UNIVERSIDAD DON BOSCO FACULTAD DE INGENIERÍA ESCUELA DE ELECTRÓNICA TRABAJO DE GRADUACIÓN PARA OPTAR AL TITULO DE INGENIERO EN TELECOMUNICACIONES DESCRIPCIÓN, COMPROBACIÓN DEL FUNCIONAMIENTO Y DE LAS APLICACIONES DISPONIBLES DE DISPOSITIVOS UTM (UNIFIED THREAT MANAGEMENT). PRESENTADO POR: JUAN ANTONIO GARCÍA RENDEROS ASESOR: ING. FRANCISCO ROBLES SEPTIEMBRE 2008 EL SALVADOR CENTRO AMERICA UNIVERSIDAD DON BOSCO FACULTAD DE INGENIERÍA ESCUELA DE ELECTRÓNICA RECTOR ING. FEDERICO MIGUEL HUGUET SECRETARIO GENERAL LIC. MARIO RAFAEL OLMOS DECANO FACULTAD DE INGENIERIA ING. ERNESTO GODOFREDO GIRON SEPTIEMBRE 2008 EL SALVADOR CENTROAMERICA UNIVERSIDAD DON BOSCO FACULTAD DE INGENIERÍA ESCUELA DE ELECTRÓNICA TRABAJO DE GRADUACIÓN PARA OPTAR AL TITULO DE INGENIERO EN TELECOMUNICACIONES DESCRIPCIÓN, COMPROBACIÓN DEL FUNCIONAMIENTO Y DE LAS APLICACIONES DISPONIBLES DE DISPOSITIVOS UTM (UNIFIED THREAT MANAGEMENT). ASESOR ING. FRANCISCO ROBLES LECTOR ING. JUAN CARLOS CASTRO SEPTIEMBRE 2008 EL SALVADOR CENTROAMERICA AGRADECIMIENTOS A Dios, que me ha permitido concluir esta etapa de mi vida y, por regalarme a mi familia y amigos, que me han brindado su apoyo, haciendo de una u otra forma más sencillo el camino recorrido, para alcanzar esta meta. DEDICATORIA A toda mi familia que con mucho sacrificio, esfuerzo, pero sobretodo con amor me han dejado la herencia más valiosa: la educación. INDICE I. INTRODUCCION ...................................................................................................................................- 1 - II. OBJETIVOS...........................................................................................................................................- 2 - 2.1 Objetivo General: ..............................................................................................................................- 2 - 2.2 Objetivos Específicos:........................................................................................................................- 2 - III. ALCANCES Y LIMITACIONES ........................................................................................................- 3 - 3.1 Alcances:.............................................................................................................................................- 3 - 3.2 Limitantes: .........................................................................................................................................- 3 - IV. MARCO TEORICO .............................................................................................................................- 4 - Capitulo 1: Introducción..............................................................................................................................- 5 - 1.0 EVOLUCION DE LOS SISTEMAS DE SEGURIDAD.................................................................- 6 - 1.0.1 Firewall. ...................................................................................................................................... - 6 - 1.1 Firewall de Filtrado de Paquetes. .....................................................................................................- 7 - 1.1.1 Descripción del filtrado de paquetes........................................................................................... - 7 - 1.1.2 Configuraciones de cadenas ....................................................................................................... - 9 - 1.1.3 Análisis de paquetes ..................................................................................................................- 12 - 1.1.4 Resumen. ...................................................................................................................................- 14 - 1.2 Firewall de Filtro de Estado............................................................................................................- 15 - 1.2.1 Funcionamiento ........................................................................................................................- 15 - 1.2.2 Resumen. ...................................................................................................................................- 17 - 1.3 Firewall de Capa de Aplicación. .....................................................................................................- 18 - 1.3.1 Descripción................................................................................................................................- 19 - 1.3.2 Funcionamiento ........................................................................................................................- 20 - 1.3.3 Resumen ....................................................................................................................................- 21 - 1.4 Firewall de Inspección de Estado. ..................................................................................................- 22 - 1.4.1 Descripción................................................................................................................................- 22 - 1.4.2 Análisis de paquetes. .................................................................................................................- 24 - 1.4.3 Resumen. ...................................................................................................................................- 25 - 1.5 Deep Packet Inspection. ..................................................................................................................- 25 - 1.5.1 Descripción................................................................................................................................- 26 - 1.5.2 Tipos de análisis. .......................................................................................................................- 27 - 1.5.2.1 Análisis por puerto. ............................................................................................................- 28 - 1.5.2.2 Similitud de cadenas..........................................................................................................- 28 - 1.5.2.3 Análisis de propiedades numéricas ....................................................................................- 29 - 1.5.2.4 Análisis por comportamiento y de manera heurística........................................................- 29 - 1.6 Software Firewalls & Hardware Firewalls. ...................................................................................- 31 - 1.6.1 Firewalls por Software..............................................................................................................- 31 - 1.6.2 Hardware...................................................................................................................................- 32 - 1.6.3 Proxy..........................................................................................................................................- 33 - Capitulo 2: Introducción............................................................................................................................- 35 - 2.0 DESCRIPCION DE DISPOSITIVOS UTM .................................................................................- 36 - 2.0.1 Firewall. ....................................................................................................................................- 38 - 2.1 Filtrado de Contenido Web.............................................................................................................- 39 - 2.2 Prevención de Intrusos. ...................................................................................................................- 42 - 2.2.1 Tipos de Ataques más Comunes ...............................................................................................- 45 - a) Sniffing.......................................................................................................................................- 45 - b) IP spoofing.................................................................................................................................- 45 - c) DoS: Denial of Service...............................................................................................................- 45 - d) Net Flood ...................................................................................................................................- 46 - e) DDoS..........................................................................................................................................- 46 - f) Ping of Death..............................................................................................................................- 47 - g) Troyanos ....................................................................................................................................- 47 - 2.2.2 Técnicas usadas en IDS e IPS ..................................................................................................- 48 - 2. 3 Redes privadas virtuales. ...............................................................................................................- 50 - 2.3.1 Características...........................................................................................................................- 51 - 2.3.2 Tipos de VPN.............................................................................................................................- 52 - 2.3.2.1 VPN IPSec ..........................................................................................................................- 53 - 2.3.2.1.1 Características de IPSec ............................................................................................- 54 - 2.3.2.2.2 Funcionamiento de IPSec ...........................................................................................- 56 - 2.3.2.2.3 El protocolo IKE ........................................................................................................- 57 - 2.3.2.2 VPN SSL .............................................................................................................................- 58 - 2.3.2.2.1 Características de SSL ...............................................................................................- 59 - 2.3.2.2.2 Funcionamiento de SSL ..............................................................................................- 60 - 2.4 Anti Spam.........................................................................................................................................- 63 - 2.4.1 Introducción. .............................................................................................................................- 63 - 2.4.2 Spam ..........................................................................................................................................- 64 - a) Spam por mensajería instantánea: ............................................................................................- 64 - b) Spam en grupos de noticias, blogs o foros: ...............................................................................- 64 - c) Spam en telefonía móvil: ............................................................................................................- 64 - 2.4.2.1 Métodos de Detección de Spam..........................................................................................- 67 - a) Filtrado de Contenido ...........................................................................................................- 67 - b) RBL (Real Time Black Holes) ...............................................................................................- 67 - c) Análisis Heurístico ................................................................................................................- 68 - d) Filtros Bayesianos.................................................................................................................- 68 - e) Checksums.............................................................................................................................- 69 - f) SpamPost ...............................................................................................................................- 70 - g) Listas Grises..........................................................................................................................- 70 - 2.5 Antispyware. ....................................................................................................................................- 72 - 2.5.1 Introducción. .............................................................................................................................- 72 - 2.5.2 Tipos de Spyware.......................................................................................................................- 73 - 2.6 Antivirus. ..........................................................................................................................................- 75 - 2.6.1 Clasificación de los Virus. ........................................................................................................- 75 - 2.6.1.1 Virus de Fichero.................................................................................................................- 76 - 2.6.1.2 Virus de Boot......................................................................................................................- 77 - 2.6.1.3 Virus de Macro...................................................................................................................- 78 - 2.6.1.4 Virus de enlace o de directorio ..........................................................................................- 79 - 2.6.2 Técnicas de Infección. ..............................................................................................................- 80 - 2.6.3 Antivirus ....................................................................................................................................- 82 - 2.7 IM & P2P..........................................................................................................................................- 84 - 2.7.1 P2P ............................................................................................................................................- 84 - 2.7.1.1 Configuraciones lógicas de redes P2P...............................................................................- 85 - 2.7.1.2 Generaciones de P2P .........................................................................................................- 86 - 2.7.2 IM ..............................................................................................................................................- 89 - 3.7.2.1 Funcionamiento IM ............................................................................................................- 90 - 2.7.3 Métodos para identificar protocolos .........................................................................................- 93 - 2.7.3.1 Técnica heurística ..............................................................................................................- 93 - 2.7.3.2 Patrones .............................................................................................................................- 94 - 2.7.3.3 Firmas ................................................................................................................................- 95 - 2.8 Reportes............................................................................................................................................- 97 - 2.9 Áreas no cubiertas ...........................................................................................................................- 99 - Capitulo 3: Introducción..........................................................................................................................- 101 - 3.0 UTILIDAD DE DISPOSITIVOS UTM .......................................................................................- 102 - 3.1 Controlar tráfico en la red ............................................................................................................- 102 - 3.1.1 Técnicas usadas para filtrar contenido web ...........................................................................- 104 - 3.2 Regular acceso de los usuarios a Internet....................................................................................- 106 - 3.2.1 Modalidades de configuración de usuarios............................................................................- 108 - 3.3 Sistemas de seguridad en la red....................................................................................................- 109 - 3.3.1 Identificación de tráfico (IDS)................................................................................................- 110 - 3.3.2 IPS y Antivirus ........................................................................................................................- 111 - 3.4 Creación de VPN confiables..........................................................................................................- 114 - 3.4.1 VPN SSL..................................................................................................................................- 115 - 3.4.2 VPN IPSec...............................................................................................................................- 116 - 3.5 Complementos Adicionales ...........................................................................................................- 118 - 3.5.1 Aplicaciones P2P/IM ..............................................................................................................- 118 - 3.5.2 Reportes. ..................................................................................................................................- 120 - Capitulo 4: Introducción..........................................................................................................................- 122 - 4.0 COMPARACIÓN ENTRE DISPOSITIVOS UTM....................................................................- 123 - 4.0.1 Introducción. ...........................................................................................................................- 123 - 4.1 Pruebas de equipos. .......................................................................................................................- 124 - 4.1.1 Pruebas a realizar. ..................................................................................................................- 124 - 4.2 Fortinet. ..........................................................................................................................................- 125 - 4.2.1 Aspectos generales. .................................................................................................................- 125 - 4.2.2 Técnicas utilizadas. .................................................................................................................- 126 - 4.2.3 Equipo Fortinet. ......................................................................................................................- 131 - 4.2.3.1 Elementos generales.........................................................................................................- 131 - 4.2.3.2 Descripción del menú principal y las sub categorías más importantes. ..........................- 132 - a) System .................................................................................................................................- 132 - b) Router..................................................................................................................................- 133 - c) Firewall ...............................................................................................................................- 134 - d) VPN .....................................................................................................................................- 135 - e) User .....................................................................................................................................- 136 - f) Antivirus...............................................................................................................................- 136 - g) Intrusion Protection:...........................................................................................................- 137 - h) Web Filter ...........................................................................................................................- 137 - i) Antispam ..............................................................................................................................- 138 - j) IM, P2P & VoIP...................................................................................................................- 138 - k) Log & Report.......................................................................................................................- 138 - 4.2.3.3 Parámetros Básicos..........................................................................................................- 139 - 4.2.3.4 Configuración de VPN .....................................................................................................- 143 - a) VPN SSL..............................................................................................................................- 143 - b) VPN IPSEC .........................................................................................................................- 146 - 4.2.3.5 Configuración de Perfiles ................................................................................................- 148 - 4.2.3.6 Filtrado de contenido web................................................................................................- 151 - 4.2.3.6.1 Filtrado web estático ................................................................................................- 151 - 4.2.3.6.2 Filtrado web dinámico .............................................................................................- 154 - 4.2.3.7 IM&P2P ...........................................................................................................................- 157 - 4.2.3.7.1 IM .............................................................................................................................- 157 - 4.2.3.7.2 P2P ...........................................................................................................................- 160 - 4.2.3.8 IPS ....................................................................................................................................- 161 - 4.2.3.9 Antivirus ...........................................................................................................................- 163 - 4.2.3.10 AntiSpam ........................................................................................................................- 164 - 4.2.3.11 Reportes .........................................................................................................................- 166 - 4.3 SonicWALL....................................................................................................................................- 170 - 4.3.1 Aspectos generales ..................................................................................................................- 170 - 4.3.2 Técnicas utilizadas ..................................................................................................................- 172 - 4.3.3 Equipo SonicWALL ................................................................................................................- 174 - 4.3.3.1 Elementos generales.........................................................................................................- 174 - 4.3.3.2 Descripción del menú principal y las sub categorías más importantes ...........................- 176 - a) System. ................................................................................................................................- 176 - b) Network ...............................................................................................................................- 178 - c) PC Card ..............................................................................................................................- 179 - d) Firewall...............................................................................................................................- 180 - e) VPN .....................................................................................................................................- 181 - f) Users ....................................................................................................................................- 181 - g) Security Services .................................................................................................................- 182 - h) Log ......................................................................................................................................- 184 - i) Wizards ................................................................................................................................- 184 - j) Help......................................................................................................................................- 185 - 4.3.3.3 Parámetros Básicos .........................................................................................................- 185 - 4.3.3.4 Configuración de VPN .....................................................................................................- 186 - 4.3.3.5 Configuración de perfiles.................................................................................................- 189 - 4.3.3.6 Filtrado de contenido web................................................................................................- 192 - 4.3.3.7 IM&P2P ...........................................................................................................................- 194 - 4.3.3.8 IPS ....................................................................................................................................- 196 - 4.3.3.9 Antivirus. ..........................................................................................................................- 198 - 4.3.3.10 Anti-Spyware ..................................................................................................................- 200 - 4.3.3.11 Análisis de Correo..........................................................................................................- 201 - 4.3.3.12 Reportes .........................................................................................................................- 202 - 4.3.3.13 Wizards...........................................................................................................................- 204 - 4.4 Conclusiones de las Pruebas realizadas. ......................................................................................- 205 - 4.4.1 Creación de perfiles. ...............................................................................................................- 207 - 4.4.2 Configuración de VPN............................................................................................................- 208 - 4.4.3 Web Filtering ..........................................................................................................................- 209 - 4.4.4 P2P/IM ....................................................................................................................................- 210 - 4.4.5 IPS ...........................................................................................................................................- 211 - 4.4.6 Antivirus, Antispyware y Antispam. ......................................................................................- 212 - 4.4.7 Reportes ...................................................................................................................................- 213 - V. CONCLUSIONES. ..............................................................................................................................- 215 - VI. RECOMENDACIONES....................................................................................................................- 217 - VII. BIBLIOGRAFIA Y FUENTES DE CONSULTA. ........................................................................- 218 - VIII. GLOSARIO.....................................................................................................................................- 222 - IX. ANEXOS.............................................................................................................................................- 230 - Anexo 1: Hojas Técnicas de los Equipos Utilizados..........................................................................- 230 - - 1 - I. INTRODUCCION En el siguiente trabajo se presenta información relacionada a los dispositivos UTM (Unified Threaten Management), se describe de forma general la diversidad de áreas que estos dispositivos enmarcan en su plan de acción y como estas medidas pueden beneficiar en la administración y correcto desempeño de una red informática. Se han separado en cinco capítulos diversos enfoques del accionar de estos dispositivos, primeramente se hace una breve introducción a los conceptos de redes de comunicaciones describiendo los puntos que se utilizaran posteriormente en el mismo documento. Luego se realiza una breve descripción de las evoluciones que los antecesores de estos equipos han tenido a través de la historia, enfocando sus principales características hasta llegar a la técnica usada por los equipos estudiados. La parte central del documento está conformado por la descripción de la estructura aplicativa de un dispositivo UTM, enfocando las áreas cubiertas por cada modulo y las técnicas usadas en cada una de ellas. Posteriormente se presenta la descripción del uso de un dispositivo UTM y de cómo estos pueden beneficiar en la administración del eficiente desempeño de red. Finalmente se hace un estudio de comprobación de aplicaciones entre dos de estos dispositivos basándose en las necesidades básicas que estos según sus características deberían de cumplir. El documento fue elaborado sin apegarse a una marca o fabricante especifico, sino más bien tratando de enfocar de manera general a un buen numero de los dispositivos utilizados en el mercado. Para la conformación de este, se utilizaron en su gran mayoría fuentes bibliográficas de Internet debido a que la información existente en este ámbito es mucho mayor que la que se encuentra en formato bibliográfico tradicional y se tiene la opción de contar con datos más actuales. - 2 - II. OBJETIVOS 2.1 Objetivo General: • Dar a conocer de manera general la evolución, y de manera más detallada el funcionamiento y las aplicaciones de los dispositivos UTM 2.2 Objetivos Específicos: • Hacer una breve reseña de la evolución de los dispositivos de seguridad informática que han existido a lo largo de la historia hasta llegar a los UTM. • Presentar los dispositivos UTM como más que un simple firewall, el cual puede solventar muchos de los problemas comunes de seguridad o de desempeño de red que se presentan frecuentemente a los administradores de red. • Hacer una comparación entre un par de dispositivos existentes en el mercado, para presentar sus fortalezas y debilidades. - 3 - III. ALCANCES Y LIMITACIONES 3.1 Alcances: • Presentar una breve descripción de la evolución de los sistemas de seguridad a través de la historia hasta llegar a nuestros días. • Dar a conocer los dispositivos UTM, además de describir sus características, funcionalidades y limitantes, sin enfocarse en un fabricante en especial sino realizarlo de manera general. • Comprobar de manera general su funcionalidad y limitantes con dos equipos. 3.2 Limitantes: • Multiplicidad de información dependiendo del fabricante y modelo de equipo consultado. • Restringido acceso a los dispositivos para poder comprobar la funcionalidad de estos dispositivos. - 4 - IV. MARCO TEORICO El marco teórico se dividirá en 5 capítulos, los que se presentan a continuación: • Capitulo 1: Evolución de Sistemas de Seguridad Informática. • Capitulo 2: Descripción de Dispositivos UTM. • Capitulo 3: Utilidad/Aplicaciones de Dispositivos UTM. • Capitulo 4: Comparación entre Dispositivos. - 5 - Capitulo 1: Introducción En el siguiente capítulo se muestran las técnicas usadas para la seguridad informática, se presentan las características de los métodos usados a través del tiempo moderno, en donde se inicia con la presentación del firewall por filtrado de paquetes, hasta llegar a la técnica Deep Packet Inspection la cual es usada en la actualidad por los dispositivos UTM, se describe cada uno de los cinco modelos usados presentando sus ventajas y deficiencias. Esto ya que es necesario dar a conocer la evolución de los sistemas y la razón por la cual han evolucionado de esa manera, ya que en la actualidad todas las técnicas siguen vigentes y cada una ha servido como base para la siguiente. Finalmente en el capítulo se presentan tres diversas alternativas que pueden proporcionar seguridad en la red informática, entre ellas están los firewalls por software, los firewall por hardware y los proxies. - 6 - 1.0 EVOLUCION DE LOS SISTEMAS DE SEGURIDAD Antes de iniciar con la definición del término UTM, se debe de hacer una breve retrospectiva e indicar de donde surgió la iniciativa de estos dispositivos como tales; para lo cual se debe de mencionar el termino firewall, el cual es considerado el antecesor directo de estos dispositivos 1.0.1 Firewall. Un firewall se define como un sistema cuya finalidad es hacer cumplir una política de control de acceso entre dos redes interconectadas, generalmente es colocado para proteger a una red confiable (red interna) de una red no confiable (generalmente Internet), delimitando y controlando el tráfico entre ellas. Esto se puede observar gráficamente en la figura 1.1. La historia de los firewalls, comenzó aproximadamente en los finales de los ochentas, para ese entonces el Internet era una herramienta relativamente nueva, además estaba reservada para pocos privilegiados, de hecho fue en las oficinas de la NASA en donde se pensó en dispositivos de seguridad, al crear un virus y propagarlo por la red por medio de un correo electrónico, sin haber sido un código malicioso se pudieron comprobar las vulnerabilidades de las computadoras de aquel entonces. Figura 1.1 Ubicación típica de los Firewall en las redes. Los firewalls a través de la historia han ido evolucionando tanto en sus tecnologías de análisis y clasificación de tráfico como en su presentación ofrecida al público por parte de los fabricantes. A continuación se presenta una breve descripción de los tipos de firewalls que a lo largo de la historia se han tenido, de hecho se presentan los más significativos ya - 7 - que pudieran existir muchas clasificaciones o puntos de vista de la evolución, sin embargo se han descrito los más significativos hasta llegar a los que dieron origen a los dispositivos UTM. 1.1 Firewall de Filtrado de Paquetes. Los firewalls tienen su inicio en Noviembre de 1988, a partir del suceso antes mencionado en la NASA, se concibieron con ciertas definiciones específicas como: “es un punto entre dos o más redes por el cual todo el tráfico que se intercomunica entre ellas tiene que pasar” y “todo el tráfico monitoreado es controlado y registrado por este dispositivo”. Los primeros firewalls que aparecieron eran Routers usados para separar las redes en pequeñas LAN’s, sobretodo dividían los segmentos problemáticos para que estos no afectaran el desempeño de la red completa. La tecnología de filtrado de paquetes fue desarrollada por ingenieros de la DEC (Digital Equipment Corporation), empresa pionera en el ámbito de la computación en Estados Unidos. Esta funciona entre la capa de transporte y la capa de red del protocolo TCP/IP y como su nombre lo indica se analizan paquetes y se toman decisiones en base al contenido de estos. 1.1.1 Descripción del filtrado de paquetes El filtrado de paquetes se realiza analizando los encabezados de los paquetes IP que llegan al equipo donde se encuentra instalado el firewall, estos encabezados son comparados con listas que contienen permisiones o denegaciones del trafico entrante a la red según sea la estructura o el origen del tráfico basándose únicamente en su encabezado, luego en base al resultado obtenido de estas comparaciones se toman decisiones de enrutamiento, es decir se decide si estos paquetes son filtrados accesando así a la red interna o son descartados por el firewall. - 8 - Figura 1.2 Ilustración de la operación en las capas del modelo OSI del filtrado de paquetes Estas listas que sirven para las comparaciones de los paquetes, a su vez contienen en su interior reglas de aceptaciones o denegaciones, estas reglas definen explícitamente a los paquetes que se aceptaran o se denegaran por el firewall, usando los encabezados de cada paquete para decidir si se aceptan los paquetes, se rechazan o se deniegan. La información que se “evalúa” en los encabezados de cada paquete puede ser: información de IP origen o destino de la capa de red, los puertos de servicio TCP o UDP de la capa de transporte , los indicadores de conexión TCP, los tipos de mensaje ICMP del nivel de red y si el paquete es entrante o saliente. Lo anterior se muestra en la figura 1.3. Figura 1.3 Ilustración de la operatividad del filtrado de paquetes - 9 - Las listas de aceptaciones y denegaciones antes mencionadas se les conoce también como cadenas, estas funcionan realizando comparaciones entre cada paquete IP que se recibe y cada una de las reglas en la lista, se compara una a una cada regla hasta que se encuentra una coincidencia del paquete entrante con alguna de estas o hasta que se termina la lista, esto se ilustra en la figura 1.4. Como se observa el filtrado de paquetes es un método exhaustivo de seguridad más no es infalible, esto debido a que es un nivel de seguridad relativamente bajo debido a que no todas las aplicaciones se mueven entre las capas que este método examina, por ejemplo se utiliza como parámetro la verificación de identidad del emisor de paquetes siendo esta información fácil de modificar. 1.1.2 Configuraciones de cadenas En lo que respecta a las reglas de cadenas existentes, se puede hablar de dos perspectivas básicas para las reglas de un firewall: • Denegar todo por defecto y permitir acceso a paquetes seleccionados explícitamente. • Aceptar todo por defecto y denegar acceso a paquetes seleccionados explícitamente. De las dos perspectivas antes mencionadas, se recomienda realizar la primera, aunque sea la más complicada de configurar, ya que de esta forma únicamente se permite el acceso a las aplicaciones conocidas y deseadas. Si se realiza la alternativa de aceptar todo por defecto, solo se negaría el acceso a las amenazas conocidas, generando huecos de seguridad para el acceso a la red interna, esto se ilustra en la figura 1.5. Cabe mencionar que por el tipo de análisis que se realiza con esta técnica, se requieren de extensas cadenas para lograr identificar un mayor número de aplicaciones con veracidad, esto es posible siempre y cuando se conozcan a cabalidad las aplicaciones implicadas en el tráfico, para así lograr que el filtrado sea efectivo y por tanto las herramientas de seguridad de la red se incrementen. Por otro lado existe el inconveniente que las aplicaciones nuevas serán denegadas si no se actualizan las cadenas indicando lo contrario. - 10 - Figura 1.4 Algoritmo las Cadenas Un punto importante a mencionar es la diferencia entre la denegación y el rechazo de paquetes; a pesar que en ambos métodos se desechan los paquetes al no concordar con la lista respectiva. Esta discrepancia se presenta en la respuesta obtenida después de desechar los paquetes, cuando se rechaza un paquete este se descarta y se devuelve un mensaje de error ICMP al remitente, pero cuando se deniega un paquete simplemente se descarta el paquete sin notificar al emisor, el flujograma de esto se presenta en la figura 1.6. Esta última es la opción más recomendada, primero debido a que si se envía una respuesta de error se duplica el tráfico de la red, segundo porque cualquier paquete al que se responda se puede usar en un ataque por denegación de servicio o puede contener información útil para cualquier ataque posterior. - 11 - Figura 1.5. Flujograma de lista con perspectiva de denegar todo Figura 1.6 Flujograma de Rechazar o Denegar paquetes - 12 - 1.1.3 Análisis de paquetes En lo que respecta al análisis de los paquetes de entrada, que generalmente es la que siempre se verifica y la que más importancia tiene; se puede filtrar basándose en la dirección origen, la dirección destino, el puerto origen, el puerto destino y el indicador de estado TCP, para el caso de aplicaciones UDP no se recomienda utilizar este tipo de filtrado ya que este trafico UDP suele seleccionar puertos aleatorios (superiores a 1023) para su comunicación lo que dejaría más desprotegida la seguridad en la red. Como ya se mencionó anteriormente, el único medio de identificar el remitente del paquete IP es la dirección origen del encabezado de paquete, por lo tanto siendo bastante susceptible al spoofing o cambio de dirección origen, donde el remitente coloca una dirección incorrecta ya sea esta inexistente u otra dirección en lugar de la suya en el campo origen, esto con el fin de usurpar información o monitorear el trafico existente entre dos puntos en la red. En la figura 1.7 se presenta la ilustración de los campos a evaluar en un paquete IP. Para contrarrestar en parte esta posible vulnerabilidad de estos sistemas, se recomienda tomar en cuenta en las configuraciones de las reglas los siguientes puntos: • Bloqueo de direcciones privadas provenientes de Internet al firewall, tanto clase A, clase B, clase C, clase D y clase E, permitiendo así únicamente el acceso de direcciones públicas desde Internet hacia el Firewall. • Bloqueo de direcciones de interfaz de bucle invertido, el trafico de bucle invertido o pruebas de loopback esta enrutado hacia el mismo sistema que lo generó, es decir siempre apunta al host que genera el trafico hacia la red, son consideradas pruebas de localhost e incluyen rangos desde la IP 127.0.0.0 hasta la 127.255.255.255, por lo consiguiente se le debe restringir el acceso a este rango desde Internet hacia el Firewall. • Bloqueo de la dirección de difusión mal formada, esta es la dirección 0.0.0.0 usada por los servidores de DHCP ya que ellos enviaran con esta IP a todos los clientes la información de las direcciones IP asignadas, es decir los clientes verán los paquetes entrantes a ellos provenientes de esta dirección. Por lo consiguiente no debería de existir una IP como esta a la entrada de una red externa de un firewall. - 13 - • Bloqueo o restricción de sesiones Telnet al firewall o equipos en la red interna, delimitando o especificando únicamente las IP de las cuales será posible acceder desde fuera de la red. Otra recomendación importante para contrarrestar la vulnerabilidad de seguridad, es el bloqueo de puertos lógicos, estos por defecto si se realizan peticiones desde la red interna hacia Internet deben de ser con puertos menores a 1024 y se recibirán peticiones con números de puertos entre 1024 y 65535. Como se observa es bastante el rango que queda sin cubrir y a esto hay que agregarle que algunas aplicaciones (como el IM y el P2P) pueden intercambiar de puertos de comunicación al encontrarse bloqueados los que ellos usan originalmente. Figura 1.7. Cabecera de un paquete IPV4. Muestra los campos que habitualmente inspeccionan estos firewall y los Protocolos mayormente usados. En cuanto a las reglas de estado de conexión TCP entrante, hay que tener en cuenta que los estados difieren entre cliente y servidor debido al saludo de tres vías que se realiza durante el establecimiento de la conexión. Los paquetes TCP entrantes procedentes del cliente remoto tendrán el indicador SYN activado en el primer paquete recibido como parte del saludo antes mencionado. La primera petición de conexión tendrá el indicador SYN activado, pero no el ACK, por lo que todos los paquetes entrantes después de la primera petición de conexión tendrán solo el indicador ACK activado. Las reglas del firewall del servidor local permitirán paquetes entrantes, sin tener en cuenta el estado de los indicadores SYN y ACK. - 14 - Los paquetes entrantes procedentes de servidores remotos siempre serán respuestas a la petición de conexión inicial que comienza en el programa cliente local. Cada paquete recibido desde un servidor remoto tendrá el indicador ACK activado; las reglas del firewall cliente local solicitaran que todos los paquetes entrantes procedentes de servidores remotos tengan el indicador ACK activado. Los servidores legítimos no intentaran iniciar conexiones a programas cliente. 1.1.4 Resumen. Principales ventajas: 1. Bajo costo de implementación. 2. Puede ser implementando con rapidez en lugares donde no es recomendable tener una instalación de firewall completa. 3. Fácil configuracion y mantenimiento. 4. Aplicación detallada de seguridad a bajo nivel. 5. Elemento transparente para el usuario de la red interna. Las principales desventajas que esta técnica ofrece tenemos: 1. No protege las capas superiores a nivel OSI. 2. Las necesidades aplicativas son difíciles de traducir como filtros de protocolos y puertos. 3. No son capaces de esconder la topología de redes privadas, por lo que exponen la red al mundo exterior. 4. Sus capacidades de auditoria suelen ser limitadas, al igual que su capacidad de registro de actividades. 5. No soportan políticas de seguridad complejas como autentificación de usuarios y control de accesos con horarios prefijados. 6. Intercambian la totalidad de paquetes entre la red externa e interna. - 15 - 1.2 Firewall de Filtro de Estado. Entre los años de 1988 a 1991 científicos de los laboratorios Bell AT&T, utilizaron una segunda técnica para crear firewalls, a esta se le llamo firewalls de nivel de circuitos. Estos corregían algunos puntos de sus antecesores, ya que si le importaba la ubicación de los paquetes en la trama y se tenían partes confiables en la comunicación consideradas como tramas conocidas. El nombre de filtros de estado proviene de la capacidad que estos firewalls tenían en identificar si un paquete era inicio, final o simplemente parte de una trama, el cual es un punto importante a la hora de activar reglas especificas en los análisis del tráfico. Este tipo de filtrado es capaz de proteger los ataques de denegación de servicio. Aunque aun se realizaban las configuraciones desde routers propiamente dichos, con reglas un tanto sencillas como: “de la Red A nadie puede acceder a la Red B” o “la Red A solo puede ser vista por algunos elementos conocidos de la Red B”. Estos firewalls eran efectivos, pero también limitados por la misma sencillez de las reglas que se aplicaban contrastadas con los recursos informáticos entonces existentes. 1.2.1 Funcionamiento Llamados firewalls de segunda generación o de nivel de circuitos, son firewalls de filtrado de paquetes en los que, se verifica a la hora de aceptar o rechazar un paquete el hecho de que este sea una petición de nueva conexión o pertenezca a un circuito virtual (o sesión) ya establecido entre un host externo y otro interno. Cuando una aplicación crea una sesión TCP con un host remoto, se establece un puerto en el sistema de origen de la conexión con objeto de recibir allí los datos provenientes del sistema remoto. De acuerdo a las especificaciones de TCP, este puerto del host cliente estará comprendido entre el 1023 y el 16.384. En el sistema remoto se establecerá, asimismo, un puerto que será siempre menor al 1024. Los firewalls por filtrado de paquetes deben de permitir tráfico entrante en todos los puertos superiores (1023 hasta 16.384) para permitir los datos de retorno de las conexiones salientes. Esto crea un gran riesgo de intrusiones. Los firewalls con inspección de estado resuelven eficazmente este problema construyendo una tabla con información - 16 - correspondiente a todas las sesiones TCP abiertas y los puertos que utilizan para recibir los datos y no permitiendo el tráfico entrante a ningún paquete que no corresponda con ninguna de estas sesiones y puertos. Para hacer esto, el firewall de este tipo examinan rigurosamente el establecimiento de cada conexión (en la capa 4 del modelo OSI) para asegurarse de que esta es legítima y está permitida. Los paquetes no son remitidos a su destino hasta que el establecimiento de la conexión ha sido correctamente completado y verificado. El equipo mantiene una tabla de conexiones válidas y deja pasar los paquetes que contienen información correspondiente a una entrada válida en dicha tabla de circuitos virtuales. Una vez que la conexión finaliza la entrada en la tabla es eliminada y el circuito virtual entre los dos hosts es cerrado. Las tablas de estado de circuitos virtuales suelen contener la siguiente información: • Un identificador de sesión único asignado por el firewall a cada conexión establecida. • El estado de la conexión: negociándose, establecida o cerrándose. (capa 4) • El número de secuencia del último paquete (capa 4). • La dirección IP origen de los datos (capa 3). • La dirección IP destino de los datos (capa 3). • La interfase física de red, si procede, a través de la que los paquetes llegan (capa 1). • La interfase física de red, si procede, a través de la que los paquetes salen (capa 1). Una visión grafica de dichos elementos se muestra en la figura 1.8. - 17 - Figura 1.8. Cabecera TCP. Muestra los campos que verifica este tipo de firewall. Usando esta información y con un ligero escrutinio de las cabeceras de los paquetes, el firewall es capaz de determinar cuando un paquete es válido y cuando no lo es. Una vez que la conexión es establecida, el resto de los paquetes asociados con ella son enrutados sin más comprobaciones. Esto los haría, tremendamente vulnerables a ciertos tipos de ataques, pero muy pocos firewalls de este tipo son tan rudimentarios ya que además realizan otro tipo de verificaciones para, por ejemplo, asegurarnos que no ha habido suplantamiento de identidad (spoofing), que no existen paquetes malformados, etc. También son comunes en ellos la implantación de sistemas de translación de direcciones, NAT, que ocultan eficazmente el interior de nuestra red a intrusos externos. 1.2.2 Resumen. Ventajas 1. Velocidad de filtrado. 2 Protección de direcciones internas (NAT). 3 Principios bien fundamentados en su esquema de seguridad. Desventajas: 1. Evaluación únicamente del protocolo TCP. 2. Seguridad de bajo nivel al chequear únicamente capa 3 y 4. - 18 - 1.3 Firewall de Capa de Aplicación. También conocida como generación de proxies, como dato curioso aquí se dio origen al primer equipo comercial de seguridad, el cual fue vendido en 1991 por la compañía DEC, a este se le conocía como DEC SEAL (Secure External Access Link), este estaba compuesto por un sistema externo llamado Gatekeeper, un sistema al cual se tenia acceso a Internet llamado Gate y en la parte de la LAN un MailHub. En la figura 1.9 se muestra el diagrama del DEC SEAL y una breve descripción de dichos elementos: Figura 1.9 Diagrama del Firewall DEC SEAL � Gatekeeper: server Proxy de aplicación para usuarios que tenían permitido el acceso a Internet, además de poder ser usado como un FTP o DNS anónimo. � Gate: un router encargado de filtrar los paquetes y limitar el tráfico entre la red interna y la red externa. Este router era configurado para que todo el tráfico que entrara o saliera de la red interna se dirigiera al Gatekeeper. � Mailgate: el server de mail’s / router de mail’s interno, esta maquina no era accesible desde fuera de la red interna. Si se enviara un mail desde fuera hacia la red interna, este tendría que ser entregado al Gatekeeper para luego enviarlo al Mailgate. Esta tecnología presenta cambios significativos a sus antecesores, es capaz de analizar todas las capas superiores del modelo TCP/IP, de hecho su análisis se da en la capa de aplicación y es capaz de identificar no solo el puerto o la sesión, sino el protocolo que se utiliza, es decir identifica entre las diferentes aplicaciones que se intentan comunicar con la red interna, permitiendo las restricciones o accesos a partir del análisis en la capa de aplicación. Este firewall se instala en una maquina intermedia, es decir que separa la red interna de la externa, la cual recibe el nombre de pasarela de aplicación. El diagrama del - 19 - funcionamiento en las capas del modelo OSI de este tipo de firewalls se observa en la figura 1.10. 1.3.1 Descripción La gran virtud de este tipo de dispositivos es la capacidad de diferenciar las aplicaciones y protocolos como por ejemplo FTP, DNS o HTTP, esto se realiza mediante una traducción en la aplicación ya que esta tecnología no utiliza el filtrado de paquetes IP. Además es capaz de detectar si una aplicación desconocida intenta comunicarse con puertos normalmente no utilizados para la comunicación. Esta tecnología opera “enmascarando la identidad” de las maquinas de la red interna cuando se quiere acceder a una red externa, es decir un firewall Proxy opera sustituyendo la dirección origen del cliente por su dirección propia ante el servidor externo y cambiando la dirección del servidor externo por su dirección propia ante el cliente interno. Por lo anterior se dice que los servidores proxies garantizan la integridad de los datos, es decir que únicamente los datos que cumplan con los requisitos definidos en el Proxy tendrán libre acceso hacia la LAN y viceversa. Los servicios o agentes típicos con que cuentan este tipo de dispositivos son: DNS, Finger, FTP, HTTP, HTTPS, LDAP, NMTP, SMTP y Telnet. Algunos fabricantes proporcionan agentes genéricos que, en teoría, son capaces de inspeccionar cualquier protocolo de la red, es decir se instala en el equipo que sustenta al firewall, un código de propósito especial (servicio Proxy) para cada aplicación deseada, si este código no ha sido instalado en dicho equipo el servicio no es soportado por el equipo rechazando dicho trafico. Figura 1.10 Ilustración de la operación en las capas del modelo OSI de los proxies - 20 - 1.3.2 Funcionamiento La traducciones que realizan estos equipos se generan mediante códigos de programas comúnmente llamados firmas, las cuales son capaces de identificar mediante patrones de trafico el tipo de aplicación que se esta intentando comunicar, esto ya sea de la red interna a la red externa o viceversa. Sin embargo, esto por tratarse de líneas de código ejecutables reduce grandemente la capacidad de rendimiento de la red. Un servicio notable que prestan estos firewalls Proxy, es el concepto de caché que no es más que un pequeño historial de las paginas recién visitadas en la red, facilitando así una velocidad mayor en el acceso a dichas aplicaciones ya que al solicitar una pagina recién cargada, no hay necesidad de volver a hacer la petición a servidores externos, sino que se hace hacia el mismo firewall, optimizando así el ancho de banda ya que se realizan las solicitudes a servidores externos de páginas que no han sido visitadas recientemente. Los agentes o servicios Proxy están formados por dos componentes: un servidor y un cliente. Ambos suelen implementarse como dos procesos diferentes lanzados por un único ejecutable. De esta forma estamos creando un aislamiento absoluto impidiendo una comunicación directa entre la red interna y la externa. En el diálogo entre cliente y servidor Proxy se evalúan las peticiones de los clientes de la red interna y se decide aceptarlas o rechazarlas en base a un conjunto de reglas, examinando exhaustivamente que los paquetes de datos sean en todo momento correctos. En la figura 1.11 se observa más detalladamente la segmentación y funcionamiento de un Proxy Figura 1.11 Segmentación de un firewall Proxy - 21 - El funcionamiento de estos firewalls puede darse de tres maneras posibles: modelo de seguridad positiva, modelo de seguridad negativa y combinación de ambos. � El modelo de seguridad positiva consiste en identificar los patrones de tráfico legítimo y descartar todo aquel que no responda a dichos patrones. � En el modelo de seguridad negativa se bloquea el tráfico reconocido como un intento de intrusión y se permite el resto. � La combinación de ambos permite disponer del máximo grado de protección, flexibilizando las limitaciones de cada una de los modelos antes mencionados; de hecho es posible disponer de protección a lo desconocido sin la necesidad de un proceso de depuración ya que una vez que el firewall reconoce las aplicaciones que se desean proteger automáticamente se tiene el bloqueo contra las aplicaciones no conocidas o contra aplicaciones bien definidas por el administrador aumentando así el rendimiento del equipo ya que no se procesan completamente las aplicaciones comúnmente solicitadas. 1.3.3 Resumen Ventajas: 1 Permiten protección de identidad. 2 Son capaces de soportar autenticación de usuarios para acceder a su configuración. 3 Capaces de guardar historial de sitios visitados y usuarios de la red. 4 Seguridad de alto nivel al cubrir la capa de aplicación. 5 Las reglas de acceso de trafico son mucho más sencillas de configurar que las que se tendrían que agregar para un filtra paquetes. Desventajas: 1 Son los firewalls más lentos ya que dependen de programas para identificar el tráfico circulante. 2 Requieren de un administrador más especializado para la configuración de las políticas e identificación de las firmas. 3 Requieren actualización de las nuevas amenazas o aplicaciones implementadas para categorizar el tráfico de la red de la mejor manera. 4 Imposibilidad de inspeccionar protocolos comunes como UDP o RCP. - 22 - 1.4 Firewall de Inspección de Estado. En 1994 Check Point desarrollo el dispositivo Firewall-1, introduciendo para los usuarios el concepto de “interfaz amigable” en el mundo de la seguridad de redes, además de utilizar una técnica llamada inspección de estado, la cual consiste en filtrar paquetes y examinarlos con las capas superiores. Luego se introdujo el X11, el cual ya contaba con iconos y uso del mouse, facilitando de gran manera la configuración de estos equipos. Esta versión del Firewall-1 aun sirve como base para los productos de Check Point, de hecho es una de las pocas tecnologías que sigue perteneciendo a la sociedad que la originó y desarrolló. Además, esta tecnología ha estado ligada a la creación de VPN desde un inicio. Los firewalls que utilizan la tecnología de Stateful Inspection también son llamados firewalls híbridos o firewalls de tercera generación, estos equipos utilizan el encolamiento de paquetes para luego analizarlos en todas las capas posibles del sistema OSI. Figura 1.12 Ilustración de la operación en las capas del modelo OSI para los firewalls de inspección de estado 1.4.1 Descripción. Esta tecnología utiliza conceptos del filtrado de paquetes y de los firewalls de aplicaciones, se interceptan los paquetes en la capa de red para obtener un mejor rendimiento similar al usado en el filtrado de paquetes, pero luego de ser interceptados se comparan con las capas - 23 - restantes para determinar si son paquetes de aplicaciones conocidas o permitidas. Permitiendo generar las restricciones o permisiones en cualquiera de las capas del modelo OSI a las que se tenga acceso en el análisis, esto se observa gráficamente en la figura 1.12. Lo antes mencionado genera altos niveles de protección en la red ya que introducen niveles de seguridad en la comunicación y se tiene la ventaja de generar historial de la información circulante en la red y actualizaciones de la misma, proporcionando así historial con el cual se puede comparar en posteriores sesiones como podrían ser aplicaciones en UDP o RPC. La verificación se realiza en base a factores como los tradicionales números de puertos, las direcciones IP involucradas, y quizás lo que lo hace diferente y sobresaliente el número de secuencia de tramas, este último se utiliza la información del inicio y el fin de trama para saber si cada trama contiene algún paquete alterado dentro de si y este pueda atravesar el firewall y llegar a la red interna, en la figura 1.13 se puede observar el análisis que se realiza en un paquete usando la técnica de inspección de estado. El punto clave para analizar cada trama es cuando se configura la conexión, es decir cuando se ingresa una nueva trama para el análisis respectivo, luego de haber determinado el inicio y el final de la trama se crea un circuito virtual entre los host involucrados, una vez teniendo estos circuitos lógicos el análisis de los paquetes intermedios se realiza sin mayores complicaciones. Figura 1.13 Paquete ethernet y la aplicación de Stateful Inspection Con respecto a la utilización de reglas de filtrado, estas se pueden hacer de manera similar a un router de filtrado de paquetes, siendo estas mucho menos complejas que configurar una aplicación nueva para un firewall utilizado como Proxy. Sin embargo por lo mismo, se requieren realizar pruebas exhaustivas de las aplicaciones a utilizar para no dejar agujeros de seguridad al descubierto. De igual manera cabe mencionar que las reglas de seguridad - 24 - pueden ser implementadas en cualquiera de las capas que en las que esta tecnología realiza comparación, es decir desde la capa de red hasta la capa de aplicación. 1.4.2 Análisis de paquetes. Esta tecnología de análisis, depende en gran medida de la negociación de tres vías que realizan el trafico TCP. Es decir, cuando un cliente inicia una nueva conexión, envía un paquete con el bit SYN establecido en la cabecera de paquetes, considerando un paquete nuevo para cada paquete con el bit de SYN activado. Si el servicio que el cliente esta solicitando esta activo en el firewall, el servicio de respuesta de paquetes SYN establece en el paquete el bit ACK. El cliente entonces responde con un paquete en que solo el bit ACK se fija, identificándolo como paquete establecido o de conexión existente. De la forma anterior únicamente permitirá la entrada a paquetes de sesión iniciada, por los puertos establecidos únicamente para esa sesión; mientras se finaliza el envió de paquetes establecidos ningún paquete ajeno a esta conexión podrá filtrarse por el firewall, restringiendo así el acceso a paquetes ajenos enviados por posibles hackers. Esta tabla esta compuesta generalmente por la dirección y el puerto origen, luego por la dirección y el puerto destino, a continuación la IP en cuestión, seguido del estado del paquete y el tiempo que la conexión ha estado establecida. Esto se observa en la figura 1.14. Por lo antes mencionado, se requiere que el firewall mantenga una tabla de sesiones TCP activas. Por otro lado para las sesiones UDP se crea y almacena datos de contexto sobre una conexión virtual o pseudo conexión, la cual consiste en que si un paquete de respuesta se genera y envía de vuelta al peticionario original, se establece una conexión virtual y se permite al futuro paquete de respuesta atravesar el cortafuegos. La información asociada a una conexión virtual se guarda durante un periodo de tiempo muy corto y si no se recibe dicho paquete de respuesta durante este, la conexión es invalidada. Algunos modelos de este tipo de cortafuegos pueden realizar controles similares a este sobre el protocolo ICMP. Figura 1.14 Visualización de la tabla para analizar paquetes. - 25 - Otra importante funcionalidad es la de permitir ciertos comandos mientras que deshabilita otros para una determinada aplicación. Así, es posible permitir un ping ICMP mientras que se deniega un Redirect o permitir un get sobre SNMP mientras que deshabilitamos los comandos set sobre el mismo protocolo. 1.4.3 Resumen. Ventajas: 1. Protección a mayores niveles de seguridad. 2. Capacidad de identificar tramas y sus paquetes validos. 3. Soporta autenticación de usuarios. 4. Capaz de almacenar historial que luego puede ser usado como técnica de filtrado de paquetes. 5. Mayor velocidad de respuesta comparada con la de un Proxy. 6. Sistema de protección bastante granular. Desventajas: 1 El firewall requiere mayores niveles de procesamiento. 2 Requiere de configuración más compleja en las políticas a usar. 3 No analizan los contenidos de los paquetes. 1.5 Deep Packet Inspection. Tecnología liberada al público en los inicios del año 2004 junto con los equipos UTM, es una especie de filtrado de paquetes que utiliza los datos y/o cabecera de los paquetes para determinar si se cumplen los protocolos establecidos, si se encuentra virus, spam, intrusos o criterios predefinidos para determinar si se necesita una ruta hacia un destino diferente o simplemente para llevar consigo un registro estadístico. Junto con esta tecnología nace el IPS (Intrusion Prevention Service) el cual es de suma importancia, ya que es capaz de identificar el tráfico circulante de la red y detectar posibles anomalías en el mismo. Otorgando además capacidad de eliminar los cuellos de botella y de aplicar QoS en los segmentos de red a los que se someta a evaluación esta tecnología. En la figura 1.15 se observan los componentes de la inspección profunda de paquetes. - 26 - Figura 1.15 Visualización de Deep Packet Inspection. 1.5.1 Descripción Esta técnica es capaz de realizar verificación desde la capa 2 a la capa 7 del modelo OSI, esto incluye la cabecera y la estructura de datos propiamente dicha que hasta ahora no se había mencionado en ninguna inspección anterior, esto se observa en la figura 1.16. Así mismo es capaz de identificar y clasificar el tráfico tomando como referencia una base de datos de firmas, estas se comparan con los datos extraídos del paquete permitiendo así amplio control del tráfico y más aun si se compara con el filtrado de paquetes que únicamente identificaba el encabezado. Sin embargo este tipo de inspección aun es susceptible a los ataques segmentados en paquetes. Figura 1.16 Paquete ethernet y la aplicación de Deep Packet Inspection. - 27 - El motor de inspección aplica reglas basadas en firmas que no son más que identificadores que tratan de definir por las características al tipo de trafico que se esta haciendo atravesar al firewall, las cuales a su vez utilizan motores de comparaciones, técnicas heurísticas, reglas estadísticas o técnicas para detectar anomalías, incluso se pueden realizar combinaciones de los métodos antes mencionados; para determinar la clasificación que se le da a cada paquete analizado. Por otro lado esta tecnología tiene la capacidad de analizar y filtrar SOAP y otros mensajes XML, además de abrir y cerrar puertos dinámicamente para el tráfico de aplicaciones VoIP, realizar detección de spam, trafico de IM, e identificar las diversas formas de tráfico P2P existentes en la red. Un paquete puede ser redirigido, marcado/etiquetado, bloqueado, de tasa limitada o clasificado de alguna manera especial de acuerdo a catalogadores en la red. Una vez se reconocen las firmas, los paquetes pueden ser tratados como flujos y no como elementos individuales para un mejor y más ágil tratamiento de los mismos. Facilitando de la misma manera la posible configuración de QoS dependiendo del tráfico que circule por la red, no solo para las redes locales, sino que también un ISP puede valerse de este método para generar el QoS para cada cliente en específico. 1.5.2 Tipos de análisis. El análisis se realiza en base a firmas, sin embargo estas no son confiables en un cien por ciento, de hecho se recomienda mezclar las diferentes técnicas para poder clasificar de la mejor manera el tráfico circulante por la red. Lo anterior pudiese suceder cuando el patrón de comportamiento de una aplicación en específico se modifica por alguna razón, si por ejemplo se tuviera el tráfico circulante desde Internet hacia algún host, este tráfico se comportaría diferente si desde Internet pasara por un firewall y luego llegara hasta el host. Con respecto a las diversas mezclas de análisis de tráfico que se pudieran aplicar para clasificar o identificar las diversas firmas de los paquetes podemos mencionar: análisis de puertos, similitud de cadenas, por propiedades numéricas, por comportamiento y de manera heurística. - 28 - 1.5.2.1 Análisis por puerto. Quizás es el más simple y más conocido método de análisis de paquetes; ya que las aplicaciones conocidas se comunican por medio de puertos ya establecidos, por ejemplo POP3 es usado para el correo electrónico usando el puerto 110 como puerto de entrada o el puerto 25 como puerto de salida, presentando en ambos casos en las respuestas puertos aleatorios. Sin embargo existen aplicaciones que manejan aleatoriamente el puerto de origen y el de respuesta; siendo poco recomendable la utilización de esta técnica para los casos antes mencionados, por lo que se hace necesario utilizar alguna de los otros métodos de identificación de tráfico. 1.5.2.2 Similitud de cadenas Este método involucra la búsqueda de secuencias de caracteres alfanuméricos en los paquetes. Además estas cadenas pueden consistir de varias cadenas distribuidas en un solo paquete o consistir de varios paquetes. Algunas aplicaciones aun declaran sus nombres en sus propios protocolos, como por ejemplo el Kazaa, donde la cadena “Kazaa” se puede encontrar en el campo de agente usuario, ya con esto se tiene una herramienta más para la clasificación de los paquetes, ya que si únicamente se verificara el número de puerto que se utiliza existirían grandes posibilidades que se considerara únicamente como trafico HTTP. La estructura de un paquete típico que utiliza Kazaa para la comunicación se muestra en la figura 1.17. Figura 1.17 Cadena de Kazaa utilizada para el análisis de similitud de cadena - 29 - 1.5.2.3 Análisis de propiedades numéricas Este tipo de análisis involucra la investigación de características aritméticas y numéricas de cada paquete, entre ellas se pueden mencionar la longitud de paquete, número de paquetes enviados en respuesta en una transacción específica y el número de compensación de cadena en cada paquete. Por ejemplo, se considera un proceso de establecimiento de una conexión TCP usando protocolo UDP en Skype. El cliente envía un mensaje de 18 bytes esperando una respuesta de 11 bytes. Esto es seguido por un mensaje de envío de 23 bytes, esperando una respuesta de 18, 51 o 53 bytes. Se presenta en la figura 1.18 una ilustración del caso antes mencionado. Sin embargo, este análisis exhaustivo muchas veces es aun insuficiente para dar respuestas acertadas al tráfico analizado. Figura 1.18 Análisis de propiedades numéricas para un tráfico de Skype. 1.5.2.4 Análisis por comportamiento y de manera heurística. El análisis por comportamiento se refiere a la manera en que un protocolo opera. El análisis heurístico se refiere a la extracción de parámetros estadísticos de los paquetes examinados. A menudo el análisis por comportamiento y heurístico se combinan para una mejor evaluación. En la figura 1.19 se presenta un ejemplo de comportamiento heurístico y de análisis de comportamiento, se compara tráfico HTTP con tráfico P2P. Si el histograma de longitud del paquete (PDF) es examinado sin tomar en cuenta si es tráfico de subida o bajada, se - 30 - observa que únicamente se tiene trafico HTTP en paquetes de gran longitud a una tasa de transferencia baja, mientras que el trafico de P2P tiende a la utilización de paquetes de longitud más corta a una tasa de transferencia alta; de esta manera, mediante el examen de algunos métodos estadísticos, es posible concluir si una conexión vía puerto 80 lleva el tráfico HTTP puro u otro tipo de tráfico como el tráfico de P2P. Figura 1.19 Tráfico HTTP y trafico P2P analizados por comportamiento y de forma heurística Ventajas: 1. Extensos recursos en la evaluación de tráfico que permiten identificar con veracidad el tipo de tráfico que circulante. 2. Inspección profunda de paquetes. 3. Facilidad para complementarse con las técnicas de inspección antes mencionadas. 4. Configuración granular del equipo permitiendo flexibilidad de políticas. 5. Debido a que inspecciona todo el tráfico circulante por la red, almacena todos los logs posibles. Desventajas: 1. Requiere una alta capacidad de procesamiento. 2. Configuración compleja. - 31 - 1.6 Software Firewalls & Hardware Firewalls. Antes de empezar a describir las diferencias entre ambos equipos es importante aclarar que una red o un equipo bien protegido ante las vulnerabilidades típicas y las amenazas de Internet, es aquel que cuenta tanto con un firewall por software como por un firewall por hardawe, debidamente actualizados ya que para ambos casos es necesario contar con las ultimas amenazas conocidas y los últimos sistemas de protección desarrollados. También es importante aclarar que la función de ambos equipos es la misma, recibir, analizar paquetes y tomar decisiones en base al contenido de estos, sin embargo como se vera a continuación esto se realiza de manera diferente. 1.6.1 Firewalls por Software Los firewalls en software también llamados firewalls personales, son más recomendables para los usuarios domésticos ya que con sus características sencillas: de bloquear pop up, bloquear spyware, antivirus, antispam, bloqueo de contenido nocivo a menores, filtro de contenido Web, control de acceso a funciones especificas como imprimir documentos, acceder a determinados documentos, con su interfaz gráfica configurable de manera sencilla y poco moldeable a los intereses de cada usuario; se recomiendan más para este tipo de usuarios. Una de las principales desventajas que para que estos equipos funcionen bien se necesita que estén instalados en todos los equipos que componen la red interna, así como que se tiene que tener cuidado con el tipo de software que se instala ya que podría consumir demasiados recursos de la computadora donde se haya instalado o pudiera ser incompatible con alguna versión de sistema operativo; de hecho un buen firewall por software deberá de correr en segundo plano y utilizar pocos recursos para no limitar el desempeño del host respectivo. Por otro lado el análisis que se hace del tráfico de salida de la red interna a la red externa, suele ser más completo que el que realiza un firewall por hardware. Además es de vital importancia la actualización del sistema operativo tanto así como la actualización del software para tener un mejor funcionamiento del host protegido, también es importante asegurarse que los recursos que el software usara estarán disponibles en el ordenador usado. - 32 - Entre los fabricantes de estos dispositivos podemos mencionar: Norton, Panda, NOD32, AVG, McAfee, Trend Micro, AntiVir, Avast, etc. En la figura 1.20 se presentan logos de firewalls por software. Figura 1.20 Fabricantes de firewalls por software. 1.6.2 Hardware Los firewalls en hardware generalmente tienen un costo monetario más alto que las versiones en software, esto en parte debido a que son capaces de sustituir a un router y además presentan las características típicas de un firewall que antes se mencionaban como filtrado de contenido web, antispam, antivirus, IPS, IDS, control de aplicaciones, autenticación de usuarios, capacidad de realizar caché, almacenamiento de registros, todo esto de una manera diversificada presentando maleabilidad con respecto a la configuración de aplicaciones diferentes para varios usuarios desde el mismo equipo de seguridad. Es de aclarar que estos funcionan únicamente como dispositivos de seguridad periférica y algunos de ellos presentan aplicaciones extras como la capacidad de generar VPN, soportar VLAN’S. Dependiendo del fabricante se puede contar con software propietario el cual hace difícil la violación de la seguridad del mismo, sin embargo de igual manera pueden existir dispositivos con softwares conocidos en su interior comúnmente Linux. La funcionalidad de estos últimos equipos se da desde dispositivos que en su interior asemejan a una PC con memoria flash, discos duros, etc. otros equipos no utilizan discos duros sino que únicamente memoria flash con circuitos electrónicos de alta velocidad desde donde se almacena la información, estos circuitos son llamados ASIC (Application Specific Integrated Circuit) los cuales controlan funciones especificas de aplicaciones en particular, como por ejemplo el cifrado necesario para generar VPN y SSL, además con ellos se evitan las posibles fallas que los dispositivos mecánicos (discos duros) pudieran causar. - 33 - Algunos puntos en contra se mencionan a continuación, uno de ellos es que estos dispositivos de seguridad únicamente se utilizan como dispositivos de seguridad perimetral restringiendo las amenazas de una red exterior a una interior. También que la adaptabilidad y las actualizaciones de este tipo de dispositivos pueden llegar a ser complejas, debido a que no siempre las actualizaciones de los softwares son compatibles con todos los modelos de dispositivos existentes y que además estas actualizaciones pueden liberarse con demasiado tiempo de retraso con respecto a las nuevas amenazas o técnicas de seguridad. Sin embargo esto último varía entre cada fabricante. Entre los fabricantes de dispositivos firewalls por hardware tenemos: Cisco, Sonicwall, Fortinet, Juniper, Check Point, Barracuda, Systemantic, etc. 1.6.3 Proxy. La mayor similitud entre dispositivos UTM y dispositivos por software se da con los proxies que son aplicaciones que se instalan sobre sistemas operativos conocidos como Windows o en su mayoría Linux para el cual ya se han desarrollado distribuciones especificas para tal uso. El término de proxy hace referencia a un programa o dispositivo generalmente una PC que realiza una acción en representación de otro. Estos se colocan al igual que un UTM antes de la salida hacia internet es decir como aplicaciones de protección periférica pudiendo funcionar como ruteadores o como bridge, según sea la necesidad, obviamente se requiere de al menos una PC con dos interfaces Ethernet para lograr hacer la pasarela entre Internet y la LAN. Generalmente se pueden configurar de la misma manera que un UTM, ofreciendo características muy similares como filtrado de contenido web, IDS e IPS, VPN, control de acceso de usuarios, aplicación de políticas y generación de reportes. Aunque sin la versatilidad y la efectividad que da un dispositivo por hardware, estos suelen ser funcionales para sitios que no requieran un estricto control de la LAN, que no necesiten una aplicación robusta o muy costosa ya que muchos de ellos son aplicaciones un tanto más económicas que los UTM. Entre las aplicaciones que se desempeñan como proxies tenemos: Microsoft ISAServer, Dans Guardian, Untangle, Websense. En la figura 1.21 se muestran la configuración y el logo de un proxy que cumplen las características antes mencionadas. - 34 - Figura 1.21 Ilustración de un proxy - 35 - Capitulo 2: Introducción. En el siguiente capítulo se presenta la descripción de los aplicativos que es posible realizar en los dispositivos UTM, mencionando los métodos comúnmente utilizados por estos dispositivos para lograr realizar dichos controles de tráfico, así mismo se presentan ilustraciones de secciones de estos equipos utilizadas con un fin en especifico. Se ha realizado una clasificación de ocho categorías con el fin de visualizar por separado cada uno de ellos, separándolos en base a la función de cada sección. Las categorías se presentan de la siguiente forma: - Control de acceso web - IPS - VPN - Anti Spam - Anti Spyware - Anti Virus - IM & P2P - Reportes Cabe mencionar que el estudio se realizo sin tener como guía un modelo especifico de equipo, sino más bien en base a las características que comúnmente son presentadas por estos equipos. - 36 - 2.0 DESCRIPCION DE DISPOSITIVOS UTM Figura 2.1 Esquema de dispositivos UTM Los dispositivos integrados de seguridad UTM, son elementos robustos que integran tanto el hardware de conexión como un sólido sistema operativo, sobre el cual se colocan diversos bloques de seguridad. La estructura exacta depende de cada fabricante, y también puede variar en cada modelo, pero entre las más comunes tenemos el firewall o la protección contra intrusiones y otras consideradas opcionales como antivirus, anti-spam, VPN. Es decir, lo necesario para contar con una buena línea de defensa perimetral de la empresa, en la figura 2.1 se presenta una configuración típica de dispositivo UTM con algunas de las utilidades antes mencionadas. El origen del término UTM (Unified Threat Management) se le otorga a Charles Kolodgy de la IDC (Internacional Data Corporation) en el año 2004, dicho termino es usado para describir firewalls que tienen la capacidad de desempeñar múltiples funciones extra que a los dispositivos de seguridad tradicionales no se les incluían, entre ellas se pueden mencionar filtro de contenido web, antivirus, anti-spam, IDS e IPS1. Todo lo anterior está relacionado íntimamente con la función de proxies que estos dispositivos utilizan analizando y enrutando todo el trafico de la red, aunque de igual manera estos pueden funcionar de modo transparente (es decir no realizar ruteo) sin utilizar totalmente a plenitud sus capacidades. 1 http://www.wikipedia.org, consultada en abril de 2008 - 37 - Los sistemas de gestión unificadas de amenazas (UTM), se han convertido en un importante elemento para garantizar la protección perimetral de cualquier empresa por pequeña que esta sea. En lugar de aplicar varios elementos diferentes para lograr las diversas capas de protección para la parte de conexiones al exterior, resulta más eficaz, compacto, y con ello barato, colocar un elemento que agrupe la mayoría, o todas las funciones necesarias o al menos a las más importantes. El empleo de un dispositivo de seguridad ofrece la indudable ventaja de usar un hardware idóneo, normalmente reducido al mínimo, y colocar el software específico destinado a cubrir diversos aspectos de seguridad. En lugar de emplear un PC, o un servidor, convencional y montar sobre el mismo un sistema operativo estándar y luego diversas aplicaciones de seguridad, un dispositivo parte de un circuitería reducida, en la que se excluye todo elementos que puedan causar fallos o dejar abiertas puertas no deseadas. La centralización de los elementos de seguridad en un solo dispositivo presenta grandes ventajas, aunque también algún inconveniente. Por ejemplo, se concentra toda la seguridad y conectividad en un solo elemento, con el inconveniente que si este falla, todo el sistema de seguridad se cae, e incluso todas las conexiones quedan interrumpidas. Para paliar este efecto hay diversas soluciones, como la colocación de una pareja de elementos, uno activo y otro en reserva o en balanceo de carga entre ambos que permite que el dispositivo que funciona absorba directamente la carga del que falla o está siendo sustituido. Lo anterior se conoce como HA (High Availability). La gestión de estos equipos es un punto importante. Cuanto más centralizada y simple, más rápido, económico y fiable es crear una adecuada defensa. Además de contar con una combinación de hardware y software especializada, con sus cualidades de potente y fiable, es obligatorio que la gestión sea sencilla. La composición de los diversos elementos de seguridad que se colocan sobre un determinado dispositivo es notablemente amplia y varía mucho para cada fabricante e incluso dependiendo de gamas o modelos. El elemento más básico es un cortafuegos o firewall, que es el elemento primordial para establecer una defensa perimetral de red. Luego, capa sobre capa, se colocan otras funciones, como antivirus, anti-spam, detección de vulnerabilidades y filtrado selectivo de contenidos Web. Una de las grandes ventajas del uso de un dispositivo es que se libera a los host finales de gran parte de la carga de trabajo en las funciones de seguridad. Al menos para todos los que están conectados dentro de la oficina. Un dispositivo de esta clase no elimina la necesidad - 38 - de contar con protección en cada puesto de trabajo, pero descarga a éstos de gran parte de su trabajo. En la actualidad, el robo o suplantación de identidad así como el robo de tarjetas de crédito son elementos muy notables de la vulnerabilidad de seguridad informática. De lo anterior la necesidad de estar protegidos, o al menos sentirse así, ha llevado según reportes de IDC (Internacional Data Corporation) a las personas alrededor del mundo a invertir más en productos de seguridad (Antivirus, Web Filtering, IDS e IM) desde el año 2004 con unos $ 4.2 billones al año 2008 con $ 7.5 billones2. Para este caso, el capitulo que recién iniciamos tiene por objetivo describir de manera general, las partes que conforman un UTM sin tomar como referencia ninguna marca, modelo o fabricante en especifico. 2.0.1 Firewall. Sin duda la parte central del dispositivo, la cual también es llamada primera línea de defensa, utiliza en los UTM la tecnología de Deep Packet Inspection como técnica de análisis de contenido con las características mencionadas en el capitulo anterior. Los actuales firewalls para empresas por pequeñas que sean SOHO (small office - home office) integran tecnologías de VPN y de control de acceso, que emplean protocolos de autenticación estandarizados y algunos UTM permiten autenticación de usuarios contra bases de datos comúnmente usadas para este fin como por ejemplo el Windows Active Directory. La inspección de paquetes es la función principal de los firewalls, porque incluso los usuarios autenticados pueden generar tráfico malicioso, muchas veces sin saberlo. Las direcciones IP de origen y de destino, los números de puertos de origen y destino, los números de secuencia de paquetes y otros datos como el patrón de tráfico son recopilados durante sesiones de red y conservados para futuros análisis de tráfico. Dependiendo del equipo usado, si se cuenta con controles más granulares estos pueden conceder o denegar el acceso a recursos y aplicaciones basándose en la identidad del usuario, el horario del día o la información de la red. 2 http://www.fortinet.com, consultado en abril de 2008 - 39 - Los firewalls se utilizan en toda la infraestructura de la empresa para impedir que los usuarios puedan acceder a segmentos de red que tengan requisitos de seguridad únicos. Los más completos firewalls pueden controlar múltiples segmentos virtuales, proporcionando niveles de seguridad en la LAN más granulares, facilitando así la visibilidad de la red deseada a cada usuario de acuerdo a normas establecidas o a necesidades propias de la empresa o institución. 2.1 Filtrado de Contenido Web. Quizá la parte visible más utilitaria de los UTM (al menos en un inicio) por la misma función que esta desarrolla, es la parte de Web Content Filtering (WCF) o filtrado de contenido web. Es la primordial de las aplicaciones o al menos con la que se logra percibir en mayor grado la necesidad y utilidad que puede llegar a tener un administrador de red de un dispositivo UTM, esto es porque lo que primero salta a simple vista, entre las quejas de los administradores de red más comunes tenemos: • Pérdida de productividad, usuarios distraídos de sus labores a lo largo del día. • Congestión de la red, ancho de banda saturado sin mayor utilización en temas de trabajo. • Aumento de costos, muchas veces se tiene que incrementar el ancho de banda para intentar mejorar el desempeño de la red. • Exposición a amenazas en la web (virus, gusanos, troyanos, etc.) • Responsabilidad legal, empleados que acceden a material prohibido por la ley y que pudiera ocasionar daños a la imagen de la empresa. En este punto es fácil pensar en las millones de páginas webs que están al alcance de los usuarios con solo tener acceso a la red pública, las cantidades de páginas improductivas entre ellas las de entretenimientos, de juegos, de noticias del espectáculo, de descargas, P2P, etc. que además de hacer improductivas u ociosas los días de los empleados, pueden convertirse en amenazas para el desempeño de la misma red, saturando o usando buena parte del ancho de banda. Entre los sitios que generalmente se desea tener control al acceso de parte de los usuarios, están los sitios de chat, sitios pornográficos, sitios de hacking, sitios de música, aplicaciones P2P, sitios de juegos, sitios de videos en línea, etc. Para lo anterior se mencionaran al menos tres métodos de los más usados para este fin: - 40 - • Lista de palabras prohibidas: este método crea un diccionario con las palabras o frases prohibidas. Las URL’s y el contenido web es comparado con el listado controlando de esta manera los sitios. En el inicio, esta tecnología fue usada grandemente para que los propios usuarios depuraran y afinaran su lista, el proveedor solo entregaba una lista básica la cual era manipulada al gusto de cada cliente, lo cual era un proceso largo y engorroso ya que se requería actualización manual de cada palabra. Con el tiempo, este método ha ido cambiando a tal grado de contar con listas de millones de palabras o frases. Las actualizaciones siguen siendo realizadas manualmente y el filtrado de precisión puede ver afectadas a categorías específicas, como por ejemplo los sitios de investigación médica son a menudo bloqueados ya que se les confunde con material ofensivo. • Bloqueo de URL: este método utiliza prohibidas o sospechosas URL’s agregadas por el administrador de red para controlar el acceso a páginas web especificas. Esta técnica igual puede ser proporcionada por el fabricante con un listado básico para que el usuario la valla puliendo de acuerdo a sus necesidades, de hecho se pueden realizar la mezcla de lista de palabras prohibidas con bloqueo de URL para tener un campo más amplio de acción. • Bloqueo por categorización: es la más reciente tecnología de filtrado de contenido web que simplifica enormemente el proceso de gestión del contenido web. Este utiliza servidores externos (generalmente propietarios de cada fabricante) que ayudan a mantener cualquier sitio sospechoso actualizado apoyándose en la categorización que los servidores web con bases de datos de las URL; sin embargo estas bases de datos por motivos de memoria y robustez de equipos no está almacenada en cada dispositivo, sino lo que se hace es consultar a estas bases de datos que se encuentran almacenadas en servidores en sitios con IP públicas para que puedan ser accedidos desde cualquier sitio en Internet, y en base a esto determinar si la página a la que se está queriendo acceder está permitida o no; dependiendo del resultado encontrado si la página es accesible o no por los usuarios, esta información puede guardarse en cache para mejorar el performance de la red. La ventaja de esta tecnología es que las bases de datos se mantienen actualizadas en todo momento, eliminando la necesidad de gestionar y actualizar manualmente las listas o bases de datos contra las que se compara. - 41 - • Integración de búsqueda segura: algunos fabricantes añaden a la capacidad de sus equipos la integración de filtrados de contenidos de motores de búsqueda tanto de contenido Web como de imágenes, por ejemplo son capaces de interconectarse con Google, Yahoo y MSN para dar un servicio más complejo. En este caso se reescriben las búsquedas que el usuario desea realizar en base a las restricciones que cada sitio tenga habilitadas. Algunos fabricantes, manifiestan que sus categorizadores web almacenan en su interior la información de decenas de millones de URL’s y que con el día a día se van actualizando haciendo mayores esas bases de datos, así mismo el papel de seleccionar el tipo de URL que queremos que se tenga o no acceso debe de ser lo más amigable posible para el usuario y es aquí donde se da la diferencia entre algunos de ellos. Una visualización más clara de un categorizador de páginas web que el usuario podría observar se presenta en la figura 2.2 Figura 2.2 Visualización de Categorizador Web3. 3 http://www.bluecoat.com, consultado en abril de 2008 - 42 - Además de la categorización antes mencionada, es posible también bloquear los pop-up y controles ActiveX para todas las maquinas de la red a la cual se está protegiendo, de la misma manera es posible restringir el acceso a aplicaciones en especial, por ejemplo a la capacidad de descargar archivos desde Internet de cualquier tipo, también se podría restringir descargas de algún tipo en especifico de archivos, o de alguna página web en especifica, esto dependiendo de las necesidades que se tenga. Una ilustración mejor de los riesgos que se corren al dejar libres a los usuarios de navegar en Internet, se describe en breve, esto sucedió en el año 2004 y se le conoció como Download.Ject o ataque de JS/ Scob, el cual consistía en que después que los usuarios visitaban cierta página web, estos eran infectados con un programa, que el usuario sin saberlo, descargaba e instalaba y luego el programa se auto ejecutaba (conocida como aplicación backdoor) en sus computadoras, luego este programa estaba diseñado para que cuando el usuario visitara lugares financieros capturara toda la información posible y esta se enviara al correo electrónico de su creador, para proceder a vaciar las cuentas de ahorro personales o empresariales a las que hubiesen tenido acceso los usuarios. Observándose la importancia de mantener actualizado el listado de palabras, URL’s o bases de datos existentes, a la hora de tener bien protegida la red y con acceso restringido desde la misma, por otro lado, muchos fabricantes suelen colocar en sus dispositivos las primeras dos tecnologías mencionadas para el control de tráfico web por cualquier ajuste o página especifica que se quiera restringir o bloquear el acceso a necesidad propia de cada cliente, a esto hay que agregarle que una misma página web puede ser permitida a un gerente y bloqueada a un contador es decir dependiendo de los privilegios de cada usuario, los equipos UTM deberían de realizar esto sin mayores complicaciones y como valor agregado almacenar algún tipo de log que posteriormente se pudieran verificar. 2.2 Prevención de Intrusos. La historia sobre los sistemas IDS (Intrusion Detection System) inicia en 1972 cuando James Anderson perteneciente a las fuerzas armadas americanas publica un texto sobre la seguridad en los ordenadores. Este tema comienza a tomar fuerza con el desarrollo de la informática y las aplicaciones críticas que a su vez se iban desarrollando. A tal grado que - 43 - entre 1984 y 1996 se desarrolla el primer modelo de IDS llamado IDES (Intrusion Detection Expert System) el cual estaba basado en reglas4. Figura 2.3 Ilustración de un firewall con sistema IDS La parte de IDS/IPS (Intrusión Detection/Prevention System) ha ido evolucionando en respuesta a las amenazas a nivel de aplicación, con configuraciones adaptadas a sitios remotos, implementaciones periféricas y CORE de la red, se presenta una ilustración de un sistema con IDS y firewall incluido. Algunos dispositivos integran la prevención de intrusos de perfiles de aplicaciones y de red para proporcionar a los administradores de red un informe totalmente actualizado de la actividad de la red. Es importante mencionar la diferencia entre sistemas IDS e IPS, en un inicio se introdujo el término IDS que como su nombre lo indica únicamente servía para detectar las posibles anomalías que pudiesen estar afectando a la red en donde este estuviese colocado para que el administrador de la red o persona encargada tomara acciones para evitar posibles problemas que se pudieran generar a raíz de esto, posteriormente se hizo necesario no solo identificar sino más bien tomar acciones definidas contra las anomalías detectadas, fue así que nació el término IPS utilizado para ademá