4.1 Cortafuegos
Un cortafuego (firewall en inglés) es una parte de un sistema o una red que está diseñada para bloquear el acceso no autorizado, permitiendo al mismo tiempo autorizado.
Se trata de u n dispositivo o conjunto de dispositivos configurados para permitir, limitar, cifrar, descifrar, el tráfico entre los diferentes ámbitos sobre la base de un conjunto de normas y otros criterios.
Los cortafuegos pueden ser implementados en hardware o software, o una combinación de ambos. Los cortafuegos se utilizan con frecuencia para evitar que los usuarios de Internet no autorizados tengan acceso a redes privadas conectadas a Internet, especialmente intranets. Todos los mensajes que entren o salgan de la intranet pasan a través del cortafuego, que examina cada mensaje y bloquea aquellos que no cumplen los criterios de seguridad especificados. También es frecuente conectar al cortafuego a una tercera red, llamada Zona desmilitarizada o DMZ, en la que se ubican los servidores de la organización que deben permanecer accesibles desde la red exterior.
Un cortafuego correctamente configurado añade una protección necesaria a la red, pero que en ningún caso debe considerarse suficiente. La seguridad informática abarca más ámbitos y más niveles de trabajo y protección.
El término "firewall / fireblock" significaba originalmente una pared para confinar un incendio o riesgo potencial de incendio en un edificio. Más adelante se usa para referirse a las estructuras similares, como la hoja de metal que separa el compartimiento del motor de un vehículo o una aeronave de la cabina. La tecnología de los cortafuegos surgió a finales de 1980, cuando Internet era una tecnología bastante nueva en cuanto a su uso global y la conectividad. Los predecesores de los cortafuegos para la seguridad de la red fueron los routers utilizados a finales de 1980, que mantenían a las redes separadas unas de otras. La visión de Internet como una comunidad relativamente pequeña de usuarios con máquinas compatibles, que valoraba la predisposición para el intercambio y la colaboración, terminó con una serie de importantes violaciones de seguridad de Internet que se produjo a finales de los 80:
§ Clifford Stoll, que descubrió la forma de manipular el sistema de espionaje alemán.
§ Bill Cheswick, cuando en 1992 instaló una cárcel simple electrónica para observar a un atacante.
§ En 1988, un empleado del Centro de Investigación Ames de la NASA, en California, envió una nota por correo electrónico a sus colegas que decía:
"Estamos bajo el ataque de un virus de Internet! Ha llegado a Berkeley, UC San Diego, Lawrence Livermore, Stanford y la NASA Ames."
§ El Gusano Morris, que se extendió a través de múltiples vulnerabilidades en las máquinas de la época. Aunque no era malicioso, el gusano Morris fue el primer ataque a gran escala sobre la seguridad en Internet; la red no esperaba ni estaba preparada para hacer frente a su ataque.
Un firewall es un dispositivo que funciona como cortafuegos entre redes, permitiendo o denegando las transmisiones de una red a la otra. Un uso típico es situarlo entre una red local y la red Internet, como dispositivo de seguridad para evitar que los intrusos puedan acceder a información confidencial.
Un firewall es simplemente un filtro que controla todas las comunicaciones que pasan de una red a la otra y en función de lo que sean permite o deniega su paso. Para permitir o denegar una comunicación el firewal examina el tipo de servicio al que corresponde, como pueden ser el web, el correo o el IRC. Dependiendo del servicio el firewall decide si lo permite o no. Además, el firewall examina si la comunicación es entrante o saliente y dependiendo de su dirección puede permitirla o no.
De este modo un firewall puede permitir desde una red local hacia Internet servicios de web, correo y ftp, pero no a IRC que puede ser innecesario para nuestro trabajo. También podemos configurar los accesos que se hagan desde Internet hacia la red local y podemos denegarlos todos o permitir algunos servicios como el de la web, (si es que poseemos un servidor web y queremos que accesible desde Internet). Dependiendo del firewall que tengamos también podremos permitir algunos accesos a la red local desde Internet si el usuario se ha autentificado como usuario de la red local.
Un firewall puede ser un dispositivo software o hardware, es decir, un aparatito que se conecta entre la red y el cable de la conexión a Internet, o bien un programa que se instala en la máquina que tiene el modem que conecta con Internet. Incluso podemos encontrar ordenadores computadores muy potentes y con softwares específicos que lo único que hacen es monitorizar las comunicaciones entre redes.
Primera generación – cortafuegos de red: filtrado de paquetes
El primer documento publicado para la tecnología firewall data de 1988, cuando el equipo de ingenieros Digital Equipment Corporation (DEC) desarrolló los sistemas de filtro conocidos como cortafuegos de filtrado de paquetes. Este sistema, bastante básico, fue la primera generación de lo que se convertiría en una característica más técnica y evolucionada de la seguridad de Internet. En AT&T Bell, Bill Cheswick y Steve Bellovin, continuaban sus investigaciones en el filtrado de paquetes y desarrollaron un modelo de trabajo para su propia empresa, con base en su arquitectura original de la primera generación.
El filtrado de paquetes actúa mediante la inspección de los paquetes (que representan la unidad básica de transferencia de datos entre ordenadores en Internet). Si un paquete coincide con el conjunto de reglas del filtro, el paquete se reducirá (descarte silencioso) o será rechazado (desprendiéndose de él y enviando una respuesta de error al emisor). Este tipo de filtrado de paquetes no presta atención a si el paquete es parte de una secuencia existente de tráfico. En su lugar, se filtra cada paquete basándose únicamente en la información contenida en el paquete en sí (por lo general utiliza una combinación del emisor del paquete y la dirección de destino, su protocolo, y, en el tráfico TCP y UDP, el número de puerto). Los protocolos TCP y UDP comprenden la mayor parte de comunicación a través de Internet, utilizando por convención puertos bien conocidos para determinados tipos de tráfico, por lo que un filtro de paquetes puede distinguir entre ambos tipos de tráfico (ya sean navegación web, impresión remota, envío y recepción de correo electrónico, transferencia de archivos…); a menos que las máquinas a cada lado del filtro de paquetes estén a la vez utilizando los mismos puertos no estándar.
El filtrado de paquetes llevado a cabo por un cortafuego actúa en las tres primeras capas del modelo de referencia OSI, lo que significa que todo el trabajo lo realiza entre la red y las capas físicas. Cuando el emisor origina un paquete y es filtrado por el cortafuegos, éste último comprueba las reglas de filtrado de paquetes que lleva configuradas, aceptando o rechazando el paquete en consecuencia. Cuando el paquete pasa a través de cortafuegos, éste filtra el paquete mediante un protocolo y un número de puerto base (GSS). Por ejemplo, si existe una norma en los cortafuegos para bloquear el acceso telnet, bloqueará el protocolo IP para el número de puerto 23.
Segunda generación – cortafuegos de estado
Durante 1989 y 1990, tres colegas de los laboratorios AT&T Bell, Dave Presetto, Janardan Sharma, y Nigam Kshitij, desarrollaron la tercera generación de servidores de seguridad. Esta tercera generación cortafuegos tiene en cuenta además la colocación de cada paquete individual dentro de una serie de paquetes. Esta tecnología se conoce generalmente como la inspección de estado de paquetes, ya que mantiene registros de todas las conexiones que pasan por el cortafuegos, siendo capaz de determinar si un paquete indica el inicio de una nueva conexión, es parte de una conexión existente, o es un paquete erróneo. Este tipo de cortafuegos pueden ayudar a prevenir ataques contra conexiones en curso o ciertos ataques de denegación de servicio.
Tercera generación - cortafuegos de aplicación
Son aquellos que actúan sobre la capa de aplicación del modelo OSI. La clave de un cortafuegos de aplicación es que puede entender ciertas aplicaciones y protocolos (por ejemplo: protocolo de transferencia de ficheros, DNS o navegación web), y permite detectar si un protocolo no deseado se coló a través de un puerto no estándar o si se está abusando de un protocolo de forma perjudicial.
Un cortafuegos de aplicación es mucho más seguro y fiable cuando se compara con un cortafuegos de filtrado de paquetes, ya que repercute en las siete capas del modelo de referencia OSI. En esencia es similar a un cortafuegos de filtrado de paquetes, con la diferencia de que también podemos filtrar el contenido del paquete. El mejor ejemplo de cortafuegos de aplicación es ISA (Internet Security and Acceleration).
Un cortafuego de aplicación puede filtrar protocolos de capas superiores tales como FTP, TELNET, DNS, DHCP, HTTP, TCP, UDP y TFTP (GSS). Por ejemplo, si una organización quiere bloquear toda la información relacionada con una palabra en concreto, puede habilitarse el filtrado de contenido para bloquear esa palabra en particular. No obstante, los cortafuegos de aplicación resultan más lentos que los de estado.
Acontecimientos posteriores
En 1992, Bob Braden y DeSchon Annette, de la Universidad del Sur de California (USC), dan forma al concepto de cortafuegos. Su producto, conocido como "Visas", fue el primer sistema con una interfaz gráfica con colores e iconos, fácilmente implementable y compatible con sistemas operativos como Windows de Microsoft o MacOS de Apple. En 1994, una compañía israelí llamada Check Point Software Technologies lo patentó como software denominándolo FireWall-1.
La funcionalidad existente de inspección profunda de paquetes en los actuales cortafuegos puede ser compartida por los sistemas de prevención de intrusiones (IPS).
Actualmente, el Grupo de Trabajo de Comunicación Middlebox de la Internet Engineering Task Force (IETF) está trabajando en la estandarización de protocolos para la gestión de cortafuegos.
Otro de los ejes de desarrollo consiste en integrar la identidad de los usuarios dentro del conjunto de reglas de los cortafuegos. Algunos cortafuegos proporcionan características tales como unir a las identidades de usuario con las direcciones IP o MAC. Otros, como el cortafuego NuFW, proporcionan características de identificación real solicitando la firma del usuario para cada conexión.
Tipos de cortafuegos
Nivel de aplicación de pasarela
Aplica mecanismos de seguridad para aplicaciones específicas, tales como servidores FTP y Telnet. Esto es muy eficaz, pero puede imponer una degradación del rendimiento.
Circuito a nivel de pasarela
Aplica mecanismos de seguridad cuando una conexión TCP o UDP es establecida. Una vez que la conexión se ha hecho, los paquetes pueden fluir entre los anfitriones sin más control. Permite el establecimiento de una sesión que se origine desde una zona de mayor seguridad hacia una zona de menor seguridad.
Cortafuegos de capa de red o de filtrado de paquetes
Funciona a nivel de red (capa 3 del modelo OSI, capa 2 del stack de protocolos TCP/IP) como filtro de paquetes IP. A este nivel se pueden realizar filtros según los distintos campos de los paquetes IP: dirección IP origen, dirección IP destino. A menudo en este tipo de cortafuegos se permiten filtrados según campos de nivel de transporte (capa 3 TCP/IP, capa 4 Modelo OSI), como el puerto origen y destino, o a nivel de enlace de datos (no existe en TCP/IP, capa 2 Modelo OSI) como la dirección MAC.
Cortafuegos de capa de aplicación
Trabaja en el nivel de aplicación (capa 7 del modelo OSI), de manera que los filtrados se pueden adaptar a características propias de los protocolos de este nivel. Por ejemplo, si se trata de tráfico HTTP, se pueden realizar filtrados según la URL a la que se está intentando acceder.
Un cortafuego a nivel 7 de tráfico HTTP suele denominarse proxy, y permite que los computadores de una organización entren a Internet de una forma controlada. Un proxy oculta de manera eficaz las verdaderas direcciones de red.
Cortafuego personal
Es un caso particular de cortafuegos que se instala como software en un computador, filtrando las comunicaciones entre dicho computador y el resto de la red. Se usa por tanto, a nivel personal.
Un cortafuego (firewall en inglés) es una parte de un sistema o una red que está diseñada para bloquear el acceso no autorizado, permitiendo al mismo tiempo autorizado.
Se trata de u n dispositivo o conjunto de dispositivos configurados para permitir, limitar, cifrar, descifrar, el tráfico entre los diferentes ámbitos sobre la base de un conjunto de normas y otros criterios.
Los cortafuegos pueden ser implementados en hardware o software, o una combinación de ambos. Los cortafuegos se utilizan con frecuencia para evitar que los usuarios de Internet no autorizados tengan acceso a redes privadas conectadas a Internet, especialmente intranets. Todos los mensajes que entren o salgan de la intranet pasan a través del cortafuego, que examina cada mensaje y bloquea aquellos que no cumplen los criterios de seguridad especificados. También es frecuente conectar al cortafuego a una tercera red, llamada Zona desmilitarizada o DMZ, en la que se ubican los servidores de la organización que deben permanecer accesibles desde la red exterior.
Un cortafuego correctamente configurado añade una protección necesaria a la red, pero que en ningún caso debe considerarse suficiente. La seguridad informática abarca más ámbitos y más niveles de trabajo y protección.
El término "firewall / fireblock" significaba originalmente una pared para confinar un incendio o riesgo potencial de incendio en un edificio. Más adelante se usa para referirse a las estructuras similares, como la hoja de metal que separa el compartimiento del motor de un vehículo o una aeronave de la cabina. La tecnología de los cortafuegos surgió a finales de 1980, cuando Internet era una tecnología bastante nueva en cuanto a su uso global y la conectividad. Los predecesores de los cortafuegos para la seguridad de la red fueron los routers utilizados a finales de 1980, que mantenían a las redes separadas unas de otras. La visión de Internet como una comunidad relativamente pequeña de usuarios con máquinas compatibles, que valoraba la predisposición para el intercambio y la colaboración, terminó con una serie de importantes violaciones de seguridad de Internet que se produjo a finales de los 80:
§ Clifford Stoll, que descubrió la forma de manipular el sistema de espionaje alemán.
§ Bill Cheswick, cuando en 1992 instaló una cárcel simple electrónica para observar a un atacante.
§ En 1988, un empleado del Centro de Investigación Ames de la NASA, en California, envió una nota por correo electrónico a sus colegas que decía:
"Estamos bajo el ataque de un virus de Internet! Ha llegado a Berkeley, UC San Diego, Lawrence Livermore, Stanford y la NASA Ames."
§ El Gusano Morris, que se extendió a través de múltiples vulnerabilidades en las máquinas de la época. Aunque no era malicioso, el gusano Morris fue el primer ataque a gran escala sobre la seguridad en Internet; la red no esperaba ni estaba preparada para hacer frente a su ataque.
Un firewall es un dispositivo que funciona como cortafuegos entre redes, permitiendo o denegando las transmisiones de una red a la otra. Un uso típico es situarlo entre una red local y la red Internet, como dispositivo de seguridad para evitar que los intrusos puedan acceder a información confidencial.
Un firewall es simplemente un filtro que controla todas las comunicaciones que pasan de una red a la otra y en función de lo que sean permite o deniega su paso. Para permitir o denegar una comunicación el firewal examina el tipo de servicio al que corresponde, como pueden ser el web, el correo o el IRC. Dependiendo del servicio el firewall decide si lo permite o no. Además, el firewall examina si la comunicación es entrante o saliente y dependiendo de su dirección puede permitirla o no.
De este modo un firewall puede permitir desde una red local hacia Internet servicios de web, correo y ftp, pero no a IRC que puede ser innecesario para nuestro trabajo. También podemos configurar los accesos que se hagan desde Internet hacia la red local y podemos denegarlos todos o permitir algunos servicios como el de la web, (si es que poseemos un servidor web y queremos que accesible desde Internet). Dependiendo del firewall que tengamos también podremos permitir algunos accesos a la red local desde Internet si el usuario se ha autentificado como usuario de la red local.
Un firewall puede ser un dispositivo software o hardware, es decir, un aparatito que se conecta entre la red y el cable de la conexión a Internet, o bien un programa que se instala en la máquina que tiene el modem que conecta con Internet. Incluso podemos encontrar ordenadores computadores muy potentes y con softwares específicos que lo único que hacen es monitorizar las comunicaciones entre redes.
Primera generación – cortafuegos de red: filtrado de paquetes
El primer documento publicado para la tecnología firewall data de 1988, cuando el equipo de ingenieros Digital Equipment Corporation (DEC) desarrolló los sistemas de filtro conocidos como cortafuegos de filtrado de paquetes. Este sistema, bastante básico, fue la primera generación de lo que se convertiría en una característica más técnica y evolucionada de la seguridad de Internet. En AT&T Bell, Bill Cheswick y Steve Bellovin, continuaban sus investigaciones en el filtrado de paquetes y desarrollaron un modelo de trabajo para su propia empresa, con base en su arquitectura original de la primera generación.
El filtrado de paquetes actúa mediante la inspección de los paquetes (que representan la unidad básica de transferencia de datos entre ordenadores en Internet). Si un paquete coincide con el conjunto de reglas del filtro, el paquete se reducirá (descarte silencioso) o será rechazado (desprendiéndose de él y enviando una respuesta de error al emisor). Este tipo de filtrado de paquetes no presta atención a si el paquete es parte de una secuencia existente de tráfico. En su lugar, se filtra cada paquete basándose únicamente en la información contenida en el paquete en sí (por lo general utiliza una combinación del emisor del paquete y la dirección de destino, su protocolo, y, en el tráfico TCP y UDP, el número de puerto). Los protocolos TCP y UDP comprenden la mayor parte de comunicación a través de Internet, utilizando por convención puertos bien conocidos para determinados tipos de tráfico, por lo que un filtro de paquetes puede distinguir entre ambos tipos de tráfico (ya sean navegación web, impresión remota, envío y recepción de correo electrónico, transferencia de archivos…); a menos que las máquinas a cada lado del filtro de paquetes estén a la vez utilizando los mismos puertos no estándar.
El filtrado de paquetes llevado a cabo por un cortafuego actúa en las tres primeras capas del modelo de referencia OSI, lo que significa que todo el trabajo lo realiza entre la red y las capas físicas. Cuando el emisor origina un paquete y es filtrado por el cortafuegos, éste último comprueba las reglas de filtrado de paquetes que lleva configuradas, aceptando o rechazando el paquete en consecuencia. Cuando el paquete pasa a través de cortafuegos, éste filtra el paquete mediante un protocolo y un número de puerto base (GSS). Por ejemplo, si existe una norma en los cortafuegos para bloquear el acceso telnet, bloqueará el protocolo IP para el número de puerto 23.
Segunda generación – cortafuegos de estado
Durante 1989 y 1990, tres colegas de los laboratorios AT&T Bell, Dave Presetto, Janardan Sharma, y Nigam Kshitij, desarrollaron la tercera generación de servidores de seguridad. Esta tercera generación cortafuegos tiene en cuenta además la colocación de cada paquete individual dentro de una serie de paquetes. Esta tecnología se conoce generalmente como la inspección de estado de paquetes, ya que mantiene registros de todas las conexiones que pasan por el cortafuegos, siendo capaz de determinar si un paquete indica el inicio de una nueva conexión, es parte de una conexión existente, o es un paquete erróneo. Este tipo de cortafuegos pueden ayudar a prevenir ataques contra conexiones en curso o ciertos ataques de denegación de servicio.
Tercera generación - cortafuegos de aplicación
Son aquellos que actúan sobre la capa de aplicación del modelo OSI. La clave de un cortafuegos de aplicación es que puede entender ciertas aplicaciones y protocolos (por ejemplo: protocolo de transferencia de ficheros, DNS o navegación web), y permite detectar si un protocolo no deseado se coló a través de un puerto no estándar o si se está abusando de un protocolo de forma perjudicial.
Un cortafuegos de aplicación es mucho más seguro y fiable cuando se compara con un cortafuegos de filtrado de paquetes, ya que repercute en las siete capas del modelo de referencia OSI. En esencia es similar a un cortafuegos de filtrado de paquetes, con la diferencia de que también podemos filtrar el contenido del paquete. El mejor ejemplo de cortafuegos de aplicación es ISA (Internet Security and Acceleration).
Un cortafuego de aplicación puede filtrar protocolos de capas superiores tales como FTP, TELNET, DNS, DHCP, HTTP, TCP, UDP y TFTP (GSS). Por ejemplo, si una organización quiere bloquear toda la información relacionada con una palabra en concreto, puede habilitarse el filtrado de contenido para bloquear esa palabra en particular. No obstante, los cortafuegos de aplicación resultan más lentos que los de estado.
Acontecimientos posteriores
En 1992, Bob Braden y DeSchon Annette, de la Universidad del Sur de California (USC), dan forma al concepto de cortafuegos. Su producto, conocido como "Visas", fue el primer sistema con una interfaz gráfica con colores e iconos, fácilmente implementable y compatible con sistemas operativos como Windows de Microsoft o MacOS de Apple. En 1994, una compañía israelí llamada Check Point Software Technologies lo patentó como software denominándolo FireWall-1.
La funcionalidad existente de inspección profunda de paquetes en los actuales cortafuegos puede ser compartida por los sistemas de prevención de intrusiones (IPS).
Actualmente, el Grupo de Trabajo de Comunicación Middlebox de la Internet Engineering Task Force (IETF) está trabajando en la estandarización de protocolos para la gestión de cortafuegos.
Otro de los ejes de desarrollo consiste en integrar la identidad de los usuarios dentro del conjunto de reglas de los cortafuegos. Algunos cortafuegos proporcionan características tales como unir a las identidades de usuario con las direcciones IP o MAC. Otros, como el cortafuego NuFW, proporcionan características de identificación real solicitando la firma del usuario para cada conexión.
Tipos de cortafuegos
Nivel de aplicación de pasarela
Aplica mecanismos de seguridad para aplicaciones específicas, tales como servidores FTP y Telnet. Esto es muy eficaz, pero puede imponer una degradación del rendimiento.
Circuito a nivel de pasarela
Aplica mecanismos de seguridad cuando una conexión TCP o UDP es establecida. Una vez que la conexión se ha hecho, los paquetes pueden fluir entre los anfitriones sin más control. Permite el establecimiento de una sesión que se origine desde una zona de mayor seguridad hacia una zona de menor seguridad.
Cortafuegos de capa de red o de filtrado de paquetes
Funciona a nivel de red (capa 3 del modelo OSI, capa 2 del stack de protocolos TCP/IP) como filtro de paquetes IP. A este nivel se pueden realizar filtros según los distintos campos de los paquetes IP: dirección IP origen, dirección IP destino. A menudo en este tipo de cortafuegos se permiten filtrados según campos de nivel de transporte (capa 3 TCP/IP, capa 4 Modelo OSI), como el puerto origen y destino, o a nivel de enlace de datos (no existe en TCP/IP, capa 2 Modelo OSI) como la dirección MAC.
Cortafuegos de capa de aplicación
Trabaja en el nivel de aplicación (capa 7 del modelo OSI), de manera que los filtrados se pueden adaptar a características propias de los protocolos de este nivel. Por ejemplo, si se trata de tráfico HTTP, se pueden realizar filtrados según la URL a la que se está intentando acceder.
Un cortafuego a nivel 7 de tráfico HTTP suele denominarse proxy, y permite que los computadores de una organización entren a Internet de una forma controlada. Un proxy oculta de manera eficaz las verdaderas direcciones de red.
Cortafuego personal
Es un caso particular de cortafuegos que se instala como software en un computador, filtrando las comunicaciones entre dicho computador y el resto de la red. Se usa por tanto, a nivel personal.
4.1.1 Alcances y limitaciones
¿Qué puede hacer un Firewall?
Un cortafuegos define un punto único de resistencia que mantiene a los usuarios no autorizados fuera de la red protegida, prohíbe la entrada o salida de la red de servicios potencialmente vulnerables y proporciona protección frente a distintos tipos de ataques de suplantación de IP (spoofing) y de enrutamiento. El uso de un solo punto de resistencia simplifica la gestión de la seguridad porque las capacidades de seguridad se consolidad en un único sistema o conjunto de sistemas.
Claramente, éste es el caso de las conexiones que se realizan desde la red interna mediante un módem o cualquier otro medio de conexión que evite el firewall.
¿Qué no puede hacer un Firewall?
Las 6 limitaciones más comunes
Referencias consultadas:
¿Qué puede hacer un Firewall?
Un cortafuegos define un punto único de resistencia que mantiene a los usuarios no autorizados fuera de la red protegida, prohíbe la entrada o salida de la red de servicios potencialmente vulnerables y proporciona protección frente a distintos tipos de ataques de suplantación de IP (spoofing) y de enrutamiento. El uso de un solo punto de resistencia simplifica la gestión de la seguridad porque las capacidades de seguridad se consolidad en un único sistema o conjunto de sistemas.
- Restringir servicios que se consideran inseguros.
- Un cortafuego proporciona una ubicación para supervisar sucesos relacionados con la seguridad. En los sistemas cortafuegos se pueden implementar auditorias y alarmas.
- Limitar el acceso a redes inseguras
- Un cortafuego puede servir como plataforma para IPSec. Utilizando la capacidad del modo túnel, el cortafuego puede utilizarse para implementar redes privadas virtuales.
- Es el lugar donde se concentran las decisiones de seguridad
Claramente, éste es el caso de las conexiones que se realizan desde la red interna mediante un módem o cualquier otro medio de conexión que evite el firewall.
¿Qué no puede hacer un Firewall?
- El cortafuego no puede proteger contra ataques que no se produzcan a través del cortafuego. De hecho los sistemas internos pueden tener capacidad de conexión telefónica para conectarse a un ISP (Proveedor de Servicios de Internet). Desde el 2008 por unos 5 dólares es posible navegar unas cuantas horas con la llamada banda Ancha 3G donde tenemos las mismas o mejores oportunidades de navegación que se escapan del control del Firewall.
- No proveen casi ninguna protección contra protocolos de alto nivel
- No brinda protección contra virus trasferidos por FTP
- El cortafuegos no protege contra amenazas internas (un empleado disgustado o un empleado que inconscientemente coopera con un atacante interno
- No protege contra back doors
- No protege contra nuevos tipos de ataques a menos que la política sea todo está prohibido a menos que se permita explícitamente.
- El cortafuego no puede proteger contra transferencia de programas o archivos infectados con virus. Debido a la variedad de sistemas operativos y aplicaciones existentes dentro del perímetro, sería poco práctico y quizás imposible que el cortafuego explorase todos los archivos, correo electrónico y mensajes entrantes en busca de virus.
Las 6 limitaciones más comunes
- Un cortafuego o firewall no puede protegerse contra aquellos ataques que se efectúen fuera de su punto de operación.
- El cortafuegos no puede protegerse de las amenazas a que está sometido por traidores o usuarios inconscientes.
- El cortafuego no puede prohibir que los traidores o espías corporativos copien datos sensibles en disquetes o tarjetas PCMCIA y sustraigan éstas del edificio.
- El cortafuegos no puede proteger contra los ataques de la “Ingeniería Social”
- El cortafuego no puede protegerse contra los ataques posibles a la red interna por virus informáticos a través de archivos y software. La solución real está en que la organización debe ser consciente en instalar software antivirus en cada máquina para protegerse de los virus que llegan por medio de disquetes o cualquier otra fuente.
- El cortafuego no protege de los fallos de seguridad de los servicios y protocolos de los cuales se permita el tráfico. Hay que configurar correctamente y cuidar la seguridad de los servicios que se publiquen a internet.
Referencias consultadas:
http://prograweb.com.mx/Seguridad/040101alcLimFirewall.html
http://www.firewalls-hardware.com/articulos-firewalls-cortafuegos/limitaciones-de-un-firewall-o-cortafuegos.asp
http://www.firewalls-hardware.com/articulos-firewalls-cortafuegos/limitaciones-de-un-firewall-o-cortafuegos.asp
4.1.2 Componentes de un firewall
Un cortafuegos se compone de hardware y software que, utilizado conjuntamente, impide el acceso no autorizado a parte de una red.
Un cortafuegos consta de los siguientes componentes:
- Hardware. El hardware del cortafuegos suele constar de un sistema aparte dedicado a ejecutar las funciones de software del cortafuegos.
- Software. El software del cortafuegos puede constar de alguna de estas aplicaciones o bien de todas ellas:
- Filtros de paquetes
- Servidores Proxy
- Servidores SOCKS
- Servicios de Conversión de direcciones de red (NAT)
- Software de anotaciones y supervisión
- Servicios de Red privada virtual (VPN)
Componentes de un cortafuegos
· En todo cortafuegos existen tres componentes básicos para los cuales se ha de implementar los mecanismos necesarios para hacer cumplir la política de seguridad:
· En todo cortafuegos existen tres componentes básicos para los cuales se ha de implementar los mecanismos necesarios para hacer cumplir la política de seguridad:
- El filtrado de paquetes.
- El proxy de aplicación.
- La monitorización y detección de actividad sospechosa.
Referencias Consultadas:
http://www.rediris.es/cert/doc/unixsec/node23.html
Elaborado por: Jose Alejandro Martinez Hernandez
4.1.3. Filtrado de paquetes
El filtrado de paquetes, además
de utilizarse para reducir la carga de red, también se emplea para implementar
distintas políticas de seguridad en una red. Respecto al objetivo principal de
dichas políticas de seguridad, es habitual el hecho de evitar el acceso no
autorizado entre dos redes, manteniendo los accesos autorizados.
Los sistemas de filtrado de
paquetes encaminan los paquetes entre los hosts de una red interna y los hosts
de una red externa. De modo selectivo, permiten o bloquean ciertos tipos de
paquetes de acuerdo a una política de seguridad. El tipo de router que se usa
en el filtrado de paquetes se conoce con el nombre de screening router.
Una técnica de filtrado de
paquetes, consiste de una lista de órdenes que se ejecutan secuencialmente a la
entrada/salida de cada interface de un router con las opciones de permitir o
bloquear (Accept o Drop).
Así es posible permitir o denegar
la entrada o salida de paquetes en función de direcciones IP (a nivel 3 de la
pila de protocolos TCP/IP). A este nivel se pueden realizar filtros según los
distintos campos de los paquetes IP: dirección IP origen, dirección IP destino,
etc.
A menudo en este tipo de
cortafuegos se permiten filtrados según campos de nivel de transporte (nivel 4)
como el puerto origen y destino, o a nivel de enlace de datos (nivel 2) como la
dirección MAC. Este es uno de los principales tipos de cortafuegos. Se
considera bastante eficaz y transparente pero difícil de configurar.
La construcción de un sistema
cortafuegos mediante un ruteador con filtrado de paquetes es relativamente
económico, ya que regularmente son construidos con hardware ya disponible.
Además ofrece un alto rendimiento para redes con una carga de tráfico elevado.
Adicionalmente esta tecnología permite la implementación de la mayor parte de
las políticas de seguridad necesarias.
Ventajas:
- Disponible en casi cualquier routers y en muchos sistemas operativos.
- Ofrece un alto rendimiento para redes con una carga de tráfico elevada.
Inconvenientes:
ü
Al procesarse los paquetes de forma
independiente, no se guarda ninguna información de contexto (no se almacenan
históricos de cada paquete), ni se puede analizar a nivel de capa de
aplicación, dado que está implementado en los routers.
ü
Son difíciles de seguir en ejecución
Políticas por defecto
Hay dos políticas básicas en la
configuración de un cortafuego que cambian radicalmente la filosofía
fundamental de la seguridad en la organización:
- Política restrictiva: Se niega todo el tráfico excepto el que está explícitamente permitido. El cortafuegos obstruye todo el tráfico y hay que habilitar explícitamente el tráfico de los servicios que se necesiten.
- Política permisiva: Se permite todo el tráfico excepto el que esté explícitamente denegado. Cada servicio potencialmente peligroso necesitará ser aislado básicamente caso por caso, mientras que el resto del tráfico no será filtrado. Está política deja al firewall vulnerable frente al tunneling.
- La política restrictiva es la más segura, ya que es más difícil permitir por error tráfico potencialmente peligroso, mientras que en la política permisiva es posible que no se haya contemplado algún caso de tráfico peligroso y sea permitido por omisión.
Elaborador por: José Alfredo Martinez Hernandez
4.1.4. Filtrado de servicios
La forma más habitual de permitir o
denegar cierto tipo de tráfico es abriendo y cerrando puertos. Con abrir y
cerrar queremos decir añadir reglas al cortafuegos que permitan que los
paquetes destinados a ciertos puertos puedan circular o no. Esto puede conseguirse
de dos formas: una permisiva y otra restrictiva.
Los cortafuegos permisivos son los que
por defecto dejan circular todo el tráfico y prohíben sólo cierto tipo de
comunicaciones que se considera peligrosa. Los cortafuegos restrictivos hacen
justo lo contrario: por defecto no dejan circular ningún tipo de tráfico
excepto el que se considera seguro. Los cortafuegos restrictivos son mucho más
difíciles de programar aunque también son mucho más seguros.
Filtrado
por protocolo
Veamos unos cuantos ejemplos concretos.
En primer lugar analizaremos el funcionamiento de la orden ping. Esta orden envía una petición de eco a un
ordenador. Si este ordenador funciona correctamente responderá a la petición de ping con
un mensaje de respuesta. La orden ping utiliza el protocolo ICMP para conseguir esto. Aunque
esta orden tiene usos legítimos, a veces es aprovechada por un atacante para
descubrir si nuestro ordenador está encendido, así que puede ser una buena idea
evitar que pueda ser utilizado. Si quisiéramos evitar el uso de ping la forma
más sencilla es esta:
iptables -I INPUT 1 -p icmp DROP
Probar su funcionamiento es sencillo.
Antes de establecer la regla trate de hacer una petición a su propia máquina
con ping localhost. Tras comprobar que en efecto obtiene
respuesta, como no, añada la regla anterior y espere a ver que pasa. Ahora no
debería obtener respuesta. Aparte de esperar un rato a que la orden se lo
confirme, también puede comprobar que ha funcinado comprobando los contadores
de iptables con iptables -nvL.
Filtrado por puerto
Ahora vamos a ver como filtrar por un
servicio utilizando como criterio de selección el número de puerto además del
protocolo. Como primer ejemplo veremos como permitir la conexión a un servidor
SSH (Secure Shell) en nuestro ordenador:
#!/bin/bash
# reiniciar el cortafuegos (tabla
filter)
iptables -F # borrar reglas
iptables -X # borrar cadenas
iptables -Z # estadísticas a cero
# políticas por defecto en las cadenas
predefinitas (tabla filter)
iptables -P INPUT DROP #
descartar
iptables -P FORWARD DROP #
descartar
iptables -P OUTPUT ACCEPT # aceptar
# reglas de entrada
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j
ACCEPT
Este cortafuego permite la conexión
desde el exterior a nuestro servidor SSH. Este es otro ejemplo de cortafuegos
basado en estado. Funciona porque deja pasar todo paquete entrante que intente
crear una nueva conexión con el puerto 22, el del servidor SSH. En lugar del número
22 podríamos haber utilizado el nombre del protocolo, SSH, tal y como aparecen
listados en el fichero /etc/services. Para
poder utilizar esta forma de filtrado es necesario conocer cómo funciona el
servicio o la aplicación que deseamos permitir o limitar. De todas formas este
ejemplo de cortafuegos es bastante poco restrictivo puesto que deja salir todo
el tráfico saliente sin ninguna restricción. Podemos dejar pasar sólo las
comunicaciones que tengan que ver con el protocolo SSH y nada más de forma parecida
a esta:
#!/bin/bash
# reiniciar el cortafuegos (tabla
filter)
iptables -F # borrar reglas
iptables -X # borrar cadenas
iptables -Z # estadísticas a cero
# políticas por defecto en las cadenas predefinitas
(tabla filter)
iptables -P INPUT DROP #
descartar
iptables -P FORWARD DROP #
descartar
iptables -P OUTPUT DROP # descartar
# regla de entrada
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
# regla de salida
iptables -A OUTPUT -p tcp --sport 22 -j
ACCEPT
Este segundo ejemplo es mucho más
restrictivo. De hecho, el único tipo de comunicación permitida es la
relacionada con SSH entrante. Ni siquiera nos permite a nosotros conectarnos a
un servidor SSH en otra máquina. Una cosa importante que podemos aprender de
este ejemplo es que muchas veces son necesarias dos reglas para permitir que
funcione un servicio: una para los paquetes de entrada y otra para los de
salida.
Veremos ahora un tercer ejemplo.
Imaginemos un servidor al que no deseamos que nadie sea capaz de conectarse a
ningún servicio, salvo el servidor web. A la vez podríamos querer que el
administrador pudiese conectarse desde su ordenador para poder administrarlo
con facilidad de forma remota. ¿Cómo conseguirlo? Fácil, con iptables:
#!/bin/bash
# reiniciar el cortafuegos (tabla
filter)
iptables -F # borrar reglas
iptables -X # borrar cadenas
iptables -Z # estadísticas a cero
# políticas por defecto en las cadenas predefinitas
(tabla filter)
iptables -P INPUT DROP #
descartar
iptables -P FORWARD DROP #
descartar
iptables -P OUTPUT DROP # descartar
# regla de entrada
iptables -A INPUT -p tcp --dport 80 -j
ACCEPT # petición al servidor web
iptables -A INPUT -s 10.10.10.10 -j
ACCEPT # administración (entrada)
# regla de salida
iptables -A OUTPUT -p tcp --sport 80 -j
ACCEPT # respuesta del servidor web
iptables -A OUTPUT -d 10.10.10.10 -j
ACCEPT # administración (salida)
Este ejemplo tiene dos cosas
interesantes: por una parte es muy estricto con el tipo de tráfico que permite,
al igual que el ejemplo anterior, sólo deja comunicaciones entrantes con el
servidor web a través del puerto 80. En cambio, deja abierto los cortafuegos a
cualquier tipo de comunicación con la máquina con dirección IP 10.10.10.10, que
supondremos que es la dirección IP del ordenador del administrador. Observe
como curiosidad que la primera vez se utiliza como "-s 10.10.10.10"
para permitir la entrada desde cierto origen y después "-d
10.10.10.10" para establecer a la salida la misma máquina de destino.
Elaborado por: Yadira Beltran Lopez
4.1.5. IPtables. Cortafuego
Para obtener un mínimo nivel de
seguridad, además de un fuerte sistema de permisos. Linux ofrece varias
características útiles. Entre ellas lleva incorporado Netfilter,
que es el módulo del kernel que permite configurar un firewall, sin necesidad
de instalar más programas. Con un poco de habilidad en bash scripting y
conocimientos básicos del funcionamiento de iptables (filtrado de
paquetes TCP/IP) para obtener un adecuado resultado para su servidor.
El módulo de Netfilter mantiene
simplemente en memoria una serie de reglas, designadas mediante la utilidad iptables,
para determinar si un paquete se filtra o no. Netfilter ofrece muchas más
capacidades, pero aquí la idea es simplemente filtrar los paquetes entrantes a
la computadora.
Para iniciar con IPtables use el
comando iptables -L.
En está situación iptables tiene
tres reglas configuradas. Estas cadenas son las cadenas principales de
iptables, con un significado especial que se explica a continuación.
- INPUT. Esta cadena designa a todo paquete de red que tenga como dirección de destino a la computadora local.
- FORWARD. Esta cadena es utilizada en gran parte por sistemas que sirvan de firewall para un segmento de red. Todo paquete de red que tenga como dirección destino una computadora distinta del local es renviada.
- OUTPUT. Se utiliza en ocasiones para contener o limitar los paquetes que pueden salir de una computadora.
Cuando un paquete de red llega
por el cable, Linux puede discriminar el paquete, antes de ser procesador por
un programa. Dependiendo de la situación, se ocupará una de las tres cadenas
principales antes listadas y se procesarán por los filtros configurados. Se
pueden crear cadenas de usuario que se agregan a la cadena principal. Esto es
útil para mejorar la configuración del firewall.
Se definirá que por defecto se confié
en los paquetes generados por la computadora, pero denegamos todo lo demás.
Referencia
http://geneura.ugr.es/~gustavo/cortafuegos/filtrado.html
Beltrán López Yadira
Martínez Hernández José Alfredo
8° “D”
4.2. Redes Privadas Virtuales
Una VPN es una tecnología de red que permite una extensión
de la red local sobre una red pública o no controlada, como por ejemplo
Internet.
El ejemplo más común es la posibilidad de conectar dos o más
sucursales de una empresa utilizando como vínculo Internet, permitir a los
miembros del equipo de soporte técnico la conexión desde su casa al centro de
cómputo, o que un usuario pueda acceder a su equipo doméstico desde un sitio
remoto, como por ejemplo un hotel. Todo esto utilizando la infraestructura de
Internet.
Para hacerlo posible de manera segura es necesario proveer
los medios para garantizar la autenticación, integridad y confidencialidad de
toda la comunicación:
Autenticación y autorización: ¿Quién está del otro lado?
Usuario/equipo y qué nivel de acceso debe tener.
Integridad: La garantía de que los datos enviados no han
sido alterados. Para ello se utiliza un metodo de comparación (Hash).Los
algoritmos comunes de comparacion son Message Digest(MD) y Secure Hash
Algorithm (SHA).
Confidencialidad: Dado que los datos viajan a través de un
medio potencialmente hostil como Internet, los mismos son susceptibles de
intercepción, por lo que es fundamental el cifrado de los mismos. De este modo,
la información no debe poder ser interpretada por nadie más que los
destinatarios de la misma.Se hace uso de algoritmos de cifrado como Data
Encryption Standard (DES),Triple DES(3DES) y Advanced Encryption Standard
(AES).
No repudio, es decir un mensaje tiene que ir firmado, y el
que lo firma no puede negar que el mensaje lo envió él.
Requerimientos Básicos
Identificación de Usuario: Las VPN's (Redes Virtuales Privadas) deben verificar la identidad de los usuarios y restringir su acceso a aquellos que no se encuentren autorizados.
Codificación de Datos: Los datos que se van a transmitir a través de la red pública (Internet), antes deben ser cifrados, para que así no puedan ser leídos. Esta tarea se realiza con algoritmos de cifrado como DES o 3DES.
Administración de claves: Las VPN's deben actualizar las claves de cifrado para los usuarios.
Soporte a protocolos múltiples: Las VPN's deben manejar los protocolos comunes, como son el Protocolo de Internet (IP), intercambio de paquetes interred (IPX), etc.
Tipos de VPN
Básicamente existen tres arquitecturas de conexión VPN:
VPN de acceso remoto
Éste es quizás el modelo más usado si actualmente y consiste en usuarios o proveedores que se conectan con la empresa desde sitios remotos (oficinas comerciales, domicilios, hotel, aviones, etcétera) utilizando Internet como vínculo de acceso. Una vez autenticados tienen un nivel de acceso muy similar al que tienen en la red local de la empresa. Muchas empresas han reemplazado con esta tecnología su infraestructura 'dial-up' (módems y líneas telefónicas), aunque por razones de contingencia todavía conservan sus viejos modems. Existen excelentes equipos en el mercado.
VPN punto a punto
Este esquema se utiliza para conectar oficinas remotas con la sede central de organización. El servidor VPN, que posee un vínculo permanente a Internet, acepta las conexiones vía Internet provenientes de los sitios y establece el túnel VPN. Los servidores de las sucursales se conectan a Internet utilizando los servicios de su proveedor local de Internet, típicamente mediante conexiones de banda ancha. Esto permite eliminar los costosos vínculos punto a punto tradicionales, sobre todo en las comunicaciones internacionales.
Tunneling
Internet se construyó desde un principio como un medio inseguro. Muchos de los protocolos utilizados hoy en día para transferir datos de una máquina a otra a través de la red carecen de algún tipo de cifrado o medio de seguridad que evite que nuestras comunicaciones puedan ser interceptadas y espiadas. HTTP, FTP, POP3 y otros muchos protocolos ampliamente usados, utilizan comunicaciones que viajan en claro a través de la red. Esto supone un grave problema, en todas aquellas situaciones en las que queremos transferir entre máquinas información sensible, como pueda ser una cuenta de usuario (nombre de usuario y contraseña), y no tengamos un control absoluto sobre la red, a fin de evitar que alguien pueda interceptar nuestra comunicación por medio de la técnica del hombre en el medio (man in the middle), como es el caso de la Red de redes.
¿Qué es el tunneling?
El problema de los protocolos que envían sus datos en claro, es decir, sin cifrarlos, es que cualquier persona que tenga acceso físico a la red en la que se sitúan nuestras máquinas puede ver dichos datos. Es tan simple como utilizar un sniffer, que básicamente, es una herramienta que pone nuestra tarjeta de red en modo promiscuo (modo en el que las tarjetas de red operan aceptando todos los paquetes que circulan por la red a la que se conectan, sean o no para esa tarjeta). De este modo, alguien que conecte su máquina a una red y arranque un sniffer recibirá y podrá analizar por tanto todos los paquetes que circulen por dicha red. Si alguno de esos paquetes pertenece a un protocolo que envía sus comunicaciones en claro, y contiene información sensible, dicha información se verá comprometida.
Si por el contrario, ciframos nuestras comunicaciones con un sistema que permita entenderse sólo a las dos máquinas que queremos sean partícipes de la comunicación, cualquiera que intercepte desde una tercera máquina nuestros paquetes, no podrá hacer nada con ellos, al no poder descifrar los datos.
Una forma de evitar el problema que nos atañe, sin dejar por ello de utilizar todos aquellos protocolos que carezcan de medios de cifrado, es usar una útil técnica llamada tunneling. Básicamente, esta técnica consiste en abrir conexiones entre dos máquinas por medio de un protocolo seguro, como puede ser SSH (Secure SHell), a través de las cuales realizaremos las transferencias inseguras, que pasarán de este modo a ser seguras. De esta analogía viene el nombre de la técnica, siendo la conexión segura (en este caso de ssh) el túnel por el cual enviamos nuestros datos para que nadie más aparte de los interlocutores que se sitúan a cada extremo del túnel, pueda ver dichos datos. Ni que decir tiene, que este tipo de técnica requiere de forma imprescindible que tengamos una cuenta de acceso seguro en la máquina con la que nos queremos comunicar.
VPN interna WLAN
Este esquema es el menos difundido pero uno de los más poderosos para utilizar dentro de la empresa. Es una variante del tipo "acceso remoto" pero, en vez de utilizar Internet como medio de conexión, emplea la misma red de área local (LAN) de la empresa. Sirve para aislar zonas y servicios de la red interna. Esta capacidad lo hace muy conveniente para mejorar las prestaciones de seguridad de las redes inalámbricas (WiFi).
Un ejemplo muy clásico es un servidor con información sensible, como las nóminas de sueldos, ubicado detrás de un equipo VPN, el cual provee autenticación adicional más el agregado del cifrado, haciendo posible que sólo el personal de RRHH habilitado pueda acceder a la información.
Identificación de Usuario: Las VPN's (Redes Virtuales Privadas) deben verificar la identidad de los usuarios y restringir su acceso a aquellos que no se encuentren autorizados.
Codificación de Datos: Los datos que se van a transmitir a través de la red pública (Internet), antes deben ser cifrados, para que así no puedan ser leídos. Esta tarea se realiza con algoritmos de cifrado como DES o 3DES.
Administración de claves: Las VPN's deben actualizar las claves de cifrado para los usuarios.
Soporte a protocolos múltiples: Las VPN's deben manejar los protocolos comunes, como son el Protocolo de Internet (IP), intercambio de paquetes interred (IPX), etc.
Tipos de VPN
Básicamente existen tres arquitecturas de conexión VPN:
VPN de acceso remoto
Éste es quizás el modelo más usado si actualmente y consiste en usuarios o proveedores que se conectan con la empresa desde sitios remotos (oficinas comerciales, domicilios, hotel, aviones, etcétera) utilizando Internet como vínculo de acceso. Una vez autenticados tienen un nivel de acceso muy similar al que tienen en la red local de la empresa. Muchas empresas han reemplazado con esta tecnología su infraestructura 'dial-up' (módems y líneas telefónicas), aunque por razones de contingencia todavía conservan sus viejos modems. Existen excelentes equipos en el mercado.
VPN punto a punto
Este esquema se utiliza para conectar oficinas remotas con la sede central de organización. El servidor VPN, que posee un vínculo permanente a Internet, acepta las conexiones vía Internet provenientes de los sitios y establece el túnel VPN. Los servidores de las sucursales se conectan a Internet utilizando los servicios de su proveedor local de Internet, típicamente mediante conexiones de banda ancha. Esto permite eliminar los costosos vínculos punto a punto tradicionales, sobre todo en las comunicaciones internacionales.
Tunneling
Internet se construyó desde un principio como un medio inseguro. Muchos de los protocolos utilizados hoy en día para transferir datos de una máquina a otra a través de la red carecen de algún tipo de cifrado o medio de seguridad que evite que nuestras comunicaciones puedan ser interceptadas y espiadas. HTTP, FTP, POP3 y otros muchos protocolos ampliamente usados, utilizan comunicaciones que viajan en claro a través de la red. Esto supone un grave problema, en todas aquellas situaciones en las que queremos transferir entre máquinas información sensible, como pueda ser una cuenta de usuario (nombre de usuario y contraseña), y no tengamos un control absoluto sobre la red, a fin de evitar que alguien pueda interceptar nuestra comunicación por medio de la técnica del hombre en el medio (man in the middle), como es el caso de la Red de redes.
¿Qué es el tunneling?
El problema de los protocolos que envían sus datos en claro, es decir, sin cifrarlos, es que cualquier persona que tenga acceso físico a la red en la que se sitúan nuestras máquinas puede ver dichos datos. Es tan simple como utilizar un sniffer, que básicamente, es una herramienta que pone nuestra tarjeta de red en modo promiscuo (modo en el que las tarjetas de red operan aceptando todos los paquetes que circulan por la red a la que se conectan, sean o no para esa tarjeta). De este modo, alguien que conecte su máquina a una red y arranque un sniffer recibirá y podrá analizar por tanto todos los paquetes que circulen por dicha red. Si alguno de esos paquetes pertenece a un protocolo que envía sus comunicaciones en claro, y contiene información sensible, dicha información se verá comprometida.
Si por el contrario, ciframos nuestras comunicaciones con un sistema que permita entenderse sólo a las dos máquinas que queremos sean partícipes de la comunicación, cualquiera que intercepte desde una tercera máquina nuestros paquetes, no podrá hacer nada con ellos, al no poder descifrar los datos.
Una forma de evitar el problema que nos atañe, sin dejar por ello de utilizar todos aquellos protocolos que carezcan de medios de cifrado, es usar una útil técnica llamada tunneling. Básicamente, esta técnica consiste en abrir conexiones entre dos máquinas por medio de un protocolo seguro, como puede ser SSH (Secure SHell), a través de las cuales realizaremos las transferencias inseguras, que pasarán de este modo a ser seguras. De esta analogía viene el nombre de la técnica, siendo la conexión segura (en este caso de ssh) el túnel por el cual enviamos nuestros datos para que nadie más aparte de los interlocutores que se sitúan a cada extremo del túnel, pueda ver dichos datos. Ni que decir tiene, que este tipo de técnica requiere de forma imprescindible que tengamos una cuenta de acceso seguro en la máquina con la que nos queremos comunicar.
VPN interna WLAN
Este esquema es el menos difundido pero uno de los más poderosos para utilizar dentro de la empresa. Es una variante del tipo "acceso remoto" pero, en vez de utilizar Internet como medio de conexión, emplea la misma red de área local (LAN) de la empresa. Sirve para aislar zonas y servicios de la red interna. Esta capacidad lo hace muy conveniente para mejorar las prestaciones de seguridad de las redes inalámbricas (WiFi).
Un ejemplo muy clásico es un servidor con información sensible, como las nóminas de sueldos, ubicado detrás de un equipo VPN, el cual provee autenticación adicional más el agregado del cifrado, haciendo posible que sólo el personal de RRHH habilitado pueda acceder a la información.
Elaborado por Fermin Martinez Arce y Zaira Martinez Winkler
4.2.1.1 Protocolos de redes privadas virtuales
En una red privada virtual todos los usuarios parecen estar en el mismo segmento de LAN, pero en realidad están a varias redes (generalmente públicas) de distancia.
Para lograr esta funcionalidad, la tecnología de redes seguras, privadas y virtuales debe completar tres tareas: primero, deben ser capaces de pasar paquetes IP a través de un túnel en la red pública, de manera que dos segmentos de LAN remotos no parezcan estar separados por una red pública; la solución debe agregar encriptación, de manera que el tráfico que cruce por la red pública no pueda ser espiado, interceptado, leído o modificado; y por último, la solución debe ser capaz de autenticar positivamente cualquier extremo del enlace de comunicación, de modo que un adversario no pueda acceder a los recursos del sistema.
Una definición simple es que se trata de una red de comunicaciones privada implementada sobre una infraestructura pública.
Las
razones que impulsan al mercado en ese sentido son, fundamentalmente,
de costos: es mucho más barato interconectar filiales utilizando una
infraestructura pública que despliega una red físicamente privada. Por
otro lado, como es lógico, es necesario exigir ciertos criterios de
privacidad y seguridad, por lo que normalmente debemos recurrir al uso
de la criptografía.
Una red privada virtual conecta los componentes de una red sobre otra red. Las VPN logran esto al permitir que el usuario haga un túnel a través de Internet u otra red pública, de manera que permita a los participantes del túnel disfrutar de la misma seguridad y funciones que antes sólo estaban disponibles en las redes privadas
Las VPN permiten a los usuarios que trabajan en el hogar o en el camino conectarse en una forma segura a un servidor corporativo remoto, mediante la infraestructura de entubamiento que proporciona una red pública(como Internet).
Desde la perspectiva del usuario la VPN es una conexión de punto a punto entre la computadora del usuario y un servidor corporativo. Por su parte, la naturaleza de la red intermedia es irrelevante para el usuario, debido a que aparece enviando como si los datos se estuvieran enviando sobre un enlace privado dedicado.
La tecnología VPN también permite que una compañía se conecte a las sucursales o a otras compañías (extranets) sobre una red pública (como Internet), manteniendo al mismo tiempo comunicaciones seguras.
La tecnología de la VPN está diseñada para tratar temas relacionados con la tendencia actual de negocios hacia mayores telecomunicaciones, operaciones globales ampliamente distribuidas y operaciones con una alta interdependencia de socios, donde los trabajadores deben conectarse a recursos centrales y entre sí.
Para proporcionar a los empleados la capacidad de conectarse a recursos de computo corporativos sin importar su ubicación, una compañía debe instalar una solución de acceso remoto que sea confiable y escalaba. Por lo común, las compañías eligen una solución basada en un departamento de sistemas que está encargado de adquirir, instalar y mantener los conjuntos de módems corporativos y la infraestructura de red privada; también eligen una solución de Red de valor agregado (VAN), donde contratan a una compañía externa para adquirir, instalar y mantener los conjuntos de módems y una infraestructura de telecomunicaciones.
Sin embargo, ninguna de estas soluciones proporciona la escalabilidad necesaria en términos de costo, la flexibilidad de la administración y gestión, así como la demanda de conexiones. Por tanto, tiene sentido encontrar un terreno intermedio donde la organización complemente sus inversiones actuales en conjuntos de módems y su infraestructura de red privada, con una solución menos costosa basada en tecnología de Internet. De esta manera, las empresas se pueden enfocar a su negocio principal con la garantía de que nunca se comprometerá su accesibilidad y que se instalen las soluciones más económicas.
La disponibilidad de una solución de Internet permite pocas conexiones a Internet (a través de Proveedores independientes de servicio, PSI) y la implementación de varias computadoras de servidor VPN en el borde de la red, a fin de dar servicio a las necesidades remotas de red de cientos o miles de clientes y sucursales remotas.
¿POR QUÉ USAR UNA VPN?
Las redes privadas virtuales surgen como una alternativa a los servicios de comunicaciones tradicionales de red amplia (WAN) de enlaces dedicados.
Este tipo de comunicaciones presentan múltiples ventajas y beneficios para los usuarios:
Bajo costo. Reduce el costo del servicio de comunicación o del ancho de banda de transporte, y también el de la infraestructura y operación de las comunicaciones.
Flexibilidad. Se puede optar por múltiples tecnologías o proveedores de servicio. Esa independencia posibilita que la red se adapte a los requerimientos de los negocios, y se puede elegir el medio de acceso más adecuado. Por ejemplo, si se trata de una pequeña oficina remota, se puede utilizar acceso discado, ISDN, xDSL o cable módem.
Implementación rápida. El tiempo de implementación de un "backbone" de WAN para una empresa es muy alto frente a la implementación de una red privada virtual sobre un "backbone" ya existente de un proveedor de servicio. Más aún, la flexibilidad de esta arquitectura permite implementar nuevos servicios de manera muy rápida, que concuerdan con los tiempos del negocio de la empresa.
Escalabilidad. El desarrollo masivo de redes como Internet permite que la empresa tenga puntos de presencia en todo tipo de lugares. Por otro lado, la independencia con respecto a la tecnología de acceso posibilita escalar el ancho de banda de la red de acuerdo con el requerimiento del usuario. Además, la escalabilidad de la red no incide en la operatoria y gestión de ésta, dado que la infraestructura de la WAN es responsabilidad del proveedor del servicio.
TIPOS DE REDES VIRTUALES PRIVADAS
Las redes privadas virtuales se dividen en 3 categorías de acuerdo con el servicio de conectividad que brinden:
VPN de Acceso Remoto.
(Remote Acces VPNs). Provee acceso remoto a la intranet o extranet corporativo a través de una infraestructura pública, conservando las mismas políticas, como seguridad y calidad de servicio, que en la red privada. Permite el uso de múltiples tecnologías como discado, ISDN, xDSL, cable, o IP para la conexión segura de usuarios móviles, telecommuterso sucursales remotas a los recursos corporativos (ver figura1 "VPN de acceso").
Características:
· Outsourcing de acceso remoto
· llamadas locales o gratuitas (n° 900)
· ubicuidad del acceso
· Instalación y soporte del PS (Proveedor de servicio)
· Acceso único al nodo central (elimina la competencia por puertos)
· Tecnologías de acceso RTC, ISDN, xDSL
· Movilidad IP
· Seguridad reforzada por el cliente
- AAA en el ISP proporciona 1° y posiblemente 2° nivel de seguridad.
VPN de Intranet.
Vincula la oficina remota o sucursal a la red corporativa, a través de una red pública, mediante enlace dedicado al proveedor de servicio. La VPN goza de las mismas cualidades que la red privada: seguridad, calidad de servicio y disponibilidad, entre otras (ver figura 2. "Intranet VPN").
Característica:
· Extiende el modelo IP a través de la WAN compartida.
VPN de Extranet.
Permite la conexión de clientes, proveedores, distribuidores o demás comunidades de interés a la intranet corporativa a través de una red pública (ver figura "Extranet VPN").
Características:
· Extiende la conectividad a proveedores y clientes
· sobre una infraestructura compartida
· usando conexiones virtuales dedicadas
· Los pharters tienen diferentes niveles de autorización
· accses control lists, firewalls, filtros, según decida la empresa
TECNOLOGÍA DE LAS REDES PRIVADAS VIRTUALES
La arquitectura de las VPNs se debe basar en elementos esenciales de la tecnología para proteger la privacidad, mantener la calidad y confibilidad, y asegurar la operatoria de la red en toda la empresa. Estos elementos son:
Seguridad: uso de túneles, encripción de datos, autenticación de usuarios y paquetes, control de acceso.
Calidad de Servicio: uso de colas, manejo de congestión de red, priorización de tráfico, clasificación de paquetes.
Gestión: implementación y mantenimiento de las políticas de seguridad y calidad de servicio a lo largo de la VPN.
Seguridad en las VPNs
Un punto fundamental es el particionamiento de las redes públicas o de uso compartido para implementar las VPN que son disjuntas. Esto se logra mediante el uso de túneles que no son ni más ni menos que técnicas de encapsulado del tráfico. Las técnicas que se utilizan son: GRE, que permite que cualquier protocolo sea transportado entre dos puntos de la red encapsulado en otro protocolo, típicamente IP; L2TP que permite el armado de túneles para las sesiones PPP remotas, y por último IPSec para la generación de túneles con autenticación y encriptado de datos.
La calidad de servicio permite la asignación eficiente de los recursos de la red pública a las distintas VPNs para que obtengan una performance predecible. A su vez, las VPNs asignarán distintas políticas de calidad de servicio a sus usuarios, aplicaciones o servicios. Las componentes tecnológicas básicas son:
Clasificación de Paquetes: asignación de prioridades a los paquetes basados en la política corporativa. Se pueden definir hasta siete clases de prioridades utilizando el campo de IP precedence dentro del encabezado del paquete IP.
Committed Access Rate (CAR): garantiza un ancho de banda mínimo para aplicaciones o usuarios basándose en la política corporativa.
Weighted Fair Queuing (WFQ): determina la velocidad de salida de los paquetes en base a la prioridad asignada a éstos, mediante el encolado de los paquetes.
Weighted Random Early Detection (WRED): complementa las funciones de TCP en la prevención y manejo de la congestión de la red, mediante el descarte de paquetes de baja prioridad.
Generic Traffic Shaping (GTS): reduce la velocidad de salida de los paquetes con el fin de reducir posibles congestiones de la red que tengan como consecuencia el descarte de paquetes.
Una red privada virtual conecta los componentes de una red sobre otra red. Las VPN logran esto al permitir que el usuario haga un túnel a través de Internet u otra red pública, de manera que permita a los participantes del túnel disfrutar de la misma seguridad y funciones que antes sólo estaban disponibles en las redes privadas
Las VPN permiten a los usuarios que trabajan en el hogar o en el camino conectarse en una forma segura a un servidor corporativo remoto, mediante la infraestructura de entubamiento que proporciona una red pública(como Internet).
Desde la perspectiva del usuario la VPN es una conexión de punto a punto entre la computadora del usuario y un servidor corporativo. Por su parte, la naturaleza de la red intermedia es irrelevante para el usuario, debido a que aparece enviando como si los datos se estuvieran enviando sobre un enlace privado dedicado.
La tecnología VPN también permite que una compañía se conecte a las sucursales o a otras compañías (extranets) sobre una red pública (como Internet), manteniendo al mismo tiempo comunicaciones seguras.
La tecnología de la VPN está diseñada para tratar temas relacionados con la tendencia actual de negocios hacia mayores telecomunicaciones, operaciones globales ampliamente distribuidas y operaciones con una alta interdependencia de socios, donde los trabajadores deben conectarse a recursos centrales y entre sí.
Para proporcionar a los empleados la capacidad de conectarse a recursos de computo corporativos sin importar su ubicación, una compañía debe instalar una solución de acceso remoto que sea confiable y escalaba. Por lo común, las compañías eligen una solución basada en un departamento de sistemas que está encargado de adquirir, instalar y mantener los conjuntos de módems corporativos y la infraestructura de red privada; también eligen una solución de Red de valor agregado (VAN), donde contratan a una compañía externa para adquirir, instalar y mantener los conjuntos de módems y una infraestructura de telecomunicaciones.
Sin embargo, ninguna de estas soluciones proporciona la escalabilidad necesaria en términos de costo, la flexibilidad de la administración y gestión, así como la demanda de conexiones. Por tanto, tiene sentido encontrar un terreno intermedio donde la organización complemente sus inversiones actuales en conjuntos de módems y su infraestructura de red privada, con una solución menos costosa basada en tecnología de Internet. De esta manera, las empresas se pueden enfocar a su negocio principal con la garantía de que nunca se comprometerá su accesibilidad y que se instalen las soluciones más económicas.
La disponibilidad de una solución de Internet permite pocas conexiones a Internet (a través de Proveedores independientes de servicio, PSI) y la implementación de varias computadoras de servidor VPN en el borde de la red, a fin de dar servicio a las necesidades remotas de red de cientos o miles de clientes y sucursales remotas.
¿POR QUÉ USAR UNA VPN?
Las redes privadas virtuales surgen como una alternativa a los servicios de comunicaciones tradicionales de red amplia (WAN) de enlaces dedicados.
Este tipo de comunicaciones presentan múltiples ventajas y beneficios para los usuarios:
Bajo costo. Reduce el costo del servicio de comunicación o del ancho de banda de transporte, y también el de la infraestructura y operación de las comunicaciones.
Flexibilidad. Se puede optar por múltiples tecnologías o proveedores de servicio. Esa independencia posibilita que la red se adapte a los requerimientos de los negocios, y se puede elegir el medio de acceso más adecuado. Por ejemplo, si se trata de una pequeña oficina remota, se puede utilizar acceso discado, ISDN, xDSL o cable módem.
Implementación rápida. El tiempo de implementación de un "backbone" de WAN para una empresa es muy alto frente a la implementación de una red privada virtual sobre un "backbone" ya existente de un proveedor de servicio. Más aún, la flexibilidad de esta arquitectura permite implementar nuevos servicios de manera muy rápida, que concuerdan con los tiempos del negocio de la empresa.
Escalabilidad. El desarrollo masivo de redes como Internet permite que la empresa tenga puntos de presencia en todo tipo de lugares. Por otro lado, la independencia con respecto a la tecnología de acceso posibilita escalar el ancho de banda de la red de acuerdo con el requerimiento del usuario. Además, la escalabilidad de la red no incide en la operatoria y gestión de ésta, dado que la infraestructura de la WAN es responsabilidad del proveedor del servicio.
TIPOS DE REDES VIRTUALES PRIVADAS
Las redes privadas virtuales se dividen en 3 categorías de acuerdo con el servicio de conectividad que brinden:
VPN de Acceso Remoto.
(Remote Acces VPNs). Provee acceso remoto a la intranet o extranet corporativo a través de una infraestructura pública, conservando las mismas políticas, como seguridad y calidad de servicio, que en la red privada. Permite el uso de múltiples tecnologías como discado, ISDN, xDSL, cable, o IP para la conexión segura de usuarios móviles, telecommuterso sucursales remotas a los recursos corporativos (ver figura1 "VPN de acceso").
Características:
· Outsourcing de acceso remoto
· llamadas locales o gratuitas (n° 900)
· ubicuidad del acceso
· Instalación y soporte del PS (Proveedor de servicio)
· Acceso único al nodo central (elimina la competencia por puertos)
· Tecnologías de acceso RTC, ISDN, xDSL
· Movilidad IP
· Seguridad reforzada por el cliente
- AAA en el ISP proporciona 1° y posiblemente 2° nivel de seguridad.
VPN de Intranet.
Vincula la oficina remota o sucursal a la red corporativa, a través de una red pública, mediante enlace dedicado al proveedor de servicio. La VPN goza de las mismas cualidades que la red privada: seguridad, calidad de servicio y disponibilidad, entre otras (ver figura 2. "Intranet VPN").
Característica:
· Extiende el modelo IP a través de la WAN compartida.
VPN de Extranet.
Permite la conexión de clientes, proveedores, distribuidores o demás comunidades de interés a la intranet corporativa a través de una red pública (ver figura "Extranet VPN").
Características:
· Extiende la conectividad a proveedores y clientes
· sobre una infraestructura compartida
· usando conexiones virtuales dedicadas
· Los pharters tienen diferentes niveles de autorización
· accses control lists, firewalls, filtros, según decida la empresa
TECNOLOGÍA DE LAS REDES PRIVADAS VIRTUALES
La arquitectura de las VPNs se debe basar en elementos esenciales de la tecnología para proteger la privacidad, mantener la calidad y confibilidad, y asegurar la operatoria de la red en toda la empresa. Estos elementos son:
Seguridad: uso de túneles, encripción de datos, autenticación de usuarios y paquetes, control de acceso.
Calidad de Servicio: uso de colas, manejo de congestión de red, priorización de tráfico, clasificación de paquetes.
Gestión: implementación y mantenimiento de las políticas de seguridad y calidad de servicio a lo largo de la VPN.
Seguridad en las VPNs
Un punto fundamental es el particionamiento de las redes públicas o de uso compartido para implementar las VPN que son disjuntas. Esto se logra mediante el uso de túneles que no son ni más ni menos que técnicas de encapsulado del tráfico. Las técnicas que se utilizan son: GRE, que permite que cualquier protocolo sea transportado entre dos puntos de la red encapsulado en otro protocolo, típicamente IP; L2TP que permite el armado de túneles para las sesiones PPP remotas, y por último IPSec para la generación de túneles con autenticación y encriptado de datos.
La calidad de servicio permite la asignación eficiente de los recursos de la red pública a las distintas VPNs para que obtengan una performance predecible. A su vez, las VPNs asignarán distintas políticas de calidad de servicio a sus usuarios, aplicaciones o servicios. Las componentes tecnológicas básicas son:
Clasificación de Paquetes: asignación de prioridades a los paquetes basados en la política corporativa. Se pueden definir hasta siete clases de prioridades utilizando el campo de IP precedence dentro del encabezado del paquete IP.
Committed Access Rate (CAR): garantiza un ancho de banda mínimo para aplicaciones o usuarios basándose en la política corporativa.
Weighted Fair Queuing (WFQ): determina la velocidad de salida de los paquetes en base a la prioridad asignada a éstos, mediante el encolado de los paquetes.
Weighted Random Early Detection (WRED): complementa las funciones de TCP en la prevención y manejo de la congestión de la red, mediante el descarte de paquetes de baja prioridad.
Generic Traffic Shaping (GTS): reduce la velocidad de salida de los paquetes con el fin de reducir posibles congestiones de la red que tengan como consecuencia el descarte de paquetes.
Elaborado por Lilian Sanchez Carrion y Rodrigo Salinas Garcia
4.2.1.2 PPTP
PPTP (POINT – TO - POINT TUNNELING PROTOCOL)
Protocolo de túnel de punto a punto (PPTP): El PPTP es un protocolo de Nivel 2 que encapsula las tramas del PPP en datagramas del IP para transmisión sobre una red IP, como la de Internet.El PPTP se documenta en el RFC preliminar, “Protocolo de túnel de punto a punto”.
Este proyecto se presentó ante el IETF en junio de 1996 por parte de las compañías miembros del Foro PPTP incluyendo Microsoft Corporation, Ascend Communications,3Com/Primary Access, ECI Telematics y US Robotics (ahora 3Com).
PPTP agrega un nuevo nivel de seguridad mejorada y comunicaciones multiprotocolo a través de Internet. Si se utiliza el nuevo Protocolo de autenticación extensible (EAP, Extensible Authentication Protocol) con métodos de autenticación seguros como los certificados, la transferencia de datos a través de una conexión VPN con PPTP es tan segura como en una LAN de un sitio corporativo.
Protocolo de túnel de punto a punto (PPTP) utiliza una conexión TCP para mantenimiento del túnel y tramas del PPP encapsuladas de Encapsulación de Enrutamiento Genérico (GRE) para datos de túnel (puerto 1723). Se pueden encriptar y/o comprimir las cargas útiles de las tramas del PPP encapsulado.
Una vez que la conexión TCP está establecida, PPTP utiliza una serie de mensajes de control para mantener la conexión VPN.
Algunos de estos mensajes son los siguientes:
1. StartControlConnectionRequest: Inicia la configuración de la sesión VPN; puede ser enviado tanto por el cliente como por el servidor.
2. StartControlConnectionReply: Enviado en respuesta a (1). Contiene información que indica el éxito o el fracaso de la operación de configuración y del número de versión del protocolo.
3. StopControlConnectionRequest: Petición de cerrar la conexión de control.
En cuanto a la seguridad en PPTP, soporta autenticación (usa para ello protocolos basados en PPP, tales como EAP, CHAP y PAP), encriptación y filtrado de paquetes. PPTP depende de la funcionalidad de PPP para autentificar a los usuarios y mantener la conexión remota dial up y para encapsular y encriptar los paquetes IP, IPX o NeTBEUI pero se encarga directamente del mantenimiento del túnel VPN y de transmitir los datos a través del túnel. PPTP además tiene algunas características adicionales de seguridad aparte de la que provee PPP.
La popularidad de PPTP se debe en gran parte a Microsoft, ya que los clientes PPTP están disponibles en Windows.
La actualización de PPTP para las plataformas Microsoft viene por parte de L2TP o IPSec. Su adopción es lenta porque PPTP es fácil de configurar, mientras L2TP requiere certificados de clave pública, e IPSec es complejo y poco soportado por plataformas antiguas como Windows 98 y Windows Me.
REALIZADO POR: FELIPE DE JESUS RUIZ LANDEROS
4.2.1.3 L2TP/IPSec
L2TP (LAYER 2 TUNNELING PROTOCOL)
L2TP fue creado como el sucesor de PPTP y L2F. Las dos compañías abanderadas de cada uno de estos protocolos, Microsoft por PPTP y Cisco por L2F, acordaron trabajar en conjunto para la creación de un único protocolo de capa 2 y así lograr su estandarización por parte de la IETF.
Como PPTP, L2F fue diseñado como un protocolo de entunelamiento usando para ello encapsulamiento de cabeceras.
· Una de las grandes diferencias entre PPTP y L2F, es que el entunelamiento de este último no depende de IP y GRE, permitiéndole trabajar con otros medios físicos por ejemplo Frame Relay.
Paralelamente al diseño de PPTP, L2F utilizó PPP para autenticación de usuarios accediendo vía telefónica conmutada, pero también incluyó soporte para TACACS+ y Radius.
· Otra gran diferencia de L2F con respecto a PPTP es que permite que un único túnel soporte más de una conexión. Hay dos niveles de autenticación del usuario:
Primero, por el ISP antes de crear el túnel.
Segundo, cuando la conexión está configurada y la autenticación la realiza el gateway corporativo.
Todas las anteriores características de L2F han sido transportadas a L2TP. Como PPTP, L2TP utiliza la funcionalidad de PPP para proveer acceso conmutado que puede ser tunelizado a través de Internet a un sitio destino. Sin embargo, como se ha mencionado anteriormente, L2TP define su propio protocolo de entunelamiento basado en L2F permitiendo transporte sobre una amplia variedad de medios de empaquetamiento tales como X.25, Frame Relay y ATM.
Dado que L2TP es un protocolo de capa 2, ofrece a los usuarios la misma flexibilidad de PPTP de soportar otros protocolos aparte de IP, tales como IPX y NETBEUI.
Puesto que L2TP usa PPTP en enlaces conmutados, incluye mecanismos de autenticación nativos de PPP como PAP y CHAP.
Microsoft incluye L2TP a partir del sistema operativo Windows 2000, ya que las mejoras de L2TP con respecto a PPTP saltan a la vista.
El L2TP sobre las redes IP utiliza UDP y una serie de mensajes del L2TP para el mantenimiento del túnel. El L2TP también utiliza UDP para enviar tramas del PPP encapsuladas del L2TP como los datos enviados por el túnel. Se pueden encriptar y/o comprimir las cargas útiles de las tramas PPP encapsuladas
IPSEC
En IPv4 no se desarrollaron mecanismos de seguridad inherentes al protocolo, por tanto, protocolos y procedimientos adicionales a IPv4 fueron necesarios para brindar servicios de seguridad a los datos.
IPSec es un conjunto de protocolos diseñados para proveer seguridad basada en criptografía robusta para IPv4 e IPv6, de hecho IPSec está incluido en IPv6.
Entre los servicios de seguridad definidos en IPSec se encuentran, control de acceso, integridad de datos, autenticación del origen de los datos, protección anti - repetición y confidencialidad en los datos.
Entre las ventajas de IPSec están la modularidad del protocolo, ya que no depende de un algoritmo criptográfico específico.
IPSec está compuesto por tres componentes básicos:
1. los protocolos de seguridad (AH y ESP),
2. las asociaciones de seguridad (SAs)
3. las bases de datos de seguridad; cada uno de los cuales, trabaja de la mano con los demás y ninguno le resta importancia al otro.
IPSec trabaja con dos bases de datos de seguridad, en una se encuentran las políticas de seguridad y en la otra las asociaciones de seguridad, SPD (Security Policy Database) y SAD (Security Association Database) respectivamente.
El administrador de políticas define un conjunto de servicios de seguridad para ser aplicados al tráfico IP tanto entrante como saliente. Esas políticas son guardadas en las SPDs y son usadas por las SAs cuando éstas se crean. Todas las
SAs son registradas en la SAD.
La base de datos de asociaciones de seguridad almacenan todos los parámetros concernientes las SAs, cada una de ellas tiene una entrada en la SAD donde se especifican todos los parámetros necesarios para que IPSec realice el procesamiento de paquetes IP que son gobernados por esa SA. Entre los parámetros que se encuentran en una SAD se tienen:
• El índice de parámetro de seguridad.
• El protocolo a ser usado por la SA (ESP o AH).
• El modo en el cual el protocolo es operado (túnel o transporte).
• Un contador numérico secuencial.
• La dirección IP fuente y destino de la SA.
• El algoritmo de autenticación y la llave de autenticación usadas.
• El algoritmo de cifrado y su llave.
• El tiempo de vida de las llaves de autenticación y de cifrado.
• El tiempo de vida de la SA. MD5 y SHA-1.
REALIZADOS POR: FELIPE DE JESUS RUIZ LANDERO.
4.2.1.4 IPSEC.
IPsec (abreviatura de Internet Protocol security) es un conjunto de protocolos cuya función es asegurar las comunicaciones sobre el Protocolo de Internet (IP) autenticando y/o cifrando cada paquete IP en un flujo de datos. IPsec también incluye protocolos para el establecimiento de claves de cifrado.
Los protocolos de IPsec actúan en la capa de red, la capa 3 del modelo OSI. Otros protocolos de seguridad para Internet de uso extendido, como SSL, TLS y SSH operan de la capa de transporte (capas OSI 4 a 7) hacia arriba. Esto hace que IPsec sea más flexible, ya que puede ser utilizado para proteger protocolos de la capa 4, incluyendo TCP y UDP, los protocolos de capa de transporte más usados. Una ventaja importante de IPsec frente a SSL y otros métodos que operan en capas superiores, es que para que una aplicación pueda usar IPsec no hay que hacer ningún cambio, mientras que para usar SSL y otros protocolos de niveles superiores, las aplicaciones tienen que modificar su código.
v ARQUITECTURA DE SEGURIDAD
IPsec está implementado por un conjunto de protocolos criptográficos para (1) asegurar el flujo de paquetes, (2) garantizar la autenticación mutua y (3) establecer parámetros criptográficos.
La arquitectura de seguridad IP utiliza el concepto de asociación de seguridad (SA) como base para construir funciones de seguridad en IP. Una asociación de seguridad es simplemente el paquete de algoritmos y parámetros (tales como las claves) que se está usando para cifrar y autenticar un flujo particular en una dirección. Por lo tanto, en el tráfico normal bidireccional, los flujos son asegurados por un par de asociaciones de seguridad. La decisión final de los algoritmos de cifrado y autenticación (de una lista definida) le corresponde al administrador de IPsec.
Para decidir qué protección se va a proporcionar a un paquete saliente, IPsec utiliza el índice de parámetro de seguridad (SPI), un índice a la base de datos de asociaciones de seguridad (SADB), junto con la dirección de destino de la cabecera del paquete, que juntos identifican de forma única una asociación de seguridad para dicho paquete. Para un paquete entrante se realiza un procedimiento similar; en este caso IPsec toma las claves de verificación y descifrado de la base de datos de asociaciones de seguridad.
En el caso de multicast, se proporciona una asociación de seguridad al grupo, y se duplica para todos los receptores autorizados del grupo. Puede haber más de una asociación de seguridad para un grupo, utilizando diferentes SPIs, y por ello permitiendo múltiples niveles y conjuntos de seguridad dentro de un grupo. De hecho, cada remitente puede tener múltiples asociaciones de seguridad, permitiendo autenticación, ya que un receptor sólo puede saber que alguien que conoce las claves ha enviado los datos. Hay que observar que el estándar pertinente no describe cómo se elige y duplica la asociación a través del grupo; se asume que un interesado responsable habrá hecho la elección..
v PROPÓSITO DE DISEÑO
IPsec fue proyectado para proporcionar seguridad en modo transporte (extremo a extremo) del tráfico de paquetes, en el que los ordenadores de los extremos finales realizan el procesado de seguridad, o en modo túnel (puerta a puerta) en el que la seguridad del tráfico de paquetes es proporcionada a varias máquinas (incluso a toda la red de área local) por un único nodo.
IPsec puede utilizarse para crear VPNs en los dos modos, y este es su uso principal. Hay que tener en cuenta, sin embargo, que las implicaciones de seguridad son bastante diferentes entre los dos modos de operación.
La seguridad de comunicaciones extremo a extremo a escala Internet se ha desarrollado más lentamente de lo esperado. Parte de la razón a esto es que no ha surgido infraestructura de clave pública universal o universalmente de confianza (DNSSEC fue originalmente previsto para esto); otra parte es que muchos usuarios no comprenden lo suficientemente bien ni sus necesidades ni las opciones disponibles como para promover su inclusión en los productos de los vendedores.
Como el Protocolo de Internet no provee intrínsecamente de ninguna capacidad de seguridad, IPsec se introdujo para proporcionar servicios de seguridad tales como:
Cifrar el tráfico (de forma que no pueda ser leído por nadie más que las partes a las que está dirigido)
Validación de integridad (asegurar que el tráfico no ha sido modificado a lo largo de su trayecto)
Autenticar a los extremos (asegurar que el tráfico proviene de un extremo de confianza)
Anti-repetición (proteger contra la repetición de la sesión segura).
v MODOS
Así pues y dependiendo del nivel sobre el que se actúe, podemos establecer dos modos básicos de operación de IPsec: modo transporte y modo túnel.
ü MODO TRANSPORTE.
En modo transporte, sólo la carga útil (los datos que se transfieren) del paquete IP es cifrada o autenticada. El enrutamiento permanece intacto, ya que no se modifica ni se cifra la cabecera IP; sin embargo, cuando se utiliza la cabecera de autenticación (AH), las direcciones IP no pueden ser traducidas, ya que eso invalidaría el hash. Las capas de transporte y aplicación están siempre aseguradas por un hash, de forma que no pueden ser modificadas de ninguna manera (por ejemplo traduciendo los números de puerto TCP y UDP). El modo transporte se utiliza para comunicaciones ordenador a ordenador.
Una forma de encapsular mensajes IPsec para atravesar NAT ha sido definido por RFCs que describen el mecanismo de NAT transversal.
ü MODO TÚNEL
En el modo túnel, todo el paquete IP (datos más cabeceras del mensaje) es cifrado o autenticado. Debe ser entonces encapsulado en un nuevo paquete IP para que funcione el enrutamiento. El modo túnel se utiliza para comunicaciones red a red (túneles seguros entre routers, p.e. para VPNs) o comunicaciones ordenador a red u ordenador a ordenador sobre Internet.
Detalles técnicos
IPsec consta de dos protocolos que han sido desarrollados para proporcionar seguridad a nivel de paquete, tanto para IPv4 como para IPv6:
Authentication Header (AH) proporciona integridad, autenticación y no repudio si se eligen los algoritmos criptográficos apropiados.
Encapsulating Security Payload (ESP) proporciona confidencialidad y la opción -altamente recomendable- de autenticación y protección de integridad.
Los algoritmos criptográficos definidos para usar con IPsec incluyen HMAC- SHA-1 para protección de integridad, y Triple DES-CBC y AES-CBC para confidencialidad. Más detalles en la RFC 4305.
REALIZADOS POR: LUCIA HERNANDEZ HERNANDEZ.
No hay comentarios:
Publicar un comentario