Seguridad Perimetral: Cortafuegos

Questions and Answers

¿Cuál de las siguientes opciones describe mejor el propósito principal de un cortafuegos?

• Acelerar el tráfico de red interno.
• Optimizar la configuración del hardware de red.
• Prevenir el acceso no autorizado a redes locales. (correct)
• Reducir el consumo de ancho de banda.

¿Qué riesgo principal se asocia con mantener abiertos servicios como HTTP o DNS desde el exterior de una red?

• Aumento del tráfico de red interno.
• Mayor consumo de energía de los servidores.
• Incompatibilidad con ciertos sistemas operativos.
• Constituye una grave amenaza de seguridad. (correct)

¿Cuál es una limitación principal de los cortafuegos en relación con los ataques?

• No pueden proteger contra ataques que no pasan a través del cortafuegos. (correct)
• Requieren actualizaciones de seguridad constantes.
• Son ineficaces contra el malware moderno.
• No pueden proteger contra ataques que se originan fuera de la red.

¿Qué tipo de amenaza interna puede eludir la protección de un cortafuegos?

Un empleado que proporciona acceso autorizado a un atacante. (B)

¿Qué tipo de cortafuegos filtra los paquetes basándose en los campos de la cabecera de red (IP) y transporte (TCP, UDP)?

Cortafuegos de filtrado de paquetes. (B)

¿Qué caracteriza a una pasarela a nivel de aplicación?

Actúa como intermediario (proxy) en todas las transacciones, filtrando datos a nivel de aplicación. (B)

¿Cuál es una desventaja de las pasarelas a nivel de aplicación en entornos de alta demanda?

Pueden sobrecargar el sistema debido al procesamiento extra por conexión. (D)

¿Qué distingue a una pasarela a nivel de circuito de una a nivel de aplicación?

Redirige las tramas sin analizar el contenido a nivel de aplicación. (B)

¿Cuál es la principal ventaja de las pasarelas a nivel de circuito en comparación con las de aplicación?

Menor carga en el sistema al no examinar el contenido de los paquetes. (A)

¿Qué funcionalidad adicional incluyen los cortafuegos de nueva generación (NGFW) en comparación con los tradicionales?

Análisis inteligente de amenazas a nivel de aplicación. (B)

¿Qué concepto fundamental cobra especial relevancia al analizar los NGFW?

Defensa en profundidad. (D)

¿Cuál es el componente principal para procesar paquetes de red en el núcleo de Linux?

Netfilter. (B)

¿Qué tipo de cortafuegos es iptables?

Cortafuegos de estado. (D)

¿Cuáles son los tres componentes básicos en el funcionamiento de iptables?

Tablas, cadenas y reglas. (C)

En iptables, ¿qué función cumplen las tablas?

Agrupar la funcionalidad del cortafuegos, como filtrado o NAT. (B)

¿Cuál es la tabla por defecto en iptables y la más utilizada para tomar decisiones sobre aceptar o descartar paquetes?

filter. (D)

¿Cuál es el propósito de la tabla 'nat' en iptables?

Implementar la funcionalidad de Network Address Translation (NAT). (A)

¿En qué momento afectan las reglas añadidas a la cadena PREROUTING en iptables?

En el momento en que los paquetes llegan a la interfaz de red. (D)

¿Qué acción realiza iptables cuando se configura como DROP?

Descarta el paquete sin notificar a los extremos de la comunicación. (B)

¿Qué indica el comando iptables -L?

Lista las reglas existentes. (B)

Un cortafuegos se define habitualmente como un sistema confiable y seguro situado entre dos redes, ¿cuál es su rol principal en esta configuración?

Prevenir accesos no autorizados a una red local. (A)

¿Qué tipo de cortafuegos se sitúa en un 'host' concreto filtrando solo el tráfico de ese equipo?

Cortafuegos de host. (A)

¿Cuál de las siguientes funcionalidades es implementada por un cortafuegos como parte de su política de seguridad?

Definir los servicios y accesos permitidos en la configuración de red. (A)

¿Cuál es el objetivo de un cortafuegos en cuanto a usuarios no autorizados?

Mantenerlos fuera de la red protegida. (B)

¿Además de la seguridad, qué otra función puede realizar un cortafuegos?

Actuar como plataforma para la traducción de direcciones de red (NAT). (B)

¿Qué tipo de tráfico no es controlado por un cortafuegos?

Tráfico lateral entre equipos dentro de la red interna sin pasar por el cortafuegos. (A)

¿Cómo pueden los dispositivos portátiles (tabletas, móviles, portátiles) ser una amenaza para la seguridad perimetral?

Pueden ser comprometidos fuera de la organización y luego conectados a la red interna. (C)

Además del protocolo IP, ¿qué otro protocolo es analizado por los cortafuegos de filtrado de paquetes?

TCP. (B)

¿Cuál es la principal función de una pasarela a nivel de aplicación?

Actuar como un proxy para los usuarios. (D)

¿Cuál es una de las principales diferencias entre una pasarela a nivel de aplicación y una de circuito?

Si llevan a cabo o no el filtrado a nivel de aplicación. (C)

¿Cuál de los siguientes elementos NO forma parte de las funcionalidades de un NGFW?

Sustitución de hardware. (D)

¿Cuándo se aplica el concepto de defensa en profundidad?

Cuando se aplican mecanismos de defensa en múltiples niveles. (C)

En iptables, ¿cuál es la función de las cadenas?

Contener una o varias reglas para evaluar los paquetes que llegan, salen o pasan por el cortafuegos. (A)

¿Qué indica la opción -A en iptables?

Añadir una nueva regla a la cadena especificada. (A)

¿Cuál es el propósito de especificar una política restrictiva en un cortafuegos?

Descartar todo el tráfico a menos que esté explícitamente permitido. (A)

¿Qué facilita mas a los usuarios, una política restrictiva o una permisiva?

Permisiva. (B)

¿Cómo actuan las pasarelas proxy?

Actúa de intermediario. (C)

¿Qué función tienen los NGFW?

Realizan todas las tareas anteriores. (B)

¿Qué tarea realiza el comando iptables -F [cadena]?

Borra todas las reglas de una cadena. (D)

Flashcards

¿Qué es un cortafuegos?

Detecta y previene accesos no autorizados a una red local.

¿Funciones de un cortafuegos?

Mantiene usuarios no autorizados fuera, protege servicios vulnerables y defiende de ataques.

¿Limitaciones de un cortafuegos?

No protege contra ataques internos ni los que no lo atraviesan.

¿Cómo se clasifican los cortafuegos?

Se basa en los niveles de la pila TCP/IP en los que operan.

Cortafuegos de filtrado de paquetes

Filtran paquetes según cabeceras IP/TCP/UDP, ignorando datos.

Pasarelas a nivel de aplicación

Actúan como intermediarios (proxy), filtrando datos a nivel de aplicación.

Pasarelas a nivel de circuito

Actúan como intermediarios, redirigiendo tramas sin analizar contenido.

Valores de direcciones IP y protocolo

Control de acceso basado en origen/destino, flujo y nivel transporte.

Protocolo de applicación

Control basado en datos de la capa de aplicación.

Identidad de usuario

Control basado en la identidad del usuario.

Actividad de red

Control basado en parámetros de red, como hora o tasa de solicitudes.

¿Qué hacen los cortafuegos de filtrado de paquetes?

Descartar o aceptar paquetes según reglas definidas por el administrador.

¿Política restrictiva?

Todo el tráfico no permitido explícitamente se descarta.

¿Política permisiva?

Todo el tráfico no prohibido explícitamente se acepta.

¿Qué es una pasarela a nivel de aplicación?

Actúa como intermediario (proxy) en todas las transacciones.

¿Qué es un NGFW?

Cortafuegos de próxima generación con funcionalidades añadidas.

¿Qué funcionalidades incluye un NGFW?

Inspección profunda de paquetes, análisis inteligente de amenazas y prevención de intrusiones.

¿Qué es la defensa en profundidad?

Concepto de defensa en múltiples niveles para mitigar ataques.

¿Qué es Netfilter?

Módulo de Linux para procesar paquetes de red.

¿Qué es iptables?

Cortafuegos de estado que usa Netfilter.

¿Componentes de iptables?

Tablas, cadenas y reglas.

¿Qué son las tablas en iptables?

Nivel más alto, define la funcionalidad del cortafuegos.

¿Qué son las cadenas en iptables?

Contienen reglas que evalúan los paquetes.

¿Qué son las reglas en iptables?

Condiciones que el paquete debe cumplir y acciones a realizar.

¿Cuáles son las tablas principales en iptables?

filter, nat, mangle y raw.

¿Cuáles son las cadenas por defecto en iptables?

PREROUTING, INPUT, FORWARD, OUTPUT y POSTROUTING.

¿Qué significa ACCEPT en iptables?

Permite que el paquete continúe su flujo normal.

¿Qué significa DROP en iptables?

Descarta el paquete sin notificar.

¿Qué significa LOG en iptables?

Envía información del paquete al syslog.

¿Qué significa REJECT en iptables?

Descarta el paquete y notifica el rechazo.

Study Notes

Seguridad Perimetral: Tema 2

• El tema se centra en la seguridad perimetral, específicamente en cortafuegos y su utilidad para crear redes seguras.

Introducción y objetivos

• Es casi imposible encontrar un equipo que no tenga acceso a una red debido a la expansión de Internet.
• Esta conexión conlleva un alto riesgo de exposición del equipo y la red, permitiendo el acceso e interacción del mundo exterior.
• Para prevenir accesos no autorizados a redes locales, es crucial el uso de cortafuegos, los cuales se sitúan entre Internet y la red local.
• Los cortafuegos filtran el tráfico que proviene del exterior hacia la red interna y viceversa.
• El objetivo principal, es introducir el concepto de cortafuegos, así como los diferentes métodos para el filtrado de paquetes TCP/IP.

Cortafuegos y sus funcionalidades

• Un cortafuegos es un sistema confiable y seguro ubicado entre dos redes para controlar el tráfico que intercambian, actuando como prevención de accesos no autorizados a la red local.
• Los cortafuegos de host, se ubican en un host concreto y filtran el tráfico entrante o saliente de ese único host.
• La implementación de una política de seguridad define los servicios y accesos permitidos, manteniendo a los usuarios no autorizados fuera de la red protegida.
• Prohíbe servicios vulnerables que entren o salgan y proteger contra ataques de suplantación de IP.
• Facilita la ocultación tanto de sistemas como de información vulnerable, y proporciona una ubicación privilegiada para monitorizar eventos relacionados con la seguridad.
• Sirven como plataforma para funciones de red no relacionadas con la seguridad, como NAT o gestión de red.
• Se pueden producir casos de ataques laterales que se comunican entre equipos de la red interna, así como, el uso redes externas a la red de comunicación que se encuentra el cortafuegos.

Tipos de cortafuegos

• La clasificación más común de los cortafuegos se basa en los niveles de la pila TCP/IP donde operan y en la complejidad de su filtrado.
• Los cortafuegos de filtrado de paquetes filtran los paquetes según los campos de la cabecera de red (IP) y transporte (TCP, UDP), ignorando el resto.

Pasarelas y directrices de cortafuegos

• Los cortafuegos de filtrado de paquetes avanzados incorporan una tabla de estado para el seguimiento de conexiones y características especiales de protocolos.
• Las pasarelas a nivel de aplicación actúan como intermediarios (proxy) en transacciones, filtrando datos según la política de seguridad definida.
• La operación de las pasarelas a nivel de circuito es la de actuar como intermediarios (proxy), redirigiendo tramas una vez establecida una conexión, sin filtrar a nivel de aplicación.
• Las políticas de acceso proponen el control de direcciones IP y protocolo, el flujo de la comunicación y características a nivel de transporte o red.
• Este filtrado es común en cortafuegos de filtrado de paquetes y de estado, limitando el acceso a servicios específicos.
• El control de acceso se basa en datos de la capa de aplicación, monitorizando el intercambio de información de protocolos como SMTP o HTTP.
• La identidad de usuario, requiere un mecanismo que autentique al usuario, por ejemplo, IPSec.
• La actividad de red, utiliza parámetros como la hora o la tasa de solicitudes para detectar escaneos o denegación de servicio (DoS).

Cortafuegos de filtrado de paquetes

• Los cortafuegos de filtrado de paquetes descartan o aceptan paquetes según reglas definidas por el administrador.
• Las reglas comprueban información como la dirección IP, el número de puerto, el protocolo de transporte, la interfaz y el tamaño del paquete.
• La funcionalidad de filtrado es a nivel de la capa de red, ofreciendo, en algunos casos, funcionalidades de enlace y transporte.
• Las reglas de filtrado se implementan a partir de políticas predeterminadas del cortafuegos: restrictiva o permisiva.
• En la Política restrictiva, se descartada todo el tráfico no permitido explícitamente en las reglas de filtrado.
• En política permisiva, se acepta todo el tráfico no prohibido explícitamente en las reglas de filtrado.
• La opción más segura es, la Política restrictiva.

Ventajas y desventajas de un cortafuegos

• Las principales ventajas de un cortafuegos de filtrado de paquetes son su sencillez, facilidad de uso y velocidad, si bien presenta desventajas principalmente las de no llevar a cabo un filtrado a nivel de aplicación.
• Los cortafuegos de estado, permiten el seguimiento de las conexiones abiertas y las características especiales de protocolos como TCP.
• Una pasarela a nivel de aplicación actúa como proxy en todas las transacciones y ofrece servicios proxy para aplicaciones como Telnet, HTTP, FTP, etc., transparente al usuario.
• Las pasarelas a nivel de aplicación son más seguras que los cortafuegos de filtrado de paquetes.
• Esto, ya que no hay que incluir reglas de red indicando todo el tráfico permitido, sino solo las aplicaciones admitidas.
• Las pasarelas a nivel de aplicación permiten, la autenticación de usuarios que pretenden conectarse a los servicios, también mantener un log.
• Su principal debilidad es la posibilidad de una caída del proxy en entornos demandantes, porque supone un procesamiento extra en cada conexión que podría sobrecargar el sistema.

Cortafuegos de nueva generación (NGFW)

• Una evolución reciente de los cortafuegos tradicionales son los Next-generation firewalls (NGFW).
• Los NGFW, incluyen la funcionalidad de los cortafuegos tradicionales junto con capacidades añadidas a nivel de aplicación como detección de intrusiones e inteligencia externa.
• Los NGFW, son capaces de correlacionar toda la información de los elementos de red para tomar la decisión relativa al control de acceso.
• Realizan una inspección profunda de paquetes, DPI (deep-packet inspection), que va más allá del bloqueo en función del puerto y protocolo.
• Añadiendo análisis inteligente de amenazas basada en nivel de aplicación y prevención de intrusiones.

La defensa en profundidad y NGFW

• La defensa en profundidad es un concepto fundamental en los NGFW y en el entorno militar y la informática.
• Plantea que se deben esperar ataques en distintos niveles y tener mecanismos de defensa multinivel para frenar o mitigar los efectos del ataque.
• Una red puede o no contener un NGFW, pero siempre tendrá sus componentes importantes como cortafuegos de estado, IDS/IPS y VPN.

Iptables

• Iptables es un cortafuegos de estado que se pone a disposición del usuario la funcionalidad del módulo Netfilter.
• Este módulo se encarga del procesamiento de paquetes de red en el kernel de Linux y ha estado disponible desde 2001.
• El funcionamiento de iptables se basa en tablas, cadenas y reglas.
• Las tablas son el nivel más alto del cortafuegos y comprenden la funcionalidad (filtrado, NAT, modificación de paquetes).
• Las cadenas contienen una o varias reglas frente a las que se evalúan los paquetes entrantes(INPUT), salientes (OUTPUT) o que pasan (FORWARD).
• Las reglas contienen las condiciones a cumplir por el paquete para realizar las acciones especificadas.

Composición de las Tablas y Cadenas en Iptables

• Una tabla agrupa la funcionalidad del cortafuegos: filtrado de paquetes o traducción de direcciones (NAT).
• Las cuatro tablas son: filter, nat, mangle, raw.
• Filter, es la tabla por defecto y para la aceptación o descarte de paquetes según sus parámetros.
• Nat ,permite el NAT modificando las direcciones origen y destino.
• Mangle se alteran las cabeceras de los paquetes, por ejemplo, modificando el valor de los TTL.
• Raw, los paquetes se inspeccionan teniendo en cuenta su estado antes de ser registrados por el kernel de Linux.
• La tabla security se usa en sistemas SELinux para políticas basadas en contextos de seguridad.
• Cada tabla se compone de cadenas por defecto que indican los puntos en los que se puede afectar a los paquetes.
• Las cinco cadenas posibles son: PREROUTING, POSTROUTING, INPUT, OUTPUT, FORWARD.

Enrutamiento de Iptables y Sintaxis

• PREROUTING, las reglas afectan a paquetes al llegar a la interfaz de red, antes de enrutar, en las tablas nat, mangle y raw.
• POSTROUTING, las reglas afectan a paquetes al salir de la interfaz de red, en las tablas nat, mangle y raw.
• INPUT , las reglas de esta cadena afectan a los paquetes cuyo destino es el mismo cortafuegos.
• OUTPUT, las reglas de esta cadena afectan a los paquetes cuyo origen es el mismo cortafuegos, tras ser generados y en las tablas raw, mangle, nat y filter.
• FORWARD, Las reglas de esta cadena afectan a los paquetes que pasa por el cortafuegos.
• Es crucial, filtrar tráfico añadiendo reglas que busquen, por ejemplo, paquetes con destino al puerto 80 en la cadena FORWARD.
• ACCEPT, permite, que el paquete continúe su flujo normal.
• DROP, descarta el paquete pero sin notificar a los extremos de la comunicación.
• LOG, envía, la información de este archivo al syslog.
• REJECT, descarta el paquete y simultáneamente envía la respuesta adecuada.
• Los paquetes se evalúan en orden por cada regla hasta que una coincida y le afecte la acción.
• Si ninguna regla coincide, se aplica la política por defecto de esa regla, establecida como DROP por seguridad.
• Sintaxis de Comandos en Iptables, es dividida en las siguientes partes: iptables [-t tabla] comando [condición] [acción].

Opciones y condiciones de Iptables

• Comandos de iptables: -A (añade una regla a una cadena), -D (elimina una regla), -L (lista las reglas), -F (elimina todas las reglas), -P (especifica la política por defecto de una cadena).
• Opciones de iptables: -v (muestra información detallada), -n (muestra valores numéricos), -t (indica la tabla), --line-numers (muestra los números de cada regla).
• Condiciones en iptables: -p (protocolo), -s (IP origen), -d (IP destino), -i (interfaz de entrada), -o (interfaz de salida), --sport (puerto origen), --dport (puerto destino), -m state --state (estado de la conexión).
• Sintaxis: iptables -L [cadena] (muestra las reglas de una cadena), iptables -F [cadena] (borra todas las reglas de una cadena), iptables -A [cadena] [condiciones] (añade una regla), iptables -P [cadena] [acción] (especifica la acción por defecto para una cadena).