¿Quién necesita un firewall?
Un firewall es un sistema o un grupo de sistemas que implementa políticas de control de acceso entre redes. La implementación real de los firewalls varía, pero en principio se puede considerar un firewall como un par de mecanismos: un mecanismo bloquea el tráfico y el otro permite que pase. Algunos cortafuegos se centran en bloquear el paso del tráfico, mientras que otros se centran en permitir el paso del tráfico. Quizás el concepto más importante que hay que entender acerca de un firewall es que implementa una política de control de acceso. Si no está seguro de qué acceso necesita permitir o denegar, puede pedirle a otra persona o a algún producto que configure el firewall como cree que debería hacerlo y luego elaborarán una política de acceso para su organización.
2. ¿Por qué necesitas un firewall?
Como cualquier otra sociedad, Internet está plagada de gente aburrida a la que le gusta hacer cosas online como pintar grafitis en las paredes de otras personas, derribar los buzones de correo de otras personas o sentarse en la calle a tocar la bocina del coche. Algunos intentan realizar un trabajo real a través de Internet, mientras que otros necesitan proteger datos confidenciales o de propiedad exclusiva. En términos generales, el propósito de un firewall es mantener a las personas aburridas fuera de su red y, al mismo tiempo, usted aún puede realizar su trabajo.
Muchas empresas y centros de datos tradicionales ya cuentan con políticas y prácticas de seguridad informática que deben seguirse. Cuando la política de seguridad de la empresa estipula que los datos deben protegerse, el firewall es aún más importante porque es la manifestación concreta de la política de seguridad de la empresa. Si su empresa es grande, la parte más difícil de conectarse a Internet a menudo no es el costo o el trabajo a realizar, sino convencer a la gerencia de que es seguro conectarse. Los firewalls no sólo brindan verdadera seguridad, sino que también desempeñan un papel importante al brindar a la administración un barniz de seguridad.
Finalmente, el firewall puede desempeñar el papel de "embajador" de la Internet corporativa. Muchas empresas utilizan sus sistemas de firewall como un lugar para almacenar información pública sobre sus productos y servicios, descargar archivos, corregir errores y otros archivos. Varios de estos sistemas se han convertido en partes importantes de la estructura de servicios de Internet (como UUnet.uu.net, whitehouse.gov y gatekeeper.dec.com) y han aportado una buena influencia a los patrocinadores de estas instituciones.
3. ¿Qué puede prevenir un firewall?
Algunos cortafuegos sólo permiten el paso del correo electrónico, protegiendo así la red de cualquier ataque que no sea el servicio de correo electrónico. Otros cortafuegos ofrecen una protección menos estricta y bloquean algunos servicios que se sabe que son problemáticos.
En general, los firewalls están configurados para evitar inicios de sesión interactivos no autorizados desde el mundo "exterior". Esto contribuye en gran medida a evitar que los vándalos inicien sesión en las computadoras de su red. Algunos cortafuegos más granulares bloquean el tráfico desde el exterior hacia el interior, pero permiten a los usuarios internos comunicarse libremente con el exterior. Si cortas el firewall, te protege de cualquier ataque a la red.
Otra característica muy importante de un firewall es que puede proporcionar un único "punto de estrangulamiento" en el que se pueden configurar controles de seguridad y auditoría. A diferencia de una situación en la que un sistema informático es atacado por alguien que utiliza un módem, un firewall puede funcionar como una eficaz herramienta de seguimiento y "escuchas telefónicas". Los firewalls brindan importantes capacidades de registro y auditoría; a menudo pueden proporcionar a los administradores un resumen de la situación, brindando información sobre el tipo y la cantidad de flujos que pasan a través del firewall y la cantidad de intentos de violarlo.
4. ¿Contra qué no pueden proteger los firewalls?
Los cortafuegos no pueden proteger contra ataques que no pasan a través del cortafuegos. Muchas empresas conectadas a Internet están muy preocupadas por la exposición de datos específicos de la empresa a través de las vías de acceso. Desafortunadamente, debido a estas consideraciones, las cintas se pueden utilizar eficazmente para filtrar datos. La dirección de muchas organizaciones tiene tanto miedo al acceso a Internet que no tienen políticas coherentes sobre cómo proteger el acceso telefónico a través de módems. Cuando se vive en una casa de madera, se consideraría una tontería instalar puertas de acero de seis pies de espesor. Sin embargo, muchas organizaciones compran firewalls costosos pero pasan por alto otras puertas traseras a sus redes.
Para que un firewall sea eficaz, debe convertirse en una parte integral de la arquitectura de seguridad de toda la organización. Las políticas de firewall deben ser realistas y reflejar el nivel de seguridad de toda la red. Por ejemplo, un sitio web que almacena datos ultrasecretos o confidenciales no necesita ningún firewall: en primer lugar, no debería estar conectado a Internet en absoluto, o los sistemas que almacenan datos verdaderamente confidenciales deberían estar aislados de el resto de la red corporativa.
Otro peligro del que un firewall realmente no te protegerá son los traidores o idiotas en tu red. Si bien un espía industrial puede enviar información a través de un firewall, es más probable que lo haga utilizando un teléfono, una máquina de fax o un disquete. ¡Es más probable que un disquete sea un medio para filtrar secretos organizacionales que un firewall! Los cortafuegos tampoco pueden protegerte de comportamientos estúpidos. Los usuarios que revelan información confidencial por teléfono son un buen objetivo para la ingeniería social. Si un atacante puede encontrar un empleado interno "útil" y engañarlo para que agrupe módems, es posible que el atacante evite por completo el firewall e ingrese a su red.
5. ¿Pueden los firewalls prevenir ataques de virus?
Los cortafuegos no pueden prevenir eficazmente intrusiones como las de virus. Hay demasiados métodos de codificación, diferentes estructuras y virus para transmitir archivos binarios en la red. Es imposible encontrar todos los virus. En otras palabras, los cortafuegos no pueden concienciar a los usuarios sobre la seguridad. En resumen, los firewalls no pueden proteger contra ataques basados en datos: ataques enviando por correo o copiando algo a un host interno y luego ejecutándolo en el host interno. Diferentes versiones de anuncios publicitarios, scripts fantasma y lectores PostScript gratuitos han sido vulnerables a este tipo de ataques en el pasado.
Las organizaciones que están seriamente preocupadas por los virus deben implementar medidas de control de virus en toda su organización. En lugar de intentar mantener los virus fuera de su firewall, asegúrese de que cada sistema de escritorio vulnerable tenga instalado un software de detección de virus y busque virus tan pronto como se encienda la computadora. El uso de software de detección de virus para proteger su red evitará que los ataques de virus se propaguen a través de disquetes, módems e Internet. Intentar mantener los virus fuera del firewall sólo bloquea los virus que provienen de Internet y la mayoría de los virus se infectan a través de disquetes.
Sin embargo, un número cada vez mayor de fabricantes de cortafuegos ofrecen cortafuegos de "detección de virus". Este tipo de firewall sólo es útil para usuarios inexpertos que intercambian documentos por ejecutables de Windows en Intel y aplicaciones de macro maliciosas. No espere que esta característica brinde protección contra ataques.
6. ¿Qué decisiones de diseño básicas se deben tomar en el diseño del firewall?
Frente a la persona afortunada que es responsable del diseño del firewall, la formulación de planes de ingeniería y la implementación o supervisión de la instalación, hay muchas cuestiones básicas de diseño esperando que él las resuelva.
Primero De todo, la cuestión más importante es que debe reflejar la política de cómo su empresa u organización pretende operar este sistema: un firewall instalado para denegar explícitamente todos los servicios excepto aquellos necesarios para conectarse a la red, o un firewall instalado para proporcionar una forma de detectar amenazas que no son formas de medir y auditar el acceso "en cola". Hay un cierto grado de paranoia en estas elecciones; la función final del cortafuegos puede ser una consecuencia de la gestión más que una decisión de ingeniería.
La segunda pregunta es: ¿Qué nivel de monitorización, redundancia y control necesitas? Al abordar la primera pregunta y determinar el nivel aceptable de riesgo (es decir, qué tan paranoico es), puede enumerar qué transferencias deben monitorearse, cuáles deben permitirse y cuáles deben negarse. En otras palabras, enumera sus objetivos generales al principio y luego combina el análisis de necesidades y la evaluación de riesgos para seleccionar las necesidades que siempre son opuestas a los riesgos y agregarlas a la lista de trabajo planificado.
La tercera cuestión es la financiación. Aquí sólo podemos discutir esta cuestión vagamente, pero es muy importante intentar cuantificar la solución propuesta por el costo de comprar o implementar la solución. Por ejemplo, un producto de gama alta para un firewall completo podría valer 654,38 millones de dólares, mientras que un producto de gama baja podría ser gratuito. Las opciones gratuitas, como realizar alguna configuración sofisticada en un enrutador Cisco o similar, no le costarán ni un centavo y solo requerirán tiempo del personal y unas cuantas tazas de café.
Construir un firewall de alta gama desde cero puede llevar varios meses-hombre, lo que puede equivaler a 30.000 dólares en salarios y ganancias de los empleados. Los gastos generales de gestión del sistema también son algo a considerar. Construir un firewall local está bien, pero es importante hacerlo sin una costosa intervención constante. En otras palabras, al evaluar un firewall, no sólo lo evalúa en función de su costo actual, sino que también considera los costos continuos, como los servicios de soporte.
A efectos prácticos, estamos hablando del servicio de enrutamiento de tráfico estático entre el router y tu red interna proporcionado por el proveedor de servicios de red. Por tanto, en base a este hecho, es necesario tomar varias decisiones técnicas. Los servicios de enrutamiento del flujo de transporte se pueden implementar en la capa IP a través de reglas de filtrado (como enrutadores) o en la capa de aplicación a través de puertas de enlace y servicios proxy.
La decisión a tomar es si colocar el PC expuesto en la red externa para ejecutar servicios proxy como telnet, ftp, noticias, etc. , o si se debe configurar un enrutador de protección similar a un filtro para permitir la comunicación con una o más computadoras internas. Ambos métodos tienen ventajas y desventajas. Los servidores proxy pueden proporcionar niveles más altos de auditoría y seguridad potencial, pero a expensas de mayores costos de configuración y menores niveles de servicio posibles (ya que es necesario desarrollar servidores proxy para cada servicio requerido). Durante demasiado tiempo, el equilibrio entre comodidad y seguridad ha vuelto a perseguirnos.
7. ¿Cuáles son los tipos básicos de firewalls?
Conceptualmente, existen dos tipos de firewalls:
1. Firewalls a nivel de red
2. La diferencia entre los dos tipos no es tan grande como podría pensar. La última tecnología desdibuja la distinción entre ellos, haciendo menos obvio cuál es "mejor" o "peor". Como siempre, debes elegir cuidadosamente el tipo de firewall que satisfaga tus necesidades.
Los cortafuegos a nivel de red normalmente toman decisiones basadas en las direcciones de origen y destino y se alimentan en un único paquete IP. Un enrutador simple es un firewall "tradicional" a nivel de red porque no puede tomar decisiones complejas y determinar qué significa realmente un paquete o de dónde proviene realmente el paquete. Los firewalls modernos a nivel de red se han vuelto cada vez más sofisticados y conservan el estado de acceso, el contenido de ciertos flujos de datos y otra información relevante que fluye a través de ellos. Una diferencia importante entre muchos firewalls a nivel de red es que el firewall puede pasar el tráfico directamente, por lo que generalmente es necesario asignar un bloque de dirección IP válido para usar dicho firewall. Los cortafuegos a nivel de red suelen ser rápidos y transparentes para los usuarios.
Ejemplo de firewall a nivel de red: en este ejemplo, se proporciona un firewall llamado firewall de host filtrado.
Firewall) firewall a nivel de red. En un firewall que protege el host, el acceso hacia y desde un único host está controlado por un enrutador que se ejecuta en la capa de red. Este único host es la cabeza de puente, un bastión de seguridad altamente fortificado que puede (con suerte) resistir ataques.
Ejemplo de firewall a nivel de red: en este ejemplo se proporciona el llamado "firewall de subred protegido". En un firewall de subred protegido, el acceso hacia y desde la red está controlado por enrutadores que operan en la capa de red. Es similar a un host protegido, excepto que en realidad es una red de hosts protegidos.
Un firewall de capa de aplicación es generalmente un host que ejecuta un servidor proxy, que no permite que los flujos de transmisión se transmitan directamente entre redes, y registra y audita los flujos de transmisión que pasan a través de él. Debido a que la aplicación proxy es un componente de software que se ejecuta en el firewall, es una ubicación ideal para implementar el registro y el control de acceso. Un firewall a nivel de aplicación actúa como un traductor de direcciones de red porque el tráfico entra por un lado y sale por el otro bloqueando efectivamente la aplicación que accedió originalmente al sitio original. En algunos casos, configurar un firewall a nivel de aplicación puede afectar el rendimiento y hacer que el firewall sea menos transparente. Los primeros firewalls a nivel de aplicación, como los creados con el kit de herramientas de firewall TIS, no eran muy transparentes para los usuarios finales y requerían capacitación. Los cortafuegos a nivel de aplicación suelen proporcionar informes de auditoría más detallados e implementan un modelo de seguridad más conservador que los cortafuegos a nivel de red.
Ejemplo de firewall de capa de aplicación: en este ejemplo, se proporciona un firewall de capa de aplicación llamado "Dual Home Gateway".
Una puerta de enlace local bidireccional es un software de agente que ejecuta un host altamente seguro. Tiene dos interfaces de red, una en cada red, y bloquea todo el tráfico que pasa por ella.
El posicionamiento futuro de los firewalls debería estar en algún lugar entre los firewalls a nivel de red y los firewalls a nivel de aplicaciones. Los firewalls a nivel de red pueden volverse cada vez más conscientes de la información que fluye a través de ellos, mientras que los firewalls a nivel de aplicaciones pueden volverse más "de bajo nivel" y transparentes. El resultado final será un sistema de filtrado de paquetes rápido que podrá registrar y auditar el tráfico que pasa. Un número cada vez mayor de firewalls (capas de red y de aplicaciones) incluyen mecanismos de cifrado que les permiten proteger el tráfico que fluye entre ellos a través de Internet. Las organizaciones que utilizan múltiples puntos de acceso a Internet pueden utilizar un firewall con cifrado de extremo a extremo. Estas organizaciones pueden utilizar Internet como una "columna vertebral privada" sin temor a que miradas indiscretas puedan acceder a sus datos o contraseñas.
8. ¿Qué es un "punto único de falla"? ¿Cómo evitar este fracaso?
La seguridad se basa en que su estructura tenga un único punto de falla. Se produjo un error en el software que ejecuta el host cabeza de puente. Hay un error en la aplicación. Hay un error en el software que controla el enrutador. Tiene sentido utilizar todos estos componentes para construir una red segura y utilizarlos de forma redundante.
Si la estructura de su firewall es una subred protegida, entonces tiene dos enrutadores de filtrado de paquetes y un host cabeza de puente. (Consulte la pregunta 2 en esta sección) El enrutador de acceso a Internet no permite que el tráfico de Internet ingrese a su red privada. Sin embargo, si esta regla no se implementa con ningún otro mecanismo en el host cabeza de puente y/o enrutador de bloqueo, siempre que un componente de esta estructura falle o esté comprometido, un atacante obtendrá acceso al firewall. Por otro lado, si tiene reglas redundantes en el host cabeza de puente y reglas redundantes en el enrutador de bloqueo, entonces el atacante tiene que lidiar con tres mecanismos.
Además, si este host cabeza de puente o enrutador de bloqueo utiliza reglas para impedir el acceso externo a la red interna, es posible que desee que active algún tipo de alarma, ya que sabe que alguien ingresó a su enrutador de acceso.
9. ¿Cómo mantener alejadas todas las transmisiones maliciosas?
Para los firewalls que se centran en la seguridad en lugar de la conectividad, debería considerar bloquear todo el tráfico de forma predeterminada y permitir solo los servicios que necesita, caso por caso.
Si excluye todo excepto un conjunto específico de servicios, su tarea se vuelve muy simple. No necesita preocuparse por los problemas de seguridad de todos los productos y servicios que le rodean. Sólo necesita prestar atención a los problemas de seguridad de productos y servicios específicos. :-)
Antes de lanzar un servicio, debes considerar las siguientes preguntas:
*¿Es el acuerdo del producto un acuerdo público y conocido?
*¿Las solicitudes que brindan servicios en virtud de este Acuerdo están disponibles para inspección pública?
*¿Es ampliamente conocido este servicio y producto?
*¿Cómo cambiará el uso de este servicio la estructura del firewall? ¿Un atacante vería el problema de otra manera? ¿Puede un atacante usar esto para obtener acceso a mi red interna? ¿O cambiará cosas en los hosts de mi DMZ?
Al considerar los problemas anteriores, tenga en cuenta el siguiente consejo:
*“La seguridad desconocida no es segura en absoluto. Muchos protocolos no divulgados han sido descifrados por malos actores.
p >
*No importa lo que digan los especialistas en marketing, no todos los protocolos o servicios están diseñados teniendo en cuenta la seguridad. De hecho, la cantidad de protocolos o servicios que realmente consideran la seguridad es muy pequeña. si se tiene en cuenta la seguridad, no todas las agencias tienen personal calificado responsable de la seguridad, y entre las que lo tienen, no todas las agencias están dispuestas a invitar a consultores calificados a participar en proyectos de ingeniería para que otras partes sean capaces. Y los buenos desarrolladores diseñarán de manera insegura.
*Cuanto menos quiera un fabricante decirle cómo funciona su sistema, más probable será que haya problemas de seguridad (u otros). Los proveedores que ocultan tienen motivos para ocultar sus diseños e implementaciones.
10. ¿Cuáles son los ataques comunes?
¿Cómo proteger el sistema de sus ataques? Todos los tipos son ligeramente diferentes a los de otros sitios.
Pero hay algunas similitudes.
Hacking de Sesiones SMTP (SMTP Session Hacking)
En este ataque, el spammer copia miles de correos electrónicos y los envía a una gran cantidad de direcciones de correo electrónico. Debido a que estas listas de direcciones suelen ser malas, y para acelerar las operaciones del spammer, muchos spammers han adoptado la práctica de enviar todos sus correos electrónicos a un servidor SMTP, que es responsable de enviar esos correos electrónicos.
Por supuesto, mensajes negativos, quejas contra spammers, correos electrónicos condenatorios y malas relaciones públicas inundaron un sitio que alguna vez fue utilizado como punto de referencia. Esto realmente le costará a este sitio web y la mayor parte se utilizará para pagar a las personas que limpiarán esta información más adelante.
La "Iniciativa de seguridad en el transporte del sistema de prevención de abuso de correo" detalla este problema y cómo configurar cada remitente para evitar este ataque.
Explotación de errores en aplicaciones.
Existen varios errores en diferentes versiones de servidores web, servidores de correo y otros software de servicios de Internet. Por lo tanto, los usuarios remotos (de Internet) pueden aprovechar estos errores para hacer todo tipo de cosas, desde tomar el control de la computadora hasta deshabilitar aplicaciones.
Ejecutar sólo los servicios necesarios, aplicar los parches más recientes y utilizar productos que se hayan utilizado durante un tiempo puede reducir la probabilidad de encontrar este riesgo.
Explotación de errores en el sistema operativo
Este ataque suele ser iniciado por un usuario remoto. En comparación con las redes IP, los sistemas operativos más nuevos son más propensos a sufrir problemas, mientras que los sistemas operativos maduros tienen tiempo suficiente para detectar y limpiar los errores existentes. Los atacantes normalmente reinician, paralizan, pierden la capacidad de comunicarse con la red o reemplazan archivos en la computadora.
Por lo tanto, ejecutar la menor cantidad posible de servicios del sistema operativo ayuda a prevenir ataques al sistema. Además, instalar un filtrado de paquetes delante del sistema operativo puede reducir significativamente la cantidad de este tipo de ataques.
Por supuesto, elegir un sistema operativo estable también ayudará. Al elegir un sistema operativo, no crea en el dicho "lo bueno no es barato". Los sistemas operativos de software libre son generalmente más robustos que los sistemas operativos comerciales.
11. ¿Tengo que cumplir con todos los requisitos del usuario?
Es muy posible que la respuesta a esta pregunta sea "no". Cada sitio tiene su propia estrategia y sabe lo que necesita y lo que no, pero es importante recordar que, como guardián de una institución, una de sus principales tareas es la educación. Los usuarios necesitan transmitir video, chatear en vivo y atender a clientes externos que solicitan consultas interactivas de bases de datos en vivo en la red interna.
Lo que esto significa es que completar algo como esto crea riesgos para la organización que a menudo son mayores que el "valor" de las recompensas que podría imaginar siguiendo este camino. La mayoría de los usuarios no quieren poner en riesgo sus instituciones. Sólo miran las marcas comerciales y los anuncios y están dispuestos a hacer esas cosas. Es importante saber qué quieren hacer realmente los usuarios y ayudarlos a comprender que pueden alcanzar sus verdaderos objetivos de una forma más segura.
No siempre serás popular. Es posible que incluso recibas órdenes increíblemente estúpidas para hacer cosas como "abrir la boca", pero no te preocupes por eso. En este punto, sería prudente guardar todos los datos de tu intercambio para que, si un niño de doce años irrumpe en la red, al menos puedas salvarte del caos.
12. ¿Cómo ejecutar Web/HTTP a través de tu propio firewall?
Hay tres formas de hacer esto:
1. Si utiliza un enrutador blindado, permita que las conexiones "establecidas" a través del enrutador accedan fuera del firewall.
2. Utilice un cliente web que admita SOCKS y ejecute SOCKS en el host cabeza de puente.
3. Ejecute un servidor web con función proxy en el host cabeza de puente. Algunos servidores proxy alternativos en el kit de herramientas de firewall TIS incluyen Squid, Apache, Netscape Proxy y conexiones.
Básicamente, todos los clientes web (Mozilla, Internet Explorer, Lynx, etc.) tienen soporte integrado para servidores proxy.
13. ¿Cómo utilizar DNS cuando se utiliza un firewall?
Algunas organizaciones desean ocultar los nombres DNS del mundo exterior. Muchos expertos ven poco valor en ocultar nombres DNS, pero si un sitio web o las políticas de una empresa obligan a ocultarlos, es un método conocido que funciona. Otra razón por la que podrías tener que ocultar un nombre de dominio es si tienes un esquema de direccionamiento no estándar en tu red interna. No se engañe pensando que si oculta sus nombres DNS, a los atacantes les resultará más difícil acceder a su firewall. La información sobre su red se puede obtener fácilmente desde la capa de red. Si está interesado en confirmar esto, intente hacer "ping" a la dirección de transmisión de subred en su LAN y luego ejecute "arp -a". También es importante tener en cuenta que ocultar nombres de dominio en DNS no resuelve el problema de "exponer" nombres de host en encabezados de correo electrónico, artículos de noticias, etc.
Este método es uno de muchos y es útil para organizaciones que desean ocultar su nombre de host en Internet. El éxito de este enfoque depende de que el cliente DNS de una máquina no tenga que comunicarse con el servidor DNS de la misma máquina. En otras palabras, debido a que hay un servidor DNS en una máquina, no hay nada malo (y a menudo beneficioso) en redirigir la actividad del cliente DNS desde esa máquina a un servidor DNS en otra máquina.
Primero, configure un servidor DNS en el host cabeza de puente que pueda comunicarse con el mundo exterior. Usted configura este servidor para que pueda reclamar acceso a su nombre de dominio. De hecho, todo lo que este servidor sabe es lo que usted quiere que el mundo exterior sepa: el nombre y la dirección de su puerta de enlace, sus registros MX comodín, etc. Este servidor es un "servidor público".
Luego, configure un servidor DNS en la máquina interna. Este servidor también reclama los derechos de su nombre de dominio; a diferencia de los servidores públicos, este servidor "dice la verdad". Es su servidor de nombres "normal" y puede poner todos sus nombres DNS "normales" en este servidor. Configura este servidor nuevamente para que pueda reenviar consultas no resueltas a un servidor público (por ejemplo, usando la "línea de reenvío" en /etc/
named.boot).
Finalmente, configure todos los clientes DNS (por ejemplo, el archivo /etc/resolv.conf en Unix) para usar el servidor interno, incluidos aquellos en la máquina donde se encuentra el servidor público. Ésta es la clave.
El cliente interno que solicita información del host interno hace preguntas al servidor interno y obtiene la respuesta; el cliente interno que consulta la información del host externo consulta al servidor interno, el cliente interno consulta al servidor público, el público El servidor consulta Internet y luego regresa gradualmente. Obtenga la respuesta. Los clientes en servidores públicos funcionan de la misma manera. Sin embargo, los clientes externos que soliciten información a los hosts internos sólo obtendrán respuestas "restringidas" de los servidores públicos.
Este método supone que existe un firewall de filtrado de paquetes entre los dos servidores, lo que permite que los servidores se pasen DNS entre sí, pero restringe el DNS entre otros hosts.
Otro truco útil es utilizar registros PTR comodín en ADDR. Nombre de dominio AROA. Esto hará que una búsqueda de "dirección-nombre" de cualquier host no público devuelva algo como "desconocido". en lugar de devolver un error. Esto cumple con los requisitos de sitios FTP anónimos como ftp.uu.net. Dichos sitios web requieren el nombre de la computadora con la que se comunican. Este método no funciona cuando se comunica con un sitio que realiza comprobaciones cruzadas de DNS. En una verificación cruzada, el nombre de host debe coincidir con su dirección y la dirección debe coincidir con el nombre de host.
14. ¿Cómo utilizar FTP a través de un firewall?
En general, FTP se puede realizar utilizando un servidor proxy como ftp-gw del kit de herramientas del firewall, o permitiendo el acceso a la red dentro de un rango de puertos limitado (usando reglas como el bloqueo "establecido" reglas para limitar el acceso anterior que no sea el puerto) para atravesar el firewall.
Luego, modifique el cliente FTP para conectar el puerto de datos a un puerto dentro del rango de puertos permitido. Para hacer esto, necesita poder modificar
la aplicación del cliente FTP.
En algunos casos, si desea admitir descargas FTP, puede considerar declarar FTP como un "protocolo de muerte" y permitir a los usuarios descargar archivos a través de la Web. Si selecciona el modo FTP vía Web, los usuarios no podrán transferir archivos mediante FTP, lo que puede causar problemas, pero depende de lo que esté intentando lograr.
Un enfoque diferente es utilizar la opción FTP "PASV" para indicar al servidor FTP remoto que permita al cliente iniciar la conexión. El modo PASV supone que el servidor FTP del sistema remoto admite esta operación. (Consulte RFC1579 para obtener más detalles)
Otros sitios web prefieren crear versiones cliente de programas FTP que se vinculen con la biblioteca SOCKS.
15. ¿Cómo utilizar telnet a través del firewall?
La compatibilidad con Telnet a menudo se puede lograr usando una aplicación proxy como tn-gw de un kit de herramientas de firewall, o simplemente configurando el enrutador para usar políticas como reglas de filtrado "establecidas" permitidas. El proxy de la aplicación puede existir como un proxy independiente que se ejecuta en el host cabeza de puente o como un servidor SOCKS y un cliente modificado.
16. ¿Cómo utilizar RealAudio a través del firewall?
RealNetworks contiene algunas instrucciones sobre cómo pasar RealAudio a través de un firewall. No es aconsejable realizar cambios en su firewall sin saber qué cambios se están realizando y qué riesgos traerán los nuevos cambios.
17. ¿Cómo puede el servidor web convertirse en el front-end de la base de datos en la red privada?
La mejor manera de lograr esto es tener una conexión muy limitada entre el servidor web y el servidor de la base de datos a través de un protocolo específico. Un protocolo específico solo admite el nivel de función que utilizará. En general, no es una buena idea permitir SQL sin formato ni nada que un atacante pueda usar para realizar una extracción personalizada.
Supongamos que un atacante tiene acceso a su servidor web y lo consulta de la misma manera que el servidor web. ¿No existe un mecanismo para extraer información confidencial, como información de tarjetas de crédito, que el servidor web no necesita? ¿No podría un atacante seleccionar SQL y extraer toda su base de datos privada?
Como todas las demás aplicaciones, las aplicaciones de "comercio electrónico" se crean teniendo en cuenta la seguridad desde el principio, en lugar de "agregar" seguridad más adelante. Su estructura debe examinarse rigurosamente desde la perspectiva de un atacante. Suponga que el atacante conoce cada detalle de su estructura. Ahora pregúntate qué deberías hacer si quisieras robar tus datos, realizar cambios no autorizados o hacer cualquier otra cosa que no quieras hacer. Es posible que descubra que no necesita agregar ninguna funcionalidad y simplemente tomar algunas decisiones de diseño e implementación para aumentar significativamente la seguridad.
Aquí hay algunas ideas sobre cómo hacer esto:
Como principio general, extraiga los datos que necesita de la base de datos para no tener que consultar información que contenga información de interés para el atacante de toda la base de datos. Haga cumplir restricciones estrictas y auditorías sobre las transmisiones permitidas para viajar entre el servidor web y la base de datos.