Tema 2. Seguridad Perimetral
Tema 2. Seguridad Perimetral
Tema 2. Seguridad Perimetral
Tema 2. Seguridad
perimetral
Índice
Esquema
Ideas clave
A fondo
Firewall Gateways
Test
Esquema
equipo que no cuente con acceso a la red de redes. Esta conexión lleva asociado un
que permite al mundo exterior tener acceso a esta e interactuar con ella.
Suele ser necesario acceder a algunos servicios como HTTP o DNS desde el exterior
y, por tanto, precisen mantenerse abiertos, lo que constituye una grave amenaza.
filtrar el tráfico proveniente del exterior hacia la red interna y el proveniente de la red
cortafuegos, así como los diferentes métodos que existen para el filtrado de
Se necesita acceder físicamente a un equipo sin conexión a una red para poder ser
número de amenazas, ya que el número de vías que pueden ser utilizadas para
aislado supone una primera línea de defensa. Sin embargo, en un equipo conectado
a una red pueden efectuarse acciones de manera remota que pongan en peligro el
propio equipo y los equipos conectados a la misma red. Además, el tráfico que fluye
por la red no puede ser considerado siempre fiable, por lo que es necesario
disponer de algún tipo de mecanismo que permita discriminarlo y solo deje pasar a la
red interna el tráfico legítimo. En este punto aparecen los sistemas cortafuegos, cuya
tarea es evitar que los usuarios desautorizados de Internet tengan acceso a las redes
En definitiva, este tema tiene como objetivo introducir al alumno en el mundo de los
cortafuegos y como deben emplearse para crear una red segura que dificulte o evite
intrusiones. Para ello, durante este tema se tratarán tres puntos principales:
situado entre dos redes, por el cual pasa todo el tráfico que estas intercambian, y se
d e host, que se sitúan en un host concreto y tan solo filtran el tráfico saliente o
Los cortafuegos implementan una política de seguridad que define los servicios y
seguridad.
uso de Internet.
Los cortafuegos presentan también algunas limitaciones entre las que se pueden
▸ El cortafuegos no puede proteger contra ataques que no pasan por él. Ataques
laterales que se comunican entre equipos de la red interna sin pasar por el
▸ En muchas ocasiones las amenazas internas pueden también eludir la protección del
cortafuegos. Por ejemplo, un empleado que coopera (con intención o no) con el
atacante puede facilitar una conexión autorizada por la que el atacante tenga acceso
a la red interna.
▸ De forma similar, un acceso a una red inalámbrica dentro de la LAN que se realice
(proxy) redirigiendo las tramas una vez que se ha establecido una conexión con
este. A diferencia de las pasarelas a nivel de aplicación, las pasarelas a nivel de
circuito no llevan a cabo filtrado a nivel de aplicación.
accesos de un cortafuegos:
de aplicación. Este tipo de filtrado lo utilizan las pasarelas a nivel de aplicación que
son capaces de monitorizar el intercambio de información de protocolos de
aplicación específicos: SMTP para spam en correo electrónico, solicitudes HTTP a
sitios autorizados únicamente.
será necesario utilizar un mecanismo que autentique al usuario, por ejemplo, IPSec.
tipo de protocolo de transporte usado (UDP, TCP, etc.), interfaz por la que llega el
paquete, tamaño del paquete, etc. Filtran, por lo tanto, a nivel de la capa de red
transporte.
Existen dos formas de implementar las reglas de filtrado (Figura 1) basadas en las
▸ Política permisiva: todo el tráfico que no esté prohibido explícitamente en las reglas
abiertos, etc., una política restrictiva puede llegar a ser complicada de mantener, ya
que es necesario indicar explícitamente en las reglas de filtrado qué paquetes deben
ser aceptados. No obstante, esta es la opción más segura. Por otro lado, una
política permisiva facilita el uso de la red a los usuarios, pero el nivel de seguridad
como TCP.
transacciones que lo atraviesan. Los usuarios contactan con la pasarela que ofrecerá
servicios proxy para unas determinadas aplicaciones (Telnet, HTTP, FTP, IMAP,
Este tipo de pasarelas suelen ser más seguras que los cortafuegos de filtrado de
paquetes, ya que no hay que incluir reglas a nivel de red indicando todo el tráfico
aplicaciones. Normalmente existe soporte para las aplicaciones más comunes, pero
Las pasarelas a nivel de circuito pueden ser consideradas un híbrido entre los
cortafuegos de filtrado de paquetes y las pasarelas a nivel de aplicación. En primer
lugar, el usuario debe establecer una conexión con la pasarela, al igual que en las
La principal ventaja de este tipo de cortafuegos es que una vez se haya realizado la
generation firewalls, NGFW). Simplificando casi en exceso se podría decir que los
acceso a la red con base en puertos y protocolos. Sin embargo, un NGFW incluye
seguridad en redes (ver Figura 4). Son capaces de correlar toda la información de
estos elementos de red para tomar la decisión relativa al control de acceso a esta. En
Figura 4. Posibles componentes lógicos de un NGFW (en gris los propios de un cortafuegos tradicional).
Elaboración propia.
relevancia al analizar los NGFW. Este concepto nace en el entorno militar y se aplica
se debe esperar que los ataques recibidos se realicen en distintos niveles. Nunca se
existirán y que algunos de ellos tendrán éxito. Por tanto, es importante implementar
ataque consiga perpetrar una de las defensas, exista una defensa adicional que
pueda frenar o mitigar los efectos del ataque.
Finalmente, es importante resaltar que una red puede o no contener un NGFW, pero
siempre tendrá los elementos más importantes que los componen, como pueden ser:
Unos de los líderes en el mercado de este tipo de cortafuegos según Gartner (2021)
son: Palo Alto Networks, Fortinet, Check Point Software Technologies o Cisco
Secure Firewall.
El módulo dentro del núcleo de Linux encargado de procesar los paquetes de red es
capa 3 del modelo OSI) que pone a disposición del usuario la funcionalidad del
módulo Netfilter. Este ha estado disponible desde el año 2001 como parte del núcleo
A lo largo de los años, la madurez de iptables se ha hecho cada vez más patente
solicitan al usuario en su instalación que defina una política básica para este
cortafuegos.
componentes:
▸ Tablas: son el nivel más alto del cortafuegos y comprenden la funcionalidad del
▸ Cadenas: cada cadena dentro de una tabla puede contener una o varias reglas
frente a las que se evaluarán los paquetes que lleguen (INPUT), salgan (OUTPUT) o
pasen (FORWARD) por el cortafuegos.
▸ Reglas: contienen las condiciones que el paquete debe cumplir para que se realicen
▸ mangle: esta tabla permite alterar las cabeceras de los paquetes de distintas formas,
Linux comience a registrar su estado. De hecho, gracias a esta tabla sería posible
excluir algunos paquetes del seguimiento de su estado.
Por último, existe una tabla adicional security que se utiliza en los sistemas SELinux
SELinux.
Cada una de las tablas se compone de unas cadenas por defecto. Estas cadenas
indican los puntos en los que se puede afectar a los paquetes que pasan por el
momento en el que estos llegan a la interfaz de red, sin pasar la decisión de enrutar.
▸ INPUT: las reglas de esta cadena afectan a los paquetes cuyo destino es el mismo
▸ OUTPUT: las reglas de esta cadena afectan a los paquetes cuyo origen es el mismo
cortafuegos, justo tras haber sido generados por un proceso local. Esta cadena se
▸ FORWARD: las reglas de esta cadena afectan a los paquetes que pasan por el
cortafuegos, no son su destino ni su origen (hace las veces de router para ellos).
Esta cadena se presenta en las tablas mangle y filter.
En la Tabla 1 se resumen las cadenas y los paquetes que podrían verse afectados
Tabla 1. Resumen del momento en el que se ven afectados por los paquetes en función de la cadena en
filtrar tráfico añadiendo reglas. Se podría añadir una regla a la cadena FORWARD
que buscara paquetes cuyo destino sea el puerto 80. Lo que se haga con los
paquetes que cumplan con esta regla dependerá de la acción que se configure para
comunicación.
Los paquetes que son presentados a cada cadena serán evaluados en orden por
cada una de las reglas, hasta que cumplan una de ellas y la acción configurada para
esa regla les afecte. Si ninguna regla dentro de la cadena coincidiera con los
parámetros del paquete, este se vería afectado por la política por defecto de esa
regla, que por motivos de seguridad se establece como DROP por defecto.
Un comando de iptables se divide en las siguientes partes (ver ejemplos de cada una
Tabla 3. Lista de opciones de iptables junto a su descripción y asociadas a los comandos en los que se
Tabla 4. Lista de condiciones más comunes de iptables al realizar reglas de filtrado. Elaboración propia.
esta cheat sheet para ver una lista más completa (Fortuna, 2019)):
▸ iptables -L [cadena]
▸ iptables -F [cadena]
▸ Especifica al Kernel que hacer con los paquetes que no coinciden con ninguna regla
technology/glossary/next-generation-firewalls-ngfws
Gartner. (2021). Network Firewall Reviews 2021 | Gartner Peer Insights. Gartner.
https://www.gartner.com/reviews/market/network-firewalls
Scarfone, K., y Hoffman, P. (2009). Guidelines on Firewalls and Firewall Policy (NIST
Special Publication (SP) 800-41 Rev. 1). National Institute of Standards and
Technology. https://doi.org/10.6028/NIST.SP.800-41r1
Woland, A. T., Santuka, V., Sanbower, J., Mitchell, C. (2019). Integrated security
/9780134807614/?ar
Firewall Gateways
Cheswick, W., Bellovin, S., Rubin, A. Firewalls and Internet Security: Repelling the
https://www.wilyhacker.com/1e/chap03.pdf
En este capítulo de la versión abierta del libro Firewalls and Internet Security:
Repelling the Wily Hacker se presentan en bastante detalle los tipos de cortafuegos
Cisco. (2018, March 9). Cisco Next Generation Firewall (NGFW) Demo. [video].
YouTube. https://www.youtube.com/watch?v=ynUQe2friYM
En este vídeo de YouTube se presenta una demo interesante del NGFW de Cisco
que puede servir de ejemplo para tener claras las ventajas que ofrecen este tipo de
dispositivos.
de red.
operación.
A. Permite determinar los usuarios que pueden tener acceso a una web.
B. Permite determinar los contenidos a los que se puede tener acceso en una
web.
aplicación.
8. Un NGFW es:
10. Para permitir los paquetes con destino el servidor web de mi red, debo añadir
A. PREROUTING.
B. FORWARD.
C. INPUT.
D. OUTPUT.