Upload File

seguridad - firewalls profesionales

4
or lo general, cuando hablamos de fire- walls, lo primero que se nos viene a la mente son programas como Zone Alarm o Kerio Personal Firewall. Si bien éstos son muy buenos a la hora de realizar una configuración de seguridad personal o de tipo SOHO (Small Office – Home Office, redes hogareñas), no son lo suficientemente versátiles ni poderosos como para operar en entornos de gran- des empresas, que tienen requerimientos evidentemen- te superiores. Veamos, entonces, de qué se tratan los firewalls de uso profesional. SOLUCIONES CORPORATIVAS Las redes de las grandes empresas suelen destacarse por presentar una complejidad superior a las “comu- nes”: numerosas direcciones IP (que en muchas oca- siones no pertenecen al mismo segmento), subredes, VPNs, DMZ (si ya están perdidos, consulten el glosa- rio), redes de acceso público, etc. Recuerden que las IPs en una LAN suelen ser privadas, es decir, perte- necientes a segmentos no ruteables desde Internet: 192.168.x.x, 10.x.x.x y el rango comprendido entre 172.16.0.0 a 172.31.255.255. Existen en el mercado varias marcas que proveen de estas soluciones a las empresas; entre ellas, Cisco Pix (www.cisco.com), WatchGuard (www.watchguard.com), Intel Shiva (www.shiva.com), SonicWall (www.sonicwall- .com) y Nokia (www.nokia.com). Este último firewall es uno de los más poderosos (y caros), ya que cuenta con múlti- ples opciones, sin que esto signifique mayor complejidad a la hora de realizar la configuración. Por eso, a lo largo de esta nota basaremos nuestros ejemplos en él. Una pregunta que puede surgir es: “¿entonces los firewalls corpo- rativos son por hardware, mientras que las soluciones hogareñas son por software?”. No. Todos los firewalls son por software. El hecho de que se distribuyan en un hardware diseñado para sopor- tarlo es un agregado más de seguridad, ya que no se utiliza nin- guna PC del circuito de la red que se va a proteger, pero sería el equivalente a adquirir el software e instalarlo en una máquina que sólo comparta la conexión a Internet y realice los filtros del firewall (y, por qué no, también un buen antivirus). Un claro ejemplo es el de Check Point, una empresa desarrolladora de soft- ware que, en asociación el Nokia (que creó un sistema operativo especial para soportar el Check Point y hacerlo más estable y se- guro), distribuyen el producto en cuestión. CHECK POINT FIREWALL-1 Si bien existe una solución CP para cada sistema (Solaris, Li- nux, Windows, etc.), en mi opinión el kit ideal es el provisto por Nokia, con el hardware incluido, que dependiendo del caso, puede llegar a ser un equipo similar a cualquier CPU como las que tenemos en casa. Este kit consta, básicamente, de un pro- cesador; disco rígido; interfaces Ethernet; interfaz y puerto se- rial; conectores para teclado, mouse y monitor, y un conector para consola. Este último elemento es de suma importancia, ya que el nivel de protección es tan alto, que frente a un gran riesgo o a una configuración equivocada por parte del adminis- P PABLO D. HAUSER SECURITY OPERATIONS CENTER, IMPSAT [email protected] 56 POWERUSR .seg CUANDO ZONE ALARM Y KERIO QUEDAN CHICOS... FIREWALLS PROFESIONALES « EL SITIO WEB DE CHECK POINT (www.checkpoint.com) POSEE MUCHA INFORMACION SOBRE LAS HERRAMIENTAS Y LOS FIREWALLS DESARROLLADOS POR LA COMPAÑIA. A NIVEL EMPRESARIAL, UN FIREWALL “HOGAREÑO” QUEDA MUY LIMITADO FRENTE A SOLUCIONES DE HARDWARE Y SOFTWARE PROVISTAS POR FABRICANTES. EN ESTA NOTA HAREMOS UNA INTRODUCCION AL USO Y FUNCIONES DE LOS FIREWALLS PARA GRANDES REDES. 01 FIGURA UN SITIO MUY UTIL DONDE ENCONTRAR AYUDA O DEJAR APORTES DE NUESTRAS EXPERIENCIAS ES EN LOS BLOGS DE PHONEBOY (www.phoneboy.com). 02 FIGURA

Upload: ronalkuino

Post on 24-Nov-2015

37 views

Category:

Documents


0 download

Report

TRANSCRIPT

  • or lo general, cuando hablamos de fire-walls, lo primero que se nos viene a lamente son programas como Zone Alarm o

    Kerio Personal Firewall. Si bien stos son muy buenosa la hora de realizar una configuracin de seguridadpersonal o de tipo SOHO (Small Office Home Office,redes hogareas), no son lo suficientemente verstilesni poderosos como para operar en entornos de gran-des empresas, que tienen requerimientos evidentemen-te superiores. Veamos, entonces, de qu se tratan losfirewalls de uso profesional.

    SOLUCIONES CORPORATIVASLas redes de las grandes empresas suelen destacarsepor presentar una complejidad superior a las comu-nes: numerosas direcciones IP (que en muchas oca-siones no pertenecen al mismo segmento), subredes,VPNs, DMZ (si ya estn perdidos, consulten el glosa-rio), redes de acceso pblico, etc. Recuerden que lasIPs en una LAN suelen ser privadas, es decir, perte-necientes a segmentos no ruteables desde Internet:192.168.x.x, 10.x.x.x y el rango comprendido entre 172.16.0.0 a 172.31.255.255.Existen en el mercado varias marcas que proveen deestas soluciones a las empresas; entre ellas, CiscoPix (www.cisco.com), WatchGuard (www.watchguard.com),Intel Shiva (www.shiva.com), SonicWall (www.sonicwall-.com) y Nokia (www.nokia.com). Este ltimo firewall es

    uno de los ms poderosos (y caros), ya que cuenta con mlti-ples opciones, sin que esto signifique mayor complejidad a lahora de realizar la configuracin. Por eso, a lo largo de estanota basaremos nuestros ejemplos en l.Una pregunta que puede surgir es: entonces los firewalls corpo-rativos son por hardware, mientras que las soluciones hogareasson por software?. No. Todos los firewalls son por software. Elhecho de que se distribuyan en un hardware diseado para sopor-tarlo es un agregado ms de seguridad, ya que no se utiliza nin-guna PC del circuito de la red que se va a proteger, pero sera elequivalente a adquirir el software e instalarlo en una mquinaque slo comparta la conexin a Internet y realice los filtros delfirewall (y, por qu no, tambin un buen antivirus). Un claroejemplo es el de Check Point, una empresa desarrolladora de soft-ware que, en asociacin el Nokia (que cre un sistema operativoespecial para soportar el Check Point y hacerlo ms estable y se-guro), distribuyen el producto en cuestin.

    CHECK POINT FIREWALL-1Si bien existe una solucin CP para cada sistema (Solaris, Li-nux, Windows, etc.), en mi opinin el kit ideal es el provistopor Nokia, con el hardware incluido, que dependiendo del caso,puede llegar a ser un equipo similar a cualquier CPU como lasque tenemos en casa. Este kit consta, bsicamente, de un pro-cesador; disco rgido; interfaces Ethernet; interfaz y puerto se-rial; conectores para teclado, mouse y monitor, y un conectorpara consola. Este ltimo elemento es de suma importancia, yaque el nivel de proteccin es tan alto, que frente a un granriesgo o a una configuracin equivocada por parte del adminis-

    P

    PABLO D. HAUSERSECURITY OPERATIONS CENTER, [email protected]

    56 POWERUSR

    .seg

    CUANDO ZONE ALARMY KERIO QUEDAN CHICOS...

    FIREWALLSPROFESIONALES

    EL SITIO WEB DE CHECK POINT (www.checkpoint.com) POSEE MUCHA INFORMACION SOBRE LAS HERRAMIENTAS Y LOS FIREWALLS DESARROLLADOS POR LA COMPAIA.

    A NIVEL EMPRESARIAL, UN FIREWALLHOGAREO QUEDA MUY LIMITADOFRENTE A SOLUCIONES DE HARDWARE Y SOFTWARE PROVISTAS PORFABRICANTES. EN ESTA NOTA HAREMOSUNA INTRODUCCION AL USO Y FUNCIONESDE LOS FIREWALLS PARA GRANDES REDES.

    01FIGURA

    UN SITIO MUY UTIL DONDE ENCONTRAR AYUDA O DEJARAPORTES DE NUESTRAS EXPERIENCIAS ES EN LOS BLOGS DE PHONEBOY (www.phoneboy.com).02

    FIGURA

    FIREWALLS.qxd 10/15/03 11:23 AM Page 56

  • 57POWERUSR

    trador de seguridad que lo deje fuera delcircuito seguro, ser la nica manera depoder controlar nuevamente el firewall,notebook y cable especial mediante.El kit viene con el CD de instalacin del sis-tema operativo, y una vez que configuramoscorrectamente todos sus parmetros, procede-mos a la instalacin del firewall. El SO pro-visto por Nokia es el IPSO, un FREEBSD ba-sado en Linux y desarrollado especialmentepara Check Point. Se trata de una versin re-ducida, para aprovechar al mximo sus ca-ractersticas de seguridad y eliminar los de-ms aspectos del sistema. La instalacin pue-de ser algo engorrosa, ya que no es nadaamigable; ninguno de sus pasos es grfico,pero basta con poner un poco de concentra-cin durante el proceso y nunca ms debere-mos volver a tocarlo.

    LA INTERFAZLa instalacin del firewall se realiza de lamisma manera, pero la administracin estotalmente grfica y es ah donde se simpli-fica el trabajo. Una de las grandes diferenciasentre Check Point y el resto del software deseguridad es que la administracin se realizaa travs de un cliente GUI, que nos permitemanejar todo de manera ultrasencilla; encambio, las dems soluciones dan acceso alequipo por HTTP o HTTPS, o (dependiendo dela marca elegida) a una consola centralizado-ra en caso de que tengamos varios equiposen produccin para administrar. Una vez ac-tivado el motor del firewall, se puede operarin situ o remotamente, conectndose a la IPpblica del equipo a travs de una herra-mienta tambin provista por CP: el Secu-reCRT para el IPSO (conexin encriptada porTelnet) y el GUI Client para el Firewall-1.

    REGLASLas reglas de filtrado del firewall se ejecutanen forma secuencial, comenzando desde la#0 (predefinida en [Policy/Properties]), hastala ltima que hayamos creado. Para com-prenderlo, es necesario que observemos la Figura 6: las reglas que se crean van reci-biendo un nmero secuencial dependiendodel lugar de la tabla donde las ubicamos.En la imagen vemos las reglas de la #1 a la#5; sin embargo, la regla #0 no se ve, yaque es tomada por defecto en el firewall es-pecificando ciertos parmetros. Estos puedenser, por ejemplo, aceptar ping (ICMP), aceptarresolucin de nombres (DNS) y aceptar pa-quetes de salida desde el firewall, entre otros.La importancia de definir un orden para lasreglas radica en que, de lo contrario, se

    DENTRO DE LOS FIREWALLS DE ALTA GAMAEXISTEN DIFERENTES OPCIONES SEGUN LASNECESIDADES QUE UNA RED PUEDA TENER. LOS MODELOS DE MAYOR TAMAO SUELEN SERFISICAMENTE VERSATILES Y PODEROSOS.

    QUIENES UTILICEN LINUX ESTARAN ACOSTUMBRADOS AINTERFACES POCO AMIGABLES, COMO LA DE IPSO A TRAVESDE SECURECRT, QUE VEMOS EN ESTE CASO.03

    FIGURA

    ELNAVEGADORDE REDVOYAGER,VISTO DESDELYNX(ARRIBA) E INTERNETEXPLORER(IZQUIERDA).

    04FIGURA

    05FIGURA

    FIREWALLS.qxd 10/15/03 11:23 AM Page 57

  • 58 POWERUSR

    pueden obtener resultados no deseados a causa deconflictos entre ellas. En nuestro ejemplo, la regla #4dice que desde cualquier origen, hacia cualquier desti-no, mientras sea por el conjunto de puertos NBT (basu-ra NetBios), los paquetes sean rechazados. Si al da si-guiente, sin darnos cuenta insertamos una nueva reglaen la posicin #2 que diga exactamente lo contrario(todos los paquetes por NBT son aceptados), la reglaanterior carecer de utilidad.Afortunadamente, al momento de instalar las reglas,Check Point cuenta con un compilador que nos adviertede algunos errores de este tipo, para que podamos corre-girlos y no surjan estas incoherencias.Adems de la grfica para las reglas, existe tambinuna interfaz web con varias de las opciones de confi-guracin de IPSO llamada Voyager, que nos permiteevitar la interaccin hostil con IPSO. En caso de noposeer un navegador, un llamado Lynx incluido en elsistema hace las veces de browser, pero obviamente, li-mitado en su interfaz.

    DMZ Y VPNComo mencionamos al principio de la nota, una red,adems de tener su acceso LAN y WAN, puede presen-tar una tercera zona: la DMZ (de DeMilitarized Zone,Zona Desmilitarizada; trmino que se usa en el campomilitar como un rea pacfica de intercambio entre ene-migos). La DMZ actuara como una interseccin de lared confiable o LAN y la red insegura o WAN (Internet).Dentro de la DMZ se suelen configurar equipos de ac-ceso pblico, pero tambin de acceso interno, como

    EL EDITOR DE POLITICAS DE CHECK POINT GUI CLIENT. NOTEN EL ORDEN DE PRIORIDAD DE LAS REGLAS ESTABLECIDAS,CON SU CORRESPONDIENTE ACCION, ORIGEN, DESTINO Y HORARIO, ENTRE OTRAS COSAS. DETERMINAR UN CORRECTOORDEN DE LAS REGLAS ES FUNDAMENTAL PARA NO CREAR CONFLICTOS ENTRE ELLAS.

    NUMEROSAS COMPAIAS OFRECEN SOLUCIONES DE FIREWALLS CORPORATIVOS. ENTRE ELLAS, LA DE CISCO PIX,WATCH GUARD, INTEL SHIVA, SONIC WLL Y NOKIA. AQUI VEMOS UN RACK NOKIA IP350, CON CUATRO CONECTORESDE RED Y DOS PUERTOS SERIE EN EL FRENTE, ADEMAS DE UN SLOT PARA TARJETAS PCMCIA.

    WebServers, MailServers, SQLServers, FTPServers, DNS-Servers, etc. El router-firewall (s, CP tambin permitela carga de rutas estticas a travs de Voyager) posibi-lita que los accesos a la DMZ no traspasen a la LAN,haciendo que la red confiable lo siga siendo aun coninformacin publicada en Internet.Las VPN son, como su nombre lo indica (Virtual PrivateNetworks, redes privadas virtuales), extensiones de lared privada de la empresa. Para dar un ejemplo, imagi-nen que en su empresa los envan a una presentacin so-bre sus productos en Europa, pero necesitan estar conti-nuamente en conexin, para tomar los ltimos datos so-bre los cambios en los modelos, precios, etc. Esta infor-macin es netamente confidencial, y no sera serio niprudente realizar envos por mail u otros medios. Aqu esdonde entran las VPNs. Por la red no confiable (en estecaso, Internet) se realiza una comunicacin entre el clien-te de la mquina viajante y el servidor en el firewall, pa-ra intercambiar datos sobre el formato de encriptacinque se utilizar (FWZ, IKE), los algoritmos (DES, 3DES,CAST, etc.), los secretos compartidos previamente esta-blecidos y la validacin del cliente. Si esta comunicacines exitosa, se crea un tnel de encriptacin por dondecircularn todos los datos sin riesgo, como si se estuvieradentro de la LAN, hasta que finalice la sesin. CheckPiont permite un manejo de los usuarios a autenticar aun nivel tan especfico, que si as se indicara, una perso-na podra validar para el ingreso SOLO si se cumpliera lapeticin mediante un puerto X, desde una mquina Y, yhacia un host Z. Para obtener ms informacin sobreVPNs, pueden visitar el sitio http://vpn.shmoo.com.

    06FIGURA

    FIREWALLS.qxd 10/15/03 11:23 AM Page 58

  • 59POWERUSR

    LOGSUna de las herramientas ms tiles con los que contamos a la hora de rea-lizar debugging (seguimiento paso por paso de un procedimiento paradetectar errores y sus casusas) cuando un problema no es fcilmentevisible es el log en tiempo real que brinda Check Point, una verdaderaventaja frente a sus competidores, ya que algunos de ellos ni siquiera con-templan un registro en modo texto.Mediante el log se pueden monitorear todos los accesos de los paquetesque circulan a travs del firewall, filtrando por varios campos de los cualeslos ms utilizados son: origen, destino, accin, servicio, protocolo, usuario ynmero de regla de filtrado.El log tambin nos permite la resolucin de nombres de las IPs que visualiza-mos en las columnas de origen y de destino. Por lo tanto, si tenemos esta op-cin habilitada y realizamos, por ejemplo, un ping a la direccin 200.80.42.95,en el log veremos como origen nuestra IP, como destino www.tectimes.com, servicio ICMP, y si es aceptado o no.

    HASTA AQUI LLEGAMOSPara finalizar, hay que remarcar algunas de las bondades del manejo deCheck Point mediante la interfaz grfica: se pueden crear objetos y gru-pos de objetos, como PCs, redes, dominios, servers, etc. De la misma ma-nera se manejan los servicios (la mayora de los de uso frecuente, comoHTTP, FTP, SMTP y dems estn creados, pero es posible agregar nuevos,como TCP, UDP, RPC, ICMP, etc.). En caso de tener un grupo de firewallsadministrados por la misma consola, se le puede indicar qu reglas se ins-talan sobre qu firewall; permite realizar NAT de los objetos o redes conla IP pblica del firewall para que puedan acceder correctamente a Inter-net, y en caso de que un objeto posea una IP pblica, tambin permiteNAT esttico (como el caso de los WebServers). Por otra parte, permite au-tenticacin de usuarios por password o por SecureID, previa creacin delobjeto servidor de sincronizacin de los Tokens; realiza anti-spoofing;permite restringir el ancho de banda del trfico; y muchsimas opcionesms. Lo que se dice, una herramienta bien completa

    GLOSARIOSI ALGUN TERMINO LES SUENA UN TANTO EXTRAO, AQUI TIENEN UNA BREVE EXPLICACION:

    3DES Algoritmo de encriptacin simtricabasado en la repeticin de DES. Utiliza llave de 168 bits de longitud.

    CAST Carlisle Adams / Stafford Tavares.Grupo de cifrado similar al DES.

    DES Data Encryption Standard (Encriptacin Estndar de Datos). Uno de los ms populares algoritmos de encriptacin simtrica desarrollado por IBM. Utiliza llave de 56 bits de longitud.

    DMZ Demilitarized Zone (Zona Desmilitari-zada). Se aplica al rea donde las redes,tanto confiables (LAN) como no confiables(Internet), se cruzan accediendo a un mismo equipo.

    FIREWALL (FW) Software dedicado a evitarla intrusin o el acceso de informacin no deseada a travs de los puertos abiertos en la mquina. Se combina con hardware dedicado para hacer msefectivo su funcionamiento.

    FREEBSD SO derivado de Unix para PC Intel y compatibles (x86).

    FWZ Protocolo de encriptacin propietario desarrollado por Checkpoint.No puede ser enmascarado.

    GUI Graphical User Interface (Interfaz Grfica de Usuario). Se refiere a tcnicasque utilizan ventanas grficas que permiten un fcil manejo de aplicacionesmediante teclado y mouse.

    IKE Protocolo de encriptacin que utilizaestndares Ipsec. Puede ser enmascarado.

    IP Internet Protocol. Protocolo que juntocon TCP (Transfer Control Protocol, Protocolo de Control de Transmisin) se encarga de efectivizar las comunicacio-nes en red. La direccin IP es el identifica-dor de cada host dentro de la red.

    IPSEC Conjunto de protocolos estndar utilizados para implementar comunicacio-nes seguras e intercambio de llaves entrecomputadoras, generalmente utilizado para establecer las VPNs.

    TELNET Comando que permite accesos aterminales o servidores a travs de unared. Los comandos enviados por Telnet son ejecutados en la mquina remota comosi estuviramos frente a ella.

    VPN Virtual Private Networks (Redes Priva-das Virtuales). Extensiones de la red LANconfiable a pesar de la distancia. Se crean atravs de la red no confiable (Internet) perodentro de un tnel encriptado.

    TODOS LOS FIREWALLS SON POR SOFTWARE. EL HECHO DE QUE SE DISTRIBUYAN EN UN HARDWARE DISEADO PARA SOPORTARLO ES UN AGREGADO MAS DE SEGURIDAD, YA QUE NO SE UTILIZA NINGUNA COMPUTADORA DEL CIRCUITO DE LA RED QUE SE VA A PROTEGER.*

    VISTA DEL LOG EN TIEMPO REAL. PUEDE PERSONALIZARSE PARA TENER A MANO TODAS LAS HERRAMIENTAS QUE NOS AYUDENA DESCUBRIR UN PROBLEMA.07

    FIGURA

    FIREWALLS.qxd 10/15/03 11:23 AM Page 59


Firewalls Perimetrales. Conceptos Generales, evolución de los firewalls Operación básica ¿En que capa trabaja el Firewall? Tipos de Firewalls Filtro de

Seguridad sin concesiones: Firewalls de última generación adaptables y sensibles al contexto

Aula 10 - Firewalls - ZBF

ART.redundant Firewalls

Firewalls - gta.ufrj.br

firewalls - español

Ejercicios de Seguridad en Redes. Firewalls y túneles cifrados

SEGURIDAD DE LOS PROFESIONALES SANITARIOS

Tema seguridad de riesgos profesionales i

Firewalls iptables

06 airc firewalls

Firewalls NAT Proxy

Metodologia 03 Firewalls

SEGURIDAD EN LA RED: FIREWALLS Y ENCRIPTACIÓN€¦ · FIREWALLS Y ENCRIPTACIÓN ARISO Alumnes: JUAN ANTONIO FERNÁNDEZ ALEJANDRO RÍOS BLANCO Diciembre del 2001. Introducción a

Perfiles profesionales-seguridad-informatica-practico

Soluciones Perimetrales Seguridad Perimetral Con Firewalls Taller 38110

Stateful Firewalls

Linux Firewalls Guía Avanzada.pdf

1 Firewalls Firewalls Firewalls von Hendrik Lennarz Hendrik Lennarz

Firewalls Dedicados

2002, Edgard Jamhour FIREWALLS Edgard Jamhour. 2002, Edgard Jamhour Segurança de Redes Firewalls –Firewalls com estado e sem estado. Arquiteturas de Firewall

Arquitectura de firewalls

L30 - Statelesss Firewalls

Firewalls Opensource

Principales estándares para la seguridad de la información ... · Seguridad de información es mucho más que establecer firewalls, aplicar parches para corregir nuevas vulnerabilidades

seguridad de riesgos profesionales

Firewalls - Columbia Universitysmb/classes/f06/l15.pdf · Why Use Firewalls? Firewalls What’s a Firewall Why Use Firewalls? Tradttional Firewalls by Analogy Should We Fix the Network

Firewalls e Iptables

Les Firewalls

Firewalls 2015

Firewalls de Siguiente Generación Expandiendo la seguridad

p Vl Firewalls

Designing firewalls

Firewalls IDS

Firewalls IPv6