2.6 SEGURIDAD EN EL SERVICIO
Quizás uno de los
elementos más publicitados a la hora de establecer seguridad, sean estos
elementos. Aunque deben ser uno de los sistemas a los que más se debe prestar atención,
distan mucho de ser la solución final a los problemas de seguridad.
Un Firewall es un
sistema (o conjunto de ellos) ubicado entre dos redes y que ejerce una política
de seguridad establecida. Es el mecanismo encargado de proteger una red
confiable de una que no lo es (por ejemplo Internet).
el Muro Cortafuegos, sólo sirven de defensa perimetral de las
redes, no defienden de ataques o errores provenientes del interior, como
tampoco puede ofrecer protección una vez que el intruso lo traspasa.
Algunos Firewalls aprovechan esta capacidad de que toda la
información entrante y saliente debe pasar a través de ellos para proveer
servicios de seguridad adicionales como la encriptación del tráfico de la red.
Se entiende que si dos Firewalls están conectados, ambos deben
"hablar" el mismo método de encriptación-desencriptación para
entablar la comunicación.
ROUTERS Y
BRIDGES
Cuando los paquetes de información viajan entre su destino y
origen, vía TCP/IP, estos pasan por diferentes Routers (enrutadores a nivel de
Red).
Los Routers son dispositivos electrónicos encargados de
establecer comunicaciones externas y de convertir los protocolos utilizados en
las LAN en protocolos de WAN y viceversa.
En cambio, si se conectan dos redes del tipo LAN se utilizan
Bridges, los cuales son puentes que operan a nivel de Enlace.
La evolución tecnológica les ha permitido transformarse en
computadoras muy especializadas capaz de determinar, si el paquete tiene un
destino externo y el camino más corto y más descongestionado hacia el Router de
la red destino. En caso de que el paquete provenga de afuera, determina el
destino en la red interna y lo deriva a la máquina correspondiente o devuelve
el paquete a su origen en caso de que él no sea el destinatario del mismo.
Los Routers "toman decisiones" en base a un conjunto
de datos, regla, filtros y excepciones que le indican que rutas son las más
apropiadas para enviar los paquetes.
TIPOS DE
FIREWALL
1. FILTRADO
DE PAQUETES
Se utilizan Routers con filtros y reglas basadas en políticas
de control de acceso. El Router es el encargado de filtrar los paquetes (un
Choke) basados en cualquiera de los siguientes criterios:
1. Protocolos utilizados.
2. Dirección IP de origen y de destino.
3. Puerto TCP-UDP de origen y de destino.
Estos criterios permiten gran flexibilidad en el tratamiento
del tráfico. Restringiendo las comunicaciones entre dos computadoras (mediante
las direcciones IP) se permite determinar entre cuales máquinas la comunicación
está permitida.
El filtrado de paquetes mediante puertos y protocolos permite
establecer que servicios estarán disponibles al usuario y por cuales puertos.
Se puede permitir navegar en la WWW (puerto 80 abierto) pero no acceder a la
transferencia de archivos vía FTP (puerto 21 cerrado).
Debido a su funcionamiento y estructura basada en el filtrado
de direcciones y puertos este tipo de Firewalls trabajan en los niveles de
Transporte y de Red del Modelo OSI y están conectados a ambos perímetros (interior
y exterior) de la red.
Tienen la ventaja de ser económicos, tienen un alto nivel de
desempeño y son transparentes para los usuarios conectados a la red. Sin
embargo presenta debilidades como:
1. No protege las capas superiores a nivel OSI.
2. Las necesidades aplicativas son difíciles de traducir como
filtros de protocolos y puertos.
3. No son capaces de esconder la topología de redes privadas,
por lo que exponen la red al mundo exterior.
4. Sus capacidades de auditoría suelen ser limitadas, al igual
que su capacidad de registro de actividades.
5. No soportan políticas de seguridad complejas como
autentificación de usuarios y control de accesos con horarios prefijados.
2. PROXY-GATEWAY DE APLICACIONES
Para evitar las debilidades asociadas al filtrado de paquetes,
los desarrolladores crearon software de aplicación encargados de filtrar las
conexiones. Estas aplicaciones son conocidas como Servidores Proxy y la máquina
donde se ejecuta recibe el nombre de Gateway de Aplicación o Bastion Host.
El Proxy, instalado sobre el Nodo Bastión, actúa de
intermediario entre el cliente y el servidor real de la aplicación, siendo
transparente a ambas partes.
Cuando un usuario desea un servicio, lo hace a través del
Proxy. Este, realiza el pedido al servidor real devuelve los resultados al
cliente. Su función fue la de analizar el tráfico de red en busca de contenido
que viole la seguridad de la misma.
3. DUAL-HOMED
HOST
Son dispositivos que están conectados a ambos perímetros
(interior y exterior) y no dejan pasar paquetes IP (como sucede en el caso del
Filtrado de Paquetes), por lo que se dice que actúan con el "IP-Forwarding
desactivado".
Un usuario interior que desee hacer uso de un servicio
exterior, deberá conectarse primero al Firewall, donde el Proxy atenderá su
petición, y en función de la configuración impuesta en dicho Firewall, se
conectará al servicio exterior solicitado y hará de puente entre este y el
usuario interior.
Es
decir que se utilizan dos conexiones. Uno desde la máquina interior hasta el
Firewall y el otro desde este hasta la máquina que albergue el servicio
exterior.
4. SCREENED HOST
En este caso se combina un Routers con un host bastión y
el principal nivel de seguridad proviene del filtrado de paquetes. En el
bastión, el único sistema accesible desde el exterior, se ejecuta el Proxy de
aplicaciones y en el Choke se filtran los paquetes considerados peligrosos y
sólo se permiten un número reducido de servicios.
5. SCREENED SUBNET
En este diseño se intenta aislar la máquina más atacada y
vulnerable del Firewall, el Nodo Bastión. Para ello se establece una Zona
Desmilitarizada (DMZ) de forma tal que sin un intruso accede a esta máquina no
consiga el acceso total a la subred protegida.
En este esquema se utilizan dos Routers: uno exterior y otro
interior. El Routers exterior tiene la misión de bloquear el tráfico no deseado
en ambos sentidos: hacia la red interna y hacia la red externa. El Routers
interior hace lo mismo con la red interna y la DMZ (zona entre el Routers
externo y el interno).
Es posible definir varios niveles de DMZ agregando más
Routers, pero destacando que las reglas aplicadas a cada uno deben ser distintas
ya que en caso contrario los niveles se simplificarían a uno solo.
Como puede apreciarse la Zona Desmilitarizada aisla
fisicamente lo s servicios internos, separadolos de los servicios públicos.
Además, n o existe una conexión directa entre la red interna y la externa.
Los sistemas Dual-Homed Host y Screnned pueden ser complicados
de configurar y comprobar, lo que puede dar lugar, paradójicamente, a
importantes agujeros de seguridad en toda la red. En cambio, si se encuentran
bien configurados y administrados pueden brindar un alto grado de protección y
ciertas ventajas:
1. Ocultamiento de la información: los sistemas externos no
deben conocer el nombre de los sistemas internos. El Gateway de aplicaciones es
el único autorizado a conectarse con el exterior y el encargado de bloquear la
información no solicitada o sospechosa.
2. Registro de actividades y autenticación robusta: El Gateway
requiere de autenticación cuando se realiza un pedido de datos externos. El
registro de actividades se realiza en base a estas solicitudes.
3. Reglas de filtrado menos complejas: Las reglas del filtrado
de los paquetes por parte del Routers serán menos compleja dado a que él sólo
debe atender las solicitudes del Gateway.
Así mismo tiene la desventaja de ser intrusivos y no
transparentes para el usuario ya que generalmente este debe instalar algún tipo
de aplicación especializada para lograr la comunicación. Se suma a esto que
generalmente son más lentos porque deben revisar todo el tráfico de la red.
6. INSPECCIÓN DE PAQUETES
Este tipo de Firewalls se basa en el principio de que cada
paquete que circula por la red es inspeccionado, así como también su
procedencia y destino. Se aplican desde la capa de Red hasta la de
Aplicaciones. Generalmente son instalados cuando se requiere seguridad sensible
al contexto y en aplicaciones muy complejas.
7. FIREWALLS PERSONALES
Estos Firewalls son aplicaciones disponibles para usuarios
finales que desean conectarse a una red externa insegura y mantener su
computadora a salvo de ataques que puedan ocasionarle desde un simple
"cuelgue" o infección de virus hasta la pérdida de toda su
información almacenada.
Políticas
de Diseño de Firewalls
Las políticas de accesos en un Firewalls se deben diseñar
poniendo principal atención en sus limitaciones y capacidades pero también
pensando en las amenazas y vulnerabilidades presentes en una red externa
insegura.
Conocer los puntos a proteger es el primer paso a la hora de
establecer normas de seguridad. También es importante definir los usuarios
contra los que se debe proteger cada recurso, ya que las medidas diferirán
notablemente en función de esos usuarios.
Generalmente se plantean algunas preguntas fundamentales que
debe responder cualquier política de seguridad:
¿Qué se debe proteger?. Se deberían proteger todos los
elementos de la red interna (hardware, software, datos, etc.).
¿De quién protegerse?. De cualquier intento de acceso no
autorizado desde el exterior y contra ciertos ataques desde el interior que
puedan preverse y prevenir.
Sin embargo, podemos definir niveles de confianza, permitiendo
selectivamente el acceso de determinados usuarios externos a determinados
servicios o denegando cualquier tipo de acceso a otros.
¿Cómo protegerse?. Esta es la pregunta más difícil y está
orientada a establecer el nivel de monitorización, control y respuesta deseado
en la organización. Puede optarse por alguno de los siguientes paradigmas o
estrategias:
Paradigmas de seguridad
Se permite cualquier servicio excepto aquellos expresamente
prohibidos.Se prohíbe cualquier servicio excepto aquellos expresamente
permitidos. La más recomendada y utilizada aunque algunas veces suele acarrear
problemas por usuarios descontentos que no pueden acceder a tal cual servicio.
Estrategias
de seguridad
Paranoica: se controla todo, no se permite nada.
Prudente: se controla y se conoce todo lo que sucede.
Permisiva: se controla pero se permite demasiado.
Promiscua: no se controla (o se hace poco) y se permite todo.
¿Cuánto costará?. Estimando en función de lo que se desea
proteger se debe decidir cuanto es conveniente invertir.
Restricciones
en el Firewall
La parte más importante de las tareas que realizan los
Firewalls, la de permitir o denegar determinados servicios, se hacen en función
de los distintos usuarios y su ubicación:
Usuarios internos con permiso de salida para servicios
restringidos: permite especificar una serie de redes y direcciones a los que
denomina Trusted (validados) . Estos usuarios, cuando provengan del interior,
van a poder acceder a determinados servicios externos que se han definido.
Usuarios externos con permiso de entrada desde el exterior:
este es el caso más sensible a la hora de vigilarse. Suele tratarse de usuarios
externos que por algún motivo deben acceder para consultar servicios de la red
interna.
También es habitual utilizar estos accesos por parte de
terceros para prestar servicios al perímetro interior de la red. Sería
conveniente que estas cuentas sean activadas y desactivadas bajo demanda y
únicamente el tiempo que sean necesarias.
Beneficios
de un Firewall
Los Firewalls manejan el acceso entre dos redes, y si no
existiera, todos las computadoras de la red estarían expuestos a ataques desde
el exterior. Esto significa que la seguridad de toda la red, estaría
dependiendo de que tan fácil fuera violar la seguridad local de cada máquina
interna.
El Firewall es el punto ideal para monitorear la seguridad de
la red y generar alarmas de intentos de ataque, el administrador será el
responsable de la revisión de estos monitoreos.
Otra causa que ha hecho que el uso de Firewalls se haya
convertido en uso casi imperativo es el hecho que en los últimos años en
Internet han entrado en crisis el número disponible de direcciones IP, esto ha
hecho que las intranets adopten direcciones sin clase, las cuales salen a
Internet por medio de un "traductor de direcciones", el cual puede
alojarse en el Firewall.
Los Firewalls también son importantes desde el punto de vista
de llevar las estadísticas del ancho de banda "consumido" por el
trafico de la red, y que procesos han influido más en ese tráfico, de esta
manera el administrador de la red puede restringir el uso de estos procesos y
economizar o aprovechar mejor el ancho de banda disponible.
Los Firewalls también tienen otros usos. Por ejemplo, se
pueden usar para dividir partes de un sitio que tienen distintas necesidades de
seguridad o para albergar los servicios WWW y FTP brindados.
Limitaciones
de un Firewall
La limitación más grande que tiene un Firewall sencillamente
es el hueco que no se tapa y que coincidentemente o no, es descubierto por un
intruso. Los Firewalls no son sistemas inteligentes, ellos actúan de acuerdo a
parámetros introducidos por su diseñador, por ende si un paquete de información
no se encuentra dentro de estos parámetros como una amenaza de peligro
simplemente lo deja pasar. Más peligroso aún es que ese intruso deje Back
Doors, abriendo un hueco diferente y borre las pruebas o indicios del ataque
original.
Otra limitación es que el Firewall "NO es contra
humanos", es decir que si un intruso logra entrar a la organización y
descubrir passwords o los huecos del Firewall y difunde esta información, el
Firewall no se dará cuenta
El Firewall tampoco provee de herramientas contra la
filtración de software o archivos infectados con virus, aunque es posible dotar
a la máquina, donde se aloja el Firewall, de antivirus apropiados.
Finalmente, un Firewall es vulnerable, él NO protege de la
gente que está dentro de la red interna. El Firewall trabaja mejor si se
complementa con una defensa interna. Como moraleja: "cuanto mayor sea el
tráfico de entrada y salida permitido por el Firewall, menor será la
resistencia contra los paquetes externos. El único Firewall seguro (100%) es
aquel que se mantiene apagado"
No hay comentarios:
Publicar un comentario