Firewall

Un firewall es un dispositivo que filtra el trfico entre redes, como mnimo dos. El
firewall puede ser un dispositivo fsico o un software sobre un sistema operativo. En general
debemos verlo como una caja con DOS o ms interfaces de red en la que se establecen una
regla de filtrado con las que se decide si una conexin determinada puede establecerse o no.
Incluso puede ir ms all y realizar modificaciones sobre las comunicaciones, como el NAT.

Esa sera la definicin genrica, hoy en dia un firewall es un hardware especifico con
un sistema operativo o una IOS que filtra el trfico TCP/UDP/ICMP/IP y decide si un paquete
pasa, se modifica, se convierte o se descarta. Para que un firewall entre redes funcione como
tal debe tener al menos dos tarjetas de red. Esta sera la tipologa clsica de un firewall:

figura 1Topologa clsica de un Firewall.

Firewall de capa de Red (IP Tables)
El cortafuegos utilizado para gestionar las conexiones en Linux es iptables. Las
posibilidades de iptables son prcticamente infinitas y un administrador que quiera sacarle el
mximo provecho, puede realizar configuraciones extremadamente complejas. Para
simplificar, diremos que bsicamente, iptables permite crear reglas que analizarn los
paquetes de datos que entran, salen o pasan por nuestra mquina, y en funcin de las
condiciones que establezcamos, tomaremos una decisin que normalmente ser permitir o
denegar que dicho paquete siga su curso.

El cortafuegos controla las comunicaciones entre la red y el exterior

Para crear las reglas, podemos analizar muchos aspectos de los paquetes de datos.
Podemos filtrar paquetes en funcin de:

Tipo de paquete de datos:

Tipo INPUT: paquetes que llegan a nuestra mquina

Tipo OUTPUT: paquetes que salen de nuestra mquina
Tipo FORWARD: paquetes que pasan por nuestra mquina

Iptables es un poderoso firewall integrado en el kernel de Linux y que forma parte del
proyecto netfilter. Iptables puede ser configurado directamente, como tambin por medio de
un frontend broken link: invalid section o una GUI broken link: invalid section. iptables es
usado por IPv4, en tanto que ip6tables es usado para IPv6.
 nftables est programada para ser liberada con el kernel de Linux 3.13, y vendr a
sustituir definitivamente iptables como la principal utilidad de cortafuegos de Linux.

figura 2 Firewall de capa de Red (IP Tables).

Caractersticas
Listar el conjunto de reglas que determinan el comportamiento de Netfilter, y por
consiguiente del filtrado de paquetes.
Aadir, eliminar y modificar las reglas de filtrado de paquetes.
Mantener contadores por cada regla de filtrado para determinar el nmero de veces
que se cumple.
Firewall de capa de Transporte (TCP Wrappers)
Un TCP Wrapper es una biblioteca que provee un control de acceso simple y
administracin de logs estandarizada para aplicaciones que lo soporten, y reciban conexiones
de red.

figura 3 Firewall de capa de transporte (TCP Wrappers.)

Es decir, aquellas aplicaciones de red que puedan recibir conexiones, como los
servicios de red (sshd por ejemplo), si soportan TCP Wrappers, vamos a poder realizar
algunos controles y logs adicionales con las conexiones entrantes.

Los TCP Wrappers son listas de control de acceso (ACL access control list) basadas
en hosts, y utilizadas para filtrar accesos de red a los servicios locales.

Surgieron en los aos 90 para proteger las estaciones de trabajo Unix de ataques
maliciosos por red.
 Algunas de sus desventajas son:

Todas las aplicaciones de servicio Unix deben estar compiladas para trabajar con la
biblioteca libwrap.
Los wrappers no funcionan con servicios de llamadas a procedimiento
remoto (RPC) sobre TCP).
La caracterstica de bsqueda de nombre de usuario del equipo atacante por defecto
est desactivada, ya que utiliza identd/xinetd como servicio de identificacin, pero
identd puede congelarse cuando hay muchas conexiones TCP.

Por otra parte, los TCP/Wrappers presentan una gran ventaja sobre los firewalls
comunes: trabajan en capa 7 (App), por lo que pueden, entre otras cosas, filtrar consultas an
cuando se utilice cifrado.

Bsicamente, lo recomendable es utilizar mecanismos de proteccin tanto basados en

host, como TCP wrappers, como mecanismos de red, como firewalls netfilter.

Los servicios comunes, como pop3, ftp, sshd, telent, etc., suelen soportar TCP/Wrappers.
Firewall de aplicacin Bastiones (Proxys)
Trabaja en el nivel de aplicacin (nivel 7), de manera que los filtrados se pueden
adaptar a caractersticas propias de los protocolos de este nivel. Por ejemplo, si se trata de
trfico HTTP, se pueden realizar filtrados segn la URL a la que se est intentando acceder.

Un firewall a nivel 7 de trfico HTTP, suele denominarse proxy, permite que las
computadoras de una organizacin entren a Internet de una forma controlada. Un proxy
oculta de manera eficaz las verdaderas direcciones de red.

figura 4 Firewall de aplicacin Bastiones (Proxys).

En este TFC se ha utilizado una combinacin de firewall a nivel de aplicacin de

pasarela (ya que se ha permitido el acceso de los programas utilizados en el TFC) y de capa
de red o filtrado de paquete porque se ha limitado el rango de IPs para el acceso a
dichos programas.

Bastin (bastion sin acentuar en ingls) (tambin se denominan gates) al sistema que
acta como intermediario. Es el punto de contacto de los usuarios de la red interna de una
organizacin con otro tipo de redes. El host bastin filtra trfico de entrada y salida, y tambin
esconde la configuracin de la red hacia fuera. Esta mquina debe estar especialmente
asegurada, pero en principio es vulnerable a ataques por estar abierta a Internet, generalmente
provee un solo servicio (como por ejemplo un servidor proxy).
 Un firewall proxy, uno de los primeros tipos de dispositivos de firewall, funciona
como gateway de una red a otra para una aplicacin especfica. Los servidores proxy pueden
brindar funcionalidad adicional, como seguridad y almacenamiento de contenido en cach,
evitando las conexiones directas desde el exterior de la red. Sin embargo, esto tambin puede
tener un impacto en la capacidad de procesamiento y las aplicaciones que pueden admitir.

HONEY NET
Honeynet. Los Honeynet son un tipo especial de Honeypots de alta interaccin que
actan sobre una red entera, diseada para ser atacada y recobrar as mucha ms informacin
sobre posibles ataca

Se llama honeypot (en Ingles, tarro de miel) a una herramienta usada en el mbito de
la seguridad informtica para atraer y analizar el comportamiento de los atacantes en
Internet.

Parece una contradiccin, puesto que la funcin habitual de las herramientas de

seguridad es exactamente la contraria: mantener alejados a los atacantes o impedir sus
ataques. Sin embargo, desde hace unos aos, se utilizan los honeypots para atraer a atacantes
hacia un entorno controlado, e intentar conocer ms detalles sobre cmo estos realizan sus
ataques, e incluso descubrir nuevas vulnerabilidades.

figura 5 Arquitectura Honeynet.

Caractersticas
Genera un volumen pequeo de datos.
No existen los falsos positivos.
Necesitan recursos informticos mnimos.
Son elementos pasivos.
Son fuentes potenciales de riesgo para la red.
Usan una direccin IP como mnimo.
Los Honeypots tienen un limitado carcter preventivo.
Tienen un alto grado de deteccin por los intrusos de ah que son conocidos como
tarros de miel.
Son programables en cuanto a la reaccin contra el atacante.

Tipos de Honeynet
La temtica Honeypot ha adquirido un valor inexplicable e inesperado dentro de la seguridad
informtica y es por esto que se han desarrollado diferentes herramientas de visualizacin,
anlisis y acercamiento a los perfiles de los atacantes y de sus caractersticas de ataques, es
por esto que encontramos necesario conocer las diferentes herramientas de Honeypots.

Algunos ejemplos de Honeypots de baja interaccin.

Specter. Intrusion Detection System el Specter es un honeypot inteligente basado

en sistemas de deteccin de intrusos, vulnerables y atractivos a los atacantes, este
sistema proporciona servicios como PHP, SMTP,FTP, POP3, HTTP, y TELNET que
atraen fcilmente a los atacantes, pero en realidad son trampas que pretenden
recolectar informacin.
Honeyd. EL Honeyd es un honeypot que crea host virtuales en la Red. los anfitriones
pueden ser configurados para ejecutar servicios arbitrarios y su personalidad puede
ser adaptado de modo que parezcan estar ejecutando ciertos sistemas operativos.
Honeyd mejora la seguridad Ciberntica proporcionando mecanismos para la
deteccin y evaluacin.
KFSensor. El KFSensor es un honeypot de Windows basada en sistema de deteccin
de intrusos (IDS), acta para atraer y detectar piratas informticos y gusanos,
vulnerables mediante la situacin de los servicios del sistema y troyanos.
 PatriotBox. El PatriotBox usa como seuelo el sistema de deteccin de intrusos
(IDS), en entornos de red empresarial de forma efectiva la deteccin temprana de las
amenazas de intrusos. tambin utiliza ayuda para reducir el spam en internet ya que
simula un servidor de correo de retrasmisin abierta.

Donde Poner los HoneyNet

En las instituciones y las universidades los investigadores especializados
en Honeypot han identificado tres zonas referentes para implementar los sistemas trampa.

1. Delante el Firewall

Al colocarlo delante del Firewall, hace que la seguridad de nuestra red interna no se
vea comprometida en ningn momento ya que nuestro Firewall evitara que el ataque vaya a
nuestra red interna.

Las dificultades al usar este mtodo son:

El ancho de banda que se consumira, ya que al estar en el exterior del Firewall no

abra dificultad en acceder a l.

A l estar fuera de nuestro Firewall, no podremos controlar los ataques internos.

figura 6 Implementacin de Honeypot delante del Firewall.

2. Detrs del Firewall

Esta opcin nos permite el control de los ataques internos y externos de cualquier
tipo, el principal problema que presenta este mtodo es que requiere una configuracin
especfica para dejar el acceso al Honeypot pero no a nuestra red. Lo cual provoca posibles
fallos de seguridad en la filtracin de trfico.
 figura 7 Implementacin de un Honeypot detrs del Firewall.

3. En una zona desmilitarizada

Al posicionarlo aqu se hace posible la separacin del Honeypot de la red interna y la

unin con los servidores, esta posibilidad nos permite detectar tanto ataques internos como
externos con una pequea modificacin del Firewall

figura 8 Implementacin de Honeypot en una zona desmilitarizada.

Bibliografa
https://candytraps.wordpress.com/que-es-un-honeypot/

https://www.rediris.es/cert/doc/reuniones/fs2007/archivo/Honeynets_RaulSiles_VForoSeguridad
RedIRIS_Abril2007.pdf

https://honeypots.wordpress.com/

http://www.ite.educacion.es/formacion/materiales/85/cd/linux/m6/cortafuegos_iptables.html

https://www.linuxadictos.com/introduccion-a-iptables-configura-un-firewall-en-linux.html

https://wiki.archlinux.org/index.php/Iptables_(Espa%C3%B1ol)