Seguridad en redes:

TCP/IP, filtrado de trfico y

firewalls

Alberto Castro Rojas

EL64E Redes de Computadores

el64e@cec.uchile.cl
1

Agenda
Las redes locales y su conexin a distancias
Direccin MAC y direccin IP
Equipos de interconexin
Los protocolos TCP/IP
Filtrado del trfico TCP/IP
Firewalls

2
Redes de Computadores

el64e@cec.uchile.cl

Conjunto de protocolos TCP/IP

Son desarrollados como parte del proyecto

DARPA a mediados de la dcada del 70

Su objetivo fue la interconexin de redes con
redes, de aqu naci el concepto internetting
que ms tarde fue INTERNET.
Se crearon dos grupos de protocolos:
Control de Transmisin
Internet
3
Redes de Computadores

el64e@cec.uchile.cl

Conjunto de protocolos TCP/IP

Su relacin con el modelo ISO/OSI, es slo

a nivel de cuatro de las siete capas.

Aplicacin
Presentacin TELNET FTP SNMP SMTP DNS HTTP
Sesin
Transporte
TCP UDP ICMP
Red
IP
Enlace
802.3
802.5
Fsico
Ethernet FDDI Token Ring

4
Redes de Computadores

el64e@cec.uchile.cl

Encapsulando los datos

Nivel de aplicacin
..................................................................
(SMTP, Telnet, FTP y otros)
Nivel de transporte
(TCP,UDP, ICMP)

.............................................

Nivel de Internet
(IP)

...........................

Informacin

EncabezadoInformacin

EncabezadoEncabezado Informacin

Nivel de acceso a la red

.......... EncabezadoEncabezado Encabezado Informacin
(Ethernet, FDDI, ATM, etc)

Enviar

Recibir

5
Redes de Computadores

el64e@cec.uchile.cl

Capas del modelo

Nivel de aplicacin

Aqu residen las apliaciones. Interacta con uno o ms

protocolos de transporte para enviar o recibir datos
Nivel de Transporte
Posibilita la comunicacin punto a punto desde dos
programas. Regula el flujo de datos. El transporte puede
ser confiable, es decir con respuesta del receptor, o no
Coordina que los datos enviados desde un programa a otro,
le llegue slo al que se especific. Para esto coloca
identificadores a cada una de las aplicacines. Adems
realiza un checksum de los datos
Nivel de Internet o red Controla la comunicacin entre dos equipos, definiendo
que rutas deben seguir los paquetes para alcanzar su
destino. Encapsula y desencapsula los paquetes que
van hacia el nivel inferior y el superior
Nivel de enlace de red Envia al medio fsico flujos de bits y recibe los que de
esste nivel provienen.
6
Redes de Computadores

el64e@cec.uchile.cl

Caractersticas de TCP/IP
Los datagramas contienen la informacin

necesaria y suficiente para ser ruteados por

Internet
La conexin siempre es un fin en s misma
La inteligencia est en las puntas. Ser labor
de la aplicacin el pegar los paquetes que
conforman un archivo

7
Redes de Computadores

el64e@cec.uchile.cl

Enrutamiento de los datagramas

Computador A1
Aplicacin
Transporte
Internet
Acceso a la Red

Red A

Computador B1
Compuerta de
acceso R1

Compuesta de
acceso R2

Internet
Acceso a la Red

Internet
Acceso a la Red

Internet

Aplicacin
Transporte
Internet
Acceso a la Red

Red B

8
Redes de Computadores

el64e@cec.uchile.cl

Equipos de interconexin de
redes
Switch. Se trata de un dispositivo de

propsito especial, diseado para resolver

problemas de escasez de ancho de banda
en la red
Opera en la segunda capa del modelo OSI
y reenva los paquetes en base a la
direccin MAC
Segmenta la red en pequeos dominios de
colisin
9
Redes de Computadores

el64e@cec.uchile.cl

Equipos de interconexin de
redes
Router: Es un dispositivo de propsito

general, diseado para segmentar la red,

limitar el brodcast, proporcionar seguridad y
control de redundancia entre dominios
individuales
Opera en la tercera capa del modelo OSI
Tiene ms facilidades de software, por lo que
puede ser configurado como firewall
10
Redes de Computadores

el64e@cec.uchile.cl

Cundo se usan ?
Si la idea es segmentar el dominio de

colisiones en la red, se usa un switch

Si adems se desea segmentar la red en
dominios individuales de brodcast, suministrar
envo de paquetes entre redes y soportar rutas
redundantes en la red, se usa un router

11
Redes de Computadores

el64e@cec.uchile.cl

Cundo se usan?
Dominio
Dominiode
de
Colisin
Colisin
Dominio
Dominiode
de
Colisin
Colisin

Dominio
Dominiode
de
Colisin
Colisin

Switch
Switch
Dominio
Dominiode
de
Colisin
Colisin

Dominio
Dominiode
de
Colisin
Colisin

Switch
Switch

Dominio
Dominiode
de
Colisin
Colisin

Dominio
Dominiode
de
Colisin
Colisin

Router
Router

Dominio
Dominiode
de
Colisin
Colisin

12
Redes de Computadores

el64e@cec.uchile.cl

Ruteo Bsico
Es el proceso a travs del cual, dos

computadores se comunican, privilegiando la

mejor trayectoria de una red TCP/IP
En el ruteo asumiremos que el problema de
enviar el paquete dentro de la misma red, est
resuelto. Lo que ahora se quiere es que el
paquete viaje entre redes hasta llegar a la red
de destino
13
Redes de Computadores

el64e@cec.uchile.cl

Principios de enrutamiento
El computador inicial necesita saber cmo y

cuando comunicarse con un Router

El Router necesita saber cmo determinar la
mejor trayectoria para llegar a una red remota
El Router de la red destino, necesita saber
como comunicarse con el computador final

14
Redes de Computadores

el64e@cec.uchile.cl

Tablas de rutas
Cada router y cada host mantienen una tabla

de rutas
Un router est conectado directamente a una o
ms redes
El algoritmo de ruteo que toda
implementacin IP debe realizar, se basa en
una tabla de rutas

15
Redes de Computadores

el64e@cec.uchile.cl

Ejemplo de una tabla de ruta

Red
146.83.4.0

Router 1
146.83.4.3

Red
Default

INTERNET
146.83.4.1

Router 2
146.83.4.2
Red
146.83.5.0
Tabla para router 1

Net
146.83.4.0
146.83.5.0
Default

Gateway
146.83.4.3
146.83.4.2
146.83.4.1

Type
DIR
GW
GW

16
Redes de Computadores

el64e@cec.uchile.cl

Algoritmo de ruteo bsico

RouteIP(dgram, table)
{
IPnet = getnet(dgram.destIP);
Route = search(IPnet, table);
if( Route.type == DIR )
sendphys(dgram, dgram.destIP);
else if (Route != NOT_FOUND)
sendphys(dgram, Route.gateway);
else
{
Route = search(default, table);
if( Route != NOT_FOUND )
sendphys(dgram, Route.gateway);
else
error(dgram, Net Unreachable);
}
}
Redes de Computadores

17
el64e@cec.uchile.cl

TCP/IP es seguro?
Hemos visto que el paquete TCP/IP tiene una

estructura definida que es conocida por

cualquiera que as lo requiera
En general un equipo que procese paquetes,
podr saber quin lo enva, hacia dnde va,
con qu aplicacin se comunica etc., y podra
eventualmente, alterar el contenido del
paquete, sin que se note
18
Redes de Computadores

el64e@cec.uchile.cl

Principales tcnicas de ataque

Engao IP (Spoofing). Una mquina

suplanta la identidad de otra

Se usa para persuadir a un sistema de que
acepte datos como si vinieran de la fuente
original o bien para recibir datos que
debera ir a la mquina suplantada
Esta debilidad se debe a que los Routers
slo miran la direccin de destino del
paquete
19
Redes de Computadores

el64e@cec.uchile.cl

Spoofing
Cuando el paquete llega a destino, el

receptor revisa la IP de origen. Si el

atacante cambi su IP por una direccin
legtima, ya esta lista la primera parte del
engao
La segunda parte, consiste en incluir
ordenes en la parte TCP del paquete. Estas
ordenes pueden ser desde cambios simples,
obtencin de informacin, etc.
20
Redes de Computadores

el64e@cec.uchile.cl

Husmeando en la red (Sniffing)

Una mquina intermedia entre receptor y

transmisor, escucha los paquetes

En redes de medio compartido como
Ethernet, las tarjetas de red tienen un
segmento de hardware encargado de
acceder a todos los datos que viajan por el
medio
Qu pasa si por la red viajan las password
sin encriptacin ?
21
Redes de Computadores

el64e@cec.uchile.cl

Segurizando la red
Se pueden usar equipos que denieguen o

permitan el acceso externo a la red

corporativa
Los filtros de paquetes y los firewall son los
elementos ms usados
Se pueden usar por separado o combinados

22
Redes de Computadores

el64e@cec.uchile.cl

Routers de seleccin
Se trata de routers que pueden filtrar los

paquetes en base a criterios de seleccin

Bsicamente estos criterios son:
El tipo de protocolo
Direccin IP de origen
Servicio al cual se desea acceder
Este tipo de routers, controla qu servicios
estn permitidos en un segmento de red
23
Redes de Computadores

el64e@cec.uchile.cl

Zonas de riesgo
Internet
> 2.500.000 hosts
>30.000 redes
Cuntos hackers?

Router de seleccin

Red de la empresa
24
Redes de Computadores

el64e@cec.uchile.cl

Zonas de riesgo
La zona de riesgo, incluye todas las redes o

sus segmentos, dentro de la empresa que

tienen acceso a una red externa y que son
compatibles con TCP/IP
Los routers de seleccin por s solos,
aunque bien configurados, no hacen cero el
riesgo de ser vulnerados.
La idea es definir y disminuir la zona de
riesgo
25
Redes de Computadores

el64e@cec.uchile.cl

Ejemplo de filtracin de
paquetes
Segmento de red N

Segmento de red 4
(interno)

Segmento de red 1
(externo)
Segmento de red 2
(externo)
Segmento de red 3
(externo)

Mientras ms conexiones al router existen, ms

compleja es su configuracin como filtro de paquetes,

por cuanto:
Son ms difciles de mantener.
Es fcil cometer errores en su configuracin.
Produce retardos en la recepcin y envo de los
paquetes.

Redes de Computadores

26

el64e@cec.uchile.cl

Operacin del filtro

Las reglas del filtro de paquetes, se almacenan

por cada puerto especificado

Cuando el paquete llega al puerto, se analiza
su encabezado, que casi siempre es el IP y en
algunos casos el TCP o el UDP
Las reglas del filtro, se almacenan en un orden
especfico y se aplican a cada paquete en
forma secuencial
27
Redes de Computadores

el64e@cec.uchile.cl

Operacin del filtro

Si una regla bloquea la transmisin o

recepcin del paquete, ste no se acepta

Si una regla acepta el paquete, pasa a la
siguiente regla de filtro
Aquello que no est expresamente permitido,
se prohibe

28
Redes de Computadores

el64e@cec.uchile.cl

Diagrama de flujo
Almacenar reglas del
filtro de paquetes
Analizar campos IP, UDP, TCP de
encabezados de paquetes

Aplicar la regla del siguiente paquete

No

Bloquea la
transmisin la
regla de
paquetes?

Si

Es sta la
ltima regla del
paquete?
Si

Bloquear
paquete

Se acepta
29
Redes de Computadores

el64e@cec.uchile.cl

Diseo de filtros de paquetes

Red 192.83.7.0
Red Externa
Internet
Router
de seleccin

Supongamos que se desea aceptar todo el correo electrnico

que provenga desde la red externa menos el proveniente del
host trauco.dcc.uchile.cl (192.83.7.11), tal vez porque desde
este host se envan mensajes muy largos

30
Redes de Computadores

el64e@cec.uchile.cl

Diseo de filtros de paquetes

Para lograr lo anterior, hay que definir las

siguientes reglas:
No se confa en las conexiones del host
192.83.7.11
Se desea que desde otros lugares, puedan
llegar correos

31
Redes de Computadores

el64e@cec.uchile.cl

Arquitectura y teora de los

firewalls
Los filtros de paquetes, son una forma

eficaz de control del trfico que entra y

sale de la red
La gran ventaja aqu es que al trabajar
sobre las capas IP y TCP, no se deben
hacer cambios a nivel de la aplicacin
... Es tambin la gran desventaja, el
nmero de reglas puede ser muy limitado,
as que se requieren reglas adicionales
32
Redes de Computadores

el64e@cec.uchile.cl

Firewalls
Surge el firewall como el instrumento

principal para ejecutar la poltica de seguridad

de la organizacin
Trabaja en todas las capas del modelo
Son complementarios a los filtros de paquetes

33
Redes de Computadores

el64e@cec.uchile.cl

Firewall e Internet
Se instala entre la conexin de la red interna

y su enlace a Internet
Todo el trfico que viene o sale a Internet,
pasa por el firewall
Su configuracin, debe estar en
concordancia con la poltica de seguridad
definida
Hoy en da, una red conectada a Internet sin
un firewall es altamente riesgosa

34
Redes de Computadores

el64e@cec.uchile.cl

Qu puede hacer un firewall

Ser una fuente de decisiones de seguridad.

Permite concentrar las medidas de seguridad

en un solo punto de la red
Refuerza las polticas de seguridad. La
mayora de los servicios que los usuarios
demandan de Internet, son inseguros. Por
ejemplo, el usa de NFS desde fuera de la
organizacin
35
Redes de Computadores

el64e@cec.uchile.cl

Qu puede hacer un firewall

Almacenar su relacin con Internet. Por ser

cuello de botella, es factible registrar lo que

ocurre entre la red protegida y la externa
Limitar la exposicin. Se puede usar un
firewall interno, es decir, dentro de la misma
organizacin

36
Redes de Computadores

el64e@cec.uchile.cl

Qu no puede hacer un
firewall
Proteger contra personas maliciosas internas

a la red
Proteger las conexiones que no pasan por l
Proteger contra amenazas desconocidas.
Pero es factible reconfigurarlo, ante la nueva
situacin
Proteger contra virus? No olvidar la
integracin
37
Redes de Computadores

el64e@cec.uchile.cl

Tipos de Firewall: Host de Base

Dual
El trmino host de base mltiple, describe

a un equipo que cuenta con ms de una

tarjeta de interfaz de red
Por lo general, cada tarjeta se conecta a una
red distinta
Histricamente se usaron este tipo de host
como gateway

38
Redes de Computadores

el64e@cec.uchile.cl

Host de Base Mltiple

Funcin de enrutamiento opcional

Tarjeta
de red

Tarjeta
de red

Red 1

Tarjeta
de red

Red 3
Red 2

39
Redes de Computadores

el64e@cec.uchile.cl

Host de base dual

Este tipo de firewall, usa un host de base

dual, es decir con slo dos tarjetas

Una de las tarjetas conecta el equipo con la
red interna y la otra con la externa
Firewall

Internet

Tarjeta

Tarjeta

Externa
Interna

40
Redes de Computadores

el64e@cec.uchile.cl

Aislando la red
Los servicios de Internet, como las news, e-

mail y web, son esencialmente de

almacenamiento y envo
Si los servicios trabajan sobre un host de base
dual, pueden configurarse para ser accesados
desde otras redes
El esquema utilizado es correr en el firewall
un agente emisor de aplicacin
41
Redes de Computadores

el64e@cec.uchile.cl

Aislando la red
El software emisor recibe las peticiones

externas y se las comunica al servidor de la

aplicacin interna
Por ejemplo, si la peticin externa es ver
una noticia, el emisor encargado tomar la
peticin, la analizar y se la har al servidor
de news interno de la organizacin

42
Redes de Computadores

el64e@cec.uchile.cl

Firewall de base dual con

emisor de noticias
Emisor de
NNTP

Interfaz
Interfaz
de
dered
red

Interfaz
Interfaz
de
dered
red

Servidor de News
INTERNET

Servidor de News
43
Redes de Computadores

el64e@cec.uchile.cl

Cmo comprometer la seguridad

de un firewall de base dual
La mayor amenaza, es que un intruso obtenga

acceso directo al firewall

En este caso, el telnet directo al firewall no se
permite y toda configuracin, se hace
directamente desde la consola
Si es necesaria la configuracin remota, hay
que hacerla con protocolos que soporten
layers de segurizacin
44
Redes de Computadores

el64e@cec.uchile.cl

Consideraciones de
seguridad
Eliminar las herramientas de programacin,

tales como: compiladores, likeadores, etc.

Eliminar programas con permisos SUID y
SGID
Definicin de cuotas por particin
Eliminar las cuentas especiales y las
innecesarias
Eliminar los servicios de red innecesarios

45
Redes de Computadores

el64e@cec.uchile.cl

Firewall : Host de Bastin

El concepto se mantiene. Se trata de un

computador, pero esta vez con una sola

tarjeta de red
Un Router de seleccin o filtro de
paquetes, se interpone entre la red externa
y el bastin
De esta forma se introduce un nivel
adicional de seguridad al momento de
tratar de penetrar la red
46
Redes de Computadores

el64e@cec.uchile.cl

Host de bastin: conexin

INTERNET

Firewall
host de bastin

Router de seleccin

47
Redes de Computadores

el64e@cec.uchile.cl

Consideraciones
El router de seleccin, es la primera lnea

de defensa
Debe estar configurado para enviarle los
paquetes ya filtrados al firewall
Todo trfico que no pase las reglas
impuestas en el router, se rechaza
El firewall de bastin, utiliza funciones de
nivel de aplicacin para permitir o rechazar
las solicitudes que vienen de la red externa
48
Redes de Computadores

el64e@cec.uchile.cl

A nivel de las capas

Controles de
acceso especfico de
aplicacin
Reglas de
filtracin de
paquetes

Aplicacin
Presentacin
Sesin
Transporte
Red
Enlace
Fsico

Red
Enlace
Fsico
Red Externa

Router de
Seleccin

Red Interna

Firewall de
Bastin

Red Interna

49
Redes de Computadores

el64e@cec.uchile.cl

Tipos de Firewall : Host de

bastin con ambas interfaces de
red configuradas
Se usa un router de seleccin
El firewall posee dos interfaces de red. Una de

ellas se comunica con el router y la otra con la

red interna
El router de seleccin, aplica sus reglas de
filtrado antes de enviar los paquetes al firewall
Si un intruso desea llegar a la red interna,
deber enfrentar al router y luego el firewall
50
Redes de Computadores

el64e@cec.uchile.cl

Host de bastin con dos

interfaces
DMZ
(Demilitarized
Zone)

Firewall
host de bastin
con dos interfaces
de red

INTERNET

Router de seleccin

51
Redes de Computadores

el64e@cec.uchile.cl

Host de bastin con dos

interfaces
Se define una Zona Desmilitarizada

(DMZ Demilitarized Zone), es decir, un

pedazo de la red interna en la cual no hay
computadores
La DMZ es por lo general una token ring o
una ethernet. Esto puede ser un problema,
pues alguien puede pinchar la red y
colocar un dispositivo que escuche los
paquetes que viajan
52
Redes de Computadores

el64e@cec.uchile.cl

Tipos de Firewall : Dos hosts de

bastin y dos DMZ
Se definen tres zonas dentro la red interna: red

exterior, red privada y red interior

El router de seleccin y el host de bastin
exterior son las dos interfaces en la red
exterior
La red privada proporciona un nuevo nivel de
seguridad

53
Redes de Computadores

el64e@cec.uchile.cl

Dos hosts de bastin y dos

DMZ
INTERNET

Red Externa

DMZ Exterior
Red Exterior
Red Interior
DMZ Interior

Red Privada

Red Interna
54
Redes de Computadores

el64e@cec.uchile.cl

Dos hosts de bastin y dos DMZ

Este tipo de configuracin, permite

conectar computadores en dos zonas, con

distintos grados de proteccin
En la red privada, pueden estar los hosts
menos delicados
La configuracin se puede usar para
impedir ataques internos
Se pueden colocar algunos hosts en la red
exterior, si se desea dar algunos servicios
55
Redes de Computadores

el64e@cec.uchile.cl

Firewalls comerciales y gratis

Lo importante son siempre los conceptos
Se podra pensar que un firewall gratis es

riesgoso, pero no es cierto!

Los firewalls comerciales, implementan una
gama mayor de mecanismos de seguridad
Un firewall muy barato, se puede implementar
bajo plataforma Linux

56
Redes de Computadores

el64e@cec.uchile.cl