IIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIII o 15. FIREWALLS Y PROXYS II o IIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIII Hola y Bienvenidos. En el anterior numero de Saqueadores vimos que es y para que sirve un firewall y un proxy, tambien dimos un repaso a las principales caracteristicas de una aplicacion proxy, vamos a ver a continuacion algunas de las tecnicas implementadas para defender una intranet, no estan todas las que son ni son todas las que estan pero da una buena idea de los metodos de defensa que puede tener una intranet bien protegida. Todo ello es con caracter meramente divulgativo. Introduccion Cuando se habla del sistema de seguridad de una red de ordenadores se tienen que tener en cuenta varios aspectos en su dise€o, un mecanismo de proteccion como el firewall no debe proteger solo la red interior, debe ser capaz de protegerse A SI MISMO. Hay distintos mecanismos para proteger por un lado al firewall y por otro a la red a la que sirve de guardian, en algunos casos estos mecanismos son comunes. Asi en este capitulo vamos a explicar alguna de las maneras en que un firewall se protege a si mismo y como protege a los sistemas a el conectados, veremos los principios de dise€o y operativos de estos sistemas de proteccion. Con intencion educativa, repito. Fundamentos de Seguridad Es decir los principios generales en los que debe basarse el dise€o de un sistema de seguridad (sea proxy o firewall) Politica principal: Todo aquello que no esta expresamente permitido esta prohibido Politica de Dise€o: Encaminada a la minimizacion y la simplicidad (Lo bueno si breve dos veces bueno) Politica de Escepticismo: Tras dotar al firewall de todas las protecciones disponibles se toma en consideracion que se pueden desarrollar nuevas tecnicas y que ningun grado de seguridad es absoluto. --- Proteccion del Host Firewall-- La solucion Turnkey Solo se permite el login del administrador, los usuarios solo pueden hacer login en la red protegida o via consola. Cualquier programa o utilidad innecesaria o potencialmente peligrosa es desinstalada. Aclaraciones de Paseante ------------------------------------------------------ Siguiendo con el caracter meramente informativo, aqu¡ vienen alguna de las acciones que activan la notificacion de alarma: - Intento de acceso a puertos restringidos - Intento de acceso a cualquier puerto superior al 1024 Y ahora aquello de lo que se hace logging. - Registro de todos los paquetes rechazados - Registro de todos los procesos de login que han sido incorrectos - Registro de todos los host externos cuya direccion IP no coincide con el DNS enviado al firewall ---------------------------------------------------------- Restriccion de acceso al Firewall No se permite cuentas de usuario en ningun ordenador que ejerza de firewall No se permiten logins desde el exterior al firewall Las cuentas de super-usuario solo se pueden activar desde la consola del sistema En caso de muro-doble (ver mas abajo) ni siquiera el administrador tiene derecho a utilizar la red privada que comunica los dos muros. Un programa se encarga de manera regular de chequear la integridad del sistema Para efectuar un cambio de configuracion del sistema se requiere un 'reboot' Y para acabar, algunos modelos tambi‚n gozan de protecciones fisicas. --Proteccion de la red interior-- IP spoofing Se previene el ataque mediante IP spoofing desde cualquiera de los dos lados del firewall. Sistemas de Una Mision Utilizan hardware y software para implementar un firewall que solo tiene una funcion: la seguridad y una mision: proteger a la red, en lugar de conformarse con una aplicacion de soft se intenta elevar el nivel de proteccion con un sistema dedicado Aclaraciones de Paseante ----------------------------------------------- Esta solucion (tener un host dedicado) es dada de lado por muchas empresas por el coste que supone dedicar una maquina bastante cara a la tarea exclusiva de proteger la red, evidentemente el nivel de proteccion de esas redes es menor. ------------------------------------------------- Construcciones de Muro Doble Los firewalls se construyen con la tecnica de "muro doble", en este caso el firewall consta de dos sistemas separados fisicamente (muro exterior e interior) conectados por una red privada (tipo DMZ por ejemplo), si alguien es capaz de comprometer el muro exterior el muro interior protege la red cortando su red DMZ y aislando la red interior. Aclaraciones de Paseante ------------------------------------------------------- El muro interior se rige por el "pesimismo", solo acepta paquetes si responden a una peticion originada en el interior de la red o provienen de uno de sus proxies, por descontado guarda toda la informacion sobre las transacciones. šY si llega otro paquete que no viene de ninguna de esas dos fuentes?. En ese caso se pone a la defensiva de modo espectacular, de manera inmediata corta la red privada que le une al muro exterior y alerta sobre una violacion de seguridad critica (quizas un poquito exagerado pero funciona) šQue? šQue os parece el truquillo?. Lo ponen dificil pero la logica es muy asumible, en un sistema con un solo firewall si lo comprometes ganas acceso a toda la red, en este caso lo unico que ganas es aislar la red (aunque puede que sea eso lo que busques) ------------------------------------------------------------ Acceso transparente a la red Los firewalls ofrecen acceso transparente a la red externa a las aplicaciones TCP/IP del interior de la red, esto significa que tanto los Pc como Macs y sistemas UNIX operan normalmente a traves del firewall. Aplicaciones comunes como Telnet, Ftp, Gopher y browsers WWW se pueden utilizar sin modificarse asi como aplicaciones adicionales (Archie, Ping, Directorio X-500..). Esto elimina todo lo que hemos visto de utilizar proxies aunque lo mas utilizado siga siendo el ejecutar proxies conviene saber que existe esto y es que los fabricantes no descansan. ;) Clave de un solo uso Ya lo hemos visto antes, uno de los principales medios de entrar en una red es conseguir burlar el sistema de passwords por lo que ante la casi certeza de que a algun usuario le "birlarian" la clave tarde o temprano se opta por usar claves que no se pueden 're-utilizar' del tipo pregunta-respuesta (S/Key, Digital Pathways, CRYPTOCard..) Ocultacion de Dominios El firewall oculta el dominio interno de la red protegida, si se posee un "muro doble" la unica parte que expone su dominio es el "muro exterior", esto no interfiere en permitir que se realice e-mail, telnet y otros servicios aprobados hacia la red interna. De manera adicional el correo enviado desde la red interna sera "despojado" de la informacion comprometedora (con respecto a host y DNS) que podria dar a un potencial atacante una idea de la configuracion interior de la red. Traduccion de Direcciones de Red Todas las direcciones IP internas son traducidas o remapeadas a la direccion IP del firewall expuesto. šQue significa esto?. Pues que todos los paquetes de datos que se originan dentro de la red aparecen como provinientes del firewall, esto permite que una empresa registre una sola direccion IP y que luego internamente use todas las que quiera. Filtrado Inteligente de Paquetes Todos los paquetes dirigidos hacia el firewall son inteligentemente (supongo que con una inteligencia limitada :) ) filtrados para impedir el acceso a puertos no autorizados, se permite la conexion solo a hosts autorizados y el administrador puede conceder o denegar acceso de manera amplia hasta combinaciones especificas de host/puerto. (O sea que puede prohibir a todo el mundo usar el puerto x, o solo al host tal, o solo el host x puede usar el puerto z... toda la gama) Logging Una de las primeras cosas que hace un hacker cuando consigue entrar en un sistema es alterar o destruir el sistema de login, ellos lo saben asi que vuelven a la carga con la tecnica del muro doble y algo que llaman "drop safe logging" que consiste mas o menos en que el log se mantiene en el muro interior a salvo del atacante que solo "ve" el muro exterior, asimismo el log se puede redirigir a impresoras o cintas de backup y por supuesto dota al administrador de elevadas capacidades para ver, controlar y monitorizar diversos usos del sistema. Eso es todo, amigos.