PDF de programación - Mecanismos de prevención

Mecanismos de
prevención

Joaquín García Alfaro

Índice

Mecanismos de prevención

Introducción . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Objetivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

2.1. Sistemas cortafuegos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

2.2. Construcción de sistemas cortafuegos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2.2.1. Encaminadores con filtrado de paquetes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2.2.2. Pasarelas a nivel de aplicación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2.2.3. Pasarelas a nivel de circuito . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

3

4

5

6
6
11
14

2.3. Zonas desmilitarizadas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

15

2.4. Características adicionales de los sistemas cortafuegos . . . . . . . . . . . . . . . . . . . . .

19

Resumen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

21

Ejercicios de autoevaluación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

22

Soluciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

24

Glosario . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

25

Bibliografía . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

26

© FUOC • P06/M2107/01770 Introducción

3

Mecanismos de prevención

Cuando un equipo se conecta a una red informática, se pueden identificar cualquiera de las
tres áreas de riesgo siguientes:

Primero, se incrementa el número de puntos que se pueden utilizar como origen para reali-
zar un ataque contra cualquier componente de la red. En un sistema aislado (sin conexión),
un requisito necesario para que sea atacado es forzosamente la existencia de un acceso
físico hacia el equipo. Pero en el caso de un sistema en red, cada uno de los equipos que
pueda enviar información hacia la víctima podrá ser utilizado por un posible atacante.

Algunos servicios (como, por ejemplo Web y DNS) necesitan permanecer públicamente
abiertos, de forma que cualquier equipo conectado a internet podría ser el origen de una ac-
tividad maliciosa contra los servidores de estos servicios. Esto hace que sea muy probable
la existencia de ataques regulares contra dichos sistemas.

La segunda área de riesgo abarca la expansión del perímetro físico del sistema informático
al que el equipo acaba de ser conectado. Cuando la máquina está aislada, cualquier ac-
tividad se puede considerar como interna en el equipo (y por lo tanto, de confianza). El
procesador trabaja con los datos que encuentra en la memoria, que al mismo tiempo han
sido cargados desde un medio de almacenamiento secundario. Estos datos están realmente
bien protegidos contra actos de modificación, eliminación, observación maliciosa, . . . al
ser transferidos entre diferentes componentes de confianza.

Pero esta premisa no es cierta cuando los datos se transfieren a través de una red. La in-
formación transmitida por el medio de comunicación es retransmitida por dispositivos que
están totalmente fuera de control del receptor. La información podria ser leída, almace-
nada, modificada y, posteriormente, retransmitida al receptor legítimo. En grandes redes,
y en especial internet, no es trivial la autenticación del origen que se presenta como el de
emisor de un mensaje.

Por último, la tercera área de riesgo se debe al aumento en el número de servicios de
autenticación (generalmente, un servicio de login-password) que un sistema conectado a
una red deberá ofrecer, respecto a un sistema aislado. Estos servicios no dejan de ser
simples aplicaciones (con posibles deficiencias de programación o de diseño) que protegen
el acceso a los recursos de los equipos del sistema. Una vulnerabilidad en algunos de estos
servicios podría comportar el compromiso del sistema al completo.

La prevención de ataques supondrá la suma de todos aquellos mecanismos de seguridad
que proporcionen un primer nivel de defensa y tratarán de evitar el éxito de los ataques
dirigidos contra la red que está bajo su protección.

© FUOC • P06/M2107/01770 Objetivos

4

Mecanismos de prevención

Los objetivos que se deben alcanzar con el estudio de este módulo son:

1) Entender el funcionamiento de las tecnologías cortafuegos.

2) Ver los distintos métodos existentes para el filtrado de tráfico TCP/IP.

3) Comprender las distintas posibilidades de configuración de los sistemas cortafuegos.

© FUOC • P06/M2107/01770 2.1. Sistemas cortafuegos
.

5

Mecanismos de prevención

Los sistemas cortafuegos* son un mecanismo de control de acceso sobre la capa de red.
La idea básica es separar nuestra red (donde los equipos que intervienen son de confianza)
de los equipos del exterior (potencialmente hostiles).

* En inglés, firewalls.

Un sistema cortafuegos actúa como una barrera central, para reforzar el control de acceso a
los servicios que se ejecutan tanto en el interior como en el exterior de la red. El cortafue-
gos intentará prevenir los ataques del exterior contra las máquinas internas de nuestra red
denegando intentos de conexión desde partes no autorizadas.

Un cortafuegos puede ser cualquier dispositivo utilizado como mecanismo de control de
acceso a nivel de red para proteger a una red en concreto o a un conjunto de redes. En la
mayoría de los casos, los sistemas cortafuegos se utilizan para prevenir accesos ilícitos en
el interior de la red.

.

Un cortafuegos es aquel sistema de red expresamente encargado de separar redes
informáticas, efectuando un control del tráfico existente entre ellas. Este control
consiste, en última instancia, en permitir o denegar el paso de la comunicación de
una red a otra mediante el control de los protocolos TCP/IP.

A la hora de instalar y configurar un sistema cortafuegos en nuestra red, debemos tener
presente lo siguiente:

1) Todo el tráfico que sale del interior hacia el exterior de la red que se quiere proteger, y
viceversa, debe pasar por el cortafuegos. Esto se puede conseguir bloqueando físicamente
todo el acceso al interior de la red a través del sistema.

2) Solo el tráfico autorizado, definido en las políticas de seguridad locales del sistema,
podrá traspasar el bloqueo.

3) El propio cortafuegos debe estar protegido contra posibles intrusiones. Esto implica el
uso de un sistema operativo de confianza con suficientes garantías de seguridad.

© FUOC • P06/M2107/01770 2.2. Construcción de sistemas cortafuegos
.

6

Mecanismos de prevención

En el sentido más general, un sistema cortafuegos consta de software y hardware. El
software puede ser propietario, shareware o freeware. Por otro lado, el hardware podrá ser
cualquiera que pueda soportar este software.

Actualmente, tres de las tecnologías más utilizadas a la hora de construir sistemas cortafue-
gos son las siguientes:

• Encaminadores con filtrado de paquetes.

• Pasarelas a nivel de aplicación.

• Pasarelas a nivel de circuito.

A continuación estudiaremos con más detalle cada una de estas categorías.

2.2.1. Encaminadores con filtrado de paquetes

Se trata de un dispositivo que encamina el tráfico TCP/IP (encaminador* de TCP/IP) sobre
la base de una serie de reglas de filtrado que deciden qué paquetes se encaminan a través
suyo y cuales se descartan.

* En inglés, router.

Red externaRed internaFiltro de paquetesReglasde filtrado© FUOC • P06/M2107/01770 7

Mecanismos de prevención

.

Las reglas de filtrado se encargan de determinar si a un paquete le está permitido
pasar de la parte interna de la red a la parte externa, y viceversa, verificando el
tráfico de paquetes legítimo entre ambas partes.

Los encaminadores con filtrado de paquetes, al trabajar a nivel de red, pueden aceptar
o denegar paquetes fijándose en las cabeceras del protocolo (IP, UDP, TCP, . . . ), como
pueden ser:

• Direcciones de origen y de destino.

• Tipos de protocolo e indicadores (flags) especiales.

• Puertos de origen y de destino o tipos de mensaje (según el protocolo).

• Contenido de los paquetes.

• Tamaño del paquete.

Estas reglas estarán organizadas en conjuntos de listas con una determinada política por
defecto (denegarlo todo, aceptarlo todo, . . . ).

Cada paquete que llegue al dispositivo será comparado con las reglas, comenzando por
el principio de la lista hasta que se encuentre la primera coincidencia. Si existe alguna
coincidencia, la acción indicada en la regla se activará (denegar, aceptar, redirigir, . . . ).

InternetRedReglasdefiltradoRed externaRed internaFiltrode paquetes© FUOC • P06/M2107/01770 8

Mecanismos de prevención

Por contra, si no es posible ninguna coincidencia, será consultada la política por defecto
para saber qué acción hay que tomar (dejar pasar el paquete, descartarlo, redireccionarlo,
etc). Si se trata, por ejemplo, de una política de denegación por defecto, en el caso de no
existir ninguna coincidencia con el paquete, éste será descartado.

Una política de denegación por defecto suele ser más costosa de mantener, ya que será
necesario que el administrador indique explícitamente todos los servicios que tienen que
permanecer abiertos (los demás, por defecto, serán denegados en su totalidad).

En cambio, una política de a