Bienvenidos a este capítulo de este Curso de redes para hackers – Firewall. Comparte este articulo y síguenos para recibir más capítulos, guías y cursos gratis.
Esta guía es parte de un curso mucho más grande en donde te enseñamos a convertirte en hacker de 0 a 100. Desde los conocimientos más básicos hasta conseguir empleo.
En esta guía veremos desde cero un tema tan amplio como son las redes informáticas y lo haremos desde el punto de vista del hacking y la ciberseguridad.
Para saber más comente a continuación, respondemos todos y cada uno de los comentarios.
¿Te gustaría enterarte de cuando lanzamos descuentos y nuevos cursos?
Seguridad de la red
En este capítulo hablaremos de la red desde el punto de vista de la seguridad. También veremos cuáles son los sistemas que nos ayudan como administradores de sistemas a aumentar la seguridad.
Por ejemplo, somos administradores de sistemas de una gran cadena de supermercados, pero nuestra empresa quiere entrar en el mundo de Internet lanzando una plataforma de venta online. Hemos realizado la configuración y el sistema está funcionando, pero después de una semana nos enteramos de que la plataforma había sido hackeada.
Nos hacemos una pregunta: ¿Qué hicimos mal? Nos saltamos la seguridad de la red, que es tan importante como la configuración, porque este hackeo puede influir directamente en la reputación de la empresa y provocar una disminución de las ventas y del valor de mercado.
La seguridad de red es un campo crítico en la protección de la infraestructura digital, y una gran variedad de herramientas están disponibles para ayudar a los profesionales a identificar, mitigar, y prevenir amenazas. Estas herramientas son esenciales tanto para administradores de red que buscan proteger sus sistemas como para hackers éticos que buscan identificar vulnerabilidades antes de que puedan ser explotadas por actores maliciosos.
Casi todas las organizaciones medianas y grandes tienen presencia en Internet y una red organizacional conectada a ella. La partición de la red en el límite entre la Internet externa y la red interna es esencial para la seguridad de la red. A veces, se hace referencia a la red interna (intranet) como el lado “confiable” y a la Internet externa como el lado “no confiable”.
Un firewall es una herramienta fundamental en la seguridad de red que actúa como una barrera entre una red confiable y otra no confiable, como Internet. Controla el tráfico entrante y saliente basado en un conjunto de reglas de seguridad predefinidas. Los firewalls pueden ser basados en hardware, software, o una combinación de ambos.
Firewalls
Un firewall (cortafuegos) es un muro o partición diseñada para evitar que el fuego se propague de una parte a otra de un edificio. En las redes de computadoras, un firewall está diseñado para controlar o filtrar la entrada o salida de comunicaciones de un dispositivo o una red, como se muestra en la figura.
Un firewall puede instalarse en una única computadora con el propósito de proteger dicha computadora (firewall ejecutado en un host) o puede ser un dispositivo de red independiente que protege toda una red de computadoras y todos los dispositivos host en dicha red (firewall basado en la red).
Durante años, dado que los ataques a la computadora y la red se han vuelto más sofisticados, se han desarrollado nuevos tipos de firewalls que atienden diferentes fines en la protección de la red.
Un firewall es un dispositivo de red que aísla la red interna de una organización de una red externa más grande (Internet). Puede ser un hardware, un software o un sistema combinado que impide el acceso no autorizado a la red interna o desde ella.
Todos los paquetes de datos que entran o salen de la red interna pasan por el firewall, que examina cada paquete y bloquea aquellos que no cumplen los criterios de seguridad especificados.
Implementar un cortafuegos en el límite de la red es como concentrar la seguridad en un único punto. Es como cerrar un apartamento en la entrada y no necesariamente en cada puerta.
El firewall se considera un elemento esencial para lograr la seguridad de la red por las siguientes razones:
- Es poco probable que la red interna y los hosts estén protegidos adecuadamente.
- Internet es un lugar peligroso con criminales, usuarios de empresas competidoras, ex empleados descontentos, espías de países hostiles, vándalos, etc.
- Para evitar que un atacante lance ataques de denegación de servicio a los recursos de la red.
- Para evitar modificaciones o accesos ilegales a datos internos por parte de un atacante externo.
Sin embargo, estas tres categorías no son mutuamente excluyentes. Los firewalls modernos tienen una combinación de capacidades que pueden ubicarlos en más de una de las tres categorías.
Sus reglas de tráfico se configuran según las reglas de la política de la empresa. Por ejemplo, bloquea todo el tráfico entrante al puerto POP porque no desea recibir un correo para estar protegido de todos los posibles ataques de correo. Registran todos los intentos de red para una posterior auditoría por usted.
También pueden funcionar como filtros de paquetes, esto significa que el firewall toma la decisión de reenviar o no el paquete según las direcciones y puertos de origen y destino.
¿Por qué usar un firewall?
Los firewalls se utilizan principalmente para evitar el malware y los ataques basados en la red. Además, pueden ayudar a bloquear los ataques a la capa de aplicación. Estos firewalls actúan como un guardián o una barrera. Controlan cada intento entre nuestro equipo y otra red. No permiten que se transfieran paquetes de datos a través de ellos a menos que los datos provengan o provengan de una fuente confiable especificada por el usuario.
Los firewalls están diseñados de tal manera que pueden reaccionar rápidamente para detectar y contraatacar ataques en toda la red. Pueden funcionar con reglas configuradas para proteger la red y realizar evaluaciones rápidas para encontrar cualquier actividad sospechosa. En resumen, podemos señalar al firewall como un controlador de tráfico.
Algunos de los riesgos importantes de no tener un firewall son:
Acceso abierto
Si un equipo funciona sin firewall, está dando acceso abierto a otras redes. Esto significa que está aceptando todo tipo de conexión que provenga de alguien. En este caso, no es posible detectar amenazas o ataques que provengan de nuestra red. Sin un firewall, hacemos que nuestros dispositivos sean vulnerables a usuarios maliciosos y otras fuentes no deseadas.
Datos perdidos o comprometidos
Sin un firewall, estamos dejando nuestros dispositivos accesibles a todo el mundo. Esto significa que cualquiera puede acceder a nuestro dispositivo y tener control total sobre él, incluida la red. En este caso, los cibercriminales pueden borrar fácilmente nuestros datos o utilizar nuestra información personal para su beneficio.
Fallos de red
Si no existiera un firewall, cualquiera podría acceder a nuestra red y apagarla, lo que podría obligarnos a invertir nuestro valioso tiempo y dinero para que nuestra red vuelva a funcionar.
Por lo tanto, es esencial utilizar firewalls y mantener nuestra red, computadora y datos seguros y protegidos de fuentes no deseadas.
¿Cómo funciona un firewall?
Un sistema de firewall analiza el tráfico de la red según reglas predefinidas. Luego filtra el tráfico y evita que provenga de fuentes poco fiables o sospechosas. Solo permite el tráfico entrante que está configurado para aceptar.
Por lo general, los firewalls interceptan el tráfico de red en el punto de entrada de una computadora, conocido como puerto. Los firewalls realizan esta tarea permitiendo o bloqueando paquetes de datos específicos (unidades de comunicación transferidas a través de una red digital) según reglas de seguridad predefinidas. El tráfico entrante solo se permite a través de direcciones IP o fuentes confiables.
Tipos de Firewalls
pueden ser programas o aplicaciones que operan a nivel de red. Protegen las redes privadas de usuarios externos y de otras redes. Generalmente, están compuestos por programas y su función principal es monitorear el flujo de tráfico desde el exterior hacia el interior y viceversa. Su ubicación es generalmente detrás de un enrutador o frente al enrutador, dependiendo de la topología de la red
Existen principalmente tres tipos de firewalls, como firewalls de software, firewalls de hardware o ambos , según su estructura. Cada tipo de firewall tiene una funcionalidad diferente pero el mismo propósito. Sin embargo, lo mejor es tener ambos para lograr la máxima protección posible.
Un firewall de hardware es un dispositivo físico que se conecta entre una red informática y una puerta de enlace. Por ejemplo, un enrutador de banda ancha. A un firewall de hardware a veces se lo denomina firewall de dispositivo .
Por otro lado, un firewall de software es un programa simple instalado en una computadora que funciona a través de números de puerto y otro software instalado. Este tipo de firewall también se denomina firewall de host .
Cortafuegos: hardware o software
Esta es una de las preguntas más problemáticas sobre si un firewall es un hardware o un software. Como se dijo anteriormente, un firewall puede ser un dispositivo de seguridad de red o un programa de software en una computadora. Esto significa que el firewall viene en ambos niveles, es decir, hardware y software , aunque es mejor tener ambos.
Cada formato (un firewall implementado como hardware o software) tiene una funcionalidad diferente pero el mismo propósito. Un firewall de hardware es un dispositivo físico que se conecta entre una red informática y una puerta de enlace. Por ejemplo, un enrutador de banda ancha. Por otro lado, un firewall de software es un programa simple instalado en una computadora que funciona a través de números de puerto y otro software instalado.
Además de eso, existen firewalls basados en la nube, comúnmente conocidos como FaaS (firewall como servicio). Una ventaja principal de usar firewalls basados en la nube es que se pueden administrar de forma centralizada. Al igual que los firewalls de hardware, los firewalls basados en la nube son más conocidos por brindar seguridad perimetral.
Funciones del Firewall
Como se ha indicado anteriormente, el cortafuegos funciona como un portero. Analiza todos los intentos de acceso a nuestro sistema operativo y evita el tráfico procedente de fuentes no deseadas o no reconocidas.
Dado que el firewall actúa como una barrera o filtro entre el sistema informático y otras redes (es decir, la Internet pública), podemos considerarlo como un controlador de tráfico. Por lo tanto, la función principal de un firewall es proteger nuestra red y nuestra información controlando el tráfico de red, evitando el tráfico entrante no deseado y validando el acceso evaluando el tráfico de red en busca de elementos maliciosos, como hackers y malware.
En general, la mayoría de los sistemas operativos (por ejemplo, el sistema operativo Windows) y el software de seguridad vienen con compatibilidad con firewall integrado. Por lo tanto, es una buena idea asegurarse de que esas opciones estén activadas. Además, podemos configurar las opciones de seguridad del sistema para que se actualicen automáticamente cuando estén disponibles.
Los firewalls se han vuelto muy poderosos e incluyen una variedad de funciones y capacidades con características integradas:
- Prevención de amenazas de red
- Control basado en aplicaciones e identidad
- Compatibilidad con nube híbrida
- Rendimiento escalable
- Gestión y control del tráfico de red
- Validación de acceso
- Registro e informe de eventos
Más Tipos de Firewalls
Además, existen muchos otros tipos de firewalls en función de sus características y del nivel de seguridad que ofrecen. A continuación, se muestran los tipos de técnicas de firewall que se pueden implementar como software o hardware:
Firewall de Filtrado de Paquetes:
Examina cada paquete que entra o sale de la red y lo acepta o rechaza según las reglas de filtrado.
Un firewall de filtrado de paquetes es el tipo más básico de firewall. Actúa como un programa de administración que monitorea el tráfico de red y filtra los paquetes entrantes según las reglas de seguridad configuradas. Estos firewalls están diseñados para bloquear el tráfico de red ( protocolos IP , una dirección IP y un número de puerto) si un paquete de datos no coincide con el conjunto de reglas establecido.
Si bien los firewalls con filtrado de paquetes pueden considerarse una solución rápida que no requiere muchos recursos, también tienen algunas limitaciones. Como estos tipos de firewalls no previenen los ataques basados en la web, no son los más seguros.
Firewall de Próximo Generación (NGFW)
Combina inspección profunda de paquetes (DPI), prevención de intrusiones, y otras funciones avanzadas con la funcionalidad de un firewall tradicional.
Muchos de los firewalls lanzados recientemente suelen definirse como «firewalls de próxima generación» . Sin embargo, no existe una definición específica para los firewalls de próxima generación. Este tipo de firewall suele definirse como un dispositivo de seguridad que combina las características y funcionalidades de otros firewalls. Estos firewalls incluyen inspección profunda de paquetes (DPI), inspección de paquetes a nivel de superficie y pruebas de protocolo de enlace TCP, etc.
Los firewalls de próxima generación incluyen niveles de seguridad más altos que los firewalls de filtrado de paquetes e inspección de estado. A diferencia de los firewalls tradicionales, los firewalls de próxima generación monitorean toda la transacción de datos, incluidos los encabezados de los paquetes, el contenido de los paquetes y las fuentes. Los firewalls de próxima generación están diseñados de tal manera que pueden prevenir amenazas de seguridad más sofisticadas y en evolución, como ataques de malware, amenazas externas e intrusiones avanzadas.
NGFW centrado en amenazas
Los NGFW centrados en amenazas incluyen todas las características de un NGFW tradicional. Además, también proporcionan detección y reparación de amenazas avanzadas. Estos tipos de firewalls son capaces de reaccionar rápidamente ante los ataques. Con la automatización de seguridad inteligente, los NGFW centrados en amenazas establecen reglas y políticas de seguridad, lo que aumenta aún más la seguridad del sistema de defensa general.
Además, estos firewalls utilizan sistemas de seguridad retrospectivos para monitorear las actividades sospechosas de forma continua. Siguen analizando el comportamiento de cada actividad incluso después de la inspección inicial. Gracias a esta funcionalidad, el NGFW centrado en amenazas reduce drásticamente el tiempo total que transcurre desde la detección de amenazas hasta su limpieza.
Pasarelas a nivel de circuito
Las puertas de enlace a nivel de circuito son otro tipo simplificado de firewall que se puede configurar fácilmente para permitir o bloquear el tráfico sin consumir recursos informáticos significativos. Estos tipos de firewalls suelen funcionar a nivel de sesión del modelo OSI verificando las conexiones y sesiones TCP (Protocolo de control de transmisión) . Las puertas de enlace a nivel de circuito están diseñadas para garantizar que las sesiones establecidas estén protegidas.
Por lo general, los firewalls a nivel de circuito se implementan como software de seguridad o firewalls preexistentes. Al igual que los firewalls de filtrado de paquetes, estos firewalls no verifican los datos reales, aunque inspeccionan la información sobre las transacciones. Por lo tanto, si los datos contienen malware, pero siguen la conexión TCP correcta , pasarán por la puerta de enlace. Es por eso que las puertas de enlace a nivel de circuito no se consideran lo suficientemente seguras para proteger nuestros sistemas.
Cortafuegos de inspección multicapa con estado (SMLI)
Los cortafuegos de inspección multicapa con estado incluyen tanto tecnología de inspección de paquetes como verificación de protocolo de enlace TCP , lo que hace que los cortafuegos SMLI sean superiores a los cortafuegos de filtrado de paquetes o a las puertas de enlace a nivel de circuito. Además, estos tipos de cortafuegos realizan un seguimiento del estado de las conexiones establecidas.
En términos simples, cuando un usuario establece una conexión y solicita datos, el firewall SMLI crea una base de datos (tabla de estado). La base de datos se utiliza para almacenar información de la sesión, como la dirección IP de origen, el número de puerto, la dirección IP de destino, el número de puerto de destino, etc. La información de conexión se almacena para cada sesión en la tabla de estado. Mediante el uso de tecnología de inspección de estado, estos firewalls crean reglas de seguridad para permitir el tráfico anticipado.
En la mayoría de los casos, los firewalls SMLI se implementan como niveles de seguridad adicionales. Estos tipos de firewalls implementan más controles y se consideran más seguros que los firewalls sin estado. Por eso, la inspección de paquetes con estado se implementa junto con muchos otros firewalls para realizar un seguimiento de las estadísticas de todo el tráfico interno. Al hacerlo, aumenta la carga y ejerce más presión sobre los recursos informáticos. Esto puede dar lugar a una velocidad de transferencia de paquetes de datos más lenta que otras soluciones.
Cortafuegos en la nube
Siempre que se diseña un firewall utilizando una solución en la nube, se lo conoce como firewall en la nube o FaaS (firewall como servicio) . Los firewalls en la nube suelen recibir mantenimiento y ejecución en Internet de proveedores externos. Este tipo de firewall se considera similar a un firewall proxy. La razón de esto es el uso de firewalls en la nube como servidores proxy. Sin embargo, se configuran en función de los requisitos.
La ventaja más importante de los firewalls en la nube es la escalabilidad. Debido a que los firewalls en la nube no tienen recursos físicos, son fáciles de escalar según la demanda o la carga de tráfico de la organización. Si la demanda aumenta, se puede agregar capacidad adicional al servidor en la nube para filtrar la carga de tráfico adicional. La mayoría de las organizaciones utilizan firewalls en la nube para proteger sus redes internas o toda la infraestructura en la nube.
Firewalls de gestión unificada de amenazas (UTM)
Los firewalls UTM son un tipo especial de dispositivo que incluye funciones de un firewall de inspección de estado con compatibilidad con antivirus y prevención de intrusiones. Estos firewalls están diseñados para brindar simplicidad y facilidad de uso. Estos firewalls también pueden agregar muchos otros servicios, como administración de la nube, etc.
Servidor proxy
filtrado de solicitudes de contenido web, como URL, dominio, medios, etcétera.
Los firewalls proxy funcionan en la capa de aplicación como un dispositivo intermedio para filtrar el tráfico entrante entre dos sistemas finales (por ejemplo, sistemas de red y de tráfico). Por eso, estos firewalls se denominan «puertas de enlace a nivel de aplicación» .
A diferencia de los firewalls básicos, estos firewalls transfieren las solicitudes de los clientes que se hacen pasar por clientes originales del servidor web. Esto protege la identidad del cliente y otra información sospechosa, manteniendo la red a salvo de posibles ataques.
Una vez establecida la conexión, el firewall proxy inspecciona los paquetes de datos que llegan desde la fuente. Si el contenido del paquete de datos entrante está protegido, el firewall proxy lo transfiere al cliente. Este enfoque crea una capa adicional de seguridad entre el cliente y muchas fuentes diferentes en la red.
Servidor de proxy inverso: ubicados frente a los servidores web, los servidores de proxy inversos protegen, ocultan, descargan y distribuyen el acceso a los servidores web.
Firewall de traducción de direcciones de red (NAT):
ocultan o enmascaran las direcciones privadas de los hosts de red. Los firewalls de traducción de direcciones de red o NAT están diseñados principalmente para acceder al tráfico de Internet y bloquear todas las conexiones no deseadas. Este tipo de firewalls suelen ocultar las direcciones IP de nuestros dispositivos, haciéndolos seguros frente a los atacantes.
Cuando se utilizan varios dispositivos para conectarse a Internet, los firewalls NAT crean una dirección IP única y ocultan las direcciones IP de los dispositivos individuales. Como resultado, se utiliza una única dirección IP para todos los dispositivos. De esta manera, los firewalls NAT protegen las direcciones de red independientes de los atacantes que escanean una red en busca de acceso a direcciones IP. Esto da como resultado una protección mejorada contra actividades y ataques sospechosos.
En general, los firewalls NAT funcionan de manera similar a los firewalls proxy. Al igual que los firewalls proxy, los firewalls NAT también funcionan como un dispositivo intermedio entre un grupo de computadoras y el tráfico externo.
Otros tipos de Firewall
- Firewall basado en host: filtrado de puertos y llamadas de servicio del sistema en el sistema operativo de una computadora.
- Firewall de capa de red: filtrado basado en las direcciones IP de origen y destino.
- Firewall de capa de transporte: filtrado basado en puertos de origen y datos de destino y filtrado basado en los estados de conexión.
- Firewall de capa de aplicación: filtrado basado en la aplicación, el programa o el servicio.
- Firewall de aplicación consciente del contexto: filtrado basada en el usuario, el dispositivo, la función, el tipo de aplicación y el perfil de amenazas.
- Firewall de Inspección de Estado: Monitorea el estado de las conexiones activas y toma decisiones de filtrado basadas en el contexto de la sesión.
Ejemplos Populares
- pfSense: Un firewall de código abierto basado en FreeBSD que es altamente configurable y extensible.
- Cisco ASA: Un firewall avanzado que ofrece seguridad combinada con capacidades de VPN y prevención de intrusiones.
- Fortinet
- SonicWALL
- Checkpoint
- Juniper
¿Qué arquitectura de firewall es mejor?
A la hora de seleccionar la mejor arquitectura de firewall, no es necesario ser explícito. Siempre es mejor utilizar una combinación de diferentes firewalls para agregar varias capas de protección. Por ejemplo, se puede implementar un firewall de hardware o en la nube en el perímetro de la red y luego agregar un firewall de software individual con cada activo de la red.
Además, la selección suele depender de los requisitos de cada organización. Sin embargo, se pueden tener en cuenta los siguientes factores para la selección correcta del cortafuegos:
Tamaño de la organización: Si una organización es grande y mantiene una red interna grande, es mejor implementar una arquitectura de firewall que pueda monitorear toda la red interna.
Disponibilidad de recursos: Si una organización cuenta con los recursos y puede permitirse un firewall independiente para cada componente de hardware, esta es una buena opción. Además, un firewall en la nube puede ser otra opción a considerar.
Requisito de protección multinivel: La cantidad y el tipo de firewalls dependen generalmente de las medidas de seguridad que requiere una red interna. Esto significa que, si una organización mantiene datos confidenciales, es mejor implementar una protección de firewalls de varios niveles. Esto garantizará la seguridad de los datos frente a los hackers.
Ventajas y Desventajas
- Ventajas:
- Proporciona una primera línea de defensa contra ataques externos.
- Puede bloquear tráfico no deseado y proteger redes internas.
- Desventajas:
- Puede ser complejo de configurar y mantener.
- No puede proteger contra amenazas internas o ataques que ya han pasado la capa de firewall.
Cortafuegos con filtrado de paquetes con estado y sin estado
En este tipo de implementación de firewall, la red interna se conecta a la red externa/Internet a través de un firewall de enrutador. El firewall inspecciona y filtra los datos paquete por paquete.
Los firewalls de filtrado de paquetes permiten o bloquean los paquetes principalmente en función de criterios como direcciones IP de origen y/o destino, protocolo, números de puerto de origen y/o destino y varios otros parámetros dentro del encabezado IP.
La decisión puede basarse en factores distintos a los campos del encabezado IP, como el tipo de mensaje ICMP, los bits TCP SYN y ACK, etc.
La regla de filtrado de paquetes tiene dos partes:
- Criterios de selección : Se utilizan como condición y coincidencia de patrones para la toma de decisiones.
- Campo de acción : esta parte especifica la acción que se debe tomar si un paquete IP cumple con los criterios de selección. La acción puede ser bloquear (denegar) o permitir (permitir) el paso del paquete a través del firewall.
El filtrado de paquetes se realiza generalmente configurando listas de control de acceso (ACL) en enrutadores o conmutadores. Las ACL son tablas de reglas de filtrado de paquetes.
A medida que el tráfico ingresa o sale de una interfaz, el firewall aplica ACL de arriba a abajo a cada paquete entrante, encuentra criterios coincidentes y permite o rechaza los paquetes individuales.
Un firewall sin estado es una especie de herramienta rígida. Analiza el paquete y lo permite si cumple con los criterios, incluso si no forma parte de ninguna comunicación en curso establecida.
Por lo tanto, en las redes modernas, estos cortafuegos se sustituyen por cortafuegos con estado . Este tipo de cortafuegos ofrece un método de inspección más profundo que los métodos de inspección de paquetes basados únicamente en ACL de los cortafuegos sin estado.
El firewall con estado monitorea el proceso de configuración y desconexión de la conexión para controlar las conexiones a nivel TCP/IP. Esto le permite realizar un seguimiento del estado de las conexiones y determinar qué hosts tienen conexiones abiertas y autorizadas en un momento determinado.
Hacen referencia a la base de reglas solo cuando se solicita una nueva conexión. Los paquetes que pertenecen a conexiones existentes se comparan con la tabla de estado de conexiones abiertas del firewall y se toma la decisión de permitirlas o bloquearlas. Este proceso ahorra tiempo y también proporciona mayor seguridad. No se permite que ningún paquete traspase el firewall a menos que pertenezca a una conexión ya establecida. Puede agotar el tiempo de espera de las conexiones inactivas en el firewall, después del cual ya no admite paquetes para esa conexión.
Pasarelas de aplicaciones
Una puerta de enlace a nivel de aplicación actúa como un nodo de retransmisión para el tráfico a nivel de aplicación. Intercepta paquetes entrantes y salientes, ejecuta servidores proxy que copian y reenvían información a través de la puerta de enlace y funciona como un servidor proxy , lo que impide cualquier conexión directa entre un servidor o cliente de confianza y un host que no es de confianza.
Los servidores proxy son específicos de cada aplicación y pueden filtrar paquetes en la capa de aplicación del modelo OSI.
Proxies específicos de la aplicación
Un proxy específico de la aplicación acepta paquetes generados únicamente por la aplicación específica para la que está diseñado para copiar, reenviar y filtrar. Por ejemplo, solo un proxy Telnet puede copiar, reenviar y filtrar el tráfico Telnet.
Si una red depende únicamente de una puerta de enlace a nivel de aplicación, los paquetes entrantes y salientes no pueden acceder a los servicios que no tienen servidores proxy configurados. Por ejemplo, si una puerta de enlace ejecuta servidores proxy FTP y Telnet, solo los paquetes generados por estos servicios pueden pasar a través del firewall. Todos los demás servicios quedan bloqueados.
Filtrado a nivel de aplicación
Un proxy de nivel de aplicación examina y filtra paquetes individuales, en lugar de simplemente copiarlos y reenviarlos ciegamente a través del gateway. Los proxys específicos de la aplicación revisan cada paquete que pasa por el gateway, verificando el contenido del paquete hasta la capa de aplicación. Estos proxys pueden filtrar tipos particulares de comandos o información en los protocolos de la aplicación.
Las puertas de enlace de aplicaciones pueden restringir la ejecución de acciones específicas. Por ejemplo, la puerta de enlace podría configurarse para impedir que los usuarios ejecuten el comando ‘FTP put’. Esto puede impedir que un atacante modifique la información almacenada en el servidor.
Transparente
Aunque las puertas de enlace a nivel de aplicación pueden ser transparentes, muchas implementaciones requieren la autenticación del usuario antes de que los usuarios puedan acceder a una red no confiable, un proceso que reduce la verdadera transparencia. La autenticación puede ser diferente si el usuario es de la red interna o de Internet. En el caso de una red interna, se puede permitir que una simple lista de direcciones IP se conecte a aplicaciones externas. Pero desde el lado de Internet se debe implementar una autenticación sólida.
Una puerta de enlace de aplicaciones en realidad retransmite segmentos TCP entre las dos conexiones TCP en las dos direcciones (Cliente ↔ Proxy ↔ Servidor).
En el caso de los paquetes salientes, la puerta de enlace puede reemplazar la dirección IP de origen por su propia dirección IP. El proceso se denomina Traducción de direcciones de red (NAT) y garantiza que las direcciones IP internas no queden expuestas a Internet.
Puerta de enlace a nivel de circuito
La puerta de enlace a nivel de circuito es una solución intermedia entre el filtro de paquetes y la puerta de enlace de aplicaciones. Se ejecuta en la capa de transporte y, por lo tanto, puede actuar como proxy para cualquier aplicación.
De manera similar a una puerta de enlace de aplicaciones, la puerta de enlace a nivel de circuito tampoco permite una conexión TCP de extremo a extremo a través de la puerta de enlace. Establece dos conexiones TCP y retransmite los segmentos TCP de una red a la otra. Sin embargo, no examina los datos de la aplicación como la puerta de enlace de aplicaciones. Por lo tanto, a veces se lo denomina «Proxy de canalización».
SOCKS
SOCKS (RFC 1928) hace referencia a una puerta de enlace a nivel de circuito. Es un mecanismo proxy de red que permite que los hosts de un lado de un servidor SOCKS obtengan acceso total a los hosts del otro lado sin necesidad de una accesibilidad IP directa. El cliente se conecta al servidor SOCKS en el cortafuegos. Luego, el cliente inicia una negociación para el método de autenticación que se utilizará y se autentica con el método elegido.
El cliente envía una solicitud de retransmisión de conexión al servidor SOCKS, que contiene la dirección IP de destino deseada y el puerto de transporte. El servidor acepta la solicitud después de comprobar que el cliente cumple con los criterios básicos de filtrado. A continuación, en nombre del cliente, la puerta de enlace abre una conexión con el host no confiable solicitado y, a continuación, supervisa de cerca el protocolo de enlace TCP que sigue.
El servidor SOCKS informa al cliente y, en caso de éxito, comienza a transmitir los datos entre las dos conexiones. Las puertas de enlace a nivel de circuito se utilizan cuando la organización confía en los usuarios internos y no desea inspeccionar el contenido o los datos de la aplicación enviados por Internet.
Para saber más debes leer…
Implementación de firewall con DMZ
Un firewall es un mecanismo que se utiliza para controlar el tráfico de red que entra y sale de una red interna de una organización. En la mayoría de los casos, estos sistemas tienen dos interfaces de red: una para la red externa, como Internet, y la otra para la red interna.
El proceso de firewall puede controlar estrictamente lo que se permite que pase de un lado al otro. Una organización que desee proporcionar acceso externo a su servidor web puede restringir todo el tráfico que llega al firewall, excepto el puerto 80 (el puerto http estándar). El resto del tráfico, como el tráfico de correo, FTP, SNMP, etc., no puede atravesar el firewall hacia la red interna. En el siguiente diagrama se muestra un ejemplo de un firewall simple.
En la implementación simple anterior, aunque todos los demás accesos externos están bloqueados, es posible que un atacante contacte no solo a un servidor web sino a cualquier otro host en la red interna que haya dejado abierto el puerto 80 por accidente o por cualquier otro motivo.
Por lo tanto, el problema al que se enfrentan la mayoría de las organizaciones es cómo permitir el acceso legítimo a servicios públicos como la web, el FTP y el correo electrónico, manteniendo al mismo tiempo una seguridad estricta de la red interna. El enfoque típico es implementar cortafuegos para proporcionar una zona desmilitarizada (DMZ) en la red.
En esta configuración (ilustrada en el diagrama siguiente), se implementan dos firewalls: uno entre la red externa y la DMZ, y otro entre la DMZ y la red interna. Todos los servidores públicos se ubican en la DMZ.
Con esta configuración, es posible tener reglas de firewall que permitan el acceso público a los servidores públicos, pero el firewall interno puede restringir todas las conexiones entrantes. Al tener la DMZ, los servidores públicos cuentan con la protección adecuada en lugar de colocarlos directamente en la red externa.
Sistema de detección y prevención de intrusiones
Los cortafuegos de filtrado de paquetes funcionan según reglas que involucran únicamente los encabezados TCP/UDP/IP. No intentan establecer comprobaciones de correlación entre diferentes sesiones.
Los sistemas de detección y prevención de intrusiones (IDS/IPS) realizan una inspección profunda de paquetes (DPI) examinando el contenido de los paquetes. Por ejemplo, verifican las cadenas de caracteres de los paquetes con una base de datos de cadenas de virus y ataques conocidos.
Los gateways de aplicaciones examinan el contenido de los paquetes, pero solo para aplicaciones específicas. No buscan datos sospechosos en los paquetes. IDS/IPS busca datos sospechosos contenidos en los paquetes e intenta examinar la correlación entre varios paquetes para identificar ataques como escaneo de puertos, mapeo de red y denegación de servicio, entre otros.
Diferencia entre IDS e IPS
Los sistemas IDS e IPS son similares en la detección de anomalías en la red. El IDS es una herramienta de «visibilidad», mientras que el IPS se considera una herramienta de «control».
Los sistemas de detección de intrusiones se ubican al costado de la red, monitorean el tráfico en muchos puntos diferentes y brindan visibilidad del estado de seguridad de la red. En caso de que el sistema de detección de intrusiones informe una anomalía, el administrador de la red u otro dispositivo de la red inician las acciones correctivas.
Los sistemas de prevención de intrusiones son como cortafuegos que se ubican en línea entre dos redes y controlan el tráfico que pasa por ellas. Aplican una política específica al detectar anomalías en el tráfico de la red. Generalmente, descartan todos los paquetes y bloquean todo el tráfico de la red al detectar una anomalía hasta que el administrador la solucione.
Tipos de IDS
Hay dos tipos básicos de IDS.
- Identificación basada en firmas
- Necesita una base de datos de ataques conocidos con sus firmas.
- La firma se define por los tipos y el orden de los paquetes que caracterizan un ataque particular.
- La limitación de este tipo de IDS es que solo se pueden detectar ataques conocidos. Este IDS también puede generar una falsa alarma. Una falsa alarma puede ocurrir cuando un flujo de paquetes normal coincide con la firma de un ataque.
- Un ejemplo conocido de IDS público de código abierto es el IDS “Snort”.
- IDS basado en anomalías
- Este tipo de IDS crea un patrón de tráfico de funcionamiento normal de la red.
- Durante el modo IDS, analiza los patrones de tráfico que son estadísticamente inusuales. Por ejemplo, carga ICMP inusual, crecimiento exponencial en los escaneos de puertos, etc.
- La detección de cualquier patrón de tráfico inusual genera la alarma.
- El principal desafío al que se enfrenta este tipo de implementación de IDS es la dificultad de distinguir entre el tráfico normal y el tráfico inusual.
Para saber más debes leer…
Limitaciones del Firewall
En lo que respecta a la seguridad de la red, los cortafuegos se consideran la primera línea de defensa. Pero la pregunta es si estos cortafuegos son lo suficientemente fuertes como para proteger nuestros dispositivos de los ataques cibernéticos. La respuesta puede ser «no». La mejor práctica es utilizar un sistema de cortafuegos cuando se utiliza Internet. Sin embargo, es importante utilizar otros sistemas de defensa para ayudar a proteger la red y los datos almacenados en el equipo. Debido a que las amenazas cibernéticas evolucionan continuamente, un cortafuegos no debería ser la única consideración para proteger la red doméstica.
La importancia de utilizar firewalls como sistema de seguridad es obvia; sin embargo, los firewalls tienen algunas limitaciones:
- Los firewalls no pueden impedir que los usuarios accedan a sitios web maliciosos, lo que los hace vulnerables a amenazas o ataques internos.
- Los firewalls no pueden proteger contra la transferencia de archivos o software infectados con virus.
- Los firewalls no pueden evitar el uso indebido de contraseñas.
- Los firewalls no pueden proteger si las reglas de seguridad están mal configuradas.
- Los firewalls no pueden proteger contra riesgos de seguridad no técnicos, como la ingeniería social.
- Los firewalls no pueden detener ni impedir que atacantes con módems accedan o salgan de la red interna.
- Los firewalls no pueden proteger el sistema que ya está infectado.
Por lo tanto, se recomienda mantener actualizados todos los dispositivos con acceso a Internet. Esto incluye los últimos sistemas operativos, navegadores web, aplicaciones y otro software de seguridad (como antivirus). Además, la seguridad de los enrutadores inalámbricos debe ser otra práctica. El proceso de protección de un enrutador puede incluir opciones como cambiar repetidamente el nombre y la contraseña del enrutador, revisar la configuración de seguridad y crear una red de invitados para los visitantes.
Diferencia entre un firewall y un antivirus
Los firewalls y antivirus son sistemas para proteger los dispositivos de virus y otros tipos de troyanos, pero existen diferencias significativas entre ellos. En función de las vulnerabilidades, las principales diferencias entre firewalls y antivirus se enumeran a continuación:
Atributos | Cortafuegos | Antivirus |
Definición | Un firewall se define como el sistema que analiza y filtra los paquetes de datos entrantes o salientes según reglas predefinidas. | El antivirus se define como un tipo especial de software que actúa como mecanismo de seguridad cibernética. La función principal del antivirus es supervisar, detectar y eliminar cualquier archivo o software sospechoso o desconfiado del dispositivo. |
Estructura | Los firewalls pueden ser tanto de hardware como de software. El enrutador es un ejemplo de firewall físico y un programa de firewall simple en el sistema es un ejemplo de firewall de software. | El antivirus solo se puede utilizar como software. El antivirus es un programa que se instala en el dispositivo, al igual que los demás programas. |
Implementación | Dado que los firewalls vienen en forma de hardware y software, un firewall se puede implementar de cualquier manera. | Dado que los antivirus se presentan en forma de software, solo se pueden implementar a nivel de software. No existe la posibilidad de implementarlos a nivel de hardware. |
Responsabilidad | Un firewall suele definirse como un sistema de control de red. Esto significa que los firewalls son los principales responsables de supervisar y filtrar el tráfico de red. | Los antivirus son los principales responsables de detectar y eliminar virus de los sistemas informáticos u otros dispositivos. Estos virus pueden presentarse en forma de archivos o software infectados. |
Escalabilidad | Debido a que el firewall admite ambos tipos de implementaciones, hardware y software, es más escalable que el antivirus. | En general, se considera que los antivirus son menos escalables que los firewalls. Esto se debe a que los antivirus solo se pueden implementar a nivel de software y no admiten la implementación a nivel de hardware. |
Amenazas | Un firewall se utiliza principalmente para prevenir ataques relacionados con la red. Incluye principalmente amenazas de red externas, por ejemplo, ataques de enrutamiento y suplantación de IP. | El antivirus se utiliza principalmente para escanear, encontrar y eliminar virus, malware y troyanos que pueden dañar archivos y software del sistema y compartir información personal (como credenciales de inicio de sesión, detalles de tarjetas de crédito, etc.) con hackers. |
Ataques a Firewalls: Estrategias y Defensa
Los firewalls son una de las primeras líneas de defensa en la seguridad de redes, diseñados para controlar el tráfico entrante y saliente basado en un conjunto de reglas de seguridad predefinidas. Sin embargo, incluso los firewalls más robustos pueden ser vulnerables a varios tipos de ataques. En este artículo, se examinan en detalle los tipos más comunes de ataques contra firewalls y las mejores prácticas para proteger estos sistemas críticos.
Un firewall actúa como un filtro entre una red interna segura y redes externas, como Internet. Su objetivo principal es permitir el tráfico legítimo y bloquear el tráfico no autorizado o potencialmente dañino. Los firewalls pueden ser implementados en hardware, software o una combinación de ambos, y operan en diferentes capas del modelo OSI (por ejemplo, la capa de red o la capa de aplicación).
1. Ataques de Evasión (Evasion Techniques)
Los ataques de evasión tienen como objetivo pasar a través del firewall sin ser detectados. Los atacantes emplean varias técnicas para ocultar o modificar el tráfico de tal manera que el firewall no lo identifique como malicioso.
Métodos de Ejecución:
- Fragmentación de Paquetes: Dividir el tráfico en fragmentos más pequeños para evadir las inspecciones de paquetes del firewall.
- Encapsulación de Tráfico: Usar protocolos inusuales o encapsulación de tráfico malicioso dentro de un protocolo permitido (por ejemplo, encapsular un ataque en un paquete HTTPS).
- Manipulación de Cabeceras: Alterar las cabeceras de los paquetes para engañar al firewall y hacer que el tráfico parezca legítimo.
Consecuencias:
- Acceso No Autorizado: Los atacantes pueden acceder a la red interna sin ser detectados, lo que les permite realizar reconocimiento, mover datos, o lanzar ataques adicionales desde dentro de la red.
- Distribución de Malware: El tráfico evadido puede incluir malware que se propaga a través de la red interna.
Defensa Contra Ataques de Evasión:
- Inspección Profunda de Paquetes (DPI): Implementar firewalls con capacidades de inspección profunda que analicen no solo las cabeceras sino también el contenido del tráfico.
- Actualizaciones Regulares: Mantener el firewall actualizado con las últimas firmas y reglas de detección para identificar técnicas de evasión nuevas o modificadas.
- Configuración Rigurosa: Configurar el firewall para bloquear cualquier tráfico que no siga estrictamente las reglas establecidas, como paquetes fragmentados o cabeceras anómalas.
2. Ataques de Desbordamiento de Búfer (Buffer Overflow)
Los ataques de desbordamiento de búfer ocurren cuando un atacante envía más datos de los que un buffer puede manejar, lo que puede llevar a la ejecución de código arbitrario o al bloqueo del firewall.
Métodos de Ejecución:
- Paquetes Malformados: Enviar paquetes con datos excesivos o malformados para explotar una vulnerabilidad en el software del firewall.
- Exploit de Vulnerabilidades: Usar exploits conocidos que aprovechan fallos en la implementación del firewall para provocar un desbordamiento de búfer.
Consecuencias:
- Compromiso del Firewall: El atacante puede tomar el control del firewall, desactivarlo, o modificar las reglas para permitir tráfico no autorizado.
- Denegación de Servicio (DoS): El desbordamiento de búfer puede hacer que el firewall se bloquee, resultando en una interrupción del servicio y exponiendo la red a ataques.
Defensa Contra Desbordamientos de Búfer:
- Actualización de Software: Mantener el firmware y el software del firewall actualizado con los últimos parches de seguridad para mitigar vulnerabilidades conocidas.
- Validación de Entradas: Asegurar que el firewall esté configurado para validar y controlar adecuadamente los datos que recibe, reduciendo el riesgo de desbordamientos.
3. Ataques de Denegación de Servicio (DoS/DDoS)
Descripción: En un ataque DoS o DDoS, los atacantes envían grandes cantidades de tráfico al firewall con la intención de sobrecargarlo y hacer que falle, dejándolo incapaz de filtrar tráfico legítimo.
Métodos de Ejecución:
- Inundación de Paquetes: Enviar una avalancha de solicitudes al firewall, saturando sus recursos de procesamiento.
- Exploit de Vulnerabilidades: Aprovechar una debilidad específica del firewall para provocar un fallo de servicio, como el uso intensivo de CPU o memoria.
Consecuencias:
- Interrupción del Servicio: El firewall puede dejar de funcionar o ralentizarse, permitiendo que el tráfico no filtrado llegue a la red interna.
- Exposición a Otros Ataques: Sin un firewall funcional, la red interna queda expuesta a otros tipos de ataques como intrusiones o malware.
Defensa Contra Ataques DoS/DDoS:
- Limitación de Tasa (Rate Limiting): Configurar reglas de limitación de tasa en el firewall para evitar la saturación de recursos.
- Sistemas de Prevención de Intrusiones (IPS): Implementar un IPS que trabaje junto con el firewall para identificar y bloquear ataques DoS/DDoS en tiempo real.
- Redundancia y Escalabilidad: Diseñar la infraestructura del firewall para ser redundante y escalable, asegurando que pueda manejar grandes volúmenes de tráfico.
4. Ataques de Ingeniería Social (Social Engineering)
Descripción: La ingeniería social implica manipular a personas para que revelen información confidencial o realicen acciones que comprometan la seguridad. En el contexto de firewalls, un atacante podría convencer a un administrador de cambiar la configuración del firewall o desactivarlo temporalmente.
Métodos de Ejecución:
- Phishing: Enviar correos electrónicos falsificados que parecen provenir de una fuente confiable para engañar al administrador y obtener acceso al firewall.
- Pretexting: Hacerse pasar por una autoridad o técnico de soporte para obtener credenciales de acceso al firewall.
Consecuencias:
- Compromiso del Firewall: El atacante puede obtener acceso no autorizado al firewall, modificar las reglas de filtrado o desactivarlo por completo.
- Acceso a la Red Interna: Con un firewall comprometido, el atacante puede acceder libremente a la red interna y realizar actividades maliciosas.
Defensa Contra Ingeniería Social:
- Educación y Concienciación: Capacitar a los administradores de red y al personal sobre las tácticas de ingeniería social y cómo evitarlas.
- Autenticación Multifactor (MFA): Implementar MFA para cualquier acceso administrativo al firewall, lo que dificulta que un atacante acceda con credenciales robadas.
- Políticas de Cambio Estrictas: Implementar políticas que requieran múltiples aprobaciones para cualquier cambio en la configuración del firewall, minimizando el riesgo de manipulación.
5. Ataques Internos (Insider Threats)
Descripción: Los ataques internos son realizados por personas con acceso autorizado a la red o al firewall, como empleados, contratistas, o socios. Estos individuos pueden abusar de su acceso para deshabilitar el firewall, modificar las reglas de seguridad, o instalar puertas traseras.
Métodos de Ejecución:
- Abuso de Privilegios: Un empleado descontento o un contratista malintencionado puede deshabilitar el firewall o cambiar las reglas de filtrado para permitir el acceso no autorizado.
- Instalación de Puertas Traseras: Un atacante interno puede instalar una puerta trasera en el firewall, permitiendo el acceso remoto no autorizado sin detección.
Consecuencias:
- Compromiso Completo del Firewall: Un atacante interno con acceso administrativo puede desactivar o modificar el firewall de manera que toda la red quede expuesta a ataques externos.
- Fugas de Información: El atacante interno puede desviar el tráfico, exponer datos sensibles o permitir la exfiltración de información confidencial.
Defensa Contra Ataques Internos:
- Control de Acceso Granular: Limitar los permisos de acceso al firewall solo al personal absolutamente necesario y segregar los roles y responsabilidades para minimizar el riesgo.
Conceptos y técnicas de evasión
- Ataque de inserción : el atacante obliga al IDS a procesar paquetes no válidos.
- Evasión : un punto final acepta un paquete que el IDS normalmente rechazaría. Normalmente, se ejecuta mediante la fragmentación de los paquetes de ataque para permitir que se muevan a través del IDS.
- Ofuscación : codificar los paquetes de ataque de tal forma que el objetivo pueda decodificarlos, pero el IDS no.
- Unicode
- Código polimórfico
- Encriptación
- Manipulación de ruta para provocar una falta de coincidencia de firmas
- Eventos de generación de falsos positivos : creación de paquetes maliciosos diseñados para activar alarmas con la esperanza de distraer o abrumar a los IDS y operadores.
- Empalme de sesión : otro tipo de ataque de fragmentación.
- Codificación Unicode : funciona con solicitudes web; el uso de caracteres Unicode en lugar de ASCII a veces puede pasar
- Ataque de fragmentación : divide los paquetes para que el IDS no pueda detectar la intención real.
- Fragmentos superpuestos : genera un conjunto de pequeños fragmentos que superponen números de secuencia TCP.
- Ataque de tiempo de vida (TTL) : requiere que el atacante tenga conocimiento interno de la red de destino para permitir el ajuste de los valores TTL para controlar quién recibe qué paquetes y cuándo.
- Paquetes RST no válidos : manipulación del indicador RST para engañar a IDS para que ignore la sesión de comunicación con el objetivo.
- Bandera de urgencia – URG – Manipulación de la bandera URG para hacer que el objetivo y el IDS tengan diferentes conjuntos de paquetes, porque el IDS procesa TODOS los paquetes independientemente de la bandera URG, mientras que el objetivo solo procesará el tráfico URG.
- Shellcode polimórfico : amplíe la coincidencia de patrones cambiándolos constantemente.
- Código de carcasa ASCII : utiliza caracteres ASCII para evitar la coincidencia de patrones.
- Ataques a nivel de aplicación : aprovechan la compresión utilizada para transferir archivos grandes y ocultan ataques en datos comprimidos, ya que no pueden ser examinados por el IDS.
- Desincronización : manipulación del TCP SYN para engañar a IDS para que no preste atención a los números de secuencia del tráfico de ataque ilegítimo, sino que le dé un conjunto falso de secuencias a seguir.
- Cifrado : uso de cifrado para ocultar ataques.
- Inundar la red : activa alertas que no son el ataque previsto para confundir a los firewalls/IDS y a los administradores de red; saturando el IDS.
⚠️ Disminuya la velocidad : un escaneo más rápido, como el que se realiza con el modificador -T5 de nmap, puede hacer que lo detecten. Los profesionales usan el modificador -T1 para obtener mejores resultados
Herramientas para la evasión
- Nessus – También un escáner de vulnerabilidades
- ADMmutate : crea scripts que no son reconocibles por los archivos de firma
- NIDSbench : herramienta más antigua para fragmentar bits
- Inundator – Herramienta contra inundaciones
Evasión de cortafuegos
- Firewalking : uso de valores TTL para determinar filtros ACL de puerta de enlace y permitir el mapeo de redes internas mediante el análisis de respuestas de paquetes IP; atravesar cada puerto de un firewall para determinar qué está abierto.
- Captura de banners : busca banners de FTP, TELNET y servidores web.
- Suplantación de dirección IP : técnica de secuestro que permite al atacante hacerse pasar por un host confiable.
- Enrutamiento de origen : permite al remitente de un paquete especificar parcial o totalmente la ruta que se utilizará.
- Fragmentos diminutos : exitosos con firewalls cuando SÓLO VERIFICAN la información del encabezado TCP, lo que permite la fragmentación de la información en múltiples paquetes para ocultar la verdadera intención del ataque.
- Túnel ICMP : permite el túnel de un shell de puerta trasera a través de los paquetes de eco ICMP porque la RFC (792) no define claramente qué tipo de datos van en la parte de datos del marco, lo que permite que el tráfico de ataque se considere aceptable cuando se inserta. Si los firewalls no examinan la sección de carga útil del marco de datos, dejarían pasar los datos, lo que permitiría el ataque.
- Túnel ACK : uso del indicador ACK para engañar al firewall y que permita los paquetes, ya que muchos firewalls no verifican los paquetes ACK.
- Túnel HTTP : uso del tráfico HTTP para “ocultar” ataques.
- Túnel SSH : uso de SSH para cifrar y enviar tráfico de ataque.
- Ataques MitM : uso de manipulación de DNS y enrutamiento para eludir firewalls.
- Ataques XSS : permiten explotar vulnerabilidades relacionadas con el procesamiento de parámetros de entrada del usuario final y las respuestas del servidor en una aplicación web. El atacante inyecta código HTML/JS malicioso en el sitio web para forzar la evasión del firewall una vez ejecutado.
- Utilice IP en lugar de una URL: puede funcionar según la naturaleza del filtrado implementado
- Utilice servidores proxy/anonimizadores: pueden funcionar según la naturaleza del filtrado implementado
- El código 13 de ICMP tipo 3 mostrará que el firewall está bloqueando el tráfico
- El código 3 de ICMP tipo 3 le indica que el propio cliente tiene el puerto cerrado
- Herramientas
- shell ICMP
- 007 shell
- La mejor manera de evitar un firewall siempre será una máquina interna comprometida.
Técnicas de evasión
Cualquier sistema de una empresa tendrá algún sistema de detección de intrusos, de bloqueo o algún sistema de alertas que hará que si no tenemos cuidado nos descubran. Si esto pasa y estamos en un Red Team hemos fracasado en nuestro objetivo. Por fortuna, hay algunas técnicas de evasión y las más comunes son:
- Esconder los datos: podemos usar algún tipo de cifrado o ofuscar los datos para que no se distinga lo que estamos haciendo y no sea fácil para los sistemas de detección analizar lo que estamos haciendo y que mande alguna alerta. Por ejemplo, podemos usar URL encoding que remplaza los caracteres con valores hexadecimales del código ASCII.
- Alteraciones: los sistemas de detección suelen usar un sistema que analiza las firmas de nuestro malware. Esto puede ser un hash, por ejemplo. Muchos malware ya están registrados, por lo que si detectan un programa con el mismo hash que ellos tienen en la base de datos podemos ser descubiertos. Pero si nosotros alteramos el programa ese hash cambiará y no seremos detectados.
- Fragmentación: esta técnica se usa para evadir los mecanismos de seguridad de una red ya que cuando dividimos un paquete tiene que volver a montar todos los fragmentos para intentar leer el paquete y esto a veces no se hace ya que toma mucho tiempo y añadiría latencia a la red.
- Datos mal formados: hay veces que cuando no seguimos al pie de la letra un protocolo recibimos respuestas inesperadas y esto puede ser útil ya que hay veces que nos da cierta información que antes no teníamos.
- Ir lento: los scans rápidos suelen ser muy fáciles de detectar pero un scan lento es más difícil de detectar porque no genera tanto ruido en una red.
- Bomba de humo: si hay un sistema de alertas y generamos grandes cantidades de alertas no nos tendremos que preocupar ya que las personas que estén mirando todas esas alertas estarán perdiendo tiempo en ver lo que está pasando y no en lo realmente importante.
- Tunneling: podemos usar túnes SSH para sacar información de manera cifrada sin que un sistema nos detecte ya que no podrá ver qué datos se están sacando.
Funcionalidades Avanzadas de Nmap
- Escaneo de Red Completo
- Descripción: Nmap puede realizar un escaneo completo de la red para identificar no solo los dispositivos activos, sino también sus sistemas operativos, servicios, y posibles vulnerabilidades.
- Comando Ejemplo:
nmap -A 192.168.1.0/24
– Realiza un escaneo avanzado que incluye detección de servicios, sistema operativo, y script scanning en toda la subred.
- Escaneo de Puertos UDP
- Descripción: A diferencia del escaneo TCP, el escaneo UDP puede identificar servicios que utilizan el protocolo UDP, que a menudo son ignorados en auditorías de seguridad.
- Comando Ejemplo:
nmap -sU 192.168.1.1
– Escanea los puertos UDP en el host especificado.
- Escaneo de Scripts (NSE – Nmap Scripting Engine)
- Descripción: Nmap incluye un motor de scripting que permite ejecutar scripts para detección avanzada de vulnerabilidades, análisis de políticas de seguridad, y más.
- Comando Ejemplo:
nmap --script vuln 192.168.1.1
– Ejecuta scripts que buscan vulnerabilidades conocidas en el host especificado.
- Evasión de Cortafuegos
- Descripción: Nmap tiene capacidades avanzadas para evadir firewalls y sistemas de detección de intrusos (IDS), permitiendo que los escaneos pasen desapercibidos.
- Comando Ejemplo:
nmap -f -D RND:10 192.168.1.1
– Fragmenta los paquetes y utiliza decoys para evadir la detección durante el escaneo.
Interruptores útiles para evadir y sigiloso :
Conmutador Nmap | Información |
-v | Nivel verboso |
-sS | Escaneo TCP SYN |
-T | Plantilla de tiempo para realizar el escaneo |
-f | Utilice paquetes IP fragmentados |
-f –mtu | Utilice paquetes fragmentados y configure MTU |
-D | Dirección IP Señuelo: <decoy1,decoy2[,ME],…>: Ocultar un escaneo con señuelos |
-S | Falsificar la dirección IP de origen |
–send-eth | Asegura que usemos paquetes de nivel Ethernet, sin pasar por la capa IP y enviando tramas Ethernet sin procesar dentro del flujo. |
–data-length | Especificar la longitud de los datos/marco |
–source-port | Especifique un puerto aleatorio con el que desea comunicarse |
Ejemplo:
•Envía paquetes fragmentados IPv4 de 50 bytes; los paquetes son demasiado pequeños para enviar datos y detectarlos como una técnica de sondeo/exploración:
nmap -v -sS -f -mtu 32 –send-eth –data-length 50 –source-port 8965 -T5 192.168.0.22
⚠️ La fragmentación es el corazón de las técnicas de evasión de IDS/Firewall.⚠️
Para saber más debes leer…
El firewall de Windows 10 y 11
Si tienes Windows 10 instalado en tu equipo, tienes un sistema operativo que, por defecto, ya es realmente seguro. En su último lanzamiento, la compañía de Redmond se ha aplicado, y mucho, en esta materia. Si Windows Defender ha conseguido entrar en la lista de los mejores antivirus es por algo, y el firewall de Windows forma parte de esta ‘suite’ de seguridad del sistema operativo. De hecho, cuenta con un sistema automatizado para detección de amenazas, actualizaciones frecuentes y solicitudes de acceso a redes, entre otros.
Sus dos ventajas principales son, evidentemente, que es gratis y que viene preinstalado con el sistema operativo. Pero además habría que añadir a esto que su funcionamiento es tremendamente sencillo, automatizado prácticamente al completo, además de que la carga de recursos que supone para el sistema es apenas existente. Por lo tanto, a priori, la mayoría de los usuarios de equipo con sistema operativo Windows 10 no tienen necesidad de buscar una alternativa.
Mejores firewalls
Aunque el firewall que viene instalado con Windows 10 es una de las mejores opciones que vas a encontrar por los aspectos que hemos comentado, es decir, que es gratuito y su integración en el sistema optimiza el rendimiento y la eficacia de este, también puedes probar otras alternativas de terceros. Además, al igual que pasa con el firewall de Windows, prácticamente todas son gratuitas.
TinyWall
TinyWall debe su nombre a una de sus características principales, que es su peso de tan solo 1 MB. Pero esta no es la única ventaja de la que puede presumir, sino también el hecho de que está considerado uno de los mejores firewalls gratis que podemos encontrar para equipo con sistema operativo Windows. De una forma sencilla, con una interfaz intuitiva para usuarios que no tengan demasiados conocimientos en la materia, se pueden controlar los accesos a la red por parte del software instalado, las excepciones de programas y aplicaciones y el resto de las configuraciones típicas de un cortafuegos.
Pero efectivamente, al tratarse de un firewall en el que priman la sencillez y simplicidad, hay funciones y características que tenemos en otras alternativas y en TinyWall no. Por ejemplo, el sistema de notificaciones brilla por su ausencia, por lo tanto no vamos a tener tanta información como en el caso de Windows Defender. Por ejemplo, cuando por primera vez un programa, una aplicación o un videojuego quiera hacer uso de las funciones de red.
No obstante este pequeño programa cuenta con algunas características interesantes que vale la pena destacar. Para empezar su funcionamiento no nos va a causar ninguna intromisión en nuestro trabajo diario con el PC, ya que no dispone de ventanas emergentes, y funcionará en segundo plano sin que nos demos cuenta y sin apenas consumir recursos del sistema. Además, dispone de una gran cantidad de listas de bloqueo, reglas y muchas más funciones. Por otro lado comentar que no es necesario instalar ningún tipo de driver para que funcione. Y por si esto fuera poco, además de ser gratuito tal y como hemos comentado, no va a mostrar ningún tipo de anuncio, y no tiene limitaciones de uso.
DESCARGA TINYWALL PARA WINDOWS
ZoneAlarm Free Firewall
ZoneAlarm Free Firewall es compatible con sistemas Windows 7, Windows 8 y Windows 10 y, como todos los firewalls que recogemos en este artículo, es gratis. Este software se dedica a controlar la actividad de todos los programas instalados en nuestro equipo y alertarnos cuando se produzca algún tipo de comportamiento sospechoso; además, protege nuestra identidad y actividad frente a posibles hackers. Cuenta también con herramientas para protegernos cuando estemos haciendo uso de redes inseguras, algo especialmente útil si lo instalamos en un equipo portátil y usamos redes WiFi abiertas.
La herramienta que nos protege mientras navegamos por Internet es Web Secure, que al igual que todo el firewall tiene su edición gratuita con algunas limitaciones pero igualmente interesante. Su versión de pago dispone de unas cuantas características que merece la pena comentar por si nos decantamos por esta alternativa. Por ejemplo, contamos con Anti-Phising (registra todas las URL entrantes a nuestro sistema para comprobar que son seguras), que nos va a servir para proteger nuestra información de ataques cuando navegamos online.
También tenemos la descarga segura de documentos que analiza todos los archivos que nos descargamos de la red o de un correo electrónico. Esta herramienta está disponible también como extensión de Google Chrome en la tienda de extensiones del navegador, y utiliza diferentes características como la protección de día cero, la protección temprana de inicio (monitoriza los procesos del sistema operativo), o la protección de acceso avanzado, que nos va a servir para hacer frente a los ataques nuevos y avanzados como el acceso a datos brutos, de los que otros firewalls son incapaces de protegernos.
DESCARGA ZONEALARM FREE FIREWALL PARA WINDOWS
Sophos XG Firewall Home Edition
Más allá de los firewalls para el equipo, tenemos soluciones cortafuegos enfocadas a la protección de la red local. Sophos XF Firewall Home Edition es una de estas opciones y, en tanto que contiene su propio sistema operativo, se tiene que usar un equipo dedicado para su instalación. Es decir, que debemos contar con un PC en la red local en el que instalemos única y exclusivamente este software. Nos permite priorizar el tráfico de aplicaciones, monitorizar la actividad de nuestra familia en la web y protegerles de virus y spyware entr otras formas de malware, y recibir informes completos con todo lujo de detalles.
Además de esto, este avanzado firewall, que podemos conseguir gratis, también nos da la posibilidad de establecer horarios o cuotas de uso de la red. También es posible usar una VPN para el acceso remoto a la red doméstica desde cualquier parte y, por supuesto, cuenta con un avanzado sistema de detección de virus para evitar infecciones a través de sitios web, archivos adjuntos en correos electrónicos y descargas de archivos, entre otros.
DESCARGA SOPHOS XG FIREWALL HOME EDITION
Comodo Free Firewall
El cortafuegos de Comodo es otra gran opción, puesto que se trata de un firewall que podemos conseguir de forma totalmente gratis y que cuenta con un interesante conjunto de funciones. Cómo no podía ser de otra forma, Comodo Free Firewall permite controlar todo el tráfico entrante y saliente de nuestro equipo para verificar que sea legítimo y tratar de detectar cualquier tipo de conexión sospechosa.
Esta herramienta tiene una serie de características muy interesantes como servidores DNS personalizados o un bloqueador de anuncios entre otras muchas cosas. Además, la opción Análisis de calibración es realmente buena, ya que nos va a permitir desinfectar de manera rápida y efectiva para nuestro PC, si creemos que hemos sido infectados. Tiene una interfaz realmente sencilla de manejar, aunque tiene parte en las que la configuración puede hacerse un tanto complicada. Además, es capaz de ocultar los puertos de nuestro PC a los hackers y de bloquear cualquier software sospechoso. Ante cualquier actividad o conexión sospechosa, Comodo Free Firewall nos avisará inmediatamente.
Entre las funciones o características que incluye, cabe destacar que integra un navegador web seguro, un sistema de protección HIPS capaz de detectar cualquier actividad sospechosa, la función Memory Firewall que busca protegernos de cualquier ataque de desbordamiento de búfer, y hasta su propio sandbox.
DESCARGAR COMODO FREE FIREWALL
GlassWire
Es otro de los firewall o cortafuegos gratuito que podemos encontrar para proteger nuestro equipo. Cabe destacar que la interfaz y diseño de GlassWire poco tiene que ver con el de otros softwares de este tipo, ya que es bastante atractiva y moderna.
En ella vamos a poder ver toda la actividad de red de nuestro equipo, tanto el tráfico actual como el anterior, lo que facilita la detección de amenazas en nuestro equipo. Entre las características o funciones a destacar de GlassWire, hay que decir que el firewall es capaz de monitorizar la red y avisarnos de cualquier dispositivo desconocido que intente conectarse al nuestro, así como de cualquier cambio en nuestro PC o aplicaciones que esté relacionado con la actividad de Internet.
Además, el firewall nos muestra estadísticas detalladas del uso de la red organizada por direcciones IP, aplicaciones, tipo de tráfico, etc. Información muy útil que nos servirá de gran ayuda.
AVS Firewall
AVS Firewall es un cortafuegos gratuito que te lo puedes descargar e instalar desde la web del fabricante. Con este firewall protegerás tu equipo de ataques de intrusos. Además, te permite crear perfiles personalizados para controlar las conexiones internas y ajenas a tu red local a través de paneles de estadísticas individuales.
AVS te permite definir diferentes niveles de seguridad para proteger tu equipo del acceso de terceros a tu red, descarga de malware y otras aplicaciones intrusas que quieran acceder a tu equipo. Además de registrar todo tipo de actividad sospechosa hacia tu dispositivo, AVS también desactiva ese tipo de ataques y los bloquea. Otras herramientas de protección que pueden ser interesantes es el protector anti banners para evitar que se muestre publicidad con banners molestos o pop-ups o la activación de control parental.
Avast Antivirus
La herramienta desarrollada por Avast Software es una suite de seguridad que incluye diferentes aplicaciones o ediciones que están disponibles para Windows, Mac OS, Android y iOS. La versión gratuita ofrece un nivel de seguridad suficiente para el usuario básico. Esta versión incluye la detección y el bloqueo de virus, ransomware y otro tipo de acciones malignas, te protege de vulnerabilidades que pueda detectar en la red WiFi a la que te conectas y evita que los hackers cifren el contenido de las fotos y archivos personales.
La edición de pago Avast Premium Security tiene un precio de 49,99€ al año y añade funcionalidades a la versión gratuita como la protección de contraseñas en sitios web, prueba de aplicaciones nuevas en entorno seguro, eliminación definitiva de archivos personales y protección anti-espionaje a través de la webcam. Además, la versión de pago te ofrece soporte técnico 24 / 7 y todas las actualizaciones de la aplicación que vayan lanzándose a lo largo del año. Los que opten por la edición Avast Ultimate (79,99€) podrán disponer además de un gestor del espacio de almacenamiento del disco duro para eliminar archivos sospechosos, duplicados, etc. para optimizar el funcionamiento del disco, protección anti rastreo y VPN para navegar seguro por la red.
Otras alternativas
Aunque el firewall de Windows 10 es una de las mejores soluciones que tenemos a nuestro alcance, lo cierto es que la cantidad de alternativas disponibles para los usuarios es casi interminable. Al listado anterior se podrían sumar opciones Outpost Firewall o Privatefirewall, que son también soluciones que tenemos a nuestro alcance a coste cero y que tienen un excelente rendimiento en la protección del equipo y la red local. Cada una de estas alternativas al firewall propio de Windows, evidentemente, tiene sus particularidades. Coinciden en que son todo programas gratis, pero algunos de ellos están enfocados a usuarios particulares sin conocimientos en seguridad de redes, mientras que otros ofrecen opciones más avanzadas y, evidentemente, configuraciones algo más complicadas.
Netdefender es otra herramienta muy interesante sobre todo porque es gratuita. La interfaz es muy sencilla de manejar con un diseño que o es que sea lo más moderno que hemos visto, pero si bastante funcional. Tiene todas las funciones básicas de un firewall, sin muchas opciones extras, pero, como decimos, tiene lo suficiente como puede ser escáner del disco, de puertos, protección contra falsificaciones, bloqueo del tráfico y alguna que otra más. al ser una aplicación de código abierto, tenemos mejoras casi continuadas, pero también errores provocados por versiones que no están de todo fluidas. Por eso debemos estar bien atento a la versión que instalamos, pero en líneas generales este todo el funcionamiento es más que correcto y es una excelente alternativa para no gastar dinero.
Resumen
En este capítulo, analizamos los distintos mecanismos empleados para el control de acceso a la red. El enfoque de la seguridad de la red a través del control de acceso es técnicamente diferente a la implementación de controles de seguridad en diferentes capas de la red, como se analizó en los capítulos anteriores de este tutorial. Sin embargo, aunque los enfoques de implementación son diferentes, son complementarios entre sí.
El control de acceso a la red consta de dos componentes principales: autenticación de usuarios y protección de límites de red. RADIUS es un mecanismo popular para proporcionar autenticación central en la red.
El firewall proporciona protección de los límites de la red al separar una red interna de la Internet pública. El firewall puede funcionar en diferentes capas del protocolo de red. IDS/IPS permite monitorear las anomalías en el tráfico de la red para detectar ataques y tomar medidas preventivas contra ellos.