SEDE ESMERALDAS
MODULO:
Redes
AUTOR/A:
ASESOR:
INTRODUCCIÓN ............................................................................................................ 1
CONTENIDO ................................................................................................................... 3
PRIMERA PARTE: FUNDAMENTOS TEÓRICOS .................................................. 3
ANÁLISIS DE LAS REGLAS DE FIREWALL ..................................................... 3
APLICACIONES DE LAS REGLAS DE FIREWALL........................................... 4
DIFERENCIAS DE CONFIGURACIÓN ENTRE FABRICANTES DE EQUIPOS
DE COMUNICACIONES VALIDANDO LA EFECTIVIDAD EN CADA CASO5
DETALLE LA ESTRUCTURA GENERALIZADA DE LAS REGLAS DE
FIREWALL. ............................................................................................................. 9
ANÁLISIS DE VULNERABILIDADES EN LA IMPLEMENTACIÓN DE
REGLAS DE FIREWALL ..................................................................................... 12
SEGUNDA PARTE: DESARROLLO DE INGENIERÍA ......................................... 14
BIBLIOGRAFÍA ............................................................................................................ 17
INDICE DE TABLAS
Tabla i: Comparativa de funcionalidades de dispositivos para la aplicación de reglas
firewall. ............................................................................................................................. 6
ÍNDICE DE FIGURAS
Figura 1: Diagrama del flujo de paquetes dentro del firewall en Mikrotik. ..................... 9
Figura 2: Algunos de los servicios y protocolos más usados correlacionados sobre las
capas del modelo OSI donde se desarrollan. (Morales J. , 2002) ................................... 10
Figura 3: Servicios de internet y puertos principales. ..................................................... 11
Figura 4: Servicios de conexión de red implementando reglas de firewall para aumentar
la seguridad. (A) conexión convencional, (b) conexión de enlace dedicada, (c) servicio de
LAN privada virtual, (d) conexión DMZ........................................................................ 12
Figura 5: Lista de IPs creadas en Mikrotik Routeros...................................................... 14
Figura 6: Configuracion de servidores en Mikrotik........................................................ 14
Figura 7: Configuración de regla NAT ........................................................................... 15
Figura 8: Reglas de firewall establecidas en el Mikrotik RouterOS. .............................. 15
INTRODUCCIÓN
Los problemas de seguridad son cada vez más críticos en los sistemas en red, según Panda
Security (2014) “En mayo, eBay nos sorprendía pidiendo a los usuarios de PayPal, la página
web de pagos online de su propiedad, que cambiaran sus contraseñas de acceso, la empresa
confirmó que los ciberdelincuentes habían accedido”, por lo tanto las empresas requieren
mantener un alto nivel de seguridad y confidencialidad para sus datos.
Debido al amplio uso de internet y el gran manejo de información mantener los datos internos
de las empresas u organizaciones se ha tornado difícil, y al no resguardar la seguridad en la red
genera un sinnúmero de inconvenientes, haciéndola vulnerable a propensos ataques.
Los firewalls son un sistema de defensa que tratan de impedir el ingreso no autorizado de
personas a una red, colocando una barrera de protección para evitar que ingresen al sistema
interno de las empresas, hay que considerar que los firewalls no son un remedio total de la
seguridad, y el estar vulnerable a posibles ataques también puede depender de muchos factores.
Varias empresas utilizan firewalls adicionales para separar los departamentos.
1
Si el firewall aplicado es débil, hay posibilidades de que el delito cibernético haya aumentado.
Por lo tanto, la elección de una regla de firewall y una mejor configuración para su rendimiento
es la clave para proporcionar una mayor seguridad.
Khan, Khan, Mahmud, & Alghathbar (2010) mencionan. “La estructura de un conjunto de
reglas de firewall se analiza para detectar y resolver los conflictos utilizando dos metodologías
de análisis estructural, es decir, Árbol de Políticas y álgebra relacional”.
2
CONTENIDO
Las reglas de firewall son un sistema de seguridad para bloquear o permitir conexiones y
transmisiones de datos entre varios equipos en red, o internet. Protege al equipo o servidor de
accesos no autorizados que pueden contener programas maliciosos que ponen en riesgo la
información de las empresas u organizaciones.
Los sistemas operativos incorporan reglas de firewall que permiten filtrar los datos que pasan
por él.
Los servidores suelen tener un gran número de normas y reglas que a menudo entran en
conflicto, y analizar la función de un servidor de seguridad ha sido catalogado como difícil.
Una regla tiene la forma predicado → acción. Un predicado es una expresión lógica
sobre un conjunto de campos de red como protocolos, direcciones de origen, de destino
y puertos. La acción es una decisión de reenvío, comúnmente aceptar y negar.
(Maldonado, Calle, & Donoso, 2015)
3
Lógicamente el firewall protege, restringe y da acceso a la información; físicamente hay varias
maneras de implementarlos mediante: routers, ordenadores y redes con software apropiados.
Las ventajas de la implementación de las reglas son:
Los cortafuegos o reglas de firewall pueden incorporarse a una red para controlar el tráfico
entrante, saliente y que pasan por la red, para especificar los equipos, usuarios, programas,
servicios, puertos o protocolos. Pueden aplicarse a redes de área local, inalámbrica, red privada
virtual (VPN).
Los firewalls pueden actuar como proxy, es decir, enmascara los datos del equipo para navegar
por la web con la identificación de otro. Puede crear un archivo log, donde se guardarán las
acciones realizadas al equipo que contiene las reglas de firewall. Puede implementarse también
una lista de control de acceso (ACL), la misma que es un conjunto de reglas diseñadas para
efectuar un objetivo, que generalmente es determinar los permisos de acceso a la red.
Por lo antes expuesto las grandes y pequeñas empresas optan por incorporar en sus redes reglas
de firewall, para proteger su información haciéndola menos vulnerables a ataques
malintencionados.
4
DIFERENCIAS DE CONFIGURACIÓN ENTRE FABRICANTES DE EQUIPOS DE
COMUNICACIONES VALIDANDO LA EFECTIVIDAD EN CADA CASO
En la tabla 1 se podrá observar la comparativa entre los principales software o hardware que
permiten la aplicación de las reglas de firewall, ofreciendo diversas herramientas de software
integradas que permiten a los servidores de seguridad la clasificación de paquetes. Entre ellos
tenemos a: CheckPoint el mismo que ofrece a los clientes protección de seguridad de la red en
una plataforma integrada de última generación, reduciendo la complejidad y el coste total de
propiedad, sea para centros de datos, empresas, pequeñas empresas, oficinas o casas. Cisco
PIX el mismo que brinda protección a la empresa con el control total de las aplicaciones
simplificando la integración fluida de las redes, conectando redes y usuarios móviles a bajo
costo operativo. Mikrotik fabrica enrutadores, conmutadores y sistemas inalámbricos para
todos los usos, desde pequeñas oficinas u hogares, hasta redes ISP portadoras, existe un
dispositivo para cada propósito. RouterOS es el sistema operativo del hardware de
RouterBOARD. Tiene todas las características necesarias para un ISP - enrutamiento, firewall,
gestión de ancho de banda, punto de acceso inalámbrico, enlace backhautl, puerta de enlace de
punto de acceso, servidor VPN y más. Instalación rápida y sencilla y una interfaz fácil de usar.
Fortigate. ofrecen un rendimiento y una protección sin igual al tiempo que simplifica su red.
Existen modelos para pequeñas oficinas, grandes empresas, proveedores de servicios.
5
Tabla i: Comparativa de funcionalidades de dispositivos para la aplicación de reglas firewall.
6
31.13.73.0/24 out- control de Hotspot, control de
interface=WAN protocol=tcp src- banda ancha, cuenta con servidor
address-list=bloqueo proxy para el almacenamiento de
cache.
La familia FortiGate de
cortafuegos NG proporciona
Policy create new Policy create new
protección probada con un
Source Interface seleccionar la Source Interface seleccionar la interfaz
rendimiento sin igual en toda la
interfaz de origen (port1 Interna) de origen (port1 Interna)
red, a partir de segmentos
Source addressall Source addressall Propietarias,
FortiGate internos, para los centros de
Destination InterfaceIp destino Destination InterfaceIp destino (port2 FortiOS
datos, a la nube de entornos.
(port2 externa) externa)
Permite a la defensa inmediata,
Service any Service any
inteligente contra amenazas
Action deny Action accept
conocidas y nuevas en toda la
red.
7
Para la realización de la parte práctica del presente modulo se utilizará Mikrotik para la
administración de las reglas de firewall. Este contiene una parte de hardware(RouterBOARD)
y una parte de software(RouterOS).
Según CAPACITY (2014) RouterBOARD “Es la plataforma de hardware hecho por Mikrotik,
alimentados por el sistema operativo RouterOS, basado en el Kernel de Linux 2.6, su facilidad
de uso, implementación y su relación costo beneficio lo hacen perfectos para grandes y
medianas compañías”.
RouterOS es un sistema operativo y software que contiene funciones para crear ambientes
modo cliente y servidor, además tiene la posibilidad de convertir una PC en un Access point,
router dedicado, bridge, firewall, controlador de ancho de banda. Posee varios métodos como
IPsec, túneles simples-punto a punto, Red de área local virtual(VLAN) para establecer una
conexión segura de red privada virtual(VPN) sobre redes abiertas o internet. Cuenta con varias
interfaces como son: Ethernet 10/100/1000 Mbit, Inalámbrica, Punto de acceso o modo de
estación/cliente, WDS, Virtual Lan (VLAN), etc.
8
Figura 1: Diagrama del flujo de paquetes dentro del firewall en Mikrotik.
9
La tecnología empleada por los firewalls ha ido mejorando a medida que la industria
especializada avanzaba y ahora tenemos una amplia variedad de dispositivos que
realizan esta función de distintas formas. Una forma práctica y sencilla de comparar las
bondades de cada plataforma es examinando las capas del modelo OSI (Open System
Interconnect) donde el cortafuego interactúa. (Morales J. , 2002)
Figura 2: Algunos de los servicios y protocolos más usados correlacionados sobre las capas del modelo
OSI donde se desarrollan. (Morales J. , 2002)
La capa 1 define la infraestructura palpable para lograr la comunicación como son medios,
conectores, etc. En la capa 2 se despliegan las comunicaciones en el interior de la red Local,
aquí se identifican las maquinas mediante las MACs. En la capa 3 es donde se conectan las
redes wan por medio de las IP. En la capa 4 se identifican las sesiones y puertos, los hosts
pueden tener abierta un sinnúmero de sesiones y los puertos son los puntos finales y de origen
de esas sesiones. En las capas 5, 6 y 7 se desenvuelven las aplicaciones y servicios de los
usuarios. (Morales C. , 2002)
En los firewalls a nivel de red se trabaja mediante las capas dos, tres y cuatro; y en los firewalls
a nivel de aplicación se trabaja con las capas cinco, seis y siete.
En internet cada servicio que se ofrece trabaja en un determinado puerto, en la siguiente figura
podremos observar los diferentes puertos con su respectivo servicio.
10
Figura 3: Servicios de internet y puertos principales. (Autor)
DMZ sus siglas significan Zona desmilitarizada son aquellas redes que están ubicadas entre
la red interna y externa de la compañía, empresa o instituciones.
11
Figura 4: Servicios de conexión de red implementando reglas de firewall para aumentar la
seguridad. (a) conexión convencional, (b) conexión de enlace dedicada, (c) servicio de LAN
privada virtual, (d) conexión DMZ.
(a). Los paquetes tienen que pasar a través de redes internas a los firewalls en ambos
lados.
(b). la mejora de mayor intensidad es proporcionar enlace dedicado entre los usuarios
finales a un alto costo.
Pueden ocurrir complicaciones al momento de configurar las reglas de firewall con las políticas
de seguridad de la empresa u organización, a esto se le considera un conflicto de reglas.
12
Un conflicto de reglas son aquellas que contradicen la política de seguridad. En particular, si
un conjunto de reglas contraviene reglas anteriores, supone un conflicto o una violación de la
política. En términos generales, una política de firewall tiene una lista negra y una lista blanca
para hacer cumplir un logro.
Como no es factible examinar y probar cada servidor de seguridad para todos los posibles
problemas potenciales, se necesita una clasificación para entender las vulnerabilidades de
firewall en el contexto de las operaciones. Kamara, Fahmy, Schultz, Kerschbaum, & Frantzen,
(2003). “La vulnerabilidad de los firewalls se definen como un error cometido durante el diseño
del servidor de seguridad, aplicación o configuración que puede ser explotado para atacar la
red de confianza que el cortafuego se supone que debe proteger”.
Considerar que existen un sinnúmero de aplicaciones que permiten verificar errores en las
reglas de firewall y monitorear cambios en los firewalls, switch o routers, entre ellas tenemos:
FIREMON: paquete de productos que permiten administrar las reglas del cortafuego,
reportando cambios en las políticas, planeación, entre otros.
13
SEGUNDA PARTE: DESARROLLO DE INGENIERÍA
DESARROLLAR MEDIANTE RECURSOS DE SOFTWARE Y HARDWARE MÁS
ÓPTIMOS LA VALIDACIÓN DE LOS FUNDAMENTOS TEÓRICOS
PRESENTADOS.
Para realizar la siguiente practica se utilizó el equipo Mikrotik, conectándose a una red por
DHCP Client, y consumiendo el servicio de internet mediante DHCP Server (LAN).
Obteniendo como servidor la ip 192.168.1.1 para la red que propagara el mikrotik, se puede
apreciar en la siguiente figura la configuración completa del DNS.
14
Antes de realizar la respectiva configuración de reglas de firewall, se configurar la regla NAT
que permite enmascarar el tráfico a la red de origen.
Las principales reglas de firewall para la seguridad un router son las siguientes:
Las reglas 0 y 1, evitan los pings infinitos realizas directamente al mikrotik y a la red Lan.
La regla 5 bloquea las conexiones del Mikrotik a la red, utilizando para ello el dominio de
broadcast. La regla 6 por su lado bloquea las conexiones realizadas directamente de nuestra red
Lan.
15
En el ejercicio presentado se puede percibir que las reglas de firewall son esencial en el
desarrollo o aplicación de una sencilla red, lo mismo que no impide su vulnerabilidad y ponga
en riesgo la información que entra, sale y pasa a través de ella, dándole seguridad no solamente
al propietario de la red, sino también a los usuarios que son los que podrían verse más afectados,
porque interactúan directamente con la red implementada. Es por lo expuesto que hay que
tomar conciencia de la seguridad en las redes, ya que a medida que avanza la tecnología, existen
muchos más métodos que ponen en riesgo la información de los usuarios.
16
BIBLIOGRAFÍA
Jutawongcharoen, K., Varavithya, V., Lekdee, K., Chaichit, A., & Sribuddee, T. (23 de Febrero
de 2017). The implementation of the UniNet's research DMZ. Computer Science and
Engineering Conference (ICSEC), 2016 International.
doi:10.1109/ICSEC.2016.7859906
Kamara, S., Fahmy, S., Schultz, E., Kerschbaum, F., & Frantzen, M. (2003). Análisis de
vulnerabilidades en los servidores de seguridad de Internet. Computadoras y Seguridad,
214-232.
Khan, B., Khan, M., Mahmud, M., & Alghathbar, K. (2010). Análisis de Seguridad de reglas
de firewall Establece en redes de computadoras. Seguridad de la Información
Emergente, Sistemas y Tecnologías. doi:10.1109 / SECURWARE.2010.16
Liu, A., & Gouda, M. (31 de Diciembre de 2008). Directiva de firewall consultas. IEEE
Transactions on paralela y Sistemas Distribuidos, 20(6), 766 - 777. doi:10.1109 /
TPDS.2008.263
Maldonado, F., Calle, E., & Donoso, Y. (2015). Detection and Prevention of Firewall-Rule
Conflicts. Reliable Networks Design and Modeling (RNDM).
Mártinez, K. (2009). Firewall – Linux: Una Solución de Seguridad Informática para PYMES.
UIS Ingenierías, 156.
17
Morales, J. (2002). Curso de Experto Universitario en Seguridad y Comercio Electrónico.
Cortafuegos. Comparativa entre las Distintas Generaciones y Funcionalidades
Adicionales. Obtenido de http://www.morales-vazquez.com/pdfs/cortafuegos.pdf
Panda Security. (11 de Diciembre de 2014). Panda Media Center. Obtenido de Los 6 ataques
de seguridad más famosos de 2014:
http://www.pandasecurity.com/spain/mediacenter/seguridad/los-6-ataques-de-
seguridad-mas-famosos-de-2014/
Pipattanasakul, S., & Permpoontanalarp, Y. (2008). Una metodología basada en el gráfico para
analizar las reglas del cortafuegos con Servicios. Comunicaciones y Tecnologías de la
Información, 2008. ISCIT 2008.
Sreevathsa, C., Daina, K., Hemalatha, K., & Manjula, K. (27 de Abril de 2017). Increasing the
performance of the firewall by providing customized policies. Applied and Theoretical
Computing and Communication Technology (iCATccT), 2016 2nd International
Conference on. doi:10.1109/ICATCCT.2016.7912063
18