Disposición de router como frontera (firewall) entre redes.
 Sus protocolos y modo de funcionamiento son conocidos y la manera de acceder a ella muy sencillo.
Una red corporativa, diseñada para ser usada en una empresa o grupo de empresas, es muy diferente aunque emplee los mismos protocolos o técnicas de acceso; en este caso, la información que se maneja es un bien inapreciable para la empresa y deben ponerse todos los medios necesarios para garantizar que se utiliza correctamente (conforme a los criterios y políticas de la compañía).
Por tanto, en todos aquellos casos en que exista una conexión entre la red de la empresa e Internet, se ha de ser muy cuidadoso para evitar cualquier ataque, activo o pasivo, que pueda venir de del exterior, en este caso de Internet. Ello se puede hacer de muy diversas maneras, y una de ellas en poniendo una barrera de entrada/salida entre ambas redes, que controle la información en uno y otro sentido, barrera que suele estar en el router que sirve para la interconexión.
Los routers operan en el nivel 3 (red) de OSI, que incluye una dirección de red y una del dispositivo; ello proporciona innumerables ventajas ya que permite la interoperatividad entre redes diferentes, como pueden ser una CSMA/CD y una Token Ring, o una red WAN, y permite dividir una red en varias subredes, eligiendo el mejor camino para enviar un paquete IP sin la necesidad de mantener extensas tablas que contengan la dirección de todos y cada uno de los dispositivos. Se comunican dinámicamente con los usuarios finales y entre ellos.
Firewalls
Una aplicación adicional de los routers es actuar como pasarela de seguridad (firewall o cortafuegos) entre la red del cliente y otra red exterior, como pueda ser Internet, creando una frontera inexpugnable entre ambas. Con ello se pretenden proteger las redes corporativas frente a entradas (o salidas) no autorizadas. La posición en la que se coloque el firewall es crítica ya que debe ser en la zona de separación entre lo que se considera la red interna segura y la red externa insegura. Sin embargo, no llegan a proteger frente al ataque de virus o de ciertos aplicativos (applets) en Java o ActiveX.
En las aplicaciones de acceso a Internet el firewall se coloca entre la red local (o intranet) e Internet. La regla básica de un firewall es asegurar que todas las comunicaciones entre la red propia e Internet se realicen conforme a las políticas de seguridad de la organización o corporación, para lo que evalúan cada paquete que circula por la red (paquetes que atraviesan la frontera entre el interior y el exterior de la red). Además, estos sistemas conllevan características de privacidad, autenticación, etc.
Las técnicas usadas en la construcción de un firewall, son básicamente tres, y la mayor parte incorporan una combinación de ellas para dar una mayor seguridad.
Filtrado de Aplicaciones (Applications filtering)
Los firewalls que son aplicaciones cliente-servidor y que trabajan al nivel 7 de OSI simulan procesos de aplicación, contraseñas y verificación. Estos dispositivos no tratan los paquetes entre los interfaces a nivel 3, sino que disponen de programas específicos para cada protocolo, por lo que, debido a su complejidad, son poco eficientes, pero muy seguros.
– Examinan el contenido de nivel de aplicación de todos los paquetes y ofrecen servicios Proxy.
Es el extremo opuesto al filtrado de paquetes. En lugar de basarse en el filtrado del flujo de paquetes, tratan los servicios por separado, utilizando el código adecuado para cada uno.
Es probablemente el sistema más seguro, ya que no necesita tratar complicadas listas de acceso, y centraliza en un solo punto de gestión los servicios. Las pasarelas a nivel de aplicación son prácticamente la única solución efectiva para el tratamiento seguro de aquellos servicios que requieren permitir conexiones iniciadas desde el exterior (servicios como FTP, Telnet, Correo Electrónico).
En realidad, lo que se utiliza es una puerta de acceso para cualquier servicio. Al ser esta puerta de uso obligatorio, podemos establecer en ella los criterios de control que queramos. Atravesada la puerta, puede ocurrir que la propia pasarela de nivel de aplicación ofrezca el servicio de forma segura o que establezca una conexión con el ordenador interno que realmente ofrece el servicio, teniendo en cuenta que éste último deber estar configurado para aceptar conexiones tan solo desde nuestra pasarela de nivel de aplicación para este servicio.
Filtrado de Paquetes (Packet Filtering)
En este caso se trabaja examinando los paquetes IP y decidiendo para cada uno si puede atravesar el firewall, en función de sus parámetros básicos. El principal problema que presenta el filtrado de paquetes es que no se distingue entre distintas aplicaciones, por lo que unos usuarios se ven condicionados por las limitaciones que se les imponen a otros, que si las necesitan. Su ventaja es la rapidez.
– Realizan el filtrado en función de las direcciones IP fuente y destino, número de puerto origen y destino y protocolo usado (TCP, UDP, ICMP).
Es la acción que realiza el router para controlar de forma selectiva el flujo de datos hacia y desde una red. Los filtros permiten o bloquean los paquetes, en general mientras se encaminan de una red a otra (normalmente desde Internet a una Intranet y viceversa). El filtrado de paquetes se realiza en base a una serie de reglas estáticas que especifican qué tipo de paquetes van a permitirse y qué tipo van a ser rechazados.
Firewalls a Nivel de Circuito (Circuit-level Firewall)
Trabajan a nivel de la capa de transporte creando un sistema cliente-servidor de pasarelas (proxies) que actúan filtrando paquetes por protocolos; establecen un control sobre el tráfico de cada protocolo y son específicos para cada uno de ellos, por lo que su eficacia queda disminuida.
– Comprueban que cada paquete está asociado a una conexión end-to-end
Se basan en el control de las conexiones TCP y actúan como si fuesen un cable de red: por un lado reciben las peticiones de conexión a un puerto TCP, y por otro, establecen la conexión con el destinatario deseado, si se han cumplido las restricciones establecidas, copiando los octetos de un puesto al otro.
Este tipo de firewall suelen trabajar conjuntamente con los servidores proxy, utilizados para la acreditación, es decir, comprobaciones sobre máquina fuente, máquina destino, puerto a utilizar. Una acreditación positiva, significa establecer la conexión.
Servidor proxy (proxy server)
Normalmente, un servidor proxy es un programa que trabaja con servidores externos en nombre de clientes internos. Los clientes proxy se comunican con los servidores proxy, los cuales, a su vez, transmiten solicitudes aprobadas de clientes a servidores auténticos y luego transmiten de nuevo las respuestas a los clientes.
Una de las principales ventajas de utilizar un servidor proxy es la capacidad de ocultar la red interna a proteger desde el exterior, debido a que todos los paquetes que atraviesan el proxy, aparecen en el exterior con la dirección de origen del proxy. La ocultación de las direcciones IP internas es una técnica que puede aplicarse sin un servidor proxy, utilizando un gateway o pasarela de traducción de direcciones. Cuando se utiliza un proxy se establecen conexiones separadas desde el servidor hacia cada punto terminal, lo que permite conexiones más seguras con el uso del NAT ya que permite ocultar los detalles del direccionamiento IP interno. En situaciones de tráfico pesado este tipo de firewalls puede convertirse en un cuello de botella en la red, debido a la cantidad de procesos que realiza.
Una función que también realizan los servidores proxy es el “caching” local de contenidos web y la de permitir trabajar en la red de empresa con direcciones ilegales (no permitidas) de Internet y evitar la necesidad de declarar éstas al registro NIC de Internet.
Los firewalls son parte esencial de cualquier solución de seguridad en redes y para proporcionar la máxima protección contra ataques, a la vez que permiten soportar aplicaciones innovadoras, es importante que estos equipos actúen como parte de una plataforma integral de seguridad. En definitiva, un firewall es un complemento al resto de medidas corporativas que se han de tomar para garantizar la protección de la información y que han de contemplar no solo los ataques externos, sino también los internos, que puede realizar el propio personal, así como todas aquellas aplicaciones que están instaladas y que pueden tener agujeros por los que se puedan colar los intrusos.
En seguridad toda medida es poca y hay que estar innovando continuamente para no dejar huecos por donde puedan colarse los intrusos, pero como esto no siempre es evitable, se empiezan a utilizar técnicas más sofisticadas e ingeniosas, como es facilitar la entrada a la red pero por caminos falsos que no conducen a nada y que permiten detectar los intentos de intrusión, con lo que se está sobre aviso y es más fácil protegerse. Estas técnicas se denominan “honeypots” o tarros de miel, y consisten en instalar servidores de red específicamente para atraer la atención de los hackers (con errores de configuración) que actúan como trampas, registran sus movimientos y alertan a los administradores de la red de que se está produciendo un intento de violación, con lo cual hay tiempo de reacción para parar el ataque y obtener los datos del hacker para una posterior acción judicial contra él. Estos honeypots parecen un elemento real de red, pero están desactivados para que no se pueda tomar su control desde el exterior, se encuentran en una zona desmilitarizada (al margen del tráfico convencional) y disponen de un cortafuegos dedicado para evitar todo el tráfico saliente en caso de que falle o un experto logre tomar su control.
|
