Isowall: un mini-firewall con su propia pila TCP/IP

Durante su investigación de #badBIOS, Dragos Ruiu preguntaba acerca de un firewall sencillo que fuera capaz de aislar totalmente de su red local un equipo infectado o en cuarentena pero manteniendo a la vez el acceso a Internet. Robert David Graham, otro monstruo en esto de la seguridad informática, no tardó en responderle con la creación de Isowall...

Los firewalls de hoy fallan debido a que son extensiones de la pila de red existente del sistema operativo. Esto facilita una mayor superficie de ataque y una mayor complejidad. Isowall es un mini-firewall que basa la garantía total de la seguridad en el hecho de que no hay ninguna pila TCP/IP enlazada al interfaz de red conectado al equipo infectado, lo que significa que Isowall tiene su propio TCP/IP.

Veamos la PoC. Se ejecuta Isowall en una Raspberry Pi. El portátil en la imagen puede estar infectado con un virus. Queremos que el portátil siga teniendo acceso a Internet, pero que no acceda la red local, ya que podría propagar la infección. Como se puede ver, el portátil tiene una conexión Ethernet directa a la Raspberry Pi corriendo isowall (cables azul y blanco conectados al adaptador Ethernet USB), que luego se une al resto de la red doméstica (cable gris):



Al ejecutar ifconfig en la Raspberry Pi se puede observar que el interfaz eth1 no tiene asignado ninguna IP:



La máquina infectada puede atacar a este puerto Ethernet todo lo que quiera, no llegará a ninguna parte, porque no hay nada escuchando en ese puerto ¡excepto Isowall!

Puedes encontrar más detalles, instrucciones de instalación y uso en la web del proyecto: https://github.com/robertdavidgraham/isowall
Fuente: isowall: an isolating firewall

3 comentarios :

  1. Buenas.

    Cuando dices en tu artículo: "Los firewalls de hoy fallan debido a que son extensiones de la pila de red existente del sistema operativo. Esto facilita una mayor superficie de ataque y una mayor complejidad. Isowall es un mini-firewall que basa la garantía total de la seguridad en el hecho de que no hay ninguna pila TCP/IP enlazada al interfaz de red conectado al equipo infectado, lo que significa que Isowall tiene su propio TCP/IP."
    ¿A qué haces referencia con lo de extensión de la pila tcp/ip? ¿Cómo puede salir el equipo a internet si en la interfaz eth1 (que es la que entiendo que le daría salida) no tiene direccionamiento?

    Un saludo y gracias por el artículo. Es muy interesante

    ResponderEliminar
  2. hola @Unknown y gracias por tu comentario!

    el interfaz eth1 no se asocia al stack TCP/IP del sistema operativo, si no que es Isowall quien implementa su propio TCP/IP y "lleva" los paquetes de eth0 a eth1 y viceversa.

    No significa que no tenga direccionamiento IP, de hecho si lo tiene, si no que simplemente el S.O. no lo ve ... ahí esta la gracia y la sencillez del firewall ;)

    ResponderEliminar
  3. Buenas.

    Entonces entiendo que al pasar isowall el tráfico de la eth0 a la eth1, con una pila tcp/ip independiente, ¿por qué no es más vulnerable a ataques que si utiliza la misma pila que la otra interfaz? ¿Es porque "aisla" las redes?

    ¿Tiene isowall directivas de enrutamiento de salida para saber que tiene que sacar el tráfico por la eth1? (o me equivoco y la saca por la eth0 entendiendo por la eth0 la que tiene el cable gris)

    ResponderEliminar