mente son programas como Zone Alarm o Kerio Personal Firewall. Si bien stos son muy buenos a la hora de realizar una configuracin de seguridad personal o de tipo SOHO (Small Office Home Office, redes hogareas), no son lo suficientemente verstiles ni poderosos como para operar en entornos de gran- des empresas, que tienen requerimientos evidentemen- te superiores. Veamos, entonces, de qu se tratan los firewalls de uso profesional. SOLUCIONES CORPORATIVAS Las redes de las grandes empresas suelen destacarse por presentar una complejidad superior a las comu- nes: numerosas direcciones IP (que en muchas oca- siones no pertenecen al mismo segmento), subredes, VPNs, DMZ (si ya estn perdidos, consulten el glosa- rio), redes de acceso pblico, etc. Recuerden que las IPs en una LAN suelen ser privadas, es decir, perte- necientes a segmentos no ruteables desde Internet: 192.168.x.x, 10.x.x.x y el rango comprendido entre 172.16.0.0 a 172.31.255.255. Existen en el mercado varias marcas que proveen de estas soluciones a las empresas; entre ellas, Cisco Pix (www.cisco.com), WatchGuard (www.watchguard.com), Intel Shiva (www.shiva.com), SonicWall (www.sonicwall- .com) y Nokia (www.nokia.com). Este ltimo firewall es uno de los ms poderosos (y caros), ya que cuenta con mlti- ples opciones, sin que esto signifique mayor complejidad a la hora de realizar la configuracin. Por eso, a lo largo de esta nota basaremos nuestros ejemplos en l. Una pregunta que puede surgir es: entonces los firewalls corpo- rativos son por hardware, mientras que las soluciones hogareas son por software?. No. Todos los firewalls son por software. El hecho de que se distribuyan en un hardware diseado para sopor- tarlo es un agregado ms de seguridad, ya que no se utiliza nin- guna PC del circuito de la red que se va a proteger, pero sera el equivalente a adquirir el software e instalarlo en una mquina que slo comparta la conexin a Internet y realice los filtros del firewall (y, por qu no, tambin un buen antivirus). Un claro ejemplo es el de Check Point, una empresa desarrolladora de soft- ware que, en asociacin el Nokia (que cre un sistema operativo especial para soportar el Check Point y hacerlo ms estable y se- guro), distribuyen el producto en cuestin. CHECK POINT FIREWALL-1 Si bien existe una solucin CP para cada sistema (Solaris, Li- nux, Windows, etc.), en mi opinin el kit ideal es el provisto por Nokia, con el hardware incluido, que dependiendo del caso, puede llegar a ser un equipo similar a cualquier CPU como las que tenemos en casa. Este kit consta, bsicamente, de un pro- cesador; disco rgido; interfaces Ethernet; interfaz y puerto se- rial; conectores para teclado, mouse y monitor, y un conector para consola. Este ltimo elemento es de suma importancia, ya que el nivel de proteccin es tan alto, que frente a un gran riesgo o a una configuracin equivocada por parte del adminis- P PABLO D. HAUSER SECURITY OPERATIONS CENTER, IMPSAT pablohauser@yahoo.com.ar 56 POWERUSR .seg CUANDO ZONE ALARM Y KERIO QUEDAN CHICOS... FIREWALLS PROFESIONALES
EL SITIO WEB DE CHECK POINT (www.checkpoint.com)
POSEE MUCHA INFORMACION SOBRE LAS HERRAMIENTAS Y LOS FIREWALLS DESARROLLADOS POR LA COMPAIA. A NIVEL EMPRESARIAL, UN FIREWALL HOGAREO QUEDA MUY LIMITADO FRENTE A SOLUCIONES DE HARDWARE Y SOFTWARE PROVISTAS POR FABRICANTES. EN ESTA NOTA HAREMOS UNA INTRODUCCION AL USO Y FUNCIONES DE LOS FIREWALLS PARA GRANDES REDES. 01 FIGURA UN SITIO MUY UTIL DONDE ENCONTRAR AYUDA O DEJAR APORTES DE NUESTRAS EXPERIENCIAS ES EN LOS BLOGS DE PHONEBOY (www.phoneboy.com). 02 FIGURA FIREWALLS.qxd 10/15/03 11:23 AM Page 56 57 POWERUSR trador de seguridad que lo deje fuera del circuito seguro, ser la nica manera de poder controlar nuevamente el firewall, notebook y cable especial mediante. El kit viene con el CD de instalacin del sis- tema operativo, y una vez que configuramos correctamente todos sus parmetros, procede- mos a la instalacin del firewall. El SO pro- visto por Nokia es el IPSO, un FREEBSD ba- sado en Linux y desarrollado especialmente para Check Point. Se trata de una versin re- ducida, para aprovechar al mximo sus ca- ractersticas de seguridad y eliminar los de- ms aspectos del sistema. La instalacin pue- de ser algo engorrosa, ya que no es nada amigable; ninguno de sus pasos es grfico, pero basta con poner un poco de concentra- cin durante el proceso y nunca ms debere- mos volver a tocarlo. LA INTERFAZ La instalacin del firewall se realiza de la misma manera, pero la administracin es totalmente grfica y es ah donde se simpli- fica el trabajo. Una de las grandes diferencias entre Check Point y el resto del software de seguridad es que la administracin se realiza a travs de un cliente GUI, que nos permite manejar todo de manera ultrasencilla; en cambio, las dems soluciones dan acceso al equipo por HTTP o HTTPS, o (dependiendo de la marca elegida) a una consola centralizado- ra en caso de que tengamos varios equipos en produccin para administrar. Una vez ac- tivado el motor del firewall, se puede operar in situ o remotamente, conectndose a la IP pblica del equipo a travs de una herra- mienta tambin provista por CP: el Secu- reCRT para el IPSO (conexin encriptada por Telnet) y el GUI Client para el Firewall-1. REGLAS Las reglas de filtrado del firewall se ejecutan en forma secuencial, comenzando desde la #0 (predefinida en [Policy/Properties]), hasta la ltima que hayamos creado. Para com- prenderlo, es necesario que observemos la Figura 6: las reglas que se crean van reci- biendo un nmero secuencial dependiendo del lugar de la tabla donde las ubicamos. En la imagen vemos las reglas de la #1 a la #5; sin embargo, la regla #0 no se ve, ya que es tomada por defecto en el firewall es- pecificando ciertos parmetros. Estos pueden ser, por ejemplo, aceptar ping (ICMP), aceptar resolucin de nombres (DNS) y aceptar pa- quetes de salida desde el firewall, entre otros. La importancia de definir un orden para las reglas radica en que, de lo contrario, se DENTRO DE LOS FIREWALLS DE ALTA GAMA EXISTEN DIFERENTES OPCIONES SEGUN LAS NECESIDADES QUE UNA RED PUEDA TENER. LOS MODELOS DE MAYOR TAMAO SUELEN SER FISICAMENTE VERSATILES Y PODEROSOS.
QUIENES UTILICEN LINUX ESTARAN ACOSTUMBRADOS A
INTERFACES POCO AMIGABLES, COMO LA DE IPSO A TRAVES DE SECURECRT, QUE VEMOS EN ESTE CASO. 03 FIGURA EL NAVEGADOR DE RED VOYAGER, VISTO DESDE LYNX (ARRIBA) E INTERNET EXPLORER (IZQUIERDA). 04 FIGURA 05 FIGURA FIREWALLS.qxd 10/15/03 11:23 AM Page 57 58 POWERUSR pueden obtener resultados no deseados a causa de conflictos entre ellas. En nuestro ejemplo, la regla #4 dice que desde cualquier origen, hacia cualquier desti- no, mientras sea por el conjunto de puertos NBT (basu- ra NetBios), los paquetes sean rechazados. Si al da si- guiente, sin darnos cuenta insertamos una nueva regla en la posicin #2 que diga exactamente lo contrario (todos los paquetes por NBT son aceptados), la regla anterior carecer de utilidad. Afortunadamente, al momento de instalar las reglas, Check Point cuenta con un compilador que nos advierte de algunos errores de este tipo, para que podamos corre- girlos y no surjan estas incoherencias. Adems de la grfica para las reglas, existe tambin una interfaz web con varias de las opciones de confi- guracin de IPSO llamada Voyager, que nos permite evitar la interaccin hostil con IPSO. En caso de no poseer un navegador, un llamado Lynx incluido en el sistema hace las veces de browser, pero obviamente, li- mitado en su interfaz. DMZ Y VPN Como mencionamos al principio de la nota, una red, adems de tener su acceso LAN y WAN, puede presen- tar una tercera zona: la DMZ (de DeMilitarized Zone, Zona Desmilitarizada; trmino que se usa en el campo militar como un rea pacfica de intercambio entre ene- migos). La DMZ actuara como una interseccin de la red confiable o LAN y la red insegura o WAN (Internet). Dentro de la DMZ se suelen configurar equipos de ac- ceso pblico, pero tambin de acceso interno, como EL EDITOR DE POLITICAS DE CHECK POINT GUI CLIENT. NOTEN EL ORDEN DE PRIORIDAD DE LAS REGLAS ESTABLECIDAS, CON SU CORRESPONDIENTE ACCION, ORIGEN, DESTINO Y HORARIO, ENTRE OTRAS COSAS. DETERMINAR UN CORRECTO ORDEN DE LAS REGLAS ES FUNDAMENTAL PARA NO CREAR CONFLICTOS ENTRE ELLAS. NUMEROSAS COMPAIAS OFRECEN SOLUCIONES DE FIREWALLS CORPORATIVOS. ENTRE ELLAS, LA DE CISCO PIX, WATCH GUARD, INTEL SHIVA, SONIC WLL Y NOKIA. AQUI VEMOS UN RACK NOKIA IP350, CON CUATRO CONECTORES DE RED Y DOS PUERTOS SERIE EN EL FRENTE, ADEMAS DE UN SLOT PARA TARJETAS PCMCIA. WebServers, MailServers, SQLServers, FTPServers, DNS- Servers, etc. El router-firewall (s, CP tambin permite la carga de rutas estticas a travs de Voyager) posibi- lita que los accesos a la DMZ no traspasen a la LAN, haciendo que la red confiable lo siga siendo aun con informacin publicada en Internet. Las VPN son, como su nombre lo indica (Virtual Private Networks, redes privadas virtuales), extensiones de la red privada de la empresa. Para dar un ejemplo, imagi- nen que en su empresa los envan a una presentacin so- bre sus productos en Europa, pero necesitan estar conti- nuamente en conexin, para tomar los ltimos datos so- bre los cambios en los modelos, precios, etc. Esta infor- macin es netamente confidencial, y no sera serio ni prudente realizar envos por mail u otros medios. Aqu es donde entran las VPNs. Por la red no confiable (en este caso, Internet) se realiza una comunicacin entre el clien- te de la mquina viajante y el servidor en el firewall, pa- ra intercambiar datos sobre el formato de encriptacin que se utilizar (FWZ, IKE), los algoritmos (DES, 3DES, CAST, etc.), los secretos compartidos previamente esta- blecidos y la validacin del cliente. Si esta comunicacin es exitosa, se crea un tnel de encriptacin por donde circularn todos los datos sin riesgo, como si se estuviera dentro de la LAN, hasta que finalice la sesin. Check Piont permite un manejo de los usuarios a autenticar a un nivel tan especfico, que si as se indicara, una perso- na podra validar para el ingreso SOLO si se cumpliera la peticin mediante un puerto X, desde una mquina Y, y hacia un host Z. Para obtener ms informacin sobre VPNs, pueden visitar el sitio http://vpn.shmoo.com. 06 FIGURA FIREWALLS.qxd 10/15/03 11:23 AM Page 58 59 POWERUSR LOGS Una de las herramientas ms tiles con los que contamos a la hora de rea- lizar debugging (seguimiento paso por paso de un procedimiento para detectar errores y sus casusas) cuando un problema no es fcilmente visible es el log en tiempo real que brinda Check Point, una verdadera ventaja frente a sus competidores, ya que algunos de ellos ni siquiera con- templan un registro en modo texto. Mediante el log se pueden monitorear todos los accesos de los paquetes que circulan a travs del firewall, filtrando por varios campos de los cuales los ms utilizados son: origen, destino, accin, servicio, protocolo, usuario y nmero de regla de filtrado. El log tambin nos permite la resolucin de nombres de las IPs que visualiza- mos en las columnas de origen y de destino. Por lo tanto, si tenemos esta op- cin habilitada y realizamos, por ejemplo, un ping a la direccin 200.80.42.95, en el log veremos como origen nuestra IP, como destino www.tectimes.com, servicio ICMP, y si es aceptado o no. HASTA AQUI LLEGAMOS Para finalizar, hay que remarcar algunas de las bondades del manejo de Check Point mediante la interfaz grfica: se pueden crear objetos y gru- pos de objetos, como PCs, redes, dominios, servers, etc. De la misma ma- nera se manejan los servicios (la mayora de los de uso frecuente, como HTTP, FTP, SMTP y dems estn creados, pero es posible agregar nuevos, como TCP, UDP, RPC, ICMP, etc.). En caso de tener un grupo de firewalls administrados por la misma consola, se le puede indicar qu reglas se ins- talan sobre qu firewall; permite realizar NAT de los objetos o redes con la IP pblica del firewall para que puedan acceder correctamente a Inter- net, y en caso de que un objeto posea una IP pblica, tambin permite NAT esttico (como el caso de los WebServers). Por otra parte, permite au- tenticacin de usuarios por password o por SecureID, previa creacin del objeto servidor de sincronizacin de los Tokens; realiza anti-spoofing; permite restringir el ancho de banda del trfico; y muchsimas opciones ms. Lo que se dice, una herramienta bien completa I GLOSARIO SI ALGUN TERMINO LES SUENA UN TANTO EXTRAO, AQUI TIENEN UNA BREVE EXPLICACION: 3DES Algoritmo de encriptacin simtrica basado en la repeticin de DES. Utiliza llave de 168 bits de longitud. CAST Carlisle Adams / Stafford Tavares. Grupo de cifrado similar al DES. DES Data Encryption Standard (Encriptacin Estndar de Datos). Uno de los ms populares algoritmos de encriptacin simtrica desarrollado por IBM. Utiliza llave de 56 bits de longitud. DMZ Demilitarized Zone (Zona Desmilitari- zada). Se aplica al rea donde las redes, tanto confiables (LAN) como no confiables (Internet), se cruzan accediendo a un mismo equipo. FIREWALL (FW) Software dedicado a evitar la intrusin o el acceso de informacin no deseada a travs de los puertos abiertos en la mquina. Se combina con hardware dedicado para hacer ms efectivo su funcionamiento. FREEBSD SO derivado de Unix para PC Intel y compatibles (x86). FWZ Protocolo de encriptacin propietario desarrollado por Checkpoint. No puede ser enmascarado. GUI Graphical User Interface (Interfaz Grfica de Usuario). Se refiere a tcnicas que utilizan ventanas grficas que permiten un fcil manejo de aplicaciones mediante teclado y mouse. IKE Protocolo de encriptacin que utiliza estndares Ipsec. Puede ser enmascarado. IP Internet Protocol. Protocolo que junto con TCP (Transfer Control Protocol, Protocolo de Control de Transmisin) se encarga de efectivizar las comunicacio- nes en red. La direccin IP es el identifica- dor de cada host dentro de la red. IPSEC Conjunto de protocolos estndar utilizados para implementar comunicacio- nes seguras e intercambio de llaves entre computadoras, generalmente utilizado para establecer las VPNs. TELNET Comando que permite accesos a terminales o servidores a travs de una red. Los comandos enviados por Telnet son ejecutados en la mquina remota como si estuviramos frente a ella. VPN Virtual Private Networks (Redes Priva- das Virtuales). Extensiones de la red LAN confiable a pesar de la distancia. Se crean a travs de la red no confiable (Internet) pero dentro de un tnel encriptado. TODOS LOS FIREWALLS SON POR SOFTWARE. EL HECHO DE QUE SE DISTRIBUYAN EN UN HARDWARE DISEADO PARA SOPORTARLO ES UN AGREGADO MAS DE SEGURIDAD, YA QUE NO SE UTILIZA NINGUNA COMPUTADORA DEL CIRCUITO DE LA RED QUE SE VA A PROTEGER. * VISTA DEL LOG EN TIEMPO REAL. PUEDE PERSONALIZARSE PARA TENER A MANO TODAS LAS HERRAMIENTAS QUE NOS AYUDEN A DESCUBRIR UN PROBLEMA. 07 FIGURA FIREWALLS.qxd 10/15/03 11:23 AM Page 59