Autores: Ana Mª Arias Blanco, Marta Mª Prieto Pérez
Fecha: 18 de mayo de 2007
El objetivo de este documento es probar cortafuegos, le daremos dos enfoques diferentes.
Desde el punto de vista teórico explicaremos los conceptos básicos de lo que es un cortafuegos, su uso y configuración asi como la importancia que tiene disponer del mismo en todo equipo conectado a la red.
En la parte práctica probaremos un cortafuegos con diferentes configuraciones entre dos portátiles conectados entre si ( desconectados de la red ) enviando diferentes ataques y ver si pueden o no llegar al otro sistema.
En general un cortafuegos es un programa que restringe las conexiones TCP/IP( protocolo que usan los ordenadores para entenderse en Internet).
Los cortafuegos permiten cambiar el estado de los puertos,configurandolos de diferentes maneras.
Un puerto puede estar en tres estados diferentes:
Es recomendable permitir el acceso sólo a los servicios que sean imprescindibles, dado que cualquier servicio expuesto a Internet es un punto de acceso potencial para intrusos.
Hay varios tipos de cortafuegos:
Es importante conocer que el sistema operativo Windows XP trae un cortafuegos incorporado, impide sólo el tráfico entrante, pero no el saliente, permite tener abiertos determinados puertos y configurar el acceso por aplicaciones.
Cabe destacar que no se pueden tener dos cortafuegos activados a la vez y ademas de tenerlo es muy importante que este bien configurado ya que, de no ser asi, no servira de nada.
Partimos de la base que tenemos dos ordenadores conectados entre si pero desconectados de la red, para ello se conecta ambos entre si con un cable de ethernet cruzado y se ponen los dos equipos dentro de una misma red. Esta se configura cambiando las direcciones ip, para ello: Inicio->Panel de Control->Conexiones de red->Propiedades de la red local->Propiedades de Protocolo TCP/IP.En nuestro caso elegimos usar una red de Clase C, cuyas direcciones son: 192.168.2.100 y 192.168.2.101.
Para comprobar que los equipos están conectados lo miramos en Inicio->Panel de Control->Mis sitios de red, y de este modo vemos todos los equipos que están en nuestra red, y podemos accede a todos sus recursos compartidos. También se puede hacer mediante interfaz de comandos, haciendo un ping a la dirección ip del otro equipo (ping 192.168.2.101), si este nos responde es que están conectados entre sí.
En esta parte explicaremos de forma detallada como probar un firewall en concreto el Zone Alarm. Este programa permite bloquear tráfico no deseado y restringir el acceso no deseado de aplicaciones a Internet. Diferencia entre zona local y zona Internet a la hora de establecer restricciones de accesos. Por defecto, bloquea el acceso externo a todos los servicios del sistema y obviamente a todos los puertos, permitiendo solamente el acceso a aquellos explícitamente indicados.
Para ello enviaremos ataques desde un equipo a otro y de este modo podremos ver hasta que punto es nuestro pc accesible desde la red.
Con el firewall de ambos ordenadores en zona Internet.
1º-Intentamos la conexión a los recursos compartidos desde el ordenador A al B. El acceso ha sido denegado a pesar de que los equipos se pueden ver en red. El tráfico no ha podido salir del ordenador A puesto que el firewall lo bloqueó, la notificación del mismo se encuentra en la imagen, el firewall del equipo B no ha dado ninguna notificación puesto que no ha llegado ningún tráfico.
2º-Realizando un escaneo de puertos con el programa SuperScan del ordenador A al B, obtenemos que todos los puertos de B están cerrados, sin embargo, esto no tiene nada que ver ya que le trafico saliente del ordenador A está bloqueado.
3º-Realizando un ping desde el ordenador A al B, muestra un error en la transmisión (el trafico de salida de A está bloqueado).
Con el firewall del ordenador A en zona local y el B en zona internet.
1º-Se vuelve a acceder a un recurso compartido y los resultados se muestran en las figuras siguientes. En la primera, los resultados del ordenador que establece la conexión y en la segunda, los del equipo que recibe la conexión. Se observa que se deniega el acceso y el equipo B muestra el aviso, por lo tanto, no podemos acceder a los recursos compartidos de ninguno de los mismos.
2º-Escaneo de puertos: el firewall de A muestra un aviso de intento de conexión, después de permitirlo nos muestra que todos los puertos de B están cerrados. Los resultados no se muestran dado que son los mismos que el apartado anterior.
3º-Ping: después de permitir el acceso, la respuesta del comando el tiempo de espera agotado para esta solicitud, por lo tanto, no hay respuesta del ordenador A al B.
Con los dos firewall en zona local los dos ordenadores podrían acceder a los recursos compartidos sin ningún problema, por lo tanto, también mediante el comando ping el ordenador B responde, y con el escaneo de puertos comprobamos que los puertos (123 y 137, UDP) del ordenador B están abiertos (ver figura).
Enumeración Windows.
Enumerar es: identificar recursos de red (maquinas y dominios) y recursos compartidos, cuentas de usuario, aplicaciones corriendo algún servicio.
En las dos primeras conficuraciones de firewall (cuando uno de ellos esta en zona internet) los resultados son los mismos y se muestran en la siguiente figura.
A continuación se muestran los resultados de la enumeración Windows con los cortafuegos en zona local.
Se puede observar en estas imagenes que la conexion con Null Session se realiza satisfactoriamente en el segundo de los casos mientras que en el primero no.
En el apartado anterior ya se han ido viendo los resultados obtenidos para cada una de las diferentes configuraciones del cortafuegos.
Cabe destacar que existen programas y paginas web especializadas en la prueba de firewall.
Con los resultados obtenidos en este trabajo podemos ver la importancia que tiene el uso de un firewall en un equipo asi como tenerlo bien configurado (observar que segun la configuracion del cortafuegos podiamos o no acceder al equipo).
Un firewall que no este bien configurado es un blanco perfecto para todo tipo de ataques, debemos proteger nuestro equipo.Se debe tener en cuenta de que en la red existen una serie de manuales que nos pueden ayudar a hacer esta tarea de forma eficaz.
http://www.alerta-antivirus.es Esta es una pagina muy interesante y que todo el mundo deberia conocer.Se trata de una pagina del estado actualizada con los ultimos virus, vulnerabilidades de los SO, etc. Ademas esta pagina dispone tambien de software gratuito para la seguridad de los equipos como puede ser firewall, IDS, antivirus..
http://www.google.es Buscador universal. Mediante el realizamos busquedas para descargar el software que necesitamos para el desarrollo del trabajo.
http://www.atelierweb.com/awft/ En esta pagina se ofrece un testeador de firewall,asi podras probar la eficacia del tuyo.