TALLAFOCS

TALLAFOCS

Abstracte

És ben cert que la interconnectabilitat entre xarxes d?ordinadors ofereix unes possibilitats immenses, però, ver és també que aquest fet comporta una sèrie de perills. Aquests perills poden materialitzar-se en robatoris d?informació, falsificació de dades i demés atacs a la seguretat. Caldrà que la corporació determine quins són els elements a protegir a partir dels serveis que vullga rebre de o oferir a l?exterior. Un tallafoc (firewall) serà un d?aquests elements de protecció, la funció de la qual serà la de limitar la comunicació vers/devers l?exterior o, des d?un punt de vista de la segurat i protecció de la informació, la de restringir la disponibilitat de les dades i serveis.

Aquest document pretén presentar les diferents arquitectures bàsiques de tallafocs així com una lleu presentació de la terminologia relacionada amb aquest àmbit. Finalment, conclourem el nostre particular estudi amb na justificació de la importàcia dels tallafocs en la Seguretat Informàtica.

Autor: Albert M. Pitarch i Mateu

Aquest document està disponible en format Word 97 ací.
Introducció

Les amples possibilitats que Internet ofereix ha provocat que cada volta siguen més les corporacions empresarials, acadèmiques o administratives que decideixen endollar-se a aquesta gran xarxa mundial. No obstant, no to són llums-i-violes, puix, per Internet vaguen vàndals que poden pertorbar la intimitat d?una corporació posant en perill la seua segurat. Caldrà dissenyar un plan de política de seguretat on es determinarà aquells punts de la corporació a protegir i sota quines condicions. Un tallafoc (firewall) serà una de les eines emprades per a tal designi establint entre una xarxa privada i l?exterior (generalment Internet) un filtre que assenyalarà quina comunicació pot constituir-se i quina no.

Aquest document s?encetarà amb una breu descripció del que hi ha darrere del concepte tallafoc per a passar seguidament a la presentació dels seus elements bàsics. Desprès ens centrarem en el nucli del nostre escrit en la que explicarem detalladament les tres arquitectures tallafocs més esteses. Conclourem amb una crítica sobre la importància d?aquesta técnica dins de la Ciència de Segurat i Protecció de la Informació.

Què és això d?un tallafoc?

La terminologia informàtica està farcida d?expressions idiomàtiques estretes dels més diversos àmbits del coneixement humà. El terme tallafoc és una d?aquestes expressions prestades; concretament, de la construcció d?edificis i el seu significant primerenc fa referència al «sistema o arranjament de sistemes dissenyats per a impedir l?expansió del foc d?una part de l?edifici a la resta». Evidentment, dins d?una xarxa d?ordinadors, on actuen els tallafocs, pocs focs vorem botar. Però, si que vorem els tallafocs actuar d?un manera similar prevenint que els perills provinents de l?exterior s?expandisquen per la xarxa d?ordinadors interna.

Formalment un tallafoc és component o conjunt de components que restringeixen l?accés entre una xarxa protegida i l?exterior. En la contrucció d?un tallafoc cal considerar tres elements: filtratge de paquets, proxies i una arquitectura determinada.

De quins perills ens volem protegir? Respondre aquesta pregunta implica una ullada a la política de segurat plasmada en un document anomenat, normalment, Pla de Seguretat. En aquest pla trobarem quins elements de la corporació i de quina manera han de ser protegits. En el nostre cas ens interessa saber tots aquells aspectes que fan referència a la comunicació entre xarxes; car és l?indret per on el foc s?expandirà...

L?intromissió és el foc més perillós. Una flamerada, inclús una insignificant espurna, pot desencadenar la resta de mals: suplantació, modificació de dades reservades, ús de serveis reservats (enviament del correu elèctronic no sol·licitat, també conegut com uce i vulgarment com spam), robatori de dades (furt de passwords a través de la tècnica del sniffing), etc.

La figura 1 mostra una visió conceptual d?un tallafoc. La nostra xarxa privada pot comunicar-se amb l?exterior d?una determinada forma i sempre complint una sèrie de restriccions. Si aquestes se compleixen la comunicació serà permesa, però en cas contrari serà vetada.

Figura 1. Visió conceptual d?un tallafocs.

Uns altres conceptes bàsics

Ordinador Bastió (Bastion Host): Dins d?un castell medieval un Bastió és una «part fortificada para compte d?àrees crítiques de la defensa d?un castell i que normalment disposa de murs molt grossos i un espai per a tropes. També disposa de canonades útils per a llançar oli bullent als atacants». Si canvien castell per xarxa i "murs molt grossos" per "regles restrictives de comunicació", llavors li donarem el sentit que té en la terminologia dels tallafocs. Un ordinador bastió és aquell que té accés directe a l?exterior i, per tant, és l?ordinador, l?únic, de la xarxa interna subsceptible de ser atacat. Per tant, aquesta subsceptibilitat l?obliga a disposar d?un configuració molt específica que impedisca la seua captura.

Enrutador d?apantallament (screening router): Bàsicament és un enrutador que proporciona filtratge de paquets. La majoria dels dissenys de tallafocs compten amb un d?aquests components; puix la topologia de la xarxa a protegir se separa de l?exterior per un enrutador.

Passarel·la entre xarxes (dual-homed host): Alguns tallafocs, però, són implementats sense enrutadors d?apantallament. Entre la xarxa interna i l?exterior interposen una passarel·la a la qual se li ha llevat la possibilitat de reenviar paquets tcp/ip o, el que és el mateix, la passarel·la no pot actuar com a enrutador. D?aquesta forma cap altre ordinador de la xarxa privada pot comunicar-se directament vers l?exterior i cap sistema de l?exterior pot comunicar-se amb cap ordinador de la xarxa privada tret de la passarel·la. Ací entraran en joc la utilització dels proxies que vorem molt resumidament més endavant. Com a nota final, senyalarem que, per definició, una passarel·la entre xarxe és un ordinador bastió.

Paquet (packet): Els paquets són les unitat bàsiques de comunicació entre ordinadors a nivell ip, per tant, els tallafocs tindran com a objecte de treball cada un dels paquets que passen pel seu sedàs.

Filtratge de paquets (packet filtering): Una de les tècniques d?implementació de tallafocs és el filtratge de paquets. Consisteix en determinar si un paquet pot continuar el seu viatge vers l?ordinador destí a partir d?una complexa col·lecció de regles. Aquestes regles poden determinar que "tots els paquets que viatgen des de la màquina 150.128.100.40 vers qualsevol màquina i port tcp 23 entre les 8:00 i 15:00 hores siguen descartats".

Arquitectura de tallafoc (firewall architecture): Consisteix en una disposició topològica de la xarxa a protegir en la que alguna de les màquines actua com a bastió, enrutador d?apantallament o passarel·la entre xarxes. Segons quina funció desenvolupen tindren una arquitectura o una altra.

Zona Desmilitarizada (Demilitarized Zone o DMS): A grans trets és la nostra xarxa privada, la que volem protegir. Emprem un terme militar per a fer referencia, així, a un peímetre de defensa on els accesos estan controlats.

Arquitectures de tallafoc

En aquesta secció anem a vore les tres arquitectures bàsiques de tallafocs. Cadascuna d?elles representa una millora de l?anterior tractant de reparar els problemes subscitats per la seua predecessora. Evidentment existeixen moltes més arquitectures, però totes elles són o simples modificacions o constitueixen una combinació de les arquitectures bàsiques.

Figura 2. Arquitectura d?Ordinador amb Doble Interficie-xarxa.

Arquitectura d?Ordinador amb Doble Interfície-xarxa (Dual-Homed Host Architecture). Aquest tipus d?arquitectura es contrueix al voltant d?un ordinador dual-homed. Aquest tindrà, almenys, dos interficíes xarxa; una estarà connectada a la xarxa interna i l?altra a Internet (o la xarxa externa). Com que aquesta característica el permetria funcionar com a enrutador, pararem molt de compte en deshabilitar-li la possibilitat de reenviament (o forwarding). Així impedim una comunicació directa entre la resta d?ordinadors de la xarxa interna i Internet.

Una de les notes negatives d?aquesta arquitectura és que no resulta transparent en la comunicació obligant a instal·lar en cada ordinador software especial. Per exemple, si vullguerem utilitzar la tecnologia http caldria, per una banda, instal·lar en l?ordinador dual-homed un servidor proxy per al protocol http i, per l?altra, un client proxy per al mateix protocol en la resta d?ordinadors de la xarxa interna. En resum, per cada servei que vullguerem oferir caldria que ferem ús de la técnica proxy.

Arquitectura d?anfitrió d?apantallat (Screened Host Architecture). El comportament que presenta aquesta arquitectura és semblant a l?anterior, però, en aquest cas, les funcions que porporcionava l?ordinador dual-homed són repartides entre un enrutador d?apantallament i un ordinador bastió.

Figure 3. Arquitectura d?anfitrió d?apantallament.

L?enrutador d?apantallament realitza la funció per la qual se l?havia adès definit; açò és, la de realitzar el filtratge de paquets. Ara, no sols podrem determinar el oferir o descartar un servei sencer; sino que també podrem assenyalar sota quines condicions de comunicació volem que es produïsca (p.e. «decartar paquets de protocol tcp pel port 25 que vinguen del site un.spam.soc o un.altre-spam.soc»).

De fet, aquesta arquitectura es comportarà com l?anterior si el filtratge de paquets es limita a exigir que els paquets sols vagen a l?ordinador bastió. Comunment aquest extrem mai es contempla en la realitat. El que se sol fer és permetre que alguns serveis poguen ser accedits directament vers, o devers, l?exterior. Un cas típic és el d?autoritzar als ordinadors interns, i al bastió per descomptat, per a la realització de connexions ftp o http a l?exterior. Però, se sol ser molt conservador alhora de permetre connexions des de l?exterior a màquines que no siguen l?ordinador bastió.

Pel que respecta a l?ordinador bastió cal dir que aquest resideix en la xarxa interna, tal i com pot observar-se en la figura 3. Açò comporta una sèrie de perills, el més important és que si el bastió cau sota un atac, l?atacant tindrà a la seua mercè tota la xarxa interna. La següent arquitectura tractarà d?esmenar aquest risc.

Arquitectura subxarxa apantallada (Screened subnet Architecture). Com que el bastió és l?element més fràgil del nostre sistema de seguretat (de fet, sovint és l?únic camí per on ens poden atacar) crearem un espai que el separe de la xarxa interna. Així, si dissortadament l?ordinador bastió caigués en mans malicioses, encara tindriem la xarxa interna protegida. Els components que cal emprar per a la seua contrucció són els següents:

Una xarxa perimetre.
Dos enrutadors; un intern i l?altre extern.
Un ordinador bastió.

Figura 4. Arquitectura de subxarxa apantallada.

L?ordinador bastió realitza les mateixes tasquen que en l?anterior arquitectura; és a dir, servirà com el principal punt de contacte entre la nostra corporació i el món exterior. Tal i com mostra la figura 4, els enrutadors d?apantallament es posaran entre ambos xarxes; l?enrutador exterior se col·locarà entre la xarxa perímetre (també dita dmz) mentre que l?enrutador interior ho farà entre la xarxa interna i la xarxa perímetre. Com és habitual en els enrutadors d?apantallament s?oferirà un filtratge de paquets. La diferència la trobarem en que mentre l?enrutador intern no permet cap tràfic que haja sigut iniciat des d?Internet o des de la subxarxa perímetre, l?enrutador extern si que ho fa comportant-se, de fet, com ho faria l?enrutador d?apantallament en l?arquitectura d?anfitrió apantallat.

Una configuració típica que ens trobarem asovint és aquella en la que el bastió porporciona serveis de correu electrònic, notícies d?Usenet, Web i dns tant vers com devers l?Internet. Pel que fa als accessos de terminal com de transferència de fitxers, sols es permet si la connexió s?inicia des d?alguna màquina de la xarxa interna. Alhora d?implementar aquesta estratègia podem triar un ample ventall de possibilitats: des d?exigir la utilització exclusiva de servidors proxy de l?ordinador bastió, que seria el cas en el que aquesta arquitectura emulara l?arquitectura de dual-homed, fins a l?extrem de sols utilitzar únicament el filtratge de paquets.

Conclusió

El nostre interés pels tallafocs s?ha iniciat a partir del valor que aquesta tecnologia aporta a la Seguretat Informàtica. Al llarg del document, hem assenyalat la seua capacitat alhora de restringir la comunicació entre dos xarxes. Açò significa que té l?habilitat de controlar la disponibilitat de la informació; un dels quatre objectius de la Seguretat Informàtica. Aquesta és la seua característica més destacable, però, a més a més, al realitzar aquest control també està garantint, en certa mesura, coses com la confidencialitat o la integritat de les dades; que són uns d?altres objectius perseguibles. En resum, el limitar intel·ligentment la disponibilitat de la informació, com ho fan els tallafocs, esta evitant atac a la resta d?objectius de la Segurat Informàtica.