Cap III: Seguridad

Perimetral
Docente: Ing. Marco A. Arenas P.

Carrera de Telecomunicaciones
Gestion: 2016
Facultad de Tecnología – Carrera de Ing. de Sistemas
[Link]
TEMARIO

1. Introducción
2. Listas de control de acceso - ACLs
3. Tipos de ACLs
4. Seguridad Perimetral
5. Tecnologías Firewalls
6. Detección y Prevención de Intrusos
7. Otros Dispositivos de seguridad perimetral

Facultad de Tecnología – Carrera de Ing. de Sistemas

[Link]
Introducción a las
ACLs

Facultad de Tecnología – Carrera de Ing. de Sistemas

[Link]
Introducción
 No todos comparte el mismo tráfico

Facultad de Tecnología – Carrera de Ing. de Sistemas

[Link]
Introducción - ACLs
 Los administradores de red deben buscar maneras
de impedir el acceso no autorizado a la Red. Pero
permitiendo al mismo tiempo el acceso de los
usuarios internos.
 Se han ido utilizando algunas herramientas de
ayuda, pero que carecen de la flexibilidad del filtrado
básico de tráfico y controles específicos
 Contraseñas
 Equipos de Callback
 Dispositivos de seguridad física
 Por ejemplo se desearía que los usuarios tengan
acceso a Internet, pero impedir a los usuarios
externos el acceso telnet a la LAN
Facultad de Tecnología – Carrera de Ing. de Sistemas
[Link]
Introducción
 Los Routers ofrecen funciones de filtrado
básico de tráfico de Internet mediante las
ACLs

 Que son las ACLs?

 Limita el tráfico
 Control de flujo
 Segmentación
 Seguridad

Facultad de Tecnología – Carrera de Ing. de Sistemas

[Link]
 Dispositivos que los soportan
 Router, firewalls, proxy, gateways, hosts y servidores

Facultad de Tecnología – Carrera de Ing. de Sistemas

[Link]
 Topología y Tráfico
 Análisis de tráfico

Facultad de Tecnología – Carrera de Ing. de Sistemas

[Link]
 Razones para crear las ACLs
 Limitar el tráfico de red y mejorar el rendimiento de la red.
 Brindar control de flujo de tráfico. Las ACL pueden restringir el
envío de las actualizaciones de enrutamiento.
 Proporcionar un nivel básico de seguridad para el acceso a la
red.
 Se debe decidir qué tipos de tráfico se envían o bloquean en
las interfaces del router. Permitir que se enrute el tráfico de
correo electrónico, pero bloquear todo el tráfico de telnet.
 Permitir que un administrador controle a cuáles áreas de la
red puede acceder un cliente.
 Analizar ciertos hosts para permitir o denegar acceso a partes
de una red. Otorgar o denegar permiso a los usuarios para
acceder a ciertos tipos de archivos, tales como FTP o HTTP.

Facultad de Tecnología – Carrera de Ing. de Sistemas

[Link]
Diseño de ACL
 ACL se utilizan para prevenir ciertos tipos de tráfico
entre en una red.
 ACL se utilizan para permitir tipos más seguros de
tráfico, tales como HTTPS (puerto TCP 443), que se
utilizarán para fines comerciales.
 El uso eficaz de las ACL requiere una comprensión
clara de qué puertos deben bloquearse frente
permitido y apropiado de ACL extendidas
 El programa Nmap se puede utilizar para determinar
qué puertos están abiertos en un dispositivo dado.

Facultad de Tecnología – Carrera de Ing. de Sistemas

[Link]
¿Cómo funcionan?
Específico

General

“deny any”

 Son listas secuénciales de sentencias de permiso o

rechazo, aplicadas a las direcciones o protocolos de
capa superior
Facultad de Tecnología – Carrera de Ing. de Sistemas
[Link]
 ¿Cómo funcionan?

 Las ACLs de Cisco IOS, verifican los encabezados de paquete y de capa

superior.
 Para definirse según el protocolo, la dirección o el puerto. Para cada protocolo
enrutado, por cada inerfaz y para el tráfico saliente o entrante
Facultad de Tecnología – Carrera de Ing. de Sistemas
[Link]
Números para las ACLs

Facultad de Tecnología – Carrera de Ing. de Sistemas

[Link]
 Reglas básicas a la hora de crear
y aplicar las listas de acceso.

 Una lista de acceso por protocolo y por

dirección.
 Se deben aplicar las listas de acceso estándar
que se encuentran lo más cerca posible del
destino.
 Se deben aplicar las listas de acceso
extendidas que se encuentran lo más cerca
posible del origen.
 Una lista de acceso IP envía un mensaje
ICMP llamado de host fuera de alcance al
emisor del paquete rechazado y descarta el
paquete en la papelera de bits.
Facultad de Tecnología – Carrera de Ing. de Sistemas
[Link]
 Reglas básicas a la hora de crear
y aplicar las listas de acceso.
 Se debe tener cuidado cuando se descarta una
lista de acceso. Si la lista de acceso se aplica
a una interfaz de producción y se la elimina,
según sea la versión de IOS, puede haber una
deny any (denegar cualquiera) por defecto
aplicada a la interfaz, y se detiene todo el
tráfico.
 Los filtros salientes no afectan al tráfico que se
origina en el router local.

Facultad de Tecnología – Carrera de Ing. de Sistemas

[Link]
Wilcard Mask
 Las máscaras wildcard están diseñadas para
filtrar direcciones IP individuales o múltiples, a
fin de permitir o rechazar el acceso a los
recursos según las direcciones.
 La dirección IP en la declaración de la lista de
acceso tiene la máscara wildcard aplicada a
ella. Esto crea el valor de concordancia, que
se utiliza para determinar si una declaración
ACL determinada debe procesar un paquete o
enviarlo a la próxima declaración para que se
lo verifique.
Facultad de Tecnología – Carrera de Ing. de Sistemas
[Link]
Wilcard Mask

 Regla
 “0” verificar
 “1” no verificar

Facultad de Tecnología – Carrera de Ing. de Sistemas

[Link]
Wilcard Mask
 Dos palabras clave especiales que se utilizan en las
ACL: any y host.
 La opción any reemplaza a la dirección IP y la
máscara [Link]. Esta máscara dice que
ignora la dirección IP completa o que acepta todas las
direcciones.
 La máscara [Link] reemplaza a la opción host. Esta
máscara establece que todos los bits de la dirección
IP deben coincidir o que solamente un host coincide.
 Por ejemplo, si la máscara de subred es [Link], se usará
la siguiente ecuación:
[Link]
- [Link]
0. 0. 15.255 máscara wildcard

Facultad de Tecnología – Carrera de Ing. de Sistemas

[Link]
Ejemplo: Verificando la
dirección de red
 [Link]
 subnet/mask: [Link]
 OJO: la wilcard mask en este
 wilcard/mask: [Link] caso es lo contrario a la mascara
 [Link] de subred
 subnet/mask: [Link]
 wilcard/mask: [Link]  Ejemplo extra: verificando la
 [Link] subred
 subnet/mask: [Link]  [Link]
 wilcard/mask: [Link] (se están prestando 4 bits para
hacer 16 subredes)
 Subnet/mask: [Link]
Subnet/mask (en binario)
11111111.11110000.00000000.00000000
Wildcard/mask:[Link]
Wildcard/mask (en binario)
00000000.00001111.11111111.11111111

Facultad de Tecnología – Carrera de Ing. de Sistemas

[Link]
Aplicación de la wilcard
 De la relación de la dir de red, subred
o ip más la wilcard se encuentra el
valor de concordancia
 [Link] [Link]
 [Link] [Link]
 [Link] [Link]

Facultad de Tecnología – Carrera de Ing. de Sistemas

[Link]
Las opciones any y host
 Hay tb situaciones donde pueden ser muy
generales o muy específicas, para ello
 [Link] [Link] – any
 [Link] [Link] -- host

Facultad de Tecnología – Carrera de Ing. de Sistemas

[Link]
Ejercicio
¿Qué wildcard/mask tendríamos que utilizar para hacer referencia a:
-La LAN de la izquierda? [Link]
-A una PC de la LAN? [Link]

[Link]

[Link]

Facultad de Tecnología – Carrera de Ing. de Sistemas

[Link]
Tipos de ACLs
 Estándares (numeradas o nombradas)
 Extendidas (TCP established)
 Especificas
 Dinámicas (Lock–and-Key)
 Reflexivas
 Basadas en Tiempo
 Cryto ACLs (VPNs)
 Control de Acceso basado en contexto
(CBAC)
Facultad de Tecnología – Carrera de Ing. de Sistemas
[Link]
Ubicación de las ACLs

NOTA: esta regla siempre aplica si se

están utilizando subinterfaces
Facultad de Tecnología – Carrera de Ing. de Sistemas
[Link]
ACLs Básicas

Facultad de Tecnología – Carrera de Ing. de Sistemas

[Link]
ACL estandard
 Se debe instalar en la insterfaz del router lo
más cerca del destino
 Parámetros
 Dirección IP origen

 Número de ACL (1 - 99)

 Permitir o denegar (permit/deny)

Facultad de Tecnología – Carrera de Ing. de Sistemas

[Link]
 Implementación

 En modo de configuración global

R(config)#access-list 1 permit [Link] [Link]
R(config)# access-list 1 permit [Link] [Link]
R(config)# access-list 1 permit [Link] [Link]
!(Nota: cualquier otro acceso está implícitamente denegado – deny any)

 En modo de configuración de interface

R(config)# interface ethernet 0
R(config-if)# ip access-group 1 out
R(config)# interface ethernet 1
R(config-if)# ip access-group 1 out

Out In

Out
Si se desea modificar, se debe borrar: R(config)#no access-list nro
Facultad de Tecnología – Carrera de Ing. de Sistemas
[Link]
Las opciones any y host

Facultad de Tecnología – Carrera de Ing. de Sistemas

[Link]
Ejercicio
¿Qué wildcard/mask tendríamos que utilizar para hacer referencia a:
-La LAN de la izquierda?
-Una Pc de la LAN?
-Escriba la ACL para permitir paso de paquetes de la LAN hacia la WAN
[Link]

[Link]

[Link]

Facultad de Tecnología – Carrera de Ing. de Sistemas

[Link]
ACL extendida
 Algoritmo

 Parámetros
 Dirección IP origen
 Wildcard mask
origen
 Dirección Ip destino
 Wildcard mask
destino
 Protocolo
 Permit / Deny

Facultad de Tecnología – Carrera de Ing. de Sistemas

[Link]
Implementación
 Sintaxis

Router(config)# access-list access-list-number {permit | deny}

protocol source [source-mask destination destination-mask operator
operand]

Router(config-if)# ip access-group access-list-number {in | out}

Facultad de Tecnología – Carrera de Ing. de Sistemas

[Link]
ACL extendidas - Prueba de puertos
y servicios

 Mediante el número de puerto adecuado, puede especificar

una aplicación al configurar el número de puerto o el
nombre de un puerto bien conocido.
 Especifique un número de puerto TCP o UDP colocándolo
al final de la sentencia de la ACL extendida.
 Pueden utilizarse operaciones lógicas, como igual (eq),
desigual (neq), mayor que (gt) y menor que (lt).

Facultad de Tecnología – Carrera de Ing. de Sistemas

[Link]
ACL extendidas - Prueba de puertos
y servicios
 Lista de números de puerto y palabras clave que
puede utilizar al crear una ACL con el comando

Facultad de Tecnología – Carrera de Ing. de Sistemas

[Link]
Ejercicio
¿Qué wildcard/mask tendríamos que utilizar para hacer referencia a:
-La LAN de la izquierda?
-La LAN de la derecha?
Escriba la ACL para denegar paso de paquetes de la PC1 hacia la WAN

WebServer
[Link] [Link]
[Link] [Link]

Una Subred y dos PCs en la

primera mitad y dos PCs en
la segunda mitad.

Facultad de Tecnología – Carrera de Ing. de Sistemas

[Link]
Configuración de las ACL extendidas

Facultad de Tecnología – Carrera de Ing. de Sistemas

[Link]
Configuración de las ACL extendidas

Facultad de Tecnología – Carrera de Ing. de Sistemas

[Link]
TCP Established en Acción

Facultad de Tecnología – Carrera de Ing. de Sistemas

[Link]
TCP Established en Acción

R1(config)# access-list 100 permit tcp any eq 443 [Link] [Link] established
R1(config)# access-list 100 deny ip any any
R1(config)# interface s0/0/0
R1(config-if)# ip access-group 100 in
Facultad de Tecnología – Carrera de Ing. de Sistemas
[Link]
Creación de ACL nombradas
 Asignar un nombre a una ACL facilita la comprensión de su función. Por
ejemplo, una ACL que deniega FTP puede denominarse NO_FTP. Al identificar
una ACL con un nombre en lugar de un número.
 Sintaxis:

Facultad de Tecnología – Carrera de Ing. de Sistemas

[Link]
ACLs nombradas
 Ejemplo

Facultad de Tecnología – Carrera de Ing. de Sistemas

[Link]
Edición de las ACL Nombradas

 Las ACL nombradas tienen una gran ventaja sobre las ACL numeradas porque
son más fáciles de editar.
 A partir del software IOS de Cisco versión 12.3, las ACL IP nombradas le
permiten borrar entradas individuales en una ACL específica.

Facultad de Tecnología – Carrera de Ing. de Sistemas

[Link]
Creación de ACL extendidas nombradas

 Puede crear ACL extendidas nombradas básicamente de la misma

manera que crea las ACL estándar nombradas.

Facultad de Tecnología – Carrera de Ing. de Sistemas

[Link]
Documentación: comando Remark

 Para crear una breve descripción de la ACL

se utiliza el comando remark para IOS
(12.0.2(T) en adelante).

Facultad de Tecnología – Carrera de Ing. de Sistemas

[Link]
Verificación

Facultad de Tecnología – Carrera de Ing. de Sistemas

[Link]
Verificando la funcionalidad de
ACLS
show running-config command

show ip access-lists command

Facultad de Tecnología – Carrera de Ing. de Sistemas

[Link]
Recomendaciones
 Configurar las ACLs en routers fronterizos
 Configurar las ACLs para permitir conexiones consideradas
aceptables y denegar todas las demás
 El mejor lugar para definir una ACL es en un host, mediante un
editor de texto
 Utilice la palabra clave established , si existe la posibilidad que
que se produzca coincidencia si el datagrama TCP tiene
establecidos los bits de acuse de recibo (ACK) .
 Es importante documentar la creacion de las ACLs y las
sentencias que la componen (Comando Remark)
 OJO: Si se usan filtros de entrada sólo en la interfaz que sale
desde el router al mundo exterior, no se verá reducido el
rendimiento de la redes internas.

Facultad de Tecnología – Carrera de Ing. de Sistemas

[Link]
ACLs Específicas
 Son ACLs especificas para casos puntuales
con características de configuración para
casos particulares, como para controlar
 VTY
 Acceso WEB al equipo
 Por dirección MAC
 Etc.

Facultad de Tecnología – Carrera de Ing. de Sistemas

[Link]
VTY
 Ud puede crear una ACL para poder filtrar el
tráfico de acceso al Router por una de las 5
terminales virtuales, asignando la ACL con el
comando access-class.

Lab_A(config)#access-list 5 permit [Link] [Link]

Lab_A(config)#access-list 5 permit host [Link]
Lab_A(config)#line vty 0 4
Lab_A(config-line)#access-class 5 in

Facultad de Tecnología – Carrera de Ing. de Sistemas

[Link]
Asegurando el acceso por Web

 Además de asegurar el acceso por

terminales virtuales, podemos asegurar la
entrada al router para la interface Web del
Router.

LAb_A(config)#access-list 17 permit [Link] [Link]

LAb_A (config)#ip http server
LAb_A (config)#ip http access-class 17

Facultad de Tecnología – Carrera de Ing. de Sistemas

[Link]
ACLs Complejas

Facultad de Tecnología – Carrera de Ing. de Sistemas

[Link]
Introducción

 Las ACL estándar y extendidas pueden ser

la base de las ACL complejas que brindan
mayor funcionalidad.
 Pero requieren S.O con mayor
requerimiento y capacidades.
 Son muy utilizados en los Firewalls

Facultad de Tecnología – Carrera de Ing. de Sistemas

[Link]
ACL dinámicas
 El bloqueo es una característica de seguridad de filtrado de
tráfico que utiliza ACL dinámicas, a veces denominadas
ACL de bloqueo (bloquean todo). Está disponible sólo para
tráfico IP. Las ACL dinámicas dependen de la conectividad
de algún tipo de tráfico especifico (Telnet), de la
autenticación (local o remota) y de las ACL extendidas.
 Cuándo utilizar las ACL dinámicas
 Cuando desea un usuario remoto o grupo de usuarios remotos
específicos conectarse a través de Internet. El bloqueo autentica al
usuario y luego permite un acceso limitado a través de su router
firewall para un host o subred por un período limitado.
 Cuando desea que un subconjunto de hosts de una red local
acceda a un host de una red remota protegida por un firewall. Con
el bloqueo, puede permitir el acceso al host remoto sólo a los
conjuntos de hosts locales que desee. El bloqueo requiere que los
usuarios se autentiquen a través de AAA, servidor TACACS+ u otro
servidor de seguridad, antes de que permita a sus hosts el acceso a
los hosts remotos.
Facultad de Tecnología – Carrera de Ing. de Sistemas
[Link]
ACL dinámicas
 Beneficios de las ACL dinámicas:
 Uso de un mecanismo de desafío para autenticar
los usuarios individuales
 Administración simplificada en internetworks más
grandes
 En muchos casos, reducción de la cantidad de
procesamiento de un router necesario para las ACL
 Reducción de la oportunidad de intromisiones a la
red por parte de piratas informáticos
 Creación de acceso dinámico al usuario a través de
un firewall, sin comprometer otras restricciones de
seguridad configuradas

Facultad de Tecnología – Carrera de Ing. de Sistemas

[Link]
Lock and Key

 Lock and Key es una herramienta dentro del router que nos
permite abrir un agujero en el Firewall sin comprometer la
seguridad de nuestra red interna, esto se hace a travez de la
configuración de una ACL dinámica, para que en el momento de
autenticarse el usuario, no se verifique la IP y así la ACL no
deniegue los paquetes.

Facultad de Tecnología – Carrera de Ing. de Sistemas

[Link]
ACL dinámicas
 En la figura, el usuario de PC1 es un administrador que requiere
acceso de puerta trasera a la red [Link] /24 ubicada en el
router R3. Se configuró una ACL dinámica para permitir el acceso
FTP y HTTP al router R3 sólo por tiempo limitado.

Facultad de Tecnología – Carrera de Ing. de Sistemas

[Link]
Ejemplos de ACL dinámicas - configuración

Facultad de Tecnología – Carrera de Ing. de Sistemas

[Link]
Caso de Implementación

Facultad de Tecnología – Carrera de Ing. de Sistemas

[Link]
Caso de Implementación

Facultad de Tecnología – Carrera de Ing. de Sistemas

[Link]
ACL reflexivas
 Las ACL reflexivas obligan al tráfico de respuesta del destino, de un
reciente paquete saliente conocido, a dirigirse al origen de ese paquete
saliente. Esto aporta un mayor control del tráfico que se permite
ingresar a la red e incrementa las capacidades de las listas de acceso
extendidas.
 Los administradores de red utilizan las ACL reflexivas para permitir el
tráfico IP en sesiones que se originan en su red y, al mismo tiempo,
denegar el tráfico IP en sesiones que se originan fuera de la red. Estas
ACL permiten que el router administre el tráfico de sesión en forma
dinámica. El router examina el tráfico saliente y, cuando ve una
conexión, agrega una entrada a una ACL temporal para permitir la
devolución de respuestas. Las ACL reflexivas contienen sólo entradas
temporales. Estas entradas se crean automáticamente cuando se inicia
una nueva sesión IP (con un paquete saliente, por ejemplo) y las
entradas se eliminan automáticamente cuando finaliza la sesión.
 Las ACL reflexivas proporcionan una forma más exacta de filtrado de
sesión que una ACL extendida que utiliza el parámetro established
presentado anteriormente. Si bien son similares en cuanto al concepto
del parámetro established, las ACL reflexivas también funcionan para
UDP e ICMP, que no tienen bits ACK ni RST.
 La sentencia permit established sólo verifica los bits ACK y RST, no la
dirección de origen ni la de destino.
Facultad de Tecnología – Carrera de Ing. de Sistemas
[Link]
ACL reflexivas
 Las ACL reflexivas no se aplican directamente a una interfaz, están
"anidadas" dentro de una ACL IP extendida nombrada que se aplica a
la interfaz.
 Las ACL reflexivas sólo pueden definirse con ACL IP extendidas
nombradas. No pueden definirse con ACL numeradas ni estándar
nombradas ni con otras ACL protocolo. Las ACL reflexivas pueden
utilizarse con otras ACL estándar y extendidas estáticas.
 Beneficios de las ACL reflexivas:
 Ayudan a proteger la red de piratas informáticos y pueden incluirse en un
firewall.
 Proporcionan un nivel de seguridad contra ataques de suplantación de
identidad y de denegación de servicios.
 Las ACL reflexivas son mucho más resistentes a los ataques de
suplantación de identidad porque deben coincidir más criterios de filtro
antes de dejar ingresar un paquete. Por ejemplo, se verifican las
direcciones de origen y de destino y los números de puerto, no solamente
los bits ACK y RST.
 Son fáciles de utilizar y, comparadas con las ACL básicas, proporcionan un
mayor control de los paquetes que ingresan a la red.

Facultad de Tecnología – Carrera de Ing. de Sistemas

[Link]
Usando ACL reflexivas
1. Crear una ACL interna que busque nuevas
sesiones salientes y genera ACE reflexivas
temporales.
2. Crear una ACL externo que utiliza las ACL
reflexivas para examinar el tráfico de
retorno.
3. Active las ACL nombradas en las
interfaces adecuadas.

Facultad de Tecnología – Carrera de Ing. de Sistemas

[Link]
Ejemplo de ACL reflexivas
 El administrador necesita una ACL reflexiva que permita
tráfico ICMP entrante y saliente, y que permita sólo el
tráfico TCP que se inició desde el interior de la red. Lo
demás se denegara.
 La ACL reflexiva se aplica a la interfaz de salida de R2.

Facultad de Tecnología – Carrera de Ing. de Sistemas

[Link]
Ejemplo de ACL reflexivas

Facultad de Tecnología – Carrera de Ing. de Sistemas

[Link]
Caso de Implementación

Facultad de Tecnología – Carrera de Ing. de Sistemas

[Link]
Caso de Implementación

Facultad de Tecnología – Carrera de Ing. de Sistemas

[Link]
ACLs reflexivas dentro de un periodo

Crear una ACL reflexiva que coincide con

usuarios internos para navegar por Internet
y confiando en DNS en un período de 10
segundos de tiempo de espera.

R1(config)# ip access-list extended INTERNAL_ACL

R1(config-ext-nacl)# permit tcp any any eq 80 reflect WEB-ONLY-REFLEXIVE-ACL
R1(config-ext-nacl)# permit udp any any eq 53 reflect DNS-ONLY-REFLEXIVE-ACL timeout 10
R1(config-ext-nacl)# exit
R1(config)# ip access-list extended EXTERNAL_ACL
R1(config-ext-nacl)# evaluate WEB-ONLY-REFLEXIVE-ACL
R1(config-ext-nacl)# evaluate DNS-ONLY-REFLEXIVE-ACL
R1(config-ext-nacl)# deny ip any any
R1(config-ext-nacl)# exit
R1(config)# interface s0/0/0
R1(config-if)# ip access-group INTERNAL_ACL out
R1(config-if)# ip access-group EXTERNAL_ACL in
Facultad de Tecnología – Carrera de Ing. de Sistemas
[Link]
ACL basadas en el tiempo
 La ACL basada en el tiempo es similar en función a la ACL extendida, pero
admite control de acceso basado en el tiempo.
 Para implementar las ACL basadas en el tiempo, debe crear un rango horario
que defina la hora específica del día y la semana.
 Las ACL basadas en el tiempo tienen muchos beneficios.
 Ofrecen al administrador de red más control de los permisos y denegaciones de
acceso a los recursos.
 Permiten a los administradores de red controlar los mensajes de registro. Las
entradas de las ACL pueden registrar el tráfico en determinados momentos del día,
pero no de forma permanente. De esta manera, los administradores pueden
simplemente denegar el acceso, sin tener que analizar los diferentes registros que se
generan durante las horas pico.

El rango de tiempo depende

del reloj del sistema del
router. La característica
funciona mejor con la
sincronización del protocolo
de hora de red (NTP), pero
puede utilizarse el reloj del
router.
Facultad de Tecnología – Carrera de Ing. de Sistemas
[Link]
Listas de control de acceso basadas
en el tiempo
 Utilizando el comando Time-range es posible
configurar una lista de control de acceso para
que verifique la hora de activación.

Facultad de Tecnología – Carrera de Ing. de Sistemas

[Link]
Ejemplo de ACL basadas en tiempo

 Permitir una conexión Telnet desde la red interna hacia la red externa los
lunes, miércoles y viernes durante el horario comercial.

Facultad de Tecnología – Carrera de Ing. de Sistemas

[Link]
Mitigando Ataques con ACLs
 Mitigando Ataques de spoofing y DoS
 ACL se pueden utilizar para mitigar
muchas amenazas de la red
• IP address spoofing, inbound and
outbound
• DoS TCP SYN attacks
• DoS smurf attacks
 ACL también puede filtrar el
siguientes tráfico
• ICMP messages (inbound and outbound)
• traceroute
Facultad de Tecnología – Carrera de Ing. de Sistemas
[Link]
Mitigando Ataques con ACLs
Antispoofing con ACLs
Denegar todos los paquetes IP que contienen las
siguientes direcciones IP en su campo de origen:
• Any local host addresses ([Link]/8)
• Any reserved private addresses (RFC 1918)
• Any addresses in the IP multicast address
range ([Link]/4)

Facultad de Tecnología – Carrera de Ing. de Sistemas

[Link]
Mitigando Ataques con ACLs

Permitir el tráfico necesario atravesar el Firewall

DNS, SMTP y FTP son los servicios comunes que a
menudo se les debe permitir a través de Firewall.

Facultad de Tecnología – Carrera de Ing. de Sistemas

[Link]
Mitigando Ataques con ACLs

 Mitigando el abuso de ICMP

 Los hackers utilizan paquetes ICMP para barridos (sweeps) de
ping y los ataques de inundación DDoS, y utilizan mensajes ICMP
redirigidos para alterar las tablas de enrutamiento de host.
 Tanto los ecos ICMP y los mensajes redirigidos deben ser
bloqueadas por el router entrante.

Facultad de Tecnología – Carrera de Ing. de Sistemas

[Link]
Mitigando Ataques con ACLs
 Mitigando SNMP Exploits
 Protocolos de gestión, tales como SNMP, si bien son útiles para el
seguimiento y gestión de los dispositivos conectados en red a
distancia, pueden ser explotados.
 Aplicar las ACL de interfaz para filtrar paquetes SNMP de sistemas
no autorizados.

Facultad de Tecnología – Carrera de Ing. de Sistemas

[Link]
IPv6 ACLs

IPv6 Exploits

Facultad de Tecnología – Carrera de Ing. de Sistemas

[Link]
IPv6 ACLs
 IPv6 ACL son similares a IPv4 ACL. Ellos permiten filtrar las
direcciones de origen y destino, puertos de origen y destino y tipo
de protocolo.
 IPv6 ACL se crean usando el comando ipv6 access-list .

 IPv6 ACL se aplican a una interfaz mediante el comando ipv6

traffic-filter access-list-name {in | out}.

Facultad de Tecnología – Carrera de Ing. de Sistemas

[Link]
Configurando ACLs IPv6
 Todas las ACL IPv6 contienen dos sentencias implícitas
permitidas, para permitir que los paquetes de descubrimiento de
vecino IPv6 puedan ser enviados y recibidos.
• permit icmp any any nd-na
• permit icmp any any nd-ns
 Al igual que IPv4 ACL, todas las ACL IPv6 incluyen un denegación
implícita como la última declaración.
 deny ipv6 any any
 Estas sentencias no se mostrarán en el resultado de la
configuración. Una buena práctica consiste en introducir
manualmente los tres órdenes implícitas.
 Introducción manual de las sentencias de denegación implícitas,
también le permite registrar los paquetes negados sin afectar la
detección de vecinos.
Facultad de Tecnología – Carrera de Ing. de Sistemas
[Link]
Seguridad en Redes

SEGURIDAD
PERIMETRAL

Facultad de Tecnología – Carrera de Ing. de Sistemas

[Link]
 Qué es la Seguridad en Redes?

 Es la seguridad que incluye protocolos,

tecnologías, dispositivos, herramientas y
técnicas de aseguran los datos en la red, para
reducir las amenazas y tratar de mantener la
continuidad del negocio.
 La seguridad de las redes es ahora una parte
integral de las redes informáticas.
 Las soluciones de seguridad en redes surgieron
en los años 1960 pero no se convirtieron en un
conjunto exhaustivo de soluciones para redes
modernas hasta el principio del nuevo milenio.
Facultad de Tecnología – Carrera de Ing. de Sistemas
[Link]
 Seguridad en el PERÍMETRO de la red

Uno de los aspectos básicos de la seguridad es el control

del tráfico que ingresa y que egresa de nuestra red …
Facultad de Tecnología – Carrera de Ing. de Sistemas
[Link]
 Qué es la seguridad PERIMETRAL de la
red?

 La seguridad Perimetral basa su filosofía en la

protección de todo el sistema informático de una
empresa desde “fuera”, es decir componer una
coraza que proteja todos los elementos sensibles
de ser atacados dentro de un sistema informático
 Esto implica que cada paquete de tráfico transmitido
debe de ser diseccionado, analizado y aceptado
o rechazado en función de su potencial riesgo de
seguridad para nuestra red.

Facultad de Tecnología – Carrera de Ing. de Sistemas

[Link]
Seguridad en PROFUNFIDAD

Facultad de Tecnología – Carrera de Ing. de Sistemas

[Link]
Qué es la seguridad en Profundidad?
 Varios elementos no uno solo, coadyuvan a mejor el
nivel del sistema de seguridad de nuestro negocio,
complementándose para mitigar juntos una mayor
cantidad de riesgos

Facultad de Tecnología – Carrera de Ing. de Sistemas

[Link]
Seguridad en Redes

TECNOLOGÍAS
FIREWALLS

Facultad de Tecnología – Carrera de Ing. de Sistemas

[Link]
Introducción
 Es importante tener un buen conocimiento
exacto con lo que contamos en nuestra red.
 Existen varias herramientas que pueden
ayudarnos:
 Cheops Open Source
 QualysFreeMapService
 EtherApe
 NetworkView
 Network Management Tools
 Big Sister
 Zenoss
Facultad de Tecnología – Carrera de Ing. de Sistemas
[Link]
Introducción
 Controlar los vectores de acceso.
 Vector de acceso es cualquier manera por cual
un usuario autorizado o no autorizado puede
ver, manipular o borrar data
 Console
 LAN
 Wireless
 Dial-Up Modem
 VPN
 Internet

Facultad de Tecnología – Carrera de Ing. de Sistemas

[Link]
Introducción
Se basan en filtros y básicamente implementan Lista de
Control de Acceso

Facultad de Tecnología – Carrera de Ing. de Sistemas

[Link]
Introducción

 Dependiendo el tipo de FW
implementa varios tipos de
ACLs
 ACL Dinámicas
 ACL Reflexivas
 ACL Basadas en Tiempo
 Cripto ACLs

Facultad de Tecnología – Carrera de Ing. de Sistemas

[Link]
 Firewalls
 Un firewall constituye la primer línea de defensa de una
red y es empleado para restringir el acceso a una red
desde otra red.
•Resisten ataques
•Son el único punto de tránsito entre
las redes (todo el tráfico fluye a través
del firewall)
•Evalúa cada paquete que ingresa o
que sale de la empresa
•Aplican la política de control de acceso

En 1988, DEC creó el primer firewall

Facultad de Tecnología – Carrera de Ing. de Sistemas
[Link]
Firewalls
El Firewall es seguro como la configuración
de sus reglas, si las reglas están mal
configuradas el Firewall va abrir varios
agujeros de seguridad a la red
privada/protegida

Facultad de Tecnología – Carrera de Ing. de Sistemas

[Link]
Firewall Rule Base

Facultad de Tecnología – Carrera de Ing. de Sistemas

[Link]
Firewalls y las Políticas de
Seguridad
Firewall Best Practices
 Posición firewalls en los límites de seguridad.
 Los firewalls son una parte crítica de la seguridad de la red, pero es
prudente confiar exclusivamente en un firewalls para la seguridad.
 Denegar todo el tráfico por defecto. Permitir sólo los servicios que
se necesitan.
 Asegúrese de que el acceso físico al firewalls está controlada.
 Monitorear regularmente los registros del firewall.
 Prácticas de gestión del cambio para los cambios de configuración.
 Recuerde que los firewalls protegen principalmente de ataques
técnicos originarios desde el exterior.

Facultad de Tecnología – Carrera de Ing. de Sistemas

[Link]
Firewalls
 Podemos encontrarlos:
 como una funcionalidad adicional en los propios routers
(software IOS Firewall de Cisco Systems)
 como una aplicación software ejecutándose en una PC (por
ejemplo LINUX)
 como dispositivos independientes y completamente dedicados
(Appliance, como los PIX de Cisco Systems o ASA).

Facultad de Tecnología – Carrera de Ing. de Sistemas

[Link]
 Ventajas y limitaciones
 Algunos de los beneficios del uso de un firewall en
una red:
 Prevenir la exposición de hosts y aplicaciones sensibles a
usuarios no confiables.
 Filtrar (limpiar) el flujo de protocolos, previniendo la
explotación de fallas en los protocolos.
 Bloquear el acceso de datos maliciosos a servidores y
clientes.
 Puede hacer que la aplicación de la política de seguridad se
torne simple, escalable y robusta.
 Reducir la complejidad de la administración de la seguridad
de la red al reducir la mayoría del control de acceso a la red a
algunos puntos.

Facultad de Tecnología – Carrera de Ing. de Sistemas

[Link]
 Ventajas y limitaciones
 Un firewall es un dispositivo imprescindible en todo
sistema de seguridad, pero no es una “panacea”.
(70% de los problemas de seguridad ocurren dentro
del Fw (LAN))
 Entre las debilidades más importantes, encontramos:
 Ataques producidos desde la red interna
 Ataques que no pasan por el firewall - Ejemplo wardialing.
 Ataques de malware sofisticado – No Detectan Virus/Worms, sin
embargo hay Fw hoy que lo hacen con AV addon, o productos “All
In One”.
 Ataques basados en configuraciones incorrectas – no puede
avisarnos que el “rulebase” (tabla de reglas) esta configurado de
manera insegura.
 Ataques sobre servicios válidos - tunneling no autorizado
 Ataques nuevos (día CERO)
Facultad de Tecnología – Carrera de Ing. de Sistemas
[Link]
Hardware vs. Software Firewalls
 Hardware (Appliance)
 Mas seguros porque tienen un sistema operativo “seguro” o
proprietario.
 Mas rápidos para instalar.
 Menos problemas de caída del equipo por problemas de HW.
 Mas caros.
 No tienen disco duro-hay que exportar los logs a otro servidor.
 En caso de querer hacer un upgrade probablemente va a ver
que comprar otro appliance. Por ejemplo para agregar placas de
red.
 Hardware firewalls: Cisco PIX y ASA, Nokia
(quecorreCheckPointFW-1 encimadel IPSO operating system),
SonicWall, NetScreen, Watchguard, y Symantec
 Software firewalls: Microsoft ISA Server, CheckPoint y
Symantec Enterprise Firewall
Facultad de Tecnología – Carrera de Ing. de Sistemas
[Link]
Qué mas puede incluir un Firewall?
1. Seguridad de contenidos - Content filtering: ActiveX,
Java, Url’s, etc.
2. NAT.
3. Intrusion detection / prevention.
4. Anti Virus.
5. Inspección a nivel capa aplicación
6. Visualización y registro de eventos
7. Autenticación de usuarios

hartBeat
8. Redes Privadas Virtuales (VPN)
9. Load Balancing.
10. High Availability.

Facultad de Tecnología – Carrera de Ing. de Sistemas

[Link]
Qué considerar cuando elegimos un Firewall?
 Capacidad: tiene suficiente capacidad? Me
permite expandir?
 Features: necesito content filtering? VPN?
 Logging: muchos Fwlogean poca información
(PIX)
 Experiencia de los administradores.
 Interfaz línea de comando.
 Precio.
 Marca.
 High avilability
Facultad de Tecnología – Carrera de Ing. de Sistemas
[Link]
 Tipos de Firewalls
 Es importante entender los tipos diferentes de firewalls y sus
capacidades específicas para poder usar el firewall
adecuado para cada situación.
 Hay varios tipos de firewalls:
 Packet-filtering firewall (filtrado de paquetes )
 Stateful firewall (con estados – Control de Sesiones)
 Application gateway firewall (Firewall gateway de aplicación (proxy) –
Filtrado por software (capa 3 a 7))
 Address translation firewall (Firewall de traducción de direcciones )
 Transparent firewall (Filtra entre un par de interfaces conmutadas)
 Host-based firewall (Firewall basado en hosts (servidor y personal) )
 Hybrid firewall
 La mayoría de los FW tiene incorporados inspección por
estados, NAT y servidores proxy para mayor seguridad.
Facultad de Tecnología – Carrera de Ing. de Sistemas
[Link]
Packet - Filtering Firewall
 La más antigua, la más básico y la más económica
 Típicamente consiste en filtrar paquetes con algún tipo de
contenido, como información de capa 3 y, en ocasiones, de capa 4.
 Por lo general forman parte de otros equipos de red con módulos de
seguridad como los Routers.
 Examina paquetes en base al encabezado del paquete. Ejemplos
de criterios: source IP, destination IP, source port y destination port.
Protocolos: TCP, UDP, ICMP, etc. Y a veces SYN y ACK
 No soporta reglas complejas y la poca capacidad para generar
"logs“
 No filtrar tráfico en función de información contenida en niveles
superiores, tales como URL's, o esquemas de autenticación fuertes.
 Por otro lado los paquetes son analizados uno a uno sin importar
los análisis anteriores
 Y no están capacitados para actuar contra ningún tipo de ataque
moderno (denial of service,Facultad
ip spoofing, etc.)
de Tecnología – Carrera de Ing. de Sistemas
[Link]
 Stateful Firewall
 Tiene las mismas características como el Packet filter Fw pero con
funcionalidad extendida, este mantiene información sobre cada
sesión entre dos dispositivos (tabla de estados), paquetes que el Fw
no espera o están fuera de orden el Fw no les va a permitir pasar.
 Monitorea el estado de las conexiones, si están en estado de
iniciación, transferencia de datos o terminación.
 Por ejemplo, el firewall busca en los encabezados TCP los bits de
control: synchronize (SYN), reset (RST), acknowledgment (ACK),
finish (FIN) y otros para determinar el estado de la conexión.
 Además de la capa de red, puede analizar tráfico de capas 4 y 5
 Más versátiles y de uso más común actualmente
 Estas características reducen la amenaza de ataques de inundación
RST TCP y envenenamiento de caché DNS.
 La desventaja es que los los paquetes dentro de la red deben poder
salir de la red.
Facultad de Tecnología – Carrera de Ing. de Sistemas
[Link]
Stateful Firewall

Facultad de Tecnología – Carrera de Ing. de Sistemas

[Link]
Stateful Firewall

Facultad de Tecnología – Carrera de Ing. de Sistemas

[Link]
Stateful Firewall

Facultad de Tecnología – Carrera de Ing. de Sistemas

[Link]
 Application gateway firewall (PROXY)
 Es el Fw más poderoso ,mira mas profundo los packetes (application
layer), puede detectar varios ataques, hace pattren maching.
 Se necesita mucho Hardware y CPU.
 Permite a los proxies realizar filtros más detallados, por ejemplo un
proxy HTTP podrá filtrar determinadas páginas. También pueden
basarse en SOCKETs.
 El Proxy sólo deja pasar los paquetes que son la respuesta a una
comunicación iniciada por algún usuario de la red, todos los paquetes
que no tengan esta característica no podrán ingresar a la red.
 Su desventaja radica en que la protección sólo se aplica para la
aplicación para la cual el Proxy ha sido instalado, por otro lado sólo
existen Proxies creados para un número muy limitado de aplicaciones
(por ejemplo HTTP, Telnet y FTP) con lo cual es imposible implementar
políticas estrictas de seguridad.
 están expuestos a ataques del tipo denial of service
Facultad de Tecnología – Carrera de Ing. de Sistemas
[Link]
Application gateway firewall (PROXY)

Facultad de Tecnología – Carrera de Ing. de Sistemas

[Link]
 Transparent Firewall
 Filtra tráfico IP entre un par de interfaces conmutadas sin IPs.
 Performace
 Trabaja como un Bridge
 No enrutan paquetes
 Fácil para configurar
 Escondido.
 Ideal para topologías complejas

Facultad de Tecnología – Carrera de Ing. de Sistemas

[Link]
 Host-based firewall
 Una PC o servidor que ejecuta software de firewall.
 Aplicaciones Instaladas o Sistemas operativos Firewall
 Incorporan el software antivirus y de prevención de
intrusiones de software, Proxy, etc.

Facultad de Tecnología – Carrera de Ing. de Sistemas

[Link]
 Firewalls Personales
 Muy Fáciles de operar, pero hay muchas consideraciones a tener en
cuenta según el escenario donde se utilicen.
 Una PC conectada solo a Internet
 Una PC conectada a una LAN además de Internet (otro equipos de red)
 Configuración de Firewalls muy permisivos o muy estrictos, ya que
dependen del operador que es el usuario.
 Poseen servicios
 Poseen asistentes de configuración (basados en perfiles)
 Tienen la capacidad que tienen de “ir aprendiendo“ las reglas necesarias junto con el
usuario
 Actualización automática
 Capacidades de detección de tráfico malicioso
 Permiten bloquear los avisos pop-up.

La política por defecto de estos

productos es "todo lo que no está
de Tecnología – Carrera de Ing. de Sistemas
permitido está prohibido"Facultad
[Link]
Firewall Best practics
 Ubique los firewalls en las fronteras de seguridad
claves.
 El SO del Firewall deben pasar por un proceso
de Hardening riguroso.
 No considerar al Firewall con él único elemento
de seguridad, solo es parte de la seguridad (de
un sistema Firewall).
 Trafico de la DMZ con destino al Internet
debería ser bloqueado. Deniegue todo el
tráfico por defecto y permita solo los
servicios necesarios.
Facultad de Tecnología – Carrera de Ing. de Sistemas
[Link]
Firewall Best practics
 Usar protocolos de administración seguros (SSH)
 En lo posible no usar “any” en el rule base
 Documentar cada rule base
 Instalar parches
 Si se van ha utilizar más de un Firewall que no
sean del mismo vendor
 Usar el los rule base “drop” y no “reject”
 Monitoree regularmente los registros del firewall.
 El último rule debería siempre tener habilitado el
LOG.
Facultad de Tecnología – Carrera de Ing. de Sistemas
[Link]
Firewall Best practics
 En lo posible no sobre cargar con muchas
funcionalidades adicionales al Firewall (AV,
VPN,etc.)
 Practique la administración de cambios para
cambios de configuración en el firewall.

Facultad de Tecnología – Carrera de Ing. de Sistemas

[Link]
Firewall Best practics

Facultad de Tecnología – Carrera de Ing. de Sistemas

[Link]
Los más utilizados

Facultad de Tecnología – Carrera de Ing. de Sistemas

[Link]
Los más utilizados

Facultad de Tecnología – Carrera de Ing. de Sistemas

[Link]
Top Ten

Facultad de Tecnología – Carrera de Ing. de Sistemas

[Link]
COMODO

Facultad de Tecnología – Carrera de Ing. de Sistemas

[Link]
ZONE ALARM

Facultad de Tecnología – Carrera de Ing. de Sistemas

[Link]
Norton Internet Security

Facultad de Tecnología – Carrera de Ing. de Sistemas

[Link]
Firewalls de Red
 Cisco ASA
 SonicWALL
 Juniper/ NetScreen
 CheckPoint
 Cyberguard
 Fortinet
 Lucent Brick
 Netgear
 Network Box
 Symantec SGS
 WatchGuard
 FWTK (Trusted Information Systems)
 IPCOP

Facultad de Tecnología – Carrera de Ing. de Sistemas

[Link]
Cisco Firewalls
 El firewall IOS de Cisco es una función especializada del IOS de
Cisco que se ejecuta en los routers Cisco. Es un firewall de calidad
profesional que soporta pequeñas y medianas empresas (PyMEs) y
oficinas sucursales.
 El Cisco PIX Security Appliance es un dispositivo autónomo que
asegura una robusta ejecución de las políticas de usuario y
aplicación, una protección multivector contra ataques y servicios de
conectividad segura. El Cisco PIX Security Appliances puede
acomodarse a una gama de requerimientos y tamaños de redes.
 El Cisco ASA Adaptive Security Appliances es una solucion de fácil
despliegue que integra capacidades de software, seguridad en
comunicaciones unificadas Cisco (voz y video), capa de sockets
seguros (SSL) y VPNs IPsec, IPS y servicios de seguridad de
contenidos.

Facultad de Tecnología – Carrera de Ing. de Sistemas

[Link]
Cisco Firewalls

Facultad de Tecnología – Carrera de Ing. de Sistemas

[Link]
Cisco Firewall Solutions
Cisco Systems proporciona varias opciones para los profesionales de
seguridad de red, para implementar una solución de firewall.

Facultad de Tecnología – Carrera de Ing. de Sistemas

[Link]
Juniper Network Firewalls
 [Link]
 Desarrollan dispositivos de red integrados orientados a
la seguridad de redes. Utilizan sistemas operativos en
tiempo real, de Juniper Networks Junos y el sistema
operativo ScreenOS .
 Series:
 SRX
 SSG
 ISG
 NetScreen

Facultad de Tecnología – Carrera de Ing. de Sistemas

[Link]
CheckPoint Firewall
 [Link]
 Es una completa suite de aplicaciones que integra control de
accesos, autenticación, traducción de dirección (NAT), seguridad
del contenido, auditoría y gestión centralizada.
 Producto estrella Check Point Firewall-1
 Basado en la tecnología patentada Stateful Inspection de Check Point
 Series:
 Power-1
 VSX
 IPSX
 DLP
 UTM
 IAS

Facultad de Tecnología – Carrera de Ing. de Sistemas

[Link]
CheckPoint Firewall-1 GUI

Facultad de Tecnología – Carrera de Ing. de Sistemas

[Link]
 IPCOP
 [Link]
 Basado en IPTABLES.
 Interface Web amigable.
 Open Source.
 Muy popular - Mucho soporte.
 Fácil para instalar y administrar.
 Features: Intrusion Detection System, IPSEC VPN ,
Caching DNS, Web Proxy, DHCP Server, Time Server,
Traffic Shaping, NAT.
 Con pocos requerimientos hardware orientado a
usuarios domésticos o a pequeñas empresas (SOHO)

Facultad de Tecnología – Carrera de Ing. de Sistemas

[Link]
IPCOP

Facultad de Tecnología – Carrera de Ing. de Sistemas

[Link]
IPCOP

Facultad de Tecnología – Carrera de Ing. de Sistemas

[Link]
OpenBSD
 [Link]
 Sistema operativo tipo UNIX, multiplataforma y
descendiente del BSD
 Enfocado a especialmente a la seguridad y la
criptografía.
 Es muy portable al ser un descendiente de NetBSD

Facultad de Tecnología – Carrera de Ing. de Sistemas

[Link]
ISA Server
 [Link]
 Microsoft Internet Security and Acceleration
 Es un firewall de stateful packet inspection y de
application layer
 Adicionalmente, ISA Server es un firewall de red, VPN y
web cache.
 A partir de febrero de 2007, Microsoft liberó una edición
especial de ISA Server llamada Intelligent Application
Gateway 2007
 AG 2007 es un servicio de VPN por medio de SSL
(ahora solo esta disponible por medio de Appliances)
Facultad de Tecnología – Carrera de Ing. de Sistemas
[Link]
ISA Server

Facultad de Tecnología – Carrera de Ing. de Sistemas

[Link]
Los Firewall en el Diseño de Redes

 Es recomendable un
enfoque de defensa por
capas, que usa diferentes
tipos de firewalls que se
combinan en capas para
agregar profundidad a la
seguridad de la
organización.

Facultad de Tecnología – Carrera de Ing. de Sistemas

[Link]
Los Firewall en el Diseño de
Redes

Facultad de Tecnología – Carrera de Ing. de Sistemas

[Link]
Arquitecturas de Implementación
 De acuerdo al diseño de nuestra red y los
elementos de seguridad que incorporemos,
podemos definir las siguientes arquitecturas
de firewall:
 Gateway de doble conexión (dual-homed Gateway).
 Host protegido (Bastion Host).
 Subred protegida (Screened subnet).
 Screened Host
 Screened Router

Facultad de Tecnología – Carrera de Ing. de Sistemas

[Link]
 Gateway de doble conexión

Bastión

•Diseño Simple
•Permite filtrado hasta la capa de aplicación
•Es altamente recomendable que este
Facultad sistema
de Tecnología tenga
– Carrera de deshabilitado el ruteo IP
Ing. de Sistemas
[Link]
Gateway de doble conexión

•Diseño más complejo

•Técnicas con defensa en profundidad
Facultad de Tecnología – Carrera de Ing. de Sistemas
[Link]
 Host protegido

•Diseño Simple
•Si un ataque vulnera el "Bastion Host", puede tener acceso a la red Interna
Facultad de Tecnología – Carrera de Ing. de Sistemas
[Link]
 Host protegido

•Técnicas con defensa en profundidad

Facultad de Tecnología – Carrera de Ing. de Sistemas
[Link]
Ejemplo: red con servidor proxy/cache de
uso obligatorio
[Link]

Servidor web
Filtro en el router
Servidor permit tcp host [Link] any eq www
Proxy/cache deny tcp [Link] [Link] any eq www

Internet
Cliente web

Router

Servidor web Los usuarios han de configurar su cliente web con

el proxy [Link] que sólo él puede realizar
Red interna conexiones al exterior por el puerto 80. Esto no
[Link]/16 afecta a los accesos a servidores web internos
Facultad de Tecnología – Carrera de Ing. de Sistemas
desde[Link]
el exterior
 Screened Router

•Diseño Simple con Router

Facultad de Tecnología – Carrera de Ing. de Sistemas
[Link]
 Screened Host

•Diseño Simple con un Servidor

•Usa un bastion host y screening router
Facultad de Tecnología – Carrera de Ing. de Sistemas
[Link]
Screened subnet

•Diseño Simple
•Con un Firewall
Facultad de Tecnología – Carrera de Ing. de Sistemas
[Link]
DMZ
 Una DMZ (demilitarized zone) es una porción de red
conectada con un firewall o grupo de firewalls. El
término proviene de una descripción militar de un área
ubicada entre zonas militares en la que no se permite
conflicto.
 Las DMZs definen las porciones de la red que son
confiables y las que no lo son.
 El trafico hacia la DMZ generalmente es: HTTP o DNS
 El diseño de firewall principalmente se trata de
interfaces de dispositivos que permiten o deniegan
tráfico basándose en el origen, el destino y el tipo de
tráfico.
Facultad de Tecnología – Carrera de Ing. de Sistemas
[Link]
 Screened subnet con DMZ

•Diseño más complejo

•Con un Firewall y DMZ
•También conocida como red perimétrica
Facultad de Tecnología – Carrera de Ing. de Sistemas
[Link]
Diseño del Firewall con DMZ

Facultad de Tecnología – Carrera de Ing. de Sistemas

[Link]
 Screened subnet
 Puede crear latencia especifica mente con protocolos de
streaming media, sip(voice), etc

•Técnicas con defensa en profundidad

•Un Gateway con 2 Firewalls y un Bastion Host
Facultad de Tecnología – Carrera de Ing. de Sistemas
[Link]
Esquemas - Redundancia

 Fault Tolerant Firewalls

Facultad de Tecnología – Carrera de Ing. de Sistemas

[Link]
High Availability Vs. Load Sharing

Facultad de Tecnología – Carrera de Ing. de Sistemas

[Link]
Opciones de Ubicación

Facultad de Tecnología – Carrera de Ing. de Sistemas

[Link]
Seguridad en Profundidad en la Red

Una defensa profunda y completa

debe incluir almacenamiento
externo, una topología de
hardware redundante, Antivirus,
capacitación del Personal
(administradores y usuarios en
general)
Facultad de Tecnología – Carrera de Ing. de Sistemas
[Link]
Seguridad en Redes

DETECCIÓN Y
PREVENCIÓN DE
INTRUSOS
Facultad de Tecnología – Carrera de Ing. de Sistemas
[Link]
Introducción
Los gusanos y los virus pueden propagarse por todo el
mundo en cuestión de minutos.
 Zero-day attack (zero-day threat) es un ataque informático que
intenta explotar las vulnerabilidades de software.
 Zero-hour describe el momento en que el exploit se descubre.

Facultad de Tecnología – Carrera de Ing. de Sistemas

[Link]
Monitor para ataques
 IDS se implementaron para monitorear pasivamente el tráfico en una
red.
 IDS habilitado para copias de dispositivos del flujo de tráfico, y
analiza el tráfico copiado en lugar de los paquetes reenviados
reales.
 Trabajar sin conexión, se compara el flujo de tráfico capturado con
firmas maliciosos conocidos.
 Esta implementación IDS sin conexión se refiere al modo como
promiscuo (promiscuous mode).
 La ventaja de operar con una copia del tráfico es que el IDS no
afecta negativamente el flujo de paquetes real.
 La desventaja de operar sobre una copia del tráfico es que el IDS no
puede detener los ataques de un solo paquete maliciosos lleguen a
la meta antes de responder al ataque.
 Una mejor solución es utilizar un dispositivo que puede detectar y
detener un ataque inmediato. Un IPS realiza esta función.
Facultad de Tecnología – Carrera de Ing. de Sistemas
[Link]
Detectan y Paran los Ataques
 Un IDS monitorea offline
tráfico y genera una alerta
(log) cuando detecta tráfico
malicioso incluyendo :
• Ataques de
reconocimiento
• Ataques de acceso
• Ataques de Denegación
de Servicio.
 Un IDS es un dispositivo
pasivo porque analiza
copias de flujo de tráfico.
• Sólo requiere una interfaz
promiscuo.
• No frenar el tráfico de red.
• Permite un poco de tráfico
malicioso en la red.

Facultad de Tecnología – Carrera de Ing. de Sistemas

[Link]
Detectan y Paran los Ataques
 Un IPS se basa en la tecnología
IDS para detectar ataques.
 Sin embargo, también puede
dirigirse inmediatamente a la
amenaza.
 Un IPS es un dispositivo activo
porque todo el tráfico debe pasar
a través de él.
 Conocida como "inline-mode",
que funciona en línea en tiempo
real para monitorear Capa 2 a
través del tráfico y contenido
Capa 7.
 También puede detener los
ataques de un solo paquete
llegue al sistema de destino (IDS
no puede). Facultad de Tecnología – Carrera de Ing. de Sistemas
[Link]
Características de IDS e IPS
• Ambas tecnologías se
despliegan como sensores.
• Ambas tecnologías utilizan
firmas para detectar
patrones de mal uso en el
tráfico de red.
• Ambos pueden detectar
patrones atómicos (de un
solo paquete) o patrones
compuestos (multi-paquete).

Facultad de Tecnología – Carrera de Ing. de Sistemas

[Link]
Características de IDS e IPS
Un sensor IDS o IPS puede ser cualquiera de los siguientes
dispositivos:
 Router configurado con el software IPS.

 Appliance diseñado específicamente para proporcionar IDS o

servicios dedicados de IPS.
 Módulo de red instalado en un dispositivo de seguridad adaptativa
(ej. ASA), conmutador o enrutador.
IDS y tecnologías IPS utilizan firmas para detectar patrones en el
tráfico de red.
Una firma es un conjunto de reglas que un IDS o IPS utiliza para
detectar actividad maliciosa.
Las firmas se utilizan para detectar fallos de seguridad graves,
ataques de red comunes, y para recopilar información.

Facultad de Tecnología – Carrera de Ing. de Sistemas

[Link]
IDS

 Un Intrusion Detection System (Sistema de Detección de Intrusos)

cumple una función diferente a un firewall, debido a que son
diseñados para detectar anormalidades de seguridad, como ser el uso
no autorizado o abuso de un recurso, o bien un intento de ataque
sobre los mismos.

Facultad de Tecnología – Carrera de Ing. de Sistemas

[Link]
Arquitectura de Implementación

Facultad de Tecnología – Carrera de Ing. de Sistemas

[Link]
IPS

Facultad de Tecnología – Carrera de Ing. de Sistemas

[Link]
IPS

Facultad de Tecnología – Carrera de Ing. de Sistemas

[Link]
Best Practices
 La necesidad de mejorar los
sensores con los últimos
paquetes de firmas debe
equilibrarse con el tiempo de
inactividad momentánea
durante el cual la red se
vuelve vulnerable a los
ataques.
 Actualización de la firma de
paquetes de forma
automática.
 Descarga nuevas firmas a un
servidor seguro dentro de la
red de gestión.
 Coloca paquetes de firmas en
un servidor SFTP dedicado
dentro de la red de gestió[Link] de Tecnología – Carrera de Ing. de Sistemas
[Link]
Best Practices Cont.
 Configure los sensores para
comprobar regularmente el
servidor SFTP para nuevos
paquetes de firmas.
 Mantenga los niveles de la
firma que se admiten en la
consola de administración
sincronizado con los
paquetes de firmas en los
sensores.

Facultad de Tecnología – Carrera de Ing. de Sistemas

[Link]
Seguridad en Redes

OTROS DISPOSITIVOS DE
RED

Facultad de Tecnología – Carrera de Ing. de Sistemas

[Link]
Honey pot y Honey net
 En ocasiones es interesante aprender de los propios atacantes.

Facultad de Tecnología – Carrera de Ing. de Sistemas

[Link]
Seguridad en Redes: Seguridad Perimetral

CONCLUSIONES

Facultad de Tecnología – Carrera de Ing. de Sistemas

[Link]
Conclusiones
 Como en el caso del software antivirus, los
firewalls personales son una herramienta de
seguridad esencial.
 Los firewalls son el principal dispositivo de
seguridad pero no es aconsejable depender
exclusivamente de un firewall para la seguridad
de una red, se debe considerar muchos factores
para construir una defensa completa y profunda
 El Firewall es seguro como la configuración
de sus reglas.
Facultad de Tecnología – Carrera de Ing. de Sistemas
[Link]
 Fuente: Hispasec
Facultad de Tecnología – Carrera de Ing. de Sistemas
[Link]
Ing. Marco Antonio Arenas Porcel

Email:marcoap@[Link]
:markituxfor@[Link]

Facultad de Tecnología – Carrera de Ing. de Sistemas

[Link] 170