Test

SEC. 8.6 SEGURIDAD EN LA COMUNICACIÓN 777 Enrutador Puerta de Enrutador de filtrado de enlace de filtrado de paquetes de aplicación paquetes Red dorsal Conexiones a redes externas Red Perímetro LAN LAN Firewall corporativa de seguridad interna externa Figura 8-29. Un firewall que consiste en dos filtros de paquetes y en una puerta de enlace de aplicación. Cada filtro de paquete es un enrutador estándar equipado con alguna funcionalidad extra. Ésta permite inspeccionar cada paquete entrante o saliente. Los paquetes que cumplan con algún crite- rio se reenvían de manera normal. Los que fallen la prueba se descartan. En la figura 8-29 probablemente el filtro de paquete de la LAN interna verifica los paquetes salientes y el que está en la LAN externa verifica los paquetes entrantes. Los paquetes que cruzan la primera barrera pasan a la puerta de enlace de aplicación, donde se vuelven a examinar. El ob- jetivo de colocar los dos filtros de paquetes en LANs diferentes es asegurar que ningún paquete entre o salga sin pasar a través de la puerta de enlace de aplicación: no hay otra ruta. Por lo general, los filtros de paquetes son manejados por tablas configuradas por el adminis- trador del sistema. Dichas tablas listan orígenes y destinos aceptables, orígenes y destinos bloquea- dos, y reglas predeterminadas sobre lo que se debe hacer con los paquetes que van o vienen de otras máquinas. En el caso común de una configuración TCP/IP, un origen o un destino consiste en una direc- ción IP y un puerto. Los puertos indican qué servicio se desea. Por ejemplo, el puerto TCP 23 es para telnet, el puerto TCP 79 es para directorio y el puerto TCP 119 es para las noticias USENET. Una compañía podría bloquear los paquetes entrantes de todas las direcciones IP combinadas con uno de estos puertos. De esta forma, nadie afuera de la compañía puede iniciar una sesión a través de telnet o buscar personas mediante el demonio de directorio. Además, la compañía podría estar en contra de que sus empleados desperdicien todo el día leyendo noticias USENET. Bloquear paquetes salientes es un poco difícil pues aunque la mayoría de los sitios se apegan a las convenciones estándar de numeración de puertos, no están obligados a hacerlo. Además, para algunos servicios importantes, como FTP (Protocolo de Transferencia de Archivos), los números de puerto se asignan de manera dinámica. Asimismo, aunque el bloqueo de conexiones TCP es di- fícil, el de paquetes UDP lo es aún más debido a que se sabe muy poco con anticipación sobre lo

778 SEGURIDAD EN REDES CAP. 8 que harán. Muchos filtros de paquetes están configurados para simplemente prohibir el tráfico de paquetes UDP. La segunda mitad del firewall es la puerta de enlace de aplicación. En lugar de sólo buscar los paquetes simples, la puerta de enlace opera a nivel de aplicación. Por ejemplo, es posible configurar una puerta de enlace de correo para examinar cada mensaje que sale o entra. Para cada uno, la puerta de enlace decide si transmitir o descartar el mensaje con base en los campos de encabezado, el tamaño del mensaje o incluso en el contenido (por ejemplo, en una instalación militar, la presencia de palabras como “nuclear” o “bomba” podría causar que se tomara alguna acción especial). Las instalaciones son libres de configurar una o más puertas de enlace de aplicación para apli- caciones específicas, aunque no es poco común que organizaciones desconfiadas permitan correo entrante y saliente, e incluso el acceso a World Wide Web, pero que consideren todo lo demás muy peligroso. Combinado con la encriptación y el filtrado de paquetes, este arreglo ofrece una canti- dad limitada de seguridad con el costo de algunas inconveniencias. Incluso si el firewall está configurado perfectamente, aún existirá una gran cantidad de pro- blemas. Por ejemplo, si un firewall está configurado para permitir sólo paquetes entrantes de re- des específicas (por ejemplo, de otras instalaciones de la compañía), un intruso afuera del firewall puede introducir direcciones de origen falsas para evadir esta verificación. Si un miembro interno desea enviar documentos secretos, puede encriptarlos o incluso fotografiarlos y enviar las fotos co- mo archivos JPEG, los cuales pueden evadir cualquier filtro de palabras. Y no hemos analizado el hecho de que el 70% de todos los ataques provienen del lado interno del firewall, por ejemplo, de empleados descontentos (Schneier, 2000). Además, hay otra clase de ataques que los firewalls no pueden manejar. La idea básica de un firewall es evitar que entren intrusos y que salga información secreta. Desgraciadamente, hay per- sonas que no tienen nada mejor que hacer que tratar de perjudicar ciertos sitios. Esto lo hacen en- viando grandes cantidades de paquetes legítimos al destino, hasta que el sitio se caiga debido a la carga. Por ejemplo, para derribar un sitio Web, un intruso puede enviar un paquete TCP SYN para establecer una conexión. A continuación el sitio asignará una ranura de tabla para la co- nexión y enviará como respuesta un paquete SYN + ACK. Si el intruso no responde, la ranura de tabla se conservará durante algunos segundos hasta que expire. Si el intruso envía miles de soli- citudes de conexión, todas las ranuras de tabla se llenarán y no podrá establecerse ninguna cone- xión legítima. Los ataques en los que el objetivo del intruso es bloquear el destino en lugar de robar datos se conocen como ataques DoS (negación de servicio). Por lo general, los paquetes de solicitud tienen direcciones falsas de origen por lo que el intruso no puede ser rastreado con facilidad. Una variante aún peor es aquella en la que el intruso ha entrado en cientos de computadoras en cualquier parte del mundo, y después ordena a todas ellas que ataquen al mismo objetivo al mis- mo tiempo. Este método no sólo incrementa el poder del intruso, también reduce la probabilidad de su detección, debido a que los paquetes provienen de una gran cantidad de máquinas que per- tenecen a usuarios ingenuos. Un ataque de este tipo se conoce como ataque DDoS (negación de servicio distribuida). Es difícil defenderse de un ataque como éste. Incluso si la máquina atacada puede reconocer rápidamente una solicitud falsa, le toma algún tiempo procesar y descartar la