• Artículo

The Cable GuyModelos de host seguros y no seguros

Joseph Davies

Una configuración cada vez más habitual de los host de red es disponer de host múltiples en varias interfaces de la red. Un host múltiple proporciona una conectividad mejorada al poder conectarse simultáneamente a varias redes, tal como una intranet o Internet. Sin embargo, al poder conectarse a una intranet e

Internet, los servicios que se ejecutan en host múltiples pueden ser vulnerables a los ataques. Para ayudar a evitar estos ataques y hacernos una idea de cómo se procesa el tráfico IP para un host múltiple, analizaremos los modelos host seguros no seguros y luego describiremos su compatibilidad con Windows®.

RFC 1122 es la especificación que describe los dos modelos de un host múltiple que no actúa como un enrutador y que sólo envía y recibe tráfico IP de unidifusión. Estos modelos, conocidos como host seguro y host no seguro, especifican si el tráfico de unidifusión enviado o recibido debe asociarse con la interfaz de la red a través de la que se transporta el tráfico. Estos modelos determinan la forma en que un host envía y recibe paquetes y afectan a la vulnerabilidad de los servicios que se ejecutan en el host.

Aunque RFC 1122 define estos modelos para IPv4, también se aplican a IPv6. Un ejemplo de un host múltiple para IPv6 es un equipo que usa tanto IPv4 como IPv6, y que tiene un adaptador de red conectado a una intranet y a una interfaz de túnel IPv6.

Modelo de host no seguro

En el modelo de host no seguro, un host IP (IPv4 o IPv6) puede enviar paquetes en una interfaz que no tiene asignada la dirección IP de origen del paquete que se está enviando. Esto se conoce como comportamiento de envío de host no seguro. Un host IP también puede recibir paquetes en una interfaz que no tiene asignada la dirección IP de destino del paquete que se está recibiendo. Esto se conoce como comportamiento de recepción de host no seguro.

Cuando se tienen host IP de host múltiple con varias interfaces, activar el comportamiento de recepción de host no seguro en las interfaces a veces puede hacer que el host sea vulnerable a ataques de host múltiple. Por ejemplo, la figura 1 muestra un host A conectado a Internet y a la intranet. El host A tiene la dirección IPv4 pública 131.107.89.211 asignada a la interfaz de Internet y la dirección IPv4 privada 192.168.17.48 asignada a la interfaz de la intranet.

Figura 1 Ejemplo de un equipo de host múltiple

Figura 1** Ejemplo de un equipo de host múltiple **

Con el comportamiento de envío de host no seguro habilitado en las interfaces de Internet y de la intranet, el host A puede enviar paquetes desde 131.107.89.211 en la interfaz de Internet, paquetes desde 192.168.17.48 en la interfaz de Internet, paquetes desde 131.107.89.211 en la interfaz de la intranet y paquetes desde 192.168.17.48 en la interfaz de la intranet.

Con el comportamiento de recepción de host no seguro habilitado, el host A puede recibir los tipos de paquetes siguientes (bajo la suposición de que las reglas del firewall del host permitan el tráfico entrante): paquetes a 131.107.89.211 en la interfaz de Internet, paquetes a 192.168.17.48 en la interfaz de Internet, paquetes a 131.107.89.211 en la interfaz de la intranet y paquetes a 192.168.17.48 en la interfaz de la intranet.

Cuando se tiene el comportamiento de recepción de host no seguro habilitado, un usuario malintencionado de Internet puede enviar paquetes a la interfaz de Internet del host A para atacar los servicios que se ejecutan en este host A y que sólo están disponibles para los host de la intranet. Este tipo de ataque puede darse si la infraestructura de Internet es compatible con el reenvío de paquetes destinados a 192.168.17.48 para la interfaz de Internet del host A. Este tipo de ataques pueden evitarse si se configuran las reglas apropiadas del firewall en la interfaz de Internet del host A. Incluso así, los servicios que se ejecutan en el host A y que están disponibles para los clientes de la intranet pueden estar en peligro.

Modelo de host seguro

En el modelo de host seguro, los comportamientos de envío y recepción son diferentes. Con los envíos de host seguro, el host sólo puede enviar paquetes en una interfaz si a ésta se le ha asignado la dirección IP de origen del paquete que se está enviando. Con las recepciones de host seguro, el host sólo puede recibir paquetes en una interfaz si a ésta se le ha asignado la dirección IP de destino del paquete que va a enviarse.

Con el comportamiento de envío de host seguro habilitado en las interfaces de Internet y de la intranet, el host A de la figura 1 sólo puede enviar paquetes desde 131.107.89.211 en la interfaz de Internet y paquetes desde 192.168.17.48 en la interfaz de la intranet.

Con el comportamiento de envío de host seguro habilitado, el host A sólo puede recibir paquetes a 131.107.89.211 en la interfaz de Internet y paquetes a 192.168.17.48 en la interfaz de Intranet.

En la figura 1, el modelo de host seguro para el host A descarta todos los paquetes entrantes en la interfaz de Internet que se dirigen a 192.168.17.48 sin tener que configurar las reglas del firewall, aislando de forma eficaz la interfaz de la intranet del host A desde Internet.

Al elegir el modelo de host seguro, recuerde que podría afectar a algunos tipos de conectividad diseñados para el comportamiento de host no seguro. Por ejemplo, algunas implementaciones de equilibrio de la carga quizás usen el comportamiento de host no seguro para recibir paquetes en cualquier interfaz y luego dirigirlos a la interfaz apropiada de forma interna. Un host que usa envíos de host no seguro para enviar tráfico desde cualquier dirección de origen en una interfaz correspondiente a una conexión rápida también se puede ver afectado.

Envíos y recepciones en un host seguro

Ahora veamos cómo funcionan los procesos de envío y recepción en un host genérico para IPv4 o IPv6 cuando se permite que los envíos y las recepciones de host seguro se habiliten o deshabiliten según la interfaz.

Para paquetes que se envían, la dirección IP comprueba primero si ya se ha especificado una dirección de origen. Si no se ha hecho, la dirección IP realiza una búsqueda sin restricciones de la dirección de destino del paquete en la tabla de enrutamiento. En una búsqueda sin restricciones, se tienen en cuenta todas las rutas de la tabla de enrutamiento. Según la ruta seleccionada para el destino, la dirección IP determina la interfaz de próximo salto (la interfaz que se usa para colocar el paquete en el nivel de vínculo) y la dirección de próximo salto. En función de la interfaz de próximo salto, la dirección IP usa el proceso de selección de dirección definido en RFC 3484 según sea necesario para determinar la mejor dirección de origen. Llegado a este punto, la dirección IP tiene todo lo que necesita para enviar el paquete: las direcciones de origen y de destino, la interfaz de próximo salto y la dirección de próximo de salto.

Si se especificó la dirección de origen, se conocerá la interfaz de origen. A la interfaz de origen se le asigna la dirección de origen. La dirección IP entonces determina si los envíos del host seguro están habilitados en la interfaz de origen.

Si están deshabilitados, la dirección IP realiza una búsqueda sin restricciones de la dirección de destino del paquete en la tabla de enrutamiento. Según la mejor ruta correspondiente para el destino, la dirección IP determina la interfaz del próximo salto y la dirección del próximo de salto. La dirección IP contiene las direcciones de origen y de destino, la interfaz de próximo salto y la dirección de próximo salto. Tenga en cuenta que con el comportamiento de envío de host seguro deshabilitado en la interfaz de origen, la interfaz de próximo salto quizás no sea igual que la interfaz de origen.

Si los envíos de host seguro están habilitados la interfaz de origen, la dirección IP realiza una búsqueda con restricciones de la dirección de destino del paquete en la tabla de enrutamiento. En una búsqueda con restricciones, sólo se tienen en cuenta aquellas rutas con una interfaz de próximo salto de la interfaz de origen. Según la ruta seleccionada para el destino, la dirección IP determina la dirección del próximo salto. La dirección IP contiene las direcciones de origen y de destino, la interfaz de próximo salto y la dirección de próximo salto. Tenga en cuenta que con el comportamiento de envíos de host seguro habilitado en la interfaz de origen, la interfaz de próximo salto es siempre la misma que la interfaz de origen. La figura 2 muestra el proceso genérico de host de envío IP.

Figura 2 Proceso genérico de host de envío IP

Figura 2** Proceso genérico de host de envío IP **(Hacer clic en la imagen para ampliarla)

Cuando se ha especificado la dirección de origen, la búsqueda con restricciones de la ruta puede seleccionar una ruta con una métrica superior entre varias rutas de la tabla de enrutamiento que muestran más coincidencias con el destino. Por ejemplo, el host A de la figura 1 tiene dos rutas predeterminadas; una se dirige a Internet con una métrica de 10 y la otra se dirige a la intranet con una métrica de 20. El comportamiento de host seguro se activa en las dos interfaces LAN.

Si la aplicación de envío en el host A no especifica una dirección de origen, el resultado de la búsqueda de la ruta es la ruta predeterminada con la métrica más baja; el host A siempre envía el tráfico fuera de la interfaz de Internet con una dirección de origen 131.107.89.211. Sin embargo, si la aplicación de envío en el host A especifica la dirección de origen 131.107.89.211, el resultado de la búsqueda es la ruta predeterminada para la interfaz de Internet; el host A envía el tráfico fuera de la interfaz de Internet. Sin embargo, si la aplicación de envío en el host A especifica la dirección de origen 192.168.17.48, la búsqueda selecciona la ruta predeterminada para la interfaz de la intranet; el host A envía el tráfico fuera de la interfaz de la intranet. Mediante la búsqueda con restricciones de la ruta, la dirección IP envía tráfico con una dirección de origen 192.168.17.48 mediante la ruta predeterminada con una métrica superior.

Para el tráfico recibido, la dirección IP determina primero si el tráfico está destinado a ese host. Si no es así, la dirección IP descarta el paquete en silencio porque el host no actúa como un enrutador. La dirección IP entonces determina si las recepciones de host seguro están habilitadas en la interfaz entrante (la interfaz en la que se recibió el paquete). Si están deshabilitadas, la dirección IP procesa el paquete. Si están habilitadas, la dirección IP determina si la dirección de destino en el paquete está asignada a la interfaz entrante. Si es así, la dirección IP procesa el paquete. De lo contrario, la dirección IP descarta el paquete en silencio. La figura 3 muestra el proceso genérico de host de recepción.

Figura 3 Proceso genérico de host de recepción

Figura 3** Proceso genérico de host de recepción **

Comportamiento de host seguro y no seguro en Windows

Windows XP y Windows Server ® 2003 usan el modelo de host no seguro para envíos y recepciones de todas las interfaces IPv4 y el modelo de host seguro para envíos y recepciones de todas las interfaces IPv6. Este comportamiento no se puede configurar. La pila TCP/IP de próxima generación de Windows Vista y Windows Server 2008 es compatible con los envíos y las recepciones de host seguro tanto para IPv4 como para IPv6 de forma predeterminada en todas las interfaces salvo para la interfaz de túnel Teredo para una retransmisión específica del host Teredo. La figura 4 muestra los comandos que pueden usarse para configurar el comportamiento de envío y recepción tanto para IPv4 como para IPv6 según cada interfaz. Tenga en cuenta que InterfaceNameOrIndex es el nombre de la interfaz de la carpeta Conexiones de red o el índice de la interfaz. El índice de la interfaz se puede obtener de la visualización del comando:

Figure 4 Comandos para configurar el comportamiento de envío y recepción de un host no seguro

• netsh interface ipv4 set interface [InterfaceNameOrIndex] weakhostsend=enabled|disabled
• netsh interface ipv4 set interface [InterfaceNameOrIndex] weakhostreceive=enabled|disabled
• netsh interface ipv6 set interface [InterfaceNameOrIndex] weakhostsend=enabled|disabled
• netsh interface ipv6 set interface [InterfaceNameOrIndex] weakhostreceive=enabled|disabled
  
netsh interface ipv6 show interface

Comportamiento de un host seguro y no seguro y RFC 3484

Para ofrecer un método estandardizado para la selección de direcciones de origen y de destino de IPv6 y l IPv4 con las que intentar establecer conexiones, RFC 3484 define dos algoritmos. El primero es un algoritmo de selección de direcciones de origen que permite elegir la mejor dirección de origen que se usará con una dirección de destino. El otro es un algoritmo de selección de direcciones de destino que permite clasificar la lista de direcciones de destino posibles en orden de preferencia.

El comportamiento de host seguro y no seguro está en vigencia al determinar la lista de direcciones de origen candidatos para una dirección de destino concreta, y esto afecta también a la lista clasificada final de direcciones de destino. Para el comportamiento de envío de host seguro, la lista de direcciones de origen candidatos incluye las direcciones de unidifusión asignadas a la interfaz de envío para el destino. Para el comportamiento de envío de host no seguro, la lista de candidatos puede incluir las direcciones asignadas a cualquier interfaz que tiene habilitado envíos de host no seguro. Si desea obtener más información acerca de la selección de direcciones de origen y de destino, diríjase a microsoft.com/technet/community/columns/cableguy/cg0206.mspx.

De forma predeterminada, tanto los envíos de host seguro como de host no seguro están deshabilitados para IPv4 y IPv6 en todas las interfaces, salvo la interfaz de túnel Teredo para una retrasmisión de host específico de Teredo.

Si desea obtener más información acerca de RFC 3484, consulte la barra lateral "Comportamiento de un host seguro y no seguro y RFC 3484".

Deshabilitación de las rutas predeterminadas para conexiones VPN de acceso remoto

Un cliente de red privada virtual de acceso remoto (VPN) es otro ejemplo de host múltiple. Aunque quizás tenga una única interfaz LAN conectada a Internet, cuando un cliente VPN de acceso remoto completa una conexión VPN, dicha interfaz es de host múltiple. Tiene dos interfaces: la interfaz LAN y una interfaz basada en el Protocolo punto a punto (PPP) para la conexión VPN. También tiene dos direcciones IPv4: una dirección IPv4 asignada al proveedor de servicios de Internet para la interfaz LAN y una dirección IPv4 asignada por el servidor VPN para la interfaz basada en el PPP.

Para asegurar que el cliente VPN envía tráfico de ruta predeterminado a través de la conexión VPN a la intranet, Windows XP y Windows Server 2003 modifican la tabla de enrutamiento IPv4 al elevar la métrica de la ruta predeterminada existente y agregar una ruta predeterminada nueva con una métrica inferior que usa la interfaz de PPP. Este comportamiento predeterminado hace que las ubicaciones en la intranet sean accesibles y que casi todas las ubicaciones en Internet sean inaccesibles durante la conexión VPN. Es posible configurar un cliente VPN para que el túnel dividido tenga acceso simultáneo a las ubicaciones tanto de Internet como de la intranet mediante. Para ello, no se debe agregar la ruta predeterminada para la conexión VPN y se deben agregar rutas específicas para destinos de la intranet. Sin embargo, hay un riesgo de que los clientes VPN de túnel dividido puedan dirigir paquetes entre Internet y la intranet. Para obtener más información, consulte microsoft.com/technet/community/columns/cableguy/cg1003.mspx.

El comportamiento predeterminado del cliente VPN en Windows XP y Windows Server 2003 fue diseñado para el comportamiento de envío de host no seguro. La búsqueda de la ruta siempre usa la ruta predeterminada para la conexión VPN porque tiene la métrica más baja. Sin embargo, cuando se usa el comportamiento de envío de host seguro, la ruta predeterminada usada para el tráfico enviado depende de la dirección IP de origen del paquete. La búsqueda de la ruta para el tráfico desde la dirección IPv4 asignada por el ISP usará la ruta predeterminada que usa la interfaz LAN, de forma que se puedan alcanzar todas las ubicaciones de Internet. La búsqueda de la ruta para el tráfico desde la dirección IPv4 asignada por el servidor VPN usará la ruta predeterminada que usa la interfaz de PPP, de forma que se puedan alcanzar todas las ubicaciones de la intranet. Por lo tanto, cuando se usa el comportamiento de envío de host seguro, el cliente VPN tiene una configuración de túnel dividida y acceso simultáneo a Internet y a la intranet, incluso para las aplicaciones que no tienen privilegios de administrador para poder modificar directamente la tabla de enrutamiento IPv4.

Para evitar que el comportamiento de envío de host seguro cree una configuración de túnel dividido de forma predeterminada, el cliente VPN de Windows Vista® y Windows Server 2008 deshabilita automáticamente las rutas predeterminadas de las interfaces LAN al establecer la conexión VPN. Este comportamiento garantiza que sólo habrá una única ruta predeterminada activa en la tabla de enrutamiento que usa la interfaz PPP. Este comportamiento también garantiza que las aplicaciones sin privilegios de administrador no pueden realizar la división del túnel.

Debido a que el tráfico desde el equipo cliente VPN debe originarse en la dirección IPv4 asignada por el servidor VPN, este comportamiento ofrece un mejor aislamiento de la intranet desde Internet. Cuando la conexión VPN finaliza, se habilitan las rutas predeterminadas deshabilitadas.

Este comportamiento puede controlarse mediante el comando:

netsh interface ipv4 set interface [InterfaceNameOrIndex]
ignoredefaultroutes=enabled|disabled

Joseph Davies es escritor técnico de Microsoft y enseña y escribe sobre temas de red de Windows desde 1992. Ha escrito cinco libros para Microsoft Press y es autor del artículo mensual The Cable Guy de TechNet.

© 2008 Microsoft Corporation and CMP Media, LLC. Reservados todos los derechos; queda prohibida la reproducción parcial o total sin previa autorización.