seguridad - firewalls profesionales
TRANSCRIPT
-
or lo general, cuando hablamos de fire-walls, lo primero que se nos viene a lamente son programas como Zone Alarm o
Kerio Personal Firewall. Si bien stos son muy buenosa la hora de realizar una configuracin de seguridadpersonal o de tipo SOHO (Small Office Home Office,redes hogareas), no son lo suficientemente verstilesni poderosos como para operar en entornos de gran-des empresas, que tienen requerimientos evidentemen-te superiores. Veamos, entonces, de qu se tratan losfirewalls de uso profesional.
SOLUCIONES CORPORATIVASLas redes de las grandes empresas suelen destacarsepor presentar una complejidad superior a las comu-nes: numerosas direcciones IP (que en muchas oca-siones no pertenecen al mismo segmento), subredes,VPNs, DMZ (si ya estn perdidos, consulten el glosa-rio), redes de acceso pblico, etc. Recuerden que lasIPs en una LAN suelen ser privadas, es decir, perte-necientes a segmentos no ruteables desde Internet:192.168.x.x, 10.x.x.x y el rango comprendido entre 172.16.0.0 a 172.31.255.255.Existen en el mercado varias marcas que proveen deestas soluciones a las empresas; entre ellas, CiscoPix (www.cisco.com), WatchGuard (www.watchguard.com),Intel Shiva (www.shiva.com), SonicWall (www.sonicwall-.com) y Nokia (www.nokia.com). Este ltimo firewall es
uno de los ms poderosos (y caros), ya que cuenta con mlti-ples opciones, sin que esto signifique mayor complejidad a lahora de realizar la configuracin. Por eso, a lo largo de estanota basaremos nuestros ejemplos en l.Una pregunta que puede surgir es: entonces los firewalls corpo-rativos son por hardware, mientras que las soluciones hogareasson por software?. No. Todos los firewalls son por software. Elhecho de que se distribuyan en un hardware diseado para sopor-tarlo es un agregado ms de seguridad, ya que no se utiliza nin-guna PC del circuito de la red que se va a proteger, pero sera elequivalente a adquirir el software e instalarlo en una mquinaque slo comparta la conexin a Internet y realice los filtros delfirewall (y, por qu no, tambin un buen antivirus). Un claroejemplo es el de Check Point, una empresa desarrolladora de soft-ware que, en asociacin el Nokia (que cre un sistema operativoespecial para soportar el Check Point y hacerlo ms estable y se-guro), distribuyen el producto en cuestin.
CHECK POINT FIREWALL-1Si bien existe una solucin CP para cada sistema (Solaris, Li-nux, Windows, etc.), en mi opinin el kit ideal es el provistopor Nokia, con el hardware incluido, que dependiendo del caso,puede llegar a ser un equipo similar a cualquier CPU como lasque tenemos en casa. Este kit consta, bsicamente, de un pro-cesador; disco rgido; interfaces Ethernet; interfaz y puerto se-rial; conectores para teclado, mouse y monitor, y un conectorpara consola. Este ltimo elemento es de suma importancia, yaque el nivel de proteccin es tan alto, que frente a un granriesgo o a una configuracin equivocada por parte del adminis-
P
PABLO D. HAUSERSECURITY OPERATIONS CENTER, [email protected]
56 POWERUSR
.seg
CUANDO ZONE ALARMY KERIO QUEDAN CHICOS...
FIREWALLSPROFESIONALES
EL SITIO WEB DE CHECK POINT (www.checkpoint.com) POSEE MUCHA INFORMACION SOBRE LAS HERRAMIENTAS Y LOS FIREWALLS DESARROLLADOS POR LA COMPAIA.
A NIVEL EMPRESARIAL, UN FIREWALLHOGAREO QUEDA MUY LIMITADOFRENTE A SOLUCIONES DE HARDWARE Y SOFTWARE PROVISTAS PORFABRICANTES. EN ESTA NOTA HAREMOSUNA INTRODUCCION AL USO Y FUNCIONESDE LOS FIREWALLS PARA GRANDES REDES.
01FIGURA
UN SITIO MUY UTIL DONDE ENCONTRAR AYUDA O DEJARAPORTES DE NUESTRAS EXPERIENCIAS ES EN LOS BLOGS DE PHONEBOY (www.phoneboy.com).02
FIGURA
FIREWALLS.qxd 10/15/03 11:23 AM Page 56
-
57POWERUSR
trador de seguridad que lo deje fuera delcircuito seguro, ser la nica manera depoder controlar nuevamente el firewall,notebook y cable especial mediante.El kit viene con el CD de instalacin del sis-tema operativo, y una vez que configuramoscorrectamente todos sus parmetros, procede-mos a la instalacin del firewall. El SO pro-visto por Nokia es el IPSO, un FREEBSD ba-sado en Linux y desarrollado especialmentepara Check Point. Se trata de una versin re-ducida, para aprovechar al mximo sus ca-ractersticas de seguridad y eliminar los de-ms aspectos del sistema. La instalacin pue-de ser algo engorrosa, ya que no es nadaamigable; ninguno de sus pasos es grfico,pero basta con poner un poco de concentra-cin durante el proceso y nunca ms debere-mos volver a tocarlo.
LA INTERFAZLa instalacin del firewall se realiza de lamisma manera, pero la administracin estotalmente grfica y es ah donde se simpli-fica el trabajo. Una de las grandes diferenciasentre Check Point y el resto del software deseguridad es que la administracin se realizaa travs de un cliente GUI, que nos permitemanejar todo de manera ultrasencilla; encambio, las dems soluciones dan acceso alequipo por HTTP o HTTPS, o (dependiendo dela marca elegida) a una consola centralizado-ra en caso de que tengamos varios equiposen produccin para administrar. Una vez ac-tivado el motor del firewall, se puede operarin situ o remotamente, conectndose a la IPpblica del equipo a travs de una herra-mienta tambin provista por CP: el Secu-reCRT para el IPSO (conexin encriptada porTelnet) y el GUI Client para el Firewall-1.
REGLASLas reglas de filtrado del firewall se ejecutanen forma secuencial, comenzando desde la#0 (predefinida en [Policy/Properties]), hastala ltima que hayamos creado. Para com-prenderlo, es necesario que observemos la Figura 6: las reglas que se crean van reci-biendo un nmero secuencial dependiendodel lugar de la tabla donde las ubicamos.En la imagen vemos las reglas de la #1 a la#5; sin embargo, la regla #0 no se ve, yaque es tomada por defecto en el firewall es-pecificando ciertos parmetros. Estos puedenser, por ejemplo, aceptar ping (ICMP), aceptarresolucin de nombres (DNS) y aceptar pa-quetes de salida desde el firewall, entre otros.La importancia de definir un orden para lasreglas radica en que, de lo contrario, se
DENTRO DE LOS FIREWALLS DE ALTA GAMAEXISTEN DIFERENTES OPCIONES SEGUN LASNECESIDADES QUE UNA RED PUEDA TENER. LOS MODELOS DE MAYOR TAMAO SUELEN SERFISICAMENTE VERSATILES Y PODEROSOS.
QUIENES UTILICEN LINUX ESTARAN ACOSTUMBRADOS AINTERFACES POCO AMIGABLES, COMO LA DE IPSO A TRAVESDE SECURECRT, QUE VEMOS EN ESTE CASO.03
FIGURA
ELNAVEGADORDE REDVOYAGER,VISTO DESDELYNX(ARRIBA) E INTERNETEXPLORER(IZQUIERDA).
04FIGURA
05FIGURA
FIREWALLS.qxd 10/15/03 11:23 AM Page 57
-
58 POWERUSR
pueden obtener resultados no deseados a causa deconflictos entre ellas. En nuestro ejemplo, la regla #4dice que desde cualquier origen, hacia cualquier desti-no, mientras sea por el conjunto de puertos NBT (basu-ra NetBios), los paquetes sean rechazados. Si al da si-guiente, sin darnos cuenta insertamos una nueva reglaen la posicin #2 que diga exactamente lo contrario(todos los paquetes por NBT son aceptados), la reglaanterior carecer de utilidad.Afortunadamente, al momento de instalar las reglas,Check Point cuenta con un compilador que nos adviertede algunos errores de este tipo, para que podamos corre-girlos y no surjan estas incoherencias.Adems de la grfica para las reglas, existe tambinuna interfaz web con varias de las opciones de confi-guracin de IPSO llamada Voyager, que nos permiteevitar la interaccin hostil con IPSO. En caso de noposeer un navegador, un llamado Lynx incluido en elsistema hace las veces de browser, pero obviamente, li-mitado en su interfaz.
DMZ Y VPNComo mencionamos al principio de la nota, una red,adems de tener su acceso LAN y WAN, puede presen-tar una tercera zona: la DMZ (de DeMilitarized Zone,Zona Desmilitarizada; trmino que se usa en el campomilitar como un rea pacfica de intercambio entre ene-migos). La DMZ actuara como una interseccin de lared confiable o LAN y la red insegura o WAN (Internet).Dentro de la DMZ se suelen configurar equipos de ac-ceso pblico, pero tambin de acceso interno, como
EL EDITOR DE POLITICAS DE CHECK POINT GUI CLIENT. NOTEN EL ORDEN DE PRIORIDAD DE LAS REGLAS ESTABLECIDAS,CON SU CORRESPONDIENTE ACCION, ORIGEN, DESTINO Y HORARIO, ENTRE OTRAS COSAS. DETERMINAR UN CORRECTOORDEN DE LAS REGLAS ES FUNDAMENTAL PARA NO CREAR CONFLICTOS ENTRE ELLAS.
NUMEROSAS COMPAIAS OFRECEN SOLUCIONES DE FIREWALLS CORPORATIVOS. ENTRE ELLAS, LA DE CISCO PIX,WATCH GUARD, INTEL SHIVA, SONIC WLL Y NOKIA. AQUI VEMOS UN RACK NOKIA IP350, CON CUATRO CONECTORESDE RED Y DOS PUERTOS SERIE EN EL FRENTE, ADEMAS DE UN SLOT PARA TARJETAS PCMCIA.
WebServers, MailServers, SQLServers, FTPServers, DNS-Servers, etc. El router-firewall (s, CP tambin permitela carga de rutas estticas a travs de Voyager) posibi-lita que los accesos a la DMZ no traspasen a la LAN,haciendo que la red confiable lo siga siendo aun coninformacin publicada en Internet.Las VPN son, como su nombre lo indica (Virtual PrivateNetworks, redes privadas virtuales), extensiones de lared privada de la empresa. Para dar un ejemplo, imagi-nen que en su empresa los envan a una presentacin so-bre sus productos en Europa, pero necesitan estar conti-nuamente en conexin, para tomar los ltimos datos so-bre los cambios en los modelos, precios, etc. Esta infor-macin es netamente confidencial, y no sera serio niprudente realizar envos por mail u otros medios. Aqu esdonde entran las VPNs. Por la red no confiable (en estecaso, Internet) se realiza una comunicacin entre el clien-te de la mquina viajante y el servidor en el firewall, pa-ra intercambiar datos sobre el formato de encriptacinque se utilizar (FWZ, IKE), los algoritmos (DES, 3DES,CAST, etc.), los secretos compartidos previamente esta-blecidos y la validacin del cliente. Si esta comunicacines exitosa, se crea un tnel de encriptacin por dondecircularn todos los datos sin riesgo, como si se estuvieradentro de la LAN, hasta que finalice la sesin. CheckPiont permite un manejo de los usuarios a autenticar aun nivel tan especfico, que si as se indicara, una perso-na podra validar para el ingreso SOLO si se cumpliera lapeticin mediante un puerto X, desde una mquina Y, yhacia un host Z. Para obtener ms informacin sobreVPNs, pueden visitar el sitio http://vpn.shmoo.com.
06FIGURA
FIREWALLS.qxd 10/15/03 11:23 AM Page 58
-
59POWERUSR
LOGSUna de las herramientas ms tiles con los que contamos a la hora de rea-lizar debugging (seguimiento paso por paso de un procedimiento paradetectar errores y sus casusas) cuando un problema no es fcilmentevisible es el log en tiempo real que brinda Check Point, una verdaderaventaja frente a sus competidores, ya que algunos de ellos ni siquiera con-templan un registro en modo texto.Mediante el log se pueden monitorear todos los accesos de los paquetesque circulan a travs del firewall, filtrando por varios campos de los cualeslos ms utilizados son: origen, destino, accin, servicio, protocolo, usuario ynmero de regla de filtrado.El log tambin nos permite la resolucin de nombres de las IPs que visualiza-mos en las columnas de origen y de destino. Por lo tanto, si tenemos esta op-cin habilitada y realizamos, por ejemplo, un ping a la direccin 200.80.42.95,en el log veremos como origen nuestra IP, como destino www.tectimes.com, servicio ICMP, y si es aceptado o no.
HASTA AQUI LLEGAMOSPara finalizar, hay que remarcar algunas de las bondades del manejo deCheck Point mediante la interfaz grfica: se pueden crear objetos y gru-pos de objetos, como PCs, redes, dominios, servers, etc. De la misma ma-nera se manejan los servicios (la mayora de los de uso frecuente, comoHTTP, FTP, SMTP y dems estn creados, pero es posible agregar nuevos,como TCP, UDP, RPC, ICMP, etc.). En caso de tener un grupo de firewallsadministrados por la misma consola, se le puede indicar qu reglas se ins-talan sobre qu firewall; permite realizar NAT de los objetos o redes conla IP pblica del firewall para que puedan acceder correctamente a Inter-net, y en caso de que un objeto posea una IP pblica, tambin permiteNAT esttico (como el caso de los WebServers). Por otra parte, permite au-tenticacin de usuarios por password o por SecureID, previa creacin delobjeto servidor de sincronizacin de los Tokens; realiza anti-spoofing;permite restringir el ancho de banda del trfico; y muchsimas opcionesms. Lo que se dice, una herramienta bien completa
GLOSARIOSI ALGUN TERMINO LES SUENA UN TANTO EXTRAO, AQUI TIENEN UNA BREVE EXPLICACION:
3DES Algoritmo de encriptacin simtricabasado en la repeticin de DES. Utiliza llave de 168 bits de longitud.
CAST Carlisle Adams / Stafford Tavares.Grupo de cifrado similar al DES.
DES Data Encryption Standard (Encriptacin Estndar de Datos). Uno de los ms populares algoritmos de encriptacin simtrica desarrollado por IBM. Utiliza llave de 56 bits de longitud.
DMZ Demilitarized Zone (Zona Desmilitari-zada). Se aplica al rea donde las redes,tanto confiables (LAN) como no confiables(Internet), se cruzan accediendo a un mismo equipo.
FIREWALL (FW) Software dedicado a evitarla intrusin o el acceso de informacin no deseada a travs de los puertos abiertos en la mquina. Se combina con hardware dedicado para hacer msefectivo su funcionamiento.
FREEBSD SO derivado de Unix para PC Intel y compatibles (x86).
FWZ Protocolo de encriptacin propietario desarrollado por Checkpoint.No puede ser enmascarado.
GUI Graphical User Interface (Interfaz Grfica de Usuario). Se refiere a tcnicasque utilizan ventanas grficas que permiten un fcil manejo de aplicacionesmediante teclado y mouse.
IKE Protocolo de encriptacin que utilizaestndares Ipsec. Puede ser enmascarado.
IP Internet Protocol. Protocolo que juntocon TCP (Transfer Control Protocol, Protocolo de Control de Transmisin) se encarga de efectivizar las comunicacio-nes en red. La direccin IP es el identifica-dor de cada host dentro de la red.
IPSEC Conjunto de protocolos estndar utilizados para implementar comunicacio-nes seguras e intercambio de llaves entrecomputadoras, generalmente utilizado para establecer las VPNs.
TELNET Comando que permite accesos aterminales o servidores a travs de unared. Los comandos enviados por Telnet son ejecutados en la mquina remota comosi estuviramos frente a ella.
VPN Virtual Private Networks (Redes Priva-das Virtuales). Extensiones de la red LANconfiable a pesar de la distancia. Se crean atravs de la red no confiable (Internet) perodentro de un tnel encriptado.
TODOS LOS FIREWALLS SON POR SOFTWARE. EL HECHO DE QUE SE DISTRIBUYAN EN UN HARDWARE DISEADO PARA SOPORTARLO ES UN AGREGADO MAS DE SEGURIDAD, YA QUE NO SE UTILIZA NINGUNA COMPUTADORA DEL CIRCUITO DE LA RED QUE SE VA A PROTEGER.*
VISTA DEL LOG EN TIEMPO REAL. PUEDE PERSONALIZARSE PARA TENER A MANO TODAS LAS HERRAMIENTAS QUE NOS AYUDENA DESCUBRIR UN PROBLEMA.07
FIGURA
FIREWALLS.qxd 10/15/03 11:23 AM Page 59