MODULO 4: Proyecto Final
Alumnos: Francisco Rodríguez
Oswaldo Morales
Mario Andrés García
Análisis comparativo de soluciones de mecanismos o controles de seguridad.
Firewalls Personales
I. Introducción
Hablar de seguridad en Internet se hace cada vez más necesario debido básicamente a los tres aspectos siguientes:
1. Alrededor de Internet están surgiendo cada vez nuevos riesgos, formas de ataque y herramientas de seguridad.
2. Si se amplía el horizonte al hacer referencia a la seguridad informática en general, podremos ver que existen alternativas en esta materia.
3. Como el Internet está de moda, las empresas y organizaciones están convencidas en invertir en la conexión.
En una red pública o privada la seguridad debe ser un aspecto que los dueños o los que aportan el capital deben considerar. Sin embargo, en muchos casos lo ven como un gasto innecesario.
En nuestro caso hemos podido constatar al momento de presentar una propuesta y el presupuesto para la instalación de una red de cómputo, cómo la inversión destinada a la seguridad se deja para después -para cuando haya dinero-. Pero increíblemente existen casos en los que ni siquiera la toman en cuenta. Desde nuestro punto de vista gran parte de esto se debe a la falta de una cultura informática.
En el presente trabajo nos enfocaremos a analizar algunos firewalls personales, mencionaremos sus pros y contras y haremos una conclusión del análisis.
II. Antecedentes
Los intentos por acceder a los equipos computacionales o a la información "sin restricciones" se remonta a inicios de los año s 60's , cuando algunos integrantes del Tech Model Railroad Club (TMRC) concluyeron el primer curso de programación impartido en el Massachusetts Institute of Techonoly (MTI). Cuando por las características físicas y técnicas de las computadoras no permitían que estas fueran utilizadas directamente por el usuario final. Los programas eran entregados en tarjetas a los operadores de los equipos, quienes se encargaban de introducirlos y devolver los resultados posteriormente.
Cuando llegó la TX-0 (una computadora revolucionaria para su época) al MIT, el grupo de egresados del primer curso tuvo la suerte de que Jack Dennis, un antiguo miembro del TMRC y a la postre profesor, les diera acceso prácticamente ilimitado a esa máquina. Esta computadora tenía la ventaja de contar con un teclado para introducir los programas y ver más rápidamente los resultados obtenidos. Con esto, los alumnos comenzaron a descubrir las "maravillas" que se podían hacer.
Según algunos autores, la aportación más importante de esos jóvenes consiste en el pensamiento de lo que se puede hacer con las computadoras y sobre todo la idea de que la información almacenada en ellas debe ser libre.
A medida que se fue popularizando el uso de las computadoras, se les comenzó utilizar en diversas actividades. No solo se usaban en instituciones educativas, sino se les comenzó a introducir en el apoyo de otras áreas. Pero justamente la necesidad de intercambiar información en el ámbito educativo, fue la que propició el nacimiento de la comunicación entre computadoras de características diversas.
Sin entrar en más detalles, diremos que esta interconectividad dio origen a lo que hoy se conoce como Internet.
Sin embargo, el avance vertiginoso de la tecnología, las formas de realizar el intercambio de información y ahora con la tan llevada y traída globalización, se ha desatado una guerra entre los hackers y los expertos en seguridad. Esto se debe en gran medida a la diversidad de datos que viajan en la red, los cuales han sido motivo de "tentaciones" para estos personajes.
Se han desarrollado diversos sistemas o esquemas de seguridad para tratar de tapar los agujeros existentes tanto en las computadoras como en los equipos de comunicaciones. En el siguiente apartado hablaremos de los firewalls.
III. Desarrollo
El hecho de disponer de una conexión a Internet puede ser causa de múltiples ataques a una computadora desde el exterior. Cuanto más tiempo dure la conexión mayor es la probabilidad de que la seguridad se vea comprometida por un atacante desconocido.
Para disminuir este riesgo debemos hacer uso de un firewall. A continuación daremos una breve descripción de lo que es y cómo funciona.
Un firewall es un mecanismo de filtrado que aisla una "zona segura", tratando de identificar los puntos de acceso vulnerables en el "perímetro" y de concentrar en ellos la política de seguridad en tránsito que se desee. En el caso más típico, el firewall aisla una red privada del entorno constituido por la red externa pública; pero el modelo sirve también para aislar dos redes privadas entre sí cuando las características de seguridad de ambas difieren notablemente.
El firewall impone una política de acceso desde/hacia la red exterior, lo que parece poder relajar la política interna de seguridad de la red protegida (se deja circular dentro con más libertad). Pero el firewall no influye en la política de seguridad interna y no reduce los riesgos de ataques internamente y dirigidos a los equipos internos.
La verdadera potencia de un firewall reside en que al analizar cada paquete que fluye, puede decidir si lo deja pasar en un sentido o en otro, y puede decidir si las peticiones de conexión a determinados puertos deben responderse o no.
La política de acceso que soportaría un firewall es incluso la única posible en ciertos casos:
· En entornos donde la implantación de controles de acceso estrictos no es viable en todos y cada uno de los equipos; o donde la información transita "en claro" por segmentos comunes.
· En redes complejas cuya cantidad de equipos desborde la capacidad de administrar la seguridad por su responsable; éste solo podrá imponer, mantener y monitorear una política de seguridad con solvencia centralizando su función en un solo punto y en forma de firewall.
Un firewall proporciona diversos tipos de protección:
· Registra el tráfico que sale o llega a la red privada.
· Bloquea el tráfico no deseado.
· Dirige el tráfico entrante a sistemas internos preparados para tal fin, más confiables.
· Oculta idenificadores (topología y dispositivos de red, sistemas y usuarios internos de Internet).
· Oculta sistemas vulnerables que no pueden hacerse fácilmente seguros de Internet.
· Proporciona una autentificación más robusta que la de aplicaciones estándar.
· Detectar patrones de ataque e identificar de dónde provienen.
· Evitar que una computadora pueda ser un punto de entrada a una red privada virtual en el caso de utilizarla como acceso remoto a la red de una empresa.
· Al probar nuevas aplicaciones podremos averiguar cuáles son exactamente los puertos de comunicaciones que necesitan usar.
De hecho se están convirtiendo en algo tan indispensable, dada la proliferación de conexiones permanentes a Internet, se rumora que el próximo sistema operativo de Microsoft, conocido como Whistler, traerá incorporado un firewall.
Pero conviene también aclarar otras protecciones que NO proporcionan los firewalls:
· No protegen contra amenazas "inteligentes" intencionales internas (en el dominio de la intranet).
· No protegen contra amenazas derivadas de conexiones con el exterior que no pasan por él.
· No protegen contra virus ni amenazas no catalogadas.
Para protegernos de estas amenazas tendremos que combinar el firewall con otros mecanismos de seguridad.
Son varios los tipos de ataques que puede sufrir una red o computadora, a continuación se describen algunos de ellos:
|
Ataque |
Descripción |
| DoS | Deny of Service. Tiene por objeto inutilizar momentáneamente la computadora atacada, de manera que deje de responder o se tenga que recurrir a una inicialización. |
| Caballo de Troya | Se trata de programas que suelen regalar o llegar por correo electrónico como si fueran juegos o bromas. En realidad permiten a un atacante externo tomar el control del sistema, transferir archivos e incluso enviar mensajes desconcertantes, entre otros. Los más conocidos son tal vez el Back Oriffice, NetBus y el Hack'a'Tack, aunque han surgido otros. |
| Barrido de Puertos | Trata de identificar qué puertos de TCP y UDP están abiertos en una computadora para poder aprovechar ciertos servicios que dependen de ellos para entrar en el sistema. |
| Detección de Proxies | Muchos atacantes buscan proxies que pueden estar instalados "delante" de una computadora. Un proxy sirve, básicamente para compartir una conexión a Internet entre varias computadoras. El atacante desea encontrar proxies mal configurados o de mala calidad, pero no para comprometer la seguridad de los equipos a los que este monitorea, sino para convertir sus ataques en anónimos. |
| Ataques Smurf/Fraggle | Es una técnica de ataque masivo a servidores utilizando para ello a víctimas inocentes que no están bien protegidas. Concretamente el ataque se basa en envío de paquetes de difusión a computadoras de una subred que llegan a todas las computadoras. Estos ataques llevan falseada la dirección de origen, apuntando en realidad a un servidor que se desea atacar (técnica conocida como spoofing). Todas las computadoras de la subred responden a los paquetes falsos dirigiéndolos a su víctima, la cual se ve sobrecargada instantáneamente por e enorme efecto multiplicador debido a la difusión. |
A continuación se mencionarán algunos puertos utilizados por troyanos:
|
Puerto que Utiliza |
Nombre del Troyano |
|
555 |
PhAse zero |
|
1,243 |
Sub-7, SubSeven |
|
3,129 |
Masters Paradise |
|
6,670 |
DepThroat |
|
6,711 |
Sub-7, SubSeven |
|
6,969 |
GateCrasher |
|
21,544 |
GirlFriend |
|
12,345 |
NetBus |
|
23,456 |
Evilftp |
|
27,374 |
Sub-7, SubSeven |
|
30,100 |
NetSphere |
|
31,789 |
Hack'a'Tack |
|
31,337 |
BackOriffice y otros |
|
50,505 |
Sockets de Troie |
En este caso nos enfocaremos a las redes personales o conexiones permanentes domésticas, lo habitual es que la computadora esté conectada directamente a Intenet, de ahí la necesidad de un firewall por software.
Los firewalls personales que se van a analizar no son tan complejos como otras soluciones profesionales mucho más caras y pensadas para empresas, pero en general cumplen bien con su cometido y son suficientes para la seguridad de una computadora conectada a Internet o una red doméstica.
A continuación procederemos a analizar los seis firewalls más destacables dentro del mercado para Microsoft Windows.
|
Firewall |
Ventajas |
Desventajas |
|
eSafe Personal Firewall 2.2, creada por la casa Aladdin. |
· Es una aplicación gratuita. · Soporta varios idiomas, aunque su traducción no es de lo mejor. · Funciona sobre cualquier versión de Windows, incluidos el Windows 2000 y Me. · Incluye protección de la intimidad ofreciendo filtrado de las palabras y frases que se enviarán desde la computadora, verifica que no se envíen datos personales y controla las cookies, entre otros. · La tecnología Sandbox II permite ejecutar las aplicaciones dentro de los que denomina un "patio de juegos", en él se interceptan todas las acciones de los programas ejecutables y analiza si tiene permiso o no para llevarse a cabo. En las pruebas realizadas es el único que protegió a los sistemas del Netbus. · Dispone de una administración de usuarios bastante completa sobre lo que cada uno puede hacer en el sistema. Esto junto con el SandBox constituyen la característica de protección más importante. |
· Su tamaño es de 10 Mb, es el más grande de todos los analizados. Hay que hacer otra descarga manuald e casi 3 Mb. · La interfaz es atractiva pero engañosa en cuanto a su facilidad de uso. · La protección de filtrado de comunicaciones por defautl es pobre. Cuesta un poco de trabajo configurarlo para alcanzar una protección óptima por lo que no se recomienda para usuarios novatos. |
|
McAfeeFirewall 2.14 |
· Posee dos enfoques al control de tráfico de una computadora: controlar el tráfico del sistema o controlar el de las aplicaciones. · El control de tráfico de aplicaciones mantiene una lista de las confiables. · Las reglas de filtrado son muy flexibles. Permiten no sólo definir cómo se filtra el tráfico sino también en cuáles ocasiones. · Es posible definir reglas para cada dispositivo, para cada servicio, para cada recurso compartido e incluso para cada número telefónico al que se llame para establecer una conexión. · En protección contra troyanos, por ejemplo al ejecutar el NetBus muestra un mensaje: Allow NBSVR.exe to communicate?. Aunque se conteste afirmativamente, con la configuración por default no permite que éste se comunique con el exterior. |
· La configuración por default es bastante restrictiva (no permite realizar un ping contra la computadora, e incluso impide acceder a recursos compartidos de la red local) y puede entrar en conflicto con aplicaciones que no usen puertos estándares. Sin embargo, basta con añadirlas a la lista de confianza para que todo funcione correctamente (esto solo lo hará un usuario experto). · No permite definir reglas de filtrado para puertos TCP/UDP específicos. · La interfaz es bastante intuitiva, pero el programa requiere conocimientos avanzados si queremos sacarle provecho. · El producto es un excelente firewall, pero para lograr la máxima flexibilidad se requiere de una configuración cuidadosa. · No dispone de todas sus características cuando se ejecuta bajo Windows 2000. · Solo está disponible en Inglés. |
|
Norton Personal Firewall 2001 |
· Cuenta con dos módulos independientes, aunque se administran desde un mismo lugar. Uno se trata de un firewall personal y el otro es de privacidad. Ambos tienen tres niveles de configuración automática (baja, media y alta), además se permite definir niveles personalizados. · En los ajustes básicos permite definir el bloqueo del uso de Applets de Java y controles ActiveX. · Permite bloquear los puertos que no sean usados por ningún servicio. · Desde las opciones avanzadas permite definir todo tipo de reglas de filtrado. Existen multitud de filtros por default que protegen de ataques conocidos. · Contiene reglas para infinidad de troyanos conocidos. · En lugar de mostrar avisos continuamente cuando alguien intenta entrar a la computadora, se limita a guardar los registros en el Log para su posterior consulta y cambia el icono del área de notificación, poniendo un signo de admiración para advertir de ello. Sin interrumpir el trabajo del usuario. · Los registros de los sucesos son detallados ampliamente, siendo probablemente los de mejor calidad en la comparativa. |
· Al instalarlo en equipos portátiles, deshabilita las funciones de hibernación. · Este programa no es gratuito. |
|
Sygate Personal Firewall 4.0 |
· Se puede descargar de manera gratuita.· Proporciona 5 niveles de seguridad predeterminados que van desde desactivado hasta Ultra-seguro, con niveles intermedios. · Permite enviar notificaciones por correo electrónico cuando se produce cualquier circunstancia sospehosa de peligro. · Si se desea, se permite especificar direcciones IP concretas (o rango de ellas) en la que se debe confiar siempre, independientemente del tráfico que generan hacia el equipo. · Permite especificar que se bloquee absolutamente el tráfico a determinadas horas, lo cual es útil, por ejemplo, si dejamos encendido el equipo toda la noche sin preocuparnos que alguien pueda entrar en él. · El troyano NetBus pierde toda su efectividad en todos los niveles de seguridad, inclusive en el más bajo. · Funciona adecuadamente en todas las versiones de Windows, incluido Windows 2000 y Windows Me. |
· Si se dedica tiempo a leer la documentación del programa se puede conseguir una protección bastante elevada, pero de entrada los ajustes no son los más recomendables. · Aunque esté configurado en el nivel más alto permite hacer pings a la computadora, así como barrido de puertos, no quedando constancia de éstos en el Log del programa, que por otra parte es bastante escueto. · La ventana de configuración permite un ajuste bastante fino de la seguridad, aunque esto solo es posible para usuarios expertos. · Al especificar cuáles aplicaciones y protocolos serán admitidos por el firewall se deben manejar siempre con números, no por nombre, lo que hace más difícil la configuración para usuarios no expertos. · No dispone de un icono en el área de notificación, solo se muestra cuando está abierta la ventana de configuración. De esta forma, nunca se está seguro de si la protección está activa o no. · No permite especificar ajustes diferentes para cada adaptador de red existente en el sistema, de forma que cualquier ajuste que se efectúe en la seguridad se aplicará tanto para la red local como para la conexión a Internet. · Tiene algunos problemas de configuración con ciertos puertos. Por ejemplo, cuando está configurado en el nivel de seguridad más alto no permite la comunicación a través del puerto 110, correspondiente a la recepción del correo electrónico (POP3), aunque se le indique explícitamente. · De manera automática, cuando un programa intenta comunicarse al exterior es colocado en la lista de programas en los que no se confía, pero sin un aviso previo. Debido a esto, la primera vez que lo intentamos usar, el Internet Explorer no permite comunicarse con el exterior. |
|
Tiny Personal Firewall 2.0.5 |
· Se puede bajar gratuitamente de Internet. · Es tal vez uno de los más sencillos de usar y su calidad está avalada por estar basado en la tecnología del producto WinRoute Pro. · Funciona sin problemas en todas las versiones de Windows (95, 98, 98SE, Me, NT y 2000). · En lo referente a ataques externos, ofrece una alta protección. Un simple ping efectuado desde fuera lanza la alarma del sistema y pregunta si deseamos aceptarlo o no. · El nivel de seguridad se puede modificar de manera sencilla a través del uso de una guía incorporada, lo que ayuda en gran medida a los usuario novatos. · Ofrece una vigilancia proactiva. Dispone de un asistente muy fácil de usar que detecta actividades sospechosas en las comunicaciones y pregunta cómo debemos actuar ante ellas. Si se escoge la opción de crear una regla de trabajo con carácter general, no volverá a preguntar cuando se den condiciones o ataques similares. · Ante un ataque masivo usando herramientas de ataque típicas como nmap, Tiny se comporta perfectamente, avisa ante todos los intentos de aceso no deseado y rechaza los intentos de conexión de todo tipo. · Mantiene una lista de los programas en los que se puede confiar. Si se crea una regla para permitir que un determinado programa pueda comunicarse con el exterior, es posible utilizar el algoritmo de hash MD5 para asegurar la autenticidad de dicho programa y que un troyano no va a intentar hacerse pasar por él. Esta característica es destacable. · Ofrece estadísticas de texto detalladas sobre la actividad de comunicaciones realizada desde que se inicia un sistema. Incluye datos sobre tráfico TCP, UDP y sobre la actividad del propio firewall. · Es posible definir rangos de direcciones IP en las que se debe confiar, asignar caducidades a las reglas de filtrado, la ejecución bajo demanda o como servicio y la administración remota. · Ocupa muy poco en el disco duro y en memoria, sin que su presencia interfiera en el rendimiento del equipo. |
· Su mayor desventaja consiste en que si no se utiliza un cierto tiempo, los mensajes que revelan la existencia de conexiones no autorizadas pueden llegar a hacerse muy pesados, apareciendo muy frecuentemente. |
|
ZoneAlarm 2.1.44 |
· Se puede bajar gratuitamente de Internet. · Se trata posiblemente del programa más efectivo de esta comparativa. Aunque no permite tanto control sobre él como otros programas, es de lo más eficaz al momento de proteger las conexiones. · Ante cualquier ataque o intento de conexión se nos informa inmediatamente y se nos pregunta si queremos permitir el acceso, guardando un registro de lo acontecido, aunque no es demasiado detallado. · Su interfaz es tal vez la más sencilla de todas. Para administrar la seguridad de los adaptadores sólo se permite establecer uno de los niveles de seguridad (bajo, medio o alto), aunque son siempre muy efectivos. · Cuando se trata de ejecutar un programa que intenta enviar información fuera del sistema, salta una alarma automática preguntándonos qué se debe hacer. · Permite una configuración diferente para Internet y para la red local, lo cual otorga más comodidad al la hora de acceder a recursos internos, algo que en otros programas es problemático. · Cuenta con un botón de bloqueo de la red que es muy útil para evitar cualquier tipo de comunicación si por cualquier motivo no se está seguro de lo que está pasando. |
· Las reglas de trabajo se crean sobre la marcha, pero luego no permite la misma flexibilidad si se desean modificar. · Se pueden añadir servidores o rangos de direcciones IP a la lista de sitios de confianza, pero no se permite especificar los servicios o puertos en los que se confía. Se habilitan todos. · Si un usuario novato no sabe qué responder ante una pregunta sobre permitir una salida de información, podría no entender bien las implicaciones de permitirlo y comprometer la seguridad. · La aparición de mensajes puede llegar a ser muy desesperante hasta que haya las suficientes reglas establecidas. · Le falta algo de control para usuarios avanzados y unas cuantas explicaciones de bloqueos automáticos. · Tiene un pequeño problema con el Service Pack 1 para Windows 2000 que le impide trabajar a pleno rendimiento en este sistema, pero la versión Pro arregla todos esos detalles. |
IV. Conclusiones
Del análisis anterior podemos decir que los productos más confiables son el ZoneAlarm y el Norton Personal Firewall.
Por otra parte, no nos queda otra que tener más cuidado con la información de nuestras computadoras o en las computadoras de personas que en ocasiones nos han contratado para diseñarles una red.
En nuestra opinión debemos insistir ante los usuarios finales que la inversión para adquirir programas firewalls no es un gasto innecesario, sino un seguro de protección para la información. Algunos clientes ponen peros hasta para adquirir un software antivirus de calidad, sin embargo, se les debe "educar" en este sentido.
Debemos convencerlos de que no basta un solo producto para brindar protección total a los equipos y su información, sino que se deben utilizar programas complementarios que minimicen la posibilidad de un ataque o una violación a la confidencialidad de la información.
Otro punto que deseamos resaltar consiste en que este tipo de análisis nos ha permitido a los que sabíamos de firewalls solo "de oídas" conocer lo importante que son. Aunque algunos autores los cataloguen como productos paranoicos, consideramos que no está de más contar con protección en niveles altos.
Existen ciertos críticos que resaltan el decaimiento del rendimiento de un equipo por el hecho de estar analizando con firewall todo lo que entra y sale de ellos, sin embargo, la propia experiencia permitirá realizar las configuraciones adecuadas para disminuir estos llamados "cuellos de botella". Es mejor invertir un tiempo en su conocimiento, que estar lamentándose por no haber hecho uso de ellos en su momento.
V. Referencias
Hackers Los piratas del Chip y de Internet. Claudio Hernández
Firewalls Los cortafuegos. Softdownload Argentina (www.softdownload.com.ar)
Firewalls. http://internet.fiestras.com
Seguridad en Internet. Ulises Castillo. Revista Red (www.red.com.mx)
Cortesía de:
Mario Andrés García.
Investigador Independiente