 

                                          Es su red 
                                                                  Segura? 


                                            Tomado de "Internet Word" Agosto 1997, pg., 64-66
                                      Escrito por Larry Loeb, traducido y adaptado por Geovanni Porras S.

                      L
                          a seguridad en un sitio Web nunca es absoluta. La nica forma de poder hacer su sitio 100% a prueba de "hackers"
                          es sacndola de Internet. Pero hay varias formas de maximizar la habilidad para resistir la invasin de intrusos a sus
                          pginas Web. El mtodo ms comn es erigir un mecanismo viga llamado "Firewall". 

                           

          En realidad un "Firewall" no es un muro fsico o electrnico del todo, y hay muchos tipos de configuraciones que se ubican bajo la
          sombrilla de los "Firewalls". Pero como sea el tipo de seguridad que la organizacin desee utilizar, as ser el monto que tendr que pagar
          por ella. Dependiendo de lo elaborado del "Firewall" podra costar entre 15 a 2500 dlares y algunos podran costar ms. 

          El primer paso en la seguridad de un sitio es incluir hardware y software para eliminar los "huecos" en deficiencia de seguridad que posee
          el sistema operativo en que correo las aplicaciones. La parte de hardware que se emplea se llama normalmente "Firewall", aunque el
          trmino se ha ampliado e incluye software que apoya todas las polticas de seguridad de la red. An cuando algunos robustos sistemas
          operativos re-escritos tiene algunos "huecos" obvios en la seguridad, esto no ha sido una necesidad obvia para promover proteccin en los
          sitios Web.

          Es posible que la pieza ms bsica de hardware para seguridad sea el "Enrutador" ("router"), que es un "swicht" utilizado para conectar un
          sitio a Internet. Maneja los datos que salen y entran al sitio de la organizacin, en grupos de datos o paquetes. Un Enrutador trabaja solo a
          un nivel ms bajo que el nivel de las aplicaciones, conocido como el "nivel de transporte". Uniendo a este nivel algunos filtros, puede costar
          un poco de cientos de dlares.

          Por ejemplo el precio de los enrutadores de "OpenRoute Network" puede ir desde los $795 proveyendo las rutinas bsicas y compresin
          de datos en adicin de filtrado de paquetes.

          Una de las ltimas generaciones de "Firewalls" son los "Firewall" de filtrado de paquetes. Bsicamente un Enrutador que puede determinar
          qu clase de paquetes de datos autoriza o desautoriza desde un lado inseguro (Internet) hacia un lado seguro (Intranet) de la red y
          viceversa. El filtrado de paquetes requiere un administrador del sitio que detalle completamente qu clase de paquetes van a hacer qu
          cosa, y esto no es un tarea simple. Una de las cosas que el filtrado de paquetes revisa es la concordancia entre el puerto lgico y la
          solicitud del servicio de la red (telnet, FTP, etc.) segn las reglas que se han programado dentro de l. Estos filtros tambin pueden revisar
          (o impedir) que algunos tipos de paquetes (TCP, UDP, ICMP, etc.) salgan de su origen y lleguen a su correcto destino sobre o a travs
          del "Firewall". Es anlogo a la casetilla de la campana frente a un puente, con un ojo electrnico se revisa los vehculos y les autoriza o
          desautoriza el paso. 

          El filtrado de paquetes puede ser un filtro de Enrutador, limitando la conectividad a ciertos "host" autorizados, redes y servicios. El
          mantenimiento de las listas de autorizados y desautorizados, sin embargo, puede ser un problema, especialmente en sitios donde los
          cambios ocurren con mucha frecuencia. En vista de esto el nivel de paquetes no se puede presentar en un contexto sensitivo a paquetes o
          filtrado de paquetes, por s mismo, en solitario, usualmente no es una buena respuesta para las necesidades de seguridad de negocios.


                                                     UNA MEJOR IDEA

                     H
                          a emergido como una mejor solucin hace unos pocos aos, la capa de aplicacin de "Firewall" de "Gateway",
                          utilizada en conjuncin con el "Nivel de Circuito de Firewall" o "Enrutador dedicado". El circuito de gateway instala
                          un "proxy" entre el Enrutador de la red e Internet. Este "proxy" manejar la comunicacin actual entre un rea
                          protegida e Internet. Esta clase de "Firewalls" anidados es sencilla, en ella puede haber mltiples redes internas
                          protegidas, todas conectadas va un "Firewall" comn hacia Internet. 

                           

          En el libro "Firewalls": Repelling the Wily Hacker (1994, Addison - Wesley) Willian R. Cheswick y Steven M. Bellovin, discuten una
          aplicacin de "Firewall" de gateway hbrida . En esta configuracin, un Gateway de filtro de paquetes(nivel de circuitos) es conectado a
          una red interna, el cual se conecta a una gateway de aplicacin. El gateway de aplicacin se enlaza con la parte exterior por medio de otro
          filtro de paquetes. No habr tiempo de que alguien de afuera se conecte en forma directa porque existe el proxy del gateway y todo pasa
          por l. Desde afuera se conectan al gateway de aplicacin por el proxy en la red interna a un puerto lgico de la red. Cheswick reporta un
          subrayado nivel de seguridad con estas caractersticas (l las llama "dual-homed") pero admite un gran esfuerzo en mantenimiento.
          Tambin podra presentar "cuellos de botella", cuando los paquetes de datos esperan por su destino hasta que el "Firewall" los autorice. 

          "Firewalls" de estado de vigilancia ("state-watching"), algunos los llaman estado de inspeccin, han emergido como otro mtodo para
          impedir el acceso desautorizado a las redes corporativas. Estos "Firewalls" ven los paquetes como el nivel de circuitos, pero toman un
          paso adicional, al asociar el puerto del sistema operativo de la computadora con la conexin del cause de los paquetes. Cuando una
          conexin se cierra, el "Firewall" bloquea el acceso, cerrando el puerto hasta que este sea aprovechado de otra manera. Esta adicin puede
          detener una invasin de aquellos que capturan puertos y comportarse como un guardaespaldas de los sistemas operativos.

          La aplicacin hbrida de Cheswick se ha convertido el estndar para muchas empresas. Aunque ahora los nuevos "Firewalls" estn
          incorporando el estado de vigilancia ("state-watching") como una mezcla, muchos otros utilizan el gateway de aplicacin que hace
          conexiones lgicas a travs del nivel de circuitos con vigilancia de paquetes. La habilidad de hacer conexiones lgicas a nivel bajo de
          circuitos causa un efecto til, para el acceso a redes con traduccin de direcciones IP. Esta traduccin, oculta la verdadera direccin IP de
          la red del resto del mundo dndole una equivalente lgica. La traduccin ofrece mucha resistencia a la prctica de los piratas (crackers)
          conocida como spoof (engao), que es simular una red o mquina por su IP, con el objetivo de que la red la considere como confiable.


                                              MAS QUE UN PIN DE SEGURIDAD

                      L
                          os pines son algunas veces utilizados como una medida extra de seguridad. El "Firewall" de BorderWare que es
                          "stand alone" es similar al de Cheswick pero el aade autenticacin activa. El servidor de "Firewall" otorga una
                          aprobacin de acceso al usuario a los servicios de la red desde un cliente interno pero el asunto cambia cuando se
                          trata de un acceso externo de la red. Esto es, un usuario puede hacer telnet desde la red interna hacia fuera, pero si
                          trata de hacerlo hacia adentro de la red, se iniciar el procedimiento de autorizacin. 

                           

          Despus del servidor de autorizaciones, el usuario entra a la autorizacin y el usuario elige un nmero de PIN en una especie de calculador
          de nmeros de tarjetas de crdito, para verificar la autorizacin y la computadora responde, esto alimenta al servidor de "Firewall". El
          acceso es permitido solamente despus de que el pin es autenticado por el servidor. Otro tipo de dispositivo asociado es "Sock",
          bibliotecas de software son adicionadas a aplicaciones individuales para una comunicacin segura a travs del "Firewall". La ventaja de
          Sock es que toma menos tiempo para escribir que un proxy completo, pero la escritura usualmente requiere acceder al cdigo fuente de
          las aplicaciones. Esto puede no ser permitido siempre, algunos usuarios necesitan elegir aplicaciones disponibles que Sock escribe por
          ellos. 

          La NCSA (National Computer Security Association) un grupo de industrias que evalan y certifican productos de "Firewall",
          recientemente emitieron un reporte que ejemplifica un rango de negocios en USA, incluyendo gobierno, estados, y federaciones. Mientras
          el reporte es admitido, los negocios han revelado el patrn de uso de "Firewall" por ellos. 40% de las respuestas admiten tener
          documentado ataques externos a sus sistemas y un 89% respondieron que sus "Firewall" repelieron efectivamente esos ataques. Los
          atentados incluyen "spoof de IP" (20%) , ataques de denegacin de servicios, ataques a SendMail (Unix especficamente, que emplean
          "pulgas" en el manejador del mail obteniendo acceso desde root), y bsqueda de puertos. Cada uno de ellos fueron reportados con un
          10% de intentos.

          En el reporte de la NCSA, el ataque causado por la denegacin de servicios presenta cerca de 38% de los intentos. Un correo bomba es
          un tipo de denegacin de servicios, que como resultado hace fallar la conexin de red y el sistema se cae. Un correo bomba usualmente
          trata de tomar el control de un Enrutador y fluye por la direccin e-mail con un aumento desmedido de trfico de correos. Otro mtodo de
          denegacin de servicios incluye la penetracin annima a servidores FTP exigiendo espacio en disco; la sobrecarga de los buffers de
          entrada, y el desbordamiento de los servidores con un masivo aumento de las solicitudes de conexin, consume toda la memoria
          disponible y congela el sistema.

          El NCSA es el patrocinador del programa de certificaciones de "Firewalls" para manufacturadores. Deacuerdo a Sam Glesner,
          administrador del consorcio NCSA "Un Firewall certificado puede ser configurado para proteger una red interna contra una lista de
          intentos documentados y probados por NCSA. Creemos que todo sistema en Internet tiene la amenaza de los intrusos pero no todos
          necesitan un "Firewall". Si se coloca un servidor y conecta a Internet, pero este nunca estar unido a una red interna, con un router ser
          suficiente. Pero si se conecta a redes internas (Intranet) un "Firewall" es el mnimo dispositivo que se utiliza para proveer una adecuada
          seguridad, como el programa de certificaciones ha demostrado. Sistemas que realizan transacciones de ordenamiento, tienen ms riesgo,
          especialmente para empresas de finanzas y seguros. 


                                              HACINDOLO LO MEJOR POSIBLE

                     R
                          ecientemente, se presentaron otros intentos para aumentar la "inteligencia" a los populares "Firewall" de gateway de
                          aplicacin. WebStalker de Haystack Labs trabajan a nivel de sistema operativo. En realidad no es un "Firewall" por
                          s mismo, monitorea el comportamiento en el servidor protegido por un "Firewall". Se fija en tems tales como acceso
                          a archivos, identificacin de usuario, cambios en la identificacin , programas ejecutables y los compara con un perfil
                          de comportamiento en el sistema. Este perfil del sistema es derivado de las polticas de seguridad que el usuario
                          define con un software "de entrevistas" como el de Netrabox o ejecutando TurboTax. 

                           

          Cuando el comportamiento viola o intenta violar las polticas de seguridad, Webstacker puede tomas acciones contra el proceso o usuario,
          como notificando al administrador del sistema que algo malo est sucediendo. 

          Los nuevos "Firewalls", como el de Alta Vista, pueden ser configurados para aceptar o rechazar ciertos tipos de paquetes de datos,
          apoderndose del "Firewall" dentro del territorio ms all de la seguridad de los datos en reas de control del administrador. El ejemplo
          ms notable es UDP, un protocolo de transferencia de datos utilizado normalmente en videoconferencia como White Pine's CU-SeeMe,
          tambin con audio y para sistemas Chat. Cuando este tipo de paquetes es bloqueado en el "Firewall", los usuarios no podrn utilizar este
          tipo de actividades. El bloqueo indiscriminado de paquetes de UDP, significa para los usuarios no ver los ltimos avances en el desarrollo
          de los Webs. La solucin es permitir el acceso a aplicaciones especficas de UDP. Algunos "Firewall" pueden dejar pasar estos con el uso
          de proxys pero otros no.

          La configuracin de un "Firewall" puede consumir mucho tiempo. Una de las ltimas "arrugas" en el mercadeo son los "Firewall"
          pre-cargados. CheckPoint Software empaquet una versin "lite" de Firewall-1, llamado "Firewall First", con servidores AST corriendo
          en Windows N.T., tambin tiene para Sun con Solaris e IBM con AIX. Firewall First puede ser actualizado completamente a Firewall-1
          para soportar direcciones adicionales IP. Raptor tiene un paquete similar con Eagle de Compaq y Digital Systems.

          La prxima frontera para "Firewall" y seguridad es la potencial amenaza que se deriva de las aplicaciones de Java y ActiveX. Sean escritas
          con intenciones maliciosas o por ineptitud, estos applets pueden causar destrozos y muchos administradores de redes las consideran un
          perfecto proscrito de su uso y organizacin. Se puede crear una obstruccin, que puede estar a nivel de aplicacin, por medio de un proxy
          configurado para reconocer los applets. Muchos "Firewalls" no tienen esta caracterstica. Seattle Software y su producto WatchGuard es
          el primero en incluir filtros para Java y ActiveX. Otros vendedores incluyendo Network-1 planean incluir esta caracterstica a sus
          productos.

          Esta es una pequea muestra de los productos de "Firewall" en el mercado. Su primer paso en evaluar la seguridad de su compaa es
          estar seguro, en algn grado, de la proteccin contra intrusos. Y en menor grado, estar seguro de tener filtro de paquetes que puedan
          prevenirlos de las direcciones de Internet externas a su organizacin que deseen controlar sus servidores. Entonces, fjese en un rea
          especfica de su red. Si su red est fatigada por usuarios corriendo vdeo que no se necesita, considere entonces una aplicacin que filtre
          UDP. Si sus aplicaciones sensibles se ven comprometidas entonces opte por un "Firewall" ms sofisticado.

          Haga un estudio de mercado y busque el producto que mejor le convenga a su empresa, pero no quiebre el presupuesto de su empresa.
          Mantenga el mercado de "Firewall" a mano porque cada vez se crean ms sofisticados.

          El mantenimiento de circuitos y aplicaciones proxy recae en los hombros del Director de Tecnologas de Informacin, quien debe velar por
          mantener actualizado el "Firewall". Desde que muchos "Firewalls" trabajan con la premisa que todo lo que no es explcitamente permitido
          es denegado, los problemas usuales sern superficiales de personas que desean utilizar una aplicacin detrs del "Firewall". Esta es solo
          una manera de determinar que alguna aplicacin necesita un ajuste en los Proxies.

          La seguridad en los sitios Web son como una llave multilock - nadie aprecia su verdadero valor hasta que realmente se necesitan- .


 

 

 

