tanto en el enrutador interior como en el enrutador exterior. Una de las tareas de seguridad que el router exterior puede llevar a cabo de manera útil es el

bloqueo de todos los paquetes entrantes de Internet que han falseado las direcciones de origen. Otra tarea que el router exterior puede realizar es evitar que los paquetes IP que contienen direcciones de origen inapropiadas abandonen su red. 2.6 Subred protegida dividida (split-screened subnet) La arquitectura de subred protegida dividida se diferencia a la de subred protegida en que la red perimetral se divide en dos redes perimetrales conectadas entre sí por un anfitrión de doble base. Con esta configuración se consigue un cortafuegos que proporciona una protección en profundidad. Por un lado, los routers ofrecen protección contra falsificaciones y previenen de aquellos casos en los que el anfitrión pueda fallar dejando escapar ciertos paquetes. Por otro lado, el anfitrión permite hacer un filtrado más minucioso del tráfico que no sería posible con los routers. 3 . Clasificación de los cortafuegos 3.1 Según su política Hay dos políticas básicas en la configuración de un cortafuegos: Política restrictiva Se deniega todo el tráfico excepto el que está explícitamente permitido. El cortafuegos obstruye todo el tráfico y hay que habilitar expresamente el tráfico de los servicios que se necesiten. Política permisiva Se permite todo el tráfico excepto el que esté explícitamente denegado. Cada servicio potencialmente peligroso necesitará ser aislado básicamente caso por caso, mientras que el resto del tráfico no será filtrado. 3.2 Según su ubicación Cortafuegos basados en servidores: aplicación de firewall instalada y ejecutada en un sistema operativo de red con enrutamiento activado junto a otra serie de posibles servicios como proxy, DNS, DHCP, etc. • Cortafuegos dedicados: equipos que tienen instalado una aplicación específica de cortafuegos, trabajan de forma autónoma como cortafuegos. • Cortafuegos integrados: se integran en un dispositivo hardware para ofrecer la funcionalidad de firewall. Como ejemplos encontramos switches o routers que integran funciones de cortafuegos. • Cortafuegos personales: se instalan en los distintos equipos de la red de forma que los proteja individualmente de amenazas externas.. Por ejemplo en un equipo doméstico el cortafuegos preinstalado del sistema operativo Windows o también el cortafuegos iptables en Linux. 4. Clasificación de los proxies. Podemos clasificar los proxies en los siguientes tipos: • Proxy caché web: Mantienen copias locales de los archivos más solicitados y los sirven bajo demanda, reduciendo la baja velocidad y coste en la comunicación con Internet. Sirve para los protocolos HTTP, HTTPS e incluso FTP. • Proxy NAT: integración de los servicios de traducción de direcciones de red y proxy. • Proxy transparente: normalmente, un proxy web o NAT no es transparente a la aplicación cliente debe ser configurado manualmente. Un proxy transparente combina un servidor proxy con NAT de manera que las conexiones al puerto 80, son redirigidas al puerto del servicio proxy (3128, 8080 o cualquier otro que se defina) de forma automática y sin que el usuario se de cuenta. • Proxy anónimo: permiten aumentar la privacidad y el anonimato de los clientes proxy, mediante la eliminación activa de características identificativas (dirección IP del cliente,

•

•

cookies, identificadores de sesión, etcétera). Proxy inverso: un reverse proxy es un servidor proxy instalado en una red con varios servidores web, sirviendo de intermediario a las peticiones externas, suponiendo una capa de seguridad previa, gestión y distribución de carga de las distintas peticiones externas, gestión de SSL o como caché de contenidos estáticos. Proxy abierto: acepta peticiones desde cualquier equipo, esté o no conectado a su red. Como consecuencia, puede ser utilizado como pasarela para llevar a cabo acciones ilegales o perjudiciales (por ejemplo, envío masivo de spam, o incluso ataques a otros sistemas ocultando la verdadera identidad del atacante).