SET 39 Call For Papers

¿Eres un hacker? Si deseas pasar a formar parte de la historia del hacking hispano, colabora con la próxima edición de SET 39 enviándonos un artículo. No esperes más, esta es tu oportunidad de demostrar lo que sabes. Ayúdanos a construir una revista de hackers para hackers. SET Staff

Firewalls y Proxys II

      2515

Autor: Paseante
IIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIII
o 15. FIREWALLS Y PROXYS II                                                 o
IIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIII


Hola y Bienvenidos.

En el anterior numero de Saqueadores vimos que es y para que sirve un
firewall y un proxy, tambien dimos un repaso a las principales
caracteristicas de una aplicacion proxy, vamos a ver a continuacion algunas
de las tecnicas implementadas para defender una intranet, no estan todas las
que son ni son todas las que estan pero da una buena idea de los metodos de
defensa que puede tener una intranet bien protegida.

Todo ello es con caracter meramente divulgativo.



Introduccion

Cuando se habla del sistema de seguridad de una red de ordenadores se tienen
que tener en cuenta varios aspectos en su dise€o, un mecanismo de proteccion
como el firewall no debe proteger solo la red interior, debe ser capaz de
protegerse A SI MISMO.
Hay distintos mecanismos para proteger por un lado al firewall y por otro a
la red a la que sirve de guardian, en algunos casos estos mecanismos son
comunes.
Asi en este capitulo vamos a explicar alguna de las maneras en que un
firewall se protege a si mismo y como protege a los sistemas a el conectados,
veremos los principios de dise€o y operativos de estos sistemas de proteccion.
Con intencion educativa, repito.



Fundamentos de Seguridad

Es decir los principios generales en los que debe basarse el dise€o de un
sistema de seguridad (sea proxy o firewall)

Politica principal: Todo aquello que no esta expresamente permitido esta
prohibido

Politica de Dise€o: Encaminada a la minimizacion y la simplicidad (Lo bueno
si breve dos veces bueno)

Politica de Escepticismo: Tras dotar al firewall de todas las protecciones
disponibles se toma en consideracion que se pueden desarrollar nuevas
tecnicas y que ningun grado de seguridad es absoluto.


--- Proteccion del Host Firewall--


La solucion Turnkey

Solo se permite el login del administrador, los usuarios solo pueden hacer
login en la red protegida o via consola.
Cualquier programa o utilidad innecesaria o potencialmente peligrosa es
desinstalada.


Aclaraciones de Paseante
------------------------------------------------------
Siguiendo con el caracter meramente informativo, aqu¡ vienen alguna de las
acciones que activan la notificacion de alarma:

- Intento de acceso a puertos restringidos
- Intento de acceso a cualquier puerto superior al 1024

Y ahora aquello de lo que se hace logging.

- Registro de todos los paquetes rechazados
- Registro de todos los procesos de login que han sido incorrectos
- Registro de todos los host externos cuya direccion IP no coincide con
  el DNS enviado al firewall
----------------------------------------------------------

Restriccion de acceso al Firewall

No se permite cuentas de usuario en ningun ordenador que ejerza de firewall
No se permiten logins desde el exterior al firewall
Las cuentas de super-usuario solo se pueden activar desde la consola del
sistema
En caso de muro-doble (ver mas abajo) ni siquiera el administrador tiene
derecho a utilizar la red privada que comunica los dos muros.
Un programa se encarga de manera regular de chequear la integridad del
sistema
Para efectuar un cambio de configuracion del sistema se requiere un 'reboot'
Y para acabar, algunos modelos tambi‚n gozan de protecciones fisicas.


--Proteccion de la red interior--


IP spoofing

Se previene el ataque mediante IP spoofing desde cualquiera de los dos lados
del firewall.


Sistemas de Una Mision

Utilizan hardware y software para implementar un firewall que solo tiene una
funcion: la seguridad y una mision: proteger a la red, en lugar de
conformarse con una aplicacion de soft se intenta elevar el nivel de
proteccion con un sistema dedicado

Aclaraciones de Paseante
-----------------------------------------------
Esta solucion (tener un host dedicado) es dada de lado por muchas empresas
por el coste que supone dedicar una maquina bastante cara a la tarea exclusiva
de proteger la red, evidentemente el nivel de proteccion de esas redes es
menor.
-------------------------------------------------



Construcciones de Muro Doble

Los firewalls se construyen con la tecnica de "muro doble", en este caso el
firewall consta de dos sistemas separados fisicamente (muro exterior e
interior) conectados por una red privada (tipo DMZ por ejemplo), si alguien
es capaz de comprometer el muro exterior el muro interior protege la red
cortando su red DMZ y aislando la red interior.

Aclaraciones de Paseante
-------------------------------------------------------
El muro interior se rige por el "pesimismo", solo acepta paquetes si
responden a una peticion originada en el interior de la red o provienen de
uno de sus proxies, por descontado guarda toda la informacion sobre las
transacciones.
šY si llega otro paquete que no viene de ninguna de esas dos fuentes?. En
ese caso se pone a la defensiva de modo espectacular, de manera inmediata
corta la red privada que le une al muro exterior y alerta sobre una violacion
de seguridad critica (quizas un poquito exagerado pero funciona)
šQue? šQue os parece el truquillo?. Lo ponen dificil pero la logica es muy
asumible, en un sistema con un solo firewall si lo comprometes ganas acceso a
toda la red, en este caso lo unico que ganas es aislar la red (aunque puede
que sea eso lo que busques)
------------------------------------------------------------




Acceso transparente a la red

Los firewalls ofrecen acceso transparente a la red externa a las aplicaciones TCP/IP
del interior de la red, esto significa que tanto los Pc como Macs y sistemas
UNIX operan normalmente a traves del firewall.
Aplicaciones comunes como Telnet, Ftp, Gopher y browsers WWW se pueden
utilizar sin modificarse asi como aplicaciones adicionales (Archie, Ping,
Directorio X-500..).
Esto elimina todo lo que hemos visto de utilizar proxies aunque lo mas
utilizado siga siendo el ejecutar proxies conviene saber que existe esto y es
que los fabricantes no descansan. ;)


Clave de un solo uso

Ya lo hemos visto antes, uno de los principales medios de entrar en una red
es conseguir burlar el sistema de passwords por lo que ante la casi certeza
de que a algun usuario le "birlarian" la clave tarde o temprano se opta por
usar claves que no se pueden 're-utilizar' del tipo pregunta-respuesta
(S/Key, Digital Pathways, CRYPTOCard..)


Ocultacion de Dominios

El firewall oculta el dominio interno de la red protegida, si se posee un
"muro doble" la unica parte que expone su dominio es el "muro exterior", esto
no interfiere en permitir que se realice e-mail, telnet y otros servicios
aprobados hacia la red interna.
De manera adicional el correo enviado desde la red interna sera "despojado"
de la informacion comprometedora (con respecto a host y DNS) que podria dar
a un potencial atacante una idea de la configuracion interior de la red.


Traduccion de Direcciones de Red

Todas las direcciones IP internas son traducidas o remapeadas a la direccion
IP del firewall expuesto. šQue significa esto?. Pues que todos los paquetes
de datos que se originan dentro de la red aparecen como provinientes del
firewall, esto permite que una empresa registre una sola direccion IP y que
luego internamente use todas las que quiera.


Filtrado Inteligente de Paquetes

Todos los paquetes dirigidos hacia el firewall son inteligentemente (supongo
que con una inteligencia limitada :) ) filtrados para impedir el acceso a
puertos no autorizados, se permite la conexion solo a hosts autorizados y el
administrador puede conceder o denegar acceso de manera amplia hasta
combinaciones especificas de host/puerto.
(O sea que puede prohibir a todo el mundo usar el puerto x, o solo al host
tal, o solo el host x puede usar el puerto z... toda la gama)


Logging

Una de las primeras cosas que hace un hacker cuando consigue entrar en un
sistema es alterar o destruir el sistema de login, ellos lo saben asi que
vuelven a la carga con la tecnica del muro doble y algo que llaman "drop
safe logging" que consiste mas o menos en que el log se mantiene en el muro
interior a salvo del atacante que solo "ve" el muro exterior, asimismo el
log se puede redirigir a impresoras o cintas de backup y por supuesto dota al
administrador de elevadas capacidades para ver, controlar y monitorizar
diversos usos del sistema.

Eso es todo, amigos.