> Entries (RSS)
Seduccion en Linea
Jul 16

Introducción a Firewalls (Cortafuegos) Publicada por 4v4t4r en Sin categoría .

¿Que es un Firewall ?

- Es un filtro que controla el paso de información de una red a otra.
- Normalmente ubicado en la frontera de la red.
- Evita que intrusos tengan acceso a información confidencial.
- Puede ser un dispositivo de Hardware o Software.

Un Firewall hace las veces de un portero en un edificio, verifica quien entra, quien sale y más importante aún que lleva consigo.

Muchas de las amenazas a la perdida de información, como virus, gusanos y ataques combinados explotan vulnerabilidades como puertos abiertos para entrar en las redes.

Un Puerto abierto es como un tubo por el cual un programa puede transmitir información bien sea entrante o saliente. Por lo tanto uno solo debería tener abiertos los tubos que necesita. Si usted no cuenta con un firewall su red estará expuesta a cualquier tipo de ataque.

Los ataques no solo viene de afuera hacia adentro, y no solo hay que controlar el tráfico entrante. Una vez se ha instalado un programa troyano dentro de su red, este puede enviar grandes cantidades de información hacia afuera (por cualquier puerto) y si su firewall o su administrador de red solo ha bloqueado la entrada de intrusos nunca se dará cuenta que le están sacando información.

Como entran los troyanos? por múltiples fuentes:
Spyware, un correo-E, un juego, un chiste etc. o en el peor de los casos mediante un ataque dirigido a su compañía para sacar información. Los intrusos pueden instalar Backdoors que permiten escalar privilegios de administrador del sistema y ganar control sobre la máquina y su información.

Tecnologías de de Firewall

Veamos las 3 divisiones principales, aunque puede haber implementaciones híbridas.
1. Filtrado de Paquetes - Primera generación

Es el firewall más sencillo, se basa en permitir o denegar el tráfico basado en el encabezado de cada paquete. Como no guarda los estados de una conexión, es decir no tiene el concepto de una sesión.

Este tipo de implementación era popular antes de la aparición de los Firewalls y aun se encuentra ya que normalmente hace parte del sistema operativo (Linux o Windows)

Por lo anterior no puede reconocer un ataque o evitar un DoS (Denial of Service). La mayoría de dispositivos pequeños o enrutadores para el hogar o SOHO, incluso los enrutadores CISCO viene con la tecnología de filtrado de paquetes.

Desventajas: No ofrece autenticación, Vulnerable a ataques como Spoofing (cambio de dirección del remitente). Difícil de administrar en ambientes complejos.

2. Stateful Application inspection

A diferencia del anterior el Stateful Application permite abrir “Puertas” a cierto tipo de tráfico basado en una conexión y volver a cerrar la puerta cuando la conexión termina.

Adaptan las reglas básicas de firewall para acomodarse a las necesidades específicas de cada protocolo. El Stateful Firewall mantiene un registro de las conexiones, las sesiones y su contexto. Este módulo tiene su asiento entre la capa de Data Link y Network.

Adicionar el seguimiento de estado (Stateful) a las conexiones incrementa la seguridad del filtrado básico pero no tiene nada que ver con el contenido del paquete o la implicación del tráfico.

Esto significa que una vez establecida una conexión válida puedo enviar cualquier tipo de tráfico y el firewall no se dará cuenta. Es decir le doy entrada un visitante, conozco el visitante pero no se que carga lleva en la maleta o con que propósito entró al edificio.

Ventajas: Alto rendimiento porque como opera solo a nivel de sesión y no de aplicación no tiene que inspeccionar todo el paquete de datos, y por lo tanto con poco hardware maneja un buen ancho de banda. Volviendo a la analogía de la portería es fácil pues inspecciona escarapelas pero no chequea huella digital ni revisa los bolsos.

Desventajas: No provee autenticación por usuario ni revista toda la trama del paquete, solo los encabezados.

Circuit Level Checking

Cuando el Proxy corre en la capa de Sesión y no en la capa de Aplicación.
Una vez se establece la sesión cualquier tipo de tráfico es permitido.
Esta característica puede ser usada si es necesario como alternativa al filtrado de paquetes (característico de los firewall Stateful)

3. Full application inspection

También conocido como Application Gateway. Es un firewall que es capaz de inspeccionar hasta el nivel de aplicación. No solo la validez de la conexión sino todo el contenido de la trama. Es considerado como el más seguro. Todas las conexiones van a través del firewall.

Un Application Firewall se distingue por el uso de los Proxies para servicios como FTP, Telnet etc. que previene el acceso directo a servicios al interior de la red.

Ventajas:
No permite conexiones directas (es decir mantiene en secreto la identidad de los interlocutores)
Soporta autenticación a nivel de usuario.
Analiza los comandos de la aplicación dentro de la carga del paquete (payload)
Mantiene bitácoras extensas de tráfico y actividad específica.

Desventajas: Son más lentos (tienen que analizar todo) por lo tanto se requiere mas cantidad de Hardware para analizar el tráfico del canal. Pueden no soportar ciertos tipos de conexión.

Application Level Firewalls

Un grupo de proxys específicos
De cada aplicación evaluan todos el tráfico entrante y saliente .
El firewall recibe una comunicación entrante evalúa y crea una conexión con el computador de destino.
El firewall rescribe la información de fuente y destino para mantenerla en secreto.
Para cada conexión realmente se establecen 2 conexiones Firewall al remitente y Firewall al Destinatario.
El Symantec Gateway Security es un Application Level Firewall

Transparencia (Proxy Transparente)

Transparencia es uno de los desarrollos más grandes en la segunda generación de gateways de aplicación.

Una de las desventajas de los firewalls típicos es que cada estación tenía que ser configurada para comunicarse con el Proxy y saber su ubicación.

En ambientes modernos y seguros las estaciones ya no tienen que saber que existe el firewall o instalar y correr un software especial como el (Cliente de Proxy) en cada estación.

Se dice entonces que un proxy es transparente cuando no requiere instalación especial de software en las estaciones de trabajo.

Detección de Intrusos (IDS)

Normalmente un Firewall mantiene bitácoras con registros de actividad y guardan en ellos actividad anormal y registro de eventos.

Muy pocos han integrado en sus capacidades la facilidad de alertar en tiempo real al administrador en caso de un evento. Esta capacidad se conoce como IDS. Detección de Intrusión y es una característica muy deseable de seguridad, ya que de nada sirve revisar bitácoras cuando la intrusión ya pasó, y el rastro esta frío.

Lo importante es poder detectar inmediatamente el evento y poder alertar al administrador vía E-mail o movil.

Características Relevantes en el Firewall

Importante al escoger un firewall.
Primero determinar el número de usuarios de la organización y su sensibilidad. Para una empresa pequeña de menos de 25 usuarios uno sencillo de packet filtering debería ser suficiente.

Pero si esta misma empresa maneja información sensible o tiene usuarios externos sobre la VPN, debería pensar en un Firewall más sofisticado y mirar la lista siguiente:

1. Que tipo de firewal es y si soporta nivel de aplicación
2. Que ancho de banda es capaz de manejar en cada uno de los modos de operación (Statefull y Full inspection)
3. Que tan fácil de administrar es, posee consola para administración segura, remota y cifrada ?
4. Que tipos de protocolos de autenticación maneja (RSA, RADIUS, 802.1x etc.
5. Cuantos puertos de LAN independientes tiene (1, 2, 3) y con que velocidad cada puerto (esto para crear zonas des militarizadas DMZ o para segmentar la red interna)
6. Tiene facilidad de integrar control de Contenido en navegación ?
7. Tiene facilidad de integrar control Antivirus en ftp y http ?
8. Es capaz de comportarse como Transparent Proxy ?
9. Experiencia del fabricante y del Proveedor específica en temas de seguridad y cortafuegos.
10. Sobre que plataforma corre el firewall, si es sobre un sistema operativo propietario o sobre sistema operativo de amplia distribución pero Hardened
11. Es importante que tenga Integración con el Directorio Activo, LDAP u otros sistemas de creación de usuarios.
12. Tiene la opción de un sistema de tolerancia a fallas o balanceo de cargas ?
13. Posee IDS o detección de intrusos en tiempo Real?

Texto original Juan Carlos Alvarez, InterLAN Ltda.

Si eres nuevo lector de La Comunidad DragonJAR y te gustan nuestros contenidos, puedes suscribirte a nuestras noticias a través del feed RSS o a través del correo, recuerda también visitar nuestra comunidad donde podrás encontrar mucha mas información. Gracias por tu visita.

Esta entrada no tiene comentarios... pero puedes ser el primero..

Agregar un comentario



    Traducir:

  • Acerca de...

    La Comunidad DragonJAR es una comunidad de investigadores, estudiantes, profesionales y entusiastas de la Seguridad Informática.
    En la cual tratamos de darle un enfoque eminentemente práctico, sin olvidar las bases esenciales de la teoria.

    Tratando de esta manera ofrecer soluciones útiles a sus usuarios, tanto novatos-estudiantes, como a los profesionales e investigadores.
    Teniendo siempre presente que este campo de la seguridad de la información no tendrá un final, donde constantemente evolucionamos, impulsados por la sed de conocimientos