Seguridad Informtica:

Captulo 10: Seguridad Perimetral

Titulacin: Ingeniero en Informtica Curso 5 - Cuatrimestral (2005-2006) Javier Jarauta Snchez Rafael Palacios Hielscher Jose Mara Sierra

Presentacin

Captulo 6

Captulo 10: Seguridad Perimetral

Cortafuegos (Firewall) y Proxy Redes Privadas Virtuales (VPN) IDS, IPS

Captulo 6

Cortafuegos y Proxy

Captulo 6

Funcionamiento general del Firewall

Bloqueo de conexiones externas

Captulo 6

Definiciones y conceptos bsicos

Cortafuegos o Firewall:
Sistema que implanta una poltica de control de accesos entre dos redes (p.e. Internet-LAN)

Mecanismos que utiliza:

Bloquea o Permite l trfico entre redes Hay que tener muy claro lo que se quiere permitir o denegar

Por qu necesito un Firewall?

Permitir acceso a Internet de usuarios internos Permitir acceso desde Internet a usuarios autorizados Prohibir acceso desde Internet a los no autorizados

Captulo 6

Contra qu protege un Cortafuegos

Contra accesos no autenticados del exterior. Contra trfico no autorizado del exterior Permitiendo salida desde el interior Proporciona un nico punto para implantar una poltica de seguridad y auditora. Ha de protegerse a si mismo PUERTA BLINDADA!
7

Captulo 6

Contra qu NO protege un Cortafuegos

Contra accesos externos que no van por el cortafuegos (modems,...). Contra ataques desde el interior Contra virus, troyanos, tneles Contra salida de info por otro medio (disketes, etc.) Debe ser parte de una poltica global NO VALE UNA PUERTA BLINDADA EN UNA CASA DE MADERA!
Captulo 6

Arquitectura general - Cortafuegos corporativo

Usuarios Servidores

LAN Internet BBDD

Oficinas

Captulo 6

Tipos de cortafuegos
Clasificacin por tecnologa:
Filtros de paquetes Proxy de aplicacin Inspeccin de estados (statefull inspection) Hibridos

Clasificacin por ubicacin:

Cortafuegos personales (para PC) Cortafuegos para pequeas oficinas (SOHO) Equipos hardware especficos (Appliances) Cortafuegos corporativos

Captulo 6

10

Tipos de Cortafuegos (1)

Filtros de Paquetes (nivel de red):
Trabajan a nivel de red (IP) Filtran paquetes IP segn sus cabeceras y basados en los siguientes criterios:
Direcciones IP origen y destino Puertos TCP/UDP origen y destino

Un router es un cortafuegos bsico a nivel de red Pueden utilizar filtros estticos o dinmicos PROS:
Independencia de las aplicaciones Son muy rpidos y escalables

CONS:
Menor nivel de seguridad No examinan el trfico ni entienden el contexto
Captulo 6

11

Tipos de Cortafuegos (2)

Gateways de aplicacin (nivel aplicacin):
No permiten trfico entre las dos redes, si no es mediante un proxy a nivel de aplicacin. Existe una conexin entre el exterior y el cortafuegos y otra entre el cortafuegos y el interior Servidores proxy PROS:
Alto nivel de seguridad Examinan informacin a nivel de aplicacin Toman decisiones basadas en datos de cada aplicacin

CONS:
Menor rendimiento y escalabilidad Rompe el modelo cliente/servidor (requiere dos conexiones) Requiere implantar un proxy por cada aplicacin

Captulo 6

12

Tipos de Cortafuegos (3)

Inspeccin de estados (varios niveles)
Realizan filtros en base a las cabeceras, el paquete se intercepta a nivel de red, pero extrae informacin de los datos para analizar en funcin de la aplicacin. Mantiene una tabla dinmica de estados con informacin para las decisiones de seguridad No rompe el modelo cliente/servidor PROS:
Alta seguridad, velocidad y escalabilidad Inspecciona los datos a nivel aplicacin

CONS:
No se rompe la conexin totalmente
Captulo 6

13

Tipos de Cortafuegos (4)

Cortafuegos hbridos
La mayora de los productos comerciales actuales Incorporan mezcla de varias tecnologas Pueden definirse reglas de filtros para trfico que requiere alta velocidad, y proxy para alta seguridad Adaptativos (proxy durante el establecimiento y filtro de paquetes durante la transferencia de datos)

Captulo 6

14

Tipos de cortafuegos por ubicacin

Cortafuegos personales (PC):
Novedad en el mercado. Protegen el PC controlando el stack IP e inspeccionando las aplicaciones ms comunes Permiten filtros de entrada y salida. Utilizables en PC en LAN, Modem, ADSL...

Cortafuegos para pequeas oficinas:

Small Office Home Office (SOHO) Protegen a varios usuarios en pequeas oficinas (tpicamente entre 2 y 50) Suelen ser pequeos equipos instalados antes del router, o incluso integrados Muy utilizable para el acceso con ADSL 15
Captulo 6

Tipos de cortafuegos por ubicacin

Equipos hardware (Appliances):
Utilizados en oficinas medias y sucursales Fciles de configurar, con funcionalidades bsicas y gestionados centralizadamente Utilizan sistemas operativos propios del hardware en el que estn implantados

Cortafuegos corporativos:
El punto central de accesos a Internet de una empresa. Punto central donde se implanta la poltica de seguridad de la empresa Puede conectar mltiples redes Software que se instala en grandes servidores con configuraciones tolerantes a fallos

Captulo 6

16

Arquitecturas de cortafuegos
Arquitectura hardware:
Servidores estndar Windows o Unix con S.O. Seguros o reforzados Hardware especfico

Arquitectura de red, Mltiples interfaces:

Interface Externo: Internet Interface Interno: LAN, Intranet Zona Desmilitarizada (DMZ): Servidores pblicos

Alta disponibilidad:
Arquitecturas tolerantes a fallos al ser un punto crtico de acceso
Captulo 6

17

Concepto de zona desmilitarizada-DMZ

Zona desmilitarizada DMZ:
Subred intermedia entre Internet y la Intranet Se instalan los servidores de acceso pblico como Web, eMail, FTP Los accesos a la Intranet pasan previamente por la DMZ, dando paso a la LAN solo lo imprescindible Se instalan sistemas de filtrado y deteccin antivirus previo al envo a la Intranet Se pueden establecer zonas de cuarentena Los servidores de la DMZ se robustecen

Captulo 6

18

Arquitectura general - Cortafuegos corporativo

Usuarios Servidores

LAN Internet BBDD

DMZ Oficinas

Web Server

eMail Server
19

Captulo 6

Ejemplo pantalla de configuracin

Servicio, Puerto o Rango de Puertos Nombres del Host, Red, Interface o Direccin

Defensas contra IP Spoofing y TCP SYN Flood

Permite, Intercepta o Deniega la Transmisin de Datos

Opciones para modificar la configuracin por defecto

Captulo 6

20

Ejemplo pantalla de configuracin

Captulo 6

21

Ejemplo pantalla de configuracin

Captulo 6

22

Integracin con otras tecnologas

Autenticacin de usuarios externos
Mediante usuario/password, mediante certificados digitales, tarjetas, acceso al directorio

Sistemas antivirus:
Sistemas adjuntos en la DMZ

Filtro de contenidos:
Filtrado de URL y navegacin hacia el exterior Filtro para control de la informacin que sale

Sistemas de deteccin de intrusin (IDS)

Detectan y previenen ataques

Redes privadas virtuales

Tneles cifrados para acceso remoto desde el exterior para teletrabajo
23

Captulo 6

Posibilidades de bloqueo de un Fw
FTP, HTTP, SMTP: Viruses

STOP

File Transfers, Web, E-Mail, News, [Link] ActiveX, Java, JavaScript, VBScript

STOP

Inappropriate Sites

STOP
Captulo 6

24

Fallos comunes al implantar un firewall

Implantar un Fw sin poltica de seguridad Aadir reglas y servicios sin distinguir entre necesidades y deseos Concentrarse en el Fw ignorando otras medidas de seguridad Ignorar las alarmas y logs que da el Fw Anular las alarmas de bajo nivel y repetitivas Permitir a demasiado personal acceder e incluso administrar parmetros del Fw Permitir el uso de modems independientes
Captulo 6

25

Clases de ataques
Averiguacin y robo de passwords
No es dificil hacerse Administrador o Root

Aprovechar bugs y puertas traseras:

De los SO, software de base o aplicaciones propias

Fallos en los mecanismos de autenticacin:

Por la utilizacin de mecanismos dbiles

Fallos en los protocolos de comunicaciones Obtencin de informacin transmitida o almacenada en claro Denegacin de servicio (DoS) Ingeniera social 26
Captulo 6

Fabricantes existentes en el mercado

[Link] Productos firewall certificados por ICSA Checkpoint Firewall-1 StoneGate Cisco PIX CyberGuard NetScreen Gaunlet
Captulo 6

27

Redes Privadas Virtuales (VPN)

Captulo 6

28

Redes Privadas Virtuales : VPN-IPSec

Redes Privadas Virtuales VPN-IPSec Introduccin Definiciones y conceptos bsicos Para que sirve El estndar IPSec Aplicaciones reales

Captulo 6

29

Para que sirve una VPN

Las Redes Privadas Virtuales proporcionan confidencialidad en redes IP reduciendo costes de comunicaciones Tipos de VPN segn tecnologa:
VPN IPSec VPN SSL MPLS

Ventajas de las VPN:

Utilizan estndares de seguridad fuerte IPSec, SSL Interoperabilidad entre fabricantes Vale para cualquier aplicacin y cualquier modo de acceso; RTB, RDSI, LAN, Integracin con otras tecnologas como PKI, IDS Accesos remotos seguros desde cualquier punto como si estuviera en la oficina 30 Captulo 6 Reduccin drstica de costes en comunicaciones

Ejemplos reales de uso

Accesos remotos
Para explotacin remota de sistemas Acceso a informacin corporativa desde Internet

Comunicaciones seguras entre oficinas

Utilizacin de redes pblicas IP para comunicaciones seguras internas

Teletrabajo
Sistemas de teletrabajo seguro con RDSI, ADSL, Cablemodem, etc

Captulo 6

31

IPSec en la realidad
aplicaciones TCP / UDP IP IPSec IP Ethernet / PPP

2
ISAKMP/Oakley

aplicaciones

TCP / UDP IP IPSec

Red no segura

IP Ethernet / PPP

ESP/AH

3 Autenticacin y cifrado de datos extremo a extremo

Captulo 6

32

Tecnologas de cifrado y niveles

Nivel de Aplicacin (ficheros/email: PGP, S/MIME)

Aplicaciones especificas

Nivel de Sesin (Web browser: SSL, SET) Nivel de red (VPN seguras: IPSec)

Comercio electronico

Aplicaciones existentes Transparente a las redes LAN-WAN Comunicaciones seguras integradas

33

Captulo 6

Estructura IPSec: ESP/AH

Encapsulation Security Payload (ESP)
Confidencialidad:
DES, 3-DES, RC5, CAST, BLOWFISH, IDEA

Autenticacin de la Cabecera (AH)

Integridad y Autenticacin de datos
HMAC, MD5, SHA1

Captulo 6

34

Estructura IPSec: IKE (ISAKMP/Oakley)

Establece un contexto de seguridad entre dos partes Tres tareas primarias para la interoperabilidad:
Negociar la poltica de seguridad Intercambio Diffie-Hellman de claves Autenticar el intercambio Diffie-Hellman

Captulo 6

35

Arquitectura de productos VPN

Consola gestin VPN Directorio X.500 Autoridad de Certificacin PKI

Cliente IPSec en software

VPN IPSec de 5 tneles

VPN IPSec de 2000 tneles

Opcin Tarjeta Inteligente

Gateways
Captulo 6

36

Arquitectura general de una VPN

LAN Oficina Principal
Directorio X.500-LDAP Sistema de Gestin: Entrust/PKI P/Config P/Director

Teletrabajo FIjo
Red IP de un Operador
Cable m odem xDSL NB-232 (TS-1520) Gateway VPN Internet POP

Firewall

NB-237 (TS-7520) Gateway VPN

LAN Oficina Regional o Empresa Externa

Internet

Cifrado Claro

PPP NB-233 (TS-2520) Gateway VPN

Teletrabajo mvil Agente Ventas

Internet POP NB-130 (TS-Client) Cliente VPN

Captulo 6

37

Fabricantes VPN IPSec

Nortel (Modelos Contivity) Nokia Cisco Netscreen Checkpoint Siempre consultar [Link] para certificacion

Captulo 6

38

Sistemas de deteccin de intrusiones: IDS, IPS

Captulo 6

39

Sistema Deteccin Intrusiones

Sistema de deteccin y prevencin de Intrusiones (IDS-IPS) Introduccin Definiciones y conceptos bsicos Para que sirven los IDS/IPS Arquitecturas de implantacin Aplicaciones reales

Captulo 6

40

Para que sirve un sistema IDS

Proteccin y deteccin en tiempo real de ataques: DoS, Caballos de Troya, Escaner de puertos, etc. Existen productos software y dispositivos hardware (appliance) Tecnologa basada en anlisis de protocolo (sniffer) o en patern-matching Detecta ataques externos e internos Se integra con otras tecnologas: Firewall

Captulo 6

41

Diferencias entre IDS e IPS

IDS: Sistema de Deteccin de Intrusiones
Solo detecta intrusiones, da alarmas pero no acta Se conecta como una sonda en la red o en un equipo, sin interferir el trfico Utiliza solamente un interface Ethernet, no corta la red

IPS: Sistema de Prevencin de Intrusiones

Ademas de detectar, previene contra intrusiones actuando de forma proactiva Se conecta en medio de la red, cortando la conexin Utiliza dos interfaces Ethernet Puede actuar conjuntamente con el Cortafuegos
42

Captulo 6

Tipos de sistemas IDS / IPS

Sondas de red (Network IDS)
Existen sistemas software o equipos appliance Se conectan en una subred y analizan todo el trfico que pasa

Software para servidores (Host IDS)

Software que se instala en los servidores y detecta intrusiones al equipo

Software para puesto de trabajo (Personal IDS)

Software que se instala en el PC y detecta intrusiones al equipo Se combina con el software antivirus y firewall del PC
Captulo 6

43

Sistema IDS / IPS

Detecta Detecta Intrusiones en tiempo real en el objetivo del ataque Protege Bloquea en tiempo real el lugar que est siendo atacado Identifica Identifica automticamente el lugar de donde viene el ataque
ControlChannel Intrusion Detection Engine
44

FireWall Blocking Engine

IDS

Captulo 6

Deteccin externa e interna

DMZ

Sonda IDS Exterior Firewall Sonda IDS Interior Firewall

Intranet
Ethernet Switch

Ethernet Switch

60+% de los intentos de Hacking son internos

N x 100 Mbps

Gigabit

UNIX Server

Mainfram

WinNT Server

MAINFRAME

Linux Server

Win9x

WinNT

Win2000

Captulo 6

45