SEGURIDAD A TRAVES DE FIREWALLS

ANTECEDENTES
La seguridad basada en Redes IP se ha vuelto de vital importancia ya que es el protocolo por default de las Redes e Internet. La seguridad basada en IP a travs de Firewalls no solo debe de enfocarse en accesos del exterior sino que tambin abarca permisos de salida por parte de la red local y filtrado de contenido. Las Redes basadas en IP pueden ser pblicas y privadas en base a su uso y tambin a su direccionamiento.

 Los segmentos de Red que son considerados privados:

RFC1918 name IP address range number of addresses classful description largest CIDR block (subnet mask) host id size

24-bit block

10.0.0.0 10.255.255.255 172.16.0.0 172.31.255.255 192.168.0.0 192.168.255.25 5

16,777,216

single class A

10.0.0.0/8 (255.0.0.0) 172.16.0.0/12 (255.240.0.0 )

24 bits

20-bit block

1,048,576

16 contiguous class Bs

20 bits

16-bit block

65,536

256 contiguous class Cs

192.168.0.0/1 6 16 bits (255.255.0.0)

FIREWALL
Dispositivo de seguridad que puede ser a travs de hardware o software que analiza el trfico de entrada y salida de la red para permitir o bloquear su acceso. El firewall en su funcin primaria es un ruteador ya que permite manejar el trfico de una interfaz hacia otra. El Firewall con proteccin real debe de ser visualizado con mltiples interfaces de red fsica para dividir las zonas de acceso no solo a nivel virtual sino fsico.

Zonas del Firewall

WAN
Zona de Acceso a Internet que debe contener direcciones IP pblicas, puede ser una sola o mltiples.

DMZ

Zona Desmilitarizada que debe contener los servidores expuestos hacia internet (Web, Correo, Extranet, FTP) Debe contener direcciones IPs privadas de preferencia para hacer el redireccionamiento de IP Pblica a Privada a travs del Firewall.
Zona de Red privada que conforma la red local de la organizacin, puede ser una sola o varias. Cuando se manejan varias zonas LAN pueden ser manejadas a travs de Vlans en forma lgica o bien a travs de zonas independientes de algn puerto del firewall.

Trusted o LAN

Tipos de NAT en Firewall

Dynamic NAT
Permite a un rango de IPs Privadas salir hacia Internet con una sola IP Pblica enmascarada tal y como lo hacen los firewall de Infinitum en su generalidad. Evitan que el hacker vea la direccin Real de la mquina que est navegando. Cuando una direccin IP Pblica se asigna a una direccin Privada pero no en todos los puertos sino solo en algunos. Es conocida en algunos firewall como Port-Redirect, debido a que permite redireccionar no solo la ip, sino que de un puerto de entrada se puede enviar a un puerto interno.

Static NAT

Cont.
One-To-Onet NAT
Cuando se mapea una direccin IP Pblica a una direccin Privada en su totalidad con todos los puertos tanto TCP como UDP. Es utilizada en forma comn en la zona de DMZ para exponer servidores. Hoy en da puede provocar problemas si el servidor expuesto no tiene bloqueo de puertos ya que deja expuestos todos los puertos si no hay reglas especficas. Es recomendable cuando se tienen mltiples IPs Pblicas para poder ser redireccionadas a IPs privadas.

Cont.
Cuando solo se tiene una IP Pblica o muy pocas es ms recomendable el manejo de Port Redirect para:
Aprovechar el direccionamiento de la IP a mltiples servicios y direcciones IPs locales.

Cuando se cambia de un puerto externo a un puerto interno diferente es para enmascarar servicios como el ftp. Poner a escuchar servicios en puertos diferentes para confundir al hacker.

Modos de Funcionamiento Firewalls

Existen 3 modos de funcionamiento en los Firewalls. Drop-IN
Cuando todas las interfaces fsicas del firewall responden a la misma IP. Cuando las interfaces fsicas del firewall responden a diferentes direcciones IPs. Es el modo ms recomendado de trabajo para poder identificar interfaces por direccin. De sta forma se tiene segmentacin lgica y fsica. El hacker tiene que conocer todas las direcciones fsicas de las interfaces para poder atacar. Cuando el Firewall solo analiza o filtra la navegacin pero no tiene ningn ruteo en capa 3 ni funciones de NAT debido a que es un puente intermedio entre la salida WAN y la LAN, generalmente hay un router delante de l o bien un firewall con funciones de ruteo.

Modo Ruteado (Routed Mode)

Bridge

Pasos para Configurar un Firewall

Antes de configurar un firewall se debe de hacer un bosquejo por escrito de la red, tanto en su direccionamiento como en las polticas de acceso a los servicios. Podemos dividir dicho bosquejo por escrito en 3 partes esenciales: Direccionamiento de RED en Zonas.
Definir por escrito el direccionamiento IP de cada una de las zonas por las que va a estar conformado el firewall Es conveniente recordar que se puede tener ms de un tipo de zona en el firewall

Cont..
Polticas de Entrada (IN)
Se deben definir las polticas de entrada, generalmente hacen referencia a la zona DMZ donde se tienen los servidores expuestos. En algunas organizaciones las polticas de entrada involucran accesos a computadoras dentro de la zona LAN o Trusted
Ej. Radmin VNC Remote Desktop (Terminal Server)

Cont
Polticas de Salida (OUT)
Se refiere a los permisos de salida o acceso hacia el exterior a los usuarios tanto de la LAN o Trusted como de la DMZ. Incluye puertos de salida que estn configurados para servicios especficos.

Las polticas de salida deben ser cuidadosas tambin para la zona DMZ ya que no se debe permitir salida total a los servidores expuestos, ya que al ser atacados pueden consumir el ancho de banda o ser utilizados de intermediarios para ataques a terceros.
Las Polticas de salida a los usuarios deben de involucrar filtrado de contenido que es solo posible con servicios de tipo Proxy.

Servicios Proxy vs Packed Filter

Packet Filter.
Son servicios que se enfocan nicamente a permitir o bloquear el puerto especfico donde solo se le puede permitir darle prioridad pero no se analiza su contenido. Son servicios que son analizados en su totalidad en el tipo de contenido (content-type) del paquete. De esta forma se puede analizar el tipo de contenido y bloquearlo de una manera ms efectiva. Sirve para anlisis de virus, spam, bloqueo de aplicaciones especiales que viajan a travs de un puerto especfico. El Proxy service permite un mejor anlisis de reporteo.

Proxy Service.

Consola de Administracin de Firewall

Puede ser de 2 formas.
Software Propietario del Fabricante. Interfaz Web
Es la ms comn pero debe de enfocarse a tener acceso por https para evitar que capten contraseas e informacin con el ataque de (man in the middle) o un sniffer.

Un Firewall debe de tener la capacidad de respaldar su informacin en un archivo.

VPNs
Existen varios tipos de VPN
Branch Office VPN
Comunica 2 sitios completos a travs de un tnel seguro por Internet, pueden viajar varios segmentos de red por dicho tnel. Sirve para ver todos los dispositivos de una red hacia otra y se pueden aplicar reglas especficas.

VPN Cliente.
Sirve para comunicar un solo dispositivo a una Red Completa (PC-Red, Laptop-Red) con un tnel a travs de Internet.

VPN (Peer-toPeer) Punto a Punto.

Comunica un solo dispositivo contra otro dispositivo (PCPC) (PC-Laptop) por tnel a travs de Internet es similar al servicio de (Logme In)

Cont.
En una VPN intervienen llaves de negociacin en Primera y Segunda Fase. Las llaves de encriptacin pueden ser de 64, 128 o 256 bits.

Branch Office VPN

Se pueden comunicar en diferente modalidades en base al tipo de direccin IP
2 Direcciones IPs fijas 1 Direccin IP Fija y 1 Direccin IP Dinmica.
El tipo de negociacin que se Utiliza es Main-FallBack Aggresive

2 Direcciones IPs dinmicas

Utilizando servicios como dynamic dns o no-ip. Es ms comn el dynamic dns y viene incluido con la mayora de los firewall. El tipo de negociacin que se usa en el tnel es Agressive

VPN Cliente
El cliente que se conecta a la red completa presenta las siguientes caractersticas:
Se le asigna una IP de la red a la que se conecta con un nateo para que pueda comunicarse en la red. Navega con las restricciones de la red a la que se conecta, en cuanto a salida de Internet con restricciones de Firewall y con comunicacin contra dispositivos de la Red. Puede hacerse de la siguiente forma la conexin.
PPTP VPN Cliente Software (Propietario del fabricante) SSL

VPN (Peer-to-Peer)
Solo permite comunicacin de un dispositivo contra otro.

Generalmente utiliza el puerto 80 como el Logme In.

El desplegado y comunicacin es ms lento ya que es a travs de software. Utiliza un servidor en medio que permite establecer el tnel como lo es el servicio de LogMe In.