PDF de programación - Internet Firewalls - Linux ipchains

Internet Firewalls
Linux ipchains.

I Parte. Firewalls

Introducción.

Actualmente, Internet es la principal vía para consultar y publicar información de
una forma sencilla, económica y revolucionaria. Del mismo modo, Internet ofrece la
posibilidad de contaminar y destruir esta información. Por esta razón las personas necesitan
instrumentar medidas de seguridad para proteger sus datos y recursos en Internet. Existen
diferentes enfoques para instrumentar dichas medidas, una de ellas es la seguridad de las
redes de datos. Una de las formas principales de implantar un sistema de seguridad en una
red de datos es a través de un firewall. Un firewall o “cortafuego” es un dispositivo que
permite a una red, tener conexión a Internet con cierto grado de seguridad.

Existe una gran variedad de ataques o formas de violentar la seguridad de un
sistema o red. Un firewall permite combatir diferentes tipos de "ataques" que son conocidos
en Internet:

Intrusión. Es el mas común, con una intrusión, las personas pueden
utilizar un computador sin tener autorización para ello. Las formas de
realizar una intrusión en un sistema son muy variadas, desde "robarse" una
contraseña de una cuenta, hasta valerse de “errores" de algún componente de
software para obtener acceso a un computador sin poseer una cuenta en él.

Negación de Servicios (Denial of Service). Este es un tipo de ataque que
busca inutilizar los servicios que presta un computador. La forma más
común de realizar este tipo de ataques es inundar un sistema o red con
mensajes, procesos o requerimientos de servicio, de tal manera que el
sistema o red es incapaz de satisfacer las solicitudes de los usuarios
legítimos.

Robo de Información. Este ataque permite al intruso obtener información sin
haber utilizado directamente tu computadora. Generalmente estos ataques
explotan servicios de Internet que son utilizados para proveer información,
induciendo a estos servicios a dar mas información de la que deben
suministrar o dar información a personas equivocadas.

Un firewall es colocado generalmente en el punto donde la red interna se conecta a

Internet o red externa, tal como se muestra en la figura #1.

1

Internet

Firewall

Figura #1. Firewall.

Al colocar el firewall de esta manera, todo el tráfico que proviene o va hacia
Internet pasa a través de él. De esta forma el firewall tiene la capacidad de cerciorarse que
este tráfico es conforme a las políticas de seguridad del sistema. Estas políticas definen la
accesibilidad y los niveles de restricción tanto de los servicios disponibles en Internet como
los que se ofrecen en la red interna. Estas políticas son controladas a través de un solo
punto central: el punto de conexión de la red con Internet.

Por ejemplo, un administrador de red podría definir como parte de las políticas para
el tráfico de red, deshabilitar el servicio telnet desde Internet hacia la red interna y no
utilizar servicios tales como NFS o NIS a través del firewall.

Puesto que todo el tráfico pasa a través del firewall, otra de las ventajas que
presenta, es que este se puede utilizar para recolectar información acerca de lo que ocurre
entre la red protegida e Internet.

Definiciones importantes.

Para poder entender todos los conceptos relacionados con firewalls, es necesario

conocer las siguientes definiciones:

Bastión. Es un sistema de computación que debe ser altamente protegido
porque es vulnerable a ataques, usualmente porque está expuesto a Internet.
Filtrado de Paquetes. Es la acción que realiza un dispositivo para controlar

selectivamente el flujo de datos que vienen desde y van hacia una red.

Red Perimetral. Es una red que se encuentra entre la red protegida y la red

interna con el objetivo de agregar una capa adicional de seguridad.

2

Servidor Proxy (gestor). Es un programa que interactúa con servidores
externos en nombre de clientes internos. Los clientes proxy se comunican
con servidores proxy o sucedáneos que a su vez retransmiten las solicitudes
legítimas a los servidores reales.

Tipos de Firewalls.

El concepto de firewall puede ser efectuado mediante:

Filtrado de paquetes, que consiste en bloquear selectivamente el tráfico de

red.

Servidores proxy, que realizan la comunicación de red en lugar del cliente.

Filtrado de paquetes.

Los sistemas de filtrado de paquetes enrutan los paquetes entre las máquinas de la
red interna y externa, pero, de forma selectiva dependiendo de las políticas que se tengan en
el sistema. A esste tipo de enrutadores que realizan filtrado de paquetes se les llama
"screening router".

Un firewall de filtrado de paquetes trabaja a nivel de paquetes. Estos firewalls son
diseñados para controlar el flujo de paquetes basándose en la dirección IP de origen y
destino, los puertos de origen y destino e información del tipo del paquete. Adicionalmente,
se puede controlar el flujo basándose en las interfaces de entrada o salida del paquete.

En la siguiente figura #2 se muestra la utilización de un "screening router" para

filtrar el flujo de paquetes entre una red interna e Internet.

Internet

Screennig Router



Figura #2. Filtrado de paquetes.

3

Estos son algunos ejemplos de lo que se puede realizar con firewalls de filtrado de

paquetes:

Bloquear todas las conexiones desde sistemas externos a la red interna,

excepto conexiones SMTP (correo).

Bloquear todas las conexiones desde una red externa en particular.
Permitir los servicios telnet o ftp desde la red interna, pero bloquear otros

como rlogin, rsh o tftp.

El filtrado de paquetes no toma decisiones basándose en el contenido en sí del
paquete sino en el encabezado. Por esta razón no se pueden tomar acciones tales como las
que se muestran en estos ejemplos:

El usuario Pedro puede hacer telnet a la red interna, pero el usuario Juan no.
Ud. puede transferir archivos tipo .wav pero no tipo mp3.

En los ejemplos anteriores se pretende tomar decisiones basándose en cierto tipo de

información que no pertenece al encabezado de los paquetes sino al contenido.

Reglas de filtrado.

Como se dijo anteriormente, el filtrado de paquetes utiliza la siguiente información

que poseen los paquetes para definir las reglas de filtrado:

Dirección IP de origen
Dirección IP de destino
Puerto de Origen
Puerto de destino
Protocolo
Tipo de paquete

Filtrado por dirección.

Esta es la forma más sencilla y más usada para realizar filtrado de paquetes. La
restricción del flujo de paquetes se realiza basándose en la dirección origen y/o destino del
paquete sin considerar qué protocolo está involucrado. Por ejemplo, si queremos bloquear
todo el tráfico proveniente de la red 10.10.10.0/24:

Flujo
Entrante

Dirección Origen
10.10.10.0/24

Dirección Destino Acción
-
Denegar

El signo ‘-‘ indica cualquier dirección destino. Flujo indica si el tráfico manejado
por el enrutador es entrante o saliente. Acción indica qué hace el enrutador con el paquete.
Generalmente existen tres acciones a tomar con un paquete de red:

4

Aceptar. Indica que este paquete pasó el criterio de filtrado y será reenviado

tal como lo hace un enrutador cualquiera.

Denegar. Indica que este paquete no cumple con el criterio de aceptación y

será descartado.

Rechazar. Indica que este paquete no cumple con el criterio de acetación y
será descartado, pero a diferencia de Denegar, se envía un mensaje ICMP a
la máquina origen informado lo ocurrido. Generalmente es un paquete ICMP
de destino inalcanzable o destino administrativamente inalcanzable. De
esta forma el que envía el paquete es avisado y no tratará de retransmitir el
paquete.

Filtrado por Servicio.

Este es un tipo de filtrado más complejo y más completo. Este filtrado permite
definir reglas basadas en servicios tales como telnet, SNMP, SMTP, etc. El software de
filtrado utiliza la información de los puertos, protocolo y tipo que contiene cada paquete
para realizar filtrado por servicio. Por ejemplo, en el servicio telnet desde una máquina de
la red interna 192.168.2.1, a una máquina en la red externa 10.10.10.1 (servicio saliente),
los paquetes que van desde la máquina interna poseen la siguiente información (paquete
saliente):

Dirección origen: 192.168.2.1
Dirección destino: 10.10.10.1
Puerto origen: Un puerto aleatorio superior al 1023 (> 1023)
Puerto destino: 23
Protocolo: TCP
Tipo de paquete: El primer paquete, el que establece la conexión, no tiene el

bit ACK activo, el resto sí lo tiene.

El bit ACK de los paquetes TCP permite identificar si se trata de un paquete de
solicitud de conexión (donde el ACK no está activado) o si es otro de los paquete de la
conexión (donde sí está activado).

De la misma forma un paquete entrante de una conexión telnet saliente posee la

siguiente información:

Dirección origen: 10.10.10.1
Dirección destino: 192.168.2.1
Puerto origen: 23
Puerto destino: El mismo puerto que se utiliza como origen en un paquete

saliente.

Protocolo: TCP
Tipo de paquete: De conexión, siempre tiene el bit ACK activo.

5

Con esta información podemos construir las reglas de filtrado que permiten
conexiones telnet salientes, pero nada más. Consideraremos la red externa como Internet y
la red interna como 192.168.2.0/24:

Regla Flujo Dirección

Origen