Ir al contenido

simple pero curioso


perezosso
 Share

Publicaciones recomendadas

Pues voy a discrepar...

Un router ENRUTA. Un cortafuegos FILTRA. Utilizar los cortafuegos que suelen incorporar los enrutadores hace que la carga de trabajo de su CPU se dispare y que ante un posible ataque D.O.S. la red/es que está/n detrás quede/n sin servicio. Además suelen ser más vulnerables a este y otros tipos de ataques, en gran medida porque son más fáciles de identificar y más conocidos por los atacantes, además de más simples.

En mi opinión, la mejor opción para un usuario doméstico es instalar un cortafuegos por software en la/s máquina/s que tenga conectadas y simplemente deniegue el acceso administrativo al enrutador desde el exterior. A nivel un poco más serio, lo mismo en cuanto al enrutador pero colocar un cortafuegos hardware de la capacidad adecuada (sirve incluso un viejo PC, aunque hay que tener en cuenta que no nos falle). Esto último lo puede tener cualquiera en su casa gratis o casi gratis y aporta un sinfín de ventajas.

Nacx: a lo que tú te refieres es a un filtrado "statefull" de un cortafuegos. Esto viene a ser el nivel más alto de filtrado de paquetes, lo que supone una gran carga para el enrutador. Para que te hagas una idea, un Cisco 827 descargando desde UN SOLO PC a una velocidad estable de unos 3,5 - 4 megas, llega a una utilización de CPU superior al 50 ó 60 por ciento. Y eso con el filtrado básico que comentaba. Si tienes un enrutador y no haces redirección más que de los puertos que sean absolutamente necesarios, los problemas de seguridad desde ese punto de vista son casi nulos. Es infinitamente más peligroso y probable un malware que registre y envíe datos que una intrusión por esa vía.

Saludos.

Enlace al comentario
Compartir en otros sitios web

vacaslocas, en absoluto me refería a lo que tu comentas. Sé de sobra la diferencia entre un firewall, un router, NAT y el filtrado de paquetes.

Si te fijas, perezosso únicamente ha preguntado lo de las conexiones, y yo o único que le he comentado es cómo funciona NAT (que supongo que es por donde iba su pregunta), sin entrar en temas de filtrado y cortafuegos.

Enlace al comentario
Compartir en otros sitios web

Buenas a todos,

Permitaseme discrepar a mí tambien. En principio Nacx no ha hablado en ningún momento de cortafuegos, solamente de NAT.

Evidentemente un router (o cualquier otro dispositivo) trabajará mas cuantas mas cosas tenga que hacer, pero eso no tiene nada que ver con la probabilidad de un ataque, no porque la CPU del router tenga mas carga este es mas facilmente atacable, en todo caso, será cuestión del Firewall que incorpore, de su buena o mala configuración, etc.

Estamos de acuerdo en que para un usuario domestico la mejor solución es un router con NAT y un cortafuegos en el equipo para filtrar el tráfico saliente, pero en lo que dices de algo mas serio no.

Un firewall en un PC es un firewall por software, no por hardware, un firewall hardware sería por ejemplo un PIX de Cisco o una implementación de Firewall1 sobre Nokia, nunca un PC con un software.

Estos elementos hardware están diseñados para soportar perfectamente las labores de enrutado e inspección de paquetes, solamente hay que dimensionarlos adecuadamente en función de la carga que tengan que soportar.

A nivel mas serio, las comunicaciones suelen ser un punto critico dentro del entramado de una empresa, nadie que esté en su sano juicio usaría un PC viejo para controlar dichas comunicaciones, es mas, suelen ser equipos de lo mas potente de la empresa y en muchisimos casos redundados, ten en cuenta que a una empresa con un volumen grande, cinco minutos de corte de comunicaciones por causa de un firewall le puede costar mas que el propio firewall.

Lo que dices del Cisco 827 un par de matizaciones:

Las series 800 de Cisco son routers digamos de juguete, vale que es un Cisco, pero no tiene nada que ver con el resto de la gama, ni en construcción ni en prestaciones.

La carga de CPU, no depende solamente de lo que este bajando, sino de las labores que tenga que hacer para bajarselo. No trabaja lo mismo el router bajando a 3 MB en descarga directa que bajandolo del emule con tropecientas conexiones abiertas, ya que en este caso el NAT puede dejarlo sentado.

Si en descarga directa te dá ese consumo de CPU, revisa la versión de IOS que tenga (hay grandes diferencias entre ellas). Yo te puedo decir que tuve mucho tiempo un Cisco 825 (es igual que el 827 pero con interfaz serie en lugar de ADSL) que tenía detrás un Firewall (que hacía el NAT) y por el que salían a Internet 800 usuarios sin ningún problema de sobrecargas.

Salu2

Enlace al comentario
Compartir en otros sitios web

EH, EH!!! Que se me echan encima todos los 'supers'... :shock::shock:

Nacx, en ningún momento he puesto en duda que lo sepas. Es más, llevo bastante tiempo leyendo este foro y sé de sobra que lo sabes. Es que la confusión viene del mensaje de perezosso. Como decía en mi mensaje anterior, NAT no puede direccionar hacia el interior si no tiene la información adecuada: mediante mapeo de puertos o mediante una conexión establecida desde el interior. Perezosso dice "bloquea todas las conexiones con el mundo exterior" y eso no es exacto. Lo que ocurre es que NAT no sabe qué hacer con ellas, pero OJO!!: responderá al remitente del paquete (puerto CERRADO). Si BLOQUEASE realmente las conexiones, no devolvería paquete alguno (puerto OCULTO). Por tanto, no podemos hablar en enrutado de permitir o no el paso de paquetes. Eso le corresponde al filtrado.

fontan155, yo no he dicho que por tener más carga de CPU, un enrutador sea más fácilmente atacable, aunque podría llegar a caer por un ataque D.O.S. (no es fácil hacerlo así ni en uno de los domésticos).

Un cortafuegos hardware, no es más que un hardware con un software de filtrado. Creo que me has malinterpretado con lo del PC. Es evidente que nadie en su sano juicio pondría un viejo hierro a dar conectividad a una empresa, pero un PC con la arquitectura de servidor adecuada puede ser (y lo es cuando se plantea correctamente) mucho mejor enrutador y/o cortafuegos que cualquier otra cosa.

En cuanto a lo del 827, estoy contigo en que a nivel de hardware es bastante bajo de gama. Aún así, con la 12.3(9) de IOS, y 32MB de RAM, se va a un 60-70 % de carga de CPU con una descarga directa desde un sólo PC a unos 3,5-4 Mb/s. Probablemente no aumente mucho más si se incrementa el número de usuarios, pero eso es lo que hay. En el caso que comentas del 825, no das el dato de velocidad de la conexión serie. Además, detrás sólo tenía directamente el cortafuegos, quitándole el trabajo del NAT. Él sólo veía una IP: fresquito y ligerito.

ikarilla, suele pasar cuando dos o más se enzarzan y se ponen a debatir los detalles más profundos de una simple confusión. Suele resultar muy edificante. De hecho, estos foros están llenos de hilos con buenos contenidos que empezaron por una tontería.

Saludos y paz. :D

Enlace al comentario
Compartir en otros sitios web

jajaja que pasada....que yo solo hice una preguntita

si cogieramos un router cualquiera por ejemplo el 3 com, y por un lado le dieramos conexion ADSL e internamente un Pc....bueno pues enciendo todo y lo configuro....activo el firewall y en el NAt le digo unicamente el puerto 21 para dar soporte a mi servidor FTP...bues pues se supone que de todos los paquetes que lleguen filtra todos menos el 21 que me les pasa directamente a mi ordenador...y la pregunta es ¿como es posible que pueda navegar si para ello es necesario tener el puerto milypico de entrada que es por donde me conecto al servidor web y es por donde me llegan las paginas?

garcias porvuestars respuestas :wink:

Enlace al comentario
Compartir en otros sitios web

Hola a todos,

vacaslocas no es que nos echemos encima, es que cuando sale una discusión interesante vamos como locos :D

Creo que ya vamos estando mas de acuerdo, tirar un router por un ataque evidentemente es posible, aunque como tu ya dices bastante dificil aún en routers domesticos. Normalmente es mas facil encontrar un agujero en su configuración y colarte por ahí.

Sobre el tema del cortafuegos no estoy muy de acuerdo, pero reconozco que es un tema opinable.

Vamos por partes:

Si te decides por utilizar un equipo y lo haces bien, lo mas probable es que no tengas problemas, pero esto implica usar buenos equipos y un buen firewall.

Con esta solución siempre es facil cambiar el Firewall por otro, pero tiene el inconveniente de que pueden aprovechar las vulnerabilidades del sistema operativo del equipo para atacarte (al menos para tumbartelo).

Como antes, aqui tambien es mas fácil explotar un fallo de configuración (esto es general en todos los casos)

Con un Firewall por hardware no es tan fácil aprovechar vulnerabilidades del SO (un PIX usa IOS), ademas, a pesar de en el fondo ser lo mismo, en este caso el hardware esta totalmente especializado para lo que tiene que hacer (es como un router con un PC o un router de verdad).

Otro tema es el de la configuración, evidentemente, no tiene nada que ver la configuración de un Firewall en un equipo con Windows a configurar un PIX, en el que te saldran 40 o 50 páginas de listado con sus correspondientes comandos de configuración y que en el que te puedes volver loco.

El problema que presenta este último punto, es que al ser una configuración tan sumamente compleja, aumenta la posibilidad de que cometas errores que luego te salgan caros.

Yo actualmente tengo de los dos tipos, Microsoft ISA Server 2000 y 2004 sobre Windows, Checkpoint Firewall1 tambien sobre Windows, PIX de Cisco y Checkpoint Firewall1 sobre hardware Nokia y desde luego me quedo con este último sin lugar a dudas.

Pero bueno, esto como te decía antes es opinable y cada uno tiene sus experiencias sobre el tema y saca sus consecuencias.

El 825 que te decía antes, era con una FR de 4 Mbps y lo que dices es exactamente lo que te quería decir, evidentemente con el Firewall detras haciendo el NAT, plano totalmente y atendiendo a una sola IP, iba como un campeón, pero un par de meses que tuvimos que traspasar el NAT al router por unos problemas, ya te imaginas lo que pasó, que tuvimos que cambiarlo por un 2650 XM con 256 Mb de Ram porque el 825 no tardaba cinco minutos en colgarse por la sobrecarga del NAT.

De todas formas, con las series 800 yo he tenido algunos problemas con las IOS y su compatibilidad con los Bootstraps, de hecho no sabía porque me aparecían ciertos errores hasta que encontre una referencia en un foro americano (la única que fuí capaz de encontrar) donde reportaban dicho problema. Hice el cambio en los que daban los errores y no veas que diferencia.

Además de esto, hay bastantes diferencias entre las distintas revisiones, tanto en rendimiento como en posibilidades. Yo tengo una buena colección de IOS para Cisco, si estas interesado en hacer pruebas con ellas, dimelo y vemos como enviartelas.

Bueno, y no me enrrollo mas, que los demas tambien querrán decir algo :D

Por supuestisimo salu2 y paz

Enlace al comentario
Compartir en otros sitios web

perezosso

La respuesta es simple, porque la conexión la inicias tu.

El problema de los puertos solamente lo tienes cuando alguien de fuera de tu red quiere iniciar una conexión contigo, en ese caso, si tu no le dices al router que lo que le llegue por los puertos que use esa conexión lo envíe a una máquina interna, el router lo bloqueará.

Cuando inicias tu la conexión los paquetes que envía tu máquina, pasan por el router y este sabe que paquetes ha enviado y que máquina de tu red ha sido la que los ha generado, así que cuando vienen las respuestas a dichos paquetes sabe a que máquina interna tiene que enviarselos, independientemente de los puertos que tenga abiertos, ya que es una respuesta a una petición suya.

Salu2

Enlace al comentario
Compartir en otros sitios web

Porque las conexiones se identifican mediante parejas de puertos origen-destino. Ambas conexiones tienen como destino el puerto 80, pero distinto puerto de origen.

Cuando creas una conexión nueva, el router crea una nueva entrada (temporal) en la tabla de NAT con el puerto de origen y la dirección IP, así cuando llega una respuesta hacia dicho puerto, el router ve la entrada en al tabla de NAT y sabe a que máquina enviarlo. Por eso no es necesario abrir puertos para conexiones que inicias tu.

En cambio, si una máquina de tu red ofrece un servicio (http, por ejemplo), llegará una conexión completamente nueva desde el exterior, y el router no sabría a quién entregárselo. Por eso hay que añadir una entrada fija a la tabla de NAT para decirle que el tráfico http lo dirija a la máquina que toque; es lo que se conoce habitualmente como abrir puertos :P

Enlace al comentario
Compartir en otros sitios web

Imaginemos una familia madre-padre-hijo (equipos en red local) que tiene un mayordomo (router), el cual se encarga del correo.

Cada vez que un miembro de la familia envía una carta al exterior, el mayordomo apunta el hecho en una libreta. Por ejemplo, el padre manda una carta a su proveedor de materias primas; la madre, a su bufete de abogados, y el niño, al Club Disney.

Cuando llegan las respuestas a esas cartas, el mayordomo sabe a qué habitación llevarlas, consultando la información de su libreta: las del proveedor, en la habitación del padre; el bufete, a las de la madre; y las del pato Donald, a la del retoño.

Pero un día llega un paquete que no es respuesta a nada, sino que ha llegado por iniciativa del remitente. Por ejemplo, una carta del concesionario de Audi (ya que estamos con el ejemplo de familia pudiente...). El mayordomo no sabe a qué miembro de la familia entregar ese paquete; podía ser incluso un coche de juguete para el niño.

Por eso, hay que crear entradas fijas para todos los paquetes cuya iniciativa provenga del exterior. En este caso, al mayordomo se le apunta que todos los paquetes que provengan de Audi, se dejen por ejemplo en la habitación de la madre.

Éste es uno de los motivos por los que se dice que estar tras un router es un motivo de seguridad. Si un día llega un paquete bomba, nadie en su sano juicio* crearía una regla que dijera "paquetes bomba -> a la habitación del padre", por lo que automáticamente es rechazado.

*Aunque viendo el éxito que han tenido y siguen teniendo los virus y ataques a través de los puertos 135, 445, etc. en sistemas Windows, me permito dudar del juicio de algún administrador...

Enlace al comentario
Compartir en otros sitios web

Perfecto...ahora ya es imposible decir que no lo he entendido Nacx y :D

mced creo que lo que puntualizas al final son los puertos Netbios ySmbBios (tan obsoletos como malos), pero supongo que si alguien no les abre obligadamente estos estaran cerrados por defecto cuando activas el NAT. ¿no es asi?

CITA DE vacaslocas Publicado: 23 Dic, 2005 - 04:02 AM Asunto: RE: simple pero curioso

--------------------------------------------------------------------------------

Pues voy a discrepar...

Un router ENRUTA. Un cortafuegos FILTRA. Utilizar los cortafuegos que suelen incorporar los enrutadores hace que la carga de trabajo de su CPU se dispare

ahi si que voy a discrepar, ya que un cortafuego hardware siempre cargara menos la cpu que uno de software, por eso incluso las placas NF4 de Nvidia ya vienen con un Firewall incluido en el chipset , para que la CPU no se sobrecargue (aunque actualmente da problemas)

gracias a todos :wink:

Enlace al comentario
Compartir en otros sitios web

Invitado
Este tema está cerrado a nuevas respuestas.
 Share

×
×
  • Crear nuevo...

Información importante

Términos de Uso Política de privacidad Hemos colocado cookies en su dispositivo para ayudar a mejorar este sitio web. Puedes ajustar la configuración de tus cookies ; de lo contrario, asumiremos que quieres continuar.