ESCUELA SUPERIOR DE INGENIERÍA MECÁNICA Y ELÉCTRICA … · 2017. 5. 25. · Se considera que...
189
INSTITUTO POLITÉCNICO NACIONAL ESCUELA SUPERIOR DE INGENIERÍA MECÁNICA Y ELÉCTRICA UNIDADAD CULHUACAN TESIS “CORTAFUEGOS Y SEGURIDAD EN EL INTERNET” Que como prueba escrita de su examen profesional para obtener el Título de: Ingeniero en Comunicaciones y Electrónica Presenta: Asesores México D.F FEBRERO 2014. EDGAR VICENTE JIMÉNEZ ÁVILA Ing. Gustavo Mendoza Campeche Lic. Martha Guadalupe Hernández Cuellar
Transcript of ESCUELA SUPERIOR DE INGENIERÍA MECÁNICA Y ELÉCTRICA … · 2017. 5. 25. · Se considera que...
INSTITUTO POLITÉCNICO NACIONAL
ESCUELA SUPERIOR DE INGENIERÍA MECÁNICA Y ELÉCTRICA
UNIDADAD CULHUACAN
TESIS
“CORTAFUEGOS Y SEGURIDAD EN EL INTERNET”
Que como prueba escrita de su examen profesional
para obtener el Título de:
Ingeniero en Comunicaciones y Electrónica
Presenta:
Asesores
México D.F FEBRERO 2014.
EDGAR VICENTE JIMÉNEZ ÁVILA
Ing. Gustavo Mendoza Campeche
Lic. Martha Guadalupe Hernández Cuellar
A mi padre
Que gracias a su apoyo moral y económico
me ha apoyado para la culminación de mis
estudios y al mismo tiempo a la realización
de esta obra, y que gracias a sus consejos
me han ayudado a ser una mejor persona.
Gracias papá TE AMO. A mi madre
Gracias al amor y cariño que me has
brindado, a los consejos para superarme día
a día, al apoyo económico y moral para
concluir mis estudios y de esta manera ser
un profesionista y servir a la sociedad.
Gracias madrecita. TE AMO. A mis hermanas
Que gracias al apoyo moral, ánimos, cariño
y consejos brindados que me han servido
para poder concluir satisfactoriamente mis
estudios. Gracias Fabiola, Cindy, Miriam.
A toda mi familia
Especialmente a mi abuelita Teresa, mi tío
Fredy Macario, mi abuelito Macario, mi
abuelita Costa, mi tía Marlene, mi tío
Alberto, que me han enseñado que la
dedicación es sinónimo de triunfó. Gracias A Yanel
Gracias a tus consejos, a tus ánimos para no
darme por vencido tan fácilmente y todo el
cariño que me has brindado, que día con día
me hacen ser una persona de bien para la
sociedad, gracias por estar a mi lado en los
momentos de alegría y de tristeza. Eres una
persona maravillosa en mi vida. TE AMO.
Edgar Vicente Jiménez Ávila
A Dios
Por darme una familia maravillosa, y al
mismo tiempo permitirme seguir vivo y
poder concluir esta obra y mis estudios
profesionales.
A la M. en C. Diana Salome Vázquez Estrada
Gracias pos su apoyo, consejos y sus conocimientos
teóricos-prácticos brindados hacia mí persona, para poder
concluir mis estudios y al mismo tiempo esta obra
satisfactoriamente.
Al Ing. Gustavo Mendoza Campeche
Que gracias a sus conocimientos teóricos-
prácticos y al mismo tiempo los consejos brindados
hacia mi persona, que me han ayudado para realizar
y concluir esta obra.
A la Lic. Martha Guadalupe Hernández Cuellar
Gracias por brindarme sus conocimientos teóricos-prácticos,
hacia mi persona que me han ayudado a concluir
satisfactoriamente esta Tesis y al mismo tiempo a sobresalir
como profesionista.
Edgar Vicente Jiménez Ávila
Cortafuegos y Seguridad en el Internet
Índice
Introducción 1
Capítulo I.- El Internet 3
1.1 Introducción 3
1.2 Definición de Internet 3
1.3 ¿Quién creó el Internet? 5
1.4 Historia del Internet 6
1.5 Internet y su evolución 13
1.6 Estructura del Internet 13
1.7 Máscara de red 23
1.8 ¿Qué es un protocolo? 27
1.9 Preponderancia como fuente de información 32
1.10 Censura 34
1.11 Tecnología de acceso a Internet 35
Capítulo II.- Ataques en el Internet 37
2.1 Amenazas 37
2.2 Tipos de ataques 44
2.3 Errores de diseño, implementación y operación 68
2.4 Métodos de ataque 69
2.5 Hackers 72
2.6 Software de espionaje informático 78
2.7 ¿Qué se requiere para sobrevivir a los ataques de Internet? 81
Capítulo III.- Red Privada Virtual (VPN) y su seguridad 86
3.1 Definición de Red Privada Virtual (VPN) 86
3.2 Terminología de VPN 88
3.3 Componentes de una VPN 89
3.4 Arquitectura de una VPN 90
3.5 Tipos de VPN 93
3.6 Topologías de VPN 96
3.7 Requerimientos de una VPN 99
3.8 Tunneling 102
3.9 Seguridad en una VPN 104
3.10 Configuración de una VPN en un firewall 104
Capítulo IV.- Firewalls 108
4.1 Concepto de firewall (cortafuegos) 109
4.2 Origen de la palabra firewall 110
4.3 Objetivo de un firewall 111
4.4 Beneficios de un firewall 111
4.5 Limitación de un firewall 112
Cortafuegos y Seguridad en el Internet
4.6 Historia de los firewalls 112
4.7 Routers y bridges 118
4.8 Tipos de firewalls 119
4.9 Topologías de firewalls 128
4.11 Servidores Proxy y su funcionamiento 132
4.12 Componentes del sistema firewall 133
4.13 Políticas de los firewalls 138
4.14 Comprar o construir un firewall 142
4.15 ¿Cómo configurar un firewall? 146
4.16 Configuración de ENDIAN firewall 149
4.17 Certificación de firewalls 174
Conclusiones 176
Glosario 178
Bibliografía 181
Cortafuegos y Seguridad en el Internet
1
Introducción
Se considera que Internet es un conjunto descentralizado de redes de comunicación
interconectadas que emplean los protocolos TCP/IP para garantizar que las redes físicas
heterogéneas que la componen funcionen de manera lógica a nivel mundial.
Se puede decir que Internet es una red descentralizada y no es regida por un solo organismo,
debido a que está conformada por varias redes de tipo LAN o WAN, a estas se subscribían
los usuarios pagando una cuota, “America On-Line”, “Compuserver” ó “The Microsoft
Network”. Con la implantación de ésta, los usuarios disponen de más alcance puesto que se
les permite contactar con servidores que están fuera de la misma.
Una red de alcance mundial que une una gran cantidad de redes grandes de Computadoras
que funciona con la estrategia “Cliente/Servidor”, lo que significa que en ésta hay
Computadoras que dan una información concreta en el momento que se solicite, y por otro
lado están las computadoras que piden la información, denominados Clientes.
Los ataques que pueden darse dentro del Internet para ingresar a la red de cualquier empresa
o usuarios se diversifican en varias opciones o tipos de los mismos:
Agujeros de seguridad generados por los sistemas operativos.
Agujeros de seguridad por la instalación de aplicaciones.
Errores en las configuraciones de los sistemas operativos.
Las empresas u organizaciones no se pueden permitir el lujo de denunciar ataques a sus
sistemas, pues el nivel de confianza por parte de los clientes bajaría enormemente. Los
administradores tienen cada vez mayor conciencia respecto de la seguridad de sus sistemas
y arreglan por sí mismos las deficiencias detectadas. A esto hay que añadir las nuevas
herramientas de seguridad disponibles en el mercado.
Cortafuegos y Seguridad en el Internet
2
Se considera que un firewall es un dispositivo que funciona como una pared entre redes,
permitiendo o denegando las transmisiones. Un uso típico es situarlo entre una red de tipo
local y la red Internet, como un dispositivo de seguridad para evitar que los intrusos puedan
acceder a información confidencial.
Por otro lado las Redes Privadas Virtuales, dan una solución para cubrir una misma red local
a grandes distancias a través de la red pública esto permite reducir en gran medida los costos
por infraestructura o pagar por un servicio. De este modo un se puede permitir los servicios
de web, correo y ftp.
Dependiendo el firewall que se tenga se puede permitir algunos accesos especiales a la red
local desde el Internet si el usuario se ha autentificado al usuario antes de tener acceso.
La falta de medidas de seguridad en las redes es un problema que se encuentra en
crecimiento.
Cortafuegos y Seguridad en el Internet
3
Capítulo I.- El Internet
1.1 Introducción
Los científicos y antropólogos afirman que el hombre se diferencia de los animales por su
capacidad de evolucionar y de crear.
Cada invento o creación tiene un aporte tecnológico: la televisión, la radio, la computadora,
entre otros, fueron los primeros indicios que nos mostraban que la evolución no sólo es
inminente sino que continúa. Internet se asume como el gran paso hacia el futuro, es que
además de ser algo novedoso era al mismo tiempo impensado; ni en nuestros más recónditos
sueños podíamos imaginar que todos los medios de comunicación eran capaces de fusionarse
en un solo artefacto. Pero ante de ahondar en la importancia de este instrumento virtual,
debemos acudir a la definición de Internet y así comprender un poco más sobre sus utilidades.
1.2 Definición de Internet
Se considera que Internet es un conjunto descentralizado de redes de comunicación
interconectadas que utilizan los protocolos TCP/IP, garantizando que las redes físicas
heterogéneas que la componen funcionen de manera lógica, a nivel mundial. Sus orígenes se
remontan a 1969, cuando se estableció la primera conexión de computadoras, conocida como
ARPANET (The Advanced Research Projects Agency Network), entre tres universidades en
California y una en Utah, Estados Unidos.
Cortafuegos y Seguridad en el Internet
4
Figura 1.1 Representación esquemática sobre el significado de Internet y el
concepto de globalidad
Referencia: http://www.hd-tecnologia.com/www-cumple-ya-21-anos/
Uno de los servicios que más éxito ha tenido en Internet ha sido la World Wide Web (WWW,
o "la Web"), hasta tal punto que es habitual la confusión entre ambos términos. La WWW es
un conjunto de protocolos que permite de forma sencilla, la consulta remota de archivos de
hipertexto. Ésta fue desarrollada posteriormente en 1990 y utiliza al Internet como medio de
transmisión.
Existen, por lo tanto, muchos otros servicios y protocolos, aparte de la Web: el envío de
correo electrónico (SMTP), la transmisión de archivos (FTP y P2P), las conversaciones en
línea (IRC), la mensajería instantánea y presencia, la transmisión de contenido y
comunicación multimedia telefonía (VoIP), televisión (IPTV), los boletines electrónicos
(NNTP), el acceso remoto a otros dispositivos (SSH y Telnet) o los juegos en línea.
Cortafuegos y Seguridad en el Internet
5
1.3 ¿Quién creó el Internet?
ARPANET, es la predecesora de Internet, la cual nació en la Universidad de California, en
Los Ángeles.
"Asistimos a un caso de revisión histórica en tiempo real", dice Peter J. Denning, profesor de
ciencias de la computación en la Universidad George Mason. Denning participó en el
desarrollo de Internet pero hasta ahora se ha comportado como un observador silencioso.
Por su parte, Alan Brinkley, profesor de historia de la Universidad de Columbia, cree que lo
nuevo no es el revisionismo sino la presencia de Internet como herramienta de ese proceso.
El equivalente actual de mandar cartas a los diarios es inundar el mundo con las propias
opiniones valiéndose de Internet para hacerlo. Y probablemente competirá con ventaja quien
sea más activo o tenga la lista más extensa de destinatarios de correo electrónico.
Los estudiosos del tema se preguntan si Internet hará más difícil el proceso de investigación
histórica. Neil Postman, profesor de ciencias de la comunicación en la Universidad de Nueva
York, explica que "el material impreso es más definitivo, los libros preservan la información.
Internet, en cambio, la hace circular, la mueve. Con una información que se desplaza, que
aparece y desaparece, y sin guardianes, la credibilidad de la información disminuye".
El consenso entre los padres fundadores de Internet es cada vez menor, un contingente
pretende fijar la fecha del nacimiento de ARPANET a principios de septiembre de 1969,
cuando la red tuvo su primera computadora.
Quien trate de escribir la verdadera historia de Internet se encontrará con una ciénaga de
materiales contradictorios. Los científicos que tomaron parte en su construcción están más
ocupados que nunca pero no inventando nuevas tecnologías sino contando a los periodistas
su propia versión de los hechos, actualizando sus sitios web con anécdotas y fechas de aquel
hecho y mandando mensajes por e-mail. Su objetivo no es hacerse ricos sino asegurarse un
sitio en la historia.
Cortafuegos y Seguridad en el Internet
6
1.4 Historia del Internet
En el mes de julio de 1961 Leonard Kleinrock publicó desde el MIT el primer documento
sobre la teoría de conmutación de paquetes. Kleinrock convenció a Lawrence Roberts de la
factibilidad teórica de las comunicaciones vía paquetes en lugar de circuitos, lo cual resultó
ser un gran avance en el camino hacia el trabajo informático en red. El otro paso fundamental
fue hacer dialogar a las computadoras entre sí. Para explorar este terreno, en 1965, Roberts
conectó una computadora TX2 en Massachusetts con un Q-32 en California a través de una
línea telefónica conmutada de baja velocidad, creando así la primera red de computadoras de
área amplia.
Figura 1.2 Mapa parcial de Internet basado en la información obtenida del sitio bluelinerny
Referencia: http://internet-map.net/
Cortafuegos y Seguridad en el Internet
7
La idea subyacente de la Web se remonta a la propuesta de Vannevar Bush en los
años 40 sobre un sistema similar: un entramado de información distribuida con una
interfaz operativa que permitía el acceso tanto a la misma como a otros artículos
relevantes determinados por claves. Este proyecto nunca fue materializado, quedando
relegado al plano teórico bajo el nombre de Memex. En los años 50 cuando Ted
Nelson realiza la primera referencia a un sistema de hipertexto, donde la información
es enlazada de forma libre. Pero no es hasta 1980, con un soporte operativo
tecnológico para la distribución de información en redes informáticas, cuando Tim
Berners-Lee propone ENQUIRE al CERN (The European Organization for Nuclear
Research) donde se materializa la realización práctica de este concepto de incipientes
nociones de la Web.
La primera red interconectada se considera que nació el 21 de noviembre de 1969,
cuando se crea el primer enlace entre las universidades de UCLA y Stanford por
medio de la línea telefónica conmutada, y gracias a los trabajos y estudios anteriores
de varios científicos y organizaciones desde 1959. El mito de que ARPANET, la
primera red, se construyó simplemente para sobrevivir a ataques nucleares sigue
siendo muy popular. Si bien es cierto que ARPANET fue diseñada para sobrevivir a
fallos en la red, la verdadera razón para ello era que los nodos de conmutación eran
poco fiables, tal y como se atestigua en la siguiente cita:
A raíz de un estudio de RAND, se extendió el falso rumor de que ARPANET fue diseñada
para resistir un ataque nuclear. Esto nunca fue cierto, solamente un estudio de RAND, no
relacionado con ARPANET, consideraba la guerra nuclear en la transmisión segura de
comunicaciones de voz. Sin embargo, trabajos posteriores enfatizaron la robustez y
capacidad de supervivencia de grandes porciones de las redes subyacentes.
1972: Se realizó la Primera demostración pública de ARPANET, siendo una red de
comunicaciones financiada por la DARPA que funcionaba de forma distribuida sobre
la red telefónica conmutada.
Cortafuegos y Seguridad en el Internet
8
El éxito de la nueva arquitectura sirvió para que, en 1973, la DARPA iniciara un
programa de investigación sobre posibles técnicas para interconectar redes orientadas
al tráfico de paquetes de distintas clases; para ésta se desarrollaron nuevos protocolos
de comunicaciones que permitiesen este movimiento de forma "transparente" para las
computadoras conectadas. De la filosofía del proyecto surgió el nombre de "Internet",
que se aplicó al sistema de redes interconectadas mediante los protocolos TCP e IP.
Figura 1.3 Sistema de obtención de información antes de las redes
Referencia: http://www.ojocientifico.com/4276/historia-de-la-computadora-las-
computadoras-en-la-actualidad
1983: El 1 de enero, ARPANET cambia los protocolos NCP (Network Control
Program) por TCP/IP. Ese mismo año, se creó el IAB con el fin de estandarizar los
protocolos TCP/IP y de proporcionar recursos de investigación. Por otra parte, se
centró la función de asignación de identificadores en la IANA que, más tarde, delegó
parte de sus funciones en el Internet registry que, a su vez, proporciona servicios a
los DNS.
1986: La NSF(National Science Foundation) desarrolló NSFNET(National Science
Foundation's Network) que se convirtió en la principal Red en árbol, complementada
después con las redes NSINET y ESNET, todas ellas en Estados Unidos.
Cortafuegos y Seguridad en el Internet
9
1989: La integración de los protocolos OSI en la arquitectura de Internet, inició la
tendencia actual de permitir la interconexión de redes de estructuras dispares, sino
también la de facilitar el uso de distintos protocolos de comunicaciones.
En el CERN de Ginebra, un grupo de físicos encabezado por Tim Berners-Lee creó
el lenguaje HTML, basado en el SGML. En 1990 el mismo equipo construyó el
primer cliente Web, llamado WorldWideWeb (WWW) y el primer servidor web.
En marzo de 1989, Tim Berners Lee, ya como personal de la divisón DD del CERN,
redacta la propuesta, que referenciaba a ENQUIRE y describía un sistema de gestión
de información más elaborado. No hubo un bautizo oficial o un acuñamiento del
término web en esas referencias iniciales utilizándose para tal efecto el término mesh.
Sin embargo, el World Wide Web ya había nacido. Con la ayuda de Robert Cailliau,
se publicó una propuesta más formal para la world wide web el 12 de noviembre de
1990.
Berners-Lee usó un NeXTcube como el primer servidor web del mundo y también
escribió el primer navegador web, WorldWideWeb en 1990. En las Navidades del
mismo año, Berners-Lee había creado todas las herramientas necesarias para que una
web funcionase: el primer navegador web (el cual también era un editor web), el
primer servidor web y las primeras páginas web que al mismo tiempo describían el
proyecto.
El 6 de agosto de 1991, envió un pequeño resumen del proyecto World Wide Web al
newsgroup alt.hypertext. Esta fecha también señala el debut de la web como un
servicio disponible públicamente en Internet.
El concepto, subyacente y crucial, del hipertexto tiene sus orígenes en viejos proyectos de la
década de los 60, como el Proyecto Xanadu de Ted Nelson y el sistema on-line NLS de
Douglas Engelbart. Los dos, Nelson y Engelbart, estaban a su vez inspirados por el ya citado
sistema basado en microfilm "memex", de Vannevar Bush.
Cortafuegos y Seguridad en el Internet
10
El gran avance de Berners-Lee fue unir hipertexto e Internet. En su libro Weaving the Web
(Tejiendo la Red), explica que él había sugerido repetidamente que la unión entre las dos
tecnologías era posible para miembros de las dos comunidades tecnológicas, pero como nadie
aceptó su invitación, decidió, finalmente, hacer frente al proyecto él mismo. En el proceso,
desarrolló un sistema de identificadores únicos globales para los recursos web y también el
URI (Uniform Resource Identifier).
World Wide Web tenía algunas diferencias de los otros sistemas de hipertexto que estaban
disponibles en aquel momento:
Requería enlaces unidireccionales en vez de los bidireccionales. Esto hacía posible
que una persona enlazara a otro recurso sin necesidad de ninguna acción del
propietario de ese recurso. Con ello se reducía significativamente la dificultad de
implementar servidores web y navegadores, pero en cambio presentaba el problema
crónico de los enlaces rotos.
A diferencia de sus predecesores, como HyperCard, era no propietario, haciendo
posible desarrollar servidores y clientes independientemente y añadir extensiones sin
restricciones de licencia.
El 30 de abril de 1993, el CERN anunció que la web sería gratuita para todos, sin
ningún tipo de honorarios.
Sin embargo, los investigadores generalmente están de acuerdo en que el punto de
inflexión de la World Wide Web comenzó con la introducción del navegador web
Mosaic en 1993, un navegador gráfico desarrollado por un equipo del NCSA en la
Universidad de Illinois en Urbana-Champaign (NCSA-UIUC), dirigido por Marc
Andreessen. Funding para Mosaic vino del High-Performance Computing and
Communications Initiative, un programa de fondos iniciado por el entonces
gobernador Al Gore High Performance Computing and Communication Act of 1991,
también conocida como la Gore Bill. Antes del lanzamiento de Mosaic, las páginas
web no integraban un amplio entorno gráfico y su popularidad fue menor que otros
protocolos anteriores ya en uso sobre Internet, como el protocolo Gopher y WAIS.
Cortafuegos y Seguridad en el Internet
11
2006: El 3 de enero, Internet alcanzó los mil cien millones de usuarios. Por lo que se
prevé que en diez años, la cantidad de navegantes de la red aumentará a 2.000
millones.
Ha tenido un impacto profundo en el mundo laboral, el ocio y el conocimiento a nivel
mundial. Gracias a la web, millones de personas tienen acceso fácil e inmediato a una
cantidad extensa y diversa de información en línea. Un ejemplo de esto es el desarrollo y la
distribución de colaboración del software de Free/Libre/Open-Source (SEDA) por ejemplo:
GNU, Linux, Mozilla y OpenOffice.
Comparado a las enciclopedias y a las bibliotecas tradicionales, ésta ha permitido una
descentralización de la información y de los datos. Algunas compañías e individuos han
adoptado el uso de los weblogs, que se utilizan como diarios actualizables. Las
organizaciones comerciales animan a su personal para incorporar sus áreas de especialización
en sus sitios.
Internet ha llegado a gran parte de los hogares y de las empresas de los países desarrollados.
En este aspecto se ha abierto una brecha digital con los países menos desarrollados, en los
cuales la penetración de éste y las nuevas tecnologías es limitada.
No obstante, en el transcurso del tiempo se ha venido extendiendo el acceso en casi todas las
regiones del mundo, de modo que es relativamente sencillo encontrar por lo menos 2
computadoras conectadas en regiones remotas.
Desde una perspectiva cultural del conocimiento, Internet ha sido una ventaja y una
responsabilidad, para la gente que está interesada en otras culturas, proporciona información
significativa inasequible de otra manera.
Se le ha considerado como una herramienta de globalización, poniendo fin al aislamiento de
culturas, debido a su rápida masificación e incorporación en la vida del ser humano, el
espacio virtual es actualizado constantemente.
Cortafuegos y Seguridad en el Internet
12
Figura 1.4.- Influencia del Internet en el mundo
Referencia: http://dorisfm.wordpress.com/2010/07/14/uso-de-internet-en-2010/
La mensajería instantánea o chat y el correo electrónico son algunos de los servicios del uso
más extendido, en muchas ocasiones los proveedores brindan a sus afiliados servicios
adicionales como la creación de espacios y perfiles públicos en donde se tiene la posibilidad
de colocar fotografías y comentarios, se especula actualmente si tales sistemas de
comunicación fomentan o restringen el contacto de persona a persona entre los seres
humanos, tal es el caso de portales como YouTube o Facebook, en donde los usuarios pueden
tener acceso a una gran variedad de videos sobre prácticamente cualquier tema.
La pornografía representa buena parte del tráfico, siendo a menudo un aspecto controvertido
por las implicaciones morales que le acompañan, proporciona a menudo una fuente
significativa del rédito de publicidad para otros sitios, muchos gobiernos han procurado sin
éxito poner restricciones en el uso de ambas industrias.
Cortafuegos y Seguridad en el Internet
13
1.5 Internet y su evolución
Inicialmente Internet tenía un objetivo claro, se navegaba en Internet para algo muy concreto:
búsquedas de información.
La incorporación de personas a la red hace que las calles de lo que en principio era una
pequeña ciudad llamada Internet se conviertan en todo un planeta extremadamente conectado
entre sí entre todos sus miembros.
El hecho de su aumento implica una mayor cantidad de relaciones virtuales entre personas,
conociendo este hecho y relacionándolo con la “felicidad” originada por las relaciones
personales, es posible concluir que cuando una persona tenga una necesidad de conocimiento
popular o de conocimiento no escrito en libros, puede recurrir a una fuente más acorde a su
necesidad. Como ahora esta fuente es posible en Internet, dicha persona preferirá prescindir
del obligado protocolo que hay que cumplir a la hora de acercarse a alguien personalmente
para obtener dicha información y por ello, no establecerá para ese fin, una relación personal
sino virtual. Este hecho implica la existencia de un medio capaz de albergar soluciones para
diversa índole de problemas.
1.6 Estructura de Internet
Internet es una red descentralizada regida por varios organismos y su estructura se parece a
una tela de araña en la cual unas se conectan con otras.
Las organizaciones responsables de la adjudicación de recursos y el desarrollo de los
protocolos necesarios para que evolucione, son por ejemplo:
La Internet Engineering Task Force (IETF) se encarga de redactar los protocolos
usados en Internet.
La Corporación de Internet para los y los Números Asignados (ICANN) es la
autoridad que coordina la asignación de identificadores únicos en Internet,
incluyendo nombres de dominio, direcciones IP, etc.
Cortafuegos y Seguridad en el Internet
14
En los últimos años se han desarrollado grandes redes que unían computadoras de empresas
o de particulares. Estas redes, eran de tipo LAN o WAN. Internet es otra Red que está por
encima de éstas y que las une a todas.
Se tiene como ejemplo los conocidos “Servicios On-Line”, los cuales son redes de
computadoras a los que se les puede conectar particulares con el fin de conseguir programas
o contactar con otros usuarios por correo. A estas redes se subscriben los usuarios pagando
una cuota, tal es el caso de “America On-Line”, “Compuserver” ó “The Microsoft Network”.
Internet funciona con la estrategia “Cliente/Servidor”, lo que significa que en la Red hay
computadoras Servidores que brindan una información concreta en el momento de una
solicitud, y por otro lado están las computadoras que piden dicha información.
Dadas las interacciones se crearon una gran variedad de “lenguajes” que usan las
computadoras para comunicarse. Estos “lenguajes” se llaman Protocolos y han establecido
que toda la información sea transmitida mediante el Protocolo TCP/IP.
Las direcciones en Internet
Una dirección generada por el protocolo de Internet (IP) es una etiqueta numérica que
identifica, de manera lógica y jerárquica, a una interfaz de un dispositivo dentro de una red
que utilice el protocolo IP, que corresponde al nivel de red del protocolo TCP/IP. Dicho
número no se ha de confundir con la dirección MAC que es un número hexadecimal fijo que
es asignado a la tarjeta o dispositivo de red por el fabricante, mientras que la dirección IP se
puede cambiar. Esta dirección puede cambiar 2 ó 3 veces al día; y a esta forma de asignación
de dirección IP se denomina dirección IP dinámica.
Los sitios de Internet que por su naturaleza necesitan estar permanentemente conectados,
generalmente tienen una dirección IP fija. Los servidores de correo, DNS, FTP públicos y
servidores de páginas web necesariamente deben contar con una dirección IP fija o estática,
ya que de esta forma se permite su localización en la red.
Cortafuegos y Seguridad en el Internet
15
A través de Internet, las computadoras se conectan entre sí mediante sus respectivas
direcciones IP. Sin embargo a los seres humanos nos es más cómodo utilizar otra notación
más fácil de recordar, como los nombres de dominio; la traducción entre unos y otros se
resuelve mediante los servidores de nombres de dominio DNS.
Existe un protocolo para asignar direcciones IP dinámicas llamado DHCP (Dynamic Host
Configuration Protocol).
En Internet se emplean varios formatos para identificar máquinas, usuarios o recursos en
general.
En Internet se emplean direcciones numéricas para identificar máquinas: las
direcciones IP. Se representan por cuatro números, de 0 a 255, separados por puntos.
Un servidor puede identificarse, por ejemplo, con la dirección IP 66.230.200.100.
Como es más sencillo recordar un nombre, las direcciones se "traducen" a nombres.
Los trozos "traducidos" se denominan nombres de dominio. El servicio encargado de
la traducción es el DNS.
Para identificar a usuarios de correo electrónico se emplean las direcciones de correo
electrónico, que tienen el siguiente formato:
usuario@servidor_de_correo.dominio
Para identificar recursos en Internet, se emplean direcciones URL (Uniform Resource
Locator, Localizador Uniforme de Recursos). Una dirección URL tiene la forma:
http://nombre_de_empresa.dominio/abc.htm
Siendo "http://" el protocolo, "nombre_de_empresa.dominio" el dominio (que es trasladado
a una dirección IP por el servicios DNS), y "abc.htm" la localización del recurso al que se
accede.
Cortafuegos y Seguridad en el Internet
16
Direcciones IPv4
Las direcciones IPv4 se expresan por un número binario de 32 bits permitiendo un espacio
de direcciones de 4.294.967.296 (232) direcciones posibles. Las direcciones IP se pueden
expresar como números de notación decimal: se dividen los 32 bits de la dirección en cuatro
octetos. El valor decimal de cada octeto está comprendido en el rango de 0 a 255 [el número
binario de 8 bits más alto es 11111111 y esos bits, de derecha a izquierda, tienen valores
decimales de 1, 2, 4, 8, 16, 32, 64 y 128, lo que suma 255].
En la expresión de direcciones IPv4 en decimal se separa cada octeto por un carácter único
".". Cada uno de estos octetos puede estar comprendido entre 0 y 255, salvo algunas
excepciones. Los ceros iniciales, si los hubiera, se pueden obviar (010.128.001.255 sería
10.128.1.255).
Ejemplo de representación de dirección IPv4:
En las primeras etapas del desarrollo del Protocolo de Internet, los administradores de
Internet interpretaban las direcciones IP en dos partes, los primeros 8 bits para designar la
dirección de red y el resto para individualizar la computadora dentro de la red. Este método
pronto probó ser inadecuado, cuando se comenzaron a agregar nuevas redes a las ya
asignadas. En 1981 el direccionamiento Internet fue revisado y se introdujo la arquitectura
de clases (classful network architecture). En esta arquitectura hay tres clases de direcciones
IP que una organización puede recibir de parte de la Internet Corporation for Assigned Names
and Numbers (ICANN): clase A, clase B y clase C.
En una red de clase A, se asigna el primer octeto para identificar la red, reservando
los tres últimos octetos (24 bits) para que sean asignados a los hosts, de modo que la
cantidad máxima de hosts es 224 - 2 (se excluyen la dirección reservada para broadcast
(últimos octetos en 255) y de red (últimos octetos en 0)), es decir, 16 777 214 hosts.
En una red de clase B, se asignan los dos primeros octetos para identificar la red,
reservando los dos octetos finales (16 bits) para que sean asignados a los hosts, de
modo que la cantidad máxima de hosts es 216 - 2, o 65 534 hosts.
Cortafuegos y Seguridad en el Internet
17
En una red de clase C, se asignan los tres primeros octetos para identificar la red,
reservando el octeto final (8 bits) para que sea asignado a los hosts, de modo que la
cantidad máxima de hosts es 28 - 2, ó 254 hosts.
Tabla 1.1 Clases de direcciones IP
Clase Rango N° de Redes N° de Host Máscara de Red Broadcast ID
A 0.0.0.0 - 127.255.255.255 128 16.777.214 255.0.0.0 x.255.255.255
B 128.0.0.0 - 191.255.255.255 16.384 65.534 255.255.0.0 x.x.255.255
C 192.0.0.0 - 223.255.255.255 2.097.152 254 255.255.255.0 x.x.x.255
D 224.0.0.0 - 239.255.255.255 ---- ---- ---- ----
E 240.0.0.0 - 255.255.255.255 ---- ---- ---- ----
Cortafuegos y Seguridad en el Internet
18
La dirección 0.0.0.0 es reservada por la IANA para identificación local.
La dirección que tiene los bits de host iguales a cero sirve para definir la red en la que
se ubica, se denomina dirección de red.
La dirección que tiene los bits correspondientes a host iguales a uno, sirve para enviar
paquetes a todos los hosts de la red en la que se ubica. Se denomina dirección de
broadcast.
Las direcciones 127.x.x.x se reservan para designar la propia máquina. Se denomina
dirección de bucle local o loopback.
El diseño de redes de clases (classful) sirvió durante la expansión de Internet, sin embargo
este diseño no era escalable y frente a una gran expansión de las redes en la década del 90, el
sistema de espacio de direcciones de clases fue reemplazado por una arquitectura de redes
sin clases Classless Inter-Domain Routing (CIDR) en el año 1993. CIDR se basa en redes de
longitud de mascara de sub red variable (variable-length subnet masking VLSM) que permite
asignar redes de longitud de prefijo arbitrario. Permitiendo una distribución de direcciones
más fina y granulada, calculando las direcciones necesarias y "desperdiciando" las mínimas
posibles.
IP dinámica
Una dirección IP dinámica es aquella asignada mediante un servidor DHCP (Dynamic Host
Configuration Protocol) al usuario y tiene una duración máxima predeterminada. Este
servidor provee los parámetros de configuración específicos para cada cliente, entre estos se
encuentra su dirección IP.
DHCP apareció como protocolo estándar en octubre de 1993. El estándar RFC 2131
especifica la última definición de este, el cual sustituye al protocolo BOOTP, que es más
antiguo.
Las IP dinámicas son las que actualmente ofrecen la mayoría de operadores. Éstas suelen
cambiar cada vez que el usuario reconecta por cualquier causa.
Cortafuegos y Seguridad en el Internet
19
Ventajas
Reduce los costos de operación a los proveedores de servicios de Internet
(ISP).
Reduce la cantidad de IP asignadas (de forma fija) inactivas.
Desventajas
Obliga a depender de servicios que redirigen un host a una IP.
Dependiendo de la implementación concreta, el servidor DHCP tiene tres métodos para
asignar las direcciones IP:
Manualmente, cuando el servidor tiene a su disposición una tabla que
empareja direcciones MAC con direcciones IP, creada manualmente por el
administrador de la red. Sólo clientes con una dirección MAC válida recibirán
una dirección IP del servidor.
Automáticamente, donde el servidor DHCP asigna permanentemente una
dirección IP libre, tomada de un rango prefijado por el administrador, a
cualquier cliente que solicite una.
Dinámicamente, el único método que permite la reutilización de direcciones
IP. El administrador de la red asigna un rango de direcciones IP para el DHCP
y cada computadora cliente de la LAN tiene su software de comunicación
TCP/IP configurado para solicitar una dirección IP del servidor DHCP cuando
su tarjeta de interfaz de red se inicie. El proceso es transparente para el usuario
y tiene un periodo de validez limitado.
Una dirección IP fija es una IP asignada por el usuario de manera manual. Mucha gente
confunde IP Fija con IP Pública e IP Dinámica con IP Privada.
Una IP Pública se utiliza generalmente para montar servidores en Internet y necesariamente
se desea que la IP no cambie por eso siempre la IP Pública se la configura de manera Fija y
no Dinámica, aunque si se podría.
Cortafuegos y Seguridad en el Internet
20
En el caso de la IP privada generalmente es dinámica asignada por un servidor DHCP, pero
en algunos casos se configura IP Privada Fija para poder controlar el acceso a Internet o a la
red local, otorgando ciertos privilegios dependiendo del número de IP que tenemos, si esta
cambiara (fuera dinámica) sería más complicado controlar estos privilegios (pero no
imposible).
Las IP públicas fijas actualmente en el mercado de acceso a Internet tienen un costo adicional
mensual. Estas IP son asignadas por el usuario después de haber recibido la información del
proveedor o bien asignadas por el proveedor en el momento de la primera conexión.
Esto permite al usuario montar servidores web, correo, FTP, etc. y dirigir un nombre de
dominio a esta IP sin tener que mantener actualizado el servidor DNS cada vez que cambie
la IP como ocurre con las IP Públicas dinámicas.
Direcciones privadas
Existen ciertas direcciones en cada clase de dirección IP que no están asignadas y que se
denominan direcciones privadas. Las direcciones privadas pueden ser utilizadas por los hosts
que usan traducción de dirección de red (NAT) para conectarse a una red pública o por los
hosts que no se conectan a Internet. En una misma red no pueden existir dos direcciones
iguales, pero sí se pueden repetir en dos redes privadas que no tengan conexión entre sí o que
se conecten a través de este. Las direcciones privadas son:
Clase A: 10.0.0.0 a 10.255.255.255 (8 bits red, 24 bits hosts). 1 red clase A, uso VIP,
ej.: la red militar estadounidense.
Clase B: 172.16.0.0 a 172.31.255.255 (12 bits red, 20 bits hosts). 16 redes clase B
contiguas, uso en universidades y grandes compañías.
Clase C: 192.168.0.0 a 192.168.255.255 (16 bits red, 16 bits hosts). 256 redes clase
C contiguas, uso de compañías medias y pequeñas además de pequeños proveedores
de Internet (ISP).
Cortafuegos y Seguridad en el Internet
21
Muchas aplicaciones requieren conectividad dentro de una sola red, y no necesitan
conectividad externa. En las redes de gran tamaño a menudo se usa TCP/IP. Por ejemplo, los
bancos pueden utilizar TCP/IP para conectar los cajeros automáticos que no se conectan a la
red pública, de manera que las direcciones privadas son ideales para estas circunstancias. Las
direcciones privadas también se pueden utilizar en una red en la que no hay suficientes
direcciones públicas disponibles.
Las direcciones privadas se pueden utilizar junto con un servidor de traducción de direcciones
de red para suministrar conectividad a todos los hosts de una red que tiene relativamente
pocas direcciones públicas disponibles, cualquier tráfico que posea una dirección destino
dentro de uno de los intervalos de direcciones privadas no ingresará a través de Internet.
Máscara de subred
La máscara permite distinguir los bits que identifican la red y los que identifican el host de
una dirección IP. Dada la dirección de clase A 10.2.1.2 sabemos que pertenece a la red
10.0.0.0 y el host al que se refiere es el 2.1.2 dentro de la misma. La máscara se forma
poniendo a 1 los bits que identifican la red y a 0 los bits que identifican el host. De esta forma
una dirección de clase A tendrá como máscara 255.0.0.0, una de clase B 255.255.0.0 y una
de clase C 255.255.255.0. Los dispositivos de red realizan un AND entre la dirección IP y la
máscara para obtener la dirección de red a la que pertenece el host identificado por la
dirección IP dada. Por ejemplo un ruteador necesita saber cuál es la red a la que pertenece la
dirección IP del datagrama destino para poder consultar la tabla de encaminamiento y poder
enviar el datagrama por la interfaz de salida. Para esto se necesita tener cables directos.
Creación de subredes
El espacio de direcciones de una red puede ser subdividido a su vez creando subredes
autónomas separadas. Un ejemplo de uso es cuando necesitamos agrupar todos los empleados
pertenecientes a un departamento de una empresa. En este caso crearíamos una subred que
englobara las direcciones IP de éstos.
Cortafuegos y Seguridad en el Internet
22
Para conseguirlo hay que reservar bits del campo host para identificar la subred estableciendo
a uno los bits de red-subred en la máscara. Por ejemplo la dirección 172.16.1.1 con máscara
255.255.255.0 nos indica que los dos primeros octetos identifican la red (por ser una
dirección de clase B), el tercer octeto identifica la subred (a 1 los bits en la máscara) y el
cuarto identifica el host (a 0 los bits correspondientes dentro de la máscara). Hay dos
direcciones de cada subred que quedan reservadas: aquella que identifica la subred (campo
host a 0) y la dirección para realizar broascast en la subred (todos los bits del campo host en
1).
Direcciones IPv6
La función de la dirección IPv6 es exactamente la misma a su predecesor IPv4, pero dentro
del protocolo IPv6. Está compuesta por 128 bits y se expresa en una notación hexadecimal
de 32 dígitos. IPv6 permite actualmente que cada persona en la tierra tenga asignada varios
millones de IPs, ya que puede implementarse con 2128 (3.4×1038 hosts direccionables). La
ventaja con respecto a la dirección IPv4 es obvia en cuanto a su capacidad de
direccionamiento.
Su representación suele ser hexadecimal y para la separación de cada par de octetos se emplea
el símbolo ":". Un bloque abarca desde 0000 hasta FFFF. Algunas reglas de notación acerca
de la representación de direcciones IPv6 son:
Los ceros iniciales, como en IPv4.
Ejemplo: 2001:0123:0004:00ab:0cde:3403:0001:0063 -> 2001:123:4:ab:cde:3403:1:63
Los bloques contiguos de ceros se pueden comprimir empleando "::", esta
operación sólo se puede hacer una vez.
Ejemplo: 2001:0:0:0:0:0:0:4 -> 2001::4.
Ejemplo no válido: 2001:0:0:0:2:0:0:1 -> 2001::2::1 (debería ser 2001::2:0:0:1 ó
2001:0:0:0:2::1).
Cortafuegos y Seguridad en el Internet
23
1.7 Máscara de red
La máscara de red es una combinación de bits que sirve para delimitar el ámbito de una red
de computadoras. Su función es indicar a los dispositivos que parten de la dirección IP es el
número de la red, incluyendo la subred, con al correspondiente al host.
Funcionamiento
Mediante la máscara de red una computadora (principalmente la puerta de enlace) podrá
saber si debe enviar los datos dentro o fuera de las redes. Por ejemplo, si el ruteador tiene la
IP 192.168.1.1 y máscara de red 255.255.255.0, entiende que todo lo que se envía a una IP
que empiece por 192.168.1 va para la red local.
Supongamos que tenemos un rango de direcciones IP desde 10.0.0.0 hasta 10.255.255.255.
Si todas ellas formaran parte de la misma red, su máscara de red sería: 255.0.0.0. También
se puede escribir como 10.0.0.0/8.
Como la máscara consiste en una seguidilla de unos consecutivos, y luego ceros (si los hay),
los números permitidos para representar la secuencia son los siguientes: 0, 128, 192, 224,
240, 248, 252, 254, y 255.
La representación utilizada se define colocando en 1 todos los bits de red y en el caso de
subredes, se coloca en 1 los bits de red y los bits de host usados por las subredes. Así, en esta
forma de representación (10.0.0.0/8) el 8 sería la cantidad de bits puestos a 1 que contiene la
máscara en binario, comenzando desde la izquierda. Para el ejemplo dado (/8), sería
11111111.00000000.00000000.00000000 y en su representación en decimal sería 255.0.0.0.
Una máscara de red representada en binario son 4 octetos de bits
(11111111.11111111.11111111.11111111).
Cortafuegos y Seguridad en el Internet
24
Ejemplo
8bit x 4 octetos = 32 bit. (11111111.11111111.11111111.11111111 =
255.255.255.255)
8bit x 3 octetos = 24 bit. (11111111.11111111.11111111.00000000 =
255.255.255.0)
8bit x 2 octetos = 16 bit. (11111111.11111111.00000000.00000000 =
255.255.0.0)
8bit x 1 octetos = 8 bit. (11111111.00000000.00000000.00000000 = 255.0.0.0)
En el ejemplo 10.0.0.0/8, según lo explicado anteriormente, indicaría que la máscara de red
es 255.0.0.0.
Las máscaras de redes, se utilizan como validación de direcciones realizando una operación
AND lógica entre la dirección IP y la máscara para validar al equipo cosa que permite realizar
una verificación de la dirección de la Red y con un OR y la máscara negada se obtiene la
dirección del broadcasting.
La puerta de enlace puede ser cualquier IP dentro de ese rango, pero algunos adoptan la
norma de que cumplan el que (IP & MS)+1 = GW (Gateway, puerta de enlace). Algunos
controladores de protocolo TCP/IP rechazan todos los paquetes que no cumplen esta norma.
La puerta de enlace la utilizan los protocolos de TCP /IP para enviar aquellos paquetes cuyo
destino se encuentra fuera del rango de la subred definida por la máscara de red, si el paquete
va destinado a alguna computadora cuya IP se encuentre fuera del rango establecido por la
máscara de red, utilizarán la puerta de enlace que generalmente es un router o enrutador que
se encarga de enviarlos a otras redes. De esta manera se optimiza el trabajo que realiza la PC.
La puerta de enlace es la dirección IP del router. Dirección que ha de estar dentro de la subred,
esta dirección IP se programa en el mismo router. La mayoría de estos vienen con una
dirección de fábrica, modificable a través de un puerto serie o por red mediante http, telnet u
otros protocolos.
Cortafuegos y Seguridad en el Internet
25
Esta dirección modificable es la puerta de enlace de la red. El router generalmente tiene dos
direcciones IP cada una en un rango distinto, por ejemplo una en el rango de una subred
pequeña de 16 computadoras y otra en otra subred más grande cuyo Gateway o puerta de
enlace nos da acceso a Internet. Solo se ven entre si los equipos de cada subred o aquellos
que tengan routers y puertas de enlace bien definidas para enviar paquetes y recibir
respuestas. De este modo se forman y definen las rutas de comunicación entre computadoras
de distintas subredes. Estos dispositivos además realizan varias funciones entre ellas la
denominada NAT que consiste en llevar la cuenta del origen de los paquetes para que cuando
lleguen las respuestas sean enviadas a la computadora que procede. Cuando un router
comunica con un ISP o proveedor de servicios de Internet generalmente se les asigna una
dirección pública o externa la cual no es modificable sino asignada por la empresa
suministradora (ISP) de ADSL/RDSI. La máscara lo que determina es que los paquetes que
circulan por la LAN se acepten por alguna computadora de la misma, además determinar
que paquetes han de salir fuera de ella.
Si se escribe en el navegador una IP: 182.23.112.9, el equipo enviará la petición por web, ftp,
etc., directamente a la dirección especificada por la puerta de enlace, ningún equipo de la
subred atenderá estos paquetes por no estar dentro de su subred.
En el ejemplo anterior, la máscara da 6 bits, para programar las IP y la puerta de enlace de la
LAN, el último byte para la IP y la puerta de enlace, en nuestro ejemplo debería tomarse
entre 10000000 y 10111111, es decir, entre 128 y 191. Lo normal es otorgarle a la puerta de
enlace la dirección más baja, indicando que es el primer equipo que se instala en la LAN.
Existen softwares que programan la tarjeta en un modo llamado 'promiscuo' en el que se le
dice a la tarjeta de red que no filtre los paquetes según la norma explicada, aceptando todos
los paquetes para poder hacer un análisis del tráfico que circula por la subred y poder ser
escuchado por la PC.
Cortafuegos y Seguridad en el Internet
26
Las máscaras 255.0.0.0 (clase A), 255.255.0.0 (clase B) y 255.255.255.0 (clase C) suelen ser
suficientes para la mayoría de las redes privadas. Sin embargo, las redes más pequeñas que
podemos formar con estas máscaras son de 254 hosts y para el caso de direcciones públicas,
su contratación tiene un coste alto. Por esta razón suele ser habitual dividir las redes públicas
de clase C en subredes más pequeñas. A continuación se muestran las posibles divisiones de
una red de clase C. La división de una red en subredes se conoce como subnetting.
Tabla 1.2 Clases de máscaras en subredes
Clase Bits IP Subred IP Broadcast Máscara en decimal CIDR
A 0 0.0.0.0 127.255.255.255 255.0.0.0 /8
B 10 128.0.0.0 191.255.255.255 255.255.0.0 /16
C 110 192.0.0.0 223.255.255.255 255.255.255.0 /24
D 1110 224.0.0.0 239.255.255.255 sin definir sin definir
E 1111 240.0.0.0 255.255.255.254 sin definir sin definir
Cortafuegos y Seguridad en el Internet
27
1.8 ¿Qué es un Protocolo?
Se ha hablado de los protocolos los cuales son un método establecido para intercambiar datos,
por el cual dos computadoras establecen comunicarse.
Como seres humanos, utilizamos el lenguaje como protocolo donde se acuerda como va a ser
la comunicación entre ambos miembros de la conversación.
Un protocolo determina la siguiente:
El tipo de comprobación de errores que se utilizará.
El método de comprensión de los datos de existir.
Indicación del dispositivo que envía que ha acabado el envió del mensaje
Indicación del receptor la obtención del mensaje
El único aspecto sobre los protocolos es que un dispositivo debe soportar los elementos
adecuados para realizarse una comunicación con otros elementos de una red, este elemento
se puede implementar en hardware o en software.
Protocolo TCP/IP
Para intercambiar información entre computadores es necesario desarrollar técnicas que
regulen la transmisión de paquetes.
En 1973 aparecieron los protocolos TCP e IP, utilizados hoy en día para controlar el flujo de
datos en Internet.
El protocolo TCP (y también el UDP), se encarga de fragmentar el mensaje emitido
en paquetes. En el destino, se encarga de reorganizar los paquetes para formar de
nuevo el mensaje, y entregarlo a la aplicación correspondiente.
El protocolo IP enruta los paquetes. Esto hace posible que los distintos paquetes que
forman un mensaje pueden viajar por caminos diferentes hasta llegar al destino.
Cortafuegos y Seguridad en el Internet
28
La unión de varias redes (ARPANET y otras) en Estados Unidos, en 1983, siguiendo el
protocolo TCP/IP, puede ser considerada como el nacimiento de Internet (Interconnected
Networks.
Direcciones IP y nombres de dominio
La Corporación de Internet para los Nombres y los Números Asignados (ICANN) es la
autoridad que coordina la asignación de identificadores únicos en Internet, incluyendo
nombres de dominio, direcciones de Protocolos de Internet, números del puerto del protocolo
y de parámetros. Un nombre global unificado es esencial para que Internet funcione.
El ICANN tiene su sede en California, supervisado por una Junta Directiva Internacional con
comunidades técnicas, comerciales, académicas y ONG. El gobierno de los Estados Unidos
continúa teniendo un papel privilegiado en cambios aprobados en el Domain Name System.
Como Internet es una red distribuida que abarca muchas redes voluntariamente
interconectadas.
Cada computadora que se conecta a Internet se identifica por medio de una dirección IP. Ésta
se compone de 4 números comprendidos entre el 0 y el 255 ambos inclusivos y separados
por puntos.
No está permitido que coexistan en la Red dos computadoras distintas con la misma dirección
IP, puesto que de ser así, la información solicitada por uno de las computadoras no sabría a
cuál de ellas dirigirse.
Cada número de la dirección IP indica una sub-red de Internet, hay 4 números en la dirección,
lo que quiere decir que hay 4 niveles de profundidad en la distribución jerárquica de la Red.
Los tres primeros números indican la red a la que pertenece nuestra computadora y el último
sirve para diferenciar nuestra computadora de las otras que existan en la misma red. Esta
distribución jerárquica permite enviar y recibir rápidamente paquetes de información entre
dos computadoras conectadas en cualquier parte del Mundo y desde cualquier sub-red a la
que pertenezcan.
Un usuario de Internet, no necesita conocer ninguna de estas direcciones IP. Las manejan las
computadoras en sus comunicaciones por medio del Protocolo TCP/IP de manera invisible
para el usuario. Sin embargo, necesitamos nombrar de alguna manera a las computadoras de
Cortafuegos y Seguridad en el Internet
29
Internet, para poder elegir a cual pedir información. Esto se logra por medio de los Nombres
de Dominio.
Los nombres de dominio son la traducción para las personas de las direcciones IP, las cuales
son útiles sólo para las computadoras.
Por ejemplo, yahoo.com es un nombre de dominio.
Tabla 1.3 Dominios de organizaciones
Empresas (Compañías).
com
Instituciones de carácter Educativo, mayormente Universidades.
edu
Organizaciones no Gubernamentales.
org
Entidades del Gobierno.
gob
Instalaciones Militares.
Mil
Cortafuegos y Seguridad en el Internet
30
En el resto de los países que se unieron a Internet posteriormente se ha establecido otra
nomenclatura.
Tabla1.4 Dominios para ubicación del país de origen de la información
Por lo tanto, con sólo ver la última palabra del nombre de dominio, podemos averiguar dónde
está localizada la computadora a la que nos referimos.
Servicios de Internet
Las posibilidades que ofrece Internet se denominan servicios, cada servicio es una manera
de sacarle provecho a la Red independiente de las demás. Una persona podría especializarse
en el manejo de sólo uno de estos servicios sin necesidad de saber nada de los otros. Sin
embargo, es conveniente conocer todo lo que puede ofrecer Internet, para poder trabajar con
lo que más nos interese.
Hoy en día, los servicios más usados en Internet son: Correo Electrónico, World Wide Web,
FTP, Grupos de Noticias, y Servicios de Telefonía.
El Correo Electrónico nos permite enviar cartas escritas con la computadora a otras personas
que tengan acceso a la Red. Las cartas quedan acumuladas en Internet hasta el momento en
que se solicitan. Es entonces cuando son enviadas al destinatario para que pueda leerlas. El
correo electrónico es casi instantáneo, a diferencia del correo tradicional, y además muy
barato.
España es Reino Unido (United Kingdom) uk
Francia fr Italia it
Japón jp Australia au
Suiza ch Irlanda ir
Argentina ar México mex
Cortafuegos y Seguridad en el Internet
31
La World Wide Web, o WWW como se suele abreviar, se inventó a finales de los 80 en el
CERN, el Laboratorio de Física de Partículas más importante del Mundo. Se trata de un
sistema de distribución de información tipo revista. En la Red quedan almacenadas lo que se
llaman Páginas Web, que no son más que páginas de texto con gráficos o fotos. Aquellos que
se conecten a Internet pueden pedir acceder a dichas páginas y acto seguido éstas aparecen
en la pantalla de su computadora. Este sistema de visualización de la información
revolucionó el desarrollo de Internet, a partir de la invención de la WWW, muchas personas
empezaron a conectarse a la Red desde sus domicilios como entretenimiento.
El FTP (File Transfer Protocol) nos permite enviar ficheros de datos por Internet. Con este
servicio, muchas empresas informáticas han podido enviar sus productos a personas de todo
el mundo sin necesidad de gastar dinero en miles de disquetes ni envíos. Muchos particulares
hacen uso de este servicio para dar a conocer sus creaciones informáticas a nivel mundial.
Los Grupos de Noticias son el servicio más apropiado para entablar debate sobre temas
técnicos, este se basa en el servicio de Correo Electrónico. Los mensajes que enviamos a los
Grupos de Noticias se hacen públicos y cualquier persona puede enviarnos una contestación.
Este servicio es de gran utilidad para resolver dudas difíciles, cuya respuesta sólo la sepan
unas pocas personas en el mundo.
El servicio IRC (Internet Relay Chat) nos permite entablar una conversación en tiempo real
con una o varias personas por medio de texto. Todo lo que escribimos en el teclado aparece
en las pantallas de los que participan de la charla. También permite el envío de imágenes u
otro tipo de ficheros mientras se dialoga.
Los Servicios de Telefonía son las últimas aplicaciones que han aparecido para Internet, nos
permiten establecer una conexión con voz entre dos personas conectadas a Internet desde
cualquier parte del mundo sin tener que pagar el costo de una llamada internacional, algunos
de estos servicios incorporan no sólo voz, sino también imagen, a esto se le llama
Videoconferencia.
Cortafuegos y Seguridad en el Internet
32
1.9 Preponderancia como fuente de información
En 2009 un estudio realizado en Estados Unidos indicó que un 56% de los 3,030 adultos
estadounidenses entrevistados en una encuesta online manifestó que si tuviera que escoger
una sola fuente de información, elegiría Internet, mientras que un 21% preferiría la televisión
y tanto los periódicos como la radio sería la opción de un 10% de los encuestados, dicho
estudio ubica a los medios digitales en una posición privilegiada en cuanto a la búsqueda de
información y refleja un aumento de la credibilidad en dichos medios.
Preponderancia como fuente de trabajo
Con la aparición de Internet y de las conexiones de alta velocidad disponibles al público, se
ha alterado de manera significativa la manera de trabajar de algunas personas al poder hacerlo
desde sus respectivos hogares, ha permitido a estas mayor flexibilidad en términos de
horarios y de localización, contrariamente a la jornada laboral tradicional de 9 a 5 en la cual
los empleados se desplazan al lugar de trabajo.
Un experto contable asentado en un país puede revisar los libros de una compañía en otro
país, en un servidor situado en un tercer país que sea mantenido remotamente por los
especialistas.
Internet y sobre todo los blogs han dado a los trabajadores un foro, en el cual pueden expresar
sus opiniones sobre sus empleos, jefes y compañeros, creando una cantidad masiva de
información y de datos sobre el trabajo.
Internet ha impulsado el fenómeno de la Globalización y junto con la llamada
desmaterialización de la economía ha dado lugar al nacimiento de una Nueva Economía
caracterizada por la utilización de la red en todos los procesos de incremento de valor de la
empresa.
Cortafuegos y Seguridad en el Internet
33
Buscadores
Se define como el sistema informático que indexa archivos almacenados en servidores web
cuando se solicita información sobre algún tema. Por medio de palabras clave se realiza la
exploración y el buscador muestra una lista de direcciones con los temas relacionados.
Existen diferentes formas de clasificar los buscadores según el proceso de sondeo que
realizan, la clasificación más frecuente los divide en: índices o directorios temáticos, motores
de búsqueda y metabuscadores.
Índices o directorios temáticos
Los índices o buscadores temáticos son sistemas creados con la finalidad de diseñar un
catálogo por temas, definiendo la clasificación, por ello se puede considerar que los
contenidos ofrecidos en estas páginas tienen orden y calidad.
La función de este tipo de sistemas es presentar algunos de los datos de las páginas más
importantes, desde el punto de vista del tema y no de lo que se contiene. Los resultados de la
búsqueda de estos índices pueden ser muy limitados por que los directorios temáticos, las
bases de datos de direcciones son muy pequeñas, además de que puede ser posible que el
contenido de las páginas no esté completamente al día.
Motores de búsqueda
Este tipo de buscadores son los de uso más común, basados en aplicaciones llamadas spiders
("arañas") o robots, que buscan la información con base en las palabras escritas, haciendo
una recopilación sobre el contenido de las páginas y mostrando como resultado aquéllas que
contengan la palabra o frase en alguna parte del texto.
Metabuscadores
Los metabuscadores son sistemas que localizan información en los motores de búsqueda más
utilizados, realizan un análisis y seleccionan sus propios resultados, no tienen una base de
datos, por lo que no almacenan páginas web y realizan una búsqueda automática en las bases
de datos de otros buscadores, tomando un determinado rango de registros con los resultados
más relevantes.
Cortafuegos y Seguridad en el Internet
34
Publicidad en Internet
Internet se ha convertido en el medio más mensurable y de más alto crecimiento en la historia,
actualmente existen muchas empresas que obtienen dinero de la publicidad en Internet,
además existen mucha ventajas que la publicidad interactiva ofrece tanto para el usuario
como para los anunciantes
Tamaño de Internet
Es difícil establecer el tamaño exacto de Internet, ya que éste crece continuamente y no existe
una manera fiable de acceder a todo su contenido y por consiguiente de determinar su tamaño.
Un estudio del año 2005 usando distintos motores de búsqueda (Google, MSN,
Yahoo!, and Ask Jeeves) estimaba que existían 11.500 millones de páginas Web.
Otro estudio del año 2008 estimaba que la cantidad había ascendido a 63.000 millones
de páginas web.
Para estimar esta cantidad se usan las webs indexadas por los distintos motores de búsqueda,
pero este método no abarca todas las páginas online.
Utilizando este criterio Internet se puede dividir en:
Internet superficial: Incluye los servicios indexados por los motores de búsqueda.
Internet profunda: Incluye el resto de servicios no indexados como páginas en Flash,
páginas protegidas por contraseña, inaccesibles para las arañas, etc.
1.10 Censura
Es extremadamente difícil establecer control centralizado y global de la Internet, algunos
gobiernos de naciones tales como Irán, Arabia Saudita, Cuba, Corea del Norte y la República
Popular de China, restringen el que personas de sus países puedan ver ciertos contenidos de
Internet, políticos y religiosos, considerados contrarios a sus criterios. La censura se hace, a
veces mediante filtros controlados por el gobierno, apoyados en leyes o motivos culturales,
castigando la propagación de estos contenidos.
Cortafuegos y Seguridad en el Internet
35
Sin embargo muchos usuarios de Internet pueden burlar estos filtros, pues la mayoría del
contenido de Internet está disponible en todo el mundo, sin importar donde se esté, siempre
y cuando se tengan la habilidad y los medios técnicos necesarios.
Otra posibilidad, como en el caso de China, es que este tipo de medidas se combine con la
autocensura de las propias empresas proveedoras de servicios de Internet, serían las empresas
equivalentes a Telefónicas (proveedores de servicios de Internet), para así ajustarse a las
demandas del gobierno del país receptor.
Sin embargo algunos buscadores como Google, han tomado la decisión de amenazar al
gobierno de China con la retirada de sus servicios en dicho país si no se abole la censura en
Internet.
1.11 Tecnología de acceso a Internet
Figura 1.5 Representación de las tecnologías relacionadas al Internet actual.
Referencia: https://es.123rf.com/photo_9166127_las-mas-recientes-tecnologias-de-internet-en-el-
campo-de-la-investigacion-espacial.html
Cortafuegos y Seguridad en el Internet
36
Internet incluye aproximadamente 5.000 redes en todo el mundo y más de 100 protocolos
distintos basados en TCP/IP, que se configura como el protocolo de la red. Los servicios
disponibles en la red mundial de PC, han avanzado mucho gracias a las nuevas tecnologías
de transmisión de alta velocidad, como ADSL y Wireless, se ha logrado unir a las personas
con videoconferencia, ver imágenes por satélite, observar el mundo por webcams, hacer
llamadas telefónicas gratuitas, o disfrutar de un juego multijugador en 3D, un buen libro PDF
o álbumes y películas para descargar.
El método de acceso a Internet se realiza en la actualidad por conexiones más veloces y
estables entre ellas el ADSL, Cable Módems o el RDSI., también han aparecido formas de
acceso a través de la red eléctrica, e incluso por satélite.
También está disponible en muchos lugares públicos tales como bibliotecas, bares,
restaurantes, hoteles o cibercafés y hasta en centros comerciales. Una nueva forma de acceder
sin necesidad de un puesto fijo son las redes inalámbricas hoy presentes en aeropuertos,
universidades o poblaciones enteras.
Cortafuegos y Seguridad en el Internet
37
Capítulo II.- Ataques en el Internet
Los ataques que pueden darse dentro del Internet para ingresar a la red de cualquier empresa
se diversifican en varias opciones o tipos de los mismos.
Estos pueden variar desde un virus que se encuentra navegando por la nube del Internet hasta
ataques directos perpetrados por especialistas en el hackeo de elementos de seguridad que
son pagados por alguna empresa o curiosos.
2.1 Amenazas
Amenazas lógicas
Los protocolos de comunicación utilizados carecen de seguridad o esta ha sido implementada
en forma de "parche" tiempo después de su creación.
Por ejemplo:
Agujeros de seguridad en los sistemas operativos.
Agujeros de seguridad en las aplicaciones.
Errores en las configuraciones de los sistemas.
Carencia de información respecto al tema.
Esta lista podría seguir extendiéndose a medida que se evalúen mayor cantidad de elementos
de un Sistema Informático, las empresas u organizaciones no se pueden permitir el lujo de
denunciar ataques a sus sistemas, pues el nivel de confianza de los clientes bajaría
enormemente.
Cortafuegos y Seguridad en el Internet
38
Los Administradores tienen cada vez mayor conciencia respecto de la seguridad de sus
sistemas y arreglan por sí mismos las deficiencias detectadas, a esto hay que añadir las nuevas
herramientas de seguridad disponibles en el mercado.
Acceso - uso - autorización
La identificación de estas palabras es muy importante ya que el uso de algunas implica un
uso desapropiado de las otras.
Específicamente "Acceso" y "Hacer Uso" no son el mismo concepto cuando se estudian
desde el punto de vista de un usuario y de un intruso. Por ejemplo:
Cuando un usuario tiene acceso autorizado, implica que tiene autorizado el uso de un
recurso.
Cuando un atacante tiene acceso desautorizado está haciendo uso desautorizado del
sistema.
Cuando un atacante hace uso desautorizado de un sistema, esto implica que el acceso
fue autorizado.
Un ataque será un intento de acceso o uso desautorizado de un recurso, sea satisfactorio o no.
Un Incidente envuelve un conjunto de ataques que pueden ser distinguidos de otro grupo por
las características del mismo.
John D. Howard en su tesis estudia la cantidad de ataques que puede tener un incidente, al
concluir dicho estudio y basado en su experiencia en los laboratorios del CERT afirma que
esta cantidad varía entre 10 y 1,000 y estima que un número razonable para estudios es de
100 ataques por incidentes.
Detección de intrusos
A finales de 1996, Dan Farmer (creador de una de las herramientas más útiles en la detección
de intrusos: SATAN) realizó un estudio sobre seguridad analizando 2,203 sistemas de sitios
en Internet.
Cortafuegos y Seguridad en el Internet
39
Los sistemas de estudio fueron Web Sites orientados al comercio y con contenidos
específicos, además de un conjunto de sistemas informáticos aleatorios con los que se
realizaron comparaciones.
El estudio se realizó empleando técnicas sencillas y no intrusivas, se dividieron los problemas
potenciales de seguridad en dos grupos: rojos (red) y amarillos (yellow).
Los problemas del grupo rojo son los más serios y suponen que el sistema está abierto a un
atacante potencial, es decir, posee problemas de seguridad conocidos en disposición de ser
explotados, por ejemplo un problema un equipo que tiene el servicio de FTP anónimo mal
configurado. Los problemas de seguridad del grupo amarillo son menos serios pero también
vulnerables, estos implican que el problema detectado no compromete inmediatamente al
sistema pero puede causarle serios daños o bien, que es necesario realizar tests más intrusivos
para determinar si existe o no un problema del grupo rojo.
La tabla 2.1 resume los sistemas evaluados, el número de equipos en cada categoría y los
porcentajes de vulnerabilidad para cada uno.
Tabla 2.1 Porcentaje de vulnerabilidades por tipo de sitio
Tipo de sitio # total sitios
testeados
% total
vulnerables
%
amarillo
% rojo
Bancos 660 6834 32.73 35.61
Créditos 27 51.1 30.66 20.44
Sitos Federales
US 47 61.7 23.4 38.3
News 312 69.55 30.77 38.78
Sexo 451 66.08 40.58 25.5
Totales 1.734 64.93 33.85 31.08
Grupo
aleatorio 469 33.05 15.78 17.27
Cortafuegos y Seguridad en el Internet
40
Identificación de las amenazas
La identificación de amenazas requiere conocer los tipos de ataques, el tipo de acceso, la
forma operacional y los objetivos del atacante.
Las consecuencias de los ataques se podrían clasificar en:
Data Corruption: la información que no contenía defectos pasa a tenerlos.
Denial of Service (DoS): servicios que deberían estar disponibles no lo están.
Leakage: los datos llegan a destinos a los que no deberían llegar.
Desde 1990 hasta nuestros días, el CERT viene desarrollando una serie de estadísticas que
demuestran que cada día se registran más ataques informáticos y estos son cada vez más
sofisticados, automáticos y difíciles de rastrear.
La ilustración siguiente detalla el tipo de atacante, las herramientas utilizadas, en qué fase se
realiza el ataque, los tipos de procesos atacados, los resultados esperados y/u obtenidos y los
objetivos perseguidos por los intrusos.
Cualquier adolescente de 15 años (Script Kiddies), sin tener grandes conocimientos, pero con
una potente y estable herramienta de ataque desarrollada por los Gurús, es capaz de dejar
fuera de servicio cualquier servidor de información de cualquier organismo en Internet,
simplemente siguiendo las instrucciones que acompañan la herramienta.
Los números que siguen no pretenden alarmar a nadie ni sembrar la semilla del futuro
Hacker, evidentemente la información puede ser aprovechada para fines menos lícitos que
para los cuales fue pensada, pero esto es algo ciertamente difícil de evitar.
Cortafuegos y Seguridad en el Internet
41
Figura 2.1 Detalle de ataques
Referencia: http://www.segu-info.com.ar/ataques/ataques.htm
Cortafuegos y Seguridad en el Internet
42
Tabla 2.2 Vulnerabilidades reportadas al CERT de 1998 al 2001
Año Incidentes
reportados
Vulnerabilidades
reportadas
Mensajes
recibidos
1988 6 - 539
1989 132 - 2.868
1990 252 - 4.448
1991 406 - 9.629
1992 773 - 14.463
1993 1334 - 21.267
1994 2340 - 29580
1995 2412 171 32084
1996 2273 345 31268
1997 2134 311 39626
1998 3734 626 41871
1999 9859 417 34612
2000 21756 1090 56365
2001 15476 1151 39181
Total 63187 3747 357802
Estos incidentes sólo representan el 30% correspondiente a los Hackers,
y en 1992 el DISA realizó un estudio durante el cual se llevaron a cabo 38,000 ataques a
distintas sitios de organizaciones gubernamentales, el resultado de los ataques desde 1992 a
1995 se resume en el siguiente cuadro:
Cortafuegos y Seguridad en el Internet
43
Figura 2.2 Porcentaje de ataques
Referencia:
http://www.itsteziutlan.edu.mx/site2010/index.php?option=com_content&view=article&id=763:ins
eguridad-informatica&catid=27:artlos&Itemid=288
Cortafuegos y Seguridad en el Internet
44
Puede observarse que solo el 0,70% (267) de los incidentes fueron reportados, en el año 2000
se denunciaron 21,756 casos eso arroja 3,064225 incidentes en ese año.
Las empresas u organizaciones no se pueden permitir el lujo de denunciar ataques a sus
sistemas, pues el nivel de confianza de los clientes bajaría enormemente.
Los administradores tienen cada vez mayor conciencia respecto de la seguridad de
sus sistemas y arreglan por sí mismos las deficiencias detectadas. A esto hay que
añadir las nuevas herramientas de seguridad disponibles en el mercado.
Los "Advisories" (documentos explicativos) sobre los nuevos agujeros de seguridad
detectados y la forma de solucionarlos, lanzados por el CERT, han dado sus frutos.
2.2 Tipos de ataques
A continuación se expondrán diferentes tipos de ataques perpetrados principalmente por
Hackers. Estos ataques pueden ser realizados sobre cualquier tipo de red, sistema operativo,
usando diferentes protocolos, etc.
En los primeros tiempos, los ataques involucraban poca sofisticación técnica. Los Insiders
(operadores, programadores, data entrys) utilizaban sus permisos para alterar archivos o
registros. Los Outsiders ingresaban a la red simplemente averiguando una password válida.
A través de los años se han desarrollado formas cada vez más sofisticadas de ataque para
explotar "agujeros" en el diseño, configuración y operación de los sistemas.
a) Ingeniería Social: Es la manipulación de las personas para convencerlas de que
ejecuten acciones o actos que normalmente no realizan para que revele todo lo
necesario para superar las barreras de seguridad. Si el atacante tiene la experiencia
suficiente (generalmente es así), puede engañar fácilmente a un usuario (que
desconoce las mínimas medidas de seguridad) en beneficio propio. Esta técnica es
una de las más usadas y efectivas a la hora de averiguar nombres de usuarios y
passwords.
Cortafuegos y Seguridad en el Internet
45
Por ejemplo, suele llamarse a un usuario haciéndose pasar por administrador del
sistema y requerirle la password con alguna excusa convincente. O bien, podría
enviarse un mail (falsificando la dirección origen a nombre del administrador)
pidiendo al usuario que modifique su password a una palabra que el atacante
suministra.
Para evitar estas situaciones es conveniente tener en cuenta estas recomendaciones:
Tener servicio técnico propio o de confianza.
Instruir a los usuarios para que no respondan ninguna pregunta sobre cualquier
característica del sistema y deriven la inquietud a los responsables que tenga
competencia para dar esa información.
Asegurarse que las personas que llaman por teléfono son quien dice ser.
Por ejemplo si la persona que llama se identifica como proveedor de Internet lo
mejor es cortar y devolver la llamada a forma de confirmación.
b) Ingeniería Social Inversa: Consiste en la generación por parte de los intrusos de una
situación inversa a la originada en Ingeniería Social.
En este caso el intruso publicita de alguna manera que es capaz de brindar ayuda a
los usuarios y estos lo llaman ante algún imprevisto. El intruso aprovechará esta
oportunidad y pedir información necesaria para solucionar el problema del usuario y
el suyo propio. Esta es más difícil de llevar a cabo y por lo general se aplica cuando
los usuarios están alertados de las técnicas de la ingeniería social. Puede usarse en
algunas situaciones específicas y después de mucha preparación e investigación por
parte del intruso:
Generación de una falla en el funcionamiento normal del sistema. Generalmente esta
falla es fácil de solucionar pero puede ser difícil de encontrar por los usuarios
inexpertos (sabotaje), requiere que el intruso tenga un mínimo contacto con el
sistema.
Cortafuegos y Seguridad en el Internet
46
Comunicación a los usuarios de que la solución es brindada por el intruso
(publicidad).
Provisión de ayuda por parte del intruso encubierto como servicio técnico.
c) Trashing (Cartoneo): Generalmente un usuario anota su login y password en un
papelito y luego cuando lo recuerda lo arroja a la basura.
Este procedimiento por más inocente que parezca es el que puede aprovechar un
atacante para hacerse de una llave para entrar el sistema.
El Trashing puede ser físico (como el caso descripto) o lógico, como analizar buffers
de impresora, memoria, bloques de discos, etc.
d) Ataques de Monitorización: Este tipo de ataque se realiza para observar a la víctima
y su sistema con el objetivo de establecer sus vulnerabilidades y posibles formas de
acceso futuro.
I. Shoulder Surfing: Consiste en espiar físicamente a los usuarios para obtener el login
y su password correspondiente. El Surfing explota el error de los usuarios de dejar
su login y password anotadas cerca de la computadora (generalmente en post–it
adheridos al monitor o teclado). Cualquier intruso puede pasar por ahí, verlos y
memorizarlos para su posterior uso. Otra técnica relacionada al surfing es aquella
mediante la cual se ve por encima del hombro al usuario cuando teclea su nombre y
password.
II. Decoy: Son programas diseñados con la misma interface que otro original. En ellos
se imita la solicitud de un logeo y el usuario desprevenido lo hace, luego el programa
guardará esta información y dejará paso a las actividades normales del sistema, la
información recopilada será utilizada por el atacante para futuras visitas.
Una técnica semejante es aquella que mediante un programa se guardan todas las
teclas presionadas durante una sesión, luego solo hará falta estudiar el archivo
generado para conocer nombres de usuarios y claves.
Cortafuegos y Seguridad en el Internet
47
III. Scanning (Búsqueda): El Scaneo como método de descubrir canales de
comunicación susceptibles de ser explotados, lleva en uso mucho tiempo, la idea es
scanear tantos puertos de escucha como sea posible y guardar información de
aquellos que sean receptivos o de utilidad para cada necesidad en particular, muchas
utilidades de auditoría también se basan en este paradigma, el Scaneo de puertos
pertenece a la Seguridad Informática desde que era utilizado en los sistemas de
telefonía.
Dado que actualmente existen millones de números de teléfono a los que se pueden
acceder con una simple llamada, la solución lógica (para encontrar números que
puedan interesar) es intentar conectarlos a todos.
Scanear puertos implica las mismas técnicas de fuerza bruta se envía una serie de
paquetes para varios protocolos y se deduce que servicios están "escuchando" por
las respuestas recibidas o no recibidas.
Existen diversos tipos de Scanning según las técnicas, puertos y protocolos
explotados:
1. TCP Connect Scanning: Esta es la forma básica del scaneo de puertos TCP.
Si el puerto está escuchando, devolverá una respuesta de éxito; cualquier otro
caso significará que el puerto no está abierto o que no se puede establecer
conexión con él.
Las ventajas que caracterizan esta técnica es que no necesita de privilegios
especiales y su gran velocidad.
Su principal desventaja es que este método es fácilmente detectable por el
administrador del sistema, se verá un gran número de conexiones y mensajes
de error para los servicios en los que se ha conseguido conectar la máquina,
que lanza el scanner y también se verá su inmediata desconexión.
Cortafuegos y Seguridad en el Internet
48
2. TCP SYN Scanning: Cuando dos procesos establecen una comunicación usan
el modelo Cliente/Servidor para establecerla, la aplicación del Servidor
escucha todo lo que ingresa por los puertos.
La identificación del Servidor se efectúa a través de la dirección IP del sistema
en el que se ejecuta y del número de puerto del que depende para la conexión.
El Cliente establece la conexión con el Servidor a través del puerto disponible
para luego intercambiar datos.
La información de control de llamada HandShake se intercambia entre el
Cliente y el Servidor para establecer un dialogo antes de transmitir datos. Los
paquetes o segmentos TCP tienen banderas que indican el estado del mismo.
El protocolo TCP de Internet sobre el que se basa la mayoría de los servicios
(incluyendo el correo electrónico, el web y el IRC) implica esta conexión entre
dos máquinas. El establecimiento de dicha conexión se realiza mediante lo
que se llama Three-Way Handshake ("conexión en tres pasos") debido a que
intercambian tres segmentos. La forma esquemática se puede apreciar en la
figura 2.3:
El programa Cliente (C) pide conexión al Servidor (S) enviándole un
segmento SYN. Este segmento le dice a S que C desea establecer una
conexión.
S (si está abierto y escuchando) al recibir este segmento SYN (activa
el indicador) y envía una autentificación ACK de manera de acuse de
recibo a C. Si S está cerrado envía un indicador RST.
C entonces ACKea (autentifica) a S. Ahora ya puede tener lugar la
transferencia de datos.
Cortafuegos y Seguridad en el Internet
49
Figura 2.3 Conexión en tres pasos
Referencia: http://www.kontrol0.com/2013/04/conceptos-basico-de-una-conexion-tcp.html
Cuando las aplicaciones conectadas terminan la transferencia realizarán otra
negociación a tres bandas con segmentos FIN en vez SYN.
La técnica TCP SYN Scanning implementa un scaneo de "media-apertura",
dado que nunca se abre una sesión TCP completa, se envía un paquete SYN
(como si se fuera a usar una conexión real) y se espera por la respuesta, al
recibir un SYN/ACK se envía inmediatamente un RST para terminar la
conexión y se registra este puerto como abierto.
La principal ventaja de esta técnica de escaneo es que pocos sitios están
preparados para registrarlos. La desventaja es que en algunos sistemas Unix
necesitan privilegios de administrador para construir estos paquetes SYN.
3. TCP FIN Scanning– Stealth Port Scanning: Hay veces en que incluso el
scaneo SYN no es lo suficientemente clandestino o limpio, algunos sistemas
(Firewalls y filtros de paquetes) monitorizan la red en busca de paquetes
SYN a puertos restringidos.
Cortafuegos y Seguridad en el Internet
50
Para subsanar este inconveniente los paquetes FIN podrían ser capaces de
pasar sin ser advertidos. Este tipo de Scaneo está basado en la idea de que los
puertos cerrados tienden a responder a los paquetes FIN con el RST
correspondiente. Los puertos abiertos en cambio suelen ignorar el paquete en
cuestión.
Este es un comportamiento correcto del protocolo TCP aunque algunos
sistemas, entre los que se hallan los de Microsoft® no cumplen con este
requerimiento enviando paquetes RST siempre independientemente de si el
puerto está abierto o cerrado. Como resultado no son vulnerables a este tipo
de scaneo, sin embargo es posible realizarlo en otros sistemas Unix.
Este último es un ejemplo en el que se puede apreciar que algunas
vulnerabilidades, se presentan en la aplicación de tecnologías y no sobre sus
implementaciones.
Muchos de los problemas globales de vulnerabilidades son inherentes al
diseño original de algunos protocolos.
4. Fragmentation Scanning: Esta no es una nueva técnica de scaneo como tal,
sino una modificación de las anteriores, en lugar de enviar paquetes completos
de sondeo, los mismos se particionan en un par de pequeños fragmentos IP,
así se logra partir una cabecera IP en distintos paquetes para hacerlo más
difícil de monitorizar por los filtros que pudieran estar ejecutándose en la
máquina objetivo.
Sin embargo algunas implementaciones de estas técnicas tienen problemas
con la gestión de este tipo de paquetes tan pequeños causando una caída de
rendimiento en el sistema del intruso o en el de la víctima, problemas de esta
índole convierte en detectables a este tipo de ataque.
5. Eavesdropping–Packet Sniffing: Muchas redes son vulnerables al
Eavesdropping, o a la pasiva intercepción (sin modificación) del tráfico de
red.
Cortafuegos y Seguridad en el Internet
51
Esto se realiza con Packet Sniffers, los cuales son programas que monitorean
los paquetes que circulan por la red. Los Sniffers pueden ser colocados tanto
en una estación de trabajo conectada a la red como a un equipo Router o a un
Gateway de Internet y esto puede ser realizado por un usuario con legítimo
acceso o por un intruso que ha ingresado por otras vías.
Cada máquina conectada a la red verifica la dirección destino de los paquetes
TCP. Si estas direcciones son iguales asume que el paquete enviado es para
ella, caso contrario libera el paquete para que otras lo analicen.
Un Sniffer consiste en colocar a la placa de red en un modo llamado
promiscuo, el cual desactiva el filtro de verificación de direcciones y por lo
tanto todos los paquetes enviados a la red llegan a esta placa (computadora
donde está instalado el Sniffer). Inicialmente este tipo de software era
únicamente utilizado por los administradores de redes locales, aunque con el
tiempo llegó a convertirse en una herramienta muy usada por los intrusos.
Actualmente existen Sniffers para capturar cualquier tipo de información
específica. Por ejemplo passwords de un recurso compartido o de acceso a
una cuenta, que generalmente viajan sin encriptar al ingresar a sistemas de
acceso remoto. También son utilizados para capturar números de tarjetas de
crédito y direcciones de e-mails entrantes y salientes tambien puede ser
utilizado para determinar relaciones entre organizaciones e individuos.
6. Snooping–Downloading: Los ataques de esta categoría tienen el mismo
objetivo que el Sniffing: obtener la información sin modificarla sin embargo
los métodos son diferentes.
Además de interceptar el tráfico de red el atacante ingresa a los documentos,
mensajes de correo electrónico y otra información guardada, realizando en la
mayoría de los casos un downloading (copia de documentos) de esa
información a su propia computadora, para luego hacer un análisis exhaustivo
de la misma.
Cortafuegos y Seguridad en el Internet
52
El Snooping puede ser realizado por simple curiosidad, pero también es
realizado con fines de espionaje y robo de información o software. Los casos
más resonantes de este tipo de ataques fueron: el robo de un archivo con más
de 1700 números de tarjetas de crédito desde una compañía de música
mundialmente famosa, y la difusión ilegal de reportes oficiales reservados de
las Naciones Unidas, acerca de la violación de derechos humanos en algunos
países europeos en estado de guerra.
e) Ataques de Autenticación: Este tipo de ataque tiene como objetivo engañar al sistema
de la víctima para ingresar al mismo, generalmente este engaño se realiza tomando
las sesiones ya establecidas por la víctima u obteniendo su nombre de usuario y
password.
Spoofing-Looping: Puede traducirse como "hacerse pasar por otro" y el objetivo de
esta técnica, justamente es actuar en nombre de otros usuarios, usualmente para
realizar tareas de Snooping o Tampering.
Una forma común de Spoofing es conseguir el nombre y password de un usuario
legítimo, una vez ingresado al sistema para tomar acciones en nombre de este. El
intruso usualmente utiliza un sistema para obtener información e ingresar en otro, y
luego utiliza este para entrar en otro y así sucesivamente. Este proceso llamado
Looping tiene la finalidad de evaporar la identificación y la ubicación del atacante.
El camino tomado desde el origen hasta el destino puede tener muchas estaciones que
exceden los límites de un país.
Otra consecuencia del Looping es que una compañía o gobierno pueden suponer que
están siendo atacados por un competidor o una agencia de gobierno extranjera,
cuando en realidad están seguramente siendo atacado por un Insider o por un
estudiante a miles de Kilómetros de distancia pero que ha tomado la identidad de
otros.
Cortafuegos y Seguridad en el Internet
53
La investigación de procedencia de un Looping es casi imposible ya que el
investigador debe contar con la colaboración de cada administrador de cada red
utilizada en la ruta.
El envío de falsos e-mails es otra forma de Spoofing que las redes permiten. Aquí el
atacante envía e-mails a nombre de otra persona con cualquier motivo y objetivo. Tal
fue el caso de una universidad en USA que en 1998, se reprogramo una fecha
completa de exámenes, esto debido a que alguien que uso el nombre de la secretaría
había cancelado la fecha verdadera.
Muchos ataques de este tipo comienzan con Ingeniería Social y los usuarios, por falta
de cultura facilitan a extraños sus identificaciones dentro del sistema usualmente
través de una simple llamada telefónica.
Spoofing: Este tipo de ataques (sobre protolocos) suele implicar un buen
conocimiento del protocolo en el que se va a basar el ataque. Los ataques tipo
Spoofing bastante conocidos son el IP Spoofing, el DNS Spoofing y el Web Spoofing.
IP Spoofing: Con el IP Spoofing el atacante genera paquetes de Internet con una
dirección de red falsa en el campo From, pero que es aceptada por el destinatario del
paquete, su utilización más común es enviar los paquetes con la dirección de un
tercero, de forma que la víctima "ve" un ataque proveniente de esa tercera red y no la
dirección real del intruso, este tipo de ataques se pueden representar en la figura 2.4.
DNS Spoofing: Este ataque se consigue mediante la manipulación de paquetes UDP
pudiéndose comprometer el servidor de nombres de dominios (Domain Name
Server–DNS) de Windows NT©.
Si se permite el método de recursión en la resolución de "Nombre«Dirección IP" en
el DNS, es posible controlar algunos aspectos del DNS remoto. La recursión consiste
en la capacidad de un servidor de nombres para resolver una petición de dirección IP
a partir de un nombre que no figura en su base de datos. Este es el método de
funcionamiento por defecto.
Cortafuegos y Seguridad en el Internet
54
Figura 2.4 Ataque spoofing
Referencia: http://www.segu-info.com.ar/ataques/ataques_autenticacion.htm
Denial of Service (DoS): Este ataque se consigue mediante la manipulación de
paquetes UDP pudiéndose comprometer el servidor de nombres de dominios
(Domain Name Server–DNS) de Windows NT©. Si se permite el método de
recursión en la resolución de "Nombre«Dirección IP" en el DNS, es posible controlar
algunos aspectos del DNS remoto.
La recursión consiste en la capacidad de un servidor de nombres para resolver una
petición de dirección IP a partir de un nombre que no figura en su base de datos, este
es el método de funcionamiento por defecto.
Web Spoofing: En el caso Web Spoofing el atacante crea un sitio web completo
(falso) similar al que la víctima desea entrar. Los accesos a este sitio están dirigidos
por el atacante permitiéndole monitorear todas las acciones de la víctima desde sus
datos hasta las passwords, números de tarjeta de créditos, etc. El atacante también es
libre de modificar cualquier dato que se esté transmitiendo entre el servidor original
y la víctima o viceversa.
Cortafuegos y Seguridad en el Internet
55
IP Splicing–Hijacking: Se produce cuando un atacante consigue interceptar una
sesión ya establecida el atacante espera a que la víctima se identifique ante el sistema
y tras ello le suplanta como usuario autorizado.
El servidor al recibir estos datos no detectará el cambio de origen ya que los campos
que ha recibido como secuencia y ACK son los que esperaba recibir. El cliente a su
vez quedará esperando datos como si su conexión estuviera colgada y el atacante
podrá seguir enviando datos mediante el procedimiento descripto.
Utilización de BackDoors: Las puertas traseras son trozos de código en un programa
que permiten a quien las conoce saltarse los métodos usuales de autentificación para
realizar ciertas tareas. Habitualmente son insertados por los programadores del
sistema para agilizar la tarea de probar código durante la fase de desarrollo. Esta
situación se convierte en una falla de seguridad si se mantiene involuntaria o
intencionalmente, una vez terminado el producto ya que cualquiera que conozca el
agujero o lo encuentre en su código podrá saltarse los mecanismos de control
normales.
Utilización de Exploits: Es muy frecuente ingresar a un sistema explotando agujeros
en los algoritmos de encriptación utilizados en la administración de las claves por
parte la empresa o simplemente encontrando un error en los programas utilizados.
Los programas para explotar estos "agujeros" reciben el nombre de Exploits y lo que
realizan es aprovechar la debilidad, fallo o error hallado en el sistema para ingresar
al mismo.
Cortafuegos y Seguridad en el Internet
56
Obtención de Passwords: Este método comprende la obtención por "Fuerza Bruta" de
aquellas claves que permiten ingresar a los sistemas, aplicaciones, cuentas, etc.
Muchas passwords de acceso son obtenidas fácilmente porque involucran el nombre
u otro dato familiar del usuario y además esta nunca o rara vez se cambia. En este
caso el ataque se simplifica e involucra algún tiempo de prueba y error.
Otras veces se realizan ataques sistemáticos con la ayuda de programas especiales y
"diccionarios" que prueban millones de posibles claves hasta encontrar la password
correcta.
Uso de Diccionarios: Los Diccionarios son archivos con millones de palabras, las
cuales pueden ser posibles passwords de los usuarios. Este archivo es utilizado para
descubrir dicha password en pruebas de fuerza bruta.
Un software será el encargado de probar cada una de las palabras encriptadas,
mediante el algoritmo utilizado por el sistema atacado y compara la palabra
encriptada contra el archivo de passwords de este sistema, si coinciden se habrá
encontrado la clave de acceso al sistema.
Actualmente es posible encontrar diccionarios de gran tamaño orientados, a un área
específica de acuerdo al tipo de organización que se esté atacando.
En la tabla 2.3 podemos observar el tiempo de búsqueda de una clave de acuerdo a su
longitud y tipo de caracteres utilizados. La velocidad de búsqueda se supone en
100,000 passwords por segundo, aunque este número suele ser mucho mayor
dependiendo del programa utilizado.
Cortafuegos y Seguridad en el Internet
57
Tabla 2.3 Cantidad de claves generadas según el número de caracteres que se
emplean
Denial of Service (DoS): Los protocolos existentes actualmente fueron diseñados
para ser empleados en una comunidad abierta y con una relación de confianza mutua.
La realidad indica que es más fácil desorganizar el funcionamiento de un sistema que
acceder al mismo; así los ataques de Negación de Servicio tienen como objetivo
saturar los recursos de la víctima de forma tal que se inhabilita los servicios brindados
por la misma.
Más allá del simple hecho de bloquear los servicios del cliente, existen algunas
razones importantes por las cuales este tipo de ataques pueden ser útiles a un atacante:
1. Se ha instalado un troyano y se necesita que la víctima reinicie la máquina
para que surta efecto.
2. Se necesita cubrir inmediatamente sus acciones o un uso abusivo de CPU. Para
ello provoca un "crash" del sistema.
3. El intruso cree que actúa bien al dejar fuera de servicio algún sitio web que le
disgusta, esta accion es común en sitios pornográficos, religiosos o de abuso de
menores.
Cantidad de
caracteres
26-Letras
minúsculas
36-Letras
y dígitos
52-Mayusculas
y minúsculas
96-Todos los
caracteres
6 51 minutos 6 horas 2,3 días 3 meses
7 22,3 horas 9 días 4 meses 24 años
8 24 días 10,5 meses 17 años 2,288 años
9 21 meses 32,6 años 890 años 210,601 años
10 45 años 1,160 años 45,840 años 21,081,705 años
Cortafuegos y Seguridad en el Internet
58
4. El administrador del sistema quiere comprobar que sus instalaciones no son
vulnerables a este tipo de ataques.
5. El administrador del sistema tiene un proceso que no puede detener en su
servidor y debido a este no puede acceder al sistema. Para ello, lanza contra sí
mismo un ataque deteniendo los servicios.
Jamming o Flooding: Este tipo de ataques desactivan o saturan los recursos del
sistema. Por ejemplo, un atacante puede consumir toda la memoria o espacio en disco
disponible, así como enviar tanto tráfico a la red para que nadie más pueda utilizarla.
Aquí el atacante satura el sistema con mensajes que requieren establecer conexión.
Sin embargo, en vez de proveer la dirección IP del emisor, el mensaje contiene falsas
direcciones IP usando Spoofing y Looping.
El sistema responde al mensaje, pero como no recibe respuesta, acumula buffers con
información de las conexiones abiertas, evitando las conexiones legítimas. Muchos
ISPs (proveedores de Internet) han sufrido bajas temporales del servicio por ataques
que explotan el protocolo TCP. Muchos Hosts de Internet han sido dados de baja por
el "ping de la muerte" (una versión-trampa del comando ping). Mientras que el ping
normal simplemente verifica si un sistema esta enlazado a la red, el ping de la muerte
causa el bloqueo instantáneo del equipo.
Esta vulnerabilidad ha sido ampliamente utilizada en el pasado pero, aun se pueden
encontrar sistemas vulnerables, otra acción común es la de enviar millares de emails
sin sentido a todos los usuarios posibles en forma continua, saturando los sistemas
destinos.
Syn Flood: Como ya se explicó en el TCP SYN Scanning el protocolo TCP se basa
en una conexión en tres pasos. Pero, si el paso final no llega a establecerse, la
conexión permanece en un estado denominado "semiabierto". El SYN Flood es el
más famoso de los ataques del tipo Denial of Service publicado por primera vez en la
revista under Phrack.
Cortafuegos y Seguridad en el Internet
59
El Cliente envía un paquete SYN pero no responde al paquete ACK ocasionando que
el protocolo TCP/IP espere cierta cantidad de tiempo a que el Host hostil responda
antes de cerrar la conexión. Si se crean muchas peticiones incompletas de conexión,
el Servidor estará inactivo mucho tiempo esperando respuesta. Esto ocasiona la
lentitud en los demás servicios. SYN Flood aprovecha la mala implementación del
protocolo TCP, funcionando de la siguiente manera:
I. Se envía al destino, una serie de paquetes TCP con el bit SYN activado,
(petición de conexión) desde una dirección IP Spoofeada. Esta última debe ser
inexistente para que el destino no pueda completar el saludo con el cliente.
II. Aquí radica el fallo de TCP: ICMP reporta que el cliente es inexistente, pero
TCP ignora el mensaje y sigue intentando terminar el saludo con el cliente de
forma continua.
III. Cuando se realiza un Ping a una máquina, está tiene que procesarlo, aunque
se trate de un proceso sencillo siempre consume recursos del sistema. Si son
varios a la vez, la máquina se vuelve más lenta, si lo que recibe son miles de
solicitudes, puede que el equipo deje de responder.
IV. Es obligatorio que la IP origen sea inexistente, porque el destinatario no
logrará responderle al cliente con un SYN/ACK y como esa IP no la solicito
ninguna conexión, se responde al objetivo con un RST y el ataque no tendrá
efecto, el problema es que muchos sistemas operativos tienen un límite muy bajo
en el número de conexiones "semiabiertas" que pueden manejar en un momento
determinado.
Si se supera ese límite el servidor sencillamente dejará de responder a las nuevas
peticiones de conexión que le vayan llegando.
Cortafuegos y Seguridad en el Internet
60
Estas van caducando tras un tiempo, liberando "huecos" para nuevas conexiones,
pero mientras el atacante mantenga el SYN Flood, la probabilidad de que una
conexión recién liberada sea capturada por un nuevo SYN malicioso es muy alta.
Connection Flood: La mayoría de las empresas que brindan servicios de Internet (ISP)
tienen un límite máximo en el número de conexiones simultáneas. Una vez que se
alcanza ese límite, no se admitirán conexiones nuevas, por ejemplo un servidor Web
puede tener, capacidad para atender a mil usuarios simultáneos.
Si un atacante establece mil conexiones y no realiza ninguna petición sobre ellas,
saturaría la capacidad del servidor. Las conexiones van caducando por inactividad
poco a poco, pero el atacante sólo necesita intentar nuevas conexiones, para mantener
fuera de servicio el servidor.
Net Flood: En estos casos la red víctima no puede hacer nada. Aunque filtre el tráfico
en sus sistemas, sus líneas estarán saturadas con tráfico malicioso, incapacitándolas
para cursar tráfico útil. Un ejemplo habitual es el de un teléfono, si alguien quiere
molestar sólo tiene que llamar de forma continua. Si se descuelga el teléfono, tampoco
se puede recibir llamadas de otras personas.
Este problema es habitual, cuando alguien intenta mandar un fax empleando el
número de voz, el fax insiste durante horas, sin que el usuario destino pueda hacer
nada al respecto.
En casos así el primer paso a realizar es el ponerse en contacto con el Proveedor del
servicio para que intente determinar la fuente del ataque y como medida provisional
filtre el ataque en su extremo de la línea.
El siguiente paso consiste en localizar las fuentes del ataque e informar a sus
administradores, si el atacante emplea IP Spoofing, el rastreo puede ser casi
imposible, ya que en muchos casos la fuente del ataque es, a su vez la víctima y el
origen y por ello puede ser prácticamente imposible de determinar.
Cortafuegos y Seguridad en el Internet
61
Land Attack: Este ataque consiste en un Bug (error) en la implementación de la pila
TCP/IP de las plataformas Windows©. El ataque consiste en mandar a algún puerto
abierto de un servidor un paquete maliciosamente construido con la dirección y
puerto origen igual que la dirección y puerto destino.
Por ejemplo se envían un mensaje desde la dirección 10.0.0.1 hacia ella misma. El
resultado obtenido es que luego de cierta cantidad de mensajes enviados–recibidos la
máquina termina colgándose. Existen ciertas variantes a este método consistente, por
ejemplo, en enviar el mensaje a una dirección específica sin especificar el puerto.
Smurf o Broadcast Storm: Este ataque es bastante simple y a su vez devastador.
Consiste en recolectar una serie de direcciones BroadCast para despues mandar una
petición ICMP, simulando un Ping a cada una de ellas en serie, varias veces
falsificando la dirección IP de origen. Este paquete maliciosamente manipulado será
repetido en difusión y cientos o miles de hosts mandarán una respuesta a la víctima
cuya dirección IP figura en el paquete ICMP.
Suponiendo que se considere una red de tipo C la dirección de BroadCast sería .255;
por lo que el simple envío de un paquete se convierte en un efecto multiplicador
devastador.
La solución está en manos de los administradores de red, los cuales deben configurar
adecuadamente sus routers para filtrar los paquetes ICMP de petición indeseada, o
bien configurar sus máquinas para que no respondan a dichos paquetes, este método
se representa en la figura 2.5.
Cortafuegos y Seguridad en el Internet
62
Figura 2.5 Ataque Smurf
Referencia: http://www.segu-info.com.ar/ataques/ataques_dos.htm
También se podría evitar el ataque si el Router/Firewall de salida del atacante
estuviera convenientemente configurado para evitar Spoofing. Esto lo haría mediante
el filtrando de todos los paquetes de salida que tuvieran una dirección de origen que
no perteneciera a la red interna.
Cortafuegos y Seguridad en el Internet
63
OOB, Supernuke o Winnuke: Un ataque característico y quizás el más común de los
equipos con Windows©, hace que los equipos que escuchan por el puerto NetBIOS
sobre TCP/UDP 137 a 139 queden fuera de servicio o disminuyan su rendimiento al
enviarle paquetes UDP manipulados. Generalmente se envían fragmentos de paquetes
Out Of Band, que la máquina víctima detecta como inválidos pasando a un estado
inestable. OOB es el término normal, pero realmente consiste en configurar el bit
Urgente (URG) en los indicadores del encabezamiento TCP, lo que significa que este
bit es válido. Este ataque puede prevenirse instalando los parches adecuados
suministrado por el fabricante del sistema operativo afectado. Un filtro efectivo
debería garantizar la detección de una inundación de bits Urgentes.
Teardrop I y II-Newtear-Bonk-Boink: Al igual que el Supernuke, los ataques
Teardrop I y Teardrop II afectan a fragmentos de paquetes. Algunas
implementaciones de colas IP no vuelven a armar correctamente los fragmentos que
se superponen, haciendo que el sistema se cuelgue. Los ataques tipo Teardrop son
especialmente peligrosos ya que existen multitud de implementaciones (algunas de
ellas forman paquetes) que explotan esta debilidad. Las más conocidas son aquellas
con el nombre Newtear, Bonk y Boink.
E–Mail Bombing–Spamming: El e-mail Bombing consiste en enviar muchas veces
un mensaje idéntico a una misma dirección, saturando así el mailbox del destinatario.
El Spamming, en cambio se refiere a enviar un e–mail a miles de usuarios, hayan
estos solicitados el mensaje o no. Es muy utilizado por las empresas para publicitar
sus productos.
f) Ataques de Modificación – Daño: En esta categoría podemos encontrar:
Tampering o Data Diddling: Esta categoría se refiere a la modificación desautorizada
de los datos o el software instalado en el sistema víctima. Son particularmente serios
cuando el que lo realiza ha obtenido derechos de Administrador o Supervisor, con la
capacidad de disparar cualquier comando y por ende alterar o borrar cualquier
información que puede incluso terminar en la baja total del sistema.
Cortafuegos y Seguridad en el Internet
64
No hubo intenciones de "bajar" el sistema por parte del atacante; el Administrador
posiblemente necesite darlo de baja por horas o días hasta chequear y tratar de
recuperar aquella información que ha sido alterada o borrada.
Como siempre, esto puede ser realizado por Insiders o Outsiders, generalmente con
el propósito de fraude o de dejar fuera de servicio a un competidor.
Son innumerables los casos de este tipo: empleados bancarios que crean falsas cuentas
para derivar fondos de otras cuentas, estudiantes que modifican calificaciones de
exámenes o contribuyentes que pagan para que se les anule una deuda impositiva.
Múltiples Web Sites han sido víctimas del cambio en sus páginas por imágenes
terroristas, La utilización de programas troyanos y difusión de virus está dentro de
esta categoría.
Borrado de Huellas: El borrado de huellas es una de las tareas más importantes que
debe realizar el intruso después de ingresar en un sistema, porque si se detecta su
ingreso, el administrador buscará como conseguir "tapar el hueco" de seguridad,
evitar ataques futuros e incluso rastrear al atacante.
Las Huellas son todas las tareas que realizó el intruso en el sistema y por lo general
son almacenadas en Logs (archivo que guarda la información de lo que se realiza en
el sistema) por el sistema operativo.
Los archivos Logs son una de las principales herramientas (y el principal enemigo del
atacante) con las que cuenta un administrador para conocer los detalles de las tareas
realizadas en el sistema y la detección de intrusos.
Ataques Mediante Java Applets: Java es un lenguaje de programación interpretado y
desarrollado inicialmente por la empresa SUN. Su mayor popularidad la merece por
su alto grado de seguridad, los navegadores implementan Máquinas Virtuales Java
(MVJ) para ser capaces de ejecutar programas (Applets) de Java.
Cortafuegos y Seguridad en el Internet
65
Estos Applets al fin y al cabo, no son más que código ejecutable y como tal,
susceptible de ser manipulado por intrusos. Sin embargo partiendo del diseño, Java
siempre ha pensado en la seguridad del sistema. Las restricciones a las que somete a
los Applets son de tal envergadura que es muy difícil lanzar ataques. Sin embargo,
existe un grupo de expertos especializados en descubrir fallas de seguridad en las
implementaciones de las MVJ.
Ataques Mediante JavaScript y VBScript: Java Script (de la empresa Netscape®) y
VBScript (de Microsoft®) son dos lenguajes usados por los diseñadores de sitios Web
para evitar el uso de Java, los programas realizados son interpretados por el
navegador.
Aunque los fallos son mucho más numerosos en versiones antiguas de JavaScript,
actualmente se utilizan para explotar vulnerabilidades específicas de navegadores y
servidores de correo debido a que no se realiza ninguna evaluación sobre el código.
Ataques Mediante ActiveX: ActiveX es una de las tecnologías más potentes que ha
desarrollado Microsoft®. Mediante ActiveX es posible reutilizar código, descargar
código totalmente funcional de un sitio remoto, etc.
Está soluciona los problemas de seguridad mediante certificados y firmas digitales,
una Autoridad Certificadora expende un certificado que acompaña a los controles
activos y a una firma digital del programador.
Cuando un usuario descarga una página con un control, se le preguntará si confía en
la AC que expendió el certificado y/o en el control ActiveX. Si el usuario acepta el
control, éste puede pasar a ejecutarse sin ningún tipo de restricciones (sólo las propias
que tenga el usuario en el sistema operativo). Es decir, la responsabilidad de la
seguridad del sistema se deja en manos del usuario, ya sea este un experto cibernauta
consciente de los riesgos que puede acarrear la acción o un perfecto novato en la
materia, esta última característica es el mayor punto débil de los controles ActiveX
ya que la mayoría de los usuarios aceptan el certificado sin siquiera leerlo, pudiendo
ser esta la fuente de un ataque con un control dañino.
Cortafuegos y Seguridad en el Internet
66
La filosofía ActiveX es que las Autoridades de Certificación se fían de la palabra del
programador del control. Es decir, el programador se compromete a firmar un
documento que asegura que el control no es nocivo. Evidentemente siempre hay
programadores con pocos escrúpulos o con ganas de experimentar.
por ejemplo un conocido grupo de hackers alemanes, desarrolló un control ActiveX
maligno que modificaba el programa de Gestión Bancaria Personal Quicken95© de
tal manera que si un usuario aceptaba el control, éste realizaba la tarea que
supuestamente tenía que hacer y además modificaba el Quicken, para que la próxima
vez la víctima se conectara a su banco, se iniciara automáticamente una transferencia
a una cuenta del grupo alemán.
Otro control ActiveX malévolo es aquel que manipula el código de ciertos
exploradores, para que éste no solicite confirmación al usuario a la hora de descargar
otro control activo de la Web. Es decir, deja totalmente descubierto el sistema de la
víctima a ataques con tecnología ActiveX. La autentificación de usuarios mediante
Certificados y las Autoridades
Vulnerabilidades en los Navegadores: Generalmente los navegadores no fallan por
fallos intrínsecos, sino que fallan las tecnologías que implementan, como pueden ser
los Buffer Overflow.
Los "Buffer Overflows" consisten en explotar una debilidad relacionada con los
buffers que la aplicación usa para almacenar las entradas de usuario. Por ejemplo,
cuando el usuario escribe una dirección en formato URL ésta se guarda en un buffer
para luego procesarla, si no se realizan las oportunas operaciones de comprobación,
un usuario podría manipular estas direcciones.
Los protocolos usados pueden ser por ejemplo HTTP, pero también otros menos
conocidos, internos de cada explorador, como el "res:" o el "mk:". Precisamente
existen fallos de seguridad del tipo "Buffer Overflow" en la implementación de estos
dos protocolos.
Cortafuegos y Seguridad en el Internet
67
Por ejemplo:
www.servidor.com/_vti_bin/..%c0%af../..%c0%af../..%c0%af../winnt/system32/cm
d.exe?/c+dir+c:\
Devuelve el directorio de la unidad c: del servidor deseado. Para poder lanzar este
tipo de ataques hay que tener un buen conocimiento de lenguaje Assembler y de la
estructura interna de la memoria del sistema operativo utilizado o bien leer la
documentación de sitios web donde explican estas fallas. Algunas versiones de
Microsoft Internet Explorer©, podían ser utilizadas para ejecutar la aplicación que se
deseara siempre que existiera en la computadora de la víctima.
g) Ataque de denegación de servicio:
En seguridad informática, un ataque de denegación de servicio, también llamado
ataque DoS (de las siglas en inglés Denial of Service) es un ataque a un sistema de
computadoras o red que causa que un servicio o recurso sea inaccesible a los usuarios
legítimos. Normalmente provoca la pérdida de la conectividad de la red por el
consumo del ancho de banda de la red de la víctima o sobrecarga de los recursos
computacionales del sistema de la víctima.
Se genera mediante la saturación de los puertos con flujo de información, haciendo
que el servidor se sobrecargue y no pueda seguir prestando servicios, por eso se le
"denegación", pues hace que el servidor no brinde los servicios a los usuarios. Esta
técnica es usada por los llamados hackers para dejar fuera de servicio a servidores
objetivo. Una ampliación del ataque Dos es el llamado ataque distribuido de
denegación de servicio, también llamado ataque DDoS (de las siglas en inglés
Distributed Denial of Service) el cual lleva a cabo generando un gran flujo de
información desde varios puntos de conexión. La forma más común de realizar un
DDoS a través de una botnet, siendo esta técnica el ciberataque más usual y eficaz.
Cortafuegos y Seguridad en el Internet
68
Figura 2.6 Diagrama de un ataque DDoS usando el software Stacheldraht
Referencia: http://juliapetit.com.br/quatroolho/servico-google-anti-ataque-ddos/
Esta herramienta ha sido utilizada como un notable método para comprobar la capacidad de
tráfico que una computadora puede soportar sin volverse inestable y perjudicar los servicios
que desempeña. Un administrador de redes puede así conocer la capacidad real de cada
máquina.
2.3 Errores de diseño, implementación y operación
Muchos sistemas están expuestos a "agujeros" de seguridad que son explotados para acceder
a archivos, obtener privilegios o realizar sabotaje. Estas vulnerabilidades ocurren por
variadas razones y miles de "puertas invisibles" son descubiertas en sistemas operativos,
aplicaciones de software, protocolos de red, browsers de Internet, correo electrónico y toda
clase de servicios informáticos disponibles.
Cortafuegos y Seguridad en el Internet
69
Los Sistemas operativos abiertos (como Unix y Linux) tienen agujeros más conocidos y
controlados que aquellos que existen en sistemas operativos cerrados, como Windows©.
La importancia y ventaja del código abierto radica en que miles de usuarios analizan dicho
código en busca de posibles bugs y ayudan a obtener soluciones en forma inmediata.
Constantemente encontramos en Internet avisos de nuevos descubrimientos de problemas de
seguridad (y herramientas de Hacking que los explotan), por lo que hoy también se hace
indispensable contar con productos que conocen esas debilidades, puedan diagnosticarlas y
actualizar el programa afectado con el parche adecuado.
2.4 Métodos de ataque
Un ataque de "Denegación de servicio" impide el uso legítimo de los usuarios al usar un
servicio de red, el ataque se puede dar de muchas formas, pero todas tienen algo en común:
utilizan el protocolo TCP/IP para conseguir su propósito.
Un ataque DoS puede ser perpetrado en un número de formas. Aunque básicamente consisten
en:
Consumo de recursos computacionales, tales como ancho de banda, espacio de disco
o tiempo de procesador.
Alteración de información de configuración, tales como información de rutas de
encaminamiento.
Alteración de información de estado, tales como interrupción de sesiones TCP (TCP
reset).
Interrupción de componentes físicos de red.
Obstrucción de medios de comunicación entre usuarios de un servicio y la víctima,
de manera que ya no puedan comunicarse adecuadamente.
Inundación SYN (SYN Flood)
Cuando una máquina se comunica mediante TCP/IP con otra, envía una serie de datos junto
a la petición real.
Cortafuegos y Seguridad en el Internet
70
Estos datos forman la cabecera de la solicitud. Dentro de la cabecera se encuentran unas
señalizaciones llamadas Flags. Estas señalizaciones permiten iniciar una conexión, cerrarla,
indicar que una solicitud es urgente, reiniciar una conexión, etc. Estas s se incluyen tanto en
la solicitud de cliente, como en la respuesta del servidor.
A continuación se específica como es el intercambio estándar TCP/IP:
Establecer Conexión: El cliente envía una Flag SYN, y si el servidor acepta la
conexión, debería responderle con un SYN/ACK luego el cliente debería responder
con una Flag ACK.
1-Cliente --------SYN-----> 2 Servidor
4-Cliente <-----SYN/ACK---- 3 Servidor
5-Cliente --------ACK-----> 6 Servidor
Resetear Conexión: Al haber algún error o perdida de paquetes de envío se establece
envío de Flags RST.
1-Cliente -------Reset-----> 2-servidor
4-Cliente <----Reset/ACK---- 3-Servidor
5-Cliente --------ACK------> 6-Servidor
La inundación SYN envía un flujo de paquetes TCP/SYN, muchas veces con la dirección de
origen falsificada. Cada uno de los paquetes recibidos es tratado por el destino como una
petición de conexión, causando que el servidor intente establecer una conexión al responder
con un paquete TCP/SYN-ACK y esperando el paquete de respuesta TCP/ACK. Sin
embargo, debido a que la dirección de origen es falsa o la dirección IP real no ha solicitado
la conexión, nunca llega la respuesta. Estos intentos de conexión consumen recursos en el
servidor y limitan el número de conexiones que se pueden hacer, reduciendo la disponibilidad
del servidor para responder peticiones legítimas de conexión.
SYN cookies provee un mecanismo de protección contra Inundación SYN, eliminando la
reserva de recursos en el host destino, para una conexión en momento de su gestión inicial.
Cortafuegos y Seguridad en el Internet
71
Inundación ICMP (ICMP Flood)
Es una técnica DoS que pretende agotar el ancho de banda de la víctima. Consiste en enviar
de forma continuada un número elevado de paquetes ICMP Echo request de tamaño
considerable a la víctima, de forma que esta ha de responder con paquetes ICMP Echo reply
lo que supone una sobrecarga tanto en la red como en el sistema de la víctima.
Dependiendo de la relación entre capacidad de procesamiento de la víctima y el atacante, el
grado de sobrecarga varía, es decir, si un atacante tiene una capacidad mucho mayor, la
víctima no puede manejar el tráfico generado.
SMURF
Existe una variante a ICMP Flood denominado Ataque Smurf que amplifica
considerablemente los efectos de un ataque ICMP.
Existen tres partes en un Ataque Smurf: El atacante, el intermediario y la víctima.
En el ataque Smurf, el atacante dirige paquetes ICMP tipo "echo request" (ping) a una
dirección IP de broadcast, usando como dirección IP origen, la dirección de la víctima
(Spoofing). Se espera que los equipos conectados respondan a la petición, usando Echo reply
a la máquina origen. Se dice que el efecto es amplificado, debido a que la cantidad de
respuestas obtenidas, corresponde a la cantidad de equipos en la red que puedan responder.
Todas estas respuestas son dirigidas a la víctima intentando colapsar sus recursos de red, los
intermediarios también sufren los mismos problemas que las propias víctimas.
Inundación UDP (UDP Flood)
Este ataque consiste en generar grandes cantidades de paquetes UDP contra la víctima
elegida. Debido a la naturaleza sin conexión del protocolo UDP, este tipo de ataques suele
venir acompañado de IP Spoofing.
Es usual dirigir este ataque contra máquinas que ejecutan el servicio Echo, de forma que se
generan mensajes Echo de un elevado tamaño.
Cortafuegos y Seguridad en el Internet
72
2.5 Hackers
Un hacker es una persona que pertenece a una de estas comunidades o subculturas distintas
pero no completamente independientes:
Gente apasionada por la seguridad informática. Esto concierne principalmente a
entradas remotas no autorizadas por medio de redes de comunicación como Internet.
Pero también incluye a aquellos que depuran y arreglan errores en los sistemas y a
los de moral ambigua como son los "Grey hats".
Una comunidad de entusiastas programadores y diseñadores de sistemas originada
en los 60´s alrededor del Instituto Tecnológico de Massachusetts (MIT), el Tech
Model Railroad Club (TMRC) y el Laboratorio de Inteligencia Artificial del MIT,
esta comunidad se caracteriza por el lanzamiento del movimiento de software libre.
La World Wide Web e Internet en sí misma son creaciones de hackers.
La comunidad de aficionados a la informática doméstica, centrada en el hardware
posterior a los 70´s y en el software de entre los 80´s y 90´s.
En la actualidad se usa de mal forma para referirse mayormente a los criminales informáticos,
debido a su utilización masiva por parte de los medios de comunicación desde la década de
1980. A los criminales se les pueden sumar los llamados "script kiddies", gente que invade
computadoras, usando programas escritos por otros, y que tiene muy poco conocimiento
sobre cómo funcionan. Este uso parcialmente incorrecto se ha vuelto tan predominante que,
en general un gran segmento de la población no es consciente de que existen diferentes
significados.
Mientras que los hackers aficionados reconocen los tres tipos de hackers y los especialistas
de la seguridad informática aceptan todos los usos del término, los hackers del software libre
consideran la referencia a intrusión informática como un uso incorrecto de la palabra y se
refieren a los que rompen los sistemas de seguridad como "crackers".
Cortafuegos y Seguridad en el Internet
73
El emblema hacker, un proyecto para crear un símbolo reconocible para la percepción de la
cultura hacker.
Figura 2.7 Emblema del hacker
Referencia: http://www.elmundo.es/tecnologia/2013/12/14/52ac1bc622601dc21c8b4571.html
Controversia de la definición de hacker
Los términos hacker y hack tienen connotaciones positivas e irónicamente también negativas.
Los programadores informáticos suelen usar las palabras hacking y hacker para expresar
admiración por el trabajo de un desarrollador de software cualificado, pero también se puede
utilizar en un sentido negativo para describir una solución rápida pero poco elegante a un
problema. Algunos desaprueban el uso del hacking como un sinónimo de cracker, con el
resto del mundo, en el que la palabra hacker se utiliza normalmente para describir a alguien
que "hackea" un sistema con el fin de eludir o desactivar las medidas de seguridad.
Activismo
Entre los hackers existen diferentes perfiles, desde los filósofos libertarios, amantes de la
anarquía hasta los que simplemente investigan avances técnicos.
Cortafuegos y Seguridad en el Internet
74
Entre ellos se encuentran adolescentes amantes de Internet, videojuegos y todo lo relacionado
a la tecnología.
En los años 80 se empezó a popularizar el informático Kevin Mitnick el cual saliendo en
todos los periódicos ya que fue el primer mártir de la causa, liberado después de varios años
en la cárcel.
Desde el año 2002-2003 se ha ido configurando una perspectiva más amplia del hacker, pero
con una orientación a su integración al hacktivismo en tanto movimiento. Aparecen espacios
autónomos denominados hacklab y los hackmeeting como instancias de diálogo de hackers.
Desde esta perspectiva, se entiende al hacker como una persona que es parte de una
conciencia colectiva que promueve la libertad del conocimiento y la justicia social.
En este caso, los roles de un hacker pueden entenderse en cuatro aspectos:
Apoyar procesos de apropiación social o comunitaria de las tecnologías.
Poner a disposición del dominio público el manejo técnico y destrezas alcanzadas
personal o grupalmente.
Crear nuevos sistemas, herramientas y aplicaciones técnicas y tecnológicas para
ponerlas a disposición del dominio público.
Realizar acciones de hacktivismo tecnológico con el fin de liberar espacios y defender
el conocimiento común o mancomunal.
Terminología
En el Jargon File de Eric S. Raymon, la gran Biblia para hackers se puede encontrar una
diversidad de definiciones de hackers, como son:
Alguien que disfruta explorando los sistemas y programas y sabe cómo sacarles el
máximo provecho, al contrario que la mayoría de los usuarios que prefieren conocer
sólo lo imprescindible.
Entusiasta de la programación.
Alguien que aprecia el valor de hackear. Por ejemplo una persona que es buena
programando de forma rápida.
Cortafuegos y Seguridad en el Internet
75
Experto en un programa concreto o que es especialmente hábil en el manejo de un
programa dado ejemplo un hacker de UNIX.
La ética hacker defiende la libertad absoluta de información: libre acceso y libre distribución,
por lo que está estrechamente relacionada con la ética open source. Para muchos defender
tanto la libertad es algo muy parecido a defender la rebelión contra el sistema y es cierto que
hay un buen número de hackers que utilizan sus conocimientos para agredir al poder
establecido en forma de instituciones o grandes corporaciones, pero el sensacionalismo que
han despertado es absolutamente desmedido.
Cracker es un término acuñado por los hackers hacia 1985 para defenderse contra la mala
utilización que hacían los periodistas de la palabra hacker y que se refiere al que rompe la
seguridad de un sistema. Los crackers forman pequeños grupos, secretos y privados, que
tienen muy poco que ver con la cultura abierta que se describe en el mundo hacker. Todos
los hackers tienen habilidades de sobra para convertirse en crackers, pero han resistido la
tentación y se mantienen dentro de la legalidad e incluso rechazan frontalmente a los caídos,
cuando un hacker responde a la llamada del lado oscuro de la fuerza se convierte un cracker.
Esto ha llevado a que se les den diversos nombres tomando en cuenta la acción que realizan:
a) Sombrero blanco y sobrero negro: Un hacker de sombrero blanco se refiere a una ética
hacker que se centra en asegurar y proteger los sistemas de Tecnologías de información y
comunicación. Estas personas suelen trabajar para empresas de seguridad informática.
Por el contrario un hacker de sombrero negro, también conocidos como "crackers" muestran
sus habilidades en informática rompiendo sistemas de seguridad de computadoras,
colapsando servidores, entrando a zonas restringidas, infectando redes o apoderándose de
ellas, entre otras muchas cosas utilizando sus destrezas en métodos hacking.
Cortafuegos y Seguridad en el Internet
76
En los últimos años, los términos sombrero blanco y un sombrero negro han sido aplicados
a la industria del posicionamiento en buscadores. Las tácticas de posicionamiento en
buscadores de los hackers de sombrero negro, también llamada spamdexing, intento de
redireccionar los resultados de la búsqueda a páginas de destino particular, son una moda que
está en contra de los términos de servicio de los motores de búsqueda, mientras que los
hackers de sombrero blanco, utilizan métodos que son generalmente aprobados por los
motores de búsqueda.
b) Samurái: Normalmente es alguien contratado para investigar fallos de seguridad, que
investiga casos de derechos de privacidad esté amparado por la primera enmienda
estadounidense o cualquier otra razón de peso que legitime acciones semejantes. Los
samuráis desdeñan a los crackers y a todo tipo de vándalos electrónicos, también se dedican
a hacer y decir cómo saber sobre la seguridad con sistemas en redes.
c) Phreaker: De phone freak, son personas con conocimientos amplios tanto en teléfonos
modulares (TM), como en teléfonos móviles.
d) Wannabe: Generalmente son aquellos a los que les interesa el tema de hacking y/o
phreaking pero que por estar empezando no son reconocidos por la elite. Son aquellos que si
perseveran aprendiendo y estudiando pueden llegar a convertirse perfectamente en hackers.
No por ser novato es repudiado, al igual que tampoco hay que confundirlo con un lammer.
e) Lammer o script-kiddies: Es un término coloquial inglés aplicado a una persona con falta
de madurez, sociabilidad y habilidades técnicas o inteligencia, que por lo general pretenden
hacer hacking sin tener conocimientos de informática. Solo se dedican a buscar y descargar
programas de hacking para luego ejecutarlos, como resultado de la ejecución de los
programas descargados estos pueden terminar colapsando sus sistemas por lo que en general
acaban destrozando la plataforma en la que trabajan.
Son aprendices que presumen ser lo que no son, aprovechando los conocimientos del hacker
y poniéndolos en práctica, sin saber. En pocas palabras, no saben nada de hacking o roban
programas de otros, frecuentemente recién hechos y dicen que los crearon ellos.
Cortafuegos y Seguridad en el Internet
77
f) Newbie: Newbie es un término utilizado comúnmente en comunidades en línea para
describir a un novato, en esta área, es el que no posee muchos conocimientos en el tema.
g) Sneaker: Aquel individuo contratado para romper los sistemas de seguridad por las
empresas e instituciones con la intención de subsanar dichos errores.
h) Bigot (fanático): Una persona que es férrea partidaria de un lenguaje de programación, de
un particular sistema operativo o una computadora en concreto.
i) Spod: Alguien que reúne todos los aspectos negativos de un geek, pero que no cuenta con
ninguna de sus ventajas, se mueve por la Red aprovechando sus ventajas pero sin interesarse
lo más mínimo es su funcionamiento o en ningún tipo de filosofía.
j) Lurker: Se refiere a la mayoría de personas que de manera silenciosa sólo participa en los
foros.
n) Warez: Los que se dedican a obtener, desproteger o distribuir copias ilegales de software
propietario
2.6 Software de espionaje informático
En la actualidad el espionaje ha llegado hasta los sistemas informáticos de las redes de
computadoras debido a la necesidad de obtener información de los usuarios de computadoras
que tienen acceso a las mismas, para de esta manera poder perpetrar delitos en contra de
estos.
Los espías generaron programas capaces de introducirse casi invisiblemente dentro de la
computadora del usuario y esconderse, que cuando este nota que es espiado a pasado un
tiempo razonablemente largo.
Cortafuegos y Seguridad en el Internet
78
¿Cuál es la naturaleza del spyware?
El Spyware es un software diseñado para espiar. Son programas que se instalan en su PC de
modo automático o que vienen camuflados en la instalación de programas más respetables.
Por ejemplo al navegar en páginas pornográficas, es común que las mismas instalen en su PC
algún Spyware, pero las páginas pornográficas no son las únicas que utilizan estos métodos.
En el segundo caso, es frecuente en los programas freeware que uno instala, que los mismos
tengan algún componente espía. Algunos de estos programas de intercambios de archivos,
packs de emoticones para MSN Messenger, servicios de mensajería, programas aceleradores
de descargas, juegos gratis, etc.
¿Cómo actúa el spyware?
El software espía tiene básicamente dos métodos de acción:
Forzar al usuario a ver determinadas cosas o utilizar determinados programas e
interfaces.
Extraer información de la computadora del usuario.
Muchas páginas de descargas gratis fraudulentas instalan, por ejemplo, algún dialer en su
computadora, cuando se entra a un portal para bajar determinados archivos ringtones,
emoticones, etc y mientras navega, se instala subrepticiamente un software en la PC. Además
existen programas que se instalan para modificar el funcionamiento habitual de Windows, el
navegador Explorer u otras herramientas vinculadas a Internet. El Internet Explorer es la
víctima más habitual de estas invasiones, por ejemplo instalando una barra de búsqueda no
deseada o instalando programas que comienzan a lanzar popups (ventanas emergentes) de
publicidad.
Cortafuegos y Seguridad en el Internet
79
Otro problema que concierne a los Spywares es el espionaje electrónico, un software espía
que se instala en la PC y comienza a mandar información hacia algún servidor. Esta
información puede ser leída a través de las cookies de la navegación, monitorear y obtener
estadísticas de las páginas que se visualizan, analizar qué programas se tiene en la PC e
informarlos a los interesados. Las cookies, son pequeños archivos que muchos portales
instalan en la computadora y que es una práctica totalmente normal, esos pequeños archivos
memorizan el tiempo que estuvo el usuario en ese portal, recuerdan claves y logines, etc. Por
ejemplo cada vez que se entra a Hotmail y aparece el nombre y password para tener acceso,
se debe a que la web está leyendo una cookie que posee dichos datos, eso es normal y es
razonable. Una cookie no es un programa espía, pero lo que sí hace un programa espía es leer
cookies propias y ajenas y despachar esa información por Internet a alguien que está
esperando dichos datos para leerlos. Es importante diferenciar entre software espía y una
invasión de hacking. El software espía extrae información con fines puramente estadísticos,
es más que probable que Microsoft tenga un dispositivo de este tipo para tener una idea real
de la base de instalaciones de Windows legales que existe en el mundo. Esto sirve para hacer
estudios de marketing, evaluar campañas publicitarias o analizar la base de visitantes de un
portal o usuarios de un programa. Diferente a que un hacker acceda a la PC, obtenga la
información de sus logines y claves y acceda a las cuentas de correo y a las tarjetas de crédito.
Mientras que el software espía es estadístico y sus datos se acumulan con los de miles de
otros usuarios, el ataque hacker es individual y tiende a explotar esa información para
beneficio propio y abusar de servicios en su nombre, Aunque en ambos casos sigue siendo
una invasión a la privacidad.
Muchos softwares espías son realmente invisibles, excepto que se haga un análisis profundo
de la computadora. Otros son más pesados y evidentes, por ejemplo al observar algún ícono
no deseado al lado de la conexión de Internet o notando que la navegación se ha vuelto más
lenta. Un acelerador de descargas gratuito, puede tener un software espía incluido, el cual no
se puede inutilizar, porque al mismo tiempo se desinstalaría el software de descarga.
Cortafuegos y Seguridad en el Internet
80
Otros programas espía se instalan generalmente porque el usuario simplemente no lee las
advertencias o porque indican otra cosa de lo que realmente es. Pero como muchos usuarios
no entienden inglés o no saben del alcance real de estos programas, instalan todo y después
comienza el problema de los popups y de la navegación demasiado lenta.
El mayor problema del Spyware es que es aceptado, no está visto como dañino, pero si
molesto, no es repudiado universalmente como los virus y por tal motivo, no hay
herramientas permanentes para prevenirlos. Al tener un antivirus instalado que se actualiza
automáticamente por Internet se está cubriendo el 90% de los casos. El 10% restante responde
a aquellos que abren todos los correos y todos los archivos extraños o bien que lo sorprenda
un virus altamente dañino creado hoy y que aún no haya actualización disponible para
descargar.
Se puede instalar un Firewall para protegerlo de ataques hacker, y que pueden detectar la
mayoría de programas que intentan instalarse sin autorización en la PC, o bien si ya se han
instalado, le advierte que intenta sacar datos hacia Internet.
El mayor inconveniente del Spyware está en cómo se instala en la PC. En muchos casos es
sumamente complejo o incluso imposible anularlos, algunos Spyware poseen su propio
desinstalador pero no se está a la vista. En el caso de Windows se puede ir al Panel de Control
y encontrarse en "Agregar / Quitar Programas" que hay software que simplemente usted
nunca instaló y ni siquiera encuentra un ícono en el escritorio o en la barra de inicio, desde
allí puede desinstalarlo, en otros casos más graves el software espía se disemina y actúa como
un verdadero virus, pero no destruye los datos de la PC.
En el caso de ciertas barras de búsqueda se instala un programa protegido en la carpeta Temp
de Windows que no se puede borrar, esté vive en la memoria y se clona en el disco, en algunos
casos se deba examinar dicha barra y encontrar una opción de desinstalación que
generalmente llama a la web del programa y le hace descargar un desinstalador que en
algunos casos no siempre funciona.
Cortafuegos y Seguridad en el Internet
81
El software anti-espía es una opción que podría resultar dañino como el software espía, por
ejemplo Ad Aware o SpyBot Search and Destroy consiguen en la mayoría de los casos
inutilizar al Spyware pero estos tienen acceso a los registros de Windows.
¿Cómo combatir al spyware?
Hay una serie de reglas que pueden ayudar a prolongar el sistema operativo, ciertamente el
Spyware es un fenómeno generalizado, y nadie está exento de ello. Las siguientes son
medidas de seguridad para evitar la instalación de Spywares.
No descargar programas en páginas desconocidas.
Evitar descargar packs de emoticones que no sean correspondiente al software que
se usa.
Instalar un Firewall, que alertarán de intentos de egreso e ingreso de datos de la PC.
Cuando se ha detectado que hay un software espía en la PC, se tiene que identificar e
intentar desinstalarlo normalmente como cualquier software.
2.7 ¿Qué se requiere para sobrevivir a los ataques de Internet?
Se deben de seguir las siguientes reglas para proteger los datos almacenados en las
computadoras de redes gubernamentales y comerciales, las cuales fueron publicadas en la
Guía Federal Computer Week's Survivors Guide.
Participaron en la discusión que llevó a la creación de esta guía, siete reconocidos expertos,
los cuáles sugirieron las siguientes seis maneras de protegerse contra los mayores ataques
que hoy día podrían afectar a las redes de computadoras.
Estas reglas se basan en lo que los especialistas denominan "seguridad en puntos finales", lo
cual consiste en implementar y mejorar la seguridad en los equipos de mesa, laptops y
dispositivos móviles. A este nivel, los estándares acerca de la configuración de equipos y el
uso de cortafuegos que se configuran de manera remota, se consideran como parte de las
pocas herramientas y técnicas que resultan realmente útiles a la hora de la verdad.
Cortafuegos y Seguridad en el Internet
82
1. Definir el problema
La mejor defensa, es una defensa en profundidad, mucha gente se preocupa principalmente
en tomar medidas de seguridad en un área específica y dejan desprotegidas las demás. La
recomendación es implementar al menos 5 capas de otras tantas políticas de defensa, con
procedimientos y tecnología para sobrevivir a los ataques a través de las redes. Los
cortafuegos, los sistemas de detección de intrusos y el cifrado de datos, son algunos de los
ejemplos de tecnología proactiva utilizada hoy día por muchas empresas. Los mecanismos
de alertas en tiempo real, son útiles para identificar las amenazas y estar preparados a los
efectos de implementar las medidas necesarias para mitigarlas. Es un hecho que la mayoría
de las empresas no destinan los suficientes recursos para proteger su infraestructura, lo que
se ve reflejado en un aumento notorio del tiempo necesario para responder a una amenaza
que compromete la información almacenada en sus computadoras. Lo que se recomienda es
mantener a una persona encargada exclusivamente para esto, con la visión necesaria y el
suficiente poder de decisión en la organización, a la hora de obtener y gestionar recursos.
Es necesario contar con una persona con la suficiente experiencia y el conocimiento para
realizar este trabajo, pues no se trata solo de comprar e instalar aplicaciones, sino de alguien
que pueda manejar los mecanismos necesarios de forma dinámica. Esto incluye el manejo
responsable de la información que se recibe antes de que realmente se produzca el ataque
(noticias de nuevas vulnerabilidades y mecanismos para mitigarlas, aún antes de que estén
disponibles los parches o de que surja un nuevo virus que explote la amenaza).
Interpretando y manejando esta información, es más fácil detener un ataque que provenga de
Internet, antes que se convierta en un problema mayor si hay que atacarlo desde el interior
de la propia red.
2. Consolidar estándares y poder de adquisición
En el caso de las organizaciones gubernamentales, casi todas suelen trabajar de forma
independiente, lo que se traduce en que cada organización compra y configura sus redes de
acuerdo a su propia conveniencia. Lo que se aconseja es que se trabaje con una autoridad
central a la hora de adquirir productos, lo que reduciría los costos de forma significativa.
Cortafuegos y Seguridad en el Internet
83
Además, se cumpliría así con uno de los puntos más importantes en toda estrategia de
seguridad: la estandarización, de ese modo, se podría compartir información sobre amenazas
y vulnerabilidades entre las distintas organizaciones. También en el caso de las empresas
privadas se debería implementar la estandarización, si el trabajo del encargado es ver a través
de todas las unidades de negocios y manejar los costos relacionados, entonces lo mejor es
manejar un estándar de seguridad con el fin de tener la certeza de que las distintas
organizaciones estén implementando los mecanismos adecuados. Al hablar de la
estandarización se deben tomar en cuenta las distintas actividades de las organizaciones, de
tal modo que pueda lograr una diferenciación de actividades y una correcta implementación
de herramientas.
3. Pensar en los riesgos
A pesar de las distintas leyes, regulaciones, requerimientos y guías para manejar la seguridad
en las tecnologías de la información, los encargados de las áreas de TI no están teniendo el
suficiente cuidado como deberían, pues las amenazas son diferentes cada día, evolucionando
constantemente para poder burlar los dispositivos de seguridad. Los chicos malos son más
inteligentes cada día.
Mucha gente, incluyendo organismos gubernamentales, piensan que como ningún
acontecimiento cibernético (hasta ahora), ha causado alguna perdida en vidas humanas, la
seguridad de las redes no necesita tener una prioridad tan alta. Sin embargo, las
probabilidades que ocurra un acontecimiento de tal magnitud, están aumentando cada día.
No se trata de gastar en soluciones, se trata de realizar un análisis de riesgos e identificar la
mejor solución.
4. Corrección de la configuración
Crear un programa completo de seguridad, puede volver locos a los encargados de la misma,
a la hora de intentar satisfacer las distintas necesidades con determinados productos, podría
ayudar mucho el realizar una estandarización en la configuración de equipos de mesa y
laptops.
Cortafuegos y Seguridad en el Internet
84
Administrar la configuración, permite que el aplicar parches de seguridad a determinadas
aplicaciones, resulte menos costoso, lo cual ayuda a que las personas tengan sus sistemas con
los parches adecuados, y en el tiempo adecuado, en el caso de que una laptop no esté
configurada de forma estándar o no tenga el software de seguridad aplicado en los equipos
de mesa, la decisión adecuada sería no permitir el acceso a la red de dicho equipo hasta que
no se adopten estos estándares.
También los dispositivos móviles inalámbricos deben cumplir un estándar a los efectos de
poder acceder a la red de datos de la organización.
5. Gente preparada, redes más seguras
La tarea de preparar gente en el área de la seguridad informática, es algo que está siendo
tomado muy en serio por las universidades, pero en este momento no existe la cantidad
suficiente de personas con el conocimiento adecuado para realizar este trabajo.
Es cada vez más notorio que las mayores amenazas pueden provenir de los propios usuarios
desde dentro de la red de la organización, por lo que en algunos casos es necesario mantener
un registro de lo que está realizando cada individuo y controlar cualquier intento de pretender
escalar privilegios.
6. Identificar problemas y reaccionar rápido
Es muy común en los ambientes de seguridad de cómputos y redes, el esperar un ataque y
preocuparse por él cuando éste ocurra. Pero ese no debe ser el comportamiento estándar. No
se debe esperar un ataque para reaccionar cuando ocurra.
Por el contrario, se debe implementar una infraestructura adecuada, preparada para contener
las amenazas y actuar de forma proactiva antes que ocurran los ataques.
La necesidad de tener respuestas automáticas es uno de los comportamientos ideales ante la
variedad de amenazas a la red que surgen hoy día. Esto implica no sólo aquellas amenazas
que nos puedan afectar, sino también cualquiera que tenga poca probabilidad de que ello
ocurra.
Cortafuegos y Seguridad en el Internet
85
En un escenario típico los proveedores de servicios se enteran de un ataque cuando el mismo
está sucediendo, los grandes proveedores analizan constantemente el tráfico de sus redes
principales (backbone) y venden ese servicio a los ISP más pequeños, lo cual permite
prevenir a sus usuarios antes de que los mismos alcancen a los consumidores.
Cortafuegos y Seguridad en el Internet
86
Capítulo III.- Red Privada Virtual (VPN) y su seguridad
3.1 Definición de Red Privada Virtual (VPN)
Uno de los mayores problemas de una empresa o de algún usuario a la hora de implantar y
mantener una red local de los equipos de cómputo es la seguridad. Por ejemplo supongamos
ahora que una empresa abre una nueva oficina a kilómetros de distancia y desea que dicha
oficina esté conectada con la principal, de la misma manera que están conectados todas las
computadoras de una misma oficina. En este caso la única salida posible es pasar a través de
Internet, pero claro, ya no tenemos control sobre el tráfico una vez que los datos salgan al
exterior y antes de que lleguen a la otra oficina, nuestra información por un momento estará
a la vista de todo aquel que sepa buscarla, este es un riesgo que nadie debería estar dispuesto
a correr.
Por suerte hay una solución sencilla y barata para esta situación, la VPN (Virtual Private
Network o Red Privada Virtual). Una VPN es una extensión de una red local que permite
conectar dos o más puntos de manera segura, es como si entre las dos oficinas distanciadas
por kilómetros, se tendiera un inmenso cable de red, sólo que la VPN hace uso de la misma
red de acceso a Internet, por lo que no hay que gastar tiempo y dinero en conectar físicamente
en realizar la mencionada conexión entre oficinas.
El surgimiento de las Redes Privadas Virtuales (VPN) ha ofrecido ventajas muy amplias
a las corporaciones, siendo la principal de ellas la reducción de costos de instalación y
mantenimiento de forma muy significativa.
Cortafuegos y Seguridad en el Internet
87
Se puede definir a una VPN de la siguiente manera:
Una Red Privada Virtual (VPN, Virtual Private Network) es una red privada que
utiliza la infraestructura de una red pública para poder transmitir información.
Figura 3.1 VPN: una red virtual
Referencia: http://www.telypc.com/vpn.html
Una VPN combina dos conceptos: redes virtuales y redes privadas. En una red virtual,
los enlaces de la red son lógicos y no físicos, la topología de esta red es independiente de
la topología física de la infraestructura utilizada para soportarla. Un usuario de una red
virtual no será capaz de detectar la red física, el sólo podrá ver la red virtual.
Normalmente, VPN usa una tecnología denominada tunneling a la hora de establecer la
comunicación entre dos puntos. El tunneling simplemente hace uso de un protocolo especial
(normalmente SSH) para crear un “túnel”, por el que circulan todos los datos desde un
extremo a otro. Este “túnel” en realidad es la misma información que se manda pero
encriptada por la acción del protocolo seguro de comunicación, lo cual hace que nuestros
datos no puedan ser vistos por agentes externos.
Cortafuegos y Seguridad en el Internet
88
Otro de los usos más extendidos de las VPN es para facilitar el acceso remoto a una red local,
un ejemplo clásico lo tenemos en los empleados que deben acceder a la red del trabajo desde
su portátil cuando se encuentran desplazados. Las redes privadas son definidas como redes
que pertenecen a una misma entidad administrativa, un ejemplo típico de esta clase de
red es una intranet corporativa, la cual puede ser utilizada sólo por los usuarios
autorizados. De los conceptos de red privada y red virtual es como nace el concepto de
red privada virtual, debido al hecho de ser una red privada que utiliza una red pública, la
cuestión de la seguridad en una VPN es muy importante, ya que la información que circula
en una red pública puede ser vista por cualquiera si no se toman las debidas precauciones.
Y en una red pública como Internet existen muchas personas malintencionadas que siempre
están dispuestas a robar información. Es por eso que una VPN debe de poseer excelentes
mecanismos de autenticación y de encriptación de la información para que ésta viaje
segura a través de una red pública.
3.2 Terminología de VPN
El término VPN comenzó a aplicarse a las redes Frame Relay o ATM públicas o a un
servicio de acceso remoto basado en la red pública de telefonía conmutada (PSTN).
Las redes Frame Relay pueden implementarse de forma pública o privada, pues bien
a las redes públicas Frame Relay se les dio el nombre de VPN, así como también a
las redes públicas ATM, estos servicios de VPN eran proporcionados por un proveedor,
el cual conectaba las redes de diferentes organizaciones a su red ATM o Frame Relay.
Otros proveedores utilizan el término en referencia a los servicios provistos sobre sus
redes de datos privadas (como es el caso de Telmex, Avantel y Alestra). Pero las
expectativas creadas por la utilización de Internet y de IP en general como medio de
transporte son tan altas que incluso algunos expertos han redefinido el concepto de VPN
como una red que soporta transporte de datos privados sobre infraestructura IP pública.
Y la infraestructura IP por excelencia es Internet, la red de datos más pública que existe,
de esta forma el término VPN se está aplicando cada vez más a las redes privadas que
transportan datos utilizando Internet.
Cortafuegos y Seguridad en el Internet
89
3.3 Componentes de una VPN
Los componentes básicos de una VPN son:
Servidor VPN
Túnel
Conexión VPN
Red pública de tránsito
Cliente VPN
Figura 3.2 Componentes de una VPN
Referencia: http://braynerlinares.blogspot.mx/2010/09/redes-vpn.html
Para emular un vínculo punto a punto en una VPN, los datos se encapsulan o
empaquetan con un encabezado que proporciona la información de enrutamiento que
permite a los datos recorrer la red pública hasta alcanzar su destino. Para emular un
vínculo privado, los datos se cifran para asegurar la confidencialidad. Los paquetes
interceptados en la red compartida o pública no se pueden descifrar si no se dispone de
las claves de cifrado. La parte de la conexión en la cual los datos privados son
encapsulados es conocida como túnel. La parte de la conexión en la que se encapsulan y
cifran los datos privados se denomina conexión VPN.
Cortafuegos y Seguridad en el Internet
90
3.4 Arquitectura de una VPN
Existen básicamente dos tipos de arquitectura para una VPN, los cuales son:
VPN de acceso remoto
VPN de sitio a sitio
La VPN de sitio a sitio también puede ser llamada VPN LAN a LAN o VPN POP a POP.
Las VPN de sitio a sitio se dividen a su vez en VPN extranet y VPN intranet.
Las VPN de acceso remoto se dividen en VPN Dial-up y VPN directas.
VPN de acceso remoto
Proporciona acceso remoto a una intranet o extranet corporativa. Una VPN de acceso
remoto permite a los usuarios acceder a los recursos de la compañía siempre que lo
requieran, con el cliente VPN instalado en un dispositivo, el usuario es capaz de
conectarse a la red corporativa, no importa donde se encuentre.
Las VPN de acceso remoto ahorran costos a las empresas ya que los usuarios sólo
necesitan establecer una conexión con un ISP local, pagándose solamente la llamada local
y olvidándose de realizar llamadas de larga distancia. El cliente de acceso remoto inicia
una conexión VPN a través de Internet con el servidor VPN de la compañía. Una vez
que se ha establecido el enlace, el usuario puede acceder a los recursos de la intranet
privada de la empresa.
VPN dial-up: en esta VPN, el usuario realiza una llamada local al ISP utilizando un
módem, aunque se trata de una conexión lenta es todavía muy común. El uso de este tipo
de VPN se da más entre los usuarios móviles, ya que no en todos los lugares a donde se
viaja se pueden tener disponibles conexiones de alta velocidad.
VPN directa: en esta VPN, se utilizan las tecnologías de conexión a Internet de alta
velocidad, tales como DSL y módem de cable las cuales ya ofrecen muchos ISP.
Actualmente se pueden obtener conexiones a Internet desde el hogar utilizando estas
tecnologías.
Cortafuegos y Seguridad en el Internet
91
Figura 3.3 VPN de acceso remoto
Referencia: http://karennz.blogspot.mx/
VPN de sitio a sitio
Las VPN de sitio a sitio son utilizadas para conectar sitios geográficamente separados de
una corporación. Como ya se explicó anteriormente, en las redes tradicionales las distintas
oficinas de una corporación son conectadas utilizando tecnologías como T1, E1, ATM o
Frame Relay.
Con una VPN, es posible conectar las LAN corporativas utilizando Internet. El envío
de información se realiza a través de una conexión VPN, de esta forma se puede crear
una WAN utilizando una VPN. Una empresa puede hacer que sus redes se conecten
utilizando un ISP local y establezcan una conexión de sitio a sitio a través de Internet.
Los costos de la comunicación se reducen enormemente porque el cliente sólo paga
por el acceso a Internet, las oficinas remotas se conectan a través de túneles creados
sobre Internet. Con el uso de la infraestructura de Internet, una empresa puede desechar
la difícil tarea de tener que estar administrando los dispositivos como los que se utilizan
en las WAN tradicionales.
Cortafuegos y Seguridad en el Internet
92
VPN intranet. Las VPN intranet se utilizan para la comunicación interna de una
compañía.
Figura 3.4 VPN intranet
Referencia: http://technet.microsoft.com/en-us/library/cc958052.aspx
VPN extranet: estas VPN enlazan clientes, proveedores, socios o comunidades de interés
con una intranet corporativa, como se muestra en la figura 3.5 Se puede implementar
una VPN extranet mediante acuerdo entre miembros de distintas organizaciones, las
empresas disfrutan de las mismas normas que las de una red privada.
Cortafuegos y Seguridad en el Internet
93
Figura 3.5 VPN extranet con conexión permanente Referencia:http://karennz.blogspot.mx/2012/05/arquitectura-de-una-vpn.html
3.5 Tipos de VPN
Existen diferentes formas de que una organización puede implementar una VPN. Cada
fabricante o proveedor ofrece diferentes tipos de soluciones VPN, cada corporación
tendrá que decidir la que más le convenga. Los tipos diferentes de VPN son:
VPN de firewall
VPN de router y de concentrador
VPN de sistema operativo
VPN de aplicación
VPN de proveedor de servicios
VPN de firewall
Un firewall llamado también cortafuegos o servidor de seguridad, es un sistema de
seguridad que implanta normas de control de acceso entre dos o más redes.
Cortafuegos y Seguridad en el Internet
94
Se trata de un filtro que controla todas las comunicaciones que pasan de una red a la otra y
en función de lo que sean, permite o deniega su paso. Para permitir o denegar una
comunicación el firewall examina el tipo de servicio al que corresponde, como pueden
ser el web, el correo o el IRC.
Dependiendo del servicio el firewall decide si lo permite o no. Además, el firewall
examina si la comunicación es entrante o saliente y dependiendo de su dirección puede
permitirla o no, un firewall puede ser un dispositivo software o hardware.
Es muy común que se utilice un firewall para proporcionar servicios VPN. Una VPN
basada en firewall tiene la ventaja de que simplifica la arquitectura de la red al establecer
un único punto de control de seguridad. Además, los ingenieros de redes sólo tienen que
hacerse expertos en una tecnología, en lugar de tener que aprender a administrar un
firewall y la VPN de forma separada.
VPN de router y de concentrador
Empresas como Cisco, Nortel y 3Com entre otros también ofrecen servicios VPN
integrados dentro de un router o un dispositivo llamado concentrador VPN, tanto el
router como el concentrador VPN están especialmente diseñados para las conexiones
VPN sitio a sitio y acceso remoto, cuentan con las tecnologías VPN más importantes
y los métodos de autenticación y cifrado para proteger los datos transmitidos.
Este dispositivo está especialmente diseñado para las VPN, por lo que se trata de la solución
VPN más rápida. Resulta ser más fácil agregarles tarjetas con el fin de incrementar el
rendimiento. Dependiendo de la implementación, estas VPN pueden configurarse para
utilizar certificados, servicios de autenticación externos o claves de seguridad.
Cortafuegos y Seguridad en el Internet
95
VPN de sistema operativo
Los sistemas operativos como Windows de Microsoft, Netware de Novell o Linux en sus
diferentes distribuciones (Red Hat, Debian, etc.) ofrecen servicios de VPN ya integrados.
La principal ventaja de esta solución es que resulta ser económica ya que en un mismo
sistema operativo se pueden contar con una gran variedad de servicios por ejemplo servidor
Web, de nombres de dominio, acceso remoto, VPN y además mejora los métodos de
autenticación y la seguridad del sistema operativo. Tiene la desventaja de que es vulnerable
a los problemas de seguridad del propio sistema operativo, estas VPN se utilizan más para
el acceso remoto.
VPN de aplicación
Este tipo de VPN es poco común. Una VPN de aplicación es un programa que añade
posibilidades VPN a un sistema operativo. Sin embargo, este programa no queda integrado
con el sistema operativo, la ventaja de este tipo de VPN es que la aplicación añade
seguridad extra a la que podría ofrecer una VPN integrada al sistema operativo.
La desventaja es que estas VPN no soportan una gran cantidad de usuarios y son mucho
más lentas que una VPN basada en hardware. Si se utilizan en Internet, son vulnerables
a las fallas de seguridad del sistema operativo que contiene a la aplicación.
VPN de proveedor de servicios
Este tipo de VPN es proporcionada por un proveedor de servicios. Al principio las VPN
de proveedor de servicios se basaban en tecnologías tales como X.25 y Frame Relay,
posteriormente ATM y SMDS y finalmente se ofrecen redes basadas en IP. El proveedor
de servicios es la empresa propietaria de la infraestructura tales como equipos y líneas
de transmisión que ofrece líneas dedicadas virtuales a sus clientes.
Cortafuegos y Seguridad en el Internet
96
3.6 Topologías de VPN
La topología VPN que necesita una organización debe decidirse en función de los problemas
que va a resolver, una misma topología puede ofrecer distintas soluciones en diferentes
compañías u organizaciones. En una VPN podemos encontrar las siguientes topologías.
Para las VPN de sitio a sitio:
Topología radial
Topología de malla completa o parcial
Topología híbrida
Para las VPN de acceso remoto:
Topología de acceso remoto
En las VPN basadas en ATM y Frame Relay, los enlaces que conectan las oficinas
centrales con sus sucursales son circuitos virtuales (VC), mientras que en las VPN basadas
en IP como Internet, estos enlaces son los túneles que se establecen a través de Internet.
Topología radial
En una VPN de sitio a sitio las sucursales remotas se conectan a un sitio central, Las
sucursales podrían intercambiar datos entre ellas, sin embargo, este tipo de datos resulta ser
muy insignificante. La mayor parte del intercambio de datos se da con las oficinas centrales
de la compañía. Los datos intercambiados entre las sucursales siempre viajan a través del
sitio central.
Cortafuegos y Seguridad en el Internet
97
Figura 3.6 Topología radial Referencia: http://karennz.blogspot.mx/2012/05/arquitectura-de-una-vpn.html
Topología de malla completa o parcial
Esta topología es implementada en corporaciones que no tienen una estructura
demasiado jerárquica. Aquí, las diversas LAN de la compañía pueden realizar un
intercambio constante de datos entre ellas, dependiendo de sus necesidades, una empresa
puede utilizar una topología de malla completa si todas las LAN se comunican entre
sí o una topología de malla parcial, si sólo algunas LAN mantienen intercambio de datos.
Cortafuegos y Seguridad en el Internet
98
Figura 3.7 Topología de malla: a) completa b) parcial
Referencia: http://redesadsi.wordpress.com/clasificacion-de-las-redes/
Topología híbrida
Las redes VPN grandes combinan la topología radial con la topología de malla parcial.
Como ejemplo, una empresa multinacional podría tener acceso a redes implementadas
en cada país con una topología radial, mientras que la red principal internacional estaría
implementada con una tecnología de malla parcial.
Topología de acceso remoto
Esta topología consiste en un enlace punto a punto entre el usuario remoto y la oficina
central utilizando tramas tunneling PPP intercambiadas entre el usuario remoto y el
servidor VPN. El usuario y el servidor establecen conectividad usando un protocolo de
capa 3, siendo el más común IP, sobre el enlace PPP entunelado e intercambian paquetes
de datos sobre él.
Cortafuegos y Seguridad en el Internet
99
3.7 Requerimientos de una VPN
Una VPN debe de contar con ciertos requerimientos que permitan que valga la pena el
uso de esta tecnología. Sin estos requerimientos las VPN no podrán ofrecer la calidad
necesaria que requieren las organizaciones para un desempeño óptimo. Una solución VPN
debe ofrecer los siguientes requerimientos:
Autenticación de usuarios
Control de acceso
Administración de direcciones
Cifrado de datos
Administración de claves
Soporte a protocolos múltiples
Ancho de banda
Autenticación de usuarios
La autenticación es uno de los requerimientos más importantes en una VPN. Cada entidad
participante en una VPN debe de identificarse a sí misma ante otros y viceversa. La
autenticación es el proceso que permite a los diversos integrantes de la VPN verificar las
identidades de todos.
El proceso de autenticación también involucra el intercambio de información secreta,
como una clave o un desafío ante un Servidor de Acceso a Red (NAS, Network Access
Server), el cual consultará a un servidor RADIUS, un servidor RADIUS administra la
autenticación en una red que lo requiere.
Control de acceso
El control de acceso en una red está definido como el conjunto de pólizas y técnicas
que rigen el acceso a los recursos privados de una red por parte de usuarios
autorizados, una vez que un usuario ha sido autenticado, se debe definir a qué recursos de
la red puede tener acceso dicho usuario.
Cortafuegos y Seguridad en el Internet
100
Los diferentes tipos de VPN, ya sea de firewalls, sistemas operativos, etc; son responsables
de gestionar el estado de la conexión del usuario, la VPN debe administrar el inicio de
una sesión, permitir el acceso a ciertos recursos, continuar una sesión, impedir el
acceso de recursos y terminar una sesión.
Administración de direcciones
Un servidor VPN debe de asignar una dirección IP al cliente VPN y asegurarse de que dicha
dirección permanezca privada. Está claro que IP no es un protocolo seguro y se puede
ver esto en la inseguridad de Internet. Las direcciones deben ser protegidas con fuertes
mecanismos de seguridad, esto es, deben usarse técnicas que permitan la ocultación de
la dirección privada dentro de una red pública.
La tecnología más utilizada para ocultar la información es el tunneling. El tunneling es una
técnica que encapsula los datos (incluyendo la dirección destino privada) dentro de otro
conjunto de datos. Así, el contenido de los paquetes encapsulados se vuelve invisible para
una red pública insegura como Internet. Existen muchas tecnologías de tunneling, cada
una de ellas con sus ventajas y desventajas. Otra tecnología alterna al tunneling es MPLS,
donde se hace uso de un sistema de etiquetas para transmitir información. MPLS es una
tecnología que realizará grandes cambios a los métodos tradicionales de enrutamiento y
de la forma de crear túneles.
Cifrado de datos
Cifrar o encriptar los datos es una tarea esencial de una VPN, aunque se puedan encapsular
los datos dentro de un túnel, estos todavía pueden ser leídos si no se implementan fuertes
mecanismos de cifrado de la información. El cifrado es un conjunto de técnicas que
intentan hacer inaccesible la información a personas no autorizadas. El texto sin cifrar se
le denomina texto nativo, mientras que el texto cifrado se le denomina texto cifrado.
Antes de enviar la información, el servidor VPN cifra la información convirtiéndolo en
texto cifrado. El receptor de la información descifra la información y la convierte en texto
nativo.
Cortafuegos y Seguridad en el Internet
101
Con una clave simétrica, se usa la misma clave para cifrar y descifrar la información
que viaja por un túnel. Tanto el emisor como el receptor de los datos poseen la misma
clave privada. Con una clave asimétrica, la información se cifra con una clave y se
descifra con otra diferente.
Administración de claves
En una VPN, es importante la administración de claves. Para asegurar la integridad de
una clave pública, ésta es publicada junto con un certificado, un certificado es una
estructura de datos firmada digitalmente por una organización conocida como autoridad
de certificación (CA) en la cual todos confían. Una CA firma su certificado con su clave
privada. Un usuario que utiliza la clave pública de la CA podrá comprobar que el
certificado le pertenece a dicha CA y por lo tanto, la clave pública es válida y confiable.
Soporte a protocolos múltiples
Para que una solución VPN sea viable, es necesario también que ésta pueda ofrecer
soporte a múltiples protocolos. Esto incluye el soporte a protocolos de red que no sean IP
como pueden ser AppleTalk, IPX y NetBEUI. PPTP soporta varios protocolos de red.
Ancho de banda
El ancho de banda es también un requerimiento importante en una VPN. En el mundo
de las redes existe un concepto que define la forma de administrar el ancho de banda
con el fin de que el tráfico de una red fluya de forma eficiente. Dicho concepto es la
Calidad de Servicio (QoS, Quality of Service). La QoS es una característica muy
importante de una VPN, una solución VPN no estará completa si no proporciona formas
para el control y administración del ancho de banda.
Cortafuegos y Seguridad en el Internet
102
La calidad del servicio también se refiere al número de conexiones simultáneas (la cantidad
de túneles que pueden ser establecidos entre un sitio remoto y el sitio central) que puede
soportar una VPN y la forma cono ésta afecta al rendimiento de la VPN.
3.8 Tunneling
Definición de tunneling
El tunneling es un método utilizado para encapsular paquetes (conocidos como datos de
usuario) dentro de otros paquetes los cuales son enviados utilizando la tecnología de la
red por la que viaja. Esto ofrece grandes ventajas, ya que permite el transporte de
protocolos con diferente esquema de direccionamiento y que por lo tanto no son
compatibles con una red que utiliza otros protocolos de direccionamiento dentro de
paquetes que sí reconoce la red.
Funcionamiento del tunneling
Un paquete IPX o AppleTalk no puede ser transportado en una red basada en IP, como
Internet, sin embargo, si este paquete es encapsulado dentro de un paquete IP, entonces
podrá ser transportado como cualquier otro paquete IP.
Después de agregar el encabezado, se envía el paquete encapsulado a través de una ruta
lógica denominada túnel. El túnel es la ruta de información lógica a través de la cual viajan
los paquetes encapsulados. Para los interlocutores de origen y de destino originales, el túnel
suele ser transparente y aparece simplemente como otra conexión punto a punto en la
ruta de acceso a la red. A estos puntos que están en cada extremo del túnel se les
denomina interfaces de túnel. Los interlocutores desconocen los routers, switches,
servidores proxy u otras puertas de enlace de seguridad que pueda haber entre los extremos
del túnel.
Cortafuegos y Seguridad en el Internet
103
Cuando el paquete llega a su destino, éste es desencapsulado para que pueda ser utilizado,
este consta de los siguientes pasos:
Encapsulación
Transmisión
Desencapsulación
El uso de un túnel abarca todo el proceso de encapsulación, enrutamiento y
desencapsulación. El túnel envuelve o encapsula el paquete original dentro de un paquete
nuevo. Este paquete nuevo puede contener nueva información de direccionamiento y
enrutamiento, lo que le permite viajar por la red. Si el túnel se combina con la
confidencialidad de datos, los datos del paquete original así como el origen y el destino
originales no se muestran a quienes observen el tráfico en la red.
Cuando los paquetes encapsulados llegan a su destino, se quita la encapsulación y se
utiliza el encabezado original del paquete para enrutar éste a su destino final.
Figura 3.8 Tunneling en una VPN
Referencia: http://www.telypc.com/vpn.html
Cortafuegos y Seguridad en el Internet
104
3.9 Seguridad en una VPN
Necesidad de seguridad en una VPN
Cuando se diseñaron los primeros protocolos para redes, la seguridad no era un punto
importante puesto que las redes sólo eran utilizadas por universidades e investigadores.
Nadie pensaba en que alguien pudiera interceptar mensajes. Sin embargo, conforme las
redes pasaron a tener un propósito comercial cuando las empresas las adoptaron y con la
llegada de Internet, la seguridad pasó a ser una cuestión de vital importancia al momento
de implementar redes.
Con la llegada de Internet, toda computadora conectada es susceptible de ser atacada
por personas que no deben ingresar a ellas, los ataques a redes provocan muchas pérdidas
económicas a las empresas. Según una encuesta del Computer Security Institute (CSI),
el 70% de las organizaciones encuestadas declararon que sus redes habían sido atacadas
y el 60% afirmaba que los incidentes procedían de las propias empresas, por lo tanto, es
indispensable tomar las medidas necesarias para proteger las redes. La seguridad cobra
especial importancia al momento de implementar una VPN. Puesto que la información
privada de una organización atraviesa una red pública, es necesario proveer a la VPN de
mecanismos que aseguren la confidencialidad y la integridad de los datos transmitidos y
también para evitar el acceso a la red privada.
3.10 Configuración de una VPN en un firewall
Configuración de IPSec en el firewall PIX de Cisco
El firewall PIX es un dispositivo que puede funcionar también como un activador de
servicios VPN, el cual cumple con los estándares y es fácil de configurar. Los PIX 515,
520 y 525 pueden tener una tarjeta aceleradora VPN opcional (VAC). Esta tarjeta ofrece
un rendimiento de cifrado 3DES a 100 Mbps sin necesidad de software adicional y sin
tener que modificar la configuración del PIX.
Cortafuegos y Seguridad en el Internet
105
Figura 3.9 El firewall PIX de Cisco
Referencia: http://eeppiiccaa.wordpress.com/2009/10/23/jugando-con-un-firewall-cisco-pix/
El firewall PIX crea VPN en varias topologías, las cuales se presentan en la siguiente
lista:
De PIX a gateway VPN seguro de PIX: Dos o más firewalls PIX pueden habilitar una
VPN, que protege el tráfico entre los dispositivos colocados detrás de los firewalls PIX.
La topología de gateways VPN seguros impide que el usuario tenga que implementar
dispositivos o software VPN dentro de la red, haciendo que el gateway seguro sea
transparente para los usuarios.
De PIX a gateway VPN seguro de router Cisco IOS: El firewall PIX y el router Cisco,
que ejecutan software VPN de Cisco Secure, pueden interactuar para crear un gateway
VPN seguro entre redes.
De cliente VPN de Cisco a PIX a través de acceso telefónico: El firewall PIX puede
convertirse en un punto final para el cliente VPN de Cisco a red de acceso telefónico,
esta red puede estar formada por RDSI, PSTN o DSL.
De cliente VPN de Cisco a PIX a través de red: El firewall PIX puede convertirse en
un punto final VPN para el cliente VPN 3000 de Cisco Secure a través de una red IP.
De productos de otros fabricantes a PIX: Los productos de otros fabricantes pueden
conectarse con el firewall PIX si se adaptan a los estándares VPN abiertos.
Cortafuegos y Seguridad en el Internet
106
Figura 3.10 Topologías VPN con el firewall PIX
Referencia: http://www.iret-telecom.net/Sucursales-Remotas.php
Se puede configurar IPSec en el firewall PIX por medio de claves previamente
compartidas para la autenticación. El uso de estas claves IKE, para la autenticación de
sesiones IPSec es relativamente fácil de configurar, aunque no escala bien cuando hay
un gran número de iguales IPSec; en cuyo caso, habrá que usar certificados digitales.
Para configurar IPSec se deben llevar a cabo los siguientes pasos:
1. Preparar la VPN para IPSec
2. Configurar IKE para el uso de claves previamente compartidas
3. Configurar IPSec en el firewall
4. Comprobar y verificar la configuración de IPSec
Cortafuegos y Seguridad en el Internet
107
En la figura 3.11, se representa la configuración de una IPSec y sus posibles amenazas, que
delimitan el funcionamiento de una red.
Figura 3.11 Representación de un IPSec
Representación: http://spectregroup.wordpress.com/2010/12/30/trusting-trust/
Cortafuegos y Seguridad en el Internet
108
Capítulo IV.- Firewalls
La seguridad no fue uno de los principios fundamentales de diseño de las primeras redes y
protocolos entre los 60s y 70s, razón por la cual se han desarrollado tecnologías para
complementar dichos sistemas y añadirles una capa de seguridad de la que carecían, una de
las más trascendentales han sido los firewalls, con más de 25 años de antigüedad, han sufrido
una evolución increíble en términos de complejidad y efectividad, a tal punto de ser
prácticamente imprescindibles para cualquier red informática de la actualidad. Vamos a darle
una mirada profunda a sus características y topologías, al tiempo que repasamos algunas
recomendaciones de diseño y conocemos los más utilizados actualmente a nivel empresarial.
Se considera que un firewall es un dispositivo que funciona como paredes de fuego entre
redes, permitiendo o denegando las transmisiones de una red a la otra. Un uso típico es
situarlo entre una red local y la red Internet, como dispositivo de seguridad para evitar que
los intrusos puedan acceder a información confidencial.
Es simplemente un filtro que controla todas las comunicaciones que pasan de una red a la
otra y en función de lo que sean, permite o deniega su paso, para permitir o denegar una
comunicación, el firewall examina el tipo de servicio al que corresponde, como pueden ser
el web, el correo o el IRC. Dependiendo del servicio el firewall decide si lo permite o no,
además el firewall examina si la comunicación es entrante o saliente y dependiendo de su
dirección puede permitirla o no.
De este modo el dispositivo puede permitir desde una red local hacia Internet servicios de
web, correo y ftp, pero no a IRC que puede ser innecesario para nuestro trabajo, también
podemos configurar los accesos que se hagan desde Internet hacia la red local y podemos
denegarlos todos o permitir algunos servicios como el de la web, si es que poseemos un
servidor web y queremos que sea accesible desde Internet.
Dependiendo del firewall que tengamos también podremos permitir algunos accesos a la red
local desde Internet si el usuario se ha autentificado como usuario de la red local.
Cortafuegos y Seguridad en el Internet
109
En la actualidad, las organizaciones son cada vez más dependientes de sus redes informáticas
y un problema que las afecte, por mínimo que sea, puede llegar a comprometer la continuidad
de las operaciones.
La falta de medidas de seguridad en las redes es un problema que está en crecimiento, cada
vez es mayor el número de atacantes y cada vez están más organizados, por lo que van
adquiriendo día a día habilidades más especializadas que les permiten obtener mayores
beneficios, tampoco deben subestimarse las fallas de seguridad provenientes del interior de
la organización.
La propia complejidad de la red es una dificultad para la detección y corrección de los
múltiples y variados problemas de seguridad que van apareciendo. En medio de esta variedad,
han ido aumentando las acciones poco respetuosas de la privacidad y de la propiedad de
recursos y sistemas. “Hackers”, “crakers”, entre otros, han hecho aparición en el vocabulario
ordinario de los usuarios y de los administradores de las redes
Además de las técnicas y herramientas criptográficas, es importante recalcar que un
componente muy importante para la protección de los sistemas consiste en la atención y
vigilancia continua y sistemática por parte de los responsables de la red virus, programas
espía, troyanos, backdoors. Las amenazas cada vez son más numerosas y peligrosas.
Extremar las precauciones y mantener el antivirus actualizado no puede ser suficiente.
4.1 Concepto de firewall (cortafuegos)
Es un sistema o grupo de sistemas que impone una política de seguridad entre la organización
de red privada y el Internet, es un mecanismo para restringir acceso entre Internet y la red
corporativa interna, típicamente se instala un firewall en un punto estratégico donde una red
o redes se conectan a Internet.
Un buen Firewall para Internet puede ayudarle a impedir que extraños accedan a su PC desde
Internet. Los Firewalls pueden ser de dos tipos, de software o de hardware, y proporcionan
una frontera de protección que ayuda a mantener fuera a los invasores no deseados de
Internet.
Cortafuegos y Seguridad en el Internet
110
La existencia de un firewall en un sitio Internet reduce considerablemente las probabilidades
de ataques externos a los sistemas corporativos y redes internas, además puede servir para
evitar que los propios usuarios internos comprometan la seguridad de la red al enviar
información peligrosa (como passwords no encriptados o datos sensitivos para la
organización) hacia el mundo externo.
Si el Firewall observa alguna actividad sospechosa, de alguien que esté intentando acceder
a nuestro Pc o que algún programa espía trate de enviar información sin consentimiento, el
Firewall nos advertirá con una alarma en el sistema.
Los navegadores de internet necesitan el puerto 80, los programas FTP el 21, etc.
Figura 4.1 Representación de un Firewall
Referencia: http://www.mejor-antivirus.es/preguntas/que-es-firewall.html
4.2 Origen de la palabra firewall
El concepto de firewall proviene de la mecánica automotriz, donde se lo considera una lámina
protectora / separadora entre el habitáculo de un vehículo y las partes combustibles del motor,
que protege a sus pasajeros en caso de incendio.
Análogamente, un firewall, en un sentido más informático, es un sistema capaz de separar el
habitáculo de nuestra red, o sea, el área interna de la misma, del posible incendio de crackers
que se produciría en ese gran motor que es Internet.
Cortafuegos y Seguridad en el Internet
111
¿Por qué un firewall?
Básicamente la razón para la instalación de un firewall es casi siempre la misma: proteger
una red privada contra intrusos dentro de un esquema de conectividad a Internet.
En la mayoría de los casos, el propósito es prevenir el acceso de usuarios no autorizados a
los recursos computacionales en una red privada y a menudo prevenir el tráfico no autorizado
de información propietaria hacia el exterior.
4.3 Objetivo de un firewall
Un firewall sirve para múltiples propósitos, entre otros podemos anotar los siguientes:
Restricción de entrada de usuarios a puntos cuidadosamente controlados de la red
interna.
Prevención ante los intrusos que tratan de ganar espacio hacia el interior de la red y
los otros esquemas de defensas establecidos.
Restricción de uso de servicios tanto a usuarios internos como externos.
Determinar cuáles de los servicios de red pueden ser accesados dentro de ésta por los
que están afuera, es decir, quién puede entrar a utilizar los recursos de red
pertenecientes a la organización.
Todo el tráfico que viene de la Internet o sale de la red corporativa interna pasa por el firewall
de tal forma que él decide si es aceptable o no.
4.4 Beneficios de un firewall
Administrar los accesos posibles del Internet a la red privada.
Proteger a los servidores propios del sistema de ataques de otros servidores en
Internet.
Permitir al administrador de la red definir un "choke point" (embudo), manteniendo
al margen los usuarios no autorizados, prohibiendo potencialmente la entrada o salida
al vulnerar los servicios de la red.
Cortafuegos y Seguridad en el Internet
112
Ofrecer un punto donde la seguridad puede ser monitoreada.
Ofrecer un punto de reunión para la organización. Si una de sus metas es proporcionar
y entregar servicios e información a consumidores, el firewall es ideal para desplegar
servidores WWW y FTP.
4.5 Limitación de un firewall
Puede únicamente autorizar el paso del tráfico y él mismo podrá ser inmune a la penetración.
Desafortunadamente, este sistema no puede ofrecer protección alguna, una vez que el agresor
lo traspasa o permanece en torno a éste.
No puede proteger contra aquellos ataques que se efectúen fuera de su punto de
operación.
No puede proteger de las amenazas a que está sometido por usuarios inconscientes.
No puede prohibir que los espías corporativos copien datos y los substraigan de la
empresa.
No puede proteger contra los ataques de la "Ingeniería Social", por ejemplo un Hacker
que pretende ser un supervisor o un nuevo empleado despistado.
No puede proteger contra los ataques posibles a la red interna por virus informativos
a través de archivos y software.
4.6 Historia de los firewalls
El término "firewall / fireblock" significaba originalmente una pared para confinar un
incendio o riesgo potencial de incendio en un edificio, más adelante se usa para referirse a
las estructuras similares, como la hoja de metal que separa el compartimiento del motor de
un vehículo o una aeronave de la cabina.
Cortafuegos y Seguridad en el Internet
113
La tecnología de la pared de fuego surgió a finales de 1980, cuando Internet era una
tecnología bastante nueva en cuanto a su uso global y la conectividad. Los predecesores de
los firewalls para la seguridad de la red fueron los routers utilizados a finales de 1980, que
mantenían a las redes separadas unas de otras. La visión de Internet como una comunidad
relativamente pequeña de usuarios con máquinas compatibles, que valoraba la predisposición
para el intercambio y la colaboración, terminó con una serie de importantes violaciones de
seguridad de Internet que se produjo a finales de los 80, por ejemplo:
Clifford Stoll, descubrió la forma de manipular el sistema de espionaje alemán.
Bill Cheswick, cuando en 1992 instaló una cárcel simple electrónica para observar a
un atacante.
En 1988, un empleado del Centro de Investigación Ames de la NASA, en California,
envió una nota por correo electrónico a sus colegas que decía:
"Estamos bajo el ataque de un virus de Internet ha llegado a Berkeley, UC San Diego,
Lawrence Livermore, Stanford y la NASA Ames."
El Gusano Morris, que se extendió a través de múltiples vulnerabilidades en las
máquinas de la época, aunque no era malicioso, el gusano Morris fue el primer ataque
a gran escala sobre la seguridad en Internet, la red no esperaba ni estaba preparada
para hacer frente a su ataque.
Primera generación – firewall de red: filtrado de paquetes
El primer documento publicado para la tecnología firewall data en el año de 1988, cuando el
equipo de ingenieros Digital Equipment Corporation (DEC) desarrolló los sistemas de filtro
conocidos como firewall de filtrado de paquetes. Este sistema, bastante básico, fue la primera
generación de lo que se convertiría en una característica más técnica y evolucionada de la
seguridad de Internet. En AT & T Bell, Bill Cheswick y Steve Bellovin, continuaban sus
investigaciones en el filtrado de paquetes y desarrollaron un modelo de trabajo para su propia
empresa, con base en su arquitectura original de la primera generación.
Cortafuegos y Seguridad en el Internet
114
El filtrado de paquetes actúa mediante la inspección de los paquetes que representan la unidad
básica de transferencia de datos entre computadoras en Internet. Si un paquete coincide con
el conjunto de reglas del filtro, el paquete se reducirá o será rechazado desprendiéndose de
él y enviando una respuesta de error al emisor. Este tipo de filtrado de paquetes no presta
atención, así el paquete es parte de una secuencia existente de tráfico.
En su lugar, se filtra cada paquete basándose únicamente en la información contenida en el
paquete en sí, por lo general utiliza una combinación del emisor del paquete y la dirección
de destino, su protocolo y en el tráfico TCP y UDP, el número de puerto. Los protocolos TCP
y UDP comprenden la mayor parte de comunicación a través de Internet, utilizando por
convención puertos bien conocidos para determinados tipos de tráfico, por lo que un filtro de
paquetes puede distinguir entre ambos tipos de tráfico ya sean navegación web, impresión
remota, envío y recepción de correo electrónico, transferencia de archivo, etc.
El filtrado de paquetes llevado a cabo por un firewall actúa en las tres primeras capas del
modelo de referencia OSI, lo que significa que todo el trabajo lo realiza entre la red y las
capas físicas. Cuando el emisor origina un paquete y es filtrado por el firewall, éste último
comprueba las reglas de filtrado de paquetes que lleva configuradas, aceptando o rechazando
el paquete en consecuencia. Cuando el paquete pasa a través del firewall, éste filtra el paquete
mediante un protocolo y un número de puerto base (GSS). Por ejemplo, si existe una norma
en el firewall para bloquear el acceso telnet, bloqueará el protocolo IP para el número de
puerto 23.
Segunda generación – firewall de aplicación
Son aquellos que actúan sobre la capa de aplicación del modelo OSI. La clave de una pared
de fuego de aplicación es que puede entender ciertas aplicaciones y protocolos por ejemplo:
protocolo de transferencia de ficheros, DNS o navegación web y permite detectar si un
protocolo no deseado se coló a través de un puerto no estándar o si se está abusando de un
protocolo de forma perjudicial.
Cortafuegos y Seguridad en el Internet
115
Un firewall de aplicación es mucho más seguro y fiable cuando se compara con un firewall
de filtrado de paquetes, ya que repercute en las siete capas del modelo de referencia OSI.
El mejor ejemplo de pared de fuego de aplicación es ISA (Internet Security and
Acceleration).
Un firewall de aplicación puede filtrar protocolos de capas superiores tales como FTP,
TELNET, DNS, DHCP, HTTP, TCP, UDP y TFTP (GSS). Por ejemplo, si una organización
quiere bloquear toda la información relacionada con una palabra en concreto, puede
habilitarse el filtrado de contenido para bloquear esa palabra en particular, no obstante, las
paredes de fuego de aplicación resultan más lentas que otros.
Tercera generación – firewall de estado
Durante 1989 y 1990, tres colegas de los laboratorios AT & T Bell, Dave Presetto, Janardan
Sharma, y Nigam Kshitij, desarrollaron la tercera generación de servidores de seguridad. Esta
tercera generación pared de fuego tiene en cuenta la colocación de cada paquete individual
dentro de una serie de paquetes, esta tecnología se conoce generalmente como la inspección
de estado de paquetes, ya que mantiene registros de todas las conexiones que pasan por él,
siendo capaz de determinar si un paquete indica el inicio de una nueva conexión, es parte de
una conexión existente o es un paquete erróneo. Este tipo de pared de fuego puede ayudar a
prevenir ataques contra conexiones en curso o ciertos ataques de denegación de servicio.
Acontecimientos posteriores
En 1992, Bob Braden y DeSchon Annette, de la Universidad del Sur de California (USC),
dan forma al concepto de firewall. Su producto, conocido como "Visas", fue el primer sistema
con una interfaz gráfica con colores e iconos, fácilmente implementable y compatible con
sistemas operativos como Windows de Microsoft o MacOS de Apple. En 1994 una compañía
israelí llamada Check Point Software Technologies lo patentó como software denominándolo
FireWall-1.
Cortafuegos y Seguridad en el Internet
116
La funcionalidad existente de inspección profunda de paquetes en las actuales paredes de
fuego puede ser compartida por los sistemas de prevención de intrusiones (IPS).
Actualmente, el Grupo de Trabajo de Comunicación Middlebox de la Internet Engineering
Task Force (IETF) está trabajando en la estandarización de protocolos para la gestión de
firewalls.
Otro de los ejes de desarrollo consiste en integrar la identidad de los usuarios dentro del
conjunto de reglas del firewall. Algunos firewall proporcionan características tales como unir
a las identidades de usuario con las direcciones IP o MAC, otros como el NuFW,
proporcionan características de identificación real solicitando la firma del usuario para cada
conexión.
Los firewall pueden consistir en distintos dispositivos, tendientes a los siguientes objetivos:
1. Todo el tráfico desde dentro hacia fuera y viceversa, debe pasar a través de él.
2. Sólo el tráfico autorizado, definido por la política local de seguridad, es permitido.
Figura 4.2 Defensa con un firewall
Referencia: http://www.segu-info.com.ar/firewall/firewall.
Cortafuegos y Seguridad en el Internet
117
El Muro o pared de fuego, sólo sirve de defensa perimetral de las redes, no defiende de
ataques o errores provenientes del interior, como tampoco puede ofrecer protección una vez
que el intruso lo traspasa.
Algunos Firewalls aprovechan esta capacidad de que toda la información entrante y saliente
debe pasar a través de ellos para proveer servicios de seguridad adicionales como la
encriptación del tráfico de la red. Se entiende que si dos Firewalls están conectados, ambos
deben tener el mismo método de encriptación y desencriptación para entablar la
comunicación.
Como usuarios regulares de Internet, estamos expuestos en cada instante ha algún nivel de
riesgo de peligros inminentes que se efectúan por parte de ataques de virus, troyanos y otras
amenazas que a diario aparecen en la web.
Es así que estamos acostumbrados a descargar todo tipo de archivos sin tener en cuenta este
tipo de peligros de que podemos ser víctimas.
Los firewalls o paredes de fuego como lo llaman muchos en español generalmente son
aplicaciones que ayuda en la protección de nuestro sistema operativo, analizando todo tipo
de información y datos que circulan en Internet y que mantienen un vínculo con una
computadora o con la red local.
Para tener un mejor entendimiento de cómo funciona un firewall, pondremos de ejemplo al
guardia de una empresa, mismo que mantiene un ingreso restringido para las personas que
desean acceder a dicha empresa, teniendo esté la responsabilidad de dejar entrar sólo al
personal autorizado y no a aquellas personas que podrían significar un peligro para la
empresa o un atentado contra ella, para evitar un problema mayor en el lugar.
Igualmente los firewalls, hacen que los programas o aplicaciones que se encuentran
instaladas en el sistema operativo no puedan acceder a Internet si no se les permite.
Tienen la característica de bloquear o permitir una conectividad entre programa e Internet, lo
cual es posible desde la configuración interna de estos programas o aplicaciones, y con ello
realizar excepciones totales o parciales de comunicación, pues si se sospecha que una
aplicación instalada en el sistema operativo puede tener un determinado nivel de riesgo al
conectarse con Internet, el firewall bloquea por completo dichos puertos de comunicación.
Cortafuegos y Seguridad en el Internet
118
Este puede ayudar a filtrar las actividades de piratas informáticos, virus y gusanos que
intentan obtener acceso al equipo a través de Internet.
Un firewall es de gran importancia, pero también necesita de software antivirus y software
anti spyware.
Si se utiliza un equipo doméstico, el primer paso eficaz e importante es activar un
firewall.
Si se tiene más de un equipo conectado en el hogar o si se cuenta con una red de
oficina pequeña, es importante proteger todos los sistemas.
Si el equipo es parte de un negocio, un colegio u otro tipo de red organizativa, debe seguir
las directivas establecidas por el administrador de la red, en algunos casos, los
administradores de red pueden configurar todos los equipos de la red de tal manera que no
se pueda activar el firewall mientras el equipo está conectado a la red, en dichos casos se
debe pedir al administrador de la red que le aconseje acerca de la necesidad de instalar un
firewall en su equipo.
4.7 Routers y bridges
Cuando los paquetes de información viajan entre su destino y origen vía TCP/IP, estos pasan
por diferentes routers.
Los routers son dispositivos electrónicos encargados de establecer las comunicaciones
externas y de establecer los protocolos utilizados en las LAN en protocolos de WAN y
viceversa.
En cambio, si se conectan dos redes del tipo LAN se utilizan Bridges, los cuales son puentes
que operan a nivel de enlace.
La evolución tecnológica ha permitido transformarse en dispositivos especializados capaces
de determinar si el paquete tiene un destino externo y determinar cuál es el camino más corto
y más descongestionado hacia la red.
Cortafuegos y Seguridad en el Internet
119
En caso de que el paquete provenga de afuera, determina el destino en la red interna y lo
deriva a la máquina correspondiente o devuelve el paquete a su origen en caso de que él no
sea el destinatario del mismo.
Los routers "toman decisiones" en base a un conjunto de datos, regla, filtros y excepciones
que le indican que rutas son las más apropiadas para enviar los paquetes.
4.8 Tipos de firewalls
Filtrado de paquetes
Se utilizan routers con filtros y reglas basadas en políticas de control de acceso, el cuál es el
encargado de filtrar los paquetes basados en cualquiera de los siguientes criterios:
Protocolos utilizados.
Dirección IP de origen y de destino.
Puerto TCP-UDP de origen y de destino.
Estos criterios permiten gran flexibilidad en el tratamiento del tráfico, restringiendo las
comunicaciones entre dos computadoras mediante las direcciones IP, esto permite determinar
entre cuales máquinas esta la comunicación permitida.
El filtrado de paquetes mediante puertos y protocolos permite establecer que servicios estarán
disponibles al usuario y por cuales puertos, se puede permitir navegar en la WWW (puerto
80 abierto) pero no acceder a la transferencia de archivos vía FTP (puerto 21 cerrado).
Debido a su funcionamiento y estructura basada en el filtrado de direcciones y puertos este
tipo de Firewalls trabajan en los niveles de Transporte y de Red del Modelo OSI y están
conectados a ambos perímetros (interior y exterior) de la red.
Cortafuegos y Seguridad en el Internet
120
Tienen la ventaja de ser económicos, tienen un alto nivel de desempeño y son transparentes
para los usuarios conectados a la red, sin embargo presenta algunas debilidades como:
a) No protege las capas superiores a nivel OSI.
b) Las necesidades aplicativas son difíciles de traducir como filtros de protocolos y
puertos.
c) No son capaces de esconder la topología de redes privadas, por lo que exponen la
red al mundo exterior.
d) Sus capacidades de auditoría suelen ser limitadas, al igual que su capacidad de
registro de actividades.
e) No soportan políticas de seguridad complejas como autentificación de usuarios y
control de accesos con horarios prefijados.
Proxy-gateways de aplicaciones
Para evitar las debilidades asociadas al filtrado de paquetes, los desarrolladores crearon
softwares de aplicación encargados de filtrar las conexiones, estas aplicaciones son conocidas
como Servidores Proxy y la máquina donde se ejecuta recibe el nombre de Gateway de
Aplicación o Bastion Host.
El Proxy instalado sobre el Gateway, actúa de intermediario entre el cliente y el servidor real
de la aplicación siendo transparente a ambas partes.
Cuando un usuario desea un servicio lo hace a través del Proxy, este realiza la solicitud al
servidor real, el cual devuelve los resultados al cliente, la función es la de analizar el tráfico
de red en busca de contenido que viole la seguridad de la misma. En la figura 4.3 se puede
representar gráficamente el proceso.
Dual-homed host
Son dispositivos que están conectados a ambos perímetros (interior y exterior) y no dejan
pasar paquetes IP (como sucede en el caso del Filtrado de Paquetes), por lo que se dice que
actúan con el "IP-Forwarding desactivado".
Cortafuegos y Seguridad en el Internet
121
Figura 4.3. Conexiones para análisis de transacciones
Referencia: http://www.segu-info.com.ar/firewall/proxygateways.htm
Un usuario interno que desee hacer uso de un servicio exterior, deberá conectarse primero al
Firewall donde el Proxy atenderá su petición y en función de la configuración impuesta en
dicho Firewall, se conectará al servicio exterior solicitado y hará de puente entre este y el
usuario interior, es decir que se utilizan dos conexiones, uno desde la máquina interior hasta
el Firewall y el otro desde este hasta la máquina que albergue el servicio exterior.
Figura 4.4 Configuración dual-homed host
Referencia: http://www.segu-info.com.ar/firewall/dualhomed.htm
Cortafuegos y Seguridad en el Internet
122
Screened Host
En este caso se combina un router con un host bastión y el principal nivel de seguridad
proviene del filtrado de paquetes, en el bastión el único sistema accesible desde el exterior
se ejecuta el Proxy de aplicaciones y en el choke se filtran los paquetes considerados
peligrosos y sólo se permiten un número reducido de servicios.
Figura 4.5 Configuración screened host
Referencia: http://www.boran.com/security/it12-firewall.html
Screened Subnet
En este diseño se intenta aislar la máquina más atacada y vulnerable del Firewall, el Nodo
Gateway. Para ello se establece una Zona Desmilitarizada (DMZ) de forma tal que sin un
intruso accede a esta máquina no consiga el acceso total a la subred protegida, en este
esquema se utilizan dos routers: uno exterior y otro interior. El router exterior tiene la misión
de bloquear el tráfico no deseado en ambos sentidos: hacia la red interna y hacia la red
externa, el router interior hace lo mismo con la red interna y la DMZ (zona entre el router
externo y el interno).
Cortafuegos y Seguridad en el Internet
123
Es posible definir varios niveles de DMZ agregando más routers, pero destacando que las
reglas aplicadas a cada uno deben ser distintas ya que en caso contrario los niveles se
simplificarían a uno solo.
Figura 4.6 Configuración screened subnet
Referencia: http://www.boran.com/security/it12-firewall.html
Como puede apreciarse la Zona Desmilitarizada aísla físicamente los servicios internos,
separando los de los servicios públicos. Además, no existe una conexión directa entre la red
interna y la externa.
Los sistemas Dual-Homed Host y Screnned pueden ser complicados de configurar y
comprobar lo que puede dar lugar paradójicamente a importantes agujeros de seguridad en
toda la red. En cambio, si se encuentran bien configurados y administrados pueden brindar
un alto grado de protección y ciertas ventajas:
a) Ocultamiento de la información: los sistemas externos no deben conocer el nombre
de los sistemas internos, el Gateway de aplicaciones es el único autorizado a
conectarse con el exterior y el encargado de bloquear la información no solicitada o
sospechosa.
Cortafuegos y Seguridad en el Internet
124
b) Registro de actividades y autenticación robusta: el Gateway requiere de autenticación
cuando se realiza un pedido de datos externos, el registro de actividades se realiza en
base a estas solicitudes.
c) Reglas de filtrado menos complejas: las reglas del filtrado de los paquetes por parte
del router serán menos complejas dado a que él sólo debe atender las solicitudes del
Gateway.
Así mismo tiene la desventaja de ser intrusivos y no transparentes para el usuario ya que
generalmente este debe instalar algún tipo de aplicación especializada para lograr la
comunicación.
Inspección de paquetes
Este tipo de Firewalls se basa en el principio de que cada paquete que circula por la red es
inspeccionado así como también su procedencia y destino, se aplican desde la capa de red
hasta la de aplicaciones, generalmente son instalados cuando se requiere seguridad sensible
al contexto y en aplicaciones muy complejas.
Firewalls personales
Estos Firewalls son aplicaciones disponibles para usuarios finales que desean conectarse a
una red externa insegura y mantener su computadora a salvo de ataques que puedan
ocasionarle desde un simple "cuelgue" o infección de virus hasta la pérdida de toda su
información almacenada.
Nivel de aplicación de pasarela
Aplica mecanismos de seguridad para aplicaciones específicas, tales como servidores FTP y
Telnet, esto es muy eficaz pero puede imponer una degradación del rendimiento.
Circuito a nivel de pasarela
Aplica mecanismos de seguridad cuando una conexión TCP o UDP es establecida una vez
que la conexión se ha hecho, los paquetes pueden fluir entre los anfitriones sin más control.
Cortafuegos y Seguridad en el Internet
125
Permite el establecimiento de una sesión que se origine desde una zona de mayor seguridad
hacia una zona de menor seguridad.
Pared de fuego de capa de red o de filtrado de paquetes
Funciona a nivel de red como filtro de paquetes IP a este nivel se pueden realizar filtros según
los distintos campos de los paquetes IP, dirección IP origen y la dirección IP destino, a
menudo en este tipo de pared de fuego permiten filtrados según campos de nivel de transporte
como el puerto origen y destino o a nivel de enlace de datos así como la dirección MAC.
Pared de fuego de capa de aplicación
Trabaja en el nivel de aplicación, de manera que los filtrados se pueden adaptar a
características propias de los protocolos de este nivel. Por ejemplo, si se trata de tráfico HTTP
se pueden realizar filtrados según la URL a la que se está intentando acceder.
Una pared de fuego a nivel 7 de tráfico HTTP suele denominarse proxy y permite que las
computadoras de una organización entren a Internet de una forma controlada, un proxy oculta
de manera eficaz las verdaderas direcciones de red.
Pared de fuego personal
Es un caso particular de pared de fuego que se instala como software en una PC, filtrando las
comunicaciones entre dicho computadora y el resto de la red.
Filtros a nivel paquete (packet filters)
Esta tecnología pertenece a la primera generación de firewalls la cual analiza el tráfico de la
red, cada paquete que entra o sale de la red es inspeccionado y lo acepta o rechaza basándose
en las reglas definidas por el usuario, el filtrado de paquetes es efectivo y transparente para
los usuarios de la red, pero es difícil de configurar, además de que es susceptible a IP
Spoofing.
Las reglas para rechazar o aceptar un paquete son las siguientes:
Cortafuegos y Seguridad en el Internet
126
Si no se encuentra una regla que se aplica al paquete para verificar su autenticidad, el
paquete es rechazado.
Si se encuentra una medida para aprobar el paquete y esta permite el paso, se
establece la comunicación.
Si se encuentra una regla que aplicar hacia el paquete y esta rechaza el paso, el
paquete es rechazado.
Firewall a nivel circuito (Circuit Level Firewalls)
Esta tecnología pertenece a la segunda generación de firewalls y valida que los paquetes
pertenezcan ya sea a una solicitud de conexión o bien a una conexión entre dos computadoras,
aplica mecanismos de seguridad cuando una conexión TCP o UDP es establecida, una vez
que la conexión se establece, los paquetes pueden ir y venir entre las computadoras sin tener
que ser revisados cada vez.
El firewall mantiene una tabla de conexiones válidas y permite que los paquetes de la red
pasen a través de ella si corresponden a algún registro de la tabla, una vez terminada la
conexión, la tabla se borra y la transmisión de información entre las dos computadoras se
cierra.
Firewall a nivel aplicación (Application Layer Firewalls)
Pertenece a la tercera generación de firewalls, examina la información de todos los paquetes
de la red y mantiene el estado de la conexión y la secuencia de la información, en este tipo
de tecnología también se puede validar claves de acceso y algunos tipos de solicitudes de
servicios.
La mayoría de estos tipos de firewalls requieren software especializado y servicios Proxy.
Un Servicio Proxy es un programa que aplica mecanismos de seguridad a ciertas
aplicaciones, tales como FTP o HTTP, un servicio proxy puede incrementar el control al
acceso, realizar chequeos detallados a los datos y generar auditorias sobre la información que
se transmite.
Cortafuegos y Seguridad en el Internet
127
Filtros dinámicos a nivel paquete (Dynamic Packet Filters)
Pertenece a la cuarta generación de firewalls y permite hacer modificaciones a las reglas de
seguridad sobre la marcha, en la práctica se utilizan dos o más técnicas para configurar el
firewall.
Firewalls de software
Tienen un costo pequeño y son una buena elección cuando sólo se utiliza una PC, su
instalación y actualización es sencilla, pues se trata de una aplicación de seguridad, como lo
sería un antivirus; de hecho, muchos antivirus e incluso el propio Windows poseen firewalls
para utilizar.
Firewalls de hardware
Son más caros y complejos de manejar en el mantenimiento y actualización, los firewalls de
hardware son más indicados en empresas y grandes corporaciones que tienen múltiples
computadoras conectadas, también suelen utilizarse en aquellas empresas que prestan
servicios de hosting y necesitan seguridad en los servidores.
Figura 4.7 Ejemplo de un firewall por hardware
Referencia: http://www.configurarequipos.com/doc667.html
Cortafuegos y Seguridad en el Internet
128
4.9 Topologías de firewalls
Existen diferentes formas de proteger una red mediante firewalls, cada implementación
depende de forma específica de la organización y sus necesidades, por tanto no existe una
topología única que garantice la seguridad de cualquier red, sino una política de seguridad
que tras un estudio profundo de la organización en cuestión, debe generar los lineamientos
que aporten al diseño más adecuado, en este caso de la topología de firewall a implementar.
Router ACLs
Constituye la forma más sencilla e insegura de topología, en la cual el router desempeña
funciones de enrutamiento y filtrado de paquetes, es decir, es el dispositivo encargado de las
comunicaciones y seguridad de la red, este tipo de diseño presenta la desventaja de exponer
la red a un gran número de ataques debido a su naturaleza stateless.
Fue una solución aceptable en su época, pero en la actualidad no debería implementarse por
ningún motivo.
Figura 4.8 Filtrado mediante router ACLs
Referencia: http://www.vilarrasa.com.ar/analisis_ACL_para_TFTP.htm
Cortafuegos y Seguridad en el Internet
129
Servidores conectados directamente a red insegura
Servidores que ofrecen servicios al exterior de la red se encuentran conectados directamente
al router y no al firewall que protege la red interna, toda la seguridad de los servidores
depende de sí mismos, es decir, deben implementar diferentes mecanismos y técnicas de
endurecimiento para soportar ataques desde la red insegura y continuar funcionando.
Como recomendación deben tener el mínimo de paquetes instalados y servicios habilitados,
así como protección a nivel de sistema operativo y servicios. El acceso desde los servidores
públicos hacia la red interna es estrictamente prohibido debido a que pueden ser utilizados
como salto hacia la red interna.
Figura 4.9 Servidores conectados directamente a una red insegura
Referencia: http://ociotec.com/evita-que-te-espien-con-un-tunel-ssh/
Zona desmilitarizada (firewall simple) (Demilitarized Zone (Single Firewall))
Tanto los servidores públicos como la red interna son protegidos por un firewall, el área en
la que se ubican los servidores públicos se conoce como zona desmilitarizada, que puede
definirse como una área pública protegida que ofrece servicios al interior y exterior de la red,
este tipo de diseño es muy común, debido a su fácil implementación, seguridad y control del
flujo de tráfico.
Cortafuegos y Seguridad en el Internet
130
Figura 4.10 Zona desmilitarizada (firewall simple)
Referencia: http://honeypots.wordpress.com/author/honeypots/
Zona desmilitarizada (firewall doble) (Demilitarized Zone (Dual Firewall))
El diseño de firewall dual adiciona un Gateway firewall para controlar y proteger la red
interna, una de las razones es la protección de los servidores públicos frente a ataques
provenientes de la red interna, ofrece mayor seguridad para la red interna al no contar con un
punto único de ataque como en las anteriores topologías, como desventajas puede decirse
que tiene mayor dificultad de configuración y monitoreo, así como mayores costos en
hardware y software.
Su implementación es adecuada para redes grandes en las que hay flujo de tráfico importante
entre la red interna y la DMZ, donde también se demanda mayor seguridad para la red LAN.
Algunos expertos en seguridad afirman que para esta arquitectura deberían implementarse
dos tipos diferentes de firewalls, debido a que si un atacante logra pasar el firewall exterior,
ya tendría suficiente información para superar el firewall interno, ya que tendrían similar
configuración al firewall desmantelado.
Cortafuegos y Seguridad en el Internet
131
Figura 4.11 Zona desmilitarizada (firewall doble)
Referencia: http://www.solusan.com/que-es-una-dmz.html
Ejemplo “Defense In-depth”
Defense In-Depth es un concepto en seguridad de la información en el que la seguridad de
un sistema informático se implementa mediante capas para maximizar la protección, esta
segmentación de la red permite que no se exponga toda la red cuando un sistema es atacado
exitosamente, en la figura 4.12 se representa el ejemplo Defense In-Depth.
En el borde del perímetro se ubica un Stateful Gateway Firewall que realiza el filtrado
de paquetes y protege la DMZ y LAN de tráfico proveniente de Internet, en este punto
de la arquitectura de la red se busca seguridad y desempeño.
Los servidores críticos y con información más sensible de las redes son protegidos
por Application Proxy Firewalls, para estos recursos la seguridad es mucho más
importante que el desempeño.
Cada servidor implementa mecanismos de seguridad propios que permiten reforzar
la seguridad de la red, como endurecimiento de sistema operativo y servicios.
Los usuarios tienen un firewall personal instalado en sus máquinas.
El router no realiza filtrado o cifrado, es una máquina dedicada a enrutamiento que
también ha sido endurecida a nivel de sistema.
Cortafuegos y Seguridad en el Internet
132
Figura 4.12 Ejemplo de defensa in-depth
Referencia: http://technet.microsoft.com/en-us/magazine/gg537286.aspx
4.10 Servidores proxy y su funcionamiento
Un servidor proxy es una aplicación o dispositivo que se instala en el tráfico que se produce
entre una red protegida e Internet, estos se utilizan a menudo como sustitutos de routers
controladores de tráfico, para prevenir el mismo que pasa directamente entre las redes.
Muchos de estos servidores contienen logines auxiliares y soportan la autentificación de
usuarios, un proxy debe entender el protocolo de la aplicación que está siendo usada, aunque
también pueden implementar protocolos específicos de seguridad.
Cortafuegos y Seguridad en el Internet
133
4.11 Componentes del sistema firewall
Software Filtra-paquetes.
Gateway a Nivel-aplicación.
Gateway a Nivel circuito.
Software filtra-paquetes
Toma las decisiones de rehusar o permitir el paso de cada uno de los paquetes que son
recibidos, el programa examina cada datagrama para determinar si este corresponde a uno de
sus paquetes filtrados y que a su vez haya sido aprobado por sus reglas.
Permite la entrada de sesiones Telnet únicamente a una lista especifica de servidores
internos
Permite la entrada de sesiones FTP únicamente a los servidores internos especificados
Permite todas las salidas para sesiones Telnet
Permite todas las salidas para sesiones FTP
Rehusar todo el tráfico UDP
Beneficios del software filtra-paquetes.
El costo para implementar la filtración de paquetes no es cara.
Es por lo general transparente a los usuarios finales y a las aplicaciones.
no se requiere de entrenamiento especializado.
No se requiere software específico que tenga que ser instalado en cada uno de los
servidores.
Cortafuegos y Seguridad en el Internet
134
Gateway A Nivel-Aplicación
Los Gateways nivel-aplicación permiten al administrador de red la implementación de una
política de seguridad estricta hacia un router en este caso filtra paquetes.
Un aumento de seguridad de este tipo incrementa nuestros costos en términos del tipo de
Gateway seleccionado, los servicios de aplicaciones del Proxy, el tiempo y los conocimientos
requeridos para configurar el Gateway y un decrecimiento en el nivel de los servicios que
podrán obtener nuestros usuarios, dando como resultado un sistema carente de transparencia
en el manejo de los usuarios en un ambiente amigable, como en todos los casos el
administrador de redes debe de balancear las necesidades propias en seguridad de la
organización con la demanda de fácil uso, que requiera la comunidad de usuarios.
Es importante notar que los usuarios tienen acceso mediante un servidor Proxy, pero ellos
jamás podrán acceder al Gateway en el nivel aplicación. Si se permite a los usuarios acceder
en el sistema de firewall, la seguridad es amenazada desde el momento en que un intruso
puede potencialmente ejecutar muchas actividades que comprometen la efectividad del
sistema.
Por ejemplo, el intruso podría obtener el acceso de root, instalar un caballo de troya para
colectar las contraseñas, y modificar la configuración de los archivos de seguridad en el
firewall.
Servidor de defensa
Un router filtra paquetes y permite la circulación directa de los paquetes dentro y fuera del
sistema, diferente a esto el Gateway a nivel-aplicación deja que la información circule entre
los sistemas pero no permite el intercambio directo de paquetes, el principal riesgo de
permitir que los paquetes se intercambien dentro y fuera del sistema se debe a que el servidor
residente en los sistemas de protección de la red podrá ser asegurado contra cualquier
amenaza representada por los servicios permitidos.
Un Gateway a nivel aplicación por lo regular es descrito como un "servidor de defensa"
porque es un sistema diseñado específicamente blindado y protegido contra cualquier ataque.
Cortafuegos y Seguridad en el Internet
135
Existen varias características de diseño que son usadas para hacer más seguro un servidor de
defensa:
La plataforma de Hardware del servidor de defensa ejecuta una versión "segura" de
su sistema operativo, por ejemplo, si el servidor de defensa es una plataforma UNIX,
se ejecutara una versión segura del sistema operativo UNIX que es diseñado
específicamente para proteger los sistemas operativos vulnerables y garantizar la
integridad del firewall.
Únicamente los servicios que el administrador de redes considera esenciales son
instalados en el servidor de defensa, la lógica de operación es que si el servicio no
está instalado, este puede ser atacado, generalmente un conjunto limitado de
aplicaciones Proxy tales como Telnet, DNS, FTP, SMTP y autenticación de usuarios
son instalados en este servidor.
El servidor de defensa podrá requerir de una autenticación adicional para que el
usuario acceda a los servicios Proxy, por ejemplo, el servidor de defensa es ideal para
colocar un sistema fuerte de supervisión de autorización, adicionalmente cada
servicio Proxy podrá requerir de autorización propia después que el usuario tenga
acceso a la sesión.
Cada Proxy es configurado para soportar únicamente un subconjunto de aplicaciones
estándar de un conjunto de comandos, si un comando estándar no es soportado por la
aplicación Proxy es porque simplemente no está disponible para el usuario.
Cada Proxy está configurado para dejar acceder únicamente a los servidores
especificados en el sistema. Esto significa que existe un conjunto de características o
comandos que podrán ser aplicados para un subconjunto de sistemas en la red
protegida.
Cada Proxy mantiene la información detallada y auditada de todos los registros del
tráfico, cada conexión y la duración de la misma.
Cada Proxy es un programa pequeño y sencillo específicamente diseñado para la
seguridad de redes, este permite que el código fuente de la aplicación pueda revisar y
analizar posibles intrusos y fugas de seguridad.
Cortafuegos y Seguridad en el Internet
136
Por ejemplo, una típica aplicación UNIX mail puede tener alrededor de 20,000 líneas
de código cuando un correo Proxy puede contener menos de mil.
Cada Proxy es independiente de todas las demás aplicaciones, si se presentara un
problema con la operación de cualquier Proxy o si se descubriera un sistema
vulnerable, este puede desinstalarse sin afectar la operación de las demás
aplicaciones, aun si la población de usuarios requiere el soporte de un nuevo servicio,
el administrador de redes puede fácilmente instalar el servicio Proxy requerido en el
servidor de defensa.
Un Proxy generalmente funciona sin acceso al disco lo único que hace es leer su
archivo de configuración inicial, un intruso podrá encontrar más dificultades para
instalar caballos de Troya perjudiciales y otro tipo de archivos peligrosos en el
servidor de defensa.
Cada Proxy trabaja como un usuario no privilegiado en un directorio privado y seguro
del servidor de defensa.
La figura 4.13 representa un ejemplo de operación de un telnet proxy en un servidor de
defensa, para este ejemplo un cliente externo ejecuta una sesión Telnet hacia un servidor
integrado dentro del sistema de seguridad por el Gateway a nivel aplicación.
Figura 4.13 Ejemplo de telnet proxy
Referencia: http://www.cisco.com/en/US/docs/ios-xml/ios/sec_usr_auth/configuration/15-mt/sec-
fwall-auth-ftp.html
Cortafuegos y Seguridad en el Internet
137
El Telnet Proxy nunca permite al usuario remoto que se registre o tenga acceso directo al
servidor interno, el cliente externo ejecuta un telnet al servidor de defensa donde es
autorizado por la tecnología de contraseña. Después de ser autentificado, el cliente obtiene
acceso a la interface de usuario del Telnet Proxy, este únicamente permite un subconjunto de
comandos Telnet y además determina cuál de los servidores son disponibles para el acceso
vía Telnet.
Beneficios del Gateway a nivel aplicación
Son muchos los beneficios desplegados en un Gateway a nivel aplicación, estos brindan a la
administración de red un completo control de cada servicio desde aplicaciones proxy
limitadas por un conjunto de comandos y la determinación del servidor interno donde se
puede acceder a los servicios. Aun cuando el administrador de la red tenga el completo
control acerca de que servicios son permitidos.
Los Gateways a nivel-aplicación tienen la característica de soportar autenticaciones forzando
al usuario para proveer información detallada de registro, finalmente las reglas de filtrado
para un Gateway de este tipo son mucho más fáciles de configurar y probar que en un router
filtra paquetes.
Gateway a nivel circuito
Un Gateway a nivel circuito es en sí una función que puede ser perfeccionada en un Gateway
a nivel aplicación, a nivel circuito simplemente trasmite las conexiones TCP sin cumplir
cualquier proceso adicional en filtrado de paquetes.
El Gateway a nivel circuito se usa frecuentemente para las conexiones de salida donde el
administrador de sistemas somete a los usuarios internos, la ventaja preponderante es que el
servidor de defensa puede ser configurado como un Gateway "híbrido" soportando nivel de
aplicación o servicios Proxy para conexiones de venida y funciones de nivel circuito para
conexiones de ida.
Esto hace que el sistema de firewall sea fácil de usar para los usuarios internos quienes desean
tener acceso directo a los servicios de Internet mientras se proveen las funciones del firewall
necesarias para proteger la organización de los ataques externos.
Cortafuegos y Seguridad en el Internet
138
Figura 4.14 Gateway a nivel-circuito
Referencia: http://spi1.nisu.org/recop/al02/titann/descripcion.html
El Gateway simplemente trasmite la conexión a través del firewall sin examinarlo
adicionalmente, filtrarlo o dirigiendo el protocolo de Telnet, el Gateway a nivel circuito copia
los bytes antes y después entre la conexión interna y la conexión externa, de cualquier modo,
la conexión del sistema externo actúa como si fuera originada por el firewall tratando de
beneficiar la información sobre la protección de la red.
4.12 Políticas de los firewalls
Hay dos políticas básicas en la configuración de una pared de fuego que cambian
radicalmente la filosofía fundamental de la seguridad en la organización:
Política restrictiva: se deniega todo el tráfico excepto el que está explícitamente
permitido, el firewall obstruye todo el tráfico y hay que habilitar expresamente el
tráfico de los servicios que se necesiten.
Política permisiva: se permite todo el tráfico excepto el que esté explícitamente
denegado, cada servicio potencialmente peligroso necesitará ser aislado básicamente
caso por caso, mientras que el resto del tráfico no será filtrado.
Cortafuegos y Seguridad en el Internet
139
La política restrictiva es la más segura, debido a que es más difícil permitir por error tráfico
potencialmente peligroso, mientras que en la política permisiva es posible que no se haya
contemplado algún caso de tráfico peligroso y sea permitido por omisión.
"No todo lo específicamente permitido está prohibido"
"Ni todo lo específicamente prohibido está permitido"
La primera postura asume que un firewall puede obstruir todo el tráfico y cada uno de los
servicios o aplicaciones deseadas necesariamente para ser implementadas básicamente caso
por caso.
La desventaja es que el punto de vista de seguridad es más importante que facilitar el uso
de los servicios y éstas limitantes numeran las opciones disponibles para los usuarios de la
comunidad.
La segunda postura asume que el firewall puede desplazar todo el tráfico y que cada servicio
potencialmente peligroso necesitará ser aislado básicamente caso por caso.
La desventaja de esta postura se basa en la importancia de facilitar el uso, que la propia
seguridad del sistema.
Políticas de Diseño de firewalls
Las políticas de acceso en un firewalls se deben diseñar poniendo principal atención en sus
limitaciones y capacidades pero también pensando en las amenazas y vulnerabilidades
presentes en una red externa insegura.
Conocer los puntos a proteger es el primer paso a la hora de establecer normas de seguridad,
también es importante definir los usuarios contra los que se debe proteger cada recurso,
debido a que las medidas se observaran notablemente en función de esos usuarios,
generalmente se plantean algunas preguntas fundamentales que debe responder cualquier
política de seguridad:
¿Qué se debe proteger? Se deberían proteger todos los elementos de la red interna
(hardware, software, datos, etc.).
Cortafuegos y Seguridad en el Internet
140
¿De quién proteger? De cualquier intento de acceso no autorizado desde el exterior y
contra ciertos ataques desde el interior que puedan preverse y prevenir.
Sin embargo, podemos definir niveles de confianza, permitiendo selectivamente el acceso de
determinados usuarios externos a determinados servicios o denegando cualquier tipo de
acceso a otros.
¿Cómo proteger? Esta es la pregunta más difícil y está orientada a establecer el nivel
de monitorización, control y respuesta deseado en la organización, puede optarse por
alguno de los siguientes paradigmas o estrategias:
a. Paradigmas de seguridad
Se permite cualquier servicio excepto aquellos expresamente
prohibidos.
Se prohíbe cualquier servicio excepto aquellos que están permitidos.
b. Estrategias de seguridad
Paranoica: se controla todo, no se permite nada.
Prudente: se controla y se conoce todo lo que sucede.
Permisiva: se controla pero se permite demasiado.
Promiscua: no se controla (o se hace poco) y se permite todo.
¿Cuánto será su costo? Estimando en función de lo que se desea proteger se debe
decidir cuánto es conveniente invertir.
Riesgos que pueden controlar los firewalls
Uso oculto de los servicios de WWW y FTP desde dentro de la computadora o riesgos
externos desde la WWW.
Aplicaciones ActiveX o JavaScript instaladas clandestinamente, que son capaces de
transferir datos personales del usuario a otros.
Elementos de seguimiento como las cookies.
Troyanos: aplicaciones ocultas que se descargan de la red y que pueden ser usadas
por terceros, en forma remota para extraer datos personales.
Cortafuegos y Seguridad en el Internet
141
Reducción del ancho de banda disponible por el tráfico de banners, pop up, sitios no
solicitados y otro tipo de datos innecesarios que ralentizan la conexión.
Spyware: pequeños programas que se instalan con el fin de robar nuestros datos y
espiar nuestros movimientos en la red.
Dialers: programas que cortan la actual conexión y utilizan la línea para llamadas de
larga distancia utilizadas por terceros.
Restricciones en el firewall
La parte más importante de las tareas que realizan los firewalls, es la de permitir o denegar
determinados servicios y se hacen en función de los distintos usuarios y su ubicación:
1. Usuarios internos con permiso de salida para servicios restringidos: permite
especificar una serie de redes y direcciones a los que denomina Trusted (validados).
Estos usuarios, cuando provengan del interior, van a poder acceder a determinados
servicios externos que se han definido.
2. Usuarios externos con permiso de entrada desde el exterior: este es el caso más
sensible a la hora de vigilarse. Suele tratarse de usuarios externos que por algún
motivo deben acceder para consultar servicios de la red interna.
También es habitual utilizar estos accesos por parte de terceros para prestar servicios al
perímetro interior de la red, sería conveniente que estas cuentas sean activadas y desactivadas
bajo demanda y únicamente el tiempo que sean necesarias.
Política interna de seguridad
Un firewall de Internet no está solo, es parte de la política de seguridad total en una
organización, para que ésta sea exitosa, la organización debe conocer qué es lo se está
protegiendo.
Cortafuegos y Seguridad en el Internet
142
4.13 Comprar o construir un firewall
Bases para el diseño decisivo del firewall
Posturas sobre la política del firewall.
La política interna propia de la organización para la seguridad total.
El costo financiero del proyecto "firewall".
Los componentes o la construcción de secciones del firewall.
Algunas organizaciones tienen la capacidad de construir sus propios firewalls, usando
cualquiera de los equipos y componentes de software disponibles. Al mismo tiempo, la
totalidad de los vendedores ofrecen una amplia variedad de servicios en tecnología de
firewall, desde proveer las herramientas necesarias hasta implementar pólizas de seguridad,
hasta cálculos fuera de riesgos, revistas de seguridad y entrenamiento de seguridad.
Una de las ventajas para una compañía al construir su propio firewall es que el personal de
la misma entenderá las especificaciones del diseño y uso del firewall. Además un firewall
puede requerir una gran cantidad de tiempo para construirlo, documentarlo y mantenerlo.
Un cortafuego puede ser tan efectivo como la administración que la hizo. Un mantenimiento
pobre puede empezar a ser inseguro y permitir roturas mientras provee una ilusión de
seguridad. La póliza de seguridad podría reflejar claramente la importancia de la
administración de un firewall fuerte y el manejo demostraría su importancia en términos de
personal, fondos y otros recursos necesarios.
El contar con un firewall no es excusa para prestar menos atención a la administración de un
sistema en el lugar, de hecho, si un firewall es penetrado, una administración pobre permitirá
amplias intrusiones resultando dañado, también un firewall no reduce las necesidades de
administrar un sistema altamente calificado al mismo tiempo.
Cortafuegos y Seguridad en el Internet
143
Costo del firewall
¿Cuánto puede ofrecer una organización por su seguridad?
Un simple paquete de filtrado puede tener un costo mínimo.
Un firewall casero.
Un sistema comercial.
Finalmente requiere de soporte continuo para la administración, mantenimiento general,
actualización de software, reparación de seguridad e incidentes de manejo.
Firewall appliance (basado en hardware)
Máquinas endurecidas, optimizadas y diseñadas para realizar trabajos exclusivos de
firewall, especialmente de filtrado de paquetes, brindan grandes ventajas:
Sistema operativo desarrollado y concebido para mitigar ataques.
Mayor desempeño en comparación con los firewalls basados en software.
Menor tiempo de implementación que los firewalls basados en software.
Reducen necesidad de decidir entre hardware, sistema operativo y software de
filtrado, ya que todo viene configurado, simplificado y optimizado en un solo
paquete.
A continuación un listado de las aplicaciones más utilizadas en las medianas y grandes
empresas:
Cisco PIX (Private Internet Exchange.)
http://www.cisco.com/en/US/products/sw/secursw/ps2120/index.html
Juniper NetScreen – http://www.juniper.net/us/en/products-
services/security/netscreen/
SonicWall – http://www.sonicwall.com/us/products/7543.html
Checkpoint – http://www.checkpoint.com/products/appliances/index.html
Astaro – http://www.astaro.com/our_products/astaro_security_gateway
Cortafuegos y Seguridad en el Internet
144
Firewall basado en software
Constituyen una alternativa más económica en relación a los firewall basados en hardware,
pero presentan mayores desafíos en su implementación: debe seleccionarse adecuadamente
la plataforma de hardware y endurecer el sistema operativo, debido a que sistemas Windows,
Unix y Linux, no son optimizados por defecto para su uso, además corren por defecto
servicios que no son requeridos.
Algunos ejemplos de firewalls basados en software:
Endian-- http://www.endian.com/es/
Checkpoint-http://www.checkpoint.com/products/security_virtualization/index.html
IPTables – http://www.netfilter.org/
Microsoft Internet Security & Aceleration Server –
http://www.microsoft.com/forefront/edgesecurity/isaserver/en/us/default.aspx
Untangle – http://www.untangle.com/home
SmoothWall – http://www.smoothwall.com
Implementar un firewall
Recordemos que el diseño de la arquitectura y reglas del firewall se fundamentan sobre las
políticas de seguridad de la organización, en cuanto a las reglas que controlarán el tráfico, es
recomendable seguir los siguientes procedimientos:
1) Reunir suficiente información que permita una concepción de las reglas ajustada al sistema
donde se implementarán, para ello se deben conocer los servicios ofrecidos en la red y el tipo
de usuarios que los reciben, considerando lo siguiente:
Nivel de acceso a la información (privado/público)
Criticidad de la información (alta, media, baja)
Seguridad en comunicaciones (cifrado o texto claro)
Cortafuegos y Seguridad en el Internet
145
2) Con base en los requerimientos reunidos, se definen zonas denominadas “Security Areas”,
que constituyen un conjunto de activos de red con atributos y requerimientos de seguridad
similares, es decir, la red es dividida en áreas con permisos y restricciones comunes. Cada
una de ellas tiene un nivel de riesgo de 1 a 5 (1=alto, 5=bajo) que debe ser debidamente
justificado y que permitirá definir prioridades e incluso QoS (calidad de servicio) sobre
diferente tipo de tráfico.
La siguiente tabla ilustra la seguridad en las áreas de un diseño para una red hipotética.
Tabla 4.1 Niveles de riesgo
Área de seguridad Nivel de
riesgo
Descripción
Internet 1 Conexión en redes externas. Incluye router y
firewall.
DMZ 2 Servidores públicos
Servidores internos 3 Red de servicios para servicios internos
LAN 4 Red de usuarios
3) Construir en un nivel lógico las reglas que serán aplicadas a cada una de las áreas de
seguridad.
La siguiente tabla explica este concepto que continúa con el ejemplo anterior.
Cortafuegos y Seguridad en el Internet
146
Tabla 4.2 Nivel lógico
Como se puede apreciar, se define qué tipos de accesos son permitidos entre las áreas seguras
y cuándo almacenar registros de las conexiones, las reglas planteadas deben ser depuradas y
re-evaluadas para asegurar que su implementación no causarán impactos negativos en la red,
por ejemplo sería conveniente que el equipo de Tecnología y Seguridad de la Información
trabajen en conjunto para llevar a cabo estos procesos.
4) Una vez finalizado el diseño se procede con la implementación y pruebas correspondientes
de la solución.
4.14 ¿Cómo configurar un firewall?
Los firewall son unos elementos que se pueden configurar y personalizar, esto significa que
se permite añadir o quitar filtros basándote en varias condiciones, algunas de ellas son:
Direcciones IP: Cada máquina en Internet es asignada con una única dirección
identificativa llamada dirección IP tienen 32 bits que normalmente se expresan como
cuatro octetos separados por puntos, una dirección IP típica es algo como esto:
213.45.65.32. Por ejemplo, si una cierta dirección IP fuera de la compañía está
accediendo sospechosamente a información interna, el firewall puede bloquear todo
el tráfico desde o de esta dirección IP.
Cortafuegos y Seguridad en el Internet
147
Nombres de dominio: Al ser difícil recordar tantos números que forman las
direcciones IP y porque estos números pueden cambiar, los servidores en Internet
tienen nombres leíbles llamados nombres de dominio, esta conversión la hacen los
llamados DNS y los firewalls de las compañías pueden también bloquear el acceso a
ciertos nombres de dominio o permitir solo algunos.
Protocolos: El protocolo en un firewall es la manera de que alguien acceda a un
servicio, usando ciertos números de puerto o entradas a ciertas aplicaciones. El cual
puede ser un programa de computadora, como por ejemplo un navegador. Los
protocolos normalmente describen como el cliente y el servidor entablarán una
conexión. Un ejemplo importante de un protocolo es el utilizado en nuestros
navegadores el cual es el HTTP, algunos de los protocolos que se puede configurar
en el firewall son:
IP: Es el sistema principal para entregar información sobre la Internet.
TCP: Se usa para partir y volver a unir información que viaja por Internet.
HTTP: Se usa en las páginas Web.
FTP: El protocolo FTP se usa para subir y descargar archivos de un sitio a otro.
UDP: Se usa para información que no necesita respuesta de vuelta, como por
ejemplo el “streaming” o el uso de audio o video en tiempo real por Internet.
SMTP: Es el que se usa en el correo por Internet.
Telnet: Para poder conectarse a una máquina y realizar comandos de forma
remota.
ICMP: Los usan ciertos elementos de red para intercambiar información con
otros dispositivos.
Cualquier máquina o servidor hace que sus servicios estén disponibles en Internet usando
unos puertos numerados, uno para cada servicio disponible en el servidor, por ejemplo, si un
servidor tiene habilitado HTTP y FTP, entonces normalmente estará habilitando el puerto 80
para la Web y el puerto 21 para FTP.
Cortafuegos y Seguridad en el Internet
148
Una compañía puede que no esté de acuerdo con un acceso generalizado y decida permitir
solo a dos o tres personas para que puedan utilizar FTP.
Un firewall puede también filtrar ciertas palabras y frases, lo hace buscando dentro de cada
paquete IP para analizar la información y compararlo con una lista que tiene configurado. Se
pueden incluir todo tipo de variaciones y combinaciones, por lo que es una poderosa
herramienta para filtrar información.
Algunos sistemas operativos vienen con un firewall instalado, además existen muchos
software de firewalls que podemos instalar incluso de forma gratuita, con un firewall
hardware, la propia unidad de firewall se considera el Gateway casi siempre, este tipo de
firewalls son considerado muy seguros y los precios varían dependiendo para lo que se
requiera, los más comunes utilizados en casa, vienen incluidos con un router y puertos
ethernet para conectar algunas computadoras.
Un firewall que provee protección DMZ es una solución efectiva para empresas que ofrecen
a sus clientes la posibilidad de conectarse a su red a partir de cualquier medio externo ya sea
a través de Internet o cualquier otra ruta, como por ejemplo, una compañía de hosting de Web
o que vende sus productos o servicios por Internet, la decisión de optar por un firewall con
DMZ debe basarse en la cantidad de usuarios externos que acceden a la red y la frecuencia
con la que lo hacen, un firewall con DMZ crea un área de información protegida
(“desmilitarizada”) en la red, los usuarios externos pueden ingresar al área protegida, pero
no pueden acceder al resto de la red, esto permite a los usuarios externos acceder a la
información que usted quiere que vean, pero previene que obtengan información no
autorizada.
Un filtro de sitios Web o filtro de contenido extiende las capacidades del firewall para
bloquear el acceso a ciertos sitios Web, usted puede usar esta función adicional para
asegurarse de que sus empleados no accedan contenido inapropiado, como por ejemplo,
material pornográfico o racista, esta funcionalidad le permite definir categorías de material
inadecuado y obtener un servicio que lista miles de sitios Web que incluyen dicho tipo de
material, como siguiente paso, se puede escoger si se quiere bloquear totalmente el acceso a
estos sitios o permitir su uso, pero manteniendo un registro del mismo, tal servicio debe
actualizar automática y regularmente la lista de sitios Web que no pueden ser accedidos.
Cortafuegos y Seguridad en el Internet
149
4.15 Configuración de ENDIAN firewall
¿Qué es ENDIAN?
Esta es una herramienta OpenSource, desarrollada para el funcionamiento de cortafuego
(firewall), gestionar amenazas, servicios de VPN y PROXY, etc. ENDIAN está basado
originalmente en IPCop.
Figura 4.15 Logo de ENDIAN firewall
Referencia: http://www.endian.com/es/
La implementación de esta herramienta es una distribución GNU/Linux y su licencia es
OpenSource.
Características
Mejorar la distribución de su red implementando zonas (WAN, LAN, WiFi, DMZ),
moldeo de tráfico y soporta VoIP.
Incluye paquete dinámico de firewall para la seguridad de su red, detección de
intrusiones, detección de escaneo de puertos, entre otros.
Distribuir la carga de datos.
Hacer comunicaciones seguras con otras sedes o clientes remotos a través de VPN.
Antivirus y filtrado de contenido para un acceso a internet más seguro.
Manejo de proxy.
Enrutamiento.
Antivirus y Antispam para el correo electrónico.
Cortafuegos y Seguridad en el Internet
150
Alta disponibilidad.
Manejo de redes inalámbricas seguras, con posibilidad de suministrar tickets de
acceso.
Su administración es por vía web.
Figura 4.16 Representación de los usos de los firewalls
Referencia: http://dragontire.wordpress.com/como-instalar-y-configurar-endian/
El firewall como tal nos ofrecerá las restricciones necesarias a nuestro caso de trabajo, el cual
consiste en que los usuarios de red WAN no puedan tener acceso a la red LAN pero si puedan
tener acceso a la Zona DMZ, también la zona DMZ no podrá tener acceso a la Red LAN pero
si tendrá salida a Internet, por otra parte la red LAN tiene acceso a la Zona DMZ y a la Red
WAN (Salida a internet).
Cortafuegos y Seguridad en el Internet
151
LAN: zona verde
Dirección IP 192.168.20.0/24
Servicios de red: FTP
DMZ: zona naranja (DMZ)
Dirección IP 192.168.30.0/24
Servicios de red: HTTP, FTP, DNS
WAN: zona roja
Dirección IP 192.168.10.101
Instalación de ENDIAN firewall
Figura 4.17 Listado de idiomas para la instalación de ENDIAN
Referencia: http://www.endian.com/es/
Para poder realizar correctamente la instalación de ENDIAN es necesario grabarla en un
medio de almacenamiento, para posteriormente ejecutarla desde el arranque.
Cortafuegos y Seguridad en el Internet
152
Figura 4.18 Mensaje de Bienvenida a la instalación de ENDIAN
Referencia: http://www.endian.com/es/
En la figura anterior se muestra un mensaje, después de haber elegido el idioma dicho
mensaje representa la bienvenida a la instalación del firewall ENDIAN.
Una vez seleccionado ok, como lo muestra la imagen anterior, se nos despliega una nueva
ventana, sobre la sección del disco duro en la que se va a instalar y si se desea continuar con
la instalación.
Cortafuegos y Seguridad en el Internet
153
Figura 4.19 Términos de instalación
Referencia: http://www.endian.com/es/
Figura 4.20 Instalación del servicio de consola
Referencia: http://www.endian.com/es/
Cortafuegos y Seguridad en el Internet
154
En la figura 4.20 se presenta la posibilidad de activar el servicio de consola a través de un
cable serial conectado al puerto serial del PC, hacemos clic en OK.
Figura 4.21 Instalación de los archivos de ENDIAN en proceso
Referencia: http://www.endian.com/es/
En este paso es cuando el programa instalador toma la posesión de todo el disco duro para
así crear las particiones correspondientes.
Figura 4.22 Asignación de la dirección IP
Referencia: http://www.endian.com/es/
Cortafuegos y Seguridad en el Internet
155
Tal como lo muestra la ilustración anterior, se ingresa la dirección IP para más adelante
poder configurar el ENDIAN firewall desde un navegador de internet, posteriormente se hace
clic en OK.
Figura 4.23 Instalación de archivos de ENDIAN firewall
Referencia: http://www.endian.com/es/
Se debe retirar el CD o medio de almacenamiento para poder continuar con la instalación,
una vez retirado el CD, se selecciona la opción OK.
Figura 4.24 El proceso de instalación concluye satisfactoriamente
Referencia: http://www.endian.com/es/
Cortafuegos y Seguridad en el Internet
156
En la figura 4.24 se despliega una ventana en donde se puede apreciar un mensaje, de que la
instalación de ENDIAN firewall ha concluido satisfactoriamente, posteriormente hacemos
clic en OK para finalizar la instalación del ENDIAN.
Figura 4.25 finalizado de la instalación de ENDIAN
Referencia: http://www.endian.com/es/
Una vez concluido el proceso de instalación de ENDIAN firewall y reiniciado el equipo se
nos despliega una ventana de la consola del sistema operativo, de las opciones que podemos
elegir, en este caso escogemos la opción de la shell que es (0) y presionamos la tecla entrar.
Figura 4.26 Opciones para el modo de entrar a ENDIAN
Referencia: http://www.endian.com/es/
Cortafuegos y Seguridad en el Internet
157
Figura 4.27 Ingreso de contraseña y usuario para ENDIAN
Referencia: http://www.endian.com/es/
Después al escoger la opción de la shell introducimos el comando LOGIN y la contraseña es
ENDIAN. Para poder entrar como root.
Configuración de ENDIAN firewall
Para la configuración del ENDIAN necesitamos un sistema operativo que este en el mismo
rango de dirección de la máquina de ENDIAN, cuando las maquinas ya hagan ping entre
ellas podemos ingresar al navegador de internet de esta forma http://192.168.20.2 que es la
dirección donde está instalada la herramienta ENDIAN y procederemos a configurar el
ENDIAN por vía web.
En la figura 4.28 podemos observar la configuración de la red estática para el equipo, en este
caso el sistema operativo de Windows para que pueda comunicarse con la máquina de
ENDIAN y de esta manera hallar la configuración por vía web.
Cortafuegos y Seguridad en el Internet
158
Figura 4.28 Configuración de red estática dentro de Windows
Referencia: http://www.endian.com/es/
Figura 4.29 Mensaje de bienvenida a la configuración de ENDIAN
Referencia: http://www.endian.com/es/
Cortafuegos y Seguridad en el Internet
159
Para poder acceder a la configuración del ENDIAN ingresamos a un navegador web y
colocamos la dirección IP de la maquina donde se instaló la herramienta, hacemos clic en la
flecha de abajo como lo pueden observar en la imagen anterior.
Figura 4.30 Menú de idiomas para la configuración de ENDIAN
Referencia: http://www.endian.com/es/
Figura 4.31 Términos de licencia para la configuración de ENDIAN
Referencia: http://www.endian.com/es/
Cortafuegos y Seguridad en el Internet
160
Una vez seleccionado el idioma aceptamos la licencia de la aplicación y hacemos clic en
siguiente para continuar con la configuración de ENDIAN firewall.
ENDIAN firewall permite la opción de poder realizar un respaldo del mismo, como lo pueden
observar en la siguiente ilustración, una vez elegida la opción de nuestro interés, se procede
con la instalación haciendo clic en siguiente.
Figura 4.32 Creación de respaldo de la configuración
Referencia: http://www.endian.com/es/
Figura 4.33 Cambio de contraseñas de ENDIAN
Referencia: http://www.endian.com/es/
Cortafuegos y Seguridad en el Internet
161
Otro punto importante de ENDIAN es la de poder cambiar la contraseña por defecto de la
herramienta, ya sea la contraseña del usuario admin y del root, por el servicio de ssh, además
se puede utilizar la misma contraseña para ambos, una vez elegidas las contraseñas
escogemos el primer ítem que es (ethernet estático), aquí señalamos el tipo de conexión que
se presentara en la zona roja que es la WAN ya sea inalámbrico o por ethernet.
Figura 4.34 Configuración de la zona roja
Referencia: http://www.endian.com/es/
Una vez seleccionada el tipo de conexión de la zona roja escogemos la zona naranja donde
va a ir la DMZ (zona desmilitarizada).
Cortafuegos y Seguridad en el Internet
162
Figura 4.35 Configuración de la zona naranja
Referencia: http://www.endian.com/es/
Dentro de ENDIAN se puede escoger las preferencias de la red, donde podemos decidir que
interface va hacer la zona verde donde es la red LAN, también le asignamos la dirección IP
de la interface seleccionada y su correspondiente mascara de red, etc.
Figura 4.36 Configuración de la zona verde
Referencia: http://www.endian.com/es/
Cortafuegos y Seguridad en el Internet
163
ENDIAN permite configurar al igual que en la zona verde, la zona naranja donde escogemos
que interface va hacer la zona naranja (DMZ), dentro de esta configuración se coloca la
dirección IP de la interface y su correspondiente mascara de red.
Figura 4.37 Configuración de la IP zona naranja
Referencia: http://www.endian.com/es/
La ilustración siguiente representa la interface en la que se va a encontrar la zona roja donde
van a salir a internet los usuarios de la zona verde y naranja, también especificamos la
dirección y su máscara de red correspondiente.
Una vez configuradas las interfaces verde, naranja y roja, asignamos las direcciones IP de los
DNS.
Cortafuegos y Seguridad en el Internet
164
Figura 4.38 Configuración de IP zona roja
Referencia: http://www.endian.com/es/
Figura 4.39 Asignación de las direcciones IP de los DNS
Referencia: http://www.endian.com/es/
Cortafuegos y Seguridad en el Internet
165
Figura 4.40 Finalización de la configuración de la herramienta de ENDIAN
Referencia: http://www.endian.com/es/
Una vez finalizada la configuración de ENDIAN, la herramienta esta lista para poderla
administrar de acuerdo a nuestras necesidades.
Figura 4.41 La configuración de ENDIAN está lista para administrarla
Referencia: http://www.endian.com/es/
Cortafuegos y Seguridad en el Internet
166
Asignación de reglas
LAN: zona verde
Dirección IP 192.168.20.0/24
Servicios de red: FTP
LAN: zona naranja (DMZ)
Dirección IP 192.168.30.0/24
Servicios de red: HTTP, FTP, DNS
WAN: zona roja
Dirección IP 192.168.10.101
Configuración del NAT PUENTE (acceso a internet)
Una de las características especiales de ENDIAN es la creación de una NAT FUENTE que
permita que los de la zona verde puedan salir a Internet por medio de la zona roja.
Figura 4.42 Creación de una NAT FUENTE de la zona verde
Referencia: http://www.endian.com/es/
Cortafuegos y Seguridad en el Internet
167
Una vez creada la NAT FUENTE realizamos lo mismo pero para que la zona naranja (DMZ)
pueda tener acceso a Internet por medio de la zona roja que es la (WAN).
Figura 4.43 Creación de NAT FUENTE para la zona naranja
Referencia: http://www.endian.com/es/
Configuración del tráfico de ruteo (INCOMING ROUTED TRAFFIC)
Figura 4.44 Configuración del tráfico de ruteo
Referencia: http://www.endian.com/es/
Cortafuegos y Seguridad en el Internet
168
Ahora nos dirigimos a (incoming routed traffic) para que la zona roja nunca se conecte con
la zona verde, por el motivo de que los usuarios de la red WAN no puedan tener acceso a red
LAN.
Configuración de reenvío de puertos (PORTFORWARDING/DESTINATION NAT
RULE EDITOR)
Se realiza la configuración para que los usuarios de la red roja puedan tener acceso a los
servicios de la zona naranja (DMZ), en nuestro caso vemos que es el servicio FTP.
Sucesivamente lo pueden realizar con los otros servicios.
Figura 4.45 Configuración de la zona roja para los servicios de la zona naranja
Referencia: http://www.endian.com/es/
Cortafuegos y Seguridad en el Internet
169
Se agregan los servicios que van a salir a la red WAN, dentro de la configuración de ENDIAN
firewall.
Figura 4.46 Configuración dentro de ENDIAN firewall
Referencia: http://www.endian.com/es/
Configuración del Tráfico entre zonas
Se permite la conexión entre la zona verde con la naranja, para que los usuarios de la zona
verde puedan acceder a los servicios de la zona DMZ.
En la ilustración 4.48 se muestra como se deniega la conexión entre la zona naranja y la zona
verde, para que los usuarios de la zona roja no puedan acceder por ningún motivo a la zona
verde.
Cortafuegos y Seguridad en el Internet
170
Figura 4.47 Configuración de la zona verde hacia la zona naranja
Referencia: http://www.endian.com/es/
Figura 4.48 Se deniega la conexión de la zona verde y naranja
Referencia: http://www.endian.com/es/
Cortafuegos y Seguridad en el Internet
171
Configuración del tráfico de salida
Figura 4.49 Configuración del tráfico de salida
Referencia: http://www.endian.com/es/
En la imagen 4.49 como se puede observar se permite la conexión de la zona naranja para
que se entablar la conexión con la zona roja y de esta manera los usuarios de la zona WAN
ingresen a los servicios de red naranja.
Resultados de las reglas
Una vez realizada la instalación y al mismo tiempo la configuración de los parámetros de
ENDIAN firewall se procede a corroborar los resultados.
Ahora los usuarios de la zona verde ya se pueden conectar a internet satisfactoriamente.
Cortafuegos y Seguridad en el Internet
172
Figura 4.50 Conexión satisfactoria a internet
Referencia: http://www.endian.com/es/
Por otro lado los usuarios de la zona verde también se pueden conectar con el servicio FTP
y HTTP de la zona naranja (DMZ) satisfactoriamente.
Figura 4.51 Los usuarios de la zona verde conectados a internet
Referencia: http://www.endian.com/es/
Cortafuegos y Seguridad en el Internet
173
Figura 4.52 Los usuarios de la zona naranja se pueden conectar a internet
Referencia: http://www.endian.com/es/
La zona naranja nunca puede conectarse con la zona verde.
Figura 4.53 Comunicación de la zona naranja a la verde
Referencia: http://www.endian.com/es/
La zona roja (WAN) no puede obtener respuesta a la zona verde, por la configuración
realizada anteriormente.
Figura 4.54 La zona roja no puede conectarse a la zona verde
Referencia: http://www.endian.com/es/
Cortafuegos y Seguridad en el Internet
174
Ahora vemos que desde la zona roja (WAN) podemos tener acceso a la zona naranja (DMZ)
y por ello tener acceso a los servicios implementados en dicha zona, servicios como el WEB
y el FTP.
Figura 4.55 Acceso de la zona roja hacia la zona naranja
Referencia: http://www.endian.com/es/
4.16 Certificación de firewalls
ICSA, Inc. Intenta desarrollar criterios imparciales para definir buenos productos de
seguridad. Por ejemplo, por muchos años ICSA ha estado probando y certificando productos
antivirus. Los usuarios de estos productos han indicado que la certificación ha sido de gran
ayuda. Una compañía compra un producto antivirus certificada sabe que realizará estándares
claros establecidos y de esta manera podrá evitar más desordenes costosos que de otra manera
requerirá de otra clase de diligencias.
La certificación firewall opera con principios similares. Las compañías que fabrican firewall
pueden someterlos a prueba, y si pasan la prueba, ellos pueden colocar el logo de
certificación.
Cortafuegos y Seguridad en el Internet
175
Esto proporciona una seguridad a los compradores que este producto satisface ampliamente
un nivel de estándar de seguridad, en otras palabras, un comprador puede confiar que todos
los productos que han sido certificados, realizan en una perspectiva de seguridad funciones
en un mismo nivel. Algunos productos exceden el nivel y en algunas áreas la certificación
será más y más severa, la cual puede ser revocada si un producto falla al no mantenerse con
el estándar.
La certificación ICSA es totalmente diferente de un análisis competitivo o examen de
producto. El propósito de la certificación es no decir que un producto "A" hace o realiza
mejor que el producto "B" respecto a esto o aquello, la realización de un producto en términos
de velocidad, no es parte de la certificación.
El estándar inicial de certificación firewall depende de una definición de requerimientos
mínimos aceptables para una compañía típica o una organización. Específicamente, los
criterios de certificación significan que un producto firewall, que ha sido configurado de
acuerdo a las instrucciones del fabricante, brinda protección contra ataques y al mismo
tiempo, brinda una organización con funcionalidad operativa real.
La certificación está diseñada para asegurar que una firewall repele importantes ataques,
comunes y no comunes. ICSA utiliza una variedad de herramientas de rastreo comercial e
interno así como técnicas manuales para verificar que los ataques son combatidos
efectivamente, esto asegura que hay una fundación confiable de buenas técnicas de
seguridad. En conclusión los firewalls deben proveer a una organización una funcionalidad
real.
Cortafuegos y Seguridad en el Internet
176
Conclusiones
Hoy en día no existe solución técnica frente a un ataque de denegación de servicio, la
conclusión de este tema es que las infraestructuras de Internet representan el punto más débil
de la seguridad global en Internet. Tal es el caso del Congreso de los Estado Unidos que ha
decidido invertir 900 millones de dólares en la investigación y desarrollo de nuevas
soluciones de seguridad para la Red.
Es urgente rediseñar una infraestructura desarrollada hace más de 30 años para uso militar y
académico contemplando mecanismos de seguridad pensados para soportar las amenazas de
destrucción física de los sistemas.
En cualquier tipo de red, al instalar el firewall debemos dotar a los servidores con las dos
direcciones IP: Una para que se puedan conectar las terminales de la LAN a él y otra con el
exterior, por lo tanto, en dicha red todas las transferencias de datos están sujetas al firewall,
es decir que una computadora sólo podrá acceder a los parámetros que el firewall tenga
permitido o posibilite mediante su configuración.
Por ejemplo, si una terminal de la red intenta enviar un paquete a una dirección IP no
autorizada, el firewall rechazará éste envío impidiendo realizar la transmisión. Con el firewall
podemos definir tamaños de paquetes, direcciones IP, deshabilitación de envíos o recepción
de paquetes por determinados puertos, imposibilitar el uso del comando Finger, etc.
Además otra herramienta de seguridad fiable es el uso de las VPN´S las cuales representan
en cuanto a seguridad una gran confidencialidad e integridad de los datos y prácticamente se
ha vuelto un tema importante en las organizaciones debido a que reduce significativamente
el costo de la trasferencia de datos de un lugar a otro, el único inconveniente que pudieran
tener las VPN´S es que primero se deben establecer correctamente las políticas de seguridad
y de acceso.
Cortafuegos y Seguridad en el Internet
177
Con respecto al acceso desde el interior de una LAN hacia el exterior, podemos decir que, si
desde cualquier estación enviamos un paquete a una IP y el firewall nos valida el tamaño de
la IP destino, puerto, etc., estos parámetros varían según las necesidades de seguridad de cada
red y por ende, del nivel de configuración del firewall, nosotros no notaremos ninguna
diferencia entre la existencia o no de la barrera.
Cortafuegos y Seguridad en el Internet
178
Glosario
ARPANET: La red de computadoras Advanced Research Projects Agency Network
(ARPANET) fue creada por el Departamento de Defensa de Estados Unidos, como
medio de comunicación para los diferentes organismos del país. El primer nodo se
creó en la Universidad de California y fue la espina dorsal de Internet hasta 1990, tras
finalizar la transición al protocolo TCP/IP iniciada en 1983.
Broadcast: Es un método de comunicación donde un dispositivo envía un único
paquete de datos direccionado a cada uno de los dispositivos en una red y la
comunicación de uno a todos. En Ethernet, existen inherentemente al menos 2 tipos
de comunicaciones, unicast y broadcast. Unicast es una forma de comunicación uno
a uno. En otros protocolos, puede haber un tercer tipo de modo de comunicación
llamado Multicast. Multicast es una forma de comunicación de uno a muchos y es
ligeramente más complejo.
Broadcasting: Es una forma de transmisión de información donde un nodo emisor
envía información a una multitud de nodos receptores de manera simultánea, sin
necesidad de reproducir la misma transmisión nodo por nodo.
CERN: La Organización Europea para la Investigación Nuclear, es el mayor
laboratorio de investigación en física de partículas, a nivel mundial.
Dialer: Es una aplicación que crea una conexión a Internet para conectarse a través
de una línea telefónica analógica o una ISDN.
Dirección I.P: Una dirección única que identifica a un equipo en una red mediante
una dirección de 32 bits que es única en toda la red TCP/IP. Las direcciones IP se
suelen representar en notación decimal con puntos, que representa cada octeto (8 bits
o 1 byte) de una dirección IP como su valor decimal y separa cada octeto con un
punto; por ejemplo, 207.46.130.45.
DMZ: El objetivo de una DMZ es que las conexiones desde la red interna y la externa
a la DMZ estén permitidas, mientras que las conexiones desde la DMZ solo se
permitan a la red externa a los equipos y en la DMZ no puedan conectarse con la red
interna.
Enquire: Fue un proyecto de software escrito en la segunda mitad de 1980 por Tim
Berners-Lee, quien posteriormente crearía el World Wide Web en 1989.
Cortafuegos y Seguridad en el Internet
179
Firewall: Elemento basado en Hardware, Software o en una combinación de ambos,
que controla el flujo de datos que entra y sale de una red.
Gateway: Es un dispositivo que permite interconectar redes con protocolos y
arquitecturas diferentes a todos los niveles de comunicación, su propósito es traducir
la información del protocolo utilizado en una red al protocolo usado en la red de
destino.
HandShake: Es una palabra inglesa cuyo significado es "apretón de manos" y que es
utilizada en tecnologías informáticas, telecomunicaciones, y otras conexiones, es un
proceso automatizado de negociación que establece de forma dinámica los
parámetros de un canal de comunicaciones establecido entre dos entidades antes de
que comience la comunicación normal por el canal.
Host: Son las computadoras conectadas a una red, que proveen y utilizan servicios de
ella.
IRC: Es un protocolo de comunicación en tiempo real basado en texto, que permite
debates entre dos o más personas. Se diferencia de la mensajería instantánea en que
los usuarios no deben acceder a establecer la comunicación de antemano, de tal forma
que todos los usuarios que se encuentran en un canal pueden comunicarse entre sí,
aunque no hayan tenido ningún contacto anterior.
ISDN: Corresponde a las siglas en idioma inglés Integrated Services Digital Network
(Red Digital de servicios Integrados) es un sistema para las conexiones de teléfonos
digitales, especialmente creado para proveer servicios como el envío de voz, de video,
así como también, líneas telefónicas digitales o normales que surgen del excedente
de los datos simultáneamente.
LAN: Red de Area Local.
Log: Es un registro oficial de eventos durante un periodo de tiempo en particular.
Para los profesionales en seguridad informática un log es usado para registrar datos o
información sobre un evento ocurre para un dispositivo en particular o aplicación.
NAT: Es un mecanismo utilizado por routers, para intercambiar paquetes entre dos
redes que asignan mutuamente direcciones incompatibles. Consiste en convertir, en
tiempo real las direcciones utilizadas en los paquetes transportados.
Cortafuegos y Seguridad en el Internet
180
NCP: Fue un programa de control de red el cual proporcionó las capas medias de la
pila de protocolos que se ejecutan en equipos host de la ARPANET, el predecesor de
la moderna Internet.
Nombre del Host: Es el nombre que se da un equipo que forma parte de un dominio
y que se utiliza para autenticar a los clientes, también se denomina nombre de equipo.
NSFNET: Acrónimo inglés de National Science Foundation's Network, esta
comenzó con una serie de redes dedicadas a la comunicación de la investigación y de
la educación. Fue creada por el gobierno de los Estados Unidos (a través de la
National Science Foundation), y fue reemplazo de ARPANET como backbone de
Internet.
Paquete: Cantidad mínima de datos que se transmiten en una red o entre dispositivos,
tiene estructura y longitud variable según el protocolo utilizado.
Proxy: Un servidor proxy es un equipo intermediario situado entre el sistema del
usuario e Internet, puede utilizarse para registrar el uso de Internet y también para
bloquear el acceso a una sede Web. El servidor de seguridad del proxy bloquea
algunas sedes o páginas Web por diversas razones.
Router: Elemento Hardware que trabaja a nivel de red y entre otras cosas se utiliza
para conectar una LAN a una WAN. Un Router (enrutador) asigna el encabezado del
paquete a una ubicación de una LAN y elige la mejor ruta de acceso para el paquete,
con lo que optimiza el rendimiento de la red.
SYN: Es un bit de control dentro del segmento TCP, que se utiliza para sincronizar
los números de secuencia iniciales ISN de una conexión en el procedimiento de
establecimiento de tres fases. Se usa para sincronizar los números de secuencia en
tres tipos de segmentos: petición de conexión, confirmación de conexión (con ACK
activo) y la recepción de la confirmación (con ACK activo).
VPN: Es el acrónimo del inglés Virtual Private Network (Red Privada Virtual) es una
red para transmisión de datos de manera privada, utilizando una infraestructura de
telecomunicaciones pública.
Cortafuegos y Seguridad en el Internet
181
Bibliografía
Fuente consultada Fecha de
consulta
Artículos
Castells, M.: La galaxia Internet – Reflexiones sobre Internet, empresa y
sociedad. Barcelona (Plaza & Janés), 2002.
15/09/2013
Echeverría, J.: Los señores del aire: Telépolis y el Tercer Entorno. Barcelona
(Destino),
28/09/2013
Metzner-Szigeth, A.: "El movimiento y la matriz" – Internet y
transformación socio-cultural. En: Revista Iberoamericana de Ciencia,
Tecnología, Sociedad e Innovación.
15/10/2013
Bergen Linux User Group (April de 2001). «The informal report from the
RFC 1149 event».
22/10/2013
Firewall Policies and VPN Configurations, Anne Henmi, Mark Lucas,
Abhishek Singh, Chris Cantrell. Syngress Publishing,Inc 2012
28/10/2013
Ronda Hauben. Internet History «From the ARPANET to the Internet». TCP
Digest (UUCP).
12/11/2013
ZDNet (06-11-2012). «Cerf and Khan to get Presidential Medal of Honor».
18/11/2013
HERNÁNDEZ, Roberto. Firewalls: Seguridad en las redes e Internet.
Boletín de Política Informática N° 2. Página 7.
22/11/2013
Cortafuegos y Seguridad en el Internet
182
Libros
HUERTA, Antonio Villalón. "Seguridad en Unix y redes". Versión 1.2
29/11/2013
Digital – Open Publication License v.10 o Later. 2 de Octubre de 2000.
Capítulo 5–Página 81.
02/12/2013
Security in Computing, Fourth Edition, Charles P. Pfleeger - Pfleeger
Consulting Group, Shari Lawrence Pfleeger. Prentice Hall 2009
04/12/2013
GONCALVES, Marcus. Firewalls Complete. Beta Book. McGraw Hill.
1997. EE.UU. Página 25
06/12/2013
Páginas de Internet
http://www.securityfocus.com/infocus/1716
http://www.securityfocus.com/infocus/1701
http://www.securityfocus.com/infocus/1716
http://tools.ietf.org/html/rfc760
http://tools.ietf.org/html/rfc791
http://www.vsantivirus.com/seis-pasos-060905.htm
http://www.fcw.com/article90656-09-05-05-Print
http://www.cert.org. Capítulo 12–Página 165
http://www.cert.org. Capítulo 12–Página 168.
http://www.cs.princeton.edu/sip
http://www.rstcorp.com/hostile-applets
http://www.ccc.de
http://www.newhackcity.net/win_buff_overflow
http://www.nwnetworks.com/iesf.html
http://www.demailly.com/~dl/netscapesec/
http://www.aclantis.com
11/09/2013
15/09/2013
17/09/2013
18/09/2013
25/09/2013
27/09/2013
2/10/2013
4/10/2013
6/10/2013
7/10/2013
7/10/2013
13/10/2013
14/10/2013
14/10/2013
15/10/2013
16/10/2013
17/10/2013
Cortafuegos y Seguridad en el Internet
183
http://www.aclantis.com/articulo.php?sid=2110
http://roble.pntic.mec.es/~sgonzale/linux/cortafuegos.html
http://www.monografias.com/trabajos3/firewalls/firewalls.shtml#arriba
http://benavent.homeip.net:8080/links/herramientas.htm
http://glub.ehu.es/seguridad/
http://glub.ehu.es/seguridad/filtrado.html
http://glub.ehu.es/seguridad/deteccion.html
http://glub.ehu.es/seguridad/cgi.html
http://club.telepolis.com/mcastal/firewalls.htm
http://www.microsoft.com/latam/seguridad/proteccion/firewall.asp
http://www.tress.com.mx/boletin/julio2003/firewall.htm
http://www.delitosinformaticos.com/especial/seguridad/politica.shtml
http://www.arcert.gov.ar/curso_firewalls/curso_f.htm
http://www.utp.ac.pa/seccion/topicos/seguridad/firewall.html
http://www-2.dc.uba.ar/materias/seginf/material/Clase12-Unidad5_vf.pdf
http://blog.internexo.com/2006/07/vpn-redes-virtuales-privadas.html
http://www.telypc.com/vpn.html
17/10/2013
18/10/2013
19/10/2013
19/10/2013
19/10/2013
20/10/2013
22/10/2013
24/10/2013
25/10/2013
26/10/2013
28/10/2013
04/11/2013
5/11/2013
9/11/2013
20/11/2013
24/11/2013
06/12/2013
