Una de las formas principales de implantar un sistema de seguridad en una red de datos es a través de un firewall. Un firewall o  “cortafuego” es un dispositivo que permite a una red, tener conexión a Internet con cierto grado de seguridad.

Existe una gran variedad de ataques o formas de violentar la seguridad de un sistema o red. Un firewall permite combatir diferentes tipos de "ataques" que son conocidos en Internet:

                    Intrusión. Es el mas común, con una intrusión, las personas pueden utilizar un computador sin tener     autorización para ello. Las formas de realizar una intrusión en un sistema son muy variadas, desde "robarse" una contraseña de una cuenta, hasta valerse de “errores" de algún componente de software para obtener acceso a un computador sin poseer una cuenta en él.

                     Negación de Servicios (Denial of Service). Este es un tipo de ataque que busca inutilizar los servicios que presta un computador. La forma más común de realizar este tipo de ataques es inundar un sistema o red con mensajes, procesos o requerimientos de servicio, de tal manera que el sistema o red es incapaz de satisfacer las solicitudes de los usuarios legítimos.

                   Robo de Información. Este ataque permite al intruso obtener información sin haber utilizado directamente tu computadora. Generalmente estos ataques explotan servicios de Internet que son utilizados para proveer información, induciendo a estos servicios a dar mas información de la que deben suministrar o dar información a personas equivocadas.
 

Un firewall es colocado generalmente en el punto donde la red interna se conecta a Internet o red externa.

Al colocar el firewall de esta manera, todo el tráfico que proviene o va hacia Internet pasa a través de él. De esta forma el firewall tiene la capacidad de cerciorarse que este tráfico es conforme a las políticas de seguridad del sistema. Estas políticas definen la accesibilidad y los niveles de restricción tanto de los servicios disponibles en Internet como los que se ofrecen en la  red interna. Estas políticas son controladas a través de un solo punto central: el punto de conexión de la red con Internet.
 
 
 
 

Tipos de Firewalls
 

El concepto de firewall puede ser efectuado mediante:

        Filtrado de paquetes, que consiste en bloquear selectivamente el tráfico de red.

       Servidores proxy, que realizan la comunicación de red en lugar del cliente.
 

Filtrado de paquetes

Los sistemas de filtrado de paquetes enrutan los paquetes entre las máquinas de la red interna y externa, pero, de forma selectiva dependiendo de las políticas que se tengan en el sistema. A esste tipo de enrutadores que realizan filtrado de paquetes se les llama "screening router".

Un firewall de filtrado de paquetes trabaja a nivel de paquetes. Estos firewalls son diseñados para controlar el flujo de paquetes basándose en la dirección IP de origen y destino, los puertos de origen y destino e información del tipo del paquete.

El filtrado de paquetes no toma decisiones basándose en el contenido en sí del paquete sino en el encabezado.
 
 

Algunos filtrados de paquetes son:

• Bloquear todas las conexiones desde sistemas externos a la red interna, excepto conexiones SMTP (correo).
• Bloquear todas las conexiones desde una red externa en particular.
• Permitir los servicios telnet o ftp desde la red interna, pero bloquear otros como rlogin, rsh o tftp.

El filtrado de paquetes utiliza la siguiente información que poseen los paquetes para definir las reglas de filtrado:

Dirección IP de origen

Dirección IP de destino

Puerto de Origen

Puerto de destino

Protocolo

Tipo de paquete

Filtrado por dirección

Esta es la forma más sencilla y más usada para realizar filtrado de paquetes. La restricción del flujo de paquetes se realiza basándose en la dirección origen y/o destino del paquete sin considerar qué protocolo está involucrado.

Generalmente existen tres acciones a tomar con un paquete de red:
 

• Aceptar. Indica que este paquete pasó el criterio de filtrado y será reenviado tal como lo hace un enrutador cualquiera.
• Denegar. Indica que este paquete no cumple con el criterio de aceptación y será descartado.
• Rechazar. Indica que este paquete no cumple con el criterio de acetación y será descartado, pero a diferencia de Denegar, se envía un mensaje ICMP a la máquina origen informado lo ocurrido. Generalmente es un paquete ICMPde destino inalcanzable o destino administrativamente inalcanzable. De esta forma el que envía el paquete es avisado y no tratará de retransmitir el paquete.

Este es un tipo de filtrado más complejo y más completo. Este filtrado permite definir reglas basadas en servicios tales como telnet, SNMP, SMTP, etc. El software de filtrado utiliza la información de los puertos, protocolo y tipo que contiene cada paquete para realizar filtrado por servicio.
 

• Dirección origen
• Dirección destino
• Puerto origen: Un puerto aleatorio superior al 1023 (> 1023)
• Puerto destino:
• Protocolo:
• Tipo de paquete: El primer paquete, el que establece la conexión, no tiene el bit ACK activo, el resto sí lo tiene.

El bit ACK de los paquetes TCP permite identificar si se trata de un paquete de solicitud de conexión (donde el ACK no está activado) o si es otro de los paquete de la conexión (donde sí está activado).

De la misma forma un paquete entrante de una conexión telnet saliente posee la siguiente información:
 

• Dirección origen
• Dirección destino
• Puerto origen
• Puerto destino: El mismo puerto que se utiliza como origen en un paquete
• saliente.
• Protocolo
• Tipo de paquete: De conexión, siempre tiene el bit ACK activo.

Servidores Proxy

Los servicios proxy son aplicaciones especializadas que corren en una máquina firewall: ya sea en el enrutador de la red o en una máquina bastión. Estas aplicaciones toman los requerimientos de los clientes y los reenvían a los servidores verdaderos, basándose en las políticas de seguridad del sistema.

El servidor proxy evalúa las solicitudes de los clientes y decide si debe ser aprobada o denegada. Si la solicitud es aprobada el servidor proxy contacta al servidor real y le reenvía las solicitudes del cliente proxy al servidor y las respuestas del servidor real al cliente proxy. Por el contrario si es denegada, entonces la solicitud es descartada.
 
 

En Linux  ipchains es el código de filtrado de paquetes. Ipchains permite ver el encabezado de los paquetes que pasan por el sistema y decide qué hacer basándose en las políticas de seguridad, ipchains puede tomar cualquiera de las siguientes decisiones:
 

• Denegar los paquetes, es decir, descartarlos como si nunca los hubiera recibido.
• Aceptar los paquetes, es decir, dejar que pasen a través del firewall.
• Rechazar los paquetes, es como denegarlos pero se le informa al origen del paquete lo que ocurrió.

El kernel de Linux contiene tres listas de reglas de filtrado, estas listas son llamadas cadenas (chains). Estas listas son llamadas input, output y forward. Cuando un paquete llega a la máquina que funciona como firewall por una de sus interfaces, el kernel utiliza la cadena input para decidir su destino. Si el paquete supera este paso, el kernel decide adónde
enviar el paquete basándose en la tabla de enrutamiento. Si el paquete está destinado a otra máquina, el kernel consulta la cadena forward. Por último antes de enviar el paquete, el kernel consulta la cadena output.

Una cadena es una lista de reglas. Cada regla dice: si el paquete cumple con la condicion, entonces hara lo que este indicado con el paquete. Si la regla no corresponde al paquete, entonces se consulta la regla siguiente. Por último, si ninguna de las reglas es aplicable al paquete, el kernel revisa la política por omisión de la cadena para decidir qué hacer. Esta política por omisión puede ser cualquiera de las acciones; denegar, aceptar o rechazar.
 
 
 
 

Etapas del filtrado

Las etapas de filtrado son:
 

• En primer lugar el paquete es comprobado con la cadena input. Si la decisión no es denegar o rechazar, el paquete continúa.
• Luego se realiza la decisión de enrutamiento basándose en el destino del paquete. Con esto se decide si el paquete es para un proceso local o es para otra máquina.
• Un proceso local puede recibir o enviar paquetes que pasan a través de la etapa de decisión de enrutamiento.
• Si el paquete no fue creado por un proceso local, el paquete es enviado a la cadena forward.
• La cadena forward se aplica a cada paquete que trata de pasar a través de esta máquina hacia otra.
• Por último a todo paquete que sale de la máquina se le aplica la cadena

Ipchains es el comando que permite manejar las cadenas de firewalls en el kernel.
 

Reglas

Una regla de firewalls especifica citerios para un paquete y un objetivo. Si el paquete no concuerda se examina la siguiente regla de la cadena; si concuerda, la siguiente regla se especifica por el valor del objetivo, que puede ser el nombre de una cadena definida por el usuario o uno de los valores especiales ACCEPT, DENY, REJECT, MASQ, REDIRECT o RETURN.
 

• ACCEPT significa dejar pasar el paquete.
• DENY significa tirar el paquete al suelo (denegar).
• REJECT significa lo mismo que denegar, pero más educado y fácil de depurar, ya que devuelve en mensaje ICMP al remitente indicando que el paquete fue elliminado.
• MASQ es sólo legal para reenvío y cadenas definidas por el usuario, y sólo se puede usar cuando el núcleo está compilado con CONFIG_IP_MASQUERADE definida. Con esto, los paquetes se enmascaran como si estuvieran originados desde el host local. Más aún, los paquetes devueltos serán reconocidos y desenmascarados automáticamente y entonces pasados a la cadena de reenvío.
• REDIRECT es sólo legal para las cadenas de entrada y definidas por el usuario, y sólo se puede usar cuando en núcleo linux está compilado con CONFIG_IP_TRANSPARENT_PROXY definido. Con esto, los paquetes se redirigen al socket local, incluso si son enviados a un host remoto. Si el puerto de redirección especificado es 0, que es el valor por defecto, el puerto objetivo de un paquete se usa como puerto de redirección. Cuando se usa este objetivo, se puede suministrar un argumento extra, el número de puerto.

Existen opciones para manejar cadenas completas. Siempre se tienen inicialmente tres cadenas que no se pueden eliminar. Las opciones para manejar las cadenas son:
 

• Crear una nueva cadena ( –N ).
• Borrar una cadena vacía ( -X ).
• Cambiar la política por omisión de una de las cadenas ( -P )
• Mostrar las reglas en una cadena ( -L ).
• Eliminar las reglas de una cadena ( -F )
• Iniciar los contadores de paquetes y bytes de todas las reglas de una cadena ( -Z ).

Para manipular las reglas dentro de las cadenas:
 

• Agregar una regla nueva a una cadena ( -A ). Cuando los nombres origen y/o destino se resuelven a más de una dirección, se añade una nueva regla para cada posible combinación de dirección.
• Insertar una nueva regla en alguna posición de la cadena ( -I ).
• Remplazar una regla en alguna posición de la cadena ( -R ).
• Eliminar una regla en alguna posición de la cadena ( -D ).
• Eliminar la primera regla que hace correspondencia en la cadena (-D).

Ejemplos de Aplicación

Especificar interfaz.
 

• Para especificar una interfaz en particular, se utiliza la opción –i.

            ipchains –A output –s 0.0.0.0 –d 192.168.2.1 –i eth0 –j DENY

            En este caso estamos denegando todo los paquetes que van a la dirección 192.168.2.1 y que salen por la interfaz        ethernet eth0.
 

Especificar inversión.
 

• Muchas de las opciones que se utilizan tal como –s o –i pueden ser precedidas por ‘!’, que indica no igual a la opción dada:

                ! –s 192.168.1.0/24, corresponde a los paquetes cuyo origen no es 192.168.1.0/24
 

Especificar protocolo.
 

• Con la opción –p se especifica el protocolo:

            Esta regla especifica que todos los paquetes que provengan de la máquina 192.168.1.2 y con protocolo TCP sean denegados.
 

Especificar servicio
.

• Al especificar el protocolo UDP o TCP, adicionalmente se puede especificar el puerto (servicio) o rango de puertos.   Se especifica un rango utilizando el carácter ‘:’, por ejemplo 0:1023, que incluye desde el 0 al 1023 inclusive. Si el limite superior es omitido, este es considerado como 65535 y si el inferior es omitido este es considerado 0. Por ejemplo para definir todos los paquetes cuyo protocolo es TCP y el puerto es menor a 1024:

         Adicionalmente los puertos pueden ser especificados por su nombre. Por ejemplo, para definir todos los paquetes TCP excepto los de telnet:

            -p tcp –s 0.0.0.0/0 ! telnet
 
 

Especificar paquetes ICMP.
 

• Los paquetes ICMP no poseen puertos, poseen un nombre o tipo de paquete ICMP. Por ejemplo destination-unreachable es un tipo de paquete ICMP que es recomendable que nunca se bloquee, puesto que esto permite que un intento de conexión no se bloquee esperando por una respuesta.

Especificar tipo de paquetes.
 

• En TCP existen diferentes tipos de paquetes que pueden ser identificados por la cabecera del paquete, como por ejemplo los paquetes que utiliza TCP para solicitar una conexión. Estos paquetes son llamados SYN puesto que la bandera SYN del encabezado del paquete esta activada. Al identificar estos paquetes se puede restringir las conexiones en una sola dirección. ipchains puede realizar esto utilizando la opción –y, por ejemplo:

            -p TCP –s 192.168.2.1 –y –j DENY

         especifica que los paquetes SYN (para solicitar una conexión) provenientes de la máquina 192.168.2.1 son denegados.   Con esto se estárestringiendo las conexiones provenientes de la máquina 192.168.2.1.
 
 

Comprobación de paquetes.
 

• Con la opción –C, ipchains permite ver qué ocurre si un cierto tipo de paquete entra a la máquina. Los detalles del paquete que se quiere probar se especifican del mismo modo como se especifican las reglas. Por ejemplo, para ver si un paquete TCP recibido por la interfaz eth0 y que fue enviado por la máquina 192.168.2.1 al puerto 23 es aceptado, se utiliza el siguiente comando:

        Si el paquete es aceptado, el comando retorna ‘packet accepted’