Archivo de la etiqueta: defensas

Podcast – 30 – Firewall

En el trigésimo capítulo de un podcast de seguridad informática aún no he dedicado un capítulo específico a unos de los sistemas de seguridad más clásicos y aún más usados: el firewall.

Micro con feed

Fuente imagen:PerfectYourPodcast

En general, ya digo que hay otras posibilidades de comunicación, una conexión por Internet tiene esta tupla de valores: dirección IP y puerto de origen; dirección IP y puerto de destino; y el identificador del protocolo usado.

Los firewalls tradicionales utilizan estos 5 valores para determinar si una conexión es legítima o no y actuar en consecuencia. Cuando llegue un nuevo paquete a nuestro cortafuegos comprobará si se cumplen las 5 características y en tal caso, y sólo en tal caso, permitirá que el tráfico siga su camino hasta el servidor. Si alguna de los cinco valores no se cumple simplemente se eliminaría ese paquete.

Las reglas de funcionamiento del firewall tradicional deben usar cualquier combinación de estos 5 parámetros: pueden fijarse los 5, o sólo 3 dejando los otros 2 abiertos a cualquier opción, etc.

Así pues, habiendo explicado, grosso modo, el funcionamiento de un cortafuegos de red tradicional veamos cómo ha evolucionado y se ha perfeccionado el concepto:

Tras el primer sistema de filtrado de paquetes, el siguiente paso en los firewall fue el conocido como “cortafuegos de estado”. En este punto el sistema ha evolucionado para, además de ver si el tráfico cumple con las cinco condiciones, además tiene sentido. Cuando se realiza una conexión TCP se establece una negociación de parámetros previa. Así un firewall de estado puede revisar si el tráfico recibido, que sí cumple las cinco condiciones de acceso, además tiene sentido en el flujo de tráfico: si se trata de un paquete de tráfico, pero no se ha negociado antes la conexión entonces lo descarta. Este sistema de control de estado permitiría una primera protección frente a ataques de denegación de servicio.

El siguiente paso en la evolución de los sistemas cortafuegos analizaría no solo el estado de la conexión sino el funcionamiento de la aplicación. Aquí el sistema analiza el tráfico y comprueba que siga las reglas del protocolo de aplicación. Así pues, si para enviar un correo electrónico existe un orden específico en las instrucciones a ejecutar para que el envío funcione: es de suponer que el tráfico legítimo seguirá las reglas marcadas por el propio protocolo por lo que cualquier tráfico que no las siga puede ser descartado. Hay que aclarar que no se trata de un IPS: Aquí el firewall analiza el correcto seguimiento del protocolo de comunicaciones pero no analiza las peticiones específicas en busca de patrones, como sí haría un IPS, como explicamos en el capítulo 4.

Podcast – 30 – Firewall

Podcast – 29 – WAF

En el capítulo de hoy hablaremos sobre los Web Applicaton Firewall (o simplemente WAF). La traducción al castellano podría ser «Cortafuegos para aplicaciones web», si bien este nombre no lo he visto nunca… y como en la gran mayoría de conceptos tecnológicos se usa el nombre o acrónimo inglés.

Micro con feed

Fuente imagen:PerfectYourPodcast

Los firewall (cortafuegos) permiten o bloquean el tráfico en función de su origen, destino o protocolo utilizado, mientras que un IDS/IPS realiza un análisis de la información transmitida para ver su es legítima o un posible ataque. Así vemos que como la función del WAF es precisamente analizar tráfico web, habría que identificar los sistemas WAF como una subcategoría de los sistemas IDS/IPS. Por esto podemos indicar que la palabra Firewall en el nombre de este sistema no es muy adecuada.

Los WAF analizan las peticiones y respuestas HTTP que gestiona una aplicación web. Así es posible buscar patrones de posibles
ataques que busquen aprovecharse de una vulnerabilidad de nuestro sistema web. Generalmente los fabricantes incorporan firmas genéricas para detectar los tipos de ataque más genéricos (inyecciones SQL, ataques XSS, etc.) En general aquellas amenazas que siempre salen en los informes OWASP. Aunque estas firmas genéricas suelen funcionar bastante bien, la potencia de un WAF se demuestra cuando su administrador adapta o crea nuevas firmas especificamente pensadas para los sistemas web a los que da servicio. La gran adaptabilidad es, simultáneamente, su fuerza y su punto débil ya que afinar un WAF implica un conocimiento importante de los servicios web a los que protege de tal forma que se puedan crear las firmas de patrones necesarias para detectar un posible ataque específicamente en nuestra web, usando las variables de la aplicación, etc.

Podcast – 29 – WAF

Podcast – 28 – Proteger la red local

En diferentes programas hemos visto estrategias lógicas, tanto de ataque como de defensa, pero hoy bajaremos a una defensa más física: cómo podemos proteger nuestras redes locales para que no sean alteradas sin el consentimiento de su administrador.

Micro con feed

Fuente imagen:PerfectYourPodcast

Cuando una empresa tiene diferentes sedes es muy común que la gestión de la red local esté centralizada en un equipo administradores (según el tamaño de empresa el “equipo” puede ser una única persona, y puede que no sea su única labor…) que trabaja desde una oficina a cientos o miles de kilómetros de las otras bases. Así, ¿cómo puede el administrador de red minimizar problemas de red física local en ubicaciones tan lejanas donde, generalmente, otras personas pueden acceder y trastear sin ser vistas?

Para asegurar el comportamiento esperado de la red local, un administrador de redes se asegurará de, al menos, estos tres puntos:

  1. Los equipos de red (switches, routers…) deben estar en un cuarto cerrado bajo llave donde sólo una o dos personas puedan acceder. Si los equipos están en una sala común al alcance de cualquier trabajador o visitante es mucho más probable que alguien los toque y acabe generando problemas. Así pues hay una primera seguridad física: hay que evitar que sean alcanzables físicamente.
  2. El segundo punto sería una seguridad lógica que impida que la gestión del equipo sea accesible desde la propia red local. Por norma general un administrador de redes controlará y administrará sus equipos utilizando una red lógica diferente a la de los usuarios. Así pues, siempre que sea posible, se creará una VLAN específica para la gestión de los propios equipos de red. Esta VLAN será diferente a la red donde están conectados los equipos de usuario (ordenadores, impresoras, puntos Wifi, etc.). Además se aplicará una política de acceso de tal forma que únicamente los administradores puedan acceder a esta red de gestión específica: nadie de la oficina remota debe poderse conectar a la consola de gestión de los equipos de red. Lo ideal es que cualquier intento genere una alarma que avise al administrador para que pueda actuar en consecuencia (y darle un tirón de orejas al usuario cotilla).
  3. Nos falta el tercer punto: proteger a la red en su conjunto. No es nada raro que ya sea por ampliaciones no previstas o porque alguien considera que necesita más tomas de red en una sala de reuniones conecten switches o hubs a la propia red. Generalmente estos equipos vienen configurado para que funcionen a la primera sin más preparación (Plug&Play), pero en manos de una persona no técnica estos añadidos pueden acabar con un espagueti de cables y una red con una gran cantidad de interconexiones que la haga lenta e incluso que provoque pérdidas de servicio: No sería la primera oficina que se queda sin red porque alguien conectó los dos lados del cable al mismo equipo generando un bucle físico que acaba en tormentas de tráfico que inundan la red y la inutilizan. Así pues para proteger el correcto funcionamiento de la red local, un administrador debe hacer lo posible para evitar que conecten equipamiento de red no previsto que pueda generar problemas. Para ello hay dos estrategias básicas en función de los equipos de red que se pueden conectar:
      1. Los hubs (o concentradores) son equipos tontos que simplemente multiplican el número de equipos que se pueden conectar a la red. No tienen inteligencia alguna y cualquier cosa que reciben por un puerto de red lo envían por el resto. Son poco eficientes y propensos a generar tormentas de broadcast, pero son baratos. ¿Cómo evitamos que conecten un hub a nuestros equipos de red? Limitando el número máximo de equipos que pueden conectarse a cada una de nuestras tomas de red. Así si en una boca de red donde sólo debería haber un ordenador de usuario, nuestro equipo detecta dos o más sabremos que pasa algo raro. La estrategia más común es inhabilitar dicha toma (dejando sin servicio a esos ordenadores) para proteger la red en su conjunto.
      2. Como hemos dichos los hubs son equipos poco eficientes por lo que tienden a ser sustituidos por los switches (o conmutadores). Una de las grandes ventajas de los switches es su capacidad para detectar bucles de red y permitir la redundancia de caminos: así si cae una conexión pueden activar otra que tuvieran reconocida previamente para que los usuarios sigan teniendo servicios. Este capacidad de redundancia se consigue mediante el protocolo de spanning tree (o sus variantes más modernas). Este protocolo intercambia mensajes BPDU entre los switches de tal forma que todos aprenden una topología de red y detectan aquellos caminos redundantes que pueden usar en caso de problemas con la topología inicial. Los ordenadores o impresoras no utilizan este protocolo, ya que es algo propio de los switches, por lo que si nuestros equipos de red detecta tráfico BPDU desde una toma de red que debería ser de equipo final (el PC de un usuario) puede asumir que alguien ha conectado un switch y bloquear dicha toma de red para proteger al resto.

Podcast – 28 – Proteger la red local