Comercio electrónico

Criptología y seguridad

Cuestiones legales

Intimidad y privacidad

Virus

Por Luis Ventura Ruiz

Antes de hablar de lo que representan los cortafuegos en el ámbito de la seguridad en redes telemáticas convendría hablar un poco de qué se entiende por ‘seguridad’. Puede haber múltiples definiciones de ‘seguridad’, no obstante en este articulo se entenderá por seguridad en redes telemáticas a la protección frente a ataques e intrusiones en recursos corporativos por parte de intrusos a los que no se permite el acceso a dichos recursos. Por estos recursos entenderemos tanto el acceso a una carpeta compartida en servidor con NT, el acceso a los buzones de correo de los usuarios corporativos, o incluso el acceso a una sesión de Telnet de un servidor UNIX interno.

Antes de continuar se ha de hacer notar que tradicionalmente se ha dicho en los ámbitos de seguridad en redes que el ordenador realmente seguro es aquel que esta físicamente desconectado de todas las redes internas o externas (sin ninguna tarjeta de red), tampoco tendrá disquetera (y en su caso ninguna unidad de almacenamiento externo, como grabadores y lectores de cintas, discos extraibles, etc.) o acceso a impresoras y se encontrará en una habitación acorazada con un guardia jurado insobornable, y si este ordenador está apagado mejor que mejor. Con esto quiero decir que la seguridad siempre será relativa al tipo de servicios que queramos ofrecer a los usuarios autorizados, según se establece en la política de seguridad de la empresa.

La política de seguridad es (debería ser) un documento que está (debería estar) firmado por la alta gerencia de la empresa y mediante el cual se especifican distintos aspectos referentes a la seguridad informática de la empresa. Estos aspectos pueden ser desde cuantas letras han de tener las contraseñas de los usuarios corporativos y cada cuanto tiempo han de cambiarlas, qué protocolos (Telnet, http, smtp, ftp, etc.) van a permitir que hablen las máquinas internas con las externas y en su caso quien va a poder iniciar la conexión, y hasta la política que se va a seguir para permitir el acceso restringido a recursos internos.

Un cortafuegos nunca protegerá al cien por cien a estos recursos internos de acceso no autorizados ya que las técnicas de intrusión avanzan día a día (aunque el hardware y software de los cortafuegos también) y todos los días se descubren nuevos fallos (bugs) en sistemas operativos y software de servidores. Pero también es cierto que un cortafuegos BIEN CONFIGURADO junto con servidores bien configurados y protegidos puede poner las cosas muy difíciles a estos potenciales intrusos, por no decir imposibles (siempre teniendo en cuenta la política de seguridad de la empresa y a la correcta configuración de cortafuegos y servidores).

Así pues, nos adentramos en los sistemas cortafuegos. Los cortafuegos son uno de las dos enfoques básicos que se han dado al aspecto de la seguridad en redes telemáticas.

Estos dos enfoques han sido tradicionalmente la defensa en profundidad que se caracterizaba por proteger cada una de las máquinas susceptibles a ser accedidas por personas no autorizadas, y por otro lado la defensa perimetral consistente en llevar toda la carga correspondiente a la seguridad en la red corporativa al elemento de conexión de esta red corporativa con el exterior, o con las redes en las que potencialmente se encuentren las personas que puedan querer acceder a nuestros recursos de forma no autorizada, ya que está demostrado que un tanto por ciento elevado de los fraudes informáticos proceden del interior de las propias organizaciones.

Existen muchos tipos de cortafuegos, no obstante la clasificación más clara quizás sería la que los diferencia según la forma de implementar la política de seguridad de la empresa atendiendo al nivel de la capa OSI en la que se implementa dicha política de seguridad.

En un primer lugar existen los cortafuegos de nivel 3 de la capa OSI, esto es, de nivel de red o lo que es lo mismo, nivel IP en redes TCP/IP como Internet. Estos cortafuegos pueden ser considerados como filtros de paquetes ya que lo que realizan a fin de cuentas es un filtrado de los intentos de conexión atendiendo a direcciones IP origen y destino y puerto de destino de los paquetes IP. Esto quiere decir que en la política de seguridad de la empresa podremos indicar que sólo dejaremos pasar paquetes destinados al puerto 25 (puerto de SMTP para correo electrónico) de nuestro servidor corporativo. También podremos especificar desde qué direcciones IP origen dejaremos acceso a nuestros servidores públicos. Este tipo de cortafuegos vienen implementados en la mayoría de routers comerciales.

Otra posibilidad de implementación de cortafuegos es a nivel 4 de OSI, esto es a nivel de transporte o de TCP en redes TCP/IP. En este nivel ya se puede atender a aspectos de si los paquetes son de inicio de conexión o se corresponden con paquetes cuyas conexiones están ya establecidas.

A grandes rasgos los cortafuegos a nivel de circuitos ya tratan con números de secuencias de paquetes TCP/IP. Si los paquetes pertenecen a una conexión o si no se corresponden con ninguna conexión establecida.

Por último nos quedan los cortafuegos a nivel 7 de la capa OSI, esto es, a nivel de aplicación. Estos cortafuegos actúan a modo de proxy para las distintas aplicaciones que van a controlar. Por de pronto ya se ve que con estos cortafuegos no será posible dejar pasar todos los protocolos (al menos de manera segura, esto es, no es frecuente ver cortafuegos a nivel de), pero lo que sí es cierto es que podremos llegar al detalle en cuanto a la posibilidad de implementar políticas de seguridad para estos protocolos.

Lo normal es contar con cortafuegos a nivel de aplicación para los protocolos más frecuentes en Internet: telnet, ftp , http, e incluso para menos frecuentes como pop3, rlogin, sqlnet, etc.

Con estos cortafuegos podremos configurar a nivel de aplicación esto es: para SMTP podremos decir que sólo se acepta correo entrante cuando la dirección de destino sea <alguien>@nuestro.dominio.corporativo o que sólo acepte correo saliente cuando la dirección origen sea <alguien>@nuestro.dominio.corporativo evitando así los conocidos parásitos de servidores correo conocidos como spammers. Para HTTP podremos evitar que las páginas que descarguen nuestros usuarios corporativos tengan controles Activex o applets de Java, o incluso denegarles el acceso a ciertas URL’s que se consideren improcedentes. Para FTP podremos permitir el acceso a servidores sólo a cierto directorio y solo para realizar envíos o descargas de ficheros.

Otras funciones adicionales que pueden realizar los cortafuegos es la de ocultar el rango de direccionamientos internos de nuestra corporación, realizando una traducción de direcciones o NAT (Network address translation). De esta manera es posible contar con sólo una dirección (o un rango reducido de direcciones válidas en Internet) y contar con un gran número de direcciones privadas (de acuerdo a la famosa RFC 1918) para las máquinas internas no enrutables en Internet.

También es normal que sean capaces de detectar ataques del tipo IP spoofing, de forma que se asocia a cada interfaz una serie de direcciones origen permitidas, de forma que no se le pueda hacer creer al cortafuegos que desde la interfaz externa vienen paquetes con dirección IP origen una máquina interna en la que se confía.

Otra de las características que pueden tener es la de detectar ataques de SYN flooding mediante el cual alguien inunda nuestros servidores con paquetes de inicio de conexión sin llegar a terminar la negociación de establecimiento de conexión que se establece en TCP. Con lo cual se llena la cola de conexiones pendientes de nuestro servidor y ya no responde a peticiones de inicio de conexión legítimas.

También se ha de comentar que una de las funcionalidades más importantes de los cortafuegos es la de la facilidad de gestión del log de conexiones. Es atendiendo a este log donde se podrá observar que nuestra red interna esta siendo escaneada y que puede estar sometida a un ataque organizado desde algún lugar en Internet.

Por último volver sobre la importancia de disponer de una correcta política de seguridad en la empresa. Ya que de ella dependerá el grado de seguridad frente al uso indebido de los recursos corporativos. Esta política de seguridad debería implicar a todos los miembros de la empresa mediante la formación de sus empleados en cuanto a la importancia de que sus contraseñas de usuario sean seguras (no susceptibles a ataques de fuerza bruta o fácilmente adivinables), de que apaguen sus ordenadores cuando se ausenten de sus sitios o protejan sus escritorios, e incluso de que tengan cuidado con sus disquetes u hojas impresas con información sensible (no sería la primera vez que se reutiliza hojas con información de proyectos estratégicos de empresas). Todo esto depende del grado de seguridad (o de paranoia) que se quiera reflejar en la política de seguridad de las empresas, y variará mucho de unas empresas a otras.

En todo caso la política de seguridad debería proponer una mezcla de los dos enfoques que hacía referencia anteriormente: Defensa perimetral con un cortafuegos bien configurado de acuerdo con la política de seguridad de la empresa y defensa en profundidad de los servidores que vayan a ser accedidos desde las redes públicas.

Los servidores de Web deberían estar protegidos frente a ataques típicos realizados contra estos servidores: stack overflow de sus cgi’s, posibilidad de acceder al document root de la máquina y poner un documento HTML no legítimo, etc.

Lo mismo se puede decir de los servidores FTP, servidores de correo e incluso servidores de DNS, todos ellos con sus bug’s característicos dependiendo de la versión y plataforma sobre la que corren (NT o UNIX), pero a medida que se descubre un bug se publica el parche para el servidor correspondiente, y es labor del administrador de la red el estar al tanto de estos parches, ya que el cortafuegos puede estar bien configurado y dejar pasar peticiones de DNS a nuestro servidor de DNS, pero nuestro servidor de DNS puede ser susceptible a ataque de tipo DNS spoofing, por el cual se le puede llegar a hacer creer a nuestro servidor DNS que web_al_que_accede_nuestra_organización.com Sitio web al que accedemos diariamente y que nos pide un password de entrada , es en realidad web_malicioso_para_capturar_passwords.com y que entreguemos muchas de nuestras passwords a alguien en Internet. Y todo esto con nuestro cortafuegos bien configurado.

Publicado en el Boletín del Criptonomicón #35.

Luis Ventura Ruiz es ingeniero de telecomunicación de Euskaltel con una amplia experiencia en la instalación de cortafuegos.

• LINUX como cortafuegos gratuito
• Cortafuegos: la mejor defensa
• Gestión de Firewalls: una metodología de gestión

Puedes consultarlos por temas, o también por orden de aparición en el boletín.

Si consideras que este artículo puede interesarle a alguien que conozcas, puedes enviárselo por correo electrónico. No tienes más que indicar la dirección del destinatario, el asunto y tu nombre.

Copyright © 1997-2000 Gonzalo Álvarez Marañón, CSIC. Todos los derechos reservados.

Criptonomicón es un servicio ofrecido libremente desde el Instituto de Física Aplicada del CSIC. Para información sobre privacidad, por favor consulte la declaración de política sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de visitas. Para contribuir al Criptonomicón, lea la página de contribuciones.