INTRODUCCIÓN

Muchas organizaciones han conectado ó desean conectar sus LANs (Redes Locales) privadas a Internet para que sus usuarios puedan tener acceso a los servicios Internet (por ejemplo: ftp, telnet, E. Mail: SMTP/POP3 (Post Office Protocol version 3)/IMAP4 (Internet Message Access Protocol version 4), NNTP (Network News Transfer Protocol), www/http, rlogin, NFS (Network File System), tftp, ...). Debido a que Internet globalmente no es segura, sus sistemas privados son vulnerables a ataques y uso incorrecto. Un cortafuegos (ó "firewall") es un mecanismo de protección que se puede utilizar para controlar el acceso entre una red segura y una menos segura. Un cortafuegos no es un único componente, es una estrategia diseñada para proteger los recursos de una organización que se pueden alcanzar a través de Internet. Un cortafuegos sirve de "guardian" entre Internet no segura y las redes internas (ó corporativas, ó Intranet) más seguras. La principal función de un cortafuegos es la de control de acceso centralizado. Si los usuarios exteriores ó remotos pueden acceder a las redes internas sin cruzar el cortafuegos, su efectividad es mínima. Por ejemplo, si un viajante de una gran empresa posee un modem conectado a su PC de la oficina al que puede llamar mientras viaja y ese PC se encuentra conectado a la red interna protegida de la organización, un atacante puede llamar a ese PC con lo cual se habrá  saltado el cortafuegos que protege la red interna de la organización donde trabaja. Si un cierto usuario posee una cuenta Internet por red telefónica conmutada con un Proveedor de Servicios Internet (ó ISP, Internet Service Provider) Comercial y a veces se conecta a Internet desde su PC de la oficina utilizando el modem, está abriendo una conexión no segura con Internet que se salta la protección del cortafuegos. Los cortafuegos también pueden utilizarse para hacer seguros segmentos de red de una Intranet corportativa de una organización. Los cortafuegos proporcionan diversos tipos de protección: (1) Pueden bloquear tráfico no deseado. (2) Pueden dirigir tráfico entrante a sistemas internos preparados para tal fín, más confiables. (3) Pueden ocultar sistemas vulnerables que no pueden hacerse fácilmente seguros de Internet. (4) Pueden registrar el tráfico que sale ó que llega a la red privada. (5) Pueden ocultar información como nombres de sistemas, topología de red, tipos de dispositivos de red e identificadores de usuarios internos de Internet. (6) Pueden proporcionar autentificación más robusta que la de las aplicaciones estándar. Como con cualquier mecanismo de protección, existen compromisos entre conveniencia y seguridad. La transparencia es la visibilidad del cortafuegos tanto para los usuarios de dentro como para los de fuera que atraviesan el cortafuegos. Un cortafuegos se dice que es "transparente" para los usuarios si éstos no se dan cuenta, ni se deben detener en el cortafuegos para poder acceder a la red. Los cortafuegos normalmente se configuran para ser transparentes a los usuarios de la red interna (mientras se encuentren fuera del cortafuegos). Los cortafuegos se configuran de forma no transparente para todas las redes externas que deseen atravesar el cortafuegos. Esto proporciona generalmente el nivel más alto de seguridad sin cargar excesivamente a los usuarios internos.

CATEGORIAS DE AUTENTIFICACION EN CORTAFUEGOS

Los cortafuegos basados en router no proporcionan autentificación de usuario. Los cortafuegos basados en computador pueden proporcionar las siguientes categorias de autentificación: (1) Utilización de "username/password" es la menos robusta ya que puede monitorizarse utilizando "sniffers". (2) Utilización de OTPs (One-Time Passwords). Utilizan "tokens" software ó hardware y generan una nueva password para cada sesión. Esto significa que las passwords anteriores no se pueden reutilizar con lo cual se reduce el riesgo en caso de ser monitorizadas (utilizando "sniffers"), perdidas, prestadas ó robadas. (3) Utilizar "Certificados Digitales" que se construyen en base a aplicar los algoritmos de cifrado de clave pública, por ejemplo RSA, para firmar electrónicamente, involucrando Autoridades de Certificación.

ALTERNATIVAS DE OPERACIÓN EN EL CORTAFUEGOS: ENCAMINAR FRENTE A REENVIAR

La política de seguridad de un cortafuegos es diferente si actúa como un router (encaminador) ó como un reenviador de paquetes Internet. Un cortafuegos basado en un router actúa como un dispositivo de filtrado de paquetes y no posee más opción que encaminar paquetes. Los cortafuegos del nivel de aplicación generalmente no se deberían configurar para encaminar ningún tráfico entre el interface de red interno y externo, ya que con esto se pueden saltar los controles de seguridad. Todas las conexiones internas y externas deberían efectuarse a través de "proxies" (ó agentes apoderados) de aplicación.

CONSIDERACIONES RESPECTO A LA TECNICA DEL ENCAMINAMIENTO FUENTE

El encaminamiento fuente es un mecanismo de encaminamiento por el cual el camino a una máquina destino la determina la fuente, en vez de los routers intermedios. El encaminamiento fuente se utiliza principalmente para depurar problemas de red pero también puede utilizarse para atacar a un computador. Si un atacante conoce alguna de las conexiones seguras entre sus computadores, el encaminamiento fuente se puede utilizar para aparentar que los paquetes dañinos vienen de un computador confiable. Por tanto, debido a esta amenaza a la seguridad, un router de filtrado de paquetes puede configurarse fácilmente para rechazar paquetes que contienen la opción de encaminamiento fuente. De este modo una organizacón que desea evitar el problema del encaminamiento fuente debería escribir una política de seguridad consistente en eliminar paquetes de encaminamiento fuente.

MECANISMO DEL "SPOOFING IP"

Es cuando un atacante hace pasar su m quina como un computador de la red destino (por ejemplo, engañando a una m quina destino que los paquetes vienen de una máquina confiable de la red interna destino). La política de seguridad que trata el encaminamiento de paquetes debe especificarse cl ramente para que se actúe correctamente si existe un problema de seguridad. Es necesario que la autentificación basada en direccionamiento fuente se combine con otro esquema de seguridad para protegerse contra los ataques de "spoofing IP". El "spoofing IP" utiliza diversas técnicas para trastornar el control de acceso basado en IP suplantando a otro sistema utilizando su dirección IP.

TIPOS DE CORTAFUEGOS

Existen diferentes implementaciones de cortafuegos que pueden ser organizadas de diferentes formas: a) Cortafuegos de Filtrado de Paquetes. Utilizan routers con reglas de filtrado de paquetes para conceder ó denegar acceso en base a la dirección fuente, dirección destino y puerto. Ofrecen seguridad mínima pero a muy bajo costo y pueden ser una alternativa apropiada para entornos de bajo riesgo. Son rápidos, flexibles y transparentes. Las reglas de filtrado no suelen ser fácilmente mantenidas en un router, pero existen herramientas disponibles para simplificar las tareas de crear y mantener las reglas. Los riesgos de los cortafugos basados en el filtrado de paquetes son: (1) Las direcciones origen y destino y los puertos contenidos en la cabecera del paquete IP son la única información disponible para que el router tome la decisión de si permite ó no acceso de tráfico a una red interna. (2) No protegen contra "spoofing" (ó engaño) de direcciones DNS ó IP. (3) Un atacante tendr  un acceso directo a cualquier computador de la red interna una vez que el acceso haya sido concedido por el cortafuegos. (4) En algunos cortafuegos de filtrado de paquetes no se soporta la autentificación fuerte de usuarios. (5) Proporcionan poca ó nula información útil de "logging" (de registro). b) Cortafuegos del Nivel de Aplicación. Utilizan programas servidor (denominados "proxies") que se ejecutan en el cortafuegos. Estos "proxies" toman las peticiones externas, las examinan y reenvían peticiones legítimas al computador interno que proporciona el servicio apropiado. Los cortafuegos del nivel de aplicación pueden soportar funciones como por ejemplo la autentificación de usuario y el registro. Debido a que un cortafuegos del nivel de aplicación se considera como el tipo más seguro de cortafuegos, esta configuración proporciona un conjunto de ventajas a la organización de riesgo medio-alta: (1) El cortafuegos puede configurarse como la única dirección de computador que es visible para la red externa, requiriendo que todas las conexioneshacia ó desde la red interna se realicen a través del cortafuegos. (2) La utilización de "proxies" para diferentes servicios impide el acceso directo a servicios de la red interna, protegiendo a la organización contra computadores internos mal configurados ó no seguros. (3) La autentificación fuerte de usuario puede ser obligada por los cortafuegos del nivel de aplicación. (4) Los "proxies" pueden proporcionar registro (ó "logging") detallado en el nivel de aplicación. Los cortafuegos del nivel de aplicación deberían configurarse de modo que el tráfico de red externo (fuera del perímetro de seguridad) aparezca como si el tráfico lo originó el cortafuegos (es decir, sólo el cortafuegos está visible para las redes externas). De esta forma, no está permitido el acceso directo a los servicios de red de la red interna. Todas las peticiones entrantes para los diferentes servicios de red como telnet, ftp, http, rlogin, etc. sin tener en cuenta qué computador de la red interna ser  el destino final, deben ir a través del "proxy" apropiado del cortafuegos. Los cortafuegos del nivel de aplicación requiren que se soporte un "proxy" para cada servicio, por ejemplo ftp, http, etc.. Cuando un servicio se requiere que no esté soportado por un "proxy", la organización posee tres alternativas: (1) Denegar el servicio hasta que el fabricante del cortafuegos desarrolle un "proxy seguro". Esta es la alternativa preferida cuando los nuevos servicios Internet introducidos poseen vulnerabilidades no aceptables. (2) Desarrollar un "proxy a medida". Esta opción es una tarea bastante difícil y sólo debería emprenderse por organizaciones técnicas sofisticadas. (3) Pasar el servicio a través del cortafuegos. Utilizando lo que se denomina normalmente "plugs", la mayoría de cortafuegos del nivel de aplicaión permiten que los servicios se pasen directamente a través del cortafuegos con sólo un mínimo de filtrado de paquetes. Esto puede limitar algunas de las vulnerabilidades pero puede comprometer la seguridad de los sistemas detr s del cortafegos. Cuando un servicio Internet interno (dentro de la frontera de seguridad) no está soportado por un "proxy" se requiere pasar a travésdel cortafuegos, el administrador del cortafuegos definir  la configuracón ó "plug" que permitir  el servicio pedido. Cuando está disponible un "proxy" del fabricante del cortafuegos, el "plug" se inhabilitar  y el "proxy" se har  operativo. Todos los servicios Internet internos (de dentro del perímetro de seguridad) deben ser procesados por software "proxy" del cortafuegos. Si se pide un nuevo servicio, este no se estará disponible hasta que se disponga de un "proxy" del fabricante del cortafuegos y sea verificado por el administrador del cortafuegos. Se puede desarrollar un "proxy a medida" por la propia organización ó por otros fabricantes y sólo se podrá utilizar cuando sea aprobado por el responsable de seguridad de información. c) Cortafuegos Híbridos. Combinan los tipos de cortafuegos anteriores y los implementan en serie en vez de en paralelo. Si se conectan en serie, se mejora la seguridad total. Si se conectan en paralelo, entonces el perímetro de seguridad de red sólo ser  tan seguro como el menos seguro de los métodos utilizados. En entornos de medio a elevado riesgo un cortafuegos híbrido puede ser la elección ideal de cortafuegos.

CORRESPONDENCIA ENTRE TIPO DE CORTAFUEGOS Y NIVEL DE RIESGO DE SEGURIDAD

1) Cortafuegos de Filtrado de Paquetes: Para Entornos de Alto Riesgo (por ejemplo hospitales) "no es aceptable"; Para Entornos de Riesgo Medio (por ejemplo, Universidades) "mínima seguridad"; Para Entornos de Bajo Riesgo (por ejemplo, pastelería) "elección recomendable".

2) Cortafuegos del Nivel de Aplicación: Para Entornos de Alto Riesgo, "opción efectiva"; Para Entornos de Riesgo Medio, "elección recomendada"; Para Entornos de Bajo Riesgo, "elección aceptable".

3) Cortafuegos Híbridos: Para Entornos de Alto Riesgo, "elección recomendada"; Para Entornos de Riesgo Medio, "opción efectiva"; Para Entornos de Bajo Riesgo, "elección aceptable".

Este artículo tiene su continuación en el número 24 de CONECtrónica.
Disponible segunda parte