Archivo de la etiqueta: firewall

Podcast – 34 – Port Knocking

Hoy hablaremos sobre una técnica de ‘seguridad por oscuridad’: el Port Knocking. Podéis encontrar una entrada en la Wikipedia española con el nombre de “Golpeo de puertos”. Ciertamente es una traducción literal de la expresión inglesa y es el único sitio donde la he visto, por lo que si me lo permitís me quedaré con Port Knocking.

Micro con feed

Fuente imagen:PerfectYourPodcast

Según algunas fuentes esta técnica apareció por primera vez en 2003 en un artículo de la revista “SysAdmin Magazine” como un mecanismo de autenticación ante un cortafuegos. La idea es permitir el acceso a un servicio a través de un firewall que tiene los puertos cerrados por defecto.

Recordemos que los firewall tradicionales permiten o deniegan el tráfico en función de las direcciones IP origen/destino y de los puertos usados.

La idea básica del Port Knocking es simple: el cliente realiza una serie de intentos de conexión a una secuencia de puertos concreta. Si esta secuencia es correcta, el firewall habilitará el acceso al puerto para acceder al servicio protegido. Así pues, la “contraseña de acceso” al servicio sería la secuencia de puertos que debe ejecutarse antes de conectar con el servicio protegido.

Port Knoking

Ejemplo de Port Knocking. Fuente imagen: CyberVault

Veamos el ejemplo más sencillo de esta técnica: Supongamos que tenemos una página web oculta mediante esta técnica. Para acceder a esa página primero hay que ‘tocar’ los puertos 55, 34034 y 24124.

  1. Cuando cualquier usuario quiera conectar al servidor web protegido el firewall denegará la conexión como si no existiera ningún servicio web operativo. Así se consigue ocultar el servicio de miradas ajenas.
  2. Cuando queremos acceder a nuestra web oculta lanzamos tres peticiones de conexión TCP en el orden correcto: a cada petición recibiremos respuesta de que el puerto está cerrado (igual que recibiría cualquier intento de acceso a un puerto cerrado). Es decir, el Port Knocking no daría pistas de su existencia.
  3. Una vez realizada la secuencia en el orden correcto, en nuestra cuarta conexión accederíamos a nuestra página web y el firewall nos permitiría el paso. A partir de ese momento podemos trabajar con neustra web oculta sin problemas.

Así pues, la clave para acceder al servicio oculto es la secuencia exacta de peticiones que debemos realizar antes de acceder a la web.

Obviamente una vez abierto el acceso, el propio servicio puede (y debe) tener sus propias medidas de seguridad. El Port Knocking dificulta el descubrimiento del servicio, pero en su versión más sencilla (que es la que hemos explicado) no protege al propio servicio. En nuestro ejemplo una vez revelado un servicio web, la propia aplicación web debería tener un control de acceso, por ejemplo, con usuario/contraseña.

Esta técnica puede ser útil para proteger un servicio de miradas indiscretas, pero dónde no podemos saber con antelación desde dónde se conectarán nuestros clientes (servicios en itinerancia, redes móviles, direccionamiento IP dinámico etc.). Si nuestros clientes siempre tienen la misma IP es más sencillo configurar el firewall para que habilite el acceso normal únicamente a una serie de direcciones específicas y bloquee el del resto del mundo.

El principal problema de este modelo más sencillo de Port Knocking es que es débil frente ataques de repetición: si un atacante consigue capturar el tráfico de red (o los logs del propio firewall) podrá darse cuenta de esta secuencia repetida aparentemente sin sentido y averiguar la existencia del servicio secreto simplemente enviando la misma secuencia de peticiones. Una manera de dificultar esta detección sería el uso de puertos comúnmente comprobados por escaneadores de vulnerabilidades, aunque, obviamente, en una secuencia distinta a la habitual: a nadie extraña ver intentos de peticiones a puertos comunes (SMTP, FTP, telnet, ssh, etc.) por lo que se dificultaría que, entre todas las peticiones que hay en cualquier firewall, se detectase el patrón de acceso.

Otras técnicas para evitar los ataques de repetición implican el conocimiento de una clave previa:

  1. Codificaremos la información de nuestra dirección IP origen y el puerto destino al que queremos acceder (donde está el servicio oculto). Por ejemplo: IPPUERTO = 6 bytes.
  2. Ciframos esta cadena de caracteres con la clave adecuada
  3. Cogemos el valor del cifrado y lo separamos en bytes. Cada byte puede tener un valor entre 0 y 255. Así obtenemos una secuencia de valores del 0 al 255
  4. Sumamos a estos valores obtenidos un valor base (por ejemplo 23000). Y enviamos una conexión nueva al puerto resultante de esta operación.
  5. El firewall que recibe las peticiones puede restar el valor base (conocido de antemano) y obtener así los valores de bytes resultantes del cifrado
  6. Como el firewall conoce la clave de cifrado puede obtener el mensaje inicial y así puede abrir el acceso desde la IP origen al puerto solicitado.

Este sistema tiene la ventaja que ante un ataque de repetición (donde se enviasen los mismos paquetes) simplemente se abriría el firewall para la IP origen cifrada en el paquete y no para la IP del atacante. La elección de un valor base al que sumar a los puertos puede ser fija o realizarse de forma dinámica (en función de la hora, día del mes, etc.) permitiendo así dificultar los ataques de repetición y generar una alerta en el sistema en caso de detectar intentos de conexiones en puertos no adecuados a la franja temporal).

Una funcionalidad de este sistema es que permite abrir accesos a diferentes servicios sin cambiar el esquema, o bien incluso enviar los mensajes de Port Knocking desde direcciones IP diferentes a las que se usarán después para conectar al servicio protegido.

Un caso de control de acceso, que de forma irónica se incluye en la categoría de Port Knocking, son los sistemas Single Packet Authorization: es decir autenticación en un único paquete. A modo resumen se enviaría en un único paquete toda la información de IP origen y servicio al que se quiere acceder de forma cifrada en un único paquete. El firewall lo interpretaría y actuaría en consecuencia. Con este esquema se dificulta en gran medida la detección del sistema de ocultación, si bien al enviar un único paquete no parece que caiga en la categoría de Port Knocking 😉

Este método de protección, aunque parece sacado de una película de espías, podría ser una capa de seguridad adicional útil en algunas ocasiones. No es una configuración habitual en empresas (al menos no en las no tecnológicas), pero puede ser interesante que busquéis este tipo de patrones en los logs de firewall con las herramientas SIEM… quizás os llevéis alguna sorpresa.

Descarga directa.

Podcast – 30 – Firewall

En el trigésimo capítulo de un podcast de seguridad informática aún no he dedicado un capítulo específico a unos de los sistemas de seguridad más clásicos y aún más usados: el firewall.

Micro con feed

Fuente imagen:PerfectYourPodcast

En general, ya digo que hay otras posibilidades de comunicación, una conexión por Internet tiene esta tupla de valores: dirección IP y puerto de origen; dirección IP y puerto de destino; y el identificador del protocolo usado.

Los firewalls tradicionales utilizan estos 5 valores para determinar si una conexión es legítima o no y actuar en consecuencia. Cuando llegue un nuevo paquete a nuestro cortafuegos comprobará si se cumplen las 5 características y en tal caso, y sólo en tal caso, permitirá que el tráfico siga su camino hasta el servidor. Si alguna de los cinco valores no se cumple simplemente se eliminaría ese paquete.

Las reglas de funcionamiento del firewall tradicional deben usar cualquier combinación de estos 5 parámetros: pueden fijarse los 5, o sólo 3 dejando los otros 2 abiertos a cualquier opción, etc.

Así pues, habiendo explicado, grosso modo, el funcionamiento de un cortafuegos de red tradicional veamos cómo ha evolucionado y se ha perfeccionado el concepto:

Tras el primer sistema de filtrado de paquetes, el siguiente paso en los firewall fue el conocido como “cortafuegos de estado”. En este punto el sistema ha evolucionado para, además de ver si el tráfico cumple con las cinco condiciones, además tiene sentido. Cuando se realiza una conexión TCP se establece una negociación de parámetros previa. Así un firewall de estado puede revisar si el tráfico recibido, que sí cumple las cinco condiciones de acceso, además tiene sentido en el flujo de tráfico: si se trata de un paquete de tráfico, pero no se ha negociado antes la conexión entonces lo descarta. Este sistema de control de estado permitiría una primera protección frente a ataques de denegación de servicio.

El siguiente paso en la evolución de los sistemas cortafuegos analizaría no solo el estado de la conexión sino el funcionamiento de la aplicación. Aquí el sistema analiza el tráfico y comprueba que siga las reglas del protocolo de aplicación. Así pues, si para enviar un correo electrónico existe un orden específico en las instrucciones a ejecutar para que el envío funcione: es de suponer que el tráfico legítimo seguirá las reglas marcadas por el propio protocolo por lo que cualquier tráfico que no las siga puede ser descartado. Hay que aclarar que no se trata de un IPS: Aquí el firewall analiza el correcto seguimiento del protocolo de comunicaciones pero no analiza las peticiones específicas en busca de patrones, como sí haría un IPS, como explicamos en el capítulo 4.

Podcast – 30 – Firewall

WAF – Web Application Firewall

Un Web Application Firewall (WAF) es un sistema que analiza, filtra y bloquea el tráfico del protocolo HTTP que gestionan los servicios web. A pesar de incluir el término firewall en su nombre, podemos decir que los WAF son más bien una evolución de los IDS/IPS generalistas para cubrir específicamente la protección de los sistemas web. Los WAF analizan el tráfico el tráfico que capturan, no sólo por las direcciones IP y puertos, que es lo que haría un firewall; sino también por el contenido de las peticiones y respuestas transmitidas. Así el sistema trata de detectar diferentes patrones de ataques a servicios web (Inyecciones SQL, Cross-Site Scripting (XSS), Cross-Site Request Forgery (CSRF), etc.).

WAF

Montaje tradicional de un sistema WAF. Fuente imagen: Terminatio

Si bien las funciones que realiza un sistema WAF puede ser realizadas por los IPS tradicionales correctamente configurados, el gran desarrollo en los últimos años de las aplicaciones web ha hecho que sean cada vez un objetivo más goloso para los usuarios malintencionados y ha propiciado la creación de una herramienta específica para su protección.

Tal como se muestra en la imagen superior, aunque podríamos conectar el sistema WAF de forma independiente, generalmente se utiliza como una segunda capa de protección: un firewall tradicional bloquear todo el tráfico que no sea HTTP de manera que el sistema WAF sólo deba analizar y gestionar el tráfico web. Esta doble capa de seguridad permite que cada una de ellas sea más eficiente y genere el mínimo retraso posible en la comunicación. La actuación de un IDS/IPS, categoría dentro de la que cabría enmarcar los WAF, implica el análisis del tráfico capturado antes de decidir si darle paso o bloquearlo por lo que siempre habrá una latencia añadida al sistema. Para evitar que los usuarios noten esta latencia es importante que los WAF sólo deban analizar el tráfico que realmente tenga como destino las páginas web que protegen. Un sistema WAF en solitario es posible y funcional, pero no sería eficiente de cara al rendimiento de la aplicación web (que, al fin y al cabo, es lo que el usuario final nota).

Otra de las ventajas de los WAF frente a los IPS tradicionales son que, debido a su especificidad en la protección, incorporan herramientas específicas y adaptables a casi cualquier entorno web. Así es posible crear reglas específicas de protección para cada aplicación, con lo que al final se consigue un sistema de protección totalmente adaptado a las necesidades de cada cliente. Se trata de un cambio de paradigma de buscar ataques o vulnerabilidades conocidos por parte de un IPS a proteger específicamente nuestra web con sus peculiaridades específicas.

Esquema de un WAF Cloud

Diagrama de un WAF en la nube. Fuente imagen: CDNetworks

Debido a la expansión de los servicios ‘en la nube’, muchos sistemas de seguridad que se crearon pensando en las estructuras tradicionales (cliente <> protección <> servicio) han debido integrarse también como servicios ofrecidos en la nube para poder mantener el mismo nivel de protección.


Como nota curiosa si buscáis por Internet WAF es posible que os encontréis con el Wife Acceptance Factor, que poco tiene que ver con la seguridad informática 😉

Tipos de firewall

La definición de cortafuegos, aunque el anglicismo firewall sea más usado, sería todo aquel sistema diseñado para bloquear los accesos no autorizados en una red mientras se mantienen operativas las comunicaciones autorizadas. Veamos algunas categorizaciones utilizadas y su significado, si bien estas categorías no son excluyentes entre sí y podemos encontrar sistemas híbridos.

Firewall hardware o software

Esta quizás sea la distinción más obsoleta de las que veremos ya que hoy en día ha dejado de tener el sentido inicial. Hace años se denominaban firewall hardware cuando el sistema completo estaba implementado por el mismo fabricante: los usuarios simplemente conectaban un equipo a su red y lo gestionaban según las instrucciones del fabricante. Por el contrario los firewall software eran programas que se instalaban en un equipo del usuario y funcionaban como cualquier otra aplicación sobre ese servidor.

Actualmente los fabricantes y desarrolladores pueden vender tanto sistemas cerrados completos como sólo software, pero siempre habrá un programa corriendo el servicio de firewall analizando y bloqueando tráfico. El que este programa esté en una caja cerrada por el fabricante o funcione sobre un sistema operativo propiedad del usuario es irrelevante.

Firewall perimetrales o de núcleo

En este caso la distinción no es tanto de cómo es el firewall sino de qué función está realizando. Los cortafuegos perimetrales son los responsables de gestionar las conexiones entrantes y salientes de una red (típicamente la conexión a Internet de una empresa) mientras que los de núcleo realizan un trabajo de control de las conexiones dentro de una misma red corporativa (accesos a redes DMZ, separación entre red cableada y Wifi, etc.).

La funcionalidad es la misma: proteger la conexión entre diferentes redes. El hecho de que una red sea interna o externa a la empresa es una distinción funcional pero no afecta al trabajo del firewall.

Firewall de red o de aplicación

Esta categorización sí tiene implicaciones importantes en el funcionamiento del cortafuegos y es uno de los puntos a tener en cuenta.

Los firewall de red únicamente trabajan con información de direcciones IP y puertos. El usuario configura qué comunicaciones quiere permitir de tal forma que indica las direcciones IP y puertos tanto del origen del tráfico como del receptor. Aplicando estas políticas permitirá o no la comunicación.

Los cortafuegos de aplicación son equipos más avanzados, necesitan más potencia de cálculo que los de red, que lo que evalúan es que la comunicación se establezca, y mantenga, según el protocolo estándar.

Podemos ejemplarizar el diferente funcionamiento si pensamos que un firewall de red (los más comunes) se permiten todas las conexiones de cualquier usuario de Internet al puerto 80 de nuestro servidor web (así puedes ver está página) mientras que un cortafuegos de aplicación revisará el tráfico y confirmará que realmente se esté siguiendo el protocolo http y en caso contrario bloqueará la comunicación.

Los firewall de aplicación tienen una gran parte de coincidencia con los sistemas de detección e protección de intrusos (IDS, IPS) si bien no es exactamente lo mismo.

Lista blanca o lista negra

Más que al tipo de firewall aquí se indica la política de accesos que se ha configurado. Las listas blancas facilitan el control de accesos si sabemos las conexiones que queremos permitir mientras que las de listas blancas son preferibles cuando no podemos saber el origen de todas las comunicaciones y sólo queremos bloquear el acceso a partes específicas.

Un ejemplo de lista blanca en la vida real sería una fiesta privada donde el personal de seguridad (que haría de cortafuegos) sólo deja pasar a las personas que están en su lista de invitados y a nadie más. En el lado opuesto tenemos los casinos donde se permite el paso a cualquier persona mayor edad y sólo se deniega a aquellos que están el Registro de personas con acceso prohibido a los salones de juego (este registro sería nuestra lista negra).