WIXLIB

Unidad 2. Defensa perimetral de la redEl PROXY realiza una copia de todos los paquetes y cambia su dirección de origen, con el propósito deocultar la dirección interna de las redes externas. Posteriormente el PROXY recibe una contestación delservidor destino en la red externa, por lo cual es responsabilidad del PROXY reenviar la respuesta al hostcliente.2.1.5 Beneficios de la utilización de Firewalls de capa de aplicaciónLos servidores PROXY monitorean y controlan el tráfico de salida/entrada, ayudando proteger los recursosque se encuentran dentro de la red interna. El servidor PROXY establece la sesión, la autenticación deusuario, y las políticas de acceso. Bajo este contexto, los usuarios se conectan a los servicios a través dePROXIES corriendo en el Gateway que conecta con redes no protegidas o externas.Los firewalls de aplicación son responsables de filtrar las pacas tres, cuatro, cinco y siete del modelo OSI.Implementando en la capa de aplicación, se tienen gran control sobre el tráfico filtrado a diferencia de losdemás tipos de firewalls. Por lo general, los firewalls de este tipio soportan filtrados de seguridad sobreaplicaciones e-mail, servicios web, DNS, Telnet, FTP, redes de noticias, etc.VentajaAutenticación individual,no por dispositivoMayor dificultad alintentar ataques despoofing y DoSPueden monitorear yfiltrar los datos deaplicaciónPuede proporcionarbitácoras de accesoDescripciónEste tipo de firewall permite la autenticación de la solicitudde conexión por cada usuario, en lugar de la autenticaciónsolamente del dispositivo.Los firewalls de aplicación pueden prevenir ataquesspoofing y detectar ataques DoS, reduciendo la carga de losrecursos internos.Los ataques de aplicaciones como URLs malformadas,intentos de desbordamiento de bufer, acceso no autorizadoy otros, pueden ser fácilmente detectados, debido a que sepuede monitorear todos los datos de la conexión.A través de esta opción el administrador puede monitorearel tráfico que pasó en determinado momento a través delfirewall. Esta capacidad es útil para identificar varios tiposde ataques, identificando desde que origen se perpetro elataque. Adicional, te permite identificar cuanto ancho debanda es utilizado por aplicación, y qué tan a menudo losusuario utilizan un recurso interno.10

Unidad 2. Defensa perimetral de la redVentajas de los firewalls de aplicacionesLos Firewalls de capa de aplicación controla qué usuarios internos pueden acceder a recursos en redesexternas, por ejemplo, en la Internet. Esto es porque trabajan en la capa siete del modelo OSI y puedeidentificar cada tipo de servicio como FTP o HTTP. En algunas configuraciones, los servidores PROXY sonutilizados para bloquear todo el tráfico interno y sólo permitir a ciertos usuarios acceder a la Internet. Eneste tipo de implementaciones, sólo los paquetes de respuesta hacia conexiones internas son permitidospor el firewall.Software controlador - PInternetRed InternaLANServidor Proxy de nivel de aplicaciónHay que tener en claro que un PROXY separa las redes confiables de las no confiables ya sea lógica ofísicamente.11

Unidad 2. Defensa perimetral de la red2.2 Limitaciones de los Firewall de aplicaciónDebido al exhaustivo análisis que realizan los dispositivos de este tipo, se requiere de un gran uso deprocesador y memoria. La información que brinda la bitácora, es sumamente detallada por lo cual tambiénse requiera gran cantidad de espacio de almacenamiento en disco duro.Para reducir la limitante anterior, se puede limitar el análisis de paquetes hacia sólo ciertos tipos como email, Telnet, FTP o servicios web. Para reducir aún más el uso del procesador, se pude limitar el análisis deconexiones para sólo ciertos dispositivos de la red interna. La desventaja de esta medida es que no todoel tráfico se analizará generando vulnerabilidades que los atacantes podrían identificar y explotar.2.2.1 Firewall de filtrado de paquete estáticoTípicamente este firewall filtra el tráfico basándose en la capa tres del modelo OSI, la capa de red, o de lacapa IP tomando como base el modelo TCP/IP. Utiliza reglas de filtrado y listas de acceso (ACLs) parapermitir o denegar el tráfico, basándose en el origen y dirección IP de destino, así como también, en lospuertos de origen y destino y tipo de paquete. Las reglas configuradas ayudan al firewall a decidir sirechazan un paquete desde la red externa que intente llegar a una localidad dentro de la red interna.Es importante recordar que cada servicio de red utiliza un determinado puerto. Este tipo de Firewallspueden control el tráfico basándose en los puertos. Por lo tanto, al restringir determinados puertos, sepueden restringir los servicios que utilizan dichos puertos. Si se desea bloquear tráfico web desde un hostdeterminado, puedes bloquear específicamente el puerto 80, impidiendo que un host pueda alcanzar losrecursos www.2.2.2 Filtrado de paquetes por Firewall de estadoEs la tecnología de filtrado de paquetes más utilizada, estos dispositivos se conocen como Firewalls deestado. La habilidad del filtrado de paquetes dinámico es brindada a través de estos dispositivos. Lainspección por estado es una tecnología que trabaja en la capa de red. A diferencia del filtrado de paquetesestático, la cual examina los paquetes basándose en a información de sus cabeceras, la inspección porestado puede identificar cada conexión que atraviesan todas las interfaces del firewall y confirmar si sonválidas o no.12

Unidad 2. Defensa perimetral de la red2.2.3 Filtrado de paquetes por estado y la tabla de estadoEl filtrado de paquetes por estado mantiene una tabla de estado como parte de la estructura interna delfirewall. Esto permite inspeccionar todas las sesiones y todos los paquetes que atraviesan el firewall. Si elpaquete coincide con propiedades de la tabla de estado, el firewall permite el paso de los mismos.Dependiendo del flujo del tráfico, los valores de la tabla de estado pueden cambiar de manera dinámica.Estos dispositivos trabajan en la paca tres, cuatro y cinco del modelo OSI. El Firewall de estado examina lacabecera TCP para identificar SYN, RST, ACK, FIN, y otros códigos de control para determinar el estado dela conexión.Siempre que se accede a un servicio de redes externas, el Firewall graba los detalles de la solicitud en latabla de estado. Cuando una conexión TCP o UDP es establecida, ya sea de entrada o salida, el Firewallregistra en la tabla de estado de la sesión. El Firewall compara los paquetes recibidos con el estadoguardado y determina si permite o deniega el acceso a la red.Las direcciones de origen y de destino, números de puerto, información de secuencia TCP y banderasadicionales por conexiones TCP o UDP asociadas con una sesión en particular son contenidas en la tablade estado de sesión. Esta información, en conjunto, crea un objeto de conexión. El Firewall utiliza esteobjeto de conexión para comparar todos los paquetes de entrada y salida con el flujo de sesión con la tablade estado.2.2.4 Vulnerabilidad en los Firewall de estadoAdemás de que esta tecnología ofrece velocidad y transparencia para el filtrado de tráfico tienen unadesventaja potencial. Recordemos, los paquetes deben de establecer un camino hacia la red externa, porlo cual la IP interna puede ser expuesta a ataques potenciales. Para protegerse en contra de esto, lamayoría de los Firewalls incorporar inspección por estado, NAT y servidores PROXY para adicionarseguridad.13

Unidad 2. Defensa perimetral de la redUso de FirewallPrimer punto de defensaUna línea inteligente dedefensaFiltrado de paquetesfuerteMejoramiento delperformance del ruteoDefensa en contra deataques spoofing y DoSDescripciónLos Firewalls de estado puede ser el primer punto dedefensa por filtrado de paquetes, detectando conexiones nosolicitadas, tráfico innecesario o indeseable.Los routers que incorporar funciones de Firewalls de estadopueden ser usados como primera línea de defesa o comoseguridad adicional perimetral.Los Firewalls de estado brindan una excelente relacióncosto-beneficio, al brindar un control detallado sobre latecnología de filtrado de paquetes.Los Firewalls de estado brindan un mejor performance quesolamente el filtrado de paquetes común o los servidoresPROXY y no requieren un rango largo de números de puertopara permitir el regreso del tráfico hacia la LAN. Usando latabla de estado, el dispositivo puede rápidamenteidentificar si el paquetes pertenece a una contestación delexterior, de lo contrario lo bloquea.Estos dispositivos registran el estado de la conexión en latabla de estado, vigilando siempre las conexiones quefinalizan y las nuevas. Permitiendo sólo tráfico provenientede conexiones previamente establecidas. Después de que laconexión es removida de la tabla de estado, el Firewall nopermite más tráfico desde el dispositivo origen. Con estecontrol sobre las trasmisiones, se previene ataques despoofing y Dos.Usos de los firewall de filtrado de paquetes por estado2.2.5 Firewall de inspección de aplicaciónConocidos como firewalls de inspección profunda, operan en las capas tres, cuatro, cinco y siente delmodelo OSI y son utilizados para proveer seguridad a aplicaciones y servicios específicos. Como esconocido, ciertas aplicaciones requieren un manejo especial por la función de inspección de aplicación deleste tipo de Firewalls. Aplicaciones que integran direccionamiento IP en el paquete de datos de usuario o14

Unidad 2. Defensa perimetral de la redque abren canales secundarios asignando dinámicamente otros puertos TCP, requieren especial atenciónen el filtrado, para esto se diseñó este tipo de dispositivos.Los Firewalls de inspección de aplicación son esencialmente Firewalls de estado con un sistema dedetección de intrusiones. Específicamente, este tipo de dispositivos brinda: Vigilancia los estados de conexión de la capa cinco.Revisa la conformidad de los comandos de aplicación de la capa cinco.Previene más tipos de ataques que los Firewalls de estadoLa función de inspección de aplicación también activa los monitores de sesión para determinar el númerode puertos o los canales secundarios (TCP o UDP). La sesión inicial, que se efectúa en un puerto “bienconocido”, es utilizada para negociar dinámicamente la asignación de más puertos. Esta sesión esmonitoreada por la función de inspección de aplicación la cual puede identificar la asignación de puertosdinámicos y permite el intercambio de datos sobre estos puertos durante la duración de la sesióndeterminada.Por ejemplo, se inicia con un cliente FTP que abre un canal de control entre su puerto 2010 y un servidorFTP cuyo puerto es el 21. Se intercambian datos, el cliente FTP se comunica con servidor FTP a través delcanal de control donde espera que los datos sean entregados. En este caso el cliente espera los datosdesde el servidor FTP a través del puerto 2010. Sin una inspección FTP, el regreso de los datos desde elservidor FTP hacia el cliente es bloqueado por el Firewall de estado. Si la inspección FTP está habilitada, elFirewall de estado inspecciona el canal de control para reconocer el canal de datos que será establecidohacia el nuevo cliente FTP a través del puerto 2010. Basándonos en lo anterior, el Firewall createmporalmente un canal de conexión de datos para transmitir información durante la duración de lasesión.15

Unidad 2. Defensa perimetral de la redUn Firewall de inspección de aplicación, se comporta de diferentes maneras dependiendo a la capa en laque trabaja, la tabla a continuación muestra esta función:Capa OSICapa de transporteCapa de sesiónComportamientoEn la capa de transporte, el Firewall de inspección deaplicación actúa como un Firewall de estado, examinando lainformación de las cabeceras de los segmentos de la capatres y de la capa cuatro. Busca las cabeceras TCP para SYN,RST, ACK, FIN y otros códigos de control para determinar elestado de la conexión, por ejemplo.En la capa de sesión, el Firewall de inspección de aplicacióncheca la conformidad de los comandos dentro de unprotocolo conocido. Por ejemplo, cuando esta función checael SMTP, sólo acepta los mensajes tipo de la capa cinco(DATA, HELO, MAIL, NOOP, QUIT, RCPT, RSET). Tambiénrevisa si los atributos de comando concuerdan con las reglasestablecidas.Capa de aplicaciónEn la capa de aplicación, el Firewall de inspección deaplicación pueden proveer soporte para HTTP, y puedendeterminar si el contenido es realmente HTML o unaaplicación disfrazada, si ocurre la segunda opción, el tráficoes bloqueado instantáneamente.Comportamiento por capas del firewall de inspección2.3 Operación del Firewall de inspección de aplicaciónEn la siguiente figura se muestra el mecanismo de inspección, un subconjunto del Firewall de inspecciónde aplicación. Como se puede observar, un mecanismo en particular es responsable de checar unprotocolo específico.16

Unidad 2. Defensa perimetral de la redMecanismo de inspección:* Protocolo de soporte a través de Firewalls* Conformidad de comandos a través de chequeo1122Pre-FSIPServer 62.3.3.3Web Server62.3.3.475.1.1.1JAVAInspecciónde tráfico de salidaProtocolo de iniciación de sesiónPara: Invite sip:cch@62.3.3.3 SIP/2.0Desde: sip:bill@75.1.1.1 ;tag 4c101dPuerto: 33005HTTPGET/HTTP/1.1\r\nHost: www.empresax.com\r\nJAVAJAVAInspección del tráfico de 1.1TCP 5.1.1.1UDP 33005PermitirPaquete JAVA filtrado applet code "fbun.class" width 550 height 300 align "left" \applet Operación del firewall de inspección de aplicaciónEn el ejemplo anterior se muestra como un cliente establece una sesión pre-FSIP (pre-Fast Serial InterfaceProcessor) hacia el servidor pre-FSIP y despúes una llamada es controlada por el pre-FSIP. Se puedeobservar que el Firewall de inspección de aplicación inspecciona dinámicamente y permite el tráfico derespuesta desde el servidor pre-FSIP. Adicional, el tráfico de la capa cinco también es inspeccionado, elmecanismo de inspección pre-FSIP reconoce una llamada de configuración pre-FSIP entendiendo elmensaje de protocolo INVITE en esta capa. Note que el mecanismo lee el puerto media utilizado por elflujo de Real-time Transport Protocol (RTP) y dinámicamente permite el tráfico a través del firewall.En el siguiente ejemplo se aprecia la apertura de una sesión web hacia un servidor web. El mecanismo deinspección reconoce sobre la capa siete que el sitio contiene un applet de Java, filtrando el paquete conbase en las políticas configuradas.17

Unidad 2. Defensa perimetral de la red2.3.1 El rol de los Firewalls en la estrategia de defensa por capasLos Firewalls proveen seguridad perimetral para toda la red LAN. Estos dispositivos también sonempleados para separar diferentes recursos organizacionales de ciertos segmentos de red dentro de lared interna. A continuación se estudiará el rol de los Firewalls en la estrategia de defensa por capas.Rol de los firewalls en la estrategia de defensa por capasLa estrategia de defensa por capas emplea múltiples Firewalls de distintos tipos, protegiendo diferentescapas para agregar protección en profundidad a la información de la organización. Examinemos elesquema anterior.Iniciemos con tráfico proveniente de una red no segura, en la defensa por capas, el tráfico primeramentese encuentra con un filtrado de paquetes en el router externo. Siguiente, el tráfico se dirige a un firewallde filtrado. Este sistema aplica más reglas de seguridad y descarta cualquier paquete sospechoso. Si eltráfico no es descartado, se dirige hacia el router con conexión hacia redes internas. Sólo después de estaserie de pasos el tráfico se dirige hacia el host destino. Este enfoque multicapa es llamado ZonaDesmilitarizada (DMZ).18

Unidad 2. Defensa perimetral de la redIncluso con los beneficios de la topología de firewall por capas, una vez implementada no puedes afirmarque tu red se encuentra segura. Se debe de considerar múltiples factores para construir una defensa enprofundidad y tener en cuenta los siguientes puntos. Los firewalls no protegen de múltiples posibles ataques realizados desde hosts situados en la redinterna. Por ejemplo, los firewalls no protegen de virus descargados a través del correoelectrónico. No protegen de conexiones alternas no declaradas a través de módems. Los firewalls no substituyen mecanismo DRP (Disaster Recovery Procedure) que es un mecanismode recuperación del negocio en caso de que el hardware falle, las comunicaciones fallen o unataque tenga éxito. El esquema de defensa en profundidad ayuda en estas situacionesimplementando almacenamiento fuera de banda a través de infraestructura redundante.2.3.2 Creando una política de firewall efectivaAlgunas organizaciones se apresuran en instalar dispositivos de seguridad y ponerlos a trabajar,sin antes, tener presente políticas de seguridad de la información, las cuales deben de basarse enlas necesidades del negocio. Recordemos, Los firewalls que se implementen deben de satisfacerdichas políticas. Teniendo en claro lo anterior, las políticas de firewall se deben de establecerprevio a la implementación, no al revés. En estas se debe de detallar qué tipo de tráfico bloquearáel firewall y cual es necesario para el funcionamiento de la organización.Mejores prácticasNo confiar en ningúntráficoDescripciónSe debe de dejar la política por default que traen losfirewalls en bloquear todo el tráfico inmediatamentedespués de las reglas en donde se especifica el tráficoautorizado. Siempre

Todas las tecnologías de firewall previamente mencionadas tienen sus ventajas y desventajas, cada una juega un rol específico en el análisis y filtrado de información. . firewall transparente básicamente es un firewall de capa dos y que trabaja con sigilo. En otras palabras, no se aprecia como un punto en la ruta que llevan los datos. En .