Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
UNIDADAD CULHUACAN
TESIS
Asesores
A toda mi familia
Especialmente a mi abuelita Teresa, mi tío
Fredy Macario, mi abuelito Macario, mi
abuelita Costa, mi tía Marlene, mi tío
Alberto, que me han enseñado que la
A Yanel dedicación es sinónimo de triunfó. Gracias
Gracias a tus consejos, a tus ánimos para no
darme por vencido tan fácilmente y todo el
cariño que me has brindado, que día con día
me hacen ser una persona de bien para la
sociedad, gracias por estar a mi lado en los
momentos de alegría y de tristeza. Eres una
persona maravillosa en mi vida. TE AMO.
Índice
Introducción 1
Conclusiones 176
Glosario 178
Bibliografía 181
Cortafuegos y Seguridad en el Internet
Introducción
Se puede decir que Internet es una red descentralizada y no es regida por un solo organismo,
debido a que está conformada por varias redes de tipo LAN o WAN, a estas se subscribían
los usuarios pagando una cuota, “America On-Line”, “Compuserver” ó “The Microsoft
Network”. Con la implantación de ésta, los usuarios disponen de más alcance puesto que se
les permite contactar con servidores que están fuera de la misma.
Una red de alcance mundial que une una gran cantidad de redes grandes de Computadoras
que funciona con la estrategia “Cliente/Servidor”, lo que significa que en ésta hay
Computadoras que dan una información concreta en el momento que se solicite, y por otro
lado están las computadoras que piden la información, denominados Clientes.
Los ataques que pueden darse dentro del Internet para ingresar a la red de cualquier empresa
o usuarios se diversifican en varias opciones o tipos de los mismos:
1
Cortafuegos y Seguridad en el Internet
Se considera que un firewall es un dispositivo que funciona como una pared entre redes,
permitiendo o denegando las transmisiones. Un uso típico es situarlo entre una red de tipo
local y la red Internet, como un dispositivo de seguridad para evitar que los intrusos puedan
acceder a información confidencial.
Por otro lado las Redes Privadas Virtuales, dan una solución para cubrir una misma red local
a grandes distancias a través de la red pública esto permite reducir en gran medida los costos
por infraestructura o pagar por un servicio. De este modo un se puede permitir los servicios
de web, correo y ftp.
Dependiendo el firewall que se tenga se puede permitir algunos accesos especiales a la red
local desde el Internet si el usuario se ha autentificado al usuario antes de tener acceso.
La falta de medidas de seguridad en las redes es un problema que se encuentra en
crecimiento.
2
Cortafuegos y Seguridad en el Internet
1.1Introducción
Los científicos y antropólogos afirman que el hombre se diferencia de los animales por su
capacidad de evolucionar y de crear.
Cada invento o creación tiene un aporte tecnológico: la televisión, la radio, la computadora,
entre otros, fueron los primeros indicios que nos mostraban que la evolución no sólo es
inminente sino que continúa. Internet se asume como el gran paso hacia el futuro, es que
además de ser algo novedoso era al mismo tiempo impensado; ni en nuestros más recónditos
sueños podíamos imaginar que todos los medios de comunicación eran capaces de fusionarse
en un solo artefacto. Pero ante de ahondar en la importancia de este instrumento virtual,
debemos acudir a la definición de Internet y así comprender un poco más sobre sus utilidades.
3
Cortafuegos y Seguridad en el Internet
Referencia: http://www.hd-tecnologia.com/www-cumple-ya-21-anos/
Uno de los servicios que más éxito ha tenido en Internet ha sido la World Wide Web (WWW,
o "la Web"), hasta tal punto que es habitual la confusión entre ambos términos. La WWW es
un conjunto de protocolos que permite de forma sencilla, la consulta remota de archivos de
hipertexto. Ésta fue desarrollada posteriormente en 1990 y utiliza al Internet como medio de
transmisión.
Existen, por lo tanto, muchos otros servicios y protocolos, aparte de la Web: el envío de
correo electrónico (SMTP), la transmisión de archivos (FTP y P2P), las conversaciones en
línea (IRC), la mensajería instantánea y presencia, la transmisión de contenido y
comunicación multimedia telefonía (VoIP), televisión (IPTV), los boletines electrónicos
(NNTP), el acceso remoto a otros dispositivos (SSH y Telnet) o los juegos en línea.
4
Cortafuegos y Seguridad en el Internet
"Asistimos a un caso de revisión histórica en tiempo real", dice Peter J. Denning, profesor de
ciencias de la computación en la Universidad George Mason. Denning participó en el
desarrollo de Internet pero hasta ahora se ha comportado como un observador silencioso.
Por su parte, Alan Brinkley, profesor de historia de la Universidad de Columbia, cree que lo
nuevo no es el revisionismo sino la presencia de Internet como herramienta de ese proceso.
El equivalente actual de mandar cartas a los diarios es inundar el mundo con las propias
opiniones valiéndose de Internet para hacerlo. Y probablemente competirá con ventaja quien
sea más activo o tenga la lista más extensa de destinatarios de correo electrónico.
Los estudiosos del tema se preguntan si Internet hará más difícil el proceso de investigación
histórica. Neil Postman, profesor de ciencias de la comunicación en la Universidad de Nueva
York, explica que "el material impreso es más definitivo, los libros preservan la información.
Internet, en cambio, la hace circular, la mueve. Con una información que se desplaza, que
aparece y desaparece, y sin guardianes, la credibilidad de la información disminuye".
El consenso entre los padres fundadores de Internet es cada vez menor, un contingente
pretende fijar la fecha del nacimiento de ARPANET a principios de septiembre de 1969,
cuando la red tuvo su primera computadora.
Quien trate de escribir la verdadera historia de Internet se encontrará con una ciénaga de
materiales contradictorios. Los científicos que tomaron parte en su construcción están más
ocupados que nunca pero no inventando nuevas tecnologías sino contando a los periodistas
su propia versión de los hechos, actualizando sus sitios web con anécdotas y fechas de aquel
hecho y mandando mensajes por e-mail. Su objetivo no es hacerse ricos sino asegurarse un
sitio en la historia.
5
Cortafuegos y Seguridad en el Internet
En el mes de julio de 1961 Leonard Kleinrock publicó desde el MIT el primer documento
sobre la teoría de conmutación de paquetes. Kleinrock convenció a Lawrence Roberts de la
factibilidad teórica de las comunicaciones vía paquetes en lugar de circuitos, lo cual resultó
ser un gran avance en el camino hacia el trabajo informático en red. El otro paso fundamental
fue hacer dialogar a las computadoras entre sí. Para explorar este terreno, en 1965, Roberts
conectó una computadora TX2 en Massachusetts con un Q-32 en California a través de una
línea telefónica conmutada de baja velocidad, creando así la primera red de computadoras de
área amplia.
Figura 1.2 Mapa parcial de Internet basado en la información obtenida del sitio bluelinerny
Referencia: http://internet-map.net/
6
Cortafuegos y Seguridad en el Internet
A raíz de un estudio de RAND, se extendió el falso rumor de que ARPANET fue diseñada
para resistir un ataque nuclear. Esto nunca fue cierto, solamente un estudio de RAND, no
relacionado con ARPANET, consideraba la guerra nuclear en la transmisión segura de
comunicaciones de voz. Sin embargo, trabajos posteriores enfatizaron la robustez y
capacidad de supervivencia de grandes porciones de las redes subyacentes.
7
Cortafuegos y Seguridad en el Internet
8
Cortafuegos y Seguridad en el Internet
En marzo de 1989, Tim Berners Lee, ya como personal de la divisón DD del CERN,
redacta la propuesta, que referenciaba a ENQUIRE y describía un sistema de gestión
de información más elaborado. No hubo un bautizo oficial o un acuñamiento del
término web en esas referencias iniciales utilizándose para tal efecto el término mesh.
Sin embargo, el World Wide Web ya había nacido. Con la ayuda de Robert Cailliau,
se publicó una propuesta más formal para la world wide web el 12 de noviembre de
1990.
Berners-Lee usó un NeXTcube como el primer servidor web del mundo y también
escribió el primer navegador web, WorldWideWeb en 1990. En las Navidades del
mismo año, Berners-Lee había creado todas las herramientas necesarias para que una
web funcionase: el primer navegador web (el cual también era un editor web), el
primer servidor web y las primeras páginas web que al mismo tiempo describían el
proyecto.
El 6 de agosto de 1991, envió un pequeño resumen del proyecto World Wide Web al
newsgroup alt.hypertext. Esta fecha también señala el debut de la web como un
servicio disponible públicamente en Internet.
El concepto, subyacente y crucial, del hipertexto tiene sus orígenes en viejos proyectos de la
década de los 60, como el Proyecto Xanadu de Ted Nelson y el sistema on-line NLS de
Douglas Engelbart. Los dos, Nelson y Engelbart, estaban a su vez inspirados por el ya citado
sistema basado en microfilm "memex", de Vannevar Bush.
9
Cortafuegos y Seguridad en el Internet
El gran avance de Berners-Lee fue unir hipertexto e Internet. En su libro Weaving the Web
(Tejiendo la Red), explica que él había sugerido repetidamente que la unión entre las dos
tecnologías era posible para miembros de las dos comunidades tecnológicas, pero como nadie
aceptó su invitación, decidió, finalmente, hacer frente al proyecto él mismo. En el proceso,
desarrolló un sistema de identificadores únicos globales para los recursos web y también el
URI (Uniform Resource Identifier).
World Wide Web tenía algunas diferencias de los otros sistemas de hipertexto que estaban
disponibles en aquel momento:
10
Cortafuegos y Seguridad en el Internet
2006: El 3 de enero, Internet alcanzó los mil cien millones de usuarios. Por lo que se
prevé que en diez años, la cantidad de navegantes de la red aumentará a 2.000
millones.
11
Cortafuegos y Seguridad en el Internet
Referencia: http://dorisfm.wordpress.com/2010/07/14/uso-de-internet-en-2010/
La mensajería instantánea o chat y el correo electrónico son algunos de los servicios del uso
más extendido, en muchas ocasiones los proveedores brindan a sus afiliados servicios
adicionales como la creación de espacios y perfiles públicos en donde se tiene la posibilidad
de colocar fotografías y comentarios, se especula actualmente si tales sistemas de
comunicación fomentan o restringen el contacto de persona a persona entre los seres
humanos, tal es el caso de portales como YouTube o Facebook, en donde los usuarios pueden
tener acceso a una gran variedad de videos sobre prácticamente cualquier tema.
La pornografía representa buena parte del tráfico, siendo a menudo un aspecto controvertido
por las implicaciones morales que le acompañan, proporciona a menudo una fuente
significativa del rédito de publicidad para otros sitios, muchos gobiernos han procurado sin
éxito poner restricciones en el uso de ambas industrias.
12
Cortafuegos y Seguridad en el Internet
Inicialmente Internet tenía un objetivo claro, se navegaba en Internet para algo muy concreto:
búsquedas de información.
La incorporación de personas a la red hace que las calles de lo que en principio era una
pequeña ciudad llamada Internet se conviertan en todo un planeta extremadamente conectado
entre sí entre todos sus miembros.
El hecho de su aumento implica una mayor cantidad de relaciones virtuales entre personas,
conociendo este hecho y relacionándolo con la “felicidad” originada por las relaciones
personales, es posible concluir que cuando una persona tenga una necesidad de conocimiento
popular o de conocimiento no escrito en libros, puede recurrir a una fuente más acorde a su
necesidad. Como ahora esta fuente es posible en Internet, dicha persona preferirá prescindir
del obligado protocolo que hay que cumplir a la hora de acercarse a alguien personalmente
para obtener dicha información y por ello, no establecerá para ese fin, una relación personal
sino virtual. Este hecho implica la existencia de un medio capaz de albergar soluciones para
diversa índole de problemas.
Internet es una red descentralizada regida por varios organismos y su estructura se parece a
una tela de araña en la cual unas se conectan con otras.
Las organizaciones responsables de la adjudicación de recursos y el desarrollo de los
protocolos necesarios para que evolucione, son por ejemplo:
La Internet Engineering Task Force (IETF) se encarga de redactar los protocolos
usados en Internet.
La Corporación de Internet para los y los Números Asignados (ICANN) es la
autoridad que coordina la asignación de identificadores únicos en Internet,
incluyendo nombres de dominio, direcciones IP, etc.
13
Cortafuegos y Seguridad en el Internet
En los últimos años se han desarrollado grandes redes que unían computadoras de empresas
o de particulares. Estas redes, eran de tipo LAN o WAN. Internet es otra Red que está por
encima de éstas y que las une a todas.
Se tiene como ejemplo los conocidos “Servicios On-Line”, los cuales son redes de
computadoras a los que se les puede conectar particulares con el fin de conseguir programas
o contactar con otros usuarios por correo. A estas redes se subscriben los usuarios pagando
una cuota, tal es el caso de “America On-Line”, “Compuserver” ó “The Microsoft Network”.
Internet funciona con la estrategia “Cliente/Servidor”, lo que significa que en la Red hay
computadoras Servidores que brindan una información concreta en el momento de una
solicitud, y por otro lado están las computadoras que piden dicha información.
Dadas las interacciones se crearon una gran variedad de “lenguajes” que usan las
computadoras para comunicarse. Estos “lenguajes” se llaman Protocolos y han establecido
que toda la información sea transmitida mediante el Protocolo TCP/IP.
Una dirección generada por el protocolo de Internet (IP) es una etiqueta numérica que
identifica, de manera lógica y jerárquica, a una interfaz de un dispositivo dentro de una red
que utilice el protocolo IP, que corresponde al nivel de red del protocolo TCP/IP. Dicho
número no se ha de confundir con la dirección MAC que es un número hexadecimal fijo que
es asignado a la tarjeta o dispositivo de red por el fabricante, mientras que la dirección IP se
puede cambiar. Esta dirección puede cambiar 2 ó 3 veces al día; y a esta forma de asignación
de dirección IP se denomina dirección IP dinámica.
Los sitios de Internet que por su naturaleza necesitan estar permanentemente conectados,
generalmente tienen una dirección IP fija. Los servidores de correo, DNS, FTP públicos y
servidores de páginas web necesariamente deben contar con una dirección IP fija o estática,
ya que de esta forma se permite su localización en la red.
14
Cortafuegos y Seguridad en el Internet
Existe un protocolo para asignar direcciones IP dinámicas llamado DHCP (Dynamic Host
Configuration Protocol).
15
Cortafuegos y Seguridad en el Internet
Direcciones IPv4
Las direcciones IPv4 se expresan por un número binario de 32 bits permitiendo un espacio
de direcciones de 4.294.967.296 (232) direcciones posibles. Las direcciones IP se pueden
expresar como números de notación decimal: se dividen los 32 bits de la dirección en cuatro
octetos. El valor decimal de cada octeto está comprendido en el rango de 0 a 255 [el número
binario de 8 bits más alto es 11111111 y esos bits, de derecha a izquierda, tienen valores
decimales de 1, 2, 4, 8, 16, 32, 64 y 128, lo que suma 255].
En la expresión de direcciones IPv4 en decimal se separa cada octeto por un carácter único
".". Cada uno de estos octetos puede estar comprendido entre 0 y 255, salvo algunas
excepciones. Los ceros iniciales, si los hubiera, se pueden obviar (010.128.001.255 sería
10.128.1.255).
En las primeras etapas del desarrollo del Protocolo de Internet, los administradores de
Internet interpretaban las direcciones IP en dos partes, los primeros 8 bits para designar la
dirección de red y el resto para individualizar la computadora dentro de la red. Este método
pronto probó ser inadecuado, cuando se comenzaron a agregar nuevas redes a las ya
asignadas. En 1981 el direccionamiento Internet fue revisado y se introdujo la arquitectura
de clases (classful network architecture). En esta arquitectura hay tres clases de direcciones
IP que una organización puede recibir de parte de la Internet Corporation for Assigned Names
and Numbers (ICANN): clase A, clase B y clase C.
En una red de clase A, se asigna el primer octeto para identificar la red, reservando
los tres últimos octetos (24 bits) para que sean asignados a los hosts, de modo que la
cantidad máxima de hosts es 224 - 2 (se excluyen la dirección reservada para broadcast
(últimos octetos en 255) y de red (últimos octetos en 0)), es decir, 16 777 214 hosts.
En una red de clase B, se asignan los dos primeros octetos para identificar la red,
reservando los dos octetos finales (16 bits) para que sean asignados a los hosts, de
modo que la cantidad máxima de hosts es 216 - 2, o 65 534 hosts.
16
Cortafuegos y Seguridad en el Internet
En una red de clase C, se asignan los tres primeros octetos para identificar la red,
reservando el octeto final (8 bits) para que sea asignado a los hosts, de modo que la
cantidad máxima de hosts es 28 - 2, ó 254 hosts.
17
Cortafuegos y Seguridad en el Internet
El diseño de redes de clases (classful) sirvió durante la expansión de Internet, sin embargo
este diseño no era escalable y frente a una gran expansión de las redes en la década del 90, el
sistema de espacio de direcciones de clases fue reemplazado por una arquitectura de redes
sin clases Classless Inter-Domain Routing (CIDR) en el año 1993. CIDR se basa en redes de
longitud de mascara de sub red variable (variable-length subnet masking VLSM) que permite
asignar redes de longitud de prefijo arbitrario. Permitiendo una distribución de direcciones
más fina y granulada, calculando las direcciones necesarias y "desperdiciando" las mínimas
posibles.
IP dinámica
Una dirección IP dinámica es aquella asignada mediante un servidor DHCP (Dynamic Host
Configuration Protocol) al usuario y tiene una duración máxima predeterminada. Este
servidor provee los parámetros de configuración específicos para cada cliente, entre estos se
encuentra su dirección IP.
DHCP apareció como protocolo estándar en octubre de 1993. El estándar RFC 2131
especifica la última definición de este, el cual sustituye al protocolo BOOTP, que es más
antiguo.
Las IP dinámicas son las que actualmente ofrecen la mayoría de operadores. Éstas suelen
cambiar cada vez que el usuario reconecta por cualquier causa.
18
Cortafuegos y Seguridad en el Internet
Ventajas
Desventajas
Una dirección IP fija es una IP asignada por el usuario de manera manual. Mucha gente
confunde IP Fija con IP Pública e IP Dinámica con IP Privada.
19
Cortafuegos y Seguridad en el Internet
Las IP públicas fijas actualmente en el mercado de acceso a Internet tienen un costo adicional
mensual. Estas IP son asignadas por el usuario después de haber recibido la información del
proveedor o bien asignadas por el proveedor en el momento de la primera conexión.
Esto permite al usuario montar servidores web, correo, FTP, etc. y dirigir un nombre de
dominio a esta IP sin tener que mantener actualizado el servidor DNS cada vez que cambie
la IP como ocurre con las IP Públicas dinámicas.
Direcciones privadas
Existen ciertas direcciones en cada clase de dirección IP que no están asignadas y que se
denominan direcciones privadas. Las direcciones privadas pueden ser utilizadas por los hosts
que usan traducción de dirección de red (NAT) para conectarse a una red pública o por los
hosts que no se conectan a Internet. En una misma red no pueden existir dos direcciones
iguales, pero sí se pueden repetir en dos redes privadas que no tengan conexión entre sí o que
se conecten a través de este. Las direcciones privadas son:
Clase A: 10.0.0.0 a 10.255.255.255 (8 bits red, 24 bits hosts). 1 red clase A, uso VIP,
ej.: la red militar estadounidense.
Clase B: 172.16.0.0 a 172.31.255.255 (12 bits red, 20 bits hosts). 16 redes clase B
contiguas, uso en universidades y grandes compañías.
Clase C: 192.168.0.0 a 192.168.255.255 (16 bits red, 16 bits hosts). 256 redes clase
C contiguas, uso de compañías medias y pequeñas además de pequeños proveedores
de Internet (ISP).
20
Cortafuegos y Seguridad en el Internet
Las direcciones privadas se pueden utilizar junto con un servidor de traducción de direcciones
de red para suministrar conectividad a todos los hosts de una red que tiene relativamente
pocas direcciones públicas disponibles, cualquier tráfico que posea una dirección destino
dentro de uno de los intervalos de direcciones privadas no ingresará a través de Internet.
Máscara de subred
La máscara permite distinguir los bits que identifican la red y los que identifican el host de
una dirección IP. Dada la dirección de clase A 10.2.1.2 sabemos que pertenece a la red
10.0.0.0 y el host al que se refiere es el 2.1.2 dentro de la misma. La máscara se forma
poniendo a 1 los bits que identifican la red y a 0 los bits que identifican el host. De esta forma
una dirección de clase A tendrá como máscara 255.0.0.0, una de clase B 255.255.0.0 y una
de clase C 255.255.255.0. Los dispositivos de red realizan un AND entre la dirección IP y la
máscara para obtener la dirección de red a la que pertenece el host identificado por la
dirección IP dada. Por ejemplo un ruteador necesita saber cuál es la red a la que pertenece la
dirección IP del datagrama destino para poder consultar la tabla de encaminamiento y poder
enviar el datagrama por la interfaz de salida. Para esto se necesita tener cables directos.
Creación de subredes
El espacio de direcciones de una red puede ser subdividido a su vez creando subredes
autónomas separadas. Un ejemplo de uso es cuando necesitamos agrupar todos los empleados
pertenecientes a un departamento de una empresa. En este caso crearíamos una subred que
englobara las direcciones IP de éstos.
21
Cortafuegos y Seguridad en el Internet
Para conseguirlo hay que reservar bits del campo host para identificar la subred estableciendo
a uno los bits de red-subred en la máscara. Por ejemplo la dirección 172.16.1.1 con máscara
255.255.255.0 nos indica que los dos primeros octetos identifican la red (por ser una
dirección de clase B), el tercer octeto identifica la subred (a 1 los bits en la máscara) y el
cuarto identifica el host (a 0 los bits correspondientes dentro de la máscara). Hay dos
direcciones de cada subred que quedan reservadas: aquella que identifica la subred (campo
host a 0) y la dirección para realizar broascast en la subred (todos los bits del campo host en
1).
Direcciones IPv6
Su representación suele ser hexadecimal y para la separación de cada par de octetos se emplea
el símbolo ":". Un bloque abarca desde 0000 hasta FFFF. Algunas reglas de notación acerca
de la representación de direcciones IPv6 son:
22
Cortafuegos y Seguridad en el Internet
La máscara de red es una combinación de bits que sirve para delimitar el ámbito de una red
de computadoras. Su función es indicar a los dispositivos que parten de la dirección IP es el
número de la red, incluyendo la subred, con al correspondiente al host.
Funcionamiento
Como la máscara consiste en una seguidilla de unos consecutivos, y luego ceros (si los hay),
los números permitidos para representar la secuencia son los siguientes: 0, 128, 192, 224,
240, 248, 252, 254, y 255.
23
Cortafuegos y Seguridad en el Internet
Ejemplo
Las máscaras de redes, se utilizan como validación de direcciones realizando una operación
AND lógica entre la dirección IP y la máscara para validar al equipo cosa que permite realizar
una verificación de la dirección de la Red y con un OR y la máscara negada se obtiene la
dirección del broadcasting.
La puerta de enlace puede ser cualquier IP dentro de ese rango, pero algunos adoptan la
norma de que cumplan el que (IP & MS)+1 = GW (Gateway, puerta de enlace). Algunos
controladores de protocolo TCP/IP rechazan todos los paquetes que no cumplen esta norma.
La puerta de enlace la utilizan los protocolos de TCP /IP para enviar aquellos paquetes cuyo
destino se encuentra fuera del rango de la subred definida por la máscara de red, si el paquete
va destinado a alguna computadora cuya IP se encuentre fuera del rango establecido por la
máscara de red, utilizarán la puerta de enlace que generalmente es un router o enrutador que
se encarga de enviarlos a otras redes. De esta manera se optimiza el trabajo que realiza la PC.
La puerta de enlace es la dirección IP del router. Dirección que ha de estar dentro de la subred,
esta dirección IP se programa en el mismo router. La mayoría de estos vienen con una
dirección de fábrica, modificable a través de un puerto serie o por red mediante http, telnet u
otros protocolos.
24
Cortafuegos y Seguridad en el Internet
Esta dirección modificable es la puerta de enlace de la red. El router generalmente tiene dos
direcciones IP cada una en un rango distinto, por ejemplo una en el rango de una subred
pequeña de 16 computadoras y otra en otra subred más grande cuyo Gateway o puerta de
enlace nos da acceso a Internet. Solo se ven entre si los equipos de cada subred o aquellos
que tengan routers y puertas de enlace bien definidas para enviar paquetes y recibir
respuestas. De este modo se forman y definen las rutas de comunicación entre computadoras
de distintas subredes. Estos dispositivos además realizan varias funciones entre ellas la
denominada NAT que consiste en llevar la cuenta del origen de los paquetes para que cuando
lleguen las respuestas sean enviadas a la computadora que procede. Cuando un router
comunica con un ISP o proveedor de servicios de Internet generalmente se les asigna una
dirección pública o externa la cual no es modificable sino asignada por la empresa
suministradora (ISP) de ADSL/RDSI. La máscara lo que determina es que los paquetes que
circulan por la LAN se acepten por alguna computadora de la misma, además determinar
que paquetes han de salir fuera de ella.
Si se escribe en el navegador una IP: 182.23.112.9, el equipo enviará la petición por web, ftp,
etc., directamente a la dirección especificada por la puerta de enlace, ningún equipo de la
subred atenderá estos paquetes por no estar dentro de su subred.
25
Cortafuegos y Seguridad en el Internet
Las máscaras 255.0.0.0 (clase A), 255.255.0.0 (clase B) y 255.255.255.0 (clase C) suelen ser
suficientes para la mayoría de las redes privadas. Sin embargo, las redes más pequeñas que
podemos formar con estas máscaras son de 254 hosts y para el caso de direcciones públicas,
su contratación tiene un coste alto. Por esta razón suele ser habitual dividir las redes públicas
de clase C en subredes más pequeñas. A continuación se muestran las posibles divisiones de
una red de clase C. La división de una red en subredes se conoce como subnetting.
26
Cortafuegos y Seguridad en el Internet
Indicación del dispositivo que envía que ha acabado el envió del mensaje
El único aspecto sobre los protocolos es que un dispositivo debe soportar los elementos
adecuados para realizarse una comunicación con otros elementos de una red, este elemento
se puede implementar en hardware o en software.
Protocolo TCP/IP
Para intercambiar información entre computadores es necesario desarrollar técnicas que
regulen la transmisión de paquetes.
En 1973 aparecieron los protocolos TCP e IP, utilizados hoy en día para controlar el flujo de
datos en Internet.
27
Cortafuegos y Seguridad en el Internet
28
Cortafuegos y Seguridad en el Internet
Internet, para poder elegir a cual pedir información. Esto se logra por medio de los Nombres
de Dominio.
Los nombres de dominio son la traducción para las personas de las direcciones IP, las cuales
son útiles sólo para las computadoras.
Por ejemplo, yahoo.com es un nombre de dominio.
29
Cortafuegos y Seguridad en el Internet
Por lo tanto, con sólo ver la última palabra del nombre de dominio, podemos averiguar dónde
está localizada la computadora a la que nos referimos.
Servicios de Internet
Las posibilidades que ofrece Internet se denominan servicios, cada servicio es una manera
de sacarle provecho a la Red independiente de las demás. Una persona podría especializarse
en el manejo de sólo uno de estos servicios sin necesidad de saber nada de los otros. Sin
embargo, es conveniente conocer todo lo que puede ofrecer Internet, para poder trabajar con
lo que más nos interese.
Hoy en día, los servicios más usados en Internet son: Correo Electrónico, World Wide Web,
FTP, Grupos de Noticias, y Servicios de Telefonía.
El Correo Electrónico nos permite enviar cartas escritas con la computadora a otras personas
que tengan acceso a la Red. Las cartas quedan acumuladas en Internet hasta el momento en
que se solicitan. Es entonces cuando son enviadas al destinatario para que pueda leerlas. El
correo electrónico es casi instantáneo, a diferencia del correo tradicional, y además muy
barato.
30
Cortafuegos y Seguridad en el Internet
La World Wide Web, o WWW como se suele abreviar, se inventó a finales de los 80 en el
CERN, el Laboratorio de Física de Partículas más importante del Mundo. Se trata de un
sistema de distribución de información tipo revista. En la Red quedan almacenadas lo que se
llaman Páginas Web, que no son más que páginas de texto con gráficos o fotos. Aquellos que
se conecten a Internet pueden pedir acceder a dichas páginas y acto seguido éstas aparecen
en la pantalla de su computadora. Este sistema de visualización de la información
revolucionó el desarrollo de Internet, a partir de la invención de la WWW, muchas personas
empezaron a conectarse a la Red desde sus domicilios como entretenimiento.
El FTP (File Transfer Protocol) nos permite enviar ficheros de datos por Internet. Con este
servicio, muchas empresas informáticas han podido enviar sus productos a personas de todo
el mundo sin necesidad de gastar dinero en miles de disquetes ni envíos. Muchos particulares
hacen uso de este servicio para dar a conocer sus creaciones informáticas a nivel mundial.
Los Grupos de Noticias son el servicio más apropiado para entablar debate sobre temas
técnicos, este se basa en el servicio de Correo Electrónico. Los mensajes que enviamos a los
Grupos de Noticias se hacen públicos y cualquier persona puede enviarnos una contestación.
Este servicio es de gran utilidad para resolver dudas difíciles, cuya respuesta sólo la sepan
unas pocas personas en el mundo.
El servicio IRC (Internet Relay Chat) nos permite entablar una conversación en tiempo real
con una o varias personas por medio de texto. Todo lo que escribimos en el teclado aparece
en las pantallas de los que participan de la charla. También permite el envío de imágenes u
otro tipo de ficheros mientras se dialoga.
Los Servicios de Telefonía son las últimas aplicaciones que han aparecido para Internet, nos
permiten establecer una conexión con voz entre dos personas conectadas a Internet desde
cualquier parte del mundo sin tener que pagar el costo de una llamada internacional, algunos
de estos servicios incorporan no sólo voz, sino también imagen, a esto se le llama
Videoconferencia.
31
Cortafuegos y Seguridad en el Internet
En 2009 un estudio realizado en Estados Unidos indicó que un 56% de los 3,030 adultos
estadounidenses entrevistados en una encuesta online manifestó que si tuviera que escoger
una sola fuente de información, elegiría Internet, mientras que un 21% preferiría la televisión
y tanto los periódicos como la radio sería la opción de un 10% de los encuestados, dicho
estudio ubica a los medios digitales en una posición privilegiada en cuanto a la búsqueda de
información y refleja un aumento de la credibilidad en dichos medios.
Un experto contable asentado en un país puede revisar los libros de una compañía en otro
país, en un servidor situado en un tercer país que sea mantenido remotamente por los
especialistas.
Internet y sobre todo los blogs han dado a los trabajadores un foro, en el cual pueden expresar
sus opiniones sobre sus empleos, jefes y compañeros, creando una cantidad masiva de
información y de datos sobre el trabajo.
Internet ha impulsado el fenómeno de la Globalización y junto con la llamada
desmaterialización de la economía ha dado lugar al nacimiento de una Nueva Economía
caracterizada por la utilización de la red en todos los procesos de incremento de valor de la
empresa.
32
Cortafuegos y Seguridad en el Internet
Buscadores
Se define como el sistema informático que indexa archivos almacenados en servidores web
cuando se solicita información sobre algún tema. Por medio de palabras clave se realiza la
exploración y el buscador muestra una lista de direcciones con los temas relacionados.
Existen diferentes formas de clasificar los buscadores según el proceso de sondeo que
realizan, la clasificación más frecuente los divide en: índices o directorios temáticos, motores
de búsqueda y metabuscadores.
Motores de búsqueda
Este tipo de buscadores son los de uso más común, basados en aplicaciones llamadas spiders
("arañas") o robots, que buscan la información con base en las palabras escritas, haciendo
una recopilación sobre el contenido de las páginas y mostrando como resultado aquéllas que
contengan la palabra o frase en alguna parte del texto.
Metabuscadores
Los metabuscadores son sistemas que localizan información en los motores de búsqueda más
utilizados, realizan un análisis y seleccionan sus propios resultados, no tienen una base de
datos, por lo que no almacenan páginas web y realizan una búsqueda automática en las bases
de datos de otros buscadores, tomando un determinado rango de registros con los resultados
más relevantes.
33
Cortafuegos y Seguridad en el Internet
Publicidad en Internet
Internet se ha convertido en el medio más mensurable y de más alto crecimiento en la historia,
actualmente existen muchas empresas que obtienen dinero de la publicidad en Internet,
además existen mucha ventajas que la publicidad interactiva ofrece tanto para el usuario
como para los anunciantes
Tamaño de Internet
Es difícil establecer el tamaño exacto de Internet, ya que éste crece continuamente y no existe
una manera fiable de acceder a todo su contenido y por consiguiente de determinar su tamaño.
Un estudio del año 2005 usando distintos motores de búsqueda (Google, MSN,
Yahoo!, and Ask Jeeves) estimaba que existían 11.500 millones de páginas Web.
Otro estudio del año 2008 estimaba que la cantidad había ascendido a 63.000 millones
de páginas web.
Para estimar esta cantidad se usan las webs indexadas por los distintos motores de búsqueda,
pero este método no abarca todas las páginas online.
Utilizando este criterio Internet se puede dividir en:
Internet superficial: Incluye los servicios indexados por los motores de búsqueda.
Internet profunda: Incluye el resto de servicios no indexados como páginas en Flash,
páginas protegidas por contraseña, inaccesibles para las arañas, etc.
1.10 Censura
Es extremadamente difícil establecer control centralizado y global de la Internet, algunos
gobiernos de naciones tales como Irán, Arabia Saudita, Cuba, Corea del Norte y la República
Popular de China, restringen el que personas de sus países puedan ver ciertos contenidos de
Internet, políticos y religiosos, considerados contrarios a sus criterios. La censura se hace, a
veces mediante filtros controlados por el gobierno, apoyados en leyes o motivos culturales,
castigando la propagación de estos contenidos.
34
Cortafuegos y Seguridad en el Internet
Sin embargo muchos usuarios de Internet pueden burlar estos filtros, pues la mayoría del
contenido de Internet está disponible en todo el mundo, sin importar donde se esté, siempre
y cuando se tengan la habilidad y los medios técnicos necesarios.
Otra posibilidad, como en el caso de China, es que este tipo de medidas se combine con la
autocensura de las propias empresas proveedoras de servicios de Internet, serían las empresas
equivalentes a Telefónicas (proveedores de servicios de Internet), para así ajustarse a las
demandas del gobierno del país receptor.
Sin embargo algunos buscadores como Google, han tomado la decisión de amenazar al
gobierno de China con la retirada de sus servicios en dicho país si no se abole la censura en
Internet.
35
Cortafuegos y Seguridad en el Internet
Internet incluye aproximadamente 5.000 redes en todo el mundo y más de 100 protocolos
distintos basados en TCP/IP, que se configura como el protocolo de la red. Los servicios
disponibles en la red mundial de PC, han avanzado mucho gracias a las nuevas tecnologías
de transmisión de alta velocidad, como ADSL y Wireless, se ha logrado unir a las personas
con videoconferencia, ver imágenes por satélite, observar el mundo por webcams, hacer
llamadas telefónicas gratuitas, o disfrutar de un juego multijugador en 3D, un buen libro PDF
o álbumes y películas para descargar.
36
Cortafuegos y Seguridad en el Internet
Estos pueden variar desde un virus que se encuentra navegando por la nube del Internet hasta
ataques directos perpetrados por especialistas en el hackeo de elementos de seguridad que
son pagados por alguna empresa o curiosos.
2.1 Amenazas
Amenazas lógicas
Por ejemplo:
Esta lista podría seguir extendiéndose a medida que se evalúen mayor cantidad de elementos
de un Sistema Informático, las empresas u organizaciones no se pueden permitir el lujo de
denunciar ataques a sus sistemas, pues el nivel de confianza de los clientes bajaría
enormemente.
37
Cortafuegos y Seguridad en el Internet
Los Administradores tienen cada vez mayor conciencia respecto de la seguridad de sus
sistemas y arreglan por sí mismos las deficiencias detectadas, a esto hay que añadir las nuevas
herramientas de seguridad disponibles en el mercado.
Cuando un usuario tiene acceso autorizado, implica que tiene autorizado el uso de un
recurso.
Cuando un atacante tiene acceso desautorizado está haciendo uso desautorizado del
sistema.
Cuando un atacante hace uso desautorizado de un sistema, esto implica que el acceso
fue autorizado.
Un ataque será un intento de acceso o uso desautorizado de un recurso, sea satisfactorio o no.
Un Incidente envuelve un conjunto de ataques que pueden ser distinguidos de otro grupo por
las características del mismo.
John D. Howard en su tesis estudia la cantidad de ataques que puede tener un incidente, al
concluir dicho estudio y basado en su experiencia en los laboratorios del CERT afirma que
esta cantidad varía entre 10 y 1,000 y estima que un número razonable para estudios es de
100 ataques por incidentes.
Detección de intrusos
A finales de 1996, Dan Farmer (creador de una de las herramientas más útiles en la detección
de intrusos: SATAN) realizó un estudio sobre seguridad analizando 2,203 sistemas de sitios
en Internet.
38
Cortafuegos y Seguridad en el Internet
Los sistemas de estudio fueron Web Sites orientados al comercio y con contenidos
específicos, además de un conjunto de sistemas informáticos aleatorios con los que se
realizaron comparaciones.
Los problemas del grupo rojo son los más serios y suponen que el sistema está abierto a un
atacante potencial, es decir, posee problemas de seguridad conocidos en disposición de ser
explotados, por ejemplo un problema un equipo que tiene el servicio de FTP anónimo mal
configurado. Los problemas de seguridad del grupo amarillo son menos serios pero también
vulnerables, estos implican que el problema detectado no compromete inmediatamente al
sistema pero puede causarle serios daños o bien, que es necesario realizar tests más intrusivos
para determinar si existe o no un problema del grupo rojo.
La tabla 2.1 resume los sistemas evaluados, el número de equipos en cada categoría y los
porcentajes de vulnerabilidad para cada uno.
39
Cortafuegos y Seguridad en el Internet
Desde 1990 hasta nuestros días, el CERT viene desarrollando una serie de estadísticas que
demuestran que cada día se registran más ataques informáticos y estos son cada vez más
sofisticados, automáticos y difíciles de rastrear.
La ilustración siguiente detalla el tipo de atacante, las herramientas utilizadas, en qué fase se
realiza el ataque, los tipos de procesos atacados, los resultados esperados y/u obtenidos y los
objetivos perseguidos por los intrusos.
Cualquier adolescente de 15 años (Script Kiddies), sin tener grandes conocimientos, pero con
una potente y estable herramienta de ataque desarrollada por los Gurús, es capaz de dejar
fuera de servicio cualquier servidor de información de cualquier organismo en Internet,
simplemente siguiendo las instrucciones que acompañan la herramienta.
Los números que siguen no pretenden alarmar a nadie ni sembrar la semilla del futuro
Hacker, evidentemente la información puede ser aprovechada para fines menos lícitos que
para los cuales fue pensada, pero esto es algo ciertamente difícil de evitar.
40
Cortafuegos y Seguridad en el Internet
Referencia: http://www.segu-info.com.ar/ataques/ataques.htm
41
Cortafuegos y Seguridad en el Internet
42
Cortafuegos y Seguridad en el Internet
Referencia:
http://www.itsteziutlan.edu.mx/site2010/index.php?option=com_content&view=article&id=763:ins
eguridad-informatica&catid=27:artlos&Itemid=288
43
Cortafuegos y Seguridad en el Internet
Puede observarse que solo el 0,70% (267) de los incidentes fueron reportados, en el año 2000
se denunciaron 21,756 casos eso arroja 3,064225 incidentes en ese año.
Las empresas u organizaciones no se pueden permitir el lujo de denunciar ataques a sus
sistemas, pues el nivel de confianza de los clientes bajaría enormemente.
En los primeros tiempos, los ataques involucraban poca sofisticación técnica. Los Insiders
(operadores, programadores, data entrys) utilizaban sus permisos para alterar archivos o
registros. Los Outsiders ingresaban a la red simplemente averiguando una password válida.
A través de los años se han desarrollado formas cada vez más sofisticadas de ataque para
explotar "agujeros" en el diseño, configuración y operación de los sistemas.
44
Cortafuegos y Seguridad en el Internet
Por ejemplo, suele llamarse a un usuario haciéndose pasar por administrador del
sistema y requerirle la password con alguna excusa convincente. O bien, podría
enviarse un mail (falsificando la dirección origen a nombre del administrador)
pidiendo al usuario que modifique su password a una palabra que el atacante
suministra.
b) Ingeniería Social Inversa: Consiste en la generación por parte de los intrusos de una
situación inversa a la originada en Ingeniería Social.
En este caso el intruso publicita de alguna manera que es capaz de brindar ayuda a
los usuarios y estos lo llaman ante algún imprevisto. El intruso aprovechará esta
oportunidad y pedir información necesaria para solucionar el problema del usuario y
el suyo propio. Esta es más difícil de llevar a cabo y por lo general se aplica cuando
los usuarios están alertados de las técnicas de la ingeniería social. Puede usarse en
algunas situaciones específicas y después de mucha preparación e investigación por
parte del intruso:
45
Cortafuegos y Seguridad en el Internet
I. Shoulder Surfing: Consiste en espiar físicamente a los usuarios para obtener el login
II. Decoy: Son programas diseñados con la misma interface que otro original. En ellos
se imita la solicitud de un logeo y el usuario desprevenido lo hace, luego el programa
guardará esta información y dejará paso a las actividades normales del sistema, la
información recopilada será utilizada por el atacante para futuras visitas.
Una técnica semejante es aquella que mediante un programa se guardan todas las
teclas presionadas durante una sesión, luego solo hará falta estudiar el archivo
generado para conocer nombres de usuarios y claves.
46
Cortafuegos y Seguridad en el Internet
Dado que actualmente existen millones de números de teléfono a los que se pueden
acceder con una simple llamada, la solución lógica (para encontrar números que
puedan interesar) es intentar conectarlos a todos.
Scanear puertos implica las mismas técnicas de fuerza bruta se envía una serie de
paquetes para varios protocolos y se deduce que servicios están "escuchando" por
las respuestas recibidas o no recibidas.
1. TCP Connect Scanning: Esta es la forma básica del scaneo de puertos TCP.
Si el puerto está escuchando, devolverá una respuesta de éxito; cualquier otro
caso significará que el puerto no está abierto o que no se puede establecer
conexión con él.
47
Cortafuegos y Seguridad en el Internet
2. TCP SYN Scanning: Cuando dos procesos establecen una comunicación usan
el modelo Cliente/Servidor para establecerla, la aplicación del Servidor
escucha todo lo que ingresa por los puertos.
48
Cortafuegos y Seguridad en el Internet
Referencia: http://www.kontrol0.com/2013/04/conceptos-basico-de-una-conexion-tcp.html
3. TCP FIN Scanning– Stealth Port Scanning: Hay veces en que incluso el
scaneo SYN no es lo suficientemente clandestino o limpio, algunos sistemas
(Firewalls y filtros de paquetes) monitorizan la red en busca de paquetes
SYN a puertos restringidos.
49
Cortafuegos y Seguridad en el Internet
Para subsanar este inconveniente los paquetes FIN podrían ser capaces de
pasar sin ser advertidos. Este tipo de Scaneo está basado en la idea de que los
puertos cerrados tienden a responder a los paquetes FIN con el RST
correspondiente. Los puertos abiertos en cambio suelen ignorar el paquete en
cuestión.
Este es un comportamiento correcto del protocolo TCP aunque algunos
sistemas, entre los que se hallan los de Microsoft® no cumplen con este
requerimiento enviando paquetes RST siempre independientemente de si el
puerto está abierto o cerrado. Como resultado no son vulnerables a este tipo
de scaneo, sin embargo es posible realizarlo en otros sistemas Unix.
Este último es un ejemplo en el que se puede apreciar que algunas
vulnerabilidades, se presentan en la aplicación de tecnologías y no sobre sus
implementaciones.
Esto se realiza con Packet Sniffers, los cuales son programas que monitorean
los paquetes que circulan por la red. Los Sniffers pueden ser colocados tanto
en una estación de trabajo conectada a la red como a un equipo Router o a un
Gateway de Internet y esto puede ser realizado por un usuario con legítimo
acceso o por un intruso que ha ingresado por otras vías.
e) Ataques de Autenticación: Este tipo de ataque tiene como objetivo engañar al sistema
de la víctima para ingresar al mismo, generalmente este engaño se realiza tomando
las sesiones ya establecidas por la víctima u obteniendo su nombre de usuario y
password.
Spoofing-Looping: Puede traducirse como "hacerse pasar por otro" y el objetivo de
esta técnica, justamente es actuar en nombre de otros usuarios, usualmente para
realizar tareas de Snooping o Tampering.
Otra consecuencia del Looping es que una compañía o gobierno pueden suponer que
están siendo atacados por un competidor o una agencia de gobierno extranjera,
cuando en realidad están seguramente siendo atacado por un Insider o por un
estudiante a miles de Kilómetros de distancia pero que ha tomado la identidad de
otros.
52
Cortafuegos y Seguridad en el Internet
El envío de falsos e-mails es otra forma de Spoofing que las redes permiten. Aquí el
atacante envía e-mails a nombre de otra persona con cualquier motivo y objetivo. Tal
fue el caso de una universidad en USA que en 1998, se reprogramo una fecha
completa de exámenes, esto debido a que alguien que uso el nombre de la secretaría
había cancelado la fecha verdadera.
Muchos ataques de este tipo comienzan con Ingeniería Social y los usuarios, por falta
de cultura facilitan a extraños sus identificaciones dentro del sistema usualmente
través de una simple llamada telefónica.
53
Cortafuegos y Seguridad en el Internet
Referencia: http://www.segu-info.com.ar/ataques/ataques_autenticacion.htm
Web Spoofing: En el caso Web Spoofing el atacante crea un sitio web completo
(falso) similar al que la víctima desea entrar. Los accesos a este sitio están dirigidos
por el atacante permitiéndole monitorear todas las acciones de la víctima desde sus
datos hasta las passwords, números de tarjeta de créditos, etc. El atacante también es
libre de modificar cualquier dato que se esté transmitiendo entre el servidor original
y la víctima o viceversa.
54
Cortafuegos y Seguridad en el Internet
El servidor al recibir estos datos no detectará el cambio de origen ya que los campos
que ha recibido como secuencia y ACK son los que esperaba recibir. El cliente a su
vez quedará esperando datos como si su conexión estuviera colgada y el atacante
podrá seguir enviando datos mediante el procedimiento descripto.
55
Cortafuegos y Seguridad en el Internet
Uso de Diccionarios: Los Diccionarios son archivos con millones de palabras, las
cuales pueden ser posibles passwords de los usuarios. Este archivo es utilizado para
descubrir dicha password en pruebas de fuerza bruta.
Un software será el encargado de probar cada una de las palabras encriptadas,
mediante el algoritmo utilizado por el sistema atacado y compara la palabra
encriptada contra el archivo de passwords de este sistema, si coinciden se habrá
encontrado la clave de acceso al sistema.
56
Cortafuegos y Seguridad en el Internet
Más allá del simple hecho de bloquear los servicios del cliente, existen algunas
razones importantes por las cuales este tipo de ataques pueden ser útiles a un atacante:
57
Cortafuegos y Seguridad en el Internet
Jamming o Flooding: Este tipo de ataques desactivan o saturan los recursos del
sistema. Por ejemplo, un atacante puede consumir toda la memoria o espacio en disco
disponible, así como enviar tanto tráfico a la red para que nadie más pueda utilizarla.
Aquí el atacante satura el sistema con mensajes que requieren establecer conexión.
Sin embargo, en vez de proveer la dirección IP del emisor, el mensaje contiene falsas
direcciones IP usando Spoofing y Looping.
El sistema responde al mensaje, pero como no recibe respuesta, acumula buffers con
información de las conexiones abiertas, evitando las conexiones legítimas. Muchos
ISPs (proveedores de Internet) han sufrido bajas temporales del servicio por ataques
que explotan el protocolo TCP. Muchos Hosts de Internet han sido dados de baja por
el "ping de la muerte" (una versión-trampa del comando ping). Mientras que el ping
normal simplemente verifica si un sistema esta enlazado a la red, el ping de la muerte
causa el bloqueo instantáneo del equipo.
Syn Flood: Como ya se explicó en el TCP SYN Scanning el protocolo TCP se basa
en una conexión en tres pasos. Pero, si el paso final no llega a establecerse, la
conexión permanece en un estado denominado "semiabierto". El SYN Flood es el
más famoso de los ataques del tipo Denial of Service publicado por primera vez en la
revista under Phrack.
58
Cortafuegos y Seguridad en el Internet
El Cliente envía un paquete SYN pero no responde al paquete ACK ocasionando que
el protocolo TCP/IP espere cierta cantidad de tiempo a que el Host hostil responda
antes de cerrar la conexión. Si se crean muchas peticiones incompletas de conexión,
el Servidor estará inactivo mucho tiempo esperando respuesta. Esto ocasiona la
lentitud en los demás servicios. SYN Flood aprovecha la mala implementación del
protocolo TCP, funcionando de la siguiente manera:
I. Se envía al destino, una serie de paquetes TCP con el bit SYN activado,
(petición de conexión) desde una dirección IP Spoofeada. Esta última debe ser
inexistente para que el destino no pueda completar el saludo con el cliente.
II. Aquí radica el fallo de TCP: ICMP reporta que el cliente es inexistente, pero
TCP ignora el mensaje y sigue intentando terminar el saludo con el cliente de
forma continua.
III. Cuando se realiza un Ping a una máquina, está tiene que procesarlo, aunque
se trate de un proceso sencillo siempre consume recursos del sistema. Si son
varios a la vez, la máquina se vuelve más lenta, si lo que recibe son miles de
solicitudes, puede que el equipo deje de responder.
59
Cortafuegos y Seguridad en el Internet
Estas van caducando tras un tiempo, liberando "huecos" para nuevas conexiones,
pero mientras el atacante mantenga el SYN Flood, la probabilidad de que una
conexión recién liberada sea capturada por un nuevo SYN malicioso es muy alta.
Connection Flood: La mayoría de las empresas que brindan servicios de Internet (ISP)
tienen un límite máximo en el número de conexiones simultáneas. Una vez que se
alcanza ese límite, no se admitirán conexiones nuevas, por ejemplo un servidor Web
puede tener, capacidad para atender a mil usuarios simultáneos.
Si un atacante establece mil conexiones y no realiza ninguna petición sobre ellas,
saturaría la capacidad del servidor. Las conexiones van caducando por inactividad
poco a poco, pero el atacante sólo necesita intentar nuevas conexiones, para mantener
fuera de servicio el servidor.
Net Flood: En estos casos la red víctima no puede hacer nada. Aunque filtre el tráfico
en sus sistemas, sus líneas estarán saturadas con tráfico malicioso, incapacitándolas
para cursar tráfico útil. Un ejemplo habitual es el de un teléfono, si alguien quiere
molestar sólo tiene que llamar de forma continua. Si se descuelga el teléfono, tampoco
se puede recibir llamadas de otras personas.
Este problema es habitual, cuando alguien intenta mandar un fax empleando el
número de voz, el fax insiste durante horas, sin que el usuario destino pueda hacer
nada al respecto.
En casos así el primer paso a realizar es el ponerse en contacto con el Proveedor del
servicio para que intente determinar la fuente del ataque y como medida provisional
filtre el ataque en su extremo de la línea.
El siguiente paso consiste en localizar las fuentes del ataque e informar a sus
administradores, si el atacante emplea IP Spoofing, el rastreo puede ser casi
imposible, ya que en muchos casos la fuente del ataque es, a su vez la víctima y el
origen y por ello puede ser prácticamente imposible de determinar.
60
Cortafuegos y Seguridad en el Internet
Por ejemplo se envían un mensaje desde la dirección 10.0.0.1 hacia ella misma. El
resultado obtenido es que luego de cierta cantidad de mensajes enviados–recibidos la
máquina termina colgándose. Existen ciertas variantes a este método consistente, por
ejemplo, en enviar el mensaje a una dirección específica sin especificar el puerto.
Suponiendo que se considere una red de tipo C la dirección de BroadCast sería .255;
por lo que el simple envío de un paquete se convierte en un efecto multiplicador
devastador.
La solución está en manos de los administradores de red, los cuales deben configurar
adecuadamente sus routers para filtrar los paquetes ICMP de petición indeseada, o
bien configurar sus máquinas para que no respondan a dichos paquetes, este método
se representa en la figura 2.5.
61
Cortafuegos y Seguridad en el Internet
Referencia: http://www.segu-info.com.ar/ataques/ataques_dos.htm
62
Cortafuegos y Seguridad en el Internet
63
Cortafuegos y Seguridad en el Internet
Múltiples Web Sites han sido víctimas del cambio en sus páginas por imágenes
terroristas, La utilización de programas troyanos y difusión de virus está dentro de
esta categoría.
Borrado de Huellas: El borrado de huellas es una de las tareas más importantes que
debe realizar el intruso después de ingresar en un sistema, porque si se detecta su
ingreso, el administrador buscará como conseguir "tapar el hueco" de seguridad,
evitar ataques futuros e incluso rastrear al atacante.
Las Huellas son todas las tareas que realizó el intruso en el sistema y por lo general
son almacenadas en Logs (archivo que guarda la información de lo que se realiza en
el sistema) por el sistema operativo.
Los archivos Logs son una de las principales herramientas (y el principal enemigo del
atacante) con las que cuenta un administrador para conocer los detalles de las tareas
realizadas en el sistema y la detección de intrusos.
64
Cortafuegos y Seguridad en el Internet
Estos Applets al fin y al cabo, no son más que código ejecutable y como tal,
susceptible de ser manipulado por intrusos. Sin embargo partiendo del diseño, Java
siempre ha pensado en la seguridad del sistema. Las restricciones a las que somete a
los Applets son de tal envergadura que es muy difícil lanzar ataques. Sin embargo,
existe un grupo de expertos especializados en descubrir fallas de seguridad en las
implementaciones de las MVJ.
Aunque los fallos son mucho más numerosos en versiones antiguas de JavaScript,
actualmente se utilizan para explotar vulnerabilidades específicas de navegadores y
servidores de correo debido a que no se realiza ninguna evaluación sobre el código.
Ataques Mediante ActiveX: ActiveX es una de las tecnologías más potentes que ha
desarrollado Microsoft®. Mediante ActiveX es posible reutilizar código, descargar
código totalmente funcional de un sitio remoto, etc.
Está soluciona los problemas de seguridad mediante certificados y firmas digitales,
una Autoridad Certificadora expende un certificado que acompaña a los controles
activos y a una firma digital del programador.
65
Cortafuegos y Seguridad en el Internet
Los "Buffer Overflows" consisten en explotar una debilidad relacionada con los
buffers que la aplicación usa para almacenar las entradas de usuario. Por ejemplo,
cuando el usuario escribe una dirección en formato URL ésta se guarda en un buffer
para luego procesarla, si no se realizan las oportunas operaciones de comprobación,
un usuario podría manipular estas direcciones.
Los protocolos usados pueden ser por ejemplo HTTP, pero también otros menos
conocidos, internos de cada explorador, como el "res:" o el "mk:". Precisamente
existen fallos de seguridad del tipo "Buffer Overflow" en la implementación de estos
dos protocolos.
66
Cortafuegos y Seguridad en el Internet
Por ejemplo:
www.servidor.com/_vti_bin/..%c0%af../..%c0%af../..%c0%af../winnt/system32/cm
d.exe?/c+dir+c:\
Devuelve el directorio de la unidad c: del servidor deseado. Para poder lanzar este
tipo de ataques hay que tener un buen conocimiento de lenguaje Assembler y de la
estructura interna de la memoria del sistema operativo utilizado o bien leer la
documentación de sitios web donde explican estas fallas. Algunas versiones de
Microsoft Internet Explorer©, podían ser utilizadas para ejecutar la aplicación que se
deseara siempre que existiera en la computadora de la víctima.
67
Cortafuegos y Seguridad en el Internet
Referencia: http://juliapetit.com.br/quatroolho/servico-google-anti-ataque-ddos/
Esta herramienta ha sido utilizada como un notable método para comprobar la capacidad de
tráfico que una computadora puede soportar sin volverse inestable y perjudicar los servicios
que desempeña. Un administrador de redes puede así conocer la capacidad real de cada
máquina.
Muchos sistemas están expuestos a "agujeros" de seguridad que son explotados para acceder
a archivos, obtener privilegios o realizar sabotaje. Estas vulnerabilidades ocurren por
variadas razones y miles de "puertas invisibles" son descubiertas en sistemas operativos,
aplicaciones de software, protocolos de red, browsers de Internet, correo electrónico y toda
clase de servicios informáticos disponibles.
68
Cortafuegos y Seguridad en el Internet
Los Sistemas operativos abiertos (como Unix y Linux) tienen agujeros más conocidos y
controlados que aquellos que existen en sistemas operativos cerrados, como Windows©.
La importancia y ventaja del código abierto radica en que miles de usuarios analizan dicho
código en busca de posibles bugs y ayudan a obtener soluciones en forma inmediata.
Constantemente encontramos en Internet avisos de nuevos descubrimientos de problemas de
seguridad (y herramientas de Hacking que los explotan), por lo que hoy también se hace
indispensable contar con productos que conocen esas debilidades, puedan diagnosticarlas y
actualizar el programa afectado con el parche adecuado.
Un ataque DoS puede ser perpetrado en un número de formas. Aunque básicamente consisten
en:
Cuando una máquina se comunica mediante TCP/IP con otra, envía una serie de datos junto
a la petición real.
69
Cortafuegos y Seguridad en el Internet
La inundación SYN envía un flujo de paquetes TCP/SYN, muchas veces con la dirección de
origen falsificada. Cada uno de los paquetes recibidos es tratado por el destino como una
petición de conexión, causando que el servidor intente establecer una conexión al responder
con un paquete TCP/SYN-ACK y esperando el paquete de respuesta TCP/ACK. Sin
embargo, debido a que la dirección de origen es falsa o la dirección IP real no ha solicitado
la conexión, nunca llega la respuesta. Estos intentos de conexión consumen recursos en el
servidor y limitan el número de conexiones que se pueden hacer, reduciendo la disponibilidad
del servidor para responder peticiones legítimas de conexión.
70
Cortafuegos y Seguridad en el Internet
Es una técnica DoS que pretende agotar el ancho de banda de la víctima. Consiste en enviar
de forma continuada un número elevado de paquetes ICMP Echo request de tamaño
considerable a la víctima, de forma que esta ha de responder con paquetes ICMP Echo reply
lo que supone una sobrecarga tanto en la red como en el sistema de la víctima.
SMURF
Existe una variante a ICMP Flood denominado Ataque Smurf que amplifica
considerablemente los efectos de un ataque ICMP.
En el ataque Smurf, el atacante dirige paquetes ICMP tipo "echo request" (ping) a una
dirección IP de broadcast, usando como dirección IP origen, la dirección de la víctima
(Spoofing). Se espera que los equipos conectados respondan a la petición, usando Echo reply
a la máquina origen. Se dice que el efecto es amplificado, debido a que la cantidad de
respuestas obtenidas, corresponde a la cantidad de equipos en la red que puedan responder.
Todas estas respuestas son dirigidas a la víctima intentando colapsar sus recursos de red, los
intermediarios también sufren los mismos problemas que las propias víctimas.
Este ataque consiste en generar grandes cantidades de paquetes UDP contra la víctima
elegida. Debido a la naturaleza sin conexión del protocolo UDP, este tipo de ataques suele
venir acompañado de IP Spoofing.
Es usual dirigir este ataque contra máquinas que ejecutan el servicio Echo, de forma que se
generan mensajes Echo de un elevado tamaño.
71
Cortafuegos y Seguridad en el Internet
2.5 Hackers
Un hacker es una persona que pertenece a una de estas comunidades o subculturas distintas
pero no completamente independientes:
En la actualidad se usa de mal forma para referirse mayormente a los criminales informáticos,
debido a su utilización masiva por parte de los medios de comunicación desde la década de
1980. A los criminales se les pueden sumar los llamados "script kiddies", gente que invade
computadoras, usando programas escritos por otros, y que tiene muy poco conocimiento
sobre cómo funcionan. Este uso parcialmente incorrecto se ha vuelto tan predominante que,
en general un gran segmento de la población no es consciente de que existen diferentes
significados.
Mientras que los hackers aficionados reconocen los tres tipos de hackers y los especialistas
de la seguridad informática aceptan todos los usos del término, los hackers del software libre
consideran la referencia a intrusión informática como un uso incorrecto de la palabra y se
refieren a los que rompen los sistemas de seguridad como "crackers".
72
Cortafuegos y Seguridad en el Internet
Los términos hacker y hack tienen connotaciones positivas e irónicamente también negativas.
Los programadores informáticos suelen usar las palabras hacking y hacker para expresar
admiración por el trabajo de un desarrollador de software cualificado, pero también se puede
utilizar en un sentido negativo para describir una solución rápida pero poco elegante a un
problema. Algunos desaprueban el uso del hacking como un sinónimo de cracker, con el
resto del mundo, en el que la palabra hacker se utiliza normalmente para describir a alguien
que "hackea" un sistema con el fin de eludir o desactivar las medidas de seguridad.
Activismo
Entre los hackers existen diferentes perfiles, desde los filósofos libertarios, amantes de la
anarquía hasta los que simplemente investigan avances técnicos.
73
Cortafuegos y Seguridad en el Internet
Desde el año 2002-2003 se ha ido configurando una perspectiva más amplia del hacker, pero
con una orientación a su integración al hacktivismo en tanto movimiento. Aparecen espacios
autónomos denominados hacklab y los hackmeeting como instancias de diálogo de hackers.
Desde esta perspectiva, se entiende al hacker como una persona que es parte de una
conciencia colectiva que promueve la libertad del conocimiento y la justicia social.
Terminología
En el Jargon File de Eric S. Raymon, la gran Biblia para hackers se puede encontrar una
diversidad de definiciones de hackers, como son:
Alguien que disfruta explorando los sistemas y programas y sabe cómo sacarles el
máximo provecho, al contrario que la mayoría de los usuarios que prefieren conocer
sólo lo imprescindible.
Entusiasta de la programación.
Alguien que aprecia el valor de hackear. Por ejemplo una persona que es buena
programando de forma rápida.
74
Cortafuegos y Seguridad en el Internet
La ética hacker defiende la libertad absoluta de información: libre acceso y libre distribución,
por lo que está estrechamente relacionada con la ética open source. Para muchos defender
tanto la libertad es algo muy parecido a defender la rebelión contra el sistema y es cierto que
hay un buen número de hackers que utilizan sus conocimientos para agredir al poder
establecido en forma de instituciones o grandes corporaciones, pero el sensacionalismo que
han despertado es absolutamente desmedido.
Cracker es un término acuñado por los hackers hacia 1985 para defenderse contra la mala
utilización que hacían los periodistas de la palabra hacker y que se refiere al que rompe la
seguridad de un sistema. Los crackers forman pequeños grupos, secretos y privados, que
tienen muy poco que ver con la cultura abierta que se describe en el mundo hacker. Todos
los hackers tienen habilidades de sobra para convertirse en crackers, pero han resistido la
tentación y se mantienen dentro de la legalidad e incluso rechazan frontalmente a los caídos,
cuando un hacker responde a la llamada del lado oscuro de la fuerza se convierte un cracker.
Esto ha llevado a que se les den diversos nombres tomando en cuenta la acción que realizan:
a) Sombrero blanco y sobrero negro: Un hacker de sombrero blanco se refiere a una ética
hacker que se centra en asegurar y proteger los sistemas de Tecnologías de información y
comunicación. Estas personas suelen trabajar para empresas de seguridad informática.
Por el contrario un hacker de sombrero negro, también conocidos como "crackers" muestran
sus habilidades en informática rompiendo sistemas de seguridad de computadoras,
colapsando servidores, entrando a zonas restringidas, infectando redes o apoderándose de
ellas, entre otras muchas cosas utilizando sus destrezas en métodos hacking.
75
Cortafuegos y Seguridad en el Internet
En los últimos años, los términos sombrero blanco y un sombrero negro han sido aplicados
a la industria del posicionamiento en buscadores. Las tácticas de posicionamiento en
buscadores de los hackers de sombrero negro, también llamada spamdexing, intento de
redireccionar los resultados de la búsqueda a páginas de destino particular, son una moda que
está en contra de los términos de servicio de los motores de búsqueda, mientras que los
hackers de sombrero blanco, utilizan métodos que son generalmente aprobados por los
motores de búsqueda.
c) Phreaker: De phone freak, son personas con conocimientos amplios tanto en teléfonos
modulares (TM), como en teléfonos móviles.
d) Wannabe: Generalmente son aquellos a los que les interesa el tema de hacking y/o
phreaking pero que por estar empezando no son reconocidos por la elite. Son aquellos que si
perseveran aprendiendo y estudiando pueden llegar a convertirse perfectamente en hackers.
No por ser novato es repudiado, al igual que tampoco hay que confundirlo con un lammer.
e) Lammer o script-kiddies: Es un término coloquial inglés aplicado a una persona con falta
de madurez, sociabilidad y habilidades técnicas o inteligencia, que por lo general pretenden
hacer hacking sin tener conocimientos de informática. Solo se dedican a buscar y descargar
programas de hacking para luego ejecutarlos, como resultado de la ejecución de los
programas descargados estos pueden terminar colapsando sus sistemas por lo que en general
acaban destrozando la plataforma en la que trabajan.
Son aprendices que presumen ser lo que no son, aprovechando los conocimientos del hacker
y poniéndolos en práctica, sin saber. En pocas palabras, no saben nada de hacking o roban
programas de otros, frecuentemente recién hechos y dicen que los crearon ellos.
76
Cortafuegos y Seguridad en el Internet
g) Sneaker: Aquel individuo contratado para romper los sistemas de seguridad por las
empresas e instituciones con la intención de subsanar dichos errores.
i) Spod: Alguien que reúne todos los aspectos negativos de un geek, pero que no cuenta con
ninguna de sus ventajas, se mueve por la Red aprovechando sus ventajas pero sin interesarse
lo más mínimo es su funcionamiento o en ningún tipo de filosofía.
j) Lurker: Se refiere a la mayoría de personas que de manera silenciosa sólo participa en los
foros.
n) Warez: Los que se dedican a obtener, desproteger o distribuir copias ilegales de software
propietario
77
Cortafuegos y Seguridad en el Internet
En el segundo caso, es frecuente en los programas freeware que uno instala, que los mismos
tengan algún componente espía. Algunos de estos programas de intercambios de archivos,
packs de emoticones para MSN Messenger, servicios de mensajería, programas aceleradores
de descargas, juegos gratis, etc.
Muchas páginas de descargas gratis fraudulentas instalan, por ejemplo, algún dialer en su
computadora, cuando se entra a un portal para bajar determinados archivos ringtones,
emoticones, etc y mientras navega, se instala subrepticiamente un software en la PC. Además
existen programas que se instalan para modificar el funcionamiento habitual de Windows, el
navegador Explorer u otras herramientas vinculadas a Internet. El Internet Explorer es la
víctima más habitual de estas invasiones, por ejemplo instalando una barra de búsqueda no
deseada o instalando programas que comienzan a lanzar popups (ventanas emergentes) de
publicidad.
78
Cortafuegos y Seguridad en el Internet
Otro problema que concierne a los Spywares es el espionaje electrónico, un software espía
que se instala en la PC y comienza a mandar información hacia algún servidor. Esta
información puede ser leída a través de las cookies de la navegación, monitorear y obtener
estadísticas de las páginas que se visualizan, analizar qué programas se tiene en la PC e
informarlos a los interesados. Las cookies, son pequeños archivos que muchos portales
instalan en la computadora y que es una práctica totalmente normal, esos pequeños archivos
memorizan el tiempo que estuvo el usuario en ese portal, recuerdan claves y logines, etc. Por
ejemplo cada vez que se entra a Hotmail y aparece el nombre y password para tener acceso,
se debe a que la web está leyendo una cookie que posee dichos datos, eso es normal y es
razonable. Una cookie no es un programa espía, pero lo que sí hace un programa espía es leer
cookies propias y ajenas y despachar esa información por Internet a alguien que está
esperando dichos datos para leerlos. Es importante diferenciar entre software espía y una
invasión de hacking. El software espía extrae información con fines puramente estadísticos,
es más que probable que Microsoft tenga un dispositivo de este tipo para tener una idea real
de la base de instalaciones de Windows legales que existe en el mundo. Esto sirve para hacer
estudios de marketing, evaluar campañas publicitarias o analizar la base de visitantes de un
portal o usuarios de un programa. Diferente a que un hacker acceda a la PC, obtenga la
información de sus logines y claves y acceda a las cuentas de correo y a las tarjetas de crédito.
Mientras que el software espía es estadístico y sus datos se acumulan con los de miles de
otros usuarios, el ataque hacker es individual y tiende a explotar esa información para
beneficio propio y abusar de servicios en su nombre, Aunque en ambos casos sigue siendo
una invasión a la privacidad.
Muchos softwares espías son realmente invisibles, excepto que se haga un análisis profundo
de la computadora. Otros son más pesados y evidentes, por ejemplo al observar algún ícono
no deseado al lado de la conexión de Internet o notando que la navegación se ha vuelto más
lenta. Un acelerador de descargas gratuito, puede tener un software espía incluido, el cual no
se puede inutilizar, porque al mismo tiempo se desinstalaría el software de descarga.
79
Cortafuegos y Seguridad en el Internet
Otros programas espía se instalan generalmente porque el usuario simplemente no lee las
advertencias o porque indican otra cosa de lo que realmente es. Pero como muchos usuarios
no entienden inglés o no saben del alcance real de estos programas, instalan todo y después
comienza el problema de los popups y de la navegación demasiado lenta.
El mayor problema del Spyware es que es aceptado, no está visto como dañino, pero si
molesto, no es repudiado universalmente como los virus y por tal motivo, no hay
herramientas permanentes para prevenirlos. Al tener un antivirus instalado que se actualiza
automáticamente por Internet se está cubriendo el 90% de los casos. El 10% restante responde
a aquellos que abren todos los correos y todos los archivos extraños o bien que lo sorprenda
un virus altamente dañino creado hoy y que aún no haya actualización disponible para
descargar.
Se puede instalar un Firewall para protegerlo de ataques hacker, y que pueden detectar la
mayoría de programas que intentan instalarse sin autorización en la PC, o bien si ya se han
instalado, le advierte que intenta sacar datos hacia Internet.
El mayor inconveniente del Spyware está en cómo se instala en la PC. En muchos casos es
sumamente complejo o incluso imposible anularlos, algunos Spyware poseen su propio
desinstalador pero no se está a la vista. En el caso de Windows se puede ir al Panel de Control
y encontrarse en "Agregar / Quitar Programas" que hay software que simplemente usted
nunca instaló y ni siquiera encuentra un ícono en el escritorio o en la barra de inicio, desde
allí puede desinstalarlo, en otros casos más graves el software espía se disemina y actúa como
un verdadero virus, pero no destruye los datos de la PC.
80
Cortafuegos y Seguridad en el Internet
El software anti-espía es una opción que podría resultar dañino como el software espía, por
ejemplo Ad Aware o SpyBot Search and Destroy consiguen en la mayoría de los casos
inutilizar al Spyware pero estos tienen acceso a los registros de Windows.
Hay una serie de reglas que pueden ayudar a prolongar el sistema operativo, ciertamente el
Spyware es un fenómeno generalizado, y nadie está exento de ello. Las siguientes son
medidas de seguridad para evitar la instalación de Spywares.
Se deben de seguir las siguientes reglas para proteger los datos almacenados en las
computadoras de redes gubernamentales y comerciales, las cuales fueron publicadas en la
Guía Federal Computer Week's Survivors Guide.
Participaron en la discusión que llevó a la creación de esta guía, siete reconocidos expertos,
los cuáles sugirieron las siguientes seis maneras de protegerse contra los mayores ataques
que hoy día podrían afectar a las redes de computadoras.
Estas reglas se basan en lo que los especialistas denominan "seguridad en puntos finales", lo
cual consiste en implementar y mejorar la seguridad en los equipos de mesa, laptops y
dispositivos móviles. A este nivel, los estándares acerca de la configuración de equipos y el
uso de cortafuegos que se configuran de manera remota, se consideran como parte de las
pocas herramientas y técnicas que resultan realmente útiles a la hora de la verdad.
81
Cortafuegos y Seguridad en el Internet
1. Definir el problema
Es necesario contar con una persona con la suficiente experiencia y el conocimiento para
realizar este trabajo, pues no se trata solo de comprar e instalar aplicaciones, sino de alguien
que pueda manejar los mecanismos necesarios de forma dinámica. Esto incluye el manejo
responsable de la información que se recibe antes de que realmente se produzca el ataque
(noticias de nuevas vulnerabilidades y mecanismos para mitigarlas, aún antes de que estén
disponibles los parches o de que surja un nuevo virus que explote la amenaza).
Interpretando y manejando esta información, es más fácil detener un ataque que provenga de
Internet, antes que se convierta en un problema mayor si hay que atacarlo desde el interior
de la propia red.
82
Cortafuegos y Seguridad en el Internet
Además, se cumpliría así con uno de los puntos más importantes en toda estrategia de
seguridad: la estandarización, de ese modo, se podría compartir información sobre amenazas
y vulnerabilidades entre las distintas organizaciones. También en el caso de las empresas
privadas se debería implementar la estandarización, si el trabajo del encargado es ver a través
de todas las unidades de negocios y manejar los costos relacionados, entonces lo mejor es
manejar un estándar de seguridad con el fin de tener la certeza de que las distintas
organizaciones estén implementando los mecanismos adecuados. Al hablar de la
estandarización se deben tomar en cuenta las distintas actividades de las organizaciones, de
tal modo que pueda lograr una diferenciación de actividades y una correcta implementación
de herramientas.
A pesar de las distintas leyes, regulaciones, requerimientos y guías para manejar la seguridad
en las tecnologías de la información, los encargados de las áreas de TI no están teniendo el
suficiente cuidado como deberían, pues las amenazas son diferentes cada día, evolucionando
constantemente para poder burlar los dispositivos de seguridad. Los chicos malos son más
inteligentes cada día.
4. Corrección de la configuración
Crear un programa completo de seguridad, puede volver locos a los encargados de la misma,
a la hora de intentar satisfacer las distintas necesidades con determinados productos, podría
ayudar mucho el realizar una estandarización en la configuración de equipos de mesa y
laptops.
83
Cortafuegos y Seguridad en el Internet
También los dispositivos móviles inalámbricos deben cumplir un estándar a los efectos de
poder acceder a la red de datos de la organización.
La tarea de preparar gente en el área de la seguridad informática, es algo que está siendo
tomado muy en serio por las universidades, pero en este momento no existe la cantidad
suficiente de personas con el conocimiento adecuado para realizar este trabajo.
Es cada vez más notorio que las mayores amenazas pueden provenir de los propios usuarios
desde dentro de la red de la organización, por lo que en algunos casos es necesario mantener
un registro de lo que está realizando cada individuo y controlar cualquier intento de pretender
escalar privilegios.
Por el contrario, se debe implementar una infraestructura adecuada, preparada para contener
las amenazas y actuar de forma proactiva antes que ocurran los ataques.
84
Cortafuegos y Seguridad en el Internet
85
Cortafuegos y Seguridad en el Internet
Uno de los mayores problemas de una empresa o de algún usuario a la hora de implantar y
mantener una red local de los equipos de cómputo es la seguridad. Por ejemplo supongamos
ahora que una empresa abre una nueva oficina a kilómetros de distancia y desea que dicha
oficina esté conectada con la principal, de la misma manera que están conectados todas las
computadoras de una misma oficina. En este caso la única salida posible es pasar a través de
Internet, pero claro, ya no tenemos control sobre el tráfico una vez que los datos salgan al
exterior y antes de que lleguen a la otra oficina, nuestra información por un momento estará
a la vista de todo aquel que sepa buscarla, este es un riesgo que nadie debería estar dispuesto
a correr.
Por suerte hay una solución sencilla y barata para esta situación, la VPN (Virtual Private
Network o Red Privada Virtual). Una VPN es una extensión de una red local que permite
conectar dos o más puntos de manera segura, es como si entre las dos oficinas distanciadas
por kilómetros, se tendiera un inmenso cable de red, sólo que la VPN hace uso de la misma
red de acceso a Internet, por lo que no hay que gastar tiempo y dinero en conectar físicamente
en realizar la mencionada conexión entre oficinas.
El surgimiento de las Redes Privadas Virtuales (VPN) ha ofrecido ventajas muy amplias
a las corporaciones, siendo la principal de ellas la reducción de costos de instalación y
mantenimiento de forma muy significativa.
86
Cortafuegos y Seguridad en el Internet
Una Red Privada Virtual (VPN, Virtual Private Network) es una red privada que
utiliza la infraestructura de una red pública para poder transmitir información.
Una VPN combina dos conceptos: redes virtuales y redes privadas. En una red virtual,
los enlaces de la red son lógicos y no físicos, la topología de esta red es independiente de
la topología física de la infraestructura utilizada para soportarla. Un usuario de una red
virtual no será capaz de detectar la red física, el sólo podrá ver la red virtual.
87
Cortafuegos y Seguridad en el Internet
Otro de los usos más extendidos de las VPN es para facilitar el acceso remoto a una red local,
un ejemplo clásico lo tenemos en los empleados que deben acceder a la red del trabajo desde
su portátil cuando se encuentran desplazados. Las redes privadas son definidas como redes
que pertenecen a una misma entidad administrativa, un ejemplo típico de esta clase de
red es una intranet corporativa, la cual puede ser utilizada sólo por los usuarios
autorizados. De los conceptos de red privada y red virtual es como nace el concepto de
red privada virtual, debido al hecho de ser una red privada que utiliza una red pública, la
cuestión de la seguridad en una VPN es muy importante, ya que la información que circula
en una red pública puede ser vista por cualquiera si no se toman las debidas precauciones.
Y en una red pública como Internet existen muchas personas malintencionadas que siempre
están dispuestas a robar información. Es por eso que una VPN debe de poseer excelentes
mecanismos de autenticación y de encriptación de la información para que ésta viaje
segura a través de una red pública.
88
Cortafuegos y Seguridad en el Internet
Servidor VPN
Túnel
Conexión VPN
Red pública de tránsito
Cliente VPN
Para emular un vínculo punto a punto en una VPN, los datos se encapsulan o
empaquetan con un encabezado que proporciona la información de enrutamiento que
permite a los datos recorrer la red pública hasta alcanzar su destino. Para emular un
vínculo privado, los datos se cifran para asegurar la confidencialidad. Los paquetes
interceptados en la red compartida o pública no se pueden descifrar si no se dispone de
las claves de cifrado. La parte de la conexión en la cual los datos privados son
encapsulados es conocida como túnel. La parte de la conexión en la que se encapsulan y
cifran los datos privados se denomina conexión VPN.
89
Cortafuegos y Seguridad en el Internet
Existen básicamente dos tipos de arquitectura para una VPN, los cuales son:
Las VPN de acceso remoto ahorran costos a las empresas ya que los usuarios sólo
necesitan establecer una conexión con un ISP local, pagándose solamente la llamada local
y olvidándose de realizar llamadas de larga distancia. El cliente de acceso remoto inicia
una conexión VPN a través de Internet con el servidor VPN de la compañía. Una vez
que se ha establecido el enlace, el usuario puede acceder a los recursos de la intranet
privada de la empresa.
VPN dial-up: en esta VPN, el usuario realiza una llamada local al ISP utilizando un
módem, aunque se trata de una conexión lenta es todavía muy común. El uso de este tipo
de VPN se da más entre los usuarios móviles, ya que no en todos los lugares a donde se
viaja se pueden tener disponibles conexiones de alta velocidad.
VPN directa: en esta VPN, se utilizan las tecnologías de conexión a Internet de alta
velocidad, tales como DSL y módem de cable las cuales ya ofrecen muchos ISP.
Actualmente se pueden obtener conexiones a Internet desde el hogar utilizando estas
tecnologías.
90
Cortafuegos y Seguridad en el Internet
Las VPN de sitio a sitio son utilizadas para conectar sitios geográficamente separados de
una corporación. Como ya se explicó anteriormente, en las redes tradicionales las distintas
oficinas de una corporación son conectadas utilizando tecnologías como T1, E1, ATM o
Frame Relay.
Con una VPN, es posible conectar las LAN corporativas utilizando Internet. El envío
de información se realiza a través de una conexión VPN, de esta forma se puede crear
una WAN utilizando una VPN. Una empresa puede hacer que sus redes se conecten
utilizando un ISP local y establezcan una conexión de sitio a sitio a través de Internet.
Los costos de la comunicación se reducen enormemente porque el cliente sólo paga
por el acceso a Internet, las oficinas remotas se conectan a través de túneles creados
sobre Internet. Con el uso de la infraestructura de Internet, una empresa puede desechar
la difícil tarea de tener que estar administrando los dispositivos como los que se utilizan
en las WAN tradicionales.
91
Cortafuegos y Seguridad en el Internet
VPN intranet. Las VPN intranet se utilizan para la comunicación interna de una
compañía.
VPN extranet: estas VPN enlazan clientes, proveedores, socios o comunidades de interés
con una intranet corporativa, como se muestra en la figura 3.5 Se puede implementar
una VPN extranet mediante acuerdo entre miembros de distintas organizaciones, las
empresas disfrutan de las mismas normas que las de una red privada.
92
Cortafuegos y Seguridad en el Internet
Existen diferentes formas de que una organización puede implementar una VPN. Cada
fabricante o proveedor ofrece diferentes tipos de soluciones VPN, cada corporación
tendrá que decidir la que más le convenga. Los tipos diferentes de VPN son:
VPN de firewall
VPN de router y de concentrador
VPN de sistema operativo
VPN de aplicación
VPN de proveedor de servicios
VPN de firewall
93
Cortafuegos y Seguridad en el Internet
Se trata de un filtro que controla todas las comunicaciones que pasan de una red a la otra y
en función de lo que sean, permite o deniega su paso. Para permitir o denegar una
comunicación el firewall examina el tipo de servicio al que corresponde, como pueden
ser el web, el correo o el IRC.
Dependiendo del servicio el firewall decide si lo permite o no. Además, el firewall
examina si la comunicación es entrante o saliente y dependiendo de su dirección puede
permitirla o no, un firewall puede ser un dispositivo software o hardware.
Es muy común que se utilice un firewall para proporcionar servicios VPN. Una VPN
basada en firewall tiene la ventaja de que simplifica la arquitectura de la red al establecer
un único punto de control de seguridad. Además, los ingenieros de redes sólo tienen que
hacerse expertos en una tecnología, en lugar de tener que aprender a administrar un
firewall y la VPN de forma separada.
Empresas como Cisco, Nortel y 3Com entre otros también ofrecen servicios VPN
integrados dentro de un router o un dispositivo llamado concentrador VPN, tanto el
router como el concentrador VPN están especialmente diseñados para las conexiones
VPN sitio a sitio y acceso remoto, cuentan con las tecnologías VPN más importantes
y los métodos de autenticación y cifrado para proteger los datos transmitidos.
Este dispositivo está especialmente diseñado para las VPN, por lo que se trata de la solución
VPN más rápida. Resulta ser más fácil agregarles tarjetas con el fin de incrementar el
rendimiento. Dependiendo de la implementación, estas VPN pueden configurarse para
utilizar certificados, servicios de autenticación externos o claves de seguridad.
94
Cortafuegos y Seguridad en el Internet
Los sistemas operativos como Windows de Microsoft, Netware de Novell o Linux en sus
diferentes distribuciones (Red Hat, Debian, etc.) ofrecen servicios de VPN ya integrados.
La principal ventaja de esta solución es que resulta ser económica ya que en un mismo
sistema operativo se pueden contar con una gran variedad de servicios por ejemplo servidor
Web, de nombres de dominio, acceso remoto, VPN y además mejora los métodos de
autenticación y la seguridad del sistema operativo. Tiene la desventaja de que es vulnerable
a los problemas de seguridad del propio sistema operativo, estas VPN se utilizan más para
el acceso remoto.
VPN de aplicación
Este tipo de VPN es poco común. Una VPN de aplicación es un programa que añade
posibilidades VPN a un sistema operativo. Sin embargo, este programa no queda integrado
con el sistema operativo, la ventaja de este tipo de VPN es que la aplicación añade
seguridad extra a la que podría ofrecer una VPN integrada al sistema operativo.
La desventaja es que estas VPN no soportan una gran cantidad de usuarios y son mucho
más lentas que una VPN basada en hardware. Si se utilizan en Internet, son vulnerables
a las fallas de seguridad del sistema operativo que contiene a la aplicación.
Este tipo de VPN es proporcionada por un proveedor de servicios. Al principio las VPN
de proveedor de servicios se basaban en tecnologías tales como X.25 y Frame Relay,
posteriormente ATM y SMDS y finalmente se ofrecen redes basadas en IP. El proveedor
de servicios es la empresa propietaria de la infraestructura tales como equipos y líneas
de transmisión que ofrece líneas dedicadas virtuales a sus clientes.
95
Cortafuegos y Seguridad en el Internet
La topología VPN que necesita una organización debe decidirse en función de los problemas
que va a resolver, una misma topología puede ofrecer distintas soluciones en diferentes
compañías u organizaciones. En una VPN podemos encontrar las siguientes topologías.
Topología radial
Topología de malla completa o parcial
Topología híbrida
En las VPN basadas en ATM y Frame Relay, los enlaces que conectan las oficinas
centrales con sus sucursales son circuitos virtuales (VC), mientras que en las VPN basadas
en IP como Internet, estos enlaces son los túneles que se establecen a través de Internet.
Topología radial
En una VPN de sitio a sitio las sucursales remotas se conectan a un sitio central, Las
sucursales podrían intercambiar datos entre ellas, sin embargo, este tipo de datos resulta ser
muy insignificante. La mayor parte del intercambio de datos se da con las oficinas centrales
de la compañía. Los datos intercambiados entre las sucursales siempre viajan a través del
sitio central.
96
Cortafuegos y Seguridad en el Internet
97
Cortafuegos y Seguridad en el Internet
Topología híbrida
Las redes VPN grandes combinan la topología radial con la topología de malla parcial.
Como ejemplo, una empresa multinacional podría tener acceso a redes implementadas
en cada país con una topología radial, mientras que la red principal internacional estaría
implementada con una tecnología de malla parcial.
Esta topología consiste en un enlace punto a punto entre el usuario remoto y la oficina
central utilizando tramas tunneling PPP intercambiadas entre el usuario remoto y el
servidor VPN. El usuario y el servidor establecen conectividad usando un protocolo de
capa 3, siendo el más común IP, sobre el enlace PPP entunelado e intercambian paquetes
de datos sobre él.
98
Cortafuegos y Seguridad en el Internet
Una VPN debe de contar con ciertos requerimientos que permitan que valga la pena el
uso de esta tecnología. Sin estos requerimientos las VPN no podrán ofrecer la calidad
necesaria que requieren las organizaciones para un desempeño óptimo. Una solución VPN
debe ofrecer los siguientes requerimientos:
Autenticación de usuarios
Control de acceso
Administración de direcciones
Cifrado de datos
Administración de claves
Soporte a protocolos múltiples
Ancho de banda
Autenticación de usuarios
La autenticación es uno de los requerimientos más importantes en una VPN. Cada entidad
participante en una VPN debe de identificarse a sí misma ante otros y viceversa. La
autenticación es el proceso que permite a los diversos integrantes de la VPN verificar las
identidades de todos.
El proceso de autenticación también involucra el intercambio de información secreta,
como una clave o un desafío ante un Servidor de Acceso a Red (NAS, Network Access
Server), el cual consultará a un servidor RADIUS, un servidor RADIUS administra la
autenticación en una red que lo requiere.
Control de acceso
El control de acceso en una red está definido como el conjunto de pólizas y técnicas
que rigen el acceso a los recursos privados de una red por parte de usuarios
autorizados, una vez que un usuario ha sido autenticado, se debe definir a qué recursos de
la red puede tener acceso dicho usuario.
99
Cortafuegos y Seguridad en el Internet
Los diferentes tipos de VPN, ya sea de firewalls, sistemas operativos, etc; son responsables
de gestionar el estado de la conexión del usuario, la VPN debe administrar el inicio de
una sesión, permitir el acceso a ciertos recursos, continuar una sesión, impedir el
acceso de recursos y terminar una sesión.
Administración de direcciones
Un servidor VPN debe de asignar una dirección IP al cliente VPN y asegurarse de que dicha
dirección permanezca privada. Está claro que IP no es un protocolo seguro y se puede
ver esto en la inseguridad de Internet. Las direcciones deben ser protegidas con fuertes
mecanismos de seguridad, esto es, deben usarse técnicas que permitan la ocultación de
la dirección privada dentro de una red pública.
La tecnología más utilizada para ocultar la información es el tunneling. El tunneling es una
técnica que encapsula los datos (incluyendo la dirección destino privada) dentro de otro
conjunto de datos. Así, el contenido de los paquetes encapsulados se vuelve invisible para
una red pública insegura como Internet. Existen muchas tecnologías de tunneling, cada
una de ellas con sus ventajas y desventajas. Otra tecnología alterna al tunneling es MPLS,
donde se hace uso de un sistema de etiquetas para transmitir información. MPLS es una
tecnología que realizará grandes cambios a los métodos tradicionales de enrutamiento y
de la forma de crear túneles.
Cifrado de datos
Cifrar o encriptar los datos es una tarea esencial de una VPN, aunque se puedan encapsular
los datos dentro de un túnel, estos todavía pueden ser leídos si no se implementan fuertes
mecanismos de cifrado de la información. El cifrado es un conjunto de técnicas que
intentan hacer inaccesible la información a personas no autorizadas. El texto sin cifrar se
le denomina texto nativo, mientras que el texto cifrado se le denomina texto cifrado.
Antes de enviar la información, el servidor VPN cifra la información convirtiéndolo en
texto cifrado. El receptor de la información descifra la información y la convierte en texto
nativo.
100
Cortafuegos y Seguridad en el Internet
Con una clave simétrica, se usa la misma clave para cifrar y descifrar la información
que viaja por un túnel. Tanto el emisor como el receptor de los datos poseen la misma
clave privada. Con una clave asimétrica, la información se cifra con una clave y se
descifra con otra diferente.
Administración de claves
Para que una solución VPN sea viable, es necesario también que ésta pueda ofrecer
soporte a múltiples protocolos. Esto incluye el soporte a protocolos de red que no sean IP
como pueden ser AppleTalk, IPX y NetBEUI. PPTP soporta varios protocolos de red.
Ancho de banda
101
Cortafuegos y Seguridad en el Internet
La calidad del servicio también se refiere al número de conexiones simultáneas (la cantidad
de túneles que pueden ser establecidos entre un sitio remoto y el sitio central) que puede
soportar una VPN y la forma cono ésta afecta al rendimiento de la VPN.
3.8 Tunneling
Definición de tunneling
Un paquete IPX o AppleTalk no puede ser transportado en una red basada en IP, como
Internet, sin embargo, si este paquete es encapsulado dentro de un paquete IP, entonces
podrá ser transportado como cualquier otro paquete IP.
Después de agregar el encabezado, se envía el paquete encapsulado a través de una ruta
lógica denominada túnel. El túnel es la ruta de información lógica a través de la cual viajan
los paquetes encapsulados. Para los interlocutores de origen y de destino originales, el túnel
suele ser transparente y aparece simplemente como otra conexión punto a punto en la
ruta de acceso a la red. A estos puntos que están en cada extremo del túnel se les
denomina interfaces de túnel. Los interlocutores desconocen los routers, switches,
servidores proxy u otras puertas de enlace de seguridad que pueda haber entre los extremos
del túnel.
102
Cortafuegos y Seguridad en el Internet
Cuando el paquete llega a su destino, éste es desencapsulado para que pueda ser utilizado,
este consta de los siguientes pasos:
Encapsulación
Transmisión
Desencapsulación
103
Cortafuegos y Seguridad en el Internet
Cuando se diseñaron los primeros protocolos para redes, la seguridad no era un punto
importante puesto que las redes sólo eran utilizadas por universidades e investigadores.
Nadie pensaba en que alguien pudiera interceptar mensajes. Sin embargo, conforme las
redes pasaron a tener un propósito comercial cuando las empresas las adoptaron y con la
llegada de Internet, la seguridad pasó a ser una cuestión de vital importancia al momento
de implementar redes.
Con la llegada de Internet, toda computadora conectada es susceptible de ser atacada
por personas que no deben ingresar a ellas, los ataques a redes provocan muchas pérdidas
económicas a las empresas. Según una encuesta del Computer Security Institute (CSI),
el 70% de las organizaciones encuestadas declararon que sus redes habían sido atacadas
y el 60% afirmaba que los incidentes procedían de las propias empresas, por lo tanto, es
indispensable tomar las medidas necesarias para proteger las redes. La seguridad cobra
especial importancia al momento de implementar una VPN. Puesto que la información
privada de una organización atraviesa una red pública, es necesario proveer a la VPN de
mecanismos que aseguren la confidencialidad y la integridad de los datos transmitidos y
también para evitar el acceso a la red privada.
104
Cortafuegos y Seguridad en el Internet
El firewall PIX crea VPN en varias topologías, las cuales se presentan en la siguiente
lista:
De PIX a gateway VPN seguro de PIX: Dos o más firewalls PIX pueden habilitar una
VPN, que protege el tráfico entre los dispositivos colocados detrás de los firewalls PIX.
La topología de gateways VPN seguros impide que el usuario tenga que implementar
dispositivos o software VPN dentro de la red, haciendo que el gateway seguro sea
transparente para los usuarios.
De PIX a gateway VPN seguro de router Cisco IOS: El firewall PIX y el router Cisco,
que ejecutan software VPN de Cisco Secure, pueden interactuar para crear un gateway
VPN seguro entre redes.
De cliente VPN de Cisco a PIX a través de acceso telefónico: El firewall PIX puede
convertirse en un punto final para el cliente VPN de Cisco a red de acceso telefónico,
esta red puede estar formada por RDSI, PSTN o DSL.
De cliente VPN de Cisco a PIX a través de red: El firewall PIX puede convertirse en
un punto final VPN para el cliente VPN 3000 de Cisco Secure a través de una red IP.
105
Cortafuegos y Seguridad en el Internet
106
Cortafuegos y Seguridad en el Internet
En la figura 3.11, se representa la configuración de una IPSec y sus posibles amenazas, que
delimitan el funcionamiento de una red.
107
Cortafuegos y Seguridad en el Internet
La seguridad no fue uno de los principios fundamentales de diseño de las primeras redes y
protocolos entre los 60s y 70s, razón por la cual se han desarrollado tecnologías para
complementar dichos sistemas y añadirles una capa de seguridad de la que carecían, una de
las más trascendentales han sido los firewalls, con más de 25 años de antigüedad, han sufrido
una evolución increíble en términos de complejidad y efectividad, a tal punto de ser
prácticamente imprescindibles para cualquier red informática de la actualidad. Vamos a darle
una mirada profunda a sus características y topologías, al tiempo que repasamos algunas
recomendaciones de diseño y conocemos los más utilizados actualmente a nivel empresarial.
Se considera que un firewall es un dispositivo que funciona como paredes de fuego entre
redes, permitiendo o denegando las transmisiones de una red a la otra. Un uso típico es
situarlo entre una red local y la red Internet, como dispositivo de seguridad para evitar que
los intrusos puedan acceder a información confidencial.
Es simplemente un filtro que controla todas las comunicaciones que pasan de una red a la
otra y en función de lo que sean, permite o deniega su paso, para permitir o denegar una
comunicación, el firewall examina el tipo de servicio al que corresponde, como pueden ser
el web, el correo o el IRC. Dependiendo del servicio el firewall decide si lo permite o no,
además el firewall examina si la comunicación es entrante o saliente y dependiendo de su
dirección puede permitirla o no.
De este modo el dispositivo puede permitir desde una red local hacia Internet servicios de
web, correo y ftp, pero no a IRC que puede ser innecesario para nuestro trabajo, también
podemos configurar los accesos que se hagan desde Internet hacia la red local y podemos
denegarlos todos o permitir algunos servicios como el de la web, si es que poseemos un
servidor web y queremos que sea accesible desde Internet.
Dependiendo del firewall que tengamos también podremos permitir algunos accesos a la red
local desde Internet si el usuario se ha autentificado como usuario de la red local.
108
Cortafuegos y Seguridad en el Internet
En la actualidad, las organizaciones son cada vez más dependientes de sus redes informáticas
y un problema que las afecte, por mínimo que sea, puede llegar a comprometer la continuidad
de las operaciones.
La falta de medidas de seguridad en las redes es un problema que está en crecimiento, cada
vez es mayor el número de atacantes y cada vez están más organizados, por lo que van
adquiriendo día a día habilidades más especializadas que les permiten obtener mayores
beneficios, tampoco deben subestimarse las fallas de seguridad provenientes del interior de
la organización.
La propia complejidad de la red es una dificultad para la detección y corrección de los
múltiples y variados problemas de seguridad que van apareciendo. En medio de esta variedad,
han ido aumentando las acciones poco respetuosas de la privacidad y de la propiedad de
recursos y sistemas. “Hackers”, “crakers”, entre otros, han hecho aparición en el vocabulario
ordinario de los usuarios y de los administradores de las redes
Además de las técnicas y herramientas criptográficas, es importante recalcar que un
componente muy importante para la protección de los sistemas consiste en la atención y
vigilancia continua y sistemática por parte de los responsables de la red virus, programas
espía, troyanos, backdoors. Las amenazas cada vez son más numerosas y peligrosas.
Extremar las precauciones y mantener el antivirus actualizado no puede ser suficiente.
Es un sistema o grupo de sistemas que impone una política de seguridad entre la organización
de red privada y el Internet, es un mecanismo para restringir acceso entre Internet y la red
corporativa interna, típicamente se instala un firewall en un punto estratégico donde una red
o redes se conectan a Internet.
Un buen Firewall para Internet puede ayudarle a impedir que extraños accedan a su PC desde
Internet. Los Firewalls pueden ser de dos tipos, de software o de hardware, y proporcionan
una frontera de protección que ayuda a mantener fuera a los invasores no deseados de
Internet.
109
Cortafuegos y Seguridad en el Internet
Si el Firewall observa alguna actividad sospechosa, de alguien que esté intentando acceder
a nuestro Pc o que algún programa espía trate de enviar información sin consentimiento, el
Firewall nos advertirá con una alarma en el sistema.
Los navegadores de internet necesitan el puerto 80, los programas FTP el 21, etc.
110
Cortafuegos y Seguridad en el Internet
Un firewall sirve para múltiples propósitos, entre otros podemos anotar los siguientes:
Restricción de entrada de usuarios a puntos cuidadosamente controlados de la red
interna.
Prevención ante los intrusos que tratan de ganar espacio hacia el interior de la red y
los otros esquemas de defensas establecidos.
Restricción de uso de servicios tanto a usuarios internos como externos.
Determinar cuáles de los servicios de red pueden ser accesados dentro de ésta por los
que están afuera, es decir, quién puede entrar a utilizar los recursos de red
pertenecientes a la organización.
Todo el tráfico que viene de la Internet o sale de la red corporativa interna pasa por el firewall
de tal forma que él decide si es aceptable o no.
111
Cortafuegos y Seguridad en el Internet
Puede únicamente autorizar el paso del tráfico y él mismo podrá ser inmune a la penetración.
Desafortunadamente, este sistema no puede ofrecer protección alguna, una vez que el agresor
lo traspasa o permanece en torno a éste.
112
Cortafuegos y Seguridad en el Internet
La tecnología de la pared de fuego surgió a finales de 1980, cuando Internet era una
tecnología bastante nueva en cuanto a su uso global y la conectividad. Los predecesores de
los firewalls para la seguridad de la red fueron los routers utilizados a finales de 1980, que
mantenían a las redes separadas unas de otras. La visión de Internet como una comunidad
relativamente pequeña de usuarios con máquinas compatibles, que valoraba la predisposición
para el intercambio y la colaboración, terminó con una serie de importantes violaciones de
seguridad de Internet que se produjo a finales de los 80, por ejemplo:
El primer documento publicado para la tecnología firewall data en el año de 1988, cuando el
equipo de ingenieros Digital Equipment Corporation (DEC) desarrolló los sistemas de filtro
conocidos como firewall de filtrado de paquetes. Este sistema, bastante básico, fue la primera
generación de lo que se convertiría en una característica más técnica y evolucionada de la
seguridad de Internet. En AT & T Bell, Bill Cheswick y Steve Bellovin, continuaban sus
investigaciones en el filtrado de paquetes y desarrollaron un modelo de trabajo para su propia
empresa, con base en su arquitectura original de la primera generación.
113
Cortafuegos y Seguridad en el Internet
El filtrado de paquetes actúa mediante la inspección de los paquetes que representan la unidad
básica de transferencia de datos entre computadoras en Internet. Si un paquete coincide con
el conjunto de reglas del filtro, el paquete se reducirá o será rechazado desprendiéndose de
él y enviando una respuesta de error al emisor. Este tipo de filtrado de paquetes no presta
atención, así el paquete es parte de una secuencia existente de tráfico.
En su lugar, se filtra cada paquete basándose únicamente en la información contenida en el
paquete en sí, por lo general utiliza una combinación del emisor del paquete y la dirección
de destino, su protocolo y en el tráfico TCP y UDP, el número de puerto. Los protocolos TCP
y UDP comprenden la mayor parte de comunicación a través de Internet, utilizando por
convención puertos bien conocidos para determinados tipos de tráfico, por lo que un filtro de
paquetes puede distinguir entre ambos tipos de tráfico ya sean navegación web, impresión
remota, envío y recepción de correo electrónico, transferencia de archivo, etc.
El filtrado de paquetes llevado a cabo por un firewall actúa en las tres primeras capas del
modelo de referencia OSI, lo que significa que todo el trabajo lo realiza entre la red y las
capas físicas. Cuando el emisor origina un paquete y es filtrado por el firewall, éste último
comprueba las reglas de filtrado de paquetes que lleva configuradas, aceptando o rechazando
el paquete en consecuencia. Cuando el paquete pasa a través del firewall, éste filtra el paquete
mediante un protocolo y un número de puerto base (GSS). Por ejemplo, si existe una norma
en el firewall para bloquear el acceso telnet, bloqueará el protocolo IP para el número de
puerto 23.
Son aquellos que actúan sobre la capa de aplicación del modelo OSI. La clave de una pared
de fuego de aplicación es que puede entender ciertas aplicaciones y protocolos por ejemplo:
protocolo de transferencia de ficheros, DNS o navegación web y permite detectar si un
protocolo no deseado se coló a través de un puerto no estándar o si se está abusando de un
protocolo de forma perjudicial.
114
Cortafuegos y Seguridad en el Internet
Un firewall de aplicación es mucho más seguro y fiable cuando se compara con un firewall
de filtrado de paquetes, ya que repercute en las siete capas del modelo de referencia OSI.
El mejor ejemplo de pared de fuego de aplicación es ISA (Internet Security and
Acceleration).
Un firewall de aplicación puede filtrar protocolos de capas superiores tales como FTP,
TELNET, DNS, DHCP, HTTP, TCP, UDP y TFTP (GSS). Por ejemplo, si una organización
quiere bloquear toda la información relacionada con una palabra en concreto, puede
habilitarse el filtrado de contenido para bloquear esa palabra en particular, no obstante, las
paredes de fuego de aplicación resultan más lentas que otros.
Durante 1989 y 1990, tres colegas de los laboratorios AT & T Bell, Dave Presetto, Janardan
Sharma, y Nigam Kshitij, desarrollaron la tercera generación de servidores de seguridad. Esta
tercera generación pared de fuego tiene en cuenta la colocación de cada paquete individual
dentro de una serie de paquetes, esta tecnología se conoce generalmente como la inspección
de estado de paquetes, ya que mantiene registros de todas las conexiones que pasan por él,
siendo capaz de determinar si un paquete indica el inicio de una nueva conexión, es parte de
una conexión existente o es un paquete erróneo. Este tipo de pared de fuego puede ayudar a
prevenir ataques contra conexiones en curso o ciertos ataques de denegación de servicio.
Acontecimientos posteriores
En 1992, Bob Braden y DeSchon Annette, de la Universidad del Sur de California (USC),
dan forma al concepto de firewall. Su producto, conocido como "Visas", fue el primer sistema
con una interfaz gráfica con colores e iconos, fácilmente implementable y compatible con
sistemas operativos como Windows de Microsoft o MacOS de Apple. En 1994 una compañía
israelí llamada Check Point Software Technologies lo patentó como software denominándolo
FireWall-1.
115
Cortafuegos y Seguridad en el Internet
Otro de los ejes de desarrollo consiste en integrar la identidad de los usuarios dentro del
conjunto de reglas del firewall. Algunos firewall proporcionan características tales como unir
a las identidades de usuario con las direcciones IP o MAC, otros como el NuFW,
proporcionan características de identificación real solicitando la firma del usuario para cada
conexión.
Los firewall pueden consistir en distintos dispositivos, tendientes a los siguientes objetivos:
1. Todo el tráfico desde dentro hacia fuera y viceversa, debe pasar a través de él.
2. Sólo el tráfico autorizado, definido por la política local de seguridad, es permitido.
116
Cortafuegos y Seguridad en el Internet
El Muro o pared de fuego, sólo sirve de defensa perimetral de las redes, no defiende de
ataques o errores provenientes del interior, como tampoco puede ofrecer protección una vez
que el intruso lo traspasa.
Algunos Firewalls aprovechan esta capacidad de que toda la información entrante y saliente
debe pasar a través de ellos para proveer servicios de seguridad adicionales como la
encriptación del tráfico de la red. Se entiende que si dos Firewalls están conectados, ambos
deben tener el mismo método de encriptación y desencriptación para entablar la
comunicación.
Como usuarios regulares de Internet, estamos expuestos en cada instante ha algún nivel de
riesgo de peligros inminentes que se efectúan por parte de ataques de virus, troyanos y otras
amenazas que a diario aparecen en la web.
Es así que estamos acostumbrados a descargar todo tipo de archivos sin tener en cuenta este
tipo de peligros de que podemos ser víctimas.
Los firewalls o paredes de fuego como lo llaman muchos en español generalmente son
aplicaciones que ayuda en la protección de nuestro sistema operativo, analizando todo tipo
de información y datos que circulan en Internet y que mantienen un vínculo con una
computadora o con la red local.
Para tener un mejor entendimiento de cómo funciona un firewall, pondremos de ejemplo al
guardia de una empresa, mismo que mantiene un ingreso restringido para las personas que
desean acceder a dicha empresa, teniendo esté la responsabilidad de dejar entrar sólo al
personal autorizado y no a aquellas personas que podrían significar un peligro para la
empresa o un atentado contra ella, para evitar un problema mayor en el lugar.
Igualmente los firewalls, hacen que los programas o aplicaciones que se encuentran
instaladas en el sistema operativo no puedan acceder a Internet si no se les permite.
Tienen la característica de bloquear o permitir una conectividad entre programa e Internet, lo
cual es posible desde la configuración interna de estos programas o aplicaciones, y con ello
realizar excepciones totales o parciales de comunicación, pues si se sospecha que una
aplicación instalada en el sistema operativo puede tener un determinado nivel de riesgo al
conectarse con Internet, el firewall bloquea por completo dichos puertos de comunicación.
117
Cortafuegos y Seguridad en el Internet
Este puede ayudar a filtrar las actividades de piratas informáticos, virus y gusanos que
intentan obtener acceso al equipo a través de Internet.
Un firewall es de gran importancia, pero también necesita de software antivirus y software
anti spyware.
Si el equipo es parte de un negocio, un colegio u otro tipo de red organizativa, debe seguir
las directivas establecidas por el administrador de la red, en algunos casos, los
administradores de red pueden configurar todos los equipos de la red de tal manera que no
se pueda activar el firewall mientras el equipo está conectado a la red, en dichos casos se
debe pedir al administrador de la red que le aconseje acerca de la necesidad de instalar un
firewall en su equipo.
Cuando los paquetes de información viajan entre su destino y origen vía TCP/IP, estos pasan
por diferentes routers.
Los routers son dispositivos electrónicos encargados de establecer las comunicaciones
externas y de establecer los protocolos utilizados en las LAN en protocolos de WAN y
viceversa.
En cambio, si se conectan dos redes del tipo LAN se utilizan Bridges, los cuales son puentes
que operan a nivel de enlace.
La evolución tecnológica ha permitido transformarse en dispositivos especializados capaces
de determinar si el paquete tiene un destino externo y determinar cuál es el camino más corto
y más descongestionado hacia la red.
118
Cortafuegos y Seguridad en el Internet
Filtrado de paquetes
Se utilizan routers con filtros y reglas basadas en políticas de control de acceso, el cuál es el
encargado de filtrar los paquetes basados en cualquiera de los siguientes criterios:
Protocolos utilizados.
Dirección IP de origen y de destino.
Puerto TCP-UDP de origen y de destino.
Estos criterios permiten gran flexibilidad en el tratamiento del tráfico, restringiendo las
comunicaciones entre dos computadoras mediante las direcciones IP, esto permite determinar
entre cuales máquinas esta la comunicación permitida.
El filtrado de paquetes mediante puertos y protocolos permite establecer que servicios estarán
disponibles al usuario y por cuales puertos, se puede permitir navegar en la WWW (puerto
80 abierto) pero no acceder a la transferencia de archivos vía FTP (puerto 21 cerrado).
Debido a su funcionamiento y estructura basada en el filtrado de direcciones y puertos este
tipo de Firewalls trabajan en los niveles de Transporte y de Red del Modelo OSI y están
conectados a ambos perímetros (interior y exterior) de la red.
119
Cortafuegos y Seguridad en el Internet
Tienen la ventaja de ser económicos, tienen un alto nivel de desempeño y son transparentes
para los usuarios conectados a la red, sin embargo presenta algunas debilidades como:
Proxy-gateways de aplicaciones
Para evitar las debilidades asociadas al filtrado de paquetes, los desarrolladores crearon
softwares de aplicación encargados de filtrar las conexiones, estas aplicaciones son conocidas
como Servidores Proxy y la máquina donde se ejecuta recibe el nombre de Gateway de
Aplicación o Bastion Host.
El Proxy instalado sobre el Gateway, actúa de intermediario entre el cliente y el servidor real
de la aplicación siendo transparente a ambas partes.
Cuando un usuario desea un servicio lo hace a través del Proxy, este realiza la solicitud al
servidor real, el cual devuelve los resultados al cliente, la función es la de analizar el tráfico
de red en busca de contenido que viole la seguridad de la misma. En la figura 4.3 se puede
representar gráficamente el proceso.
Dual-homed host
Son dispositivos que están conectados a ambos perímetros (interior y exterior) y no dejan
pasar paquetes IP (como sucede en el caso del Filtrado de Paquetes), por lo que se dice que
actúan con el "IP-Forwarding desactivado".
120
Cortafuegos y Seguridad en el Internet
Un usuario interno que desee hacer uso de un servicio exterior, deberá conectarse primero al
Firewall donde el Proxy atenderá su petición y en función de la configuración impuesta en
dicho Firewall, se conectará al servicio exterior solicitado y hará de puente entre este y el
usuario interior, es decir que se utilizan dos conexiones, uno desde la máquina interior hasta
el Firewall y el otro desde este hasta la máquina que albergue el servicio exterior.
121
Cortafuegos y Seguridad en el Internet
Screened Host
En este caso se combina un router con un host bastión y el principal nivel de seguridad
proviene del filtrado de paquetes, en el bastión el único sistema accesible desde el exterior
se ejecuta el Proxy de aplicaciones y en el choke se filtran los paquetes considerados
peligrosos y sólo se permiten un número reducido de servicios.
Screened Subnet
En este diseño se intenta aislar la máquina más atacada y vulnerable del Firewall, el Nodo
Gateway. Para ello se establece una Zona Desmilitarizada (DMZ) de forma tal que sin un
intruso accede a esta máquina no consiga el acceso total a la subred protegida, en este
esquema se utilizan dos routers: uno exterior y otro interior. El router exterior tiene la misión
de bloquear el tráfico no deseado en ambos sentidos: hacia la red interna y hacia la red
externa, el router interior hace lo mismo con la red interna y la DMZ (zona entre el router
externo y el interno).
122
Cortafuegos y Seguridad en el Internet
Es posible definir varios niveles de DMZ agregando más routers, pero destacando que las
reglas aplicadas a cada uno deben ser distintas ya que en caso contrario los niveles se
simplificarían a uno solo.
Como puede apreciarse la Zona Desmilitarizada aísla físicamente los servicios internos,
separando los de los servicios públicos. Además, no existe una conexión directa entre la red
interna y la externa.
Los sistemas Dual-Homed Host y Screnned pueden ser complicados de configurar y
comprobar lo que puede dar lugar paradójicamente a importantes agujeros de seguridad en
toda la red. En cambio, si se encuentran bien configurados y administrados pueden brindar
un alto grado de protección y ciertas ventajas:
123
Cortafuegos y Seguridad en el Internet
Así mismo tiene la desventaja de ser intrusivos y no transparentes para el usuario ya que
generalmente este debe instalar algún tipo de aplicación especializada para lograr la
comunicación.
Inspección de paquetes
Este tipo de Firewalls se basa en el principio de que cada paquete que circula por la red es
inspeccionado así como también su procedencia y destino, se aplican desde la capa de red
hasta la de aplicaciones, generalmente son instalados cuando se requiere seguridad sensible
al contexto y en aplicaciones muy complejas.
Firewalls personales
Estos Firewalls son aplicaciones disponibles para usuarios finales que desean conectarse a
una red externa insegura y mantener su computadora a salvo de ataques que puedan
ocasionarle desde un simple "cuelgue" o infección de virus hasta la pérdida de toda su
información almacenada.
124
Cortafuegos y Seguridad en el Internet
Permite el establecimiento de una sesión que se origine desde una zona de mayor seguridad
hacia una zona de menor seguridad.
125
Cortafuegos y Seguridad en el Internet
El firewall mantiene una tabla de conexiones válidas y permite que los paquetes de la red
pasen a través de ella si corresponden a algún registro de la tabla, una vez terminada la
conexión, la tabla se borra y la transmisión de información entre las dos computadoras se
cierra.
126
Cortafuegos y Seguridad en el Internet
Firewalls de software
Tienen un costo pequeño y son una buena elección cuando sólo se utiliza una PC, su
instalación y actualización es sencilla, pues se trata de una aplicación de seguridad, como lo
sería un antivirus; de hecho, muchos antivirus e incluso el propio Windows poseen firewalls
para utilizar.
Firewalls de hardware
Son más caros y complejos de manejar en el mantenimiento y actualización, los firewalls de
hardware son más indicados en empresas y grandes corporaciones que tienen múltiples
computadoras conectadas, también suelen utilizarse en aquellas empresas que prestan
servicios de hosting y necesitan seguridad en los servidores.
127
Cortafuegos y Seguridad en el Internet
Existen diferentes formas de proteger una red mediante firewalls, cada implementación
depende de forma específica de la organización y sus necesidades, por tanto no existe una
topología única que garantice la seguridad de cualquier red, sino una política de seguridad
que tras un estudio profundo de la organización en cuestión, debe generar los lineamientos
que aporten al diseño más adecuado, en este caso de la topología de firewall a implementar.
Router ACLs
Constituye la forma más sencilla e insegura de topología, en la cual el router desempeña
funciones de enrutamiento y filtrado de paquetes, es decir, es el dispositivo encargado de las
comunicaciones y seguridad de la red, este tipo de diseño presenta la desventaja de exponer
la red a un gran número de ataques debido a su naturaleza stateless.
Fue una solución aceptable en su época, pero en la actualidad no debería implementarse por
ningún motivo.
128
Cortafuegos y Seguridad en el Internet
129
Cortafuegos y Seguridad en el Internet
El diseño de firewall dual adiciona un Gateway firewall para controlar y proteger la red
interna, una de las razones es la protección de los servidores públicos frente a ataques
provenientes de la red interna, ofrece mayor seguridad para la red interna al no contar con un
punto único de ataque como en las anteriores topologías, como desventajas puede decirse
que tiene mayor dificultad de configuración y monitoreo, así como mayores costos en
hardware y software.
Su implementación es adecuada para redes grandes en las que hay flujo de tráfico importante
entre la red interna y la DMZ, donde también se demanda mayor seguridad para la red LAN.
Algunos expertos en seguridad afirman que para esta arquitectura deberían implementarse
dos tipos diferentes de firewalls, debido a que si un atacante logra pasar el firewall exterior,
ya tendría suficiente información para superar el firewall interno, ya que tendrían similar
configuración al firewall desmantelado.
130
Cortafuegos y Seguridad en el Internet
En el borde del perímetro se ubica un Stateful Gateway Firewall que realiza el filtrado
de paquetes y protege la DMZ y LAN de tráfico proveniente de Internet, en este punto
de la arquitectura de la red se busca seguridad y desempeño.
Los servidores críticos y con información más sensible de las redes son protegidos
por Application Proxy Firewalls, para estos recursos la seguridad es mucho más
importante que el desempeño.
Cada servidor implementa mecanismos de seguridad propios que permiten reforzar
la seguridad de la red, como endurecimiento de sistema operativo y servicios.
Los usuarios tienen un firewall personal instalado en sus máquinas.
El router no realiza filtrado o cifrado, es una máquina dedicada a enrutamiento que
también ha sido endurecida a nivel de sistema.
131
Cortafuegos y Seguridad en el Internet
Un servidor proxy es una aplicación o dispositivo que se instala en el tráfico que se produce
entre una red protegida e Internet, estos se utilizan a menudo como sustitutos de routers
controladores de tráfico, para prevenir el mismo que pasa directamente entre las redes.
Muchos de estos servidores contienen logines auxiliares y soportan la autentificación de
usuarios, un proxy debe entender el protocolo de la aplicación que está siendo usada, aunque
también pueden implementar protocolos específicos de seguridad.
132
Cortafuegos y Seguridad en el Internet
Software filtra-paquetes
Toma las decisiones de rehusar o permitir el paso de cada uno de los paquetes que son
recibidos, el programa examina cada datagrama para determinar si este corresponde a uno de
sus paquetes filtrados y que a su vez haya sido aprobado por sus reglas.
133
Cortafuegos y Seguridad en el Internet
Gateway A Nivel-Aplicación
Los Gateways nivel-aplicación permiten al administrador de red la implementación de una
política de seguridad estricta hacia un router en este caso filtra paquetes.
Un aumento de seguridad de este tipo incrementa nuestros costos en términos del tipo de
Gateway seleccionado, los servicios de aplicaciones del Proxy, el tiempo y los conocimientos
requeridos para configurar el Gateway y un decrecimiento en el nivel de los servicios que
podrán obtener nuestros usuarios, dando como resultado un sistema carente de transparencia
en el manejo de los usuarios en un ambiente amigable, como en todos los casos el
administrador de redes debe de balancear las necesidades propias en seguridad de la
organización con la demanda de fácil uso, que requiera la comunidad de usuarios.
Es importante notar que los usuarios tienen acceso mediante un servidor Proxy, pero ellos
jamás podrán acceder al Gateway en el nivel aplicación. Si se permite a los usuarios acceder
en el sistema de firewall, la seguridad es amenazada desde el momento en que un intruso
puede potencialmente ejecutar muchas actividades que comprometen la efectividad del
sistema.
Por ejemplo, el intruso podría obtener el acceso de root, instalar un caballo de troya para
colectar las contraseñas, y modificar la configuración de los archivos de seguridad en el
firewall.
Servidor de defensa
Un router filtra paquetes y permite la circulación directa de los paquetes dentro y fuera del
sistema, diferente a esto el Gateway a nivel-aplicación deja que la información circule entre
los sistemas pero no permite el intercambio directo de paquetes, el principal riesgo de
permitir que los paquetes se intercambien dentro y fuera del sistema se debe a que el servidor
residente en los sistemas de protección de la red podrá ser asegurado contra cualquier
amenaza representada por los servicios permitidos.
Un Gateway a nivel aplicación por lo regular es descrito como un "servidor de defensa"
porque es un sistema diseñado específicamente blindado y protegido contra cualquier ataque.
134
Cortafuegos y Seguridad en el Internet
Existen varias características de diseño que son usadas para hacer más seguro un servidor de
defensa:
135
Cortafuegos y Seguridad en el Internet
Por ejemplo, una típica aplicación UNIX mail puede tener alrededor de 20,000 líneas
de código cuando un correo Proxy puede contener menos de mil.
Cada Proxy es independiente de todas las demás aplicaciones, si se presentara un
problema con la operación de cualquier Proxy o si se descubriera un sistema
vulnerable, este puede desinstalarse sin afectar la operación de las demás
aplicaciones, aun si la población de usuarios requiere el soporte de un nuevo servicio,
el administrador de redes puede fácilmente instalar el servicio Proxy requerido en el
servidor de defensa.
Un Proxy generalmente funciona sin acceso al disco lo único que hace es leer su
archivo de configuración inicial, un intruso podrá encontrar más dificultades para
instalar caballos de Troya perjudiciales y otro tipo de archivos peligrosos en el
servidor de defensa.
Cada Proxy trabaja como un usuario no privilegiado en un directorio privado y seguro
del servidor de defensa.
136
Cortafuegos y Seguridad en el Internet
El Telnet Proxy nunca permite al usuario remoto que se registre o tenga acceso directo al
servidor interno, el cliente externo ejecuta un telnet al servidor de defensa donde es
autorizado por la tecnología de contraseña. Después de ser autentificado, el cliente obtiene
acceso a la interface de usuario del Telnet Proxy, este únicamente permite un subconjunto de
comandos Telnet y además determina cuál de los servidores son disponibles para el acceso
vía Telnet.
137
Cortafuegos y Seguridad en el Internet
Hay dos políticas básicas en la configuración de una pared de fuego que cambian
radicalmente la filosofía fundamental de la seguridad en la organización:
La política restrictiva es la más segura, debido a que es más difícil permitir por error tráfico
potencialmente peligroso, mientras que en la política permisiva es posible que no se haya
contemplado algún caso de tráfico peligroso y sea permitido por omisión.
La primera postura asume que un firewall puede obstruir todo el tráfico y cada uno de los
servicios o aplicaciones deseadas necesariamente para ser implementadas básicamente caso
por caso.
La desventaja es que el punto de vista de seguridad es más importante que facilitar el uso
de los servicios y éstas limitantes numeran las opciones disponibles para los usuarios de la
comunidad.
La segunda postura asume que el firewall puede desplazar todo el tráfico y que cada servicio
potencialmente peligroso necesitará ser aislado básicamente caso por caso.
La desventaja de esta postura se basa en la importancia de facilitar el uso, que la propia
seguridad del sistema.
¿Qué se debe proteger? Se deberían proteger todos los elementos de la red interna
(hardware, software, datos, etc.).
139
Cortafuegos y Seguridad en el Internet
¿Cómo proteger? Esta es la pregunta más difícil y está orientada a establecer el nivel
de monitorización, control y respuesta deseado en la organización, puede optarse por
alguno de los siguientes paradigmas o estrategias:
a. Paradigmas de seguridad
Se permite cualquier servicio excepto aquellos expresamente
prohibidos.
Se prohíbe cualquier servicio excepto aquellos que están permitidos.
b. Estrategias de seguridad
Paranoica: se controla todo, no se permite nada.
Prudente: se controla y se conoce todo lo que sucede.
Permisiva: se controla pero se permite demasiado.
Promiscua: no se controla (o se hace poco) y se permite todo.
¿Cuánto será su costo? Estimando en función de lo que se desea proteger se debe
decidir cuánto es conveniente invertir.
140
Cortafuegos y Seguridad en el Internet
Reducción del ancho de banda disponible por el tráfico de banners, pop up, sitios no
solicitados y otro tipo de datos innecesarios que ralentizan la conexión.
Spyware: pequeños programas que se instalan con el fin de robar nuestros datos y
espiar nuestros movimientos en la red.
Dialers: programas que cortan la actual conexión y utilizan la línea para llamadas de
larga distancia utilizadas por terceros.
Restricciones en el firewall
La parte más importante de las tareas que realizan los firewalls, es la de permitir o denegar
determinados servicios y se hacen en función de los distintos usuarios y su ubicación:
También es habitual utilizar estos accesos por parte de terceros para prestar servicios al
perímetro interior de la red, sería conveniente que estas cuentas sean activadas y desactivadas
bajo demanda y únicamente el tiempo que sean necesarias.
141
Cortafuegos y Seguridad en el Internet
142
Cortafuegos y Seguridad en el Internet
143
Cortafuegos y Seguridad en el Internet
Constituyen una alternativa más económica en relación a los firewall basados en hardware,
pero presentan mayores desafíos en su implementación: debe seleccionarse adecuadamente
la plataforma de hardware y endurecer el sistema operativo, debido a que sistemas Windows,
Unix y Linux, no son optimizados por defecto para su uso, además corren por defecto
servicios que no son requeridos.
Endian-- http://www.endian.com/es/
Checkpoint-http://www.checkpoint.com/products/security_virtualization/index.html
IPTables – http://www.netfilter.org/
Microsoft Internet Security & Aceleration Server –
http://www.microsoft.com/forefront/edgesecurity/isaserver/en/us/default.aspx
Untangle – http://www.untangle.com/home
SmoothWall – http://www.smoothwall.com
Implementar un firewall
Recordemos que el diseño de la arquitectura y reglas del firewall se fundamentan sobre las
políticas de seguridad de la organización, en cuanto a las reglas que controlarán el tráfico, es
recomendable seguir los siguientes procedimientos:
1) Reunir suficiente información que permita una concepción de las reglas ajustada al sistema
donde se implementarán, para ello se deben conocer los servicios ofrecidos en la red y el tipo
de usuarios que los reciben, considerando lo siguiente:
Nivel de acceso a la información (privado/público)
Criticidad de la información (alta, media, baja)
Seguridad en comunicaciones (cifrado o texto claro)
144
Cortafuegos y Seguridad en el Internet
2) Con base en los requerimientos reunidos, se definen zonas denominadas “Security Areas”,
que constituyen un conjunto de activos de red con atributos y requerimientos de seguridad
similares, es decir, la red es dividida en áreas con permisos y restricciones comunes. Cada
una de ellas tiene un nivel de riesgo de 1 a 5 (1=alto, 5=bajo) que debe ser debidamente
justificado y que permitirá definir prioridades e incluso QoS (calidad de servicio) sobre
diferente tipo de tráfico.
La siguiente tabla ilustra la seguridad en las áreas de un diseño para una red hipotética.
3) Construir en un nivel lógico las reglas que serán aplicadas a cada una de las áreas de
seguridad.
La siguiente tabla explica este concepto que continúa con el ejemplo anterior.
145
Cortafuegos y Seguridad en el Internet
Como se puede apreciar, se define qué tipos de accesos son permitidos entre las áreas seguras
y cuándo almacenar registros de las conexiones, las reglas planteadas deben ser depuradas y
re-evaluadas para asegurar que su implementación no causarán impactos negativos en la red,
por ejemplo sería conveniente que el equipo de Tecnología y Seguridad de la Información
trabajen en conjunto para llevar a cabo estos procesos.
4) Una vez finalizado el diseño se procede con la implementación y pruebas correspondientes
de la solución.
Direcciones IP: Cada máquina en Internet es asignada con una única dirección
identificativa llamada dirección IP tienen 32 bits que normalmente se expresan como
cuatro octetos separados por puntos, una dirección IP típica es algo como esto:
213.45.65.32. Por ejemplo, si una cierta dirección IP fuera de la compañía está
accediendo sospechosamente a información interna, el firewall puede bloquear todo
el tráfico desde o de esta dirección IP.
146
Cortafuegos y Seguridad en el Internet
Nombres de dominio: Al ser difícil recordar tantos números que forman las
direcciones IP y porque estos números pueden cambiar, los servidores en Internet
tienen nombres leíbles llamados nombres de dominio, esta conversión la hacen los
llamados DNS y los firewalls de las compañías pueden también bloquear el acceso a
ciertos nombres de dominio o permitir solo algunos.
Cualquier máquina o servidor hace que sus servicios estén disponibles en Internet usando
unos puertos numerados, uno para cada servicio disponible en el servidor, por ejemplo, si un
servidor tiene habilitado HTTP y FTP, entonces normalmente estará habilitando el puerto 80
para la Web y el puerto 21 para FTP.
147
Cortafuegos y Seguridad en el Internet
Una compañía puede que no esté de acuerdo con un acceso generalizado y decida permitir
solo a dos o tres personas para que puedan utilizar FTP.
Un firewall puede también filtrar ciertas palabras y frases, lo hace buscando dentro de cada
paquete IP para analizar la información y compararlo con una lista que tiene configurado. Se
pueden incluir todo tipo de variaciones y combinaciones, por lo que es una poderosa
herramienta para filtrar información.
Algunos sistemas operativos vienen con un firewall instalado, además existen muchos
software de firewalls que podemos instalar incluso de forma gratuita, con un firewall
hardware, la propia unidad de firewall se considera el Gateway casi siempre, este tipo de
firewalls son considerado muy seguros y los precios varían dependiendo para lo que se
requiera, los más comunes utilizados en casa, vienen incluidos con un router y puertos
ethernet para conectar algunas computadoras.
Un firewall que provee protección DMZ es una solución efectiva para empresas que ofrecen
a sus clientes la posibilidad de conectarse a su red a partir de cualquier medio externo ya sea
a través de Internet o cualquier otra ruta, como por ejemplo, una compañía de hosting de Web
o que vende sus productos o servicios por Internet, la decisión de optar por un firewall con
DMZ debe basarse en la cantidad de usuarios externos que acceden a la red y la frecuencia
con la que lo hacen, un firewall con DMZ crea un área de información protegida
(“desmilitarizada”) en la red, los usuarios externos pueden ingresar al área protegida, pero
no pueden acceder al resto de la red, esto permite a los usuarios externos acceder a la
información que usted quiere que vean, pero previene que obtengan información no
autorizada.
Un filtro de sitios Web o filtro de contenido extiende las capacidades del firewall para
bloquear el acceso a ciertos sitios Web, usted puede usar esta función adicional para
asegurarse de que sus empleados no accedan contenido inapropiado, como por ejemplo,
material pornográfico o racista, esta funcionalidad le permite definir categorías de material
inadecuado y obtener un servicio que lista miles de sitios Web que incluyen dicho tipo de
material, como siguiente paso, se puede escoger si se quiere bloquear totalmente el acceso a
estos sitios o permitir su uso, pero manteniendo un registro del mismo, tal servicio debe
actualizar automática y regularmente la lista de sitios Web que no pueden ser accedidos.
148
Cortafuegos y Seguridad en el Internet
¿Qué es ENDIAN?
Características
149
Cortafuegos y Seguridad en el Internet
Alta disponibilidad.
Manejo de redes inalámbricas seguras, con posibilidad de suministrar tickets de
acceso.
Su administración es por vía web.
El firewall como tal nos ofrecerá las restricciones necesarias a nuestro caso de trabajo, el cual
consiste en que los usuarios de red WAN no puedan tener acceso a la red LAN pero si puedan
tener acceso a la Zona DMZ, también la zona DMZ no podrá tener acceso a la Red LAN pero
si tendrá salida a Internet, por otra parte la red LAN tiene acceso a la Zona DMZ y a la Red
WAN (Salida a internet).
150
Cortafuegos y Seguridad en el Internet
Dirección IP 192.168.20.0/24
Dirección IP 192.168.30.0/24
Dirección IP 192.168.10.101
Referencia: http://www.endian.com/es/
151
Cortafuegos y Seguridad en el Internet
Referencia: http://www.endian.com/es/
Una vez seleccionado ok, como lo muestra la imagen anterior, se nos despliega una nueva
ventana, sobre la sección del disco duro en la que se va a instalar y si se desea continuar con
la instalación.
152
Cortafuegos y Seguridad en el Internet
Referencia: http://www.endian.com/es/
153
Cortafuegos y Seguridad en el Internet
En este paso es cuando el programa instalador toma la posesión de todo el disco duro para
así crear las particiones correspondientes.
Tal como lo muestra la ilustración anterior, se ingresa la dirección IP para más adelante
poder configurar el ENDIAN firewall desde un navegador de internet, posteriormente se hace
clic en OK.
Referencia: http://www.endian.com/es/
155
Cortafuegos y Seguridad en el Internet
En la figura 4.24 se despliega una ventana en donde se puede apreciar un mensaje, de que la
instalación de ENDIAN firewall ha concluido satisfactoriamente, posteriormente hacemos
clic en OK para finalizar la instalación del ENDIAN.
Referencia: http://www.endian.com/es/
Referencia: http://www.endian.com/es/
156
Cortafuegos y Seguridad en el Internet
Para la configuración del ENDIAN necesitamos un sistema operativo que este en el mismo
rango de dirección de la máquina de ENDIAN, cuando las maquinas ya hagan ping entre
ellas podemos ingresar al navegador de internet de esta forma http://192.168.20.2 que es la
dirección donde está instalada la herramienta ENDIAN y procederemos a configurar el
ENDIAN por vía web.
En la figura 4.28 podemos observar la configuración de la red estática para el equipo, en este
caso el sistema operativo de Windows para que pueda comunicarse con la máquina de
ENDIAN y de esta manera hallar la configuración por vía web.
157
Cortafuegos y Seguridad en el Internet
Referencia: http://www.endian.com/es/
Referencia: http://www.endian.com/es/
158
Cortafuegos y Seguridad en el Internet
Referencia: http://www.endian.com/es/
159
Cortafuegos y Seguridad en el Internet
ENDIAN firewall permite la opción de poder realizar un respaldo del mismo, como lo pueden
observar en la siguiente ilustración, una vez elegida la opción de nuestro interés, se procede
con la instalación haciendo clic en siguiente.
160
Cortafuegos y Seguridad en el Internet
Una vez seleccionada el tipo de conexión de la zona roja escogemos la zona naranja donde
va a ir la DMZ (zona desmilitarizada).
161
Cortafuegos y Seguridad en el Internet
Dentro de ENDIAN se puede escoger las preferencias de la red, donde podemos decidir que
interface va hacer la zona verde donde es la red LAN, también le asignamos la dirección IP
de la interface seleccionada y su correspondiente mascara de red, etc.
162
Cortafuegos y Seguridad en el Internet
ENDIAN permite configurar al igual que en la zona verde, la zona naranja donde escogemos
que interface va hacer la zona naranja (DMZ), dentro de esta configuración se coloca la
dirección IP de la interface y su correspondiente mascara de red.
Una vez configuradas las interfaces verde, naranja y roja, asignamos las direcciones IP de los
DNS.
163
Cortafuegos y Seguridad en el Internet
Referencia: http://www.endian.com/es/
Referencia: http://www.endian.com/es/
164
Cortafuegos y Seguridad en el Internet
Referencia: http://www.endian.com/es/
Una vez finalizada la configuración de ENDIAN, la herramienta esta lista para poderla
administrar de acuerdo a nuestras necesidades.
Referencia: http://www.endian.com/es/
165
Cortafuegos y Seguridad en el Internet
Asignación de reglas
Una de las características especiales de ENDIAN es la creación de una NAT FUENTE que
permita que los de la zona verde puedan salir a Internet por medio de la zona roja.
166
Cortafuegos y Seguridad en el Internet
Una vez creada la NAT FUENTE realizamos lo mismo pero para que la zona naranja (DMZ)
pueda tener acceso a Internet por medio de la zona roja que es la (WAN).
167
Cortafuegos y Seguridad en el Internet
Ahora nos dirigimos a (incoming routed traffic) para que la zona roja nunca se conecte con
la zona verde, por el motivo de que los usuarios de la red WAN no puedan tener acceso a red
LAN.
Se realiza la configuración para que los usuarios de la red roja puedan tener acceso a los
servicios de la zona naranja (DMZ), en nuestro caso vemos que es el servicio FTP.
Sucesivamente lo pueden realizar con los otros servicios.
Figura 4.45 Configuración de la zona roja para los servicios de la zona naranja
Referencia: http://www.endian.com/es/
168
Cortafuegos y Seguridad en el Internet
Se agregan los servicios que van a salir a la red WAN, dentro de la configuración de ENDIAN
firewall.
Se permite la conexión entre la zona verde con la naranja, para que los usuarios de la zona
verde puedan acceder a los servicios de la zona DMZ.
En la ilustración 4.48 se muestra como se deniega la conexión entre la zona naranja y la zona
verde, para que los usuarios de la zona roja no puedan acceder por ningún motivo a la zona
verde.
169
Cortafuegos y Seguridad en el Internet
170
Cortafuegos y Seguridad en el Internet
En la imagen 4.49 como se puede observar se permite la conexión de la zona naranja para
que se entablar la conexión con la zona roja y de esta manera los usuarios de la zona WAN
ingresen a los servicios de red naranja.
171
Cortafuegos y Seguridad en el Internet
Por otro lado los usuarios de la zona verde también se pueden conectar con el servicio FTP
y HTTP de la zona naranja (DMZ) satisfactoriamente.
172
Cortafuegos y Seguridad en el Internet
La zona roja (WAN) no puede obtener respuesta a la zona verde, por la configuración
realizada anteriormente.
Ahora vemos que desde la zona roja (WAN) podemos tener acceso a la zona naranja (DMZ)
y por ello tener acceso a los servicios implementados en dicha zona, servicios como el WEB
y el FTP.
ICSA, Inc. Intenta desarrollar criterios imparciales para definir buenos productos de
seguridad. Por ejemplo, por muchos años ICSA ha estado probando y certificando productos
antivirus. Los usuarios de estos productos han indicado que la certificación ha sido de gran
ayuda. Una compañía compra un producto antivirus certificada sabe que realizará estándares
claros establecidos y de esta manera podrá evitar más desordenes costosos que de otra manera
requerirá de otra clase de diligencias.
La certificación firewall opera con principios similares. Las compañías que fabrican firewall
pueden someterlos a prueba, y si pasan la prueba, ellos pueden colocar el logo de
certificación.
174
Cortafuegos y Seguridad en el Internet
Esto proporciona una seguridad a los compradores que este producto satisface ampliamente
un nivel de estándar de seguridad, en otras palabras, un comprador puede confiar que todos
los productos que han sido certificados, realizan en una perspectiva de seguridad funciones
en un mismo nivel. Algunos productos exceden el nivel y en algunas áreas la certificación
será más y más severa, la cual puede ser revocada si un producto falla al no mantenerse con
el estándar.
175
Cortafuegos y Seguridad en el Internet
Conclusiones
Es urgente rediseñar una infraestructura desarrollada hace más de 30 años para uso militar y
académico contemplando mecanismos de seguridad pensados para soportar las amenazas de
destrucción física de los sistemas.
En cualquier tipo de red, al instalar el firewall debemos dotar a los servidores con las dos
direcciones IP: Una para que se puedan conectar las terminales de la LAN a él y otra con el
exterior, por lo tanto, en dicha red todas las transferencias de datos están sujetas al firewall,
es decir que una computadora sólo podrá acceder a los parámetros que el firewall tenga
permitido o posibilite mediante su configuración.
Por ejemplo, si una terminal de la red intenta enviar un paquete a una dirección IP no
autorizada, el firewall rechazará éste envío impidiendo realizar la transmisión. Con el firewall
podemos definir tamaños de paquetes, direcciones IP, deshabilitación de envíos o recepción
de paquetes por determinados puertos, imposibilitar el uso del comando Finger, etc.
Además otra herramienta de seguridad fiable es el uso de las VPN´S las cuales representan
en cuanto a seguridad una gran confidencialidad e integridad de los datos y prácticamente se
ha vuelto un tema importante en las organizaciones debido a que reduce significativamente
el costo de la trasferencia de datos de un lugar a otro, el único inconveniente que pudieran
tener las VPN´S es que primero se deben establecer correctamente las políticas de seguridad
y de acceso.
176
Cortafuegos y Seguridad en el Internet
Con respecto al acceso desde el interior de una LAN hacia el exterior, podemos decir que, si
desde cualquier estación enviamos un paquete a una IP y el firewall nos valida el tamaño de
la IP destino, puerto, etc., estos parámetros varían según las necesidades de seguridad de cada
red y por ende, del nivel de configuración del firewall, nosotros no notaremos ninguna
diferencia entre la existencia o no de la barrera.
177
Cortafuegos y Seguridad en el Internet
Glosario
ARPANET: La red de computadoras Advanced Research Projects Agency Network
(ARPANET) fue creada por el Departamento de Defensa de Estados Unidos, como
medio de comunicación para los diferentes organismos del país. El primer nodo se
creó en la Universidad de California y fue la espina dorsal de Internet hasta 1990, tras
finalizar la transición al protocolo TCP/IP iniciada en 1983.
Broadcast: Es un método de comunicación donde un dispositivo envía un único
paquete de datos direccionado a cada uno de los dispositivos en una red y la
comunicación de uno a todos. En Ethernet, existen inherentemente al menos 2 tipos
de comunicaciones, unicast y broadcast. Unicast es una forma de comunicación uno
a uno. En otros protocolos, puede haber un tercer tipo de modo de comunicación
llamado Multicast. Multicast es una forma de comunicación de uno a muchos y es
ligeramente más complejo.
Broadcasting: Es una forma de transmisión de información donde un nodo emisor
envía información a una multitud de nodos receptores de manera simultánea, sin
necesidad de reproducir la misma transmisión nodo por nodo.
CERN: La Organización Europea para la Investigación Nuclear, es el mayor
laboratorio de investigación en física de partículas, a nivel mundial.
Dialer: Es una aplicación que crea una conexión a Internet para conectarse a través
de una línea telefónica analógica o una ISDN.
Dirección I.P: Una dirección única que identifica a un equipo en una red mediante
una dirección de 32 bits que es única en toda la red TCP/IP. Las direcciones IP se
suelen representar en notación decimal con puntos, que representa cada octeto (8 bits
o 1 byte) de una dirección IP como su valor decimal y separa cada octeto con un
punto; por ejemplo, 207.46.130.45.
DMZ: El objetivo de una DMZ es que las conexiones desde la red interna y la externa
a la DMZ estén permitidas, mientras que las conexiones desde la DMZ solo se
permitan a la red externa a los equipos y en la DMZ no puedan conectarse con la red
interna.
Enquire: Fue un proyecto de software escrito en la segunda mitad de 1980 por Tim
Berners-Lee, quien posteriormente crearía el World Wide Web en 1989.
178
Cortafuegos y Seguridad en el Internet
179
Cortafuegos y Seguridad en el Internet
NCP: Fue un programa de control de red el cual proporcionó las capas medias de la
pila de protocolos que se ejecutan en equipos host de la ARPANET, el predecesor de
la moderna Internet.
Nombre del Host: Es el nombre que se da un equipo que forma parte de un dominio
y que se utiliza para autenticar a los clientes, también se denomina nombre de equipo.
NSFNET: Acrónimo inglés de National Science Foundation's Network, esta
comenzó con una serie de redes dedicadas a la comunicación de la investigación y de
la educación. Fue creada por el gobierno de los Estados Unidos (a través de la
National Science Foundation), y fue reemplazo de ARPANET como backbone de
Internet.
Paquete: Cantidad mínima de datos que se transmiten en una red o entre dispositivos,
tiene estructura y longitud variable según el protocolo utilizado.
Proxy: Un servidor proxy es un equipo intermediario situado entre el sistema del
usuario e Internet, puede utilizarse para registrar el uso de Internet y también para
bloquear el acceso a una sede Web. El servidor de seguridad del proxy bloquea
algunas sedes o páginas Web por diversas razones.
Router: Elemento Hardware que trabaja a nivel de red y entre otras cosas se utiliza
para conectar una LAN a una WAN. Un Router (enrutador) asigna el encabezado del
paquete a una ubicación de una LAN y elige la mejor ruta de acceso para el paquete,
con lo que optimiza el rendimiento de la red.
SYN: Es un bit de control dentro del segmento TCP, que se utiliza para sincronizar
los números de secuencia iniciales ISN de una conexión en el procedimiento de
establecimiento de tres fases. Se usa para sincronizar los números de secuencia en
tres tipos de segmentos: petición de conexión, confirmación de conexión (con ACK
activo) y la recepción de la confirmación (con ACK activo).
VPN: Es el acrónimo del inglés Virtual Private Network (Red Privada Virtual) es una
red para transmisión de datos de manera privada, utilizando una infraestructura de
telecomunicaciones pública.
180
Cortafuegos y Seguridad en el Internet
Bibliografía
Fuente consultada Fecha de
consulta
Artículos
Echeverría, J.: Los señores del aire: Telépolis y el Tercer Entorno. Barcelona 28/09/2013
(Destino),
Bergen Linux User Group (April de 2001). «The informal report from the 22/10/2013
RFC 1149 event».
Firewall Policies and VPN Configurations, Anne Henmi, Mark Lucas, 28/10/2013
Abhishek Singh, Chris Cantrell. Syngress Publishing,Inc 2012
Ronda Hauben. Internet History «From the ARPANET to the Internet». TCP 12/11/2013
Digest (UUCP).
ZDNet (06-11-2012). «Cerf and Khan to get Presidential Medal of Honor». 18/11/2013
181
Cortafuegos y Seguridad en el Internet
Libros
Páginas de Internet
http://www.securityfocus.com/infocus/1716 11/09/2013
http://www.securityfocus.com/infocus/1701 15/09/2013
http://www.securityfocus.com/infocus/1716 17/09/2013
http://tools.ietf.org/html/rfc760 18/09/2013
http://tools.ietf.org/html/rfc791 25/09/2013
http://www.vsantivirus.com/seis-pasos-060905.htm 27/09/2013
http://www.fcw.com/article90656-09-05-05-Print 2/10/2013
182
Cortafuegos y Seguridad en el Internet
http://www.aclantis.com/articulo.php?sid=2110 17/10/2013
http://roble.pntic.mec.es/~sgonzale/linux/cortafuegos.html 18/10/2013
http://www.monografias.com/trabajos3/firewalls/firewalls.shtml#arriba 19/10/2013
http://benavent.homeip.net:8080/links/herramientas.htm 19/10/2013
http://glub.ehu.es/seguridad/ 19/10/2013
http://glub.ehu.es/seguridad/filtrado.html 20/10/2013
http://glub.ehu.es/seguridad/deteccion.html 22/10/2013
http://glub.ehu.es/seguridad/cgi.html 24/10/2013
http://club.telepolis.com/mcastal/firewalls.htm 25/10/2013
26/10/2013
http://www.microsoft.com/latam/seguridad/proteccion/firewall.asp
28/10/2013
http://www.tress.com.mx/boletin/julio2003/firewall.htm
04/11/2013
http://www.delitosinformaticos.com/especial/seguridad/politica.shtml
5/11/2013
http://www.arcert.gov.ar/curso_firewalls/curso_f.htm
9/11/2013
http://www.utp.ac.pa/seccion/topicos/seguridad/firewall.html
20/11/2013
http://www-2.dc.uba.ar/materias/seginf/material/Clase12-Unidad5_vf.pdf
24/11/2013
http://blog.internexo.com/2006/07/vpn-redes-virtuales-privadas.html
06/12/2013
http://www.telypc.com/vpn.html
183