Firewalls Karla Castilla

UNIVERSIDAD DEL VALLE DE MEXICO CAMPUS GUADALUPE
REPORTE:
INVESTIGACION FIREWALLS
INTEGRANTES:
CASTILLA ACOSTA KARLA MARGARITA
VILLAHERMOSA, TAB A 05 DE NOVIEMBRE DEL 2011
Desarrollo e Implementacin de proyecto de grandes redes. Firewalls, lo que no est expresamente prohibido, est permitido
INDICE :
1 Introduccin 2.- Objetivo 3.- De donde surgen los firewalls 4.- Necesidad de seguridad 5.- Definicin de firewalls 6.- Objetivo de firewalls 7.- Funciones bsicas 8.- De que nos protegen los firewalls 9.- Tipo de firewalls 9.1. Filtrado de paquetes 9.2. Proxy Gateway 9.3. Dual-Honed 9.4 Screen Host 9.5 Screen Subnet 9.6 Inspeccion de paquetes 10.- Firewalls personal 11.- Zonas controladas 12.- Polticas de diseo 13.- Restricciones 14.- Beneficios 15.- Limitaciones 16.- Servicios proxy 17.- Web /HTTP 18.- Telnet 19.- ISP 20.- Conclusin 21.- Glosario 22.- Bibliografa ...................................................................... 3 ....................................................................... 4 ....................................................................... 5 5-6 . 7 .. 8 . 9 . 10 . 11 .. 11 .. 12 .. 13 . 14 . 14 15 16 17 . 18 ... 19 .. 19 .. 20 .. 21 22 .. 21 .. 22 . 24 . 25 29
INTRODUCCION.Cerca de los aos 70s dentro de la Revolucin Francesa haba la necesidad de inventar un sistema de comunicacin, rpido y eficaz debido al clima de inestabilidad que imperaba en esos momentos , Claude Chape desarrolla para Francia en el ao 1974 el primer Telgrafo ptico, contando con su propio alfabeto, debido a una combinacin de rayos de luz era posible mostrar diferentes cuadros que incluan 196 caracteres (letras maysculas y minsculas signos y puntuaciones) siendo la primera transmisin desde Lille a Paris a lo de 230 kilmetros y 22 torres, tomaba de 2 a 6 minutos transmitir el mensaje e interpretar los smbolos alrededor de 30 horas.
Los mensaje enviaba cifrados segn un cdigo existente en el libro de cdigos, que estaba en posesin del Comandante de Lnea, que era el nico autorizado a la codificacin y decodificacin. En el mensaje se enviaba el nmero de pgina del libro, y luego un cdigo alfanumrico que haca referencia a una de las palabras que aparecan en dicha pgina. Esto haca que la transmisin fuese mucho ms rpida, eficaz y segura que si se transmitiese letra a letra.
Eran los inicios de las comunicaciones a distancias mediante medios pticos y probablemente las primeras forma de encriptacin de la informacin donde nos podemos dar cuenta que el punto de seguridad en la red ya era importante debido a que se cuidaba el contenido de la misma.
Hoy en da la seguridad en la redes de entrada o salida de informacin es un tema primordial en los asuntos de negocios para la empresa y para uno mismo en cuestiones personales, el ser humano por naturaleza es celoso de su informacin, el nico lugar donde se encuentran seguras sus ideas es en su cabeza, donde no se necesita un firewalls, pero en el momento que son expresadas estas en un medio electrnico como los son las computadoras y conectado a una red tiene la necesidad de uno.
OBJETIVO: Las redes han demostrado tener una buena fiabilidad, sobre todo si se tiene en cuenta el entorno rural en el que se encuentran, con dificultades de acceso y con escasez de infraestructuras de todo tipo. La principal causa de prdida de servicio en todos los casos han sido cada de rayos y descargas elctricas. En las redes WiFi el servicio de correo electrnico e Internet ha demostrado ser bastante robusto, pero el de telefona presenta an algunas dificultades que estn siendo subsanadas por nuestro equipo con el uso de una arquitectura de QoS que permita priorizar las comunicaciones de voz sobre las de datos.
Los usuarios consideran que los sistemas son fciles de usar. Si se desagrega por sistemas, estiman que el sistema ms fcil de usar es el de VoIP, despus el ordenador y finalmente Internet. Se ha identificado la preferencia por el uso de sistemas de VoIP para las comunicaciones locales con otros establecimientos de salud y con la autoridad local, mientras que el Internet es un recurso que se emplea para las comunicaciones hacia el exterior. Las mejoras en la gestin de salud y la capacidad resolutiva de los centros y establecimientos de salud se refleja en los cambios surgidos en la gestin de urgencias con la aplicacin de las nuevas tecnologas, el incremento y mejora de la solicitud de segunda opinin por parte del personal de periferia hacia profesionales de mayor experiencia, intercambio de informacin por escrito y envo de informacin de ndole administrativa por correo electrnico, sin embargo una de las dificultades que se han identificado es la necesidad de que vayan firmados por el emisor.
De donde surgen los firewall o porque la necesidad de ellos ?
Una de las peculiaridades que he topado a lo largo de esta investigacin es la de Clifford Stoll es un fsico estadounidense, astrnomo experto en ordenadores, que es reciclado, como l mismo lo menciona en su libro (1), lo trasladan del Keck Observalory en el Lawrence Berkeley Laboratory, al centro de informtica en el stano del mismo edificio. Teniendo la misin de hacer funcionar los ordenadores como servicio para todo el laboratorio Esto significaba que los ordenadores tenan que funcionar permanentemente, da y noche. Y al igual que la compaa elctrica, se les cobraba cada ciclo informtico que utilizaban. Descubriendo el mismo de que algo raro suceda en un sistema. Un error de contabilidad de 75 centavos , este pequeo detalle le lleva a darse cuenta de que los ordenadores de su red estn siendo atacados por crackers desde el extranjero, y con ello comienza su particular carrera de persecucin hasta dar con ellos , hizo destapar una increble historia de espionaje informtico y hacking del de verdad en la que se tuvo que involucrar al FBI, la CIA y diferentes agencias europeas. Otro fue el caso del ataque del Gusano Morris que se registra como el primer ataque a la red internet, de un joven de 23 aos, causando estragos de hasta 96 millones de dlares que en el ao 1988 era una suma de considerar.
Es as como se desprenden las vertientes creadoras de los firewalls que surgen de la necesidad de seguridad en nuestro sistemas de red los cuales son vulnerables a ataques con fines desde destruccin, alteracin de informacin, sustraccin de la misma y un sinfn de actividades no permitidas por los usuarios de las redes.
(1)
Libro; El huevo del cuco, Autor; Clifford Stoll, 1989
La necesidad de seguridad en la redes implica 3 puntos segn Stalling (2) Secreto: requiere que la informacin en una computadora sea accesible para la lectura slo por los entes autorizados. Este tipo de acceso incluye la impresin, mostrar en pantalla y otras formas de revelacin que incluyen cualquier forma de dar a conocer la existencia de un objeto. Integridad: requiere que los recursos de una computadora sean modificados solamente por entes autorizados. La modificacin incluye escribir, cambiar, cambiar de estado, suprimir y crear. Disponibilidad: requiere que los recursos de una computadora estn disponibles a los entes autorizados. Lo podemos considerar como la columna vertebral de nuestro sistema de seguridad, no importando la plataforma en que se desarrolle nuestro sistema, realizando una mezcla del buen entendimiento entre la tecnologa y las polticas de aplicacin de la seguridad en la red por ejemplo el caso de los firewall (cortafuegos). De las cuales podemos mencionar dos polticas bsicas de configuracin de firewalls. [Nor99](3) Permisividad mxima (allow everything) dnde el uso de filtros es mnimo o inexistente. Esta poltica permite prcticamente la circulacin de todo el trfico y se utiliza principalmente en Intranets/LAN, campus universitarios y organizaciones dnde la libertad de uso de aplicaciones (o la gran cantidad de ellas) es necesaria para el funcionamiento ordinario del sistema. Siendo esta una poltica severamente abierta y con gran facilidad de penetracin de intrusos, la cual la convierte en una red de baja confiabilidad pero de gran disponibilidad donde entra las valoracin de confiabilidad vs disponibilidad. Permisividad mnima (deny everything) aplica la poltica contraria a la anterior. En este caso se deniega acceso a todos los servicios de la red y se van permitiendo accesos a estos a medida que se necesiten.
(2) (3)
Comunicacin y redes de computadoras; Autor Stalling, 6ta.Edicin,pag.607 [Nor99] Stephen Northcutt, Network Intrusion Detection: An analysts handbook, New raiders, 1999.
De esta forma es bastante improbable que recibamos un ataque a un servicio que desconocamos que tenamos en la red. Por otro lado, el trabajo de otros sistemas se facilita enormemente ya que pueden configurarse para que detecten fcilmente cualquier comportamiento anmalo en la red (simplemente se debe monitorizar los accesos a los servicios y comprobar si esos accesos estn permitido expresamente o no). Los principales riesgos que una organizacin con salida a internet debe tomar en cuenta para la proteccin de su red, los podemos visualizar de la siguiente manera
Rastreadores sniffers
Suplantaciones de IP o Spoofing
Ataque de contraseas
Control de salida de informacion no permitida
Ataque hombre medio
Denegacion de servicios Denial of services ataque DoS
Ataques a nivel aplicacion para explorar vulnerabilidades
Ataque de caballos de troya, virus o codigos maliciosos.
(4)
Dentro de estos peligros que corren una empresa podemos mencionar entonces algunas tecnologa de seguridad: Firewalls Sistemas de autentificacin Sistemas de encriptacin Antivirus
Entonces definamos que es un firewalls:
Firewalls es un host con varios interfaces de red que es capaz de filtrar el trfico de datos en bases a diversos criterios(reglas). Manuel Carrasco Moino, Seguridad
en redes de computadoras.UAH, Abril 2003.
Un cortafuegos (firewall en ingls) es una parte de un sistema o una red que est diseada para bloquear el acceso no autorizado, permitiendo al mismo tiempo comunicaciones autorizadas. Se trata de un dispositivo o conjunto de dispositivos configurados para permitir, limitar, cifrar, descifrar, el trfico entre los diferentes mbitos sobre la base de un conjunto de normas y otros criterios. Wikipedia 26 Octubre 2011.
Un Firewall es un sistema (o conjunto de ellos) ubicado entre dos redes y que ejerce la una poltica de seguridad establecida. Es el mecanismo encargado de proteger una red confiable de una que no lo es (por ejemplo Internet). HERNNDEZ, Roberto. Firewalls: Seguridad en las redes e Internet. Boletn de Poltica Informtica N 2. Pgina
7. Espaa. 2000.
Es una forma de proteccin que permite a una red para conectarse a Internet mientras se mantiene un grado de seguridad . Building Internet Firewall, Elizabeth
D. Zwicky, Simon Cooper & D. Brent Chapman,Second Edition, June 2000
Entonces podemos decir que un firewall es la forma de proteccin hacia otras redes, con la que contamos que tan estricta, confiable o generosa sea la actuacin de nuestro firewalls depender de nuestras polticas de seguridad, lo que debemos tener en claro es que una vez que logren cruzar nuestro firewall no tenemos mucho por hacer en contra del intruso. Es por eso que el objetivo de los firewall es 1. Todo el trfico desde dentro hacia fuera, y viceversa, debe pasar a travs de l. 2. Slo el trfico autorizado, definido por la poltica local de seguridad, es permitido. 3. Se restringe a la gente a entrar en un punto cuidadosamente controlado. 4. Se evita que los atacantes se acerquen a sus otras defensas. 5. Se restringe a la gente a salir en un momento cuidadosamente controladas.
Como puede observarse las polticas de seguridad son diferentes para cada tipo de redes, podemos decir entonces que el Muro Cortafuegos slo sirven de defensa perimetral de las redes, no defienden de ataques o errores provenientes del interior, como tampoco puede ofrecer proteccin una vez que el intruso lo traspasa. Algunos Firewalls aprovechan esta capacidad de que toda la informacin entrante y saliente debe pasar a travs de ellos para proveer servicios de seguridad adicionales como la encriptacin del trfico de la red. Se entiende que si dos Firewalls estn conectados, ambos deben "hablar" el mismo mtodo de encriptacin-desencriptacin para entablar la comunicacin. Lgicamente, un firewall es un separador, un limitador, un analizador. La implementacin fsica del servidor de seguridad vara de un sitio a otro. Muy a menudo, un firewall es un conjunto de componentes de hardware - un router, un ordenador, o una combinacin de routers, computadoras y redes con el software apropiado. Hay varias maneras de configurar este equipo, la configuracin depender de la poltica de seguridad de un sitio en particular, el presupuesto y las operaciones generales. Un firewall es muy rara vez un objeto fsico, aunque algunos de los nuevos productos comerciales intento de poner todo en la misma caja. Por lo general, un servidor de seguridad tiene varias partes, y algunas de estas partes puede hacer otras tareas adems de funcionar como parte del firewall
Ejemplo de rea perimetral de firewall.
La funcin de un firewall es proteger es bsicamente de proteccin. Cuando se conecta a la Internet, existen 3 riesgos: Datos
secreto es posible que no desea que otras personas lo saben Integridad: es probable que no desea que otras personas para cambiarlo. Disponibilidad: es casi seguro que quiere ser capaz de usarlo uno mismo. Un intruso utiliza sus recursos no haciendo diferencia entre si son no utilizables o tiles, y ese tiempo o costos pagado por ellos lo absorbe el usuario. El usuario es quien debe decidir si lo utiliza o no, sus propios recursos. El que el intruso tome su nombre trae consigo un sin nmero de problemas, y para limpiar la imagen toma demasiado tiempo y recursos econmicos
Hace unos aos, un impostor hacindose pasar por un profesor de Texas A & M envi odio e-mail con comentarios racistas a miles de destinatarios. El impostor no se ha encontrado, y el profesor an est lidiando con las repercusiones de los mensajes falsos. En otro caso, un estudiante de Dartmouth envi correo electrnico a travs de la firma de un profesor de una noche durante el periodo de exmenes. Alegando una emergencia familiar, el correo falsificado cancelado el examen del da siguiente, y slo unos pocos estudiantes se presentaron
Recursos
Reputacin
De qu puede protegernos un firewall? El nivel de proteccin que puede darnos un cortafuegos depende en gran medida de nuestra necesidades. Los firewall en internet administran los accesos posibles del internet a la red privada, sin un firewall, cada uno de los servidores propios del sistema se expone al ataque de otros servidores en el internet. Esto significa que la seguridad en la red privada depende de la dureza con que cada uno de los servidores cuenta y es unicamente seguro tanto como la seguridad en la fragilidad posible del sistema.
10
El firewall permite al administrado de la red definir un choke point ( envudo ) manteniendo al margen los usuarios no autorizados(tal como hackers, crakers, vandalos y espas) fuera de la red prohibiendo potencialmente la entrada o salida al vulnerar los servicios de la red. Otro punto es la ayuda en la simplificacion de los trabajos de administracion.(7)
De que no puede protegernos un firewall? Un firewall no puede protegernos contra los ataques que estan fuera de su punto de operacin. Por ejemplo, si existen una conexin dial-out sin restricciones que permita entrar a nuestra red protegida, el usuario puede hacer una conexin SLIP
[(Serial Line Internet Protocol) Protocolo que permite transferir paquetes TCP/IP, permite slo transmisin asncrona,
o PPP al internet. Los usuarios con sentido comn suelen irritarse cuando se requiere una autentificacin adicional requerida por un firewall proxy server (FPS) lo cual se puede ser provocado por un sistema de seguridad circunvecino que est incluido en una conexin directa SLIP o PPP del ISP.
direcciones IP, no tiene deteccin de errores y est menos optimizado que el PPP)]
El firewall no puede protegerse de las amenazas a que est sometido por traidores o usuarios inconscientes. El firewall no puede prohibir que los traidores o espas corporativos copien datos sensitivos en disquetes o tarjeta PCMIA y extraigan estas del edificio. El firewall no puede proteger contra los ataques de la Ingeniera Social por ejemplo un Hacker que pretender ser un supervisor o un nuevo empleado despistado, persuade al menos sofisticado de los usuarios a que le permita usar su contrasea al servidor del corporativo o que le permita el acceso temporal a la red.
Que ocurre con los virus? Las redes firewalls no pueden protegernos muy bien contra los virus. Hay demasiados modos de codificacin binaria de ficheros para transmitirlos a travs de la red y tambin son demasiadas las diferentes arquitecturas y virus que intentan introducirse en ellas. En el tema de los virus, la mayor responsabilidad recae como casi siempre en los usuarios de la red, los cuales deberan tener una gran control sobre los programas que ejecutan y donde se ejecutan.
11
Tipos de Firewall
Conceptualmente hay dos tipos de firewall: Nivel de red que son firewalls que toman sus acciones del origen, la direccin de destino y el puerto en cada paquete IP. Se caracteriza por ser un firewall muy rpido y transparente para el usuario. Nivel de aplicacin son firewalls de hosts corriendo proxy servers que no permiten el trafico directo entre redes, manteniendo una elaborada auditoria y logeo del trafico que pasa por l. Se utiliza en tarea realizadas al NAT debido a que la informacin va de un lado a otro se puede enmascarar la ubicacin original, tiende a proveer un grado mayor de seguridad. Detalladamente encontramos que pueden ser por: I. Filtrado de Paquetes. Se utilizan Routers con filtros y reglas basadas en polticas de control de acceso, es el encargado de filtrar paquetes ( un choke) basados en criterios como pueden ser: 1. Protocolos utilizados. 2. Direccin IP de origen y de destino. 3. Puerto TCP-UDP de origen y de destino. En esta seccin podemos obtener informacin como,

Direccin IP de origen Direccin IP de destino Protocolo (si el paquete es un paquete TCP, UDP o ICMP) Puerto TCP o UDP de origen Puerto TCP o UDP destino Tipo de mensaje ICMP
Adems, el router sabe cosas sobre el paquete que no se reflejan en la cabecera del paquete, tales como:

La interfaz que el paquete llega en La interfaz del paquete saldr en
Estos criterios permiten gran flexibilidad en el tratamiento del trfico. Restringiendo las comunicaciones entre dos computadoras (mediante las direcciones IP) se permite determinar entre cuales mquinas la comunicacin est permitida.
12
El filtrado de paquetes mediante puertos y protocolos permite establecer que servicios estarn disponibles al usuario y por cuales puertos. Se puede permitir navegar en la WWW (puerto 80 abierto) pero no acceder a la transferencia de archivos va FTP (puerto 21 cerrado). Debido a su funcionamiento y estructura basada en el filtrado de direcciones y puertos este tipo de Firewalls trabajan en los niveles de Transporte y de Red del Modelo OSI y estn conectados a ambos permetros (interior y exterior) de la red. Tienen la ventaja de ser econmicos, tienen un alto nivel de desempeo y son transparentes para los usuarios conectados a la red. Sin embargo presenta debilidades como: 1. No protege las capas superiores a nivel OSI. 2. Las necesidades aplicativas son difciles de traducir como filtros de protocolos y puertos. 3. No son capaces de esconder la topologa de redes privadas, por lo que exponen la red al mundo exterior. 4. Sus capacidades de auditora suelen ser limitadas, al igual que su capacidad de registro de actividades. 5. No soportan polticas de seguridad complejas como autentificacin de usuarios y control de accesos con horarios prefijados. II. Proxy-Gateways de Aplicaciones
Para evitar las debilidades asociadas al filtrado de paquetes, los desarrolladores crearon software de aplicacin encargados de filtrar las conexiones. Estas aplicaciones son conocidas como Servidores Proxy y la mquina donde se ejecuta recibe el nombre de Gateway de Aplicacin o Bastion Host. El Proxy, instalado sobre el Nodo Bastin, acta de intermediario entre el cliente y el servidor real de la aplicacin, siendo transparente a ambas partes. Cuando un usuario desea un servicio, lo hace a travs del Proxy. Este, realiza el pedido al servidor real devuelve los resultados al cliente. Su funcin fue la de analizar el trfico de red en busca de contenido que viole la seguridad de la misma. Nodo Bastion: se utiliza en los Host Bastion es realmente un cortafuegos que est entre dos redes, su misin es proteger la red interna y en el se lleva la tarea de filtrado de paquetes, consta de elementos como son filtros (hardware o software) y Nodo Bastion que es la maquina situada entre la red local e internet.
13
Grficamente:
Hay algunos programas excelentes para proxy. SOCKS es un conjunto de herramientas de construccin proxy, diseado para que sea fcil de convertir las aplicaciones cliente / servidor en las versiones proxy de las mismas aplicaciones. La confianza de Sistemas de Informacin Internet Firewall Toolkit (TIS FWTK) incluye servidores proxy para una serie de protocolos comunes de Internet, incluidos Telnet, FTP, HTTP, rlogin, X11, y otros; estos servidores proxy estn diseados para ser usados en conjuncin con los procedimientos de usuario personalizada . Muchos de los programas estndar de cliente y servidor, tanto comerciales como de libre acceso, ahora vienen equipados con la funcionalidad de proxies nativa propia, o con el apoyo de los sistemas de proxy genrico
III.
Dual-Homed Host Son dispositivos que estn conectados a ambos permetros (interior y exterior) y no dejan pasar paquetes IP (como sucede en el caso del Filtrado de Paquetes), por lo que se dice que actan con el "IP-Forwarding desactivado". Un usuario interior que desee hacer uso de un servicio exterior, deber conectarse primero al Firewall, donde el Proxy atender su peticin, y en funcin de la configuracin impuesta en dicho Firewall, se conectar al servicio exterior solicitado y har de puente entre este y el usuario interior.
14
Es decir que se utilizan dos conexiones. Uno desde la mquina interior hasta el Firewall y el otro desde este hasta la mquina que albergue el servicio exterior.
IV.
Screened Host En este caso se combina un Router con un host bastin y el principal nivel de seguridad proviene del filtrado de paquetes. En el bastin, el nico sistema accesible desde el exterior, se ejecuta el Proxy de aplicaciones y en el Choke se filtran los paquetes considerados peligrosos y slo se permiten un nmero reducido de servicios.
V.
Screened Subnet
En este diseo se intenta aislar la mquina ms atacada y vulnerable del Firewall, el Nodo Bastin. Para ello se establece una Zona Desmilitarizada (DMZ) de forma tal que sin un intruso accede a esta mquina no consiga el acceso total a la subred protegida. En este esquema se utilizan dos Routers: uno exterior y otro interior. El Router exterior tiene la misin de bloquear el trfico no deseado en ambos sentidos: hacia
15
la red interna y hacia la red externa. El Router interior hace lo mismo con la red interna y la DMZ (zona entre el Router externo y el interno). Es posible definir varias niveles de DMZ agregando ms Routers, pero destacando que las reglas aplicadas a cada uno deben ser distintas ya que en caso contrario los niveles se simplificaran a uno solo.
Como puede apreciarse la Zona Desmilitarizada aisla fsicamente los servicios internos, separndolos de los servicios pblicos. Adems, n o existe una conexin directa entre la red interna y la externa. Los sistemas Dual-Homed Host y Screnned pueden ser complicados de configurar y comprobar, lo que puede dar lugar, paradjicamente, a importantes agujeros de seguridad en toda la red. En cambio, si se encuentran bien configurados y administrados pueden brindar un alto grado de proteccin y ciertas ventajas: 1. Ocultamiento de la informacin: los sistemas externos no deben conocer el nombre de los sistemas internos. El Gateway de aplicaciones es el nico autorizado a conectarse con el exterior y el encargado de bloquear la informacin no solicitada o sospechosa. 2. Registro de actividades y autenticacin robusta: El Gateway requiere de autenticacin cuando se realiza un pedido de datos externos. El registro de actividades se realiza en base a estas solicitudes. 3. Reglas de filtrado menos complejas: Las reglas del filtrado de los paquetes por parte del Router sern menos compleja dado a que l slo debe atender las solicitudes del Gateway.
16
As mismo tiene la desventaja de ser intrusivos y no transparentes para el usuario ya que generalmente este debe instalar algn tipo de aplicacin especializada para lograr la comunicacin. Se suma a esto que generalmente son ms lentos porque deben revisar todo el trfico de la red.
VI.
Inspeccin de Paquetes Este tipo de Firewalls se basa en el principio de que cada paquete que circula por la red es inspeccionado, as como tambin su procedencia y destino. Se aplican desde la capa de Red hasta la de Aplicaciones. Generalmente son instalados cuando se requiere seguridad sensible al contexto y en aplicaciones muy complejas.
VII.
Firewalls Personales Estos Firewalls son aplicaciones disponibles para usuarios finales que desean conectarse a una red externa insegura y mantener su computadora a salvo de ataques que puedan ocasionarle desde un simple "cuelgue" o infeccin de virus hasta la prdida de toda su informacin almacenada.
Existen tres zonas controladas por los firewall: a) Zona Expuesta(WAN) es directamente accesible desde internet por lo que no se debe instalarse servidor o aplicacin. b) Zona Desmilitarizada (DMZ), solo ciertos servicios son directamente accesibles desde internet. Es una zona parcialmente protegida por el firewall, y es potencialmente susceptible de ataque. c) Zona protegida (LAN), no se permite ningn tipo de entrada con lo que es imposible que sufran ataques.
17
Polticas de Diseo de Firewalls Las polticas de accesos en un Firewalls se deben disear poniendo principal atencin en sus limitaciones y capacidades pero tambin pensando en las amenazas y vulnerabilidades presentes en una red externa insegura. Conocer los puntos a proteger es el primer paso a la hora de establecer normas de seguridad. Tambin es importante definir los usuarios contra los que se debe proteger cada recurso, ya que las medidas diferirn notablemente en funcin de esos usuarios. Generalmente se plantean algunas preguntas fundamentales que debe responder cualquier poltica de seguridad:

Qu se debe proteger?. Se deberan proteger todos los elementos de la red interna (hardware, software, datos, etc.). De quin protegerse?. De cualquier intento de acceso no autorizado desde el exterior y contra ciertos ataques desde el interior que puedan preverse y prevenir.
Sin embargo, podemos definir niveles de confianza, permitiendo selectivamente el acceso de determinados usuarios externos a determinados servicios o denegando cualquier tipo de acceso a otros.
Cmo protegerse?. Esta es la pregunta ms difcil y est orientada a establecer el nivel de monitorizacin, control y respuesta deseado en la organizacin. Puede optarse por alguno de los siguientes paradigmas o estrategias: a. Paradigmas de seguridad Se permite cualquier servicio excepto aquellos expresamente prohibidos. Se prohbe cualquier servicio excepto aquellos expresamente permitidos. La ms recomendada y utilizada aunque algunas veces suele acarrear problemas por usuarios descontentos que no pueden acceder a tal cual servicio. b. Estrategias de seguridad Paranoica: se controla todo, no se permite nada. Prudente: se controla y se conoce todo lo que sucede. Permisiva: se controla pero se permite demasiado. Promiscua: no se controla (o se hace poco) y se permite todo. Cunto costar?. Estimando en funcin de lo que se desea proteger se debe decidir cuanto es conveniente invertir.
18
Restricciones en el Firewall La parte ms importante de las tareas que realizan los Firewalls, la de permitir o denegar determinados servicios, se hacen en funcin de los distintos usuarios y su ubicacin: 1. Usuarios internos con permiso de salida para servicios restringidos: permite especificar una serie de redes y direcciones a los que denomina Trusted (validados) . Estos usuarios, cuando provengan del interior, van a poder acceder a determinados servicios externos que se han definido.
2. Usuarios externos con permiso de entrada desde el exterior: este es el caso ms sensible a la hora de vigilarse. Suele tratarse de usuarios externos que por algn motivo deben acceder para consultar servicios de la red interna.
Tambin es habitual utilizar estos accesos por parte de terceros para prestar servicios al permetro interior de la red. Sera conveniente que estas cuentas sean activadas y desactivadas bajo demanda y nicamente el tiempo que sean necesarias.
Beneficios de un Firewall Los Firewalls manejan el acceso entre dos redes, y si no existiera, todos las computadoras de la red estaran expuestos a ataques desde el exterior. Esto significa que la seguridad de toda la red, estara dependiendo de que tan fcil fuera violar la seguridad local de cada maquina interna. El Firewall es el punto ideal para monitorear la seguridad de la red y generar alarmas de intentos de ataque, el administrador ser el responsable de la revisin de estos monitoreos. Otra causa que ha hecho que el uso de Firewalls se halla convertido en uso casi imperativo es el hecho que en los ltimos aos en Internet han entrado en crisis el nmero disponible de direcciones IP, esto ha hecho que las intranets adopten direcciones sin clase, las cuales salen a Internet por medio de un "traductor de direcciones", el cual puede alojarse en el Firewall.
19
Los Firewalls tambin son importantes desde el punto de vista de llevar las estadsticas del ancho de banda "consumido" por el trafico de la red, y que procesos han influido ms en ese trfico, de esta manera el administrador de la red puede restringir el uso de estos procesos y economizar o aprovechar mejor el ancho de banda disponible. Los Firewalls tambin tienen otros usos. Por ejemplo, se pueden usar para dividir partes de un sitio que tienen distintas necesidades de seguridad o para albergar los servicios WWW y FTP brindados.
Limitaciones de un Firewall La limitacin ms grande que tiene un Firewall sencillamente es el hueco que no se tapa y que coincidentemente o no, es descubierto por un intruso. Los Firewalls no son sistemas inteligentes, ellos actan de acuerdo a parmetros introducidos por su diseador, por ende si un paquete de informacin no se encuentra dentro de estos parmetros como una amenaza de peligro simplemente lo deja pasar. Ms peligroso an es que ese intruso deje Back Doors, abriendo un hueco diferente y borre las pruebas o indicios del ataque original. Otra limitacin es que el Firewall "NO es contra humanos", es decir que si un intruso logra entrar a la organizacin y descubrir passwords o los huecos del Firewall y difunde esta informacin, el Firewall no se dar cuenta. El Firewall tampoco provee de herramientas contra la filtracin de software o archivos infectados con virus, aunque es posible dotar a la mquina, donde se aloja el Firewall, de antivirus apropiados. Finalmente, un Firewall es vulnerable, l NO protege de la gente que est dentro de la red interna. El Firewall trabaja mejor si se complementa con una defensa interna. Como moraleja: "cuanto mayor sea el trfico de entrada y salida permitido por el Firewall, menor ser la resistencia contra los paquetes externos. El nico Firewall seguro (100%) es aquel que se mantiene apagado" Servicios de Internet en los firewalls Se puede y es recomendable iniciar con servicios bsicos de firewalls y estos se reducen a seis. Si se consigue proporcionar estos servicios de forma segura, la mayora de los usuarios estarn satisfechos, al menos por un tiempo.

El correo electrnico (SMTP) Transferencia de archivos (FTP) De noticias de Usenet (NNTP) Acceso a la terminal remota (Telnet)
20

World Wide Web Access (HTTP) Bsqueda de nombre de host/direccin (DNS), los usuarios no suelen utilizar este servicio directamente, sino que subyace en los otros cinco servicios de traduccin de nombres de host de Internet a direcciones IP y viceversa.
Qu son los servidores proxy y como trabajan? Un servidor proxy (algunas veces se hace referencia a el con el nombre de "gateway" - puerta de comunicacin -o "forwarder" - agente de transporte -), es una aplicacin que media en el trfico que se produce entre una red protegida e Internet. Los proxies se utilizan a menudo, como sustitutorios de routers controladores de trfico, para prevenir el trfico que pasa directamente entre las redes. Muchos proxies contienen logines auxiliares y soportan la autentificacin de usuarios. Un proxy debe entender el protocolo de la aplicacin que est siendo usada, aunque tambin pueden implementar protocolos especficos de seguridad (por ejemplo: un proxy FTP puede ser configurado para permitir FTP entrante y bloquear FTP saliente). Los servidores proxy, son aplicaciones especficas. Un conjunto muy conocido de servidores proxy son los TIS Internet Firewall Toolkit "FWTK", que incluyen proxies para Telnet, rlogin, FTP, X-Windows, http/Web, y NNTP/Usenet news. SOCKS es un sistema proxy genricos que puede ser compilado en una aplicacin cliente para hacerla trabajar a travs de una firewall. Cmo podemos hacer para que trabajen la Web/http con un firewall? Hay 3 formas de conseguirlo: 1. Permitir establecer conexiones via un router, si se estn usando routers protegidos. 2. Usar un cliente Web que soporte SOCKS, y correr SOCKS en tu firewall. 3. Ejecutar alguna clase de servidor Web proxy en la firewall. El TIS firewall tollkit incluye y proxy llamado http-gw, el cual permite proxy Web, gopher/gopher+ y FTP. Adems, muchos clientes Web, tienen servidores proxy construidos directamente en ellos, que soportan: Netspace, Mosaic, Spry, Chamaleon, etc... Cmo podemos hacer para que trabaje FTP a travs de un firewall? Generalmente, se consigue usando un servidor proxy tal como el "firewall toolkit's ftp-gw" o bien realizando algunas de las dos operaciones siguientes: 1. Permitiendo conexiones entrantes a la red en un rango de puerto restringido.
21
2. Restringiendo las conexiones entrantes usando alguna clase de reglas de proteccin, preestablecidas.
Cmo podemos hacer para que trabaje Telnet a travs de un firewall? Telnet se soporta habitualmente, usando una aplicacin proxy tal como "firewall toolkit's tn-gw, o simplemente configurando un router que permita las conexiones salientes usando alguna clase de reglas de proteccin preestablecidas. Qu ocurre con la denegacin del servicio? La denegacin del servicio se produce cuanto alguien decide hacer intil tu red o firewall por desestabilizacin, colisin, atasco o colapso en la misma. El problema con la denegacin de servicio en Internet es que es imposible prevenirlo. La razn biene, por la distribucin natural de la red: cada nodo est conectado va otra red la cual est conectada a otra red, etc... Un administrador de firewall o ISP slo tiene control sobre unos pocos elementos locales dentro del radio de accin. Perspectiva de gestin de una firewall. Nivel de esfuerzo para mantener una firewall tpica. Las tpicas firewalls, requieren alrededor de 1 hora a la semana de mantenimiento. Esto es, sin contar el tiempo relativo a Internet que el administrador de una firewall gastar. La conectividad con Internet trae consigo la necesidad de que alguien actu como administrador de correo electrnico para Email, Webmaster, gestor de FTP y gestor de noticias USENET. Estas tareas requieren tiempo y pueden llegar a ser un trabajo a tiempo completo para una nica persona. Cmo sabemos si un firewall es segura? Es muy difcil saberlo, dado que no hay tests formales que puedan ser fcilmente aplicados a algo tan flexible como una firewall. Una moraleja dice que cuanto mayor trfico de entrada y salida permite una firewall, menor ser su resistencia contra los ataques externos. La nica firewall que es absolutamente segura es aquella que est apagada.
22
Si usted est preocupado sobre la calidad de una firewall de un vendedor particular, use el sentido comn y hgale preguntas del tipo siguiente: Cunto tiempo ha estado en los negocios dicho producto? El tamao de la instalacin base. Han tenido expertos independientes revisando el diseo y la implementacin de la aplicacin en cuestin? Un vendedor debera claramente explicarle como se dise la firewall en concepto de seguridad. No acepte insinuaciones acerca de que los productos de la competencia son inseguros sin habernos explicado la seguridad de producto en cuestin. Una pregunta tpica: Ms caro equivale a ms seguro? Un error comn en las firewalls es pensar que pagando ms en una firewall cara se consigue ms seguridad en la misma. Hay que pensar que si el coste de una firewall es 2 veces superior al de otra, el vendedor tendra que ser capaz de explicarnos por qu dichos producto es 2 veces mejor que el otro. Cmo es una tpica instalacin de firewall? La mayora de la firewalls sola ser vendida como paquetes de consulta. Cuando una firewall era vendida, parte de su costo se destinaba a instalacin y soporte, generalmente, involucrando a un consultor que proporcionaba el vendedor, para ayudar en la instalacin. En los "malos das" muchas de las empresas que estaban conectadas a Internet, no tenan expertos en TCP/IP local, de modo que los instaladores de las firewalls, a menudo tenan que dedicar tiempo a configurar los routers y correo electrnico (tareas que deberan haber sido realizadas por el administrador interno de DNS). Algunos vendedores continan proporcionando tal nivel de servicios mientras que otros, simplemente proporcionan servicio sobre la instalacin de su producto. Tpicamente, cuando se instala una firewall, la conexin a Internet debe estar realizada, pero no tiene que estar conectada a la red protegida. El instalador de la firewall, llega, testea las funciones bsicas de la mquina y entonces puede dirigir una reunin en la que se detallen los pasos a seguir en la configuracin de la firewall: Cul ser la poltica de acceso que se va a poner en prctica. A donde se va a dirigir el correo electrnico. Dnde se debera buscar la informacin de login.
23
Una vez que el instalador tiene una buena base para la configuracin de la firewall, entonces se conecta a Internet y testea que las operaciones con la red sean correctas. En ese momento se instalan y chequean las reglas para el control de acceso a la firewall y se conectan a la red protegida. Adems de realizan, generalmente, algunas operaciones tpicas como acceso a Web, recepcin y envo de correo electrnico, etc.. Cuando todos los controles son correcto entonces ya se puede decir que uno est en Internet. Qu vendedores proporcionan servicio de firewall? Muchos vendedores, proporcionan alguna clase de soporte peridico para preguntas bsicas relacionadas con las firewalls. Algunos vendedores incluso proporcionan servicio a distancia mediante la utilizacin del correo electrnico. Algunas proveedores de servicios Internet ofrecen un soporte de firewall como parte del servicio de conexin a Internet. Para organizaciones que son novatas en el uso de TCP/IP o que tienen prisa, es una opcin atractiva, dado que un mismo vendedor proporcionar soporte de red, de alquiler de lnea y de firewall. Una cosa importante que proporciona un vendedor con respecto a las firewalls, es un entendimiento de cmo hacer una poltica sensata de seguridad. A menos que se sea un verdadero entendido en la materia es mejor dejarse aconsejar antes de lanzarse a la aventura. Cuando un vendedor proporcione soporte de firewall, est podr guiarnos a travs de la configuracin de la firewall para que evitemos ataques externos. Qu vendedores no proporcionan servicio de firewall?
Los vendedores, tpicamente, no configuran sistemas de herencia interna para trabajar con la firewall. Por ejemplo, muchas firewalls asumen que hay que hablar a Internet por un lado y a la red TCP/IP por el otro. Generalmente, es responsabilidad del cliente, tener sistemas TCP/IP aptos para interactuar con firewall. Para Email, la mayora de las firewalls soportan solamente SMTP(Simple Mail Transfer Protocol) y es responsabilidad del cliente tener un simple compatible con SMTP en algn lugar de la red. A menos que se est comprando una firewall desde un proveedor de servicios Internet, es responsabilidad del cliente tener una clase de direcciones de red C IP y un nombre de dominio localizado.
24
Qu preguntas han de realizarse a un vendedor de firewall? Algunas de las preguntas que se le pueden hacer a un comprador son las siguientes: Seguridad: Cuales son los principales diseos de seguridad de tu firewall? Por qu piensas que es segura? A qu clase de revisiones y pruebas a sido sometida? Credenciales corporativas: Durante cuanto tiempo ha vendido esta firewall.? Qu tamao ocupa la instalacin bsica? Tiene libro de reclamaciones que podamos consultar? Soporte e ingeniera: Cuantos ingenieros de soporte tienes, con contrato indefinido? Durante cuantas horas permanece operativo el servicio de soporte? Cunto cuesta el soporte y mantenimiento tcnico? Cul es tu poltica de actualizaciones? Incluye el producto, algn tipo de garanta de hardware o software? Documentacin: Solicite una copia de la documentacin para revisarla. Que clases de informe de auditora general una firewall? Solicita una copia de todos los informes que genere, para revisarlos. Funcionamiento: La firewall incluye hardware o slo software?
25
CONCLUSION:
Las redes han demostrado tener una buena fiabilidad, sobre todo si se tiene en cuenta el entorno r en el que se encuentran, con dificultades de acceso y con escasez de infraestructuras de todo tipo. La principal causa de filtracin de informacin en nuestras redes de servicio en todos los casos han sido la falta de conciencia en usuarios, as como la gran retribucin econmica por la informacin confidencial obtenida. En las redes de todo tipo hemos visto que el servicio de correo electrnico e Internet ha demostrado ser bastante robusto, por lo cual es nuestro punto ms vulnerable y el ms fuerte a cuidar y no perder de vista, son los firewalls donde hemos visto que no importa la plataforma que maneje siempre se cuidara la integridad del equipo.
26
Glosario de trminos relacionados con firewall.
Abuso de privilegio: Cuando un usuario realiza una accin que no tiene asignada de acuerdo a la poltica organizativa o a la ley. Ataque interior: Un ataque originado desde dentro de la red protegida. Autentificacin: El proceso para determinar la identidad de un usuario que est intentando acceder a un sistema. Autorizacin: Proceso destinado a determinar que tipos de actividades se permiten. Normalmente, la autorizacin, est en el contexto de la autentificacin: una vez autentificado el usuario en cuestin, se les puede autorizar realizar diferentes tipos de acceso o actividades. Bastion Host: Un sistema que ha sido configurado para resistir los ataques y que se encuentra instalado en una red en la que se provee que habr ataques. Frecuentemente, los Bastion hosts son componentes de las firewalls, o pueden ser servidores Web "exteriores" o sistemas de acceso pblico. Normalmente, un bastion hosts est ejecuta tanto alguna aplicacin o sistema operativo de propsito general (por ejemplo: UNIX, VMS, WNT, etc...) ms que un sistema operativo de firewall. Deteccin de intrusin: Deteccin de rupturas o intentos de rupturas bien sea manual o va sistemas expertos DE software que atentan contra las actividades que se producen en la red o contra la informacin disponible en la misma. Dual Homed Gateway: Un "Dual Homed Gateway" es un sistema que tiene 2 o ms interfaces de red, cada uno de los cuales est conectado a una red diferente. En las configuraciones firewall, un "dual homed gateway" acta generalmente, como bloqueo o filtrador de parte o del total del trfico que intenta pasar entre las redes. Firewall: Un sistema o combinacin de sistemas que implementan una frontera entre 2 o ms redes.
27
Firewall a nivel de aplicacin:
Un sistema firewall en el que el servicio se proporciona por procesos que mantienen estados de conexin completos con TCP y secuenciamiento. Las firewalls a nivel de aplicacin, a menudo redirigen el trfico, de modo que el trfico saliente, es como si se hubiera originado desde la firewall y no desde el host interno.
Firewall a nivel de red:
Una firewall en la que el trfico es exminado a nivel de paquete, en el protocolo de red.
Host-based Security:
La tcnica para asegurar de los ataques, a un sistema individual.
Logging:
El proceso de almacenamiento de informacin sobre eventos que ocurren en la firewall o en la red.
Perimeter-based Security:
La tcnica de seguridad de una red, para controlar los accesos a todos los puntos de entrada y salida de la red.
Poltica:
Reglas de gobierno a nivel empresarial/organizativo que afectan a los recursos informticos, prcticas de seguridad y procedimientos operativos.
Proxy:
Un agente software que acta en beneficio de un usuario. Los proxies tpicos, aceptan una conexin de un usuario, toman una decisin al respecto de si el usuario o cliente IP es o no un usuario del proxy, quizs realicen procesos de autentificacin adicionales y entonces completan una conexin entre el usuario y el destino remoto.
Router - Encaminador -:
Dispositivo destinado a conectar 2 o ms redes de area local y que se utiliza para encaminar la informacin que atraviesa dicho dispositivo.
28
Screened Host:
Un host - ordenador servidor - en una red, detrs de un router protegido. El grado en que el host puede ser accesible depende de las reglas de proteccin del router.
Screened Subnet:
Una subred, detrs de un router protegido. El grado en que la subred puede ser accesible depende de las reglas de proteccin del router. Tunneling Router: Un router o sistema capaz de dirigir el trfico, encriptndolo y encapsulndolo para transmitirlo a travs de una red y que tambin es capaz de desencapsular y descifrar lo encriptado.
29
BIBLIOGRAFIA :
Building Internet Firewalls Elizabeth D. Zwicky, Simon Cooper & D. Brent Chapman Second Edition, June 2000 ISBN: 1-56592-871-7, 890 pages Comunicacin y redes de computadoras Stalling sexta edicin , Junio 1995 Introduccion a los sistemas de comunicacin Ferrel G. Stremler Tercera edicin, 1990 El huevo del cuco Clifford Stoll Pan, 1989 Redes de computadoras Andres Tanenbaum Cuarta edicin Mxico, 2003 PUBLICACIONES.Gua de administracin de redes con Linux Olaf Kirch Terry Dawson Editado por O'Reilly (printed version) (c) 2000 O'Reilly & Associates Proyecto LuCAS por la traduccin al espaol (c) 2002 HispaLiNUX Introduccin a la seguridad en Internet y aplicaciones M en C. Gerardo Contreras Vega Universidad Veracruzana M en C. Carlos Ochoa Rivera Universidad Veracruzana Ing. Adolfo de Jess Muoz Universidad Autonoma de Chiapas Edicin, 2003 Redes inalmbricas en los pases en desarrollo Segunda edicin, junio 2007
30
Seguridad en redes IP Gabriel Verdejo lvarez Septiembre 2003 Manual de seguridad en redes ArCert Claudia Bello 1998 Cortafuegos. Comparativa entre las distancias. Jose Mara Morales Vazquez Curso 2001/2002 Sistema de deteccin de intrusos Diego Gonzalez Gomez Julio 2003
Hernandez, Roberto. Firewalls: Seguridad en las redes e Internet. Boletn de Poltica Informtica N 2. Pgina 7. Espaa. 2000.
LINKS: http://www.segu-info.com.ar/firewall/firewall.htm http://www.slideshare.net/dodotis/seguridad-en-redes-de-computadores http://html.rincondelvago.com/auditoria-de-sistemas-informaticos.html http://www.slideshare.net/lalex20/historia-de-los-cortafuegos http://www.maestrosdelweb.com/editorial/fire/ http://es.wikipedia.org/wiki/Cortafuegos_(inform%C3%A1tica)#Historia_de_los_cortafuegos http://html.rincondelvago.com/auditoria-de-sistemas-informaticos.html http://www.slideshare.net/dodotis/seguridad-en-redes-de-computadores
31

Firewalls Karla Castilla

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Firewalls Karla Castilla

Uploaded by

Copyright:

Available Formats

UNIVERSIDAD DEL VALLE DE MEXICO CAMPUS GUADALUPE

CASTILLA ACOSTA KARLA MARGARITA

VILLAHERMOSA, TAB A 05 DE NOVIEMBRE DEL 2011

De donde surgen los firewall o porque la necesidad de ellos ?

Libro; El huevo del cuco, Autor; Clifford Stoll, 1989

Control de salida de informacion no permitida

Ataque hombre medio

Denegacion de servicios Denial of services ataque DoS

Ataques a nivel aplicacion para explorar vulnerabilidades

Ataque de caballos de troya, virus o codigos maliciosos.

Entonces definamos que es un firewalls:

Ejemplo de rea perimetral de firewall.

La interfaz que el paquete llega en La interfaz del paquete saldr en

Glosario de trminos relacionados con firewall.

Firewall a nivel de aplicacin:

Firewall a nivel de red:

Una firewall en la que el trfico es exminado a nivel de paquete, en el protocolo de red.

La tcnica para asegurar de los ataques, a un sistema individual.

El proceso de almacenamiento de informacin sobre eventos que ocurren en la firewall o en la red.

You might also like