WikiCiencia - Informática y Computación - Seguridad informática - Seguridad en servidores web

Firenox
PRINCIPALELECTRONICAINFORMATICATECNOLOGIANOTICIASDESTACADOS
 

Seguridad en servidores web


Si le resulta útil el contenido de este portal, por favor considere hacer una donación a Cáritas Argentina. Muchas gracias.

Internet — La red global de computadoras que proporciona a la base para el correo electrónico universal, WWW, y formas numerosas de comercios electrónicos —varios lo han descrito como lo fue en su aparición la computadora personal, más significativa que la prensa y tan revolucionario como el descubrimiento del fuego. Actualmente, los títulos de Internet abarrotan los estantes de la sección de computadora de cada librería. Cada película importante se jacta un sitio de la red.

Aunque una Firewall, se diseña para controlar el flujo de la información entre dos redes, vino antes de que el mundo en grande hubiera oído hablar del Internet. El sentido común dice que un administrador de red debe considerar el usar de una Firewall al momento de conectar dos redes, el proceso se llama la conexión de redes (internetworking). Típicamente, el término capitalizado Internet se refiere específicamente al descendiente de TP/IP de la unión de ARPAnet's a SNET en 1982, ahora sirven diez de millones de usuarios vía cientos de los miles de servidores de Internet.

En prácticamente todos los casos, la conexión de redes debe considerar la conexión de una Firewall para mediar y para vigilar las conexiones de la red interna. Estas preocupaciones se hacen mayores, cuando la conexión incluye una conexión directa a Internet.

2.1 Riesgos De Internet

Una encuesta reciente de Ernst & Young encontró que cuatro de cada cinco organizaciones grandes (con más de 2.500 empleados) ejecuta aplicaciones críticas en - redes de área local (LANs). Estas LANs, y la información vital que procesan, vienen cada vez más bajo amenaza a través de las conexiones de la red interna. Y cuando estudió a un grupo de 61 grandes organizaciones, encontró 142 introducciones no deseadas y decenas de incidentes relacionados con Hackers en el plazo de tres meses. IP spoofing, una técnica con la que el hacker puede ganar a acceso extenso a una red interna, se registraron 49 de estos incidentes. La América corporativa se ha abierto en el uso de Internet mucho más rápidamente que se ha cerrado al ataque de Internet. Casi todas las compañías proporcionan a los empleados acceso al Internet y acceso remoto a las redes corporativas, según una encuesta conducida por el Chicago Tribune en su información - tecnológica. Todavía, menos que la mitad de las compañías realizan los cheques rutinarios de seguridad, sólo 44 por ciento tienen la capacidad para seguir el acceso a los datos sensibles y a solamente una mitad usa el cifrado de datos (encriptación).

Mientras que el 75 por ciento dicen que ellos quisieran restringir el acceso solamente a ciertas partes del Internet, sólo 62 por ciento tienen las políticas que gobiernan el acceso Internet, 42 por ciento no vigilan el uso de Internet del empleado y solamente 30 por ciento aplican realmente los controles de acceso. Además, en menos de dos de cada cinco los respondedores imponen las restricciones ante descargar los archivos a partir de terceros. Muy raro es que menos uno de cada seis señalara experimentar los efectos negativosasociados al uso de Internet por los empleados y uno en ocho señaló las demandas legales que se presentaban del uso de la información tecnología de un empleado.

Los riesgos relacionados con el uso de Internet comienzan con la vergüenza pública, por ejemplo cuando un hacker desfigura o altera un sitio de la web (según lo sucedido a los E.E.U.U.. Ministerio de Justicia y la central La agencia de la inteligencia en 1996) o revela la correspondencia interna. Potencialmente más perjudicial es el hurto de los secretos del comercio o del gobierno de una red interna mal protegida. Otros uso común del ataque, coordinado y sistemático de los recursos que computan, a veces se extiende a los ataques montados del sistema cortado sobre otros sitios. La oficina general de las estadísticas de Estados Unidos, pedida por el comité del senado encendido Asuntos gubernamentales al informe sobre la vulnerabilidad actual del departamento de la defensa (DoD) sistemas informáticos no clasificados, encontrados que tanto como 250.000 ataques eran lanzados en DoD con una tarifa de éxito del 65 por ciento. El informe encontró eso:

" Han incrementado el numero de individuos desconocidos y no autorizados que atacan y ganan accesos a información altamente sensible sin clasificar desde el departamento de los sistemas informáticos de la defensa.... En el mejor de los casos, estos ataques han causado una perdida multimillonaria al departamento de defensa. En la peor, son una amenaza seria a la seguridad nacional. Atacantes han tomado el control de los datos completos de los sistemas de la defensa... robando, modificando, y destruido datos y software, instalando archivos indeseados y creando -"puertas posteriores" que evitan la protección normal del sistema y permiten los atacantes acceso no autorizado en el futuro. Han cerrado los sistemas completos y tumbado redes, negando a los usuarios de los que dependen de los sistemas automatizados para ayudar a resolver las misiones críticas. Numerosas funciones de la defensa se han afectado, incluyendo las armas y la investigación desarrolladas por supercomputadoras, logística, finanzas, gerencia de personal, salud militar, y nómina de pago."

El Internet ha crecido, lo que permite mayores formas de ataque a la seguridad en red, incluyendo los virus, Caballos de Troya y penetración de las redes internas. Una red conectada con el Internet abraza un nuevo conjunto entero de riesgos, algunos de los cuales sirven para excitar los problemas existentes. Las redes de las organizaciones que siguen siendo no relacionadas a la presión de la cara de Internet de hacer esa conexión, sí apenas para el correo electrónico solamente. La presión de conectar se convierte a menudo tan fuerte, en el hecho, que algunos usuarios o departamentos individuales conectan con el Internet sin la autorización o el conocimiento superior de la gerencia. Determinar si esta o no la red está conectada con el Internet puede ser una tarea muy difícil. El conectar con el Internet es como abrir las cortinas en las ventanas de la oficina y el dejar en el fulgor completo del sol del mediodía. Problemas previamente invisibles de la seguridad de la red se lanzan en el contraste sostenido. Por ejemplo, cuentas del usuario no protegidas y obviamente contraseñas las palabras de paso no pudieron haber causado mucha señal de socorro cuando la red era visible solamente a iniciados. Pero, si la gente manipular la red desde el exterior (algo experimentado por uno de cada seis respondedores en algunas encuestas), usted puede apostar que éstas las debilidades serán explotadas. Las noticias de tales vulnerabilidades, conducen a los ataques y al abuso rápidamente de extensión del sistema.

Una de cada cinco compañías que responden a la información la encuesta anual Week/Ernst & Young sobre la seguridad admite que los intrusos han roto en o han intentado corromper en sus redes corporativas vía el Internet durante los doce meses que preceden. Peor, la mayoría de los expertos convienen que la mayoría de los robos queda desapercibida. Por ejemplo, pruebe los ataques por la agencia de los sistemas de información de la defensa (DISA) en el departamento 38.000 de la defensa los sistemas informáticos tenían una tarifa del éxito 88 por ciento pero fueron detectados por menos aquélla adentro veinte de las organizaciones del blanco. De esas organizaciones, solamente 5 por ciento reaccionaron realmente al ataque.

La línea final ocurre cuando una compañía conecta su red con otra red, cosas malas pueden pasar, Si la compañía se quiere contraatacar y monitorear esas cosas malas, esta necesita implantar una combinación de una política y tecnología en el lugar.

2.2 Seguridad y el World Wide Web

El World Wide Web es un sistema para intercambiar información en la Internet.

El web es construido desde un programa especialmente escrito llamado Web server que hace información disponible en la red. Otros programas llamados Web Browser, pueden ser usados para accesar información que es almacenada en los servidores y desplegada en las pantallas de los usuarios.

La gran telaraña mundial como se le conoce al World Wide Web (WWW) fue desarrollado originalmente como un sistema para físicos e intercambio de papeles pertenecientes a sus investigaciones físicas. Utilizando el Web habilitaba a los físicos a un circuito corto el caro y las a menudas prolongadas tareas de publicaciones investigativas encontradas en los periódicos de ciencias. Los circuitos cortos de publicaciones representaban uno de los más grandes usados en la Web hoy día, con negocios, universidades, agencias de gobierno, y algunas de millones de publicaciones individuales de pantallas de información sobre esto mismo y prácticamente cualquier otra cosa. Muchas organizaciones así mismo usan el Web para distribuir documentos confidenciales en su organización, y entre su organización y sus clientes.

Otro excitante uso de la Web hoy día involucra poner programas detrás de la páginas Web. Los programas son creados con un protocolo llamado el Common Getway Interfase (CGI). Los script de CGI pueden ser enteramente simple por ejemplo, un contador que se incremente cada vez que una persona mira la página, o compra un libro que permita a las personas señalarlas en el sitio. O ellos pueden ser completamente sofisticados. Por ejemplo, el paquete de servicio ofrecido por FedEx permite al cliente el uso de servicios de compañías de World Wide Web (http//www.fedex.com) para trazar paquetes. Dándole al cliente acceso a estas computadoras en esta manera simultáneamente FedEx salva dinero y da al cliente un mejor servicio.

Muchas otras compañías están explotando el uso de WWW para el comercio electrónico. Los clientes despliegan catálogos de mercancías y servicios, seleccionan artículos y luego pagan por ellos sin ninguna otro cosa más que un formulario idóneo desplegado.

El WWW es uno de lo más excitantes usos de la Internet. Pero así mismo posee profundos retos de seguridad. En orden de importancia, estos retos son:

  1. Un atacante puede tener ventajas de cosas en su servidor Web o en los script CGI al ganar acceso no autorizado a otros archivos en su sistema, o igualmente tomar el control en su computadora.

  2. La Información confidencial que está en su Servidor Web puede ser distribuida a individuos no autorizados.

  3. La Información Confidencial transmitida entre el Servidor Web y el browser puede ser intersectada.

  4. Algunas cosas en su Web browser (o características que usted no está informado) pueden permitir información confidencial en su Web cliente y ser obtenida desde un servidor Web malicioso.

  5. Porque de la existencia de estándares y tecnología patentada, algunas organizaciones han encontrado esto necesario al pagar especialmente licencias de software.

Cada uno de estos cambios requieren de nuestra responsabilidad. Desafortunadamente, algunas de estas soluciones que son actualmente empleadas son contradictorias. Por ejemplo, el mínimo riesgo de ser detectado, en muchas organizaciones tienen que pagar seguros por el servicio de WWW, los cuales implementan una gran variedad de protocolos de encriptamiento. Pero esos servicios requieren de un certificado firmado digitalmente para operar, y el certificado debe ser renovado cada año. Consecuentemente, organizaciones que dependen de esos servicios de WWW están expuestos a una interesante negación de servicios contra ataques.

2.3 Corriendo un Servidor Seguro

Los servidores Web son designados para recibir solicitudes anónimas desde auténticos host en la Internet y al liberar las solicitudes de información en una rápida y eficiente manera. De tal manera, ellos proveen un portal dentro de su computadora que pueden ser usados por amigos y enemigos igualmente.

Ninguna pieza de software está libre de riesgo. El servidor Web, por su naturaleza, son complicados programas. Además, muchas organizaciones usan el servicio Web con código fuentes que están libremente disponible sobre Internet. Aunque esto signifique que el código fuente está disponible para ser inspeccionado por la organización, esto significa que un atacante puede examinar quel mismo código fuente y ver su vulnerabilidad.

La habilidad de adicionar funciones a un Servidor Web a través del uso de script CGI extremadamente complica su seguridad. Mientras un script CGI puede adiconar nuevas características a un servidor Web, este puede también introducir problemas de seguridad de sus dueños. Por ejemplo, un Web Server puede ser configurado de manera que pueda accesar solo archivos almacenados en un directorio particular en su computadora, pero un usuario puede instalar inconscientemente un script CGI que permita a un extraño leer cualquier archivo de su computadora. Además, porque muchos usuarios no tienen experiencia en escribir programas de seguridad, esto es posible( e igualmente) que localmente escritores de script CGI puedan contener cosas que permitan a un extraño ejecutar comandos arbitrariamente en sus sistemas. Verdaderamente, varios libros que han sido publicados en programación de CGI tienen incluidos semejante grietas.

Porque de la riqueza de estas herramientas, la plétora de los lenguajes de programación, y la habilidad de múltiples usuarios de logearse a la misma vez desde sitios remotos en una red, el sistema operativo UNIX es una remarcable mala selección para correr seguridad de servidores Web. Porque muchos sistemas operativos basados en Pc´s comparten muchas de estas características, ellos son de esa manera una no muy buena selección. La experiencia nos ha mostrado que el Web server más seguro es una computadora que corra un Web server y no otra aplicación, que esta no tenga una lectura accesible del lenguaje script, y que no soporte login remoto. En la práctica, esto describe una computadora Apple Macintosh corriendo con MacHTTP, WebStar, o un Web server similar.

Acordando las recientes reconocimientos, los cuales las compresiones en las computadoras son algo más del 15% del Web server en la Internet.

Por supuesto, hay mucha ventaja en correr un Web server en una computadora Unix en lugar de una Macintosh. Unix generalmente corre mas rápido que el MacOS en hardware comparables, y Unix es habilitado para plataformas de hardware que corren más rápido que computadoras basadas en Power-Pc. Además, esto es generalmente fácil para las organizaciones al integrar Web server basados en Unix con su existente infraestructura de información, creando excitantes posibilidades para ofertas de Web. Finalmente, más profesionales MIS tienen familiaridad con la construcción de Servidores de Internet basados en Unix que con la construcción de algunos basados en MacOS. Nada más, nosotros sugerimos que el administrador consciente de la seguridad de al acercamiento basado en Macintosh una seria reflexión.

Al construir una seguridad de servidor Web en cualquiera plataforma, usted debe ser capaz de asegurar una variedad de cosas, incluyendo:

  1. Los usuarios de la red nunca deben poder ejecutar programas arbritarios o comandos del Shell en su servidor.

  2. Los scripts CGI que corran en su servidor deben rendir cualquiera de los dos cosas, la función esperada o retornar un mensaje de error. Los script podrían esperarse y ser capaces de tomar cualquier maliciosa entrada prohibida.

  3. En la manera en que su servidor este comprometido, un atacante podría no estar habilitado para usar este, y por si más adelante existen atacantes nuevos en su organización.

La siguiente sección explora una gran variedad de técnicas por comportamiento con este principio.

  • Los Servidores UID

Algunos Servidores Web son diseñados para ser inicializados por el superusuario. Los servidores necesitan ser corridos como raíz así pueden entender los requerimientos en 80 puertos, el estándar de puertos HTTP.

Una vez el servidor inicia su corrida, estos cambios son UID al nombre del usuario (username) que es especificado en un archivo de configuración. En el caso de la NCSA server, estos archivos de configuración son llamados conf/httpd.conf. En los archivos hay tres líneas que leer:

# User/Group: The name (or #number) of the user/group to run http as.

User http

Group http

Este nombre de usuario podría no ser raíz. En cambio el usuario y grupo podrían especificar un usuario que no tiene acceso especial en su servidor.

En el ejemplo anterior, el usuario cambió su UID al http usuario antes accesando archivos o corriendo script CGI. Si usted tiene un script CGI que va a ser corrido como super usuario ( y usted debería pensar muy cuidadosamente lo que va a hacer), este debe ser SUID raíz.

2.4 Comprendiendo la Estructura del directorio de su servidor.

Los servidores Web usan muchos archivos en los directorios. El contenido de algunos directorios son muy valiosos para la red.

El contenido de otros directorios no deben ser habilitados en la red, y por seguridad no deben de ser leídos por los usuarios de su sistema.

La NCSA tiene seis directorios

Directorio

Propósito

Cgi-bin

Contiene los CGI script

Conf

Contiene los archivos de configuración del servidor

Htdocs

Contienen documentos Web

Icons

Contienen documentos Web

Logs

Registra las actividades del servidor

Support

Contienen los programas suplementarios del servidor

Muchas fuentes recomiendan crear un usuario llamado www y un grupo llamado www el cual puede ser usado por el administrador web para administrar el servidor Web. El httpd es un programa que corre como raíz, cualquiera que este habilitado para modificar este programa tiene el permiso de super usuario. Esto particularmente es vulnerable si usted puede mover el servidor o los archivos de configuración cuando seteamos el directorio del servidor web raíz.

2.4.1 Configuración de archivos

Dentro de la configuración de directorios, el servidor NCSA tiene los siguientes archivos:

Archivo

Propósito

Access.conf

Controla el acceso a los archivos del servidor

Httpd.conf

Configuración de archivos para el servidor

Mime.conf

Determina el mapeo de la extensión de los archivos tipo mime

Srm.conf

Los recursos de mapeos del servidor.Estos archivos contienen más información de la configuración del servidor.

Porque la información en estos archivos puede ser usados para arruinar el sistema entero de su servidor, usted podría proteger los scripts de manera que ellos puedan ser leidos y modificados por el usuario.

2.4.2 Configuraciones adicionales

El seteo de permiso que usted podría habilitar y deshabilitar las siguientes opciones.

Listado de directorio automático

Servidor Web podría listar automáticamente un directorio si es llamado el archivo con index.html este no se presenta en el directorio. Esto puede causar problemas de seguridad y causar vulnerabilidad en su sistema.

Siguiendo enlaces simbólicos

Algunos servidores permiten enlaces simbólicos fuera del servidor Web. Estos permite que alguien tenga acceso al árbol de su servidor para hacer otros documentos en su computador habilitándolo para el acceso al Web. Usted no quisiera que las persona sean capaz de hacer esto.

Alternativamente usted podría setear su servidor Web con la opción de los enlaces "If Owner Match".

Lados del Servidor incluidos

Los lados del servidor incluyen directorios que pueden ser incluidos en el documento html. Los incluidos son procesados por el servidor HTML antes de que el documento sea enviado a un requerimiento del cliente.

2.5 Escribiendo seguridad CGI Scripts y Programas

Al escribir una seguridad CGI script tienen los mismos problemas como al escribir los programas SUID o del servidor de la red. Esto es porque pueden ser iteracciones inesperadas entre el ambiente de Web , el servidor Web y el script del CGI, creando problemas con la combinación del sistema cuando no fueron problemas obvios.

No permita al usuario colocar scripts en su servidor al menos que sea un profesional de la seguridad calificado.

2.5.1 No confie en los usuarios del Browser

HTML incluye la habilidad para desplegar un listado de selección, limita el largo de los archivos para un número sertero de carácteres, incluye datos con formas y especifica variables que podrían ser provistas para scripts CGI. Sin embargo, usted no podrá depender del script CGI en cualquiera de estas restricciones. Esto es porque un script CGI puede correr directamente con requerimiento de un script URL, los atacantes no necesitan ir a través de su forma o uso de la interfase que usted le provee.

2.5.2 Probando no es suficiente

Una de las razones que es sorprendentemente fácil de crear un inseguro script es que este es muy dificultoso de probar su script nuevamente con una amplia variedad de clientes HTTP habilitados. Por ejemplo, más programas de clientes podrían escapar o especialmente decodificando caracteres tal como la comilla (`), los cuales son especialmente interpretadas por el Shell de Unix. Como un resultado, muchos programadores de CGI no pueden esperar la decodificación de caracteres para ser presentada en la entrada extrema de sus aplicaciones, y ellos no protegen sus script nuevamente de la posibilidad que los caracteres se presentan.

2.5.3 Enviando Correo

Si usted esta escribiendo un script CGI que permita al usuario enviar un mensaje, use el programa /usr/lib/send-mail para enviar el correo, algo más que /bin/mailx o /usr/ucb/mail. La razón es que /usr/lib/send-mail no tiene escape al shell, puesto que los otros correos lo hacen.

2.6 Controlando el acceso a archivos en su servidor

Muchos sitios son interesante en la limitación del escape de la información con su Servidor Web. Esto podría ser causado en un servidor web cuando en una organización distribuye data internamente, libros de teléfonos, datos externos, mucho tránsito de información. Para proveer estos requerimientos, muchos servidores web tienen un sistema para restringir el acceso a documentos web.

Muchos servidores soportan dos técnicas para controlar el acceso a archivos y directorios:

  1. Acceso restringido a direcciones IP particulares, o dominios DNS.

  2. Acceso restringido a usuarios particulares. Los usuarios son autenticados a través del uso de password que es almacenado en el servidor.

Servidores que están equipados con software necesario para llaves públicas encriptadas, tienen una técnica para restringir el acceso:

Acceso restringido para usar llaves públicas que son firmadas por una autoridad con certificación apropiada.

Cada una de estas técnicas tienen ventajas y desventajas. La restricción para direcciones IP es relativamente simple dentro de la organización, aunque esta leve apertura para los ataques basados en "IP spoofing". Usando hostname , en cambio de la dirección IP, corremos el riesgo de ser engañados. Y el username y el password, al menos usted usa un servidor y y clientes que soportan encriptamiento, son enviados limpiamente en la red.

De estas tres técnicas el acceso restringido a personas quienes presentan propiamente firmas de certificados es probablemente la más segura, previéndole a usted la verdadera certificación autorizada.

2.6.1 Los archivos access.conf y htaccess

Los servidores NCSA le permiten todas las restricciones de acceso global en un archivo llamado conf/access.conf. Alternamente, usted puede colocar las restricciones en cada directorio usando el nombre especificado por el AccesFileName en la configuración del archivo conf/srm.conf. Los directorios-per por defecto archivos llamados .htaccess, pero usted puede cambiar estos nombres.

2.6.2 Comandos dentro del bloque de directorio

Los comandos que son muy usados para restringir el acceso son:

Options opt1 opt2 opt3

Use los comandos Options para correr en u opciones individuales dentro de un directorio particular. Estas opciones validan los FollewSymLinks(siguiendo enlaces simbolicos), SymLinksOwnerMatch (Siguiendo enlaces si el propietario del enlace destino es el mismo que el propietario del enlace fuente).

AllowOverride what

Especifica los directorios que pueden ser propietarios con los accesos a archivos del directorio base.

AuthRealm realm

Setea el nombre de la autorización para los directorios. El nombre de realm es desplegado por el web del browser cuando este pregunta por el username y el password.

AuthType type

Especifica el tipo de autenticación usado por el servidor.

AuthUserFile absolute_pathname

Especifica el nombre de la ruta del paswword http. Este archivo de pasword es creado y mantenido con los programas de htpasswd de la NCSA. Este archivo de paswoord no es almacenado en el mismo formato de /etc/passwd.

AuthGroupFile absolute_pathname

Especifica el nombre de ruta del grupo de archivos httpd. Este grupo de archivos es un archivo de texto regular. Este no esta en el formato de UNIX de los archivos /etc/group. En cambio cada línea empieza con un nombre de grupo y dos puntos, lista cada miembro separado con un espacio.

Stooges: larry more curley

2.7 Seguridad para un Web Site Público

La WWW es una de las vías más importantes de las organizaciones para la publicación de la información. Desafortunadamente, si no tienes cuidado al configurar y operar el sitio Web, dejarás a ti y a tu organización vulnerable a una variedad de problemas de seguridad. Te encontrarás en una situación embarazosa porque los intrusos pueden cambiar el contenido de la página Web. El Web site público tiene también el punto de entrada para violaciones en la red interna de la organización para propósitos de acceso confidencial de la información. Las prácticas recomendadas son diseñadas para ayudar a prevenir estos y otros daños con respecto a la seguridad.

Estas prácticas son aplicables a su organización si intenta usted mismo, operar el Web site para hacer la información de la organización pública.

Asumimos que quieres estos requerimientos para el Web Site;

  • Mantener la integridad de la información que piensas publicar

  • Prevenir el uso del Web Host, como área de instrucciones en la red de trabajo de la organización, que daría como resultado la violación de la confidencialidad, integridad, o disponibilidad de los recursos de información.

  • Prevenir el uso del Web Host como área de instrucciones de sitios externos, que resultaría perjudicial para la organización.

Estas prácticas no cubren todos los aspectos del uso del Web en la organización. En lo particular no cubren:

  • Las consideraciones relacionadas a la seguridad del software del cliente

  • Transacciones comerciales vía Web

  • Consideraciones especiales para Web site muy largos con múltiples host.

  • Contratación u ofrecimiento de servicios Web-hosting

  • Otros servicios de información pública, tales como los basados en ftp.

Hay dos razones principales en la seguridad relacionada a la operación de un sitio Web público:

  1. La configuración u operación impropia del servidor Web puede dar como resultado la revelación inadvertida de información confidencial. Estas pueden incluir:

    • Cualidades de la información de la organización

    • Información sobre la configuración del servidor o red que debe ser explotada por ataques subsecuentes.

    • Información sobre quien solicita los documentos desde el servidor.

  1. El host usado por su servidor Web puede estar expuesto permitiendo:

    • Cambiar la información almacenada en el servidor Web, particularmente la información que intenta publicar.

    • Lograr accesos no autorizados a recursos en la red de la organización.

    • Atacar sitios externos desde el servidor, de este modo, encubre la identidad del intruso y puede que haga que la organización corra riesgo de daños.

Para mejorar la seguridad del sitio Web público, recomendamos 3 pasos. Necesitamos la implementación de las prácticas en estas áreas:

  • Selección del servidor y la tecnología del Host

  • Configuración del servidor y la tecnología fundamental del host

  • Manejo del servidor.

Además, recomendamos que establezcan políticas de seguridad que mantengan prácticas apropiadas para el administrador de red y los usuarios.

Resumen de Prácticas Recomendadas

Area

Práctica recomendada

Selección de la Tecnología del Server

1. Incluye los requerimientos de seguridad explícita cuando se selecciona el servidor y las tecnologías de host

Configuración de la Tecnología del Server

  1. Aislar el servidor Web de la red interna de la organización.

  2. Mantener una copia autorizada del contenido del sitio Web en un Host más seguro.

  3. Ofrecer solamente los servicios de red esenciales y los servicios de sistema operativo en el servidor.

  4. Configurar el servidor Web para aumentar la seguridad.

  5. Considerar la implicación de la seguridad cuando se escogen los programas externos que el servidor ejecutará.

Operación del Servidor

Administrar el servidor Web de una manera segura

Observar los cambios inesperados de directorios y archivos.

Inspeccionar sus sistemas y network logs

Abreviaturas usadas en estas prácticas:

DNS domain name service (Servicio de Nombres de Dominio)

Cgi, CGI common gateway interfase (Interfase Común de Entrada)

ftp file transfer protocol (Protocolo de Transferencia de Archivo)

http hypertext transfer protocol (Protocolo de Trasferencia de Hypertexto)

IP Internet protocol (Protocolo Internet)

NIS Network Information system (Sistema de Información Network)

TCP/IP Transmission Control Protocol/Internet Protocol (Protocolo de Control de Transmisión / Protocolo Internet)

URL uniform resource locator (Localizador de Recurso Uniforme)

2.7.1 Incluye los Requerimientos de Seguridad Explícita cuando se Selecciona el Servidor y las Tecnologías de Host

Es común considerar los factores como es la funcionalidad, precio, ejecución, y capacidad cuando se selecciona la tecnología informática. Cuando especificas los requerimientos para la selección de tecnologías del servidor para la organización, debes incluir también los requerimientos de la seguridad.

Hay muchos vendedores de tecnologías de servidores, cuyos productos varían con respecto a las capacidades de seguridad. Muchos conocen y frecuentemente explotan la vulnerabilidad de los servidores network aplicando sólo ciertas tecnologías. Si consideras los requerimientos de seguridad cuando seleccionas las tecnologías del servidor, podrás disponer de tecnologías con bajas vulnerabilidades o mejor seguridad relativa, que permitirán tener mayor seguridad del site.

La selección de las tecnologías para el servidor Web requiere de una selección entre los requerimientos competitivos. Para hacer esto, primero debemos conocer los requerimientos de la organización.

Para un servidor Web, los requerimientos significantes son el tiempo de respuesta y su colocación..

Los requerimientos de funcionalidad típica incluyen la habilidad de tener páginas web estáticas y varias formas de páginas dinámicas, la habilidad de recibir y procesar información de usuario, y la habilidad para proveer un servicio de búsqueda. Además, puede obtener la habilidad para administrar el servidor software y el sistema de host desde otros host en su red de trabajo.

Los requerimientos de seguridad típicamente incluyen:

  • La falta de vulnerabilidad de conocer las formas de ataque contra el Web server host

  • La habilidad para restringir las actividades administrativas para usuarios autorizados solamente.

  • La habilidad para denegar el acceso a la información de otros servidores.

  • La habilidad para desabilitar servicios de network innecesarios que puedan estar en el sistema operativo o el software del servidor.

  • La habilidad de controlar el acceso a varias formas de programas externos ejecutables (tales como los script cgi y plug-ins del servidor).

  • La habilidad para apropiarse de actividades del servidor Web para propósitos de detección de instrucciones e intentos de los mismos.

Podemos hacerlo de la siguiente manera:

  • Identificar su funcionalidad y ejecución de requerimientos

  • Repasar las prácticas recomendadas que dirige la configuración y operación de la tecnología del servidor.

  • Donde pueda, vea las pruebas de implementación de estas prácticas.

  • Basado en la seguridad de organización necesaria, identifique los rasgos específicos de seguridad relativa que quiere en la tecnología del servidor que está seleccionando.

  • Verifique con recursos disponibles los incidentes de datos para ayudar a determinar las probables encubiertas de datos y las vulnerabilidades de servidores específicos.

  • Identificar tecnologías que satisfaga su funcionalidad, ejecución y requerimientos de seguridad.

  • Estimar las diferencias de costo de apertura de tecnologías de competitividad, incluyendo los costos comerciales de incidentes potenciales de seguridad.

  • Seleccionar la tecnología que creas ofrecerá el mejor balance de funcionalidad, ejecución, seguridad, y sobre todo costo.

2.7.2 Políticas de Consideraciones

La política de seguridad de su sistema de organización debería:

  • Requerir una evaluación de seguridad como parte de sus procedimientos de selección de tecnologías informáticas.

  • Requerir la colocación de servidores públicos en subredes separadas de la red interna.

  • Requerir que los routers sean configurados para restringir el tráfico desde servidores públicos a la red interna.

  • Requerir que la información en servidores públicos sean almacenadas en host más seguros.

  • Requerir que los servidores públicos sean configurados para ofrecer solamente los servicios esenciales

2.7.3 Aislar el servidor Web de la red interna de la organización

Usualmente tenemos varias opciones de donde colocar un servidor de Web público en nuestra organización. Recomendamos que sea colocado en una subred separada, de manera que el tráfico entre la Internet y el servidor no atraviese partes de su red interna y la red interna no sea visible en el servidor.

Un servidor Web público es una computadora que da a entender que el acceso es público. Esto quiere decir que muchas personas accesarán el host desde ubicaciones en todo el mundo. El descuido del host y la mala configuración del software de aplicación, dan oportunidad que alguien descubra una nueva vulnerabilidad, explotándola, y reintentar el acceso al Servidor Web. Si eso pasa, necesita prevenir estos eventos.

  • El intruso es capaz de observar o capturar el trafico de la red que está fluyendo entre los host internos. Este tráfico puede incluir autenticación de información, información comercial del propietario, datos personales, y muchos otros datos sensibles.

  • El intruso es capaz de conseguir host internos, u obtendrá información detallada de ellos.

Para vigilar estas dos amenazas, el servidor debe aislar la red interna del tráfico del Server.

Podemos lograrlo de la siguiente manera:

  • Colocar el host en una subred aislada de la red principal interna.

    • Use filtros o un cortafuego para restringir el tráfico desde el servidor Web a la red interna.

  • Desviar las rutas al servidor Web de manera que no pueda usar la red interna.

2.7.4 Mantener una copia autorizada del contenido del sitio Web en un Host más seguro.

Si la integridad de la información en su servidor es violada, necesitas una copia autorizada para restaurarla. Recomendamos que esta copia se mantenga en un host separado y más seguro que el servidor Web host.

La copia autorizada de información, almacenada en un host mas seguro, es menos probable que sea violada por intrusos, y es por lo tanto más probable que sea disponible cada vez que sea necesaria para restaurar la copia. Esto puede simplificar tareas administrativas.

2.7.4.1 Como Hacerlo

  • Lo mejor es que la copia sea inaccesible a todo el personal no autorizado. Puede escoger cualquier implementación de esta práctica que lleve a cabo lo mejor.

Típicamente, la copia es mantenida en un host accesible para el administrador del Web site, y quizás también a las personas en la organización que son responsables de la creación y mantenimiento del contenido Web.

2.7.5 Ofrecer solamente los servicios de red esenciales y los servicios de sistema operativo en el servidor

Idealmente, el servidor Web debería ser dedicado, host de propósito individual. Muchas computadoras modernas son configuradas "out of the box" para proveer un amplio juego de servicios y aplicaciones que estrictamente son requeridos por los servicios Web. Por esto, la configuración explícita debe ser requerida para eliminar o deshabilitar servicios y aplicaciones innecesarias.

Ofreciendo sólo los servicios esenciales de red en un host particular se puede aumentar la seguridad en varias vías:

  • Otros servicios no pueden ser usados para atacar el host (deteriorar o remover)

  • Los diferentes servicios pueden ser administrados por diferentes individuos. Por servicios aislados, deberás minimizar la posibilidad de conflictos entre los administradores

  • El host puede ser configurado para mejorar la demanda de los requerimientos del servicio particular provisto. Los diferentes servicios pueden requerir diferentes configuraciones de hardware y software, reduciendo vulnerabilidades o restricciones de servicios.

  • Por los servicios reducidos, el número de logs y entrada de logs, son reducidos para así detectar anomalías.

Como lograrlo:

El principio de configuración es "denegar primero, entonces permitir"

  • Determina las funciones que intentas colocar con el web server.
    El número de servicios que son requeridos en la selección de host depende de las funciones que intentas proveer al host. Esta funcionalidad debe ser para el Web, otros servicios de host, y los arreglos para el desarrollo y mantenimiento del sistema operativo y las aplicaciones. Determinar la configuración del Host con respecto a

    • Sistemas de Archivos

    • Mantenimiento de sistemas

    • Mantenimiento de servidor

    • Configuraciones Network (DNS vs NIS)

  • Si hay varias alternativas para la misma función, seleccionar el camino más seguro.

  • Luego que los servicio mínimos y las aplicaciones han sido determinadas, se asegura que sólo estas estén disponibles en el host.

  • Después que todas las opciones han sido escogidas, se crean y se registran criptográficamente o por otro medio de registro.

2.7.6 Configurar el servidor Web para aumentar la seguridad

Cuando instalas el software del servidor, estas presentan normalmente un número de alternativas para configurar las opciones o preferencias. Estas alternativas deberán ser hechas cuidadosamente para balancear los requerimientos de seguridad y operación.

También, el sistema operativo del host puede proveer controles de acceso para almacenar información en el host. Esto es particularmente común en sistemas que soportan múltiples usuarios simultáneamente. Deberás tomas ventaja de estos controles para ayudar a la prevención de accesos y salida de información que no debe ser publicada.

Los requerimientos para sitios públicos varían de una organización a otra, así que los vendedores de software proveen la configuración del mismo para cada uno de ellos. La configuración puede ser optimizada por un sitio "típico", como es imaginado por el vendedor, y puede ser basado más en requerimientos de ejecución o fácil instalación. Usualmente, los requerimientos de seguridad necesitarán una configuración diferente. El dejar cambiar la configuración por defecto puede reducir la seguridad del sitio.

Un servidor típico almacena no sólo la información para publicar, sino también una gran variedad de diferentes temas que no deben ser publicados. Estos normalmente incluyen los archivos log del servidor así como sistemas y aplicaciones tales como archivos de password. Si eres cuidadoso al usar los controles de accesos provistos por el sistema operativo en el servidor, puedes reducir la probabilidad de dejar salir información o la corrupción de esta información.

Podemos hacerlo así:

  • Configurar la capacidad de Loggins del Servidor

  • Configurar servicios auxiliares del servidor

  • Configurar programas ejecutables por el servidor

  • Configurar el servidor para la administración local y/o remota

  • Determinar que controles de acceso son provistos por el sistema operativo de su host

  • Use el archivo de controles de Acceso para llevar a cabo lo siguiente

  • Los archivos del Web público son de lectura, pero no pueden ser escritos por los procesos que implementan los servicios Web.

  • El directorio donde está el contenido Web almacenado no puede ser escrito por los procesos de servidor

  • Los archivo que contienen el Web público puede ser escrito solamente por los procesos que permita la administración del Web.

  • Los archivo log del servidor pueden ser escritos por los procesos del servidor, pero no pueden ser leídos como contenido del Web.

  • Los archivos log del servidor Web son leídos solamente por los procesos de administración

  • Cualquier archivo temporal creado por un proceso server es limitado a un subdirectorio particular.

  • Disponer de listado de directorios de archivos

  • Configurar el servidor de manera que los archivos server no sean externos al directorio especificado

  • Hacer seguro el servidor y cualquier archivo log o configuración de archivos

  • Después que todas las opciones han sido escogidas, se crean y se registran criptográficamente o por otro medio de registro.

2.7.7 Considerar la implicación de la seguridad cuando se escogen los programas externos que el servidor ejecutará

En forma básica, un servidor Web escucha una petición y transmite la respuesta al archivo solicitado sobre la red. Sin embargo, varios mecanismos se han creado para incrementar la funcionalidad de un servidor Web permitiendo invocar otros programas para operar en datos, dando como respuesta la información especializada al usuario.

Todas estas formas de programas externos pueden ser adicionados al servidor en cualquier momento sin tener que modificar el código server. Los programas externos son ampliamente disponibles desde diferente fuentes, y pueden ofrecer valiosa funcionalidad para su servicio de Web público.

Podemos hacerlo de la siguiente forma:

  • Cuando necesita una funcionalidad particular para su Web, considere todas las vías posibles para proveerlas. Si determina que un programa auxiliar ejecutable es apropiado, vea más de un programa de manera que aporte las necesidades de funcionalidad.

  • Verificar que los programas que obtiene sean una copia autentica.

  • Estar seguro que entiende toda la funcionalidad que el programa provee. En lo particular, este seguro que además de la capacidad deseada, no existan otras capacidades que no se quieran.

  • Consulte información publicada en vulnerabilidades de seguridad para determinar si alguien conoce de los programas seleccionados.

  • Instalar el programa en una máquina de prueba y probarla a nuestra satisfacción.

  • Después de instalar el programa, crear procesos de seguridad para la información de nuestro software.

  • Considerar la implicación de la seguridad cuando se escogen los programas externos que el servidor ejecutará.

  • Poner atención particular en el comportamiento del servidor y archivos log en el período inmediato a la instalación del nuevo programa.

2.7.8 Administrar el servidor Web de una manera segura

La administración de un Servidor Web incluye tareas tales como transferencia de nuevo contenido al server, examinar los logs del server, instalación de nuevos programas externos, y otros cambios a la configuración del servidor. Estas tareas usualmente pueden ser ejecutadas ya sea de la consola del servidor o desde un host separado por medio de conexión de red. En cualquier caso, debe ser segura la ejecución de las tareas de manera que no ofrezca oportunidades a los intrusos infringir la seguridad del servidor.

Aunque el estado de operación normal de su servidor puede ser segura, durante la ejecución de tareas administrativas, el servidor puede estar en un estado de transición vulnerable. Esto es verdadero especialmente si el administrador del servidor está en un host remoto, porque este requiere que este abierta la conexión de network a través del cortafuego. Tal conexión puede ser vulnerable a algunas formas ataques, y puede abrir la puerta a Internet y a la administración de su servidor. El resultado sería la perdida de integridad del contenido de su Web.

Podemos hacer lo siguiente:

  • Si escoges administrar el servidor desde un host remoto, necesitas tomar precauciones para hacerlo de una manera segura.

  • Si es fiable para su Web, use un medio de almacenamiento móvil para transferir el contenido desde la copia autorizada al servidor público.

  • Si decide inspeccionar los archivos log del servidor desde otro host, use un método seguro para transferir los logs.

  • Después que todas las opciones han sido escogidas, se crean y se registran criptográficamente o por otro medio de registro.

2.7.9 Observar los cambios inesperados de directorios y archivos

Los sistemas de archivos de su medio ambiente de redes contienen una variedad de software y archivos de datos. Los cambios inesperados en directorios y archivos, especialmente aquellos que el acceso es normalmente restringido, puede ser un indicativo que una violación a ocurrido. Los cambios incluyen modificación, creación, o eliminación de directorios y archivos.

Los intrusos frecuentemente sustituyen, modifican, y dañan archivos en los sistemas en que han violado el acceso. Ocultan su presencia en sus sistemas, es común para los intrusos reemplazar programas de sistemas con sustitutos que ejecutan las mismas funciones pero excluyen información que revelaría sus actividades ilícitas. Encubriendo su presencia en los sistemas, los intrusos prolongan el tiempo para usar el sistema para sus propósitos. Es notable la seriedad del caso, la presencia de intrusos en sistemas no es descubierto hasta muchos meses después de haber entrado ilícitamente.

Los archivo de datos privados y los archivos de información critica son el blanco común de modificaciones o corrupciones por los intrusos. La información de la organización que es accesible al público o para suscribirse vía pública y la Internet también son blancos comunes. Varios casos documentados existen de prominentes organizaciones en donde su Web Site ha sido modificado para incluir contenido ofensivo y otras informaciones erróneas.

Podemos hacer lo siguiente:

  • Establecer prioridades y plan de trabajos

  • Mantener referencia de datos de archivos críticos y directorios.

  • Verificar la integridad de directorios y archivos de acuerdo a su plan de trabajo establecido.

  • Identificar cualquier archivo o directorio perdido.

  • Identificar cualquier archivo o directorio nuevo.

  • Investigue cualquier cambio inesperado

2.7.10 Inspeccionar sus sistemas y logs network

Frecuentemente, los intrusos dejan indicios de sus acciones en los archivo log del sistema. Por esto, se verifica el sistema y los archivos log periódicamente ya que es una vía para detectar las violaciones.

Los logs contienen evidencias de actividades inusuales e inesperadas que han ocurrido en el sistema o en la red. Talles entradas pueden indicar que alguien ha cambiado o intentado cambiar el sistema.

A continuación se describe el contenido de los archivos log

Tipo de Log

Información contenida en el Log

Actividad de Usuario

  • Actividad de login

  • Cambios en la identidad del usuario

  • Accesos a archivos por el usuario

  • Información de Autorización

  • Información de Autenticación

Actividades de proceso

  • Comandos ejecutados por el usuario

  • Información de procesos ejecutados incluyendo el nombre del programa, usuario, inicio y fin, y parámetros de ejecución.

Actividades del sistema

  • Levantar y bajar el sistema

  • Logins administrativos

Conexiones Network

  • Detalles de conexiones intentadas o establecidas con el sistema

Monitoreo del Tráfico de Network

  • Registro de todas las transacciones

¿Cómo Hacerlo?

  • Periódicamente inspeccionar cada tipo de archivo log

  • Documentar cualquier entrada inusual que se descubra

  • Investigue cada documento anormal

  • Reporte todas las evidencias confirmadas de violaciones al contacto de la seguridad interna de la organización.

  • Leer los boletines de seguridad de fuentes confiables y otras publicaciones regulares de seguridad.

3.1 INTRODUCCIÓN A LOS ROUTERS DE SELECCIÓN

Muchos routers comerciales proporcionan la capacidad de seleccionar paquetes con base a criterios como el tipo de protocolo, los campos de dirección de origen y dirección de destino para un tipo particular de protocolo y los campos de control que son parte del protocolo. A esos routers se les llama routers de selección. Esto pueden proporcionar un mecanismo poderoso para controlar el tipo de tráfico de red que puede existir en cualquier segmento de una red. Al controlar ese tipo de tráfico, los routers de selección pueden controlar el tipo de servicios que puede existir en un segmento de red. Por lo tanto, pueden restringirse servicios que pueden poner en peligro la seguridad de la red.

Los routers de selección pueden discriminar entre el tráfico de red con base en el tipo de protocolo y en los valores de los campos del protocolo en el paquete. A la capacidad del router para discriminar entre paquetes y restringirlos en sus puertos con base en criterios específicos de protocolo se le denomina filtración de paquetes. Por esta razón, los routers de selección son llamados también routers de filtración de paquetes.

Routers de Selección en Relación con el Modelo OSI .

Capa de aplicación

Capa de presentación

Capa de sesión

Capa transporte

Capa de red

Capa de vinculo de datos

Capa física

3.2 FILTRACIÓN DE PAQUETES

Los routers de selección pueden utilizar la filtración de paquetes como medio para mejorar la seguridad de la red. La función de selección también puede ser desarrollada por muchos productos de firewall comerciales. Sin embargo, pueden programarse muchos routers comerciales para desarrollar la filtración. Fabricantes de routers como Cisco, Wellfleet, 3COM, digital, Newbridge, ACC y muchos otros proporcionan routers que pueden programarse para desarrollar funciones de filtración de paquetes.

La filtración de paquetes se hace para restringir el tráfico de red para los servicios que habrán de rechazarse.

3.3 MODELO SIMPLE PARA LA FILTRACIÓN DE PAQUETES

Por lo general, un filtro de paquetes se coloca entre uno o más segmentos de red. Estos segmentos de red están clasificados como segmentos de red externos o internos. Los segmentos de red externos conectan su red con redes externas como Internet. Los segmentos de red internos se utilizan para conectar los hosts de la empresa y otros recursos de la red. En este modelo simple se tiene un dispositivo de filtración de paquete que solo tiene conectados dos segmentos de red. Por lo general uno de esos segmentos de red es un segmento de red externo y el otro es un segmento de red interno.

3.4 OPERACIONES DE FILTRACIÓN DE PAQUETES

Casi todos los dispositivos de filtración de paquetes actuales (routers de selección o gateways de filtración de paquetes) operan de la siguiente manera:

Los criterios de filtración de paquetes deben almacenarse para los puertos del dispositivo de filtración de paquete. A los criterios de filtración de paquetes se les llama reglas de filtración de paquetes.

Cuando el paquete llega al filtro, se analizan los encabezados del paquete. La mayoría de los dispositivos de filtración de paquete examinan los campos solo encabezados de IP, TCP o UDP.

Las reglas de filtración de paquetes se almacenan en un orden específico. Cada regla se aplica al paquete en el orden en el que la regla de filtración de paquetes se almacena.

Si una regla bloquea la transmisión o la recepción de un paquete, este no es permitido.

Si una regla permite la transmisión o la recepción de un paquete, a dicho paquete se le permite proceder.

Si un paquete no satisface alguna regla, se le bloquea.

3.5 REGLAS DE FILTRACIÓN DE PAQUETES Y ASOCIACIONES TOTALES

Los routers de selección, en general, pueden filtrar con base en cualquier de los valores de campo que se encuentran en los encabezados del protocolo TCP o IP. Para la mayoría de las políticas de seguridad de redes que pueden implementarse con routers de selección, usted solo necesita especificar los indicadores de TCP, las opciones de IP y los valores de las direcciones de origen y destino.

Número de Regla de Filtración Dirección Acción Origen Puerta de Origen Destino Puerta de Destino Opción de Indicadores de Protocolo Descripción

Si examina cada fila de la hoja de trabajo, observará que describe completamente la conexión de TCP. Formalmente, a una descripción completa de una conexión se le llama asociación completa. Cuando se diseñan reglas de filtración de paquetes es útil tener en mente las definiciones de asociación completa, media asociación y extremos. Esto le ayudará a comprender mejor las reglas de filtración de paquetes.

Una asociación completa muestra que una conexión de TCP entre dos hosts pueden describirse con la siguiente información:

  • Tipo de protocolo.

  • Dirección de IP local.

  • Número de puerto de TCP local.

  • Dirección de IP remota.

  • Número de puerto de TCP remoto.

Comparando este quinteto con las entradas de la hoja de trabajo (fig. anterior), puede ver que cada hoja describe la asociación completa entre hosts. La hoja de trabajo contiene la siguiente información adicional:

  • Tipo de protocolo.

  • Dirección de IP.

  • Número de puerto de TCP.

El punto extremo, también llamado dirección de transporte, consiste de lo siguiente:

  • Dirección de IP.

  • Número de puerto de TCP.

Como cada regla de la hoja de trabajo de la figura puede tener un rango para cualquiera de los valores de los campos que describe una asociación completa, la regla de la filtración de paquetes puede describir varios tipos diferentes de circuitos de TCP. Esto permite que una regla de filtración de paquetes implante una política de seguridad de la red describiendo varios tipos diferentes de conexiones de TCP.

3.6 IMPLEMENTACIÓN DE REGLAS DE FILTRACIÓN DE PAQUETES

Una vez que ha diseñado las reglas de filtración de paquetes y las ha descrito en la hoja de trabajo correspondiente tiene que implementar en el router de selección o en la firewall (si permite que se especifiquen reglas de filtración de paquetes).

Cada tipo de dispositivo de filtración de paquetes tiene su propio conjunto de reglas y de sintaxis para programar las reglas de filtración de paquetes. Por lo tanto, se debe leer la documentación del dispositivo y se deben aprender las peculiaridades de la sintaxis de las reglas de filtración de paquetes para ese dispositivo. Si cambia el fabricante del dispositivo de filtración de paquetes, tendrá que aprender un conjunto diferente de reglas de sintaxis.

A través de este texto se encontrarán varios ejemplos sobre la manera en que pueden especificarse las reglas de filtración de paquetes. Esto se hará en relación con los routers de selección Cisco, Inc., ¿porqué precisamente con los routers de esta marca?, pues porque Cisco domina el mercado de routers. Las reglas de filtración de paquetes para los routers de otros fabricantes son parecidas en principio a las utilizadas por Cisco, pero sintácticamente son diferentes.

3.7 DEFINICIÓN DE LISTAS DE ACCESO

Los routers Cisco definen listas de acceso como una colección secuencial de condiciones de permiso – y – negación que se aplica a direcciones de Internet. Estas condiciones de lista de acceso se utilizan para implementar las reglas de filtración de paquetes.

Cuando el router de selección se programa con lista de acceso, prueba los paquetes contra cada una de las condiciones de la lista de acceso. La primera coincidencia determina si el router acepta o rechaza el paquete. Como el router de selección se detiene a probar las condiciones en la lista de acceso después de la primera coincidencia, el orden de las condiciones es crucial.

Si no hay condiciones que coincidan, el paquete es rechazado.

Los routers Cisco tienen dos tipos de listas de acceso:

  • Listas de acceso estándar.

  • Listas de acceso extendidas.

Las listas de acceso estándar tienen una sola dirección para las operaciones coincidentes, y las listas de acceso extendidas tienen dos direcciones con información opcional del tipo de protocolo para operaciones coincidentes. Para muchas operaciones prácticas de filtración, usted necesita tanto la lista de acceso estándar como la extendida.

3.8 USO DE LAS LISTAS DE ACCESO ESTÁNDAR

La sintaxis para la lista de acceso estándar es como sigue:

access – list lista {permit ¦ deny} dirección máscara – comodín

no access – list lista

La lista es un entero que va del 1 al 99 y que se utiliza para identificar una o más condiciones permit / deny. Las reglas de filtración, como se definieron en la figura 2 se asigna a una lista de acceso.

Es posible asignar a cada regla su propia lista de acceso, pero es altamente ineficiente y propenso a errores. Cada lista de acceso está asociada con una interfaz en el router, tal como una interfaz de red o de la consola. La lista de acceso O está predefinida; es la predeterminada para toda la interface y las únicas restricciones colocadas en la interfaz son las que soportará el sistema operativo del router.

El uso de las palabras clave "permit" y "deny" corresponde a las palabras "permitir" y "bloquear" en las reglas de filtración de paquetes analizadas anteriormente. La dirección IP de origen en el paquete se compara con el valor de dirección especificado en el comando access – list. Si se utiliza la palabra clave "permit", una coincidencia hace que el paquete sea aceptado. Si se utiliza la palabra clave "deny", una coincidencia hace que el paquete sea rechazado.

La dirección y la máscara – comodín son valores de 32 bits y están escritos utilizando la notación de punto decimal. Máscara – comodín no debe confundirse con las máscaras de subred que se utilizan para subdividir una asignación de número de red de IP. En la comparación, se ignorarán los bits de dirección que corresponden a 1 en máscara – comodín. Los bits de dirección correspondientes a O en máscara – comodín son utilizados en la comparación. Considere el siguiente ejemplo:

access – list 1 permit 199.245.180.0 0.0.0.255

access - list 1 permit 132.23.0.0 0.0.255.255

En este ejemplo, se especifican los valores de dirección/máscara – comodín, y ambos se aplican al número 1 de la lista de acceso. El primer comando access – list permite el acceso de hosts a la red de clase C 199.245.180.0, y el segundo comando access – list permite el acceso de hosts a la red de clase B 132.23.0.0.

Si no está especificado el valor de máscara – comodín, se supone que habrá de ser 0.0.0.0; es decir, se compararán todos los bits de la dirección. Por la tanto, los dos comandos access – list tienen un efecto idéntico:

access – list 2 permit 132.23.1.3 0.0.0.0

access – list 2 permit 132.23.1.3

Los dos comandos anteriores solo permiten paquetes para el host con dirección IP 132.23.1.3. Si el valor de máscara – comodín no es cero, puede especificar un rango de dirección IP. Por lo tanto, esto debe hacerse con cuidado.

Aquí tenemos otro ejemplo del uso de listas de acceso estándar.

Suponga una red de clase A 67.0.0.0 conectada a un router de selección que está utilizando una máscara de subred de 255.255.0.0. Considere los siguientes comandos access – list:

access – list 3 permit 67.23.2.5 0.0.0.0

access – list 3 deny 67.23.0.0 0.0.255.255

access – list 3 permit 67.0.0.0. 0.255.255.255

La primera regla de la lista de acceso permite el tráfico para un solo host con dirección IP 67.23.2.5 en la subred 23 de la red de clase A. La segunda lista de acceso bloquea todo el tráfico de la subred 23. Como esto sigue la regla que permite el tráfico al host 67.23.2.5, no se afecta el tráfico enviado a ese host. La tercera regla permite el tráfico enviado a toda la red de clase A 67.0.0.0. Por lo tanto, la lista de acceso establece las siguientes políticas de red:

"Bloquear todo tráfico a la subred 0.23.0.0 para la red de la clase A 67.0.0.0, con la excepción de tráfico permitido al host 67.23.2.5 en esta red. Permitir el tráfico a todas las demás subredes de 67.0.0.0."

Es posible utilizar el comando "no access – list lista" para eliminar toda la lista de acceso, pero debe ser utilizado con precaución. Si se especifica una lista de acceso incorrecta, podría eliminarse algo que se desee conservar. De hecho, debido a la manera en que la lista de acceso se introduce en el router, si se desea hacerle un cambio a una regla en medio de la lista, hay que volver a introducir toda la lista. Como consecuencia, si debe tratar con un conjunto grande de listas de acceso, es más fácil probarlas y luego guardarlas en un archivo para que puedan realizarse ediciones posteriores y luego se suban al router.

Las listas de acceso tienen efecto inmediato. Si no es cuidadoso, puede bloquearse a sí mismo fuera del router, con lo que hace imposible la configuración y la operación.

3.9 USO DE LISTAS DE ACCESO EXTENDIDAS

Las listas de acceso extendidas permiten filtrar el tráfico de interfaz con base en las direcciones de IP de origen y destino y la información del protocolo.

La sintaxis para la lista de acceso extendida es como sigue:

access – list lista {permit ¦ deny} protocolo origen máscara – origen destino máscara – destino [operador operando]

La lista es un entero que va de 100 a 199 y que se utiliza para identificar una o más condiciones permit / deny extendidas.

Los números de 100 a 199 están reservados para listas de acceso extendidas y se encuentran fuera del rango de los números de 1 a 99 utilizados para las listas de acceso estándar.

Si se utiliza la palabra clave "permit", una coincidencia con la condición hace que el paquete se acepte. Es la equivalente de la regla "permitir" utilizada en las reglas de diseño de filtración de paquetes. Si se utiliza la palabra "deny", una coincidencia hace que se rechace el paquete. Es la equivalente de la regla "bloquear" utilizada en las reglas del diseño de filtración de paquetes. El resto de la lista extendida no se procesa después de que ocurre una coincidencia.

El protocolo puede representar cualquiera de los siguientes valores correspondientes a los protocolos IP, TCP, UDP e ICMP.

ip

tcp

udp

icmp

Como IP encapsula paquetes TCP, UDP e ICMP, puede utilizarse para cumplir cualquiera de esos protocolos.

Origen y máscara – origen son valores de 32 bits y están escritos utilizando la notación de punto decimal. Estos valores se utilizan para identificar la dirección IP de origen. No debe confundirse máscara – origen con la máscara de subred que se utiliza para subdividir una asignación del número de red de IP. Los bits de dirección correspondientes a 1 en la máscara – origen son ignorados en la comparación. Los bits de dirección correspondientes a O en la máscara – origen son utilizados en la comparación.

Destino y máscara – destino son utilizados para hacer coincidir la dirección de IP del destino. También se escribe utilizando la notación de punto decimal, y máscara – destino se utiliza de la misma manera que máscara – origen para las direcciones de origen.

El operador y el operando se utilizan para comparar números de puerto, puntos de acceso a servicio o nombres de contacto. Estos valores son significativos para los protocolos TCP y UDP. Para los valores clave de protocolo tcp y udp, el operador puede ser cualquiera de los siguientes valores:

lt (menor que)

eq (igual a)

gt (mayor que)

neq (no igual a )

El operando es una palabra clave o el valor decimal del puerto de destino para el protocolo especificado. También incluye un rango de valores, permitiendo que la regla de lista de acceso tenga efecto sobre un rango de puertos. El siguiente es un ejemplo del uso de los comandos access – list.

Suponga que la política de la red exige que usted rechace conexiones entrantes de SMTP del host 132.124.23.55 a su red 199.245.180.0. Usted puede implementar ésta política con las siguientes listas de acceso extendidas:

no access - list 101

access - list 101 any any

access – list 101 deny tcp 132.124.23.55 0.0.0.0 199.245.180.0 0.0.0.255 eq 25

El primer comando elimina cualquier access – list 101 extendido anterior. El segundo comando acepta cualquier paquete de cualquier host. Sin este comando, la acción predeterminada sería rechazar todos los paquetes. El tercer comando rechaza un paquete tcp que viene del host 132.124.23.55 a la red 199.245.180.0 con un puerto de destino de 25 (SMTP).

3.10 FILTRACIÓN DE LLAMADAS ENTRANTES O SALIENTES DE LA TERMINAL

Para restringir conexiones entrantes y salientes entre una línea del router Cisco y las direcciones de una lista de acceso, usted puede utilizar el comando de configuración de línea access – class.

access – class lista {in ¦ out}

La lista es el número de lista de acceso. Con el uso del valor "in" al final del comando se restringe el tráfico entrante en el dispositivo Cisco y la dirección de la lista de acceso.

Con el uso del valor "out" al final del comando se restringe el tráfico saliente entre el dispositivo Cisco y las direcciones de la lista de acceso. Para eliminar restricciones de acceso para una lista de acceso especificada, utilice el siguiente comando:

no access – class número – lista – acceso {in ¦ out}

En el siguiente ejemplo se define una lista de acceso que solo permite que los host de la red 199.245.75.0 se conecten a los puertos de la terminales virtuales 1 a 5 del router:

access – list 18 permit 199.245.75.0 0.0.0.255

line 1 5

access – class 18 in

El siguiente ejemplo bloquea las conexiones con redes diferentes de la red 156.223.0.0 en las líneas de terminal 1 a 3:

access – list 19 permit 156.233.0.0 0.0.255.255

line 1 3

access – class 19 out

4.1  Definición ¿QUÉ ES UNA FIREWALL?

" Una firewall es un sistema o grupo de sistemas que establece una política de control de acceso entre dos redes ".

Tienen las siguientes propiedades

  • Todo el trafico de adentro hacia fuera, y viceversa debe pasar a través de ella.

  • Solo el trafico autorizado, definido por la política de seguridad es autorizado para pasar por él.

  • El sistema es realmente resistente a la penetración.

4.2 TRAFICO EN INTERNET

Cuando nos referimos a que todo el trafico de adentro hacia afuera y viceversa, debe pasar por una firewall, esto es con respecto al protocolo TCP/IP.

Para controlar trafico de TCP/IP se debe tener una clara idea de cómo trabaja, un protocolo es una descripción formal de cómo de los mensajes que serán intercambiados y las reglas que deben seguir dos o mas sistemas para transferirlos de tal forma que ambos puedan entenderse.

TCP (Protocolo de transmisión de datos), divide los datos en partes, llamados paquetes, y le da a cada uno un numero. Estos paquetes pueden representar texto, gráficas, sonido o vídeo ¾ cualquier elemento que la red pueda transmitir. La secuencia de números ayuda a asegurar que los paquetes puedan ser re ensamblados una vez recibidos. Entonces cada paquete consiste en contenido, o datos, y la información que el protocolo necesita para hacerlo funcionar, llamado protocolo encabezado.

4.3 FIREWALLS COMO FILTROS

El Router es un tipo especial de switch el cual realiza el trabajo de hacer las conexiones externas y convertir el protocolo IP a protocolos de WAN y LAN.

Los paquetes de datos transmitidos hacia internet, desde un visualizador de una Pc, pasarán a través de numerosos ruteadores a lo largo del camino, cada uno de los cuales toma la decisión de hacia donde dirigir el trabajo. La figura muestra un programa analizador de ruta en acción, listando la ruta que los datos siguen.

Los ruteadores toman sus decisiones basándose en tablas de datos y reglas, por medio de filtros, así que, por ejemplo, solo datos de una cierta dirección pueden pasar a través del ruteador, esto transforma un ruteador que puede filtrar paquetes en un dispositivo de control de acceso o firewall. Si el ruteador puede generar un registro de accesos esto lo convierte en valioso dispositivo de seguridad.

Si el servidor de internet solicita información, o bien la suministra hacia sistemas de bases de datos distribuidas, entonces esta conexión entre el servidor y la estación de trabajo debería ser protegida.

4.4 FIREWALLS COMO GATEWAY

Las firewalls son comúnmente referidas como referidas como gateways, controla el acceso desde afuera hacia adentro y viceversa.

Una getaway es una computadora que proporciona servicio de intercambio de datos entre dos redes, una firewall puede consistir en un poco mas que un ruteador filtrador, como una gateway controlada. El trafico va hacia la getaway, en vez de dirigirse directamente hacia la red, la getaway que pasa los datos, de acuerdo a la política de control de los accesos, a través de un filtro, hacia otra red o hacia otra getaway conectada a otra red.

Esta mediación toma en una cuenta, direcciones de fuente y destino, tipos de paquetes de datos, política de seguridad. Típicamente una firewall registra los accesos y los intentos de acceso de una red a otra.

4.5 FIREWALLS COMO PUNTOS DE ATRAPADO

Algunas firewalls proveen servicios de seguridad adicionales. Como encriptación y decriptación, ambas deben usar sistemas compatibles de encriptación. Existen varios fabricantes que ofrecen dichos sistemas. Encriptación de firewall a firewall es la forma que se usa en el Internet de hoy.

Verificar la autenticidad del usuario así como el sistema que este usando también es importante, y las firewalls pueden hacerlo, usando tarjetas inteligentes, fichas y otros métodos. Las firewalls, pueden incluso proteger otras redes exteriores. Una compañía puede aplicar las mismas restricciones de trafico, mejorado con autenticación.

4.6 FIREWALLS INTERNAS

Alguien fuera de la empresa podría solicitar cierta información, pero no necesariamente necesita accesar a toda la información interna. En estas circunstancias, las firewalls juegan un importante papel forzando políticas de control de acceso entre redes confiables protegidas y redes que no son confiables.

En una WAN que debe ofrecer conexión de cualquier persona a cualquiera, otras formas en el nivel de aplicación pueden ser implementadas para proteger datos importantes. Sin embargo, separar las redes por medio de firewalls reduce significativamente los riesgos del ataque de un hacker desde adentro, esto es acceso no autorizado por usuarios autorizados. Agregando encriptación a los servicios de la firewall la convierte en una conexión fireawall a firewall muy segura.

Esto siempre permite redes grandes interconectadas por medio de internet. Agregando autenticación se puede aumentar el nivel de seguridad. Por ejemplo una vendedor que necesite ver la base de datos de inventario, tendrá que comprobar que es él.

4.7 TIPOS DE FIREWALLS

Tanto se ha hablado de firewalls desde el punto de vista de amenazas, principios y política. Ahora cambiamos a los específicos de implementaron de mecanismos que le permitan a las firewalls la aplicación de políticas y proveer protección. Cuando se habla de firewalls, uno debería tomar en cuenta que la tecnología evoluciona muy rápidamente. Los firewalls de hoy tienden a combinar diferente mecanismos, haciendo difícil clasificarlas. Por esa razón se describen los ingredientes que pueden ir en el diseño de una firewall.

4.8 FILTRADO DE PAQUETES

Todos los firewalls desempeñan algún tipo de filtrado de paquete ip, comúnmente por medio de un ruteador de filtrado de paquetes. El ruteador filtra paquetes, haciendo que ellos pasan por el ruteador, implementando un conjunto de reglas con base en la política de la firewall. Un ruteador filtrador de paquetes, usualmente puede filtrar paquetes ip con base en algunos o todos los criterios siguientes:

  • dirección fuente ip,

  • dirección destino ip,

  • puerto fuente tcp/udp, y

  • puerto destino tcp/udp.

El filtrado puede bloquear conexiones desde o a las redes o anfitriones específicos, y pueden bloquear conexiones a puertos específicos. Un sitio podría desear bloquear las conexiones desde ciertas direcciones, tales como desde anfitriones o los sitios consideraron hostiles o indignos de confianza. Alternativamente, un sitio puede desear bloquear conexiones desde todos las direcciones externas al sitio (con ciertas excepciones, tales como con smtp para recibir e-mail).

Los servidores tales como el telnet daemon usualmente reside en puertos conocidos (puerto 23 para telnet), así si un firewall puede bloquear conexiones tcp o udp a o desde puertos específicos, entonces el sitio puede hacer llamadas para asegurar los tipos de conexiones para ser hechas a ciertos anfitriones pero no a otros. Por ejemplo, una compañía podría desear bloquear todas las conexiones de entrada a todos los host a excepción a algunos sistemas conexos de firewall. A esos sistemas, quizás solo los servicios específicos serán permitidos, tal como smtp para un sistema y conexiones telnet o ftp a otro sistema (ven diagrama en la figura 5.1). Con filtrado sobre puertos tcp o udp, esta política puede ser exitosa en este estilo de ruteador de filtrado de paquetes o un anfitrión con capacidad de filtrado de paquete.

El filtrado de paquetes en telnet y smtp [wack]. Un ejemplo básico para usar el filtrado de paquetes para implementar políticas pudiera ser permitir solo ciertas conexiones a una red de dirección 123.4.*.*. Las conexiones telnet serían permitidas a solo un host, 123.4.5.6, los cual podrían ser una aplicación gateway en el sitio telnet, y las conexiones smtp serian permitirán a dos hosts, 123.4.5.7 y 123.4.5.8, que podrían ser dos sitio gateway e-mail. NNTP (protocolo de noticias transfiere de red) es permitir solo desde el sitio de alimentación del sistema NNTP, 129.6.48.254, y solo al servidor NNTP del sitio, 123.4.5.9; ntp ( el protocolo de tiempo de red) se permite a todos los host (anfitriones). El ruteador de filtrado de paquetes bloqueara cualquiera otros servicios y paquetes. Este ejemplo muy básico de filtrado de paquete puede volverse más complejo y flexible como el sitio fomenta ajustes a las reglas de filtrado.

Desafortunadamente, los ruteadores de filtrado de paquetes no pueden hacer todo. Ellos han sido tradicionalmente difícil usar en su configuración y mantenimiento. Esto esta cambiante, con los vendedores poniendo más atención a las interfaces.

Las reglas de filtrado de paquetes son inherentemente complejas para especificar y usualmente no existe facilidad de prueba para averiguar la corrección de las reglas (a excepción de la prueba exhaustiva por hand-see para probar). Además, alguna ruteadores no dan la capacidad para registrar (loggin), así que si las reglas de un ruteador permiten paquetes peligrosos, los paquetes pueden no ser detectarse hasta que ocurra una caída del sistema. Los sitios que optan por usar ruteador de filtrado de paquetes para su firewall deberán buscar por uno que ofrece registro (loggin) extensivo, una configuración simplificada y alguna forma de prueba de reglas.

Las excepciones a las reglas de filtración frecuentemente se necesitarán para permitir ciertos tipos de acceso que normalmente se bloquean. Esas excepciones pueden hacer las reglas de filtración tan complejo como ser inmanejables. Por ejemplo, es relativamente directo la especificación de una regla para bloquear todas las conexiones encaminadas al puerto 23 (el servidor telnet), pero algunos sitios hacen excepciones para que ciertos sistemas especificados puedan aceptar conexiones telnet directamente. Para hacer esto, el administrador debe agregar una regla para cada sistema. (Algunos sistemas de filtración de paquetes adjuntan la importancia a la orden secuencial de las reglas de filtrado, permitiendo al administrador poner una excepción de permisos al sistema específico, seguido por una negación para todos los demás sistemas.) La adición de ciertas reglas de puede de esta manera complicar el sistema entero de filtración. Algunos ruteadores de filtración de paquetes no filtra en los puertos fuente tcp/udp, el cual puede hacer el filtrado más complejo el conjunto de reglas y puede abrir hoyos en el esquema de filtración.

4.9 ¿QUÉ SON LOS SERVIDORES PROXY Y COMO TRABAJAN?

Un servidor proxy (algunas veces se hace referencia a el con el nombre de "gateway" - puerta de comunicación - o "forwarder" - agente de transporte -), es una aplicación que media en el tráfico que se produce entre una red protegida e Internet. Los proxies se utilizan a menudo, como sustitutorios de routers controladores de tráfico, para prevenir el tráfico que pasa directamente entre las redes. Muchos proxies contienen logines auxiliares y soportan la autentificación de usuarios. Un proxy debe entender el protocolo de la aplicación que está siendo usada, aunque también pueden implementar protocolos específicos de seguridad (por ejemplo: un proxy FTP puede ser configurado para permitir FTP entrante y bloquear FTP saliente).

Los servidores proxy, son aplicaciones específicas. Un conjunto muy conocido de servidores proxy son los TIS Internet Firewall Toolkit "FWTK", que incluyen proxies para Telnet, rlogin, FTP, X-Windows, http/Web, y NNTP/Usenet news. SOCKS es un sistema proxy genéricos que puede ser compilado en una aplicación cliente para hacerla trabajar a través de una Firewall.

4.10 APLICACIÓN GATEWAY

Para contar algunas de las debilidades asociado con el ruteador de filtrado de paquetes, los desarrolladores han creado aplicaciones de software que adelantan y filtran conexiones para servicios tal como telnet y ftp. Las aplicaciones referidas son servidores proxy, también conocido como aplicación gateway. Las máquinas host corriendo los servidores proxy se refieren como firewalls de aplicación gateway. Trabajando junto, firewalls de aplicación gateway y el ruteador de filtrado de paquetes pueden potencialmente dar más altos niveles seguridad y flexibilidad que una sola. Por ejemplo, considera un sitio que bloquea todas las conexiones de gateway telnet y ftp que usan un ruteador de filtrado de paquetes permite a los paquetes de telnet y ftp ir a un host solamente. Un usuario quien desea conectarse a través del sistema debe tener que conectar primero a la aplicación gateway, y entonces al host de destino.

Los firewalls de aplicación gateway únicamente permiten esos servicios para cuales hay una proxy. En otras palabras, si una gateway de aplicación contiene proxy para ftp y telnet, entonces solo ftp y telnet puede permitirse en la subred protegida y todos los otros servicios son completamente bloqueó (5.2). Para algunos sitios, este grado de seguridad es importante, como garantiza que solo los servicios considerados confiables se permite mediante el firewall. Esto también previene que otros servicios intrusos estén siendo implementar a espaldas de los administradores de firewall.

Las aplicaciones gateway ofrecen un número de ventajas generales sobre el default modo de permitir la que aplicación trafique directamente para host internos. Estas ventajas incluyen:

Ocultamiento de la información. los nombres de sistemas internos no necesariamente necesitan ser conocidos por medio de dns para los sistemas externos, desde la aplicación gateway puede ser el host la única cuyo nombre debe hacerse conocido afuera de los sistemas.

Robusta autenticación y registro. la gateway puede autentificar el trafico de la aplicación antes este llegue a los host internos. El tránsito puede entonces ser registrado más efectivamente que con el registro estándar del host .

Costo - eficacia. la tercera parte de software o hardware para la autenticación o registro necesario para ser ubicar solo en la aplicación gateway.

Menos complejas las reglas de filtrado. Las reglas en el ruteador de filtrado de paquetes serán menos complejas que aquellas que serían si el ruteador necesitara el filtrar el trafico de la aplicación y dirigir este a un número de sistemas específicos. El ruteador necesita solo permitir trafico destinado para la aplicación gateway y rechaza el resto.

4.11 LA INSPECCIÓN DE PAQUETES

Algunas firewall de internet combinan el filtrado de paquetes y el enfoque de aplicaciones gateway, usando un filtrado de paquetes o un ruteador de hardware para controlar los niveles bajos de comunicación, y gateway para habilitar aplicaciones. Esto pude crear un alto grado de control de acceso. Como siempre, este adaptamiento puede limitar en transparencia, flexibilidad y conectividad, y puede también dar una mayor dificultad en términos de configuración, manejo y especialización.

Otro punto de vista que gana aceptación es la inspecciono de paquetes que no solo los filtra, esto es, considerar su contenido tanto como sus direcciones. Las firewall de este tipo emplean una inspección de módulos, aplicable a todos los protocolos que comprenden los datos de los paquetes destinados desde el nivel network (ip) hasta el nivel de aplicación. Esta estrategia puede provee seguridad sensitiva al contexto para complejas aplicaciones y puede ser mas efectiva que la tecnología que solo tiene acceso los datos en ciertos niveles. Por ejemplo las aplicaciones gateway solo accede a los datos de nivel aplicación, los ruteadores tienen acceso solo a niveles bajos, el enfoque de la inspección de paquetes integra toda la información reunida de todos los niveles en un simple punto de inspección.

Algunas firewall de inspección también toman en cuenta el estado de la conexión, por ejemplo, la legitima entrada de paquetes puede ser probada con la petición de salida para ese paquete y se le permite entrar. Por el contrario, un paquete de entrada se enmascara con su respuesta a una inexistente petición de salida, este será bloqueado. Esto lleva el enfoque de tan llamado estado (stateful) mas aya del filtrado de paquetes. La inspección de módulos usa previas comunicaciones para derivar el estado actual de la comunicación que se esta realizando.

El filtrado inteligente puede efectivamente combinarse con la habilidad del rastreo de la sesión de red. Para usar la información acerca del inicio y fin de la sesión en la decisión de filtrado. Esto es conocido como filtrando sesión (sesión filtering). Los filtros usan reglas inteligentes, así aumenta el proceso de filtrado y controlando el rastreo de sesiones de la network que controla los paquetes individuales.

Una sesión de network contiene paquetes que van en dos direcciones, así que sin una sesión de filtrado cada sesión requiere dos reglas de filtrado de paquetes. La primera controla los paquetes que van desde el originario host hasta el destinatario host. Una regla inteligente, sobre la otra mano, sabemos que regresando el paquete dirigidos en sentido opuesto y así no necesitamos la segunda regla.

Este enfoque ofrece ventajas considerables, desde los sitios que comúnmente tratan los paquetes originados afuera de la firewall de manera diferente que los paquetes que regresan desde una conexión autorizada afuera.

4.12 LAS FIREWALLS HÍBRIDAS

En la práctica, muchos de los firewalls comerciales de hoy usan una combinación de estas técnicas. Por ejemplo, un producto que se origino como una firewall filtradora de paquetes puede haber sido mejorado con filtrando inteligente a nivel de aplicación. Las aplicaciones proxy en áreas establecida como ftp puede agregar una inspección de filtrado base en su esquema.

nota: recuerde, agregando los métodos de seguridad no significan necesariamente un aumento en la seguridad. Los mecanismos adicionales pueden aumentar, disminuir, o dejar infectado la postura de seguridad del firewall.

4.13 FACTORES QUE NO HACEN DESEABLE UNA FIREWALL

INEFICIENTE: el firewall se convierte en un cuello de botella de toda la estructura y debe poseer por lo tanto una eficiencia en la manipulación de los streams de paquetes que sea igual o superior a la del enrutador que maneja tal enlace.

Normalmente la experiencia y conocimiento de los fabricantes de firewalls no se acerca siquiera a la tradición y conocimiento de los fabricantes tradicionales de enrutadores, por ello rara vez pueden cumplir el requisito anterior y lo que se consigue en la practica es un cuello de botella, así como enrutadores sub utilizados debido a la situación anterior.

Este factor también nos conduce a que los costos para maquina de firewall que cumplan tales requisitos sean bastante altos ya que su volumen de producción (numero de unidades vendidas) no se acerque a la producción típica de los enrutadores correspondientes para ese nivel de procesamiento de paquetes por segundo.

NO TAN SEGURO: los firewall son típicamente implementados en un sistema UNIX lo que los hace bastante vulnerables para los ataques de seguridad, ya que de tal sistema existe mayor conocimiento del público en general, y son bastante publicadas las posibles brechas de seguridad en ese sistema operativo, por ello es el blanco típico de ataque para los programas especializados de scanning de los hackers (estudian "pacientemente" múltiples opciones del sistema, hasta encontrar un punto de acceso o modificación).estos programas son en un 99% desarrollados para sistemas UNIX.

Si mi seguridad esta sustentada en una maquina cuyo núcleo está apoyada en el sistema UNIX (el cual es precisamente el más conocido por los enemigos de mi seguridad), entonces mi sistema no es realmente tan seguro.

MUCHAS VECES NO SON TRANSPARENTES A LA OPERACIÓN DEL USUARIO: debido a su diseño, algunos de estos modelos no son tan transparentes a la operación del sistema, complican la administración del sistema de comunicación (usualmente tienen interfaces de manejo propietarias). Algunos modelos basados en "proxies" pueden ser muy seguros, pero algunos de ellos requieren versiones modificadas de los aplicativos, llevando los a ser poco deseables para montajes masivos.

SON INAPROPIADOS PARA MONTAJES MIXTOS: por su misma concepción el montaje solicitado por las compañías cuenta con dos niveles de VPNs (la intranet corporativa y luego las intranet de cada empresa), los cuales deben ser interrrelacionados de manera armoniosa para flujo de información y control de acceso. Este tipo de montaje seria bastante costoso, dificil de implementar y de administrar con dos niveles de firewalls.

Autores: Manuel Aráuz y Delsa Ortíz

 

WikiCiencia - Creative Commons 2000-2015 - Algunos derechos reservados - Términos y Condiciones

Firenox