<
[ SEGURIDAD/REDES ]
"ANALISIS EN TORNO A LA SEGURIDAD DE RED EN INSTALACIONES CON CORTAFUEGOS"

Artículo realizado por Dr. Javier Areitio Bertolin.
ESIDE. Facultad de Ingeniería. Univeridad de Deusto.

SEGUNDA PARTE

Este artículo es la continuación del publicado anteriormente.
Para ver la primera parte haga click aquí: Primera Parte

ARQUITECTURAS DE CORTAFUEGOS

Los cortafuegos se pueden configurar en diferentes arquitecturas, proporcionando diversos niveles de seguridad a diferentes costos de instalación y operación. Las organizaciones deberían hacer corresponder su perfil de riesgo con el tipo de arquitectura de cortafuegos seleccionada. Las principales arquitecturas de cortafuegos son: (1) Computador Múlti-puerto (ó "multi-homed host"). Se trata de un computador que tiene más de un interface de red, cada interface se conecta a segmentos de red física y lógicamente separados. Un computador de doble puerto (un computador con dos interfaces) es el ejemplo más común de computador multi-puerto. Un cortafuegos de doble puerto es un cortafuegos con dos tarjetas de red (ó NICs, Network Interface Cards), cada interface conectado a una red diferente. Por ejemplo, un interface de red normalmente se conecta a la red externa no segura, mientras que el otro se conecta a la red interna ó segura. En esta configuración, uno de los principios de seguridad clave es no permitir que el tráfico procedente de la red no segura se encamine directamente a la red segura, el cortafuegos siempre debe actuar como intermediario. El encaminamiento del cortafuegos se inhabilitar  para un cortafuegos de doble puerto para que los paquetes IP de una red no se encaminen directamente de una red a la otra. (2) Computador Pantalla (ó "screened host"). Un cortafuegos con esta arquitectura utiliza un computador denominado "bastión" para que todos los computadores de fuera se conecten, en vez de permitir conexión directa a otros computadores internos menos seguros. Para realizar esto, un router de filtrado de paquetes se configura para que todas las conexiones a la red interna desde la red externa se dirijan hacia el computador "bastión". Si se debe utilizar un cortafuegos de filtrado de paquetes, entonces un computador "bastión" debería establecerse para que todas las conexiones desde la red externa vayan a través del computador "bastión" para impedir que la conexión Internet directa entre la red de la organzación y el mundo exterior. (3) Subred Pantalla (ó "screened subnet"). Esta arquitectura es esencialmente similar a la arquitectura del "computador pantalla", pero añade una capa extra de seguridad creando una red en el que reside el computador "bastión" (denominada "red perimetral") que se encuentra separada de la red interna. Una "subred pantalla" se crear  añadiendo una red perimetral que separe la red interna de la externa. Esto asegura que si existe un ataque con ‚xito en el computador bastión, el atacante está restringido a la red perimetral por el "router pantalla" que se conecta entre la red interna y la red perimetral.

CORTAFUEGOS PARA INTRANETS

Aunque los cortafuegos normalmente se colocan entre una red corporativa y la red no segura del exterior (ó Internet), en grandes organizaciones, los cortafuegos se utilizan a menudo para crear subredes diferentes dentro de la red interna (denominada también Intranet). Los "cortafuegos para Intranets" se utilizan para aislar una subred particular de la red corporativa total. La razón del aislamiento de un segmento de red puede ser que ciertos empleados sólo pueden acceder a subredes guardadas por estos cortafuegos sólo en base a una necesidad concreta. Un ejemplo puede ser un cortafuegos para el departamento de nóminas ó contabilidad de una organización. La decisión de utilizar un cortafuegos Intranet se basa generalmente en la necesidad de hacer cierta información disponible para algunos pero no para todos los usuarios internos ó para proporcionar un alto grado de responsabilidad para el acceso y utilización de información sensible ó confidencial. Para cualquier sistema que guarde aplicaciones críticas de la organización ó que proporcione acceso a información sensible ó confidencial, deberían utilizarse cortafuegos internos ó routers de filtrado de paquetes para proporcionar control de acceso fuerte y soportar auditoría y registro. Estos controles deberían utilizarse para dividir la red corporativa interna a la hora de soportar políticas de acceso desarrolladas por los propietarios de información designados.

ADMINISTRACION/GESTION DE CORTAFUEGOS

Un cortafuegos, como cualquier dispositivo de red debe ser gestionado por alguien. La política de seguridad debe especificar quién es el responsable de la gestión del cortafuegos. El jefe de seguridad de información debe designar dos administradores de cortafuegos (uno primario y otro secundario) que serían los responsables de las tareas de conservación y mantenimiento del cortafuegos. El administrador primario debe encargarse de realizar los cambios en el cortafuegos y el secundario sólo deber  actuar en ausencia del primario para que no exista acceso simultaneo ó contradictorio en el cortafuegos. Cada administrador de cortafuegos debe proporcionar sus datos (número de teléfono del trabajo, de su casa, el número de teléfono celular, su E. Mail, su www, su número de buscapersonas, etc.) en los que puede ser contactado cuando se necesiten sus servicios

IDENTIFICACION Y CLASIFICACION DE AMENAZAS A LOS CORTAFUEGOS DE FILTRADO DE PAQUETES DE NIVEL RED/TRANSPORTE. CONDICIONES DE UTILIZACION SEGURA.

El propósito de un cortafuegos de filtrado de paquetes es proporcionar un punto de defensa y acceso controlado y auditado para servicios, tanto desde dentro como desde fuera de una red privada de una organización, permitiendo y/o denegando el flujo de paquetes a través del cortafuegos. La figura 1 muestra un cortafuegos instalado entre dos redes para que el tráfico entre ellas deba ser encaminado a travésdel cortafuegos. El cortafuegos puede de este modo proporcionar control de acceso basado en los paquetes que se encaminan entre las redes. Un cortafuegos es un dispositivo informático (por ejemplo un router ó un computador) que se utiliza para separar físicamente un dominio de red de otro. Los routers pueden controlar el tráfico en el nivel de red/transporte permitiendo ó denegando selectivamente el tráfico basado en dirección fuente/destino ó número de puerto. Los computadores pueden controlar el tráfico en el nivel de aplicación. Estos cortafuegos aplican un conjunto de operaciones de filtrado de paquetes del nivel red/transporte. Un ejemplo sería un cortafuegos que realice decisiones de seguridad basadas en información en las cabeceras IP y TCP (por ejemplo dirección fuente y número de puerto). Las amenazas a un cortafuegos se pueden estructurar en grupos:

A) Grupo de Amenazas Genéricas, entre otras:

1) Personas no autorizadas pueden ganar acceso lógico al cortafuegos. El término persona no autorizada se utiliza para cubrir todas aquellas personas que tienen ó pueden intentar ganar acceso lógico al cortafuegos pero no tienen autoridad para ganar acceso lógico al cortafuegos ó realizar operaciones sobre su información.

2) Personas no autorizadas pueden llevar a cabo ataques de "spoofing" de dirección de red (por ejemplo "spoofing" IP) desde una conexión de red a otra, atravesando el cortafuegos. El cortafuegos proporciona control de acceso entre una ó más redes externas (no dignas de confianza) y una ó más redes internas (privadas, de confianza). La amenaza específica encontrada es que un sujeto de una red externa intente suplantar a un sujeto de la red interna.

3) Personas no autorizadas pueden realizar ataques a los servicios. Las amenazas específicas encontradas dependen de los protocolos que se permiten pasar a través del cortafuegos. Un servicio que no puede ser accedido desde fuera de la red interna no plantea una amenaza. Las amenazas que no se originan del tráfico a través del cortafuegos no se consideran específicamente en este estudio.

4) Personas no autorizadas pueden realizar ataques del tipo encaminamiento fuente en el nivel de red. Varios protocolos del nivel de red permiten al orininador de un paquete especificar el camino que el paquete seguir  desde la fuente al destino. En algunas implementaciones de encaminamiento, si el encaminamiento fuente está indicado en la cabecera de protocolo, la función que procesa el protocolo se saltar cualquier comprobación de reglas, de este modo se ofrece un camino no deseado para cruzar "por un tunel" el cortafuegos realizando una función de encaminamiento.

5) Personas no autorizadas pueden realizar intentos de penetración no detectados. Una persona no autorizada puede intentar repetitivamente diferentes ataques contra una red a proteger si no existe personal en la red atacada que se d‚ cuenta de que tales ataques están teniendo lugar.

6) Puede existir una falta de revisión del registro de auditoría. Incluso aunque se recojan los datos de auditoría, si estos datos no son revisados, bien debido a la cantidad de datos generados ó a la falta de herramientas de revisión adecuadas, un atacante puede no ser detectado mientras realiza intentos de penetración repetidos.

7) Un atacante puede modificar/degradar el registro de auditoría. Esta amenaza tiene dos facetas. En primer lugar, un atacante puede modificar directamente el registro de auditoría manipulandolo a través de un interface del cortafuegos (por ejemplo, un protocolo de control específico que va sobre la red). En segundo lugar, un atacante puede averiar el cortafuegos después de realizar una penetración ó intento de penetración y si el registro de auditoría no está suficientemente protegido posiblemente puede perderse, de modo que se enmascaren las acciones del atacante.

8) Un atacante puede modificar la configuración del cortafuegos y otros datos de seguridad relevantes. Esta amenaza es similar a la anterior, salvo que los datos que son elegidos por un atacante son la configuración del cortafuegos y otros datos de seguridad críticos.

9) Pueden ocurrir fallos de seguridad debido a defectos en el cortafuegos. La seguridad ofrecida puede ser garantizada sólo hasta el punto de que todas las características de seguridad pueden ser confiables en cuanto a ser efectivas a la hora de contrarestar las amenazas y operar correctamente y de forma fiable. Los agentes de amenazas pueden, a través del descubrimiento accidental ó la búsqueda dirigida, descubrir defectos en el cortafuegos que pueden trastornar de modo que el funcionamiento de las funciones de seguridad se cambie para su provecho. Dicho trastorno del cortafuegos puede ocurrir durante la entrega e instalación. Durante el funcionamiento normal, potenciales atacantes tambien pueden desarrollar métodos con los que las funciones de seguridad pueden ser "minadas".

B) Grupo de Amenazas aplicadas al Entorno de Operación (entorno, medios procedurales, riesgos potenciales del sistema):

1) Personal de administración del sistema hostil ó descuidado ó intencionalmente negligente. Puesto que los administradores son los responsables de establecer las reglas de control de acceso y de monitorizar el registro de auditoría, podrán fácilmente saltarse los mecanismos de seguridad del cortafuegos.

2) Usuarios hostiles de una red protegida (situados detrás del cortafuegos) desean compartir información con usuarios de la red externa. Esta amenaza trata el caso en que un usuario de una red interna (protegida) desea enviar información de forma ilegítima a un usuario de una red externa. Puesto que este tipo de cortafuegos esta diseñado específicamente para proteger las redes internas de las redes externas y no trata de comprobar el contenido del paquete, generalmente ser  inefectivo contra estas clases de ataques.

3) Usuarios hostiles de una red protegida atacan a m quinas que son parte de la red protegida. Puesto que un cortafuegos por definición sirve para proteger a los usuarios de una red interna de los usuarios externos a la red, no puede proteger de los ataques no dirigidos contra el cortafuegos.

4) Usuarios hostiles de una red protegida intentan realizar ataques sofisticados a los servicios y protocolos de alto nivel. Estos tipos de ataques eligen defectos de los niveles de protocolo (y servicios que utilizan dichos protocolos) por encima del nivel de transporte. El cortafuegos puede ser capaz de denegar completamente paquetes a servicios específicos, pero una vez que a los paquetes se les permite pasar, entonces pueden ser posibles los ataques a los servicios que son elegidos. El cortafuegos no necesita verificar el contenido del paquete.

Se supone que las siguientes hipótesis específicas ó condiciones de utilización segura se asumen en un entorno operacional con cortafuegos de filtrado de paquetes del nivel red/transporte. Las condiciones físicas son: (1) El cortafuegos y la consola asociada directamente conectada es segura, es decir, el acceso se encuentra limitado sólo al personal autorizado. (2) El personal autorizado (los administradores) interactúan con el cortafuegos sólo a travésde consolas directamente conectadas, es decir, ningún "login de red" se permite a los administradores. (3) El cortafuegos no requiere para funcionar cambios de las propiedades operativas (por ejemplo, aplicaciones software, hardware) de la red interna ó de la red externa. Condiciones de tipo personal son: (1) El cortafuegos sólo está diseñado para actuar como cortafuegos y no para proporcionar servicios adicionales de usuario (por ejemplo, "login") a cualquier usuario de la red interna ó externa. Sólo los administradores poseen acceso directo. (2) Los administradores se supone que no son hostiles y son de confianza para realizar sus funciones correctamente. La condición de tipo de conectividad es: El cortafuegos es el único dispositivo de interconexión entre las redes. Una configuración en la que dos redes una pública y otra privada se conecten a la vez por un cortafuegos y por una conexión directa no está permitida.

MECANISMOS DE BACK-UP EN CORTAFUEGOS

Para poder soportar la recuperación después de un fallo ó desastre natural, el cortafuegos al igual que cualquier computador de red debe tener alguna política que defina el backup del sistema. Los ficheros de datos, al igual que los ficheros de configuración del sistema necesitan tener algún plan de backup (ó respaldo) en caso de fallo del cortafuegos. El cortafuegos (software del sistema, datos de configuración, ficheros de base de datos, etc.) debe ser sometido a un proceso de backup (es decir obtener copias de seguridad) cada pocas horas, a diario, semanalmente, mensualmente, etc. para que en caso de fallo del sistema, los ficheros de datos y configuración puedan recuperarse. Los ficheros del backup se deben almacenar de forma segura en un medio ó soporte de sólo lectura para que los datos del almacenamiento no se sobre-escriban inadvertidamente y se deben proteger para que el medio sólo sea accesible por el personal apropiado. Otra alternativa de backup consiste en tener otro cortafuegos configurado como el primero y guardado de forma segura para que en caso de fallo del actual, el cortafuegos de backup (ó respaldo) se conmute automáticamente/manualmente mientras se repara el averiado, en este caso la degradación del servicio es menor a costa de un mayor costo la duplicidad del cortafuegos y el mecanismo de conmutación automática/manual. Este mecanismo de tolerancia a fallos se denomina "replicación del cortafuegos de grado dos". Los cortafuegos nunca se deben utilizar como servidores de propósito general. Sólo las cuentas de usuario en el cortafuegos deben ser las del administrador del cortafuegos y la del administrador de backups (ó copias de seguridad). Toda la administración del cortafuegos se debe realizar desde el terminal local. No debe permitirse ningún acceso remoto al software operativo del cortafuegos. El acceso físico al terminal del cortafuegos se debe limitar sólo al administrador del cortafuegos y al administrador de backups.

CORTAFUEGOS CON CAPACIDAD VPN

Las redes privadas virtuales ó VPN (Virtual Private Networks) permiten a las redes seguras comunicarse con otras redes seguras utilizando redes no seguras como Internet. Puesto que algunos cortafuegos proporcionan la "capacidad VPN", es necesario definir una política de seguridad para establecer VPNs. Cualquier conexión entre cortafuegos sobre redes públicas utilizar  VPNs cifradas para asegurar la privacidad e integridad de los datos que se pasan a travésde la red pública. Todas las conexiones VPN deben ser aprobadas y gestionadas por el administrador de servicios de red. Deben establecerse los medios apropiados para distribuir y mantener claves de cifrado antes del uso operacional de los VPNs.

CONFIGURACION DE LOS CORTAFUEGOS COMO SERVIDOR DNS

En Internet, el DNS (Domain Name Service) proporciona la correspondencia y traducción de los nombres de dominio a direcciones IP (por ejemplo: 130.206.100.1 representa la dirección IP del computador orion.deusto.es). Algunos cortafuegos se pueden configurar como servidores DNS primarios, secundarios ó caché. Decidir como gestionar los servicios DNS normalmente no es una decisión de seguridad. Muchas organizaciones utilizan una tercera parte, como un ISP (Internet Service Provider) para gestionar su DNS. En este caso, el cortafuegos puede utilizarse como un servidor DNS cach‚, que mejora el rendimiento pero no necesita la organización mantener su propia base de datos DNS. Si la organización decide gestionar su propia base de datos DNS, el cortafuegos puede (pero no tiene porqué) actuar como el servidor DNS. Si el cortafuegos debe ser configurado como un servidor DNS (primario, secundario ó caché), es necesario que se tomen otras precauciones de seguridad. Una ventaja de implementar el cortafugos como un servidor DNS es que puede configurarse para ocultar la información de los computadores internos de una organización. En otras palabras, con el cortafuegos actuando como un servidor DNS, los computadores internos obtienen una visión no restrictiva de los datos DNS internos y externos. Los computadores externos no tienen acceso a la información relativa a las m quinas computadoras internas. Para el mundo exterior, todas las conexiones a cualquier computador de la red interna parecer n haberse originado desde el cortafuegos. Con la información de computadores oculta del exterior, un atacante no sabrá los nombres y direcciones de los computadores de las m quinas inform ticas internas que ofrecen servicios a Internet. Una política de seguridad para ocultar el DNS para cortafuegos es: "Si el cortafuegos opera como un servidor DNS, entonces debe configurarse para ocultar la información relativa a la red para que los datos de los computadores internos no se revelen al mundo exterior (Internet)".

INTEGRIDAD DE LA INFORMACION DE CONFIGURACION DE LOS CORTAFUEGOS

El cortafuegos debe proporcionar acceso controlado entre redes conectadas a él permitiendo ó denegando el flujo de paquetes. La decisión a la hora de permitir ó denegar a un paquete pasar a través del cortafuegos se basa en atributos del sujeto, del objeto, de la información de estado generada posiblemente por el cortafuegos y de las reglas de control de acceso configuradas administrativamente. Para impedir modificaciones no autorizadas de la configuración del cortafuegos, se debe utilizar alguna forma de proceso que garantice la integridad. Normalmente, los checksums, CRCs (Cyclic Redundancy Checks) ó funciones hash criptogr ficas (por ejemplo, MD5) se realizan de la imagen "run-time" (en tiempo de ejecución) y se guardan en medios protegidos. Cada vez que la configuración del cortafugos se ha modificado por un individuo autorizado (normalmente el administrador del cortafuegos), es necesario que la base de datos "en-linea" de integridad del sistema se actualice y guarde en un sistema de ficheros en la red ó soporte removible. Si la comprobación de la integridad del sistema muestra que los ficheros de configuración del cortafuegos se han modificado, se avisar  de que el sistema ha visto comprometida su seguridad. La base de datos de integridad del sistema del cortafuegos se actualizar  cada vez que se modifica la configuración del cortafuegos. Los ficheros de integridad del sistema deben guardarse en soporte de sólo lectura ó almacenamiento "fuera de linea". La integridad del sistema la debe comprobar regularmente el administrador obteniendo un listado de todos los ficheros que se han modificado, reemplazado ó borrado. Es importante que los procedimientos operacionales y sus par de metros de configuración se encuentren documentados, actualizados y guardados en lugar seguro a salvo.

CONSIDERACIONES FINALES

El problema fundamental es que Internet no se diseñó para ser muy seguro. Algunos de los problemas inherentes con las versiones actuales de TCP/IP son: (1) Fácil escucha clandestina y falsificación, la mayor parte del tráfico Internet no se encuentra cifrada. El Correo Electrónico, las passwords y las transferencias de ficheros se pueden monitorizar y capturar utilizando fácilmente el software disponible. (2) Los servicios TCP/IP son vulnerables. Un conjunto de servicios TCP/IP no est_n diseñados para ser seguros y pueden ponerse en peligro por intrusos con ciertos conocimientos; los servicios utilizados para testear son particularmente vulnerables. (3) Falta de política de seguridad. Muchas organizaciones se encuentran configuradas, no intencionalmente, con acceso Internet a todo el mundo sin tener en cuenta los posibles abusos desde Internet. Muchas organizaciones permiten más servicios TCP/IP de los que son necesarios para sus operaciones y no intentan limitar el acceso a la información acerca de sus computadores que puede resultar valiosa para los intrusos. (4) Complejidad de la configuración. Los controles de acceso de seguridad a los computadores suelen ser complejos de configurar y monitorizar; los controles que se configuran incorrectamente de forma accidental pueden dar lugar a accesos no autorizados peligrosos. De acuerdo con un informe de la Consultora Datapro, sólo el 46% de las Empresas Españolas disponen de una política de seguridad para sus sistemas de información. En Europa, el porcentaje asciende al 69%. El propósito de una política de seguridad es decidir la forma en que una organización toma medidas para protegerse. Una política de seguridad generalmente presenta tres aspectos: (1) una política general que establece el enfoque a la seguridad. (2) las reglas específicas que son el equivalente de la política específica del sistema. Las reglas definen lo que está ó no permitido. Las reglas pueden ser apoyadas por procedimientos y otras guías. (3) el enfoque técnico ó análisis que soporta la política general y las reglas específicas. Para que la política de seguridad sea efectiva sus diseñadores deben tener en cuenta los compromisos/concesiones que se realizan (muchas soluciones de seguridad limitan la funcionalidad para poder incrementar el grado de seguridad, se suele cumplir que a mayor seguridad mayor dificultad de uso, etc.). La política de seguridad debe sincronizarse con otras cuestiones de política relacionadas. Una política de seguridad puede estructurarse según: su destino, grado de robusted en: (1) para los usuarios. (2) para los administradores/gestores. (3) requisitos técnicos (4) bajo riego. (5) riesgo medio. (6) alto riesgo, etc.

BIBLIOGRAFIA

- AREITIO, J. "Estrategias de Cortafuegos para Proteger Servicios Web". Congreso Internacional Mundo Internet'97. Madrid. Febrero 1997.

- AREITIO, J and GARAY, L.M. "Gestión de Red: Consideraciones en torno a la Seguridad". ME. CEP Communications. N§ 263. Enero 1996.

- OPPLIGER, R. "Internet and Intranet Security". Artech House. Norwood. Massachusetts. 1998.







Copyright © 2003 por Aero ENDOR Webmasters. Reservados todos los derechos.
Q S O Radios no se hace responsable por el contenido publicado de fuentes externas.