PDF de programación - Seguridad Informática: Capítulo 10: Seguridad Perimetral

Seguridad Informática:
Capítulo 10: Seguridad Perimetral

Titulación: Ingeniero en Informática
Curso 5º - Cuatrimestral (2005-2006)

Javier Jarauta Sánchez
Rafael Palacios Hielscher
Jose María Sierra

Presentación

2
Capítulo 6

Capítulo 10: Seguridad Perimetral

Cortafuegos (Firewall) y Proxy
Redes Privadas Virtuales (VPN)
IDS, IPS

3
Capítulo 6

Cortafuegos y Proxy

4
Capítulo 6

Funcionamiento general del Firewall

• Bloqueo de conexiones externas

5
Capítulo 6

Definiciones y conceptos básicos

• Cortafuegos o Firewall:

– Sistema que implanta una política de control de accesos

entre dos redes (p.e. Internet-LAN)

• Mecanismos que utiliza:

– Bloquea o Permite él tráfico entre redes
– Hay que tener muy claro lo que se quiere permitir o

denegar

• ¿Por qué necesito un Firewall?

– Permitir acceso a Internet de usuarios internos
– Permitir acceso desde Internet a usuarios autorizados
– Prohibir acceso desde Internet a los no autorizados

6
Capítulo 6

Contra qué protege un Cortafuegos

• Contra accesos no autenticados del exterior.
• Contra tráfico no autorizado del exterior
• Permitiendo salida desde el interior
• Proporciona un único punto para implantar una

política de seguridad y auditoría.

• Ha de protegerse a si mismo

¡PUERTA BLINDADA!

7
Capítulo 6

Contra qué NO protege un Cortafuegos

• Contra accesos externos que no van por el

cortafuegos (modems,...).

• Contra ataques desde el interior
• Contra virus, troyanos, túneles
• Contra salida de info por otro medio (disketes, etc.)
• Debe ser parte de una política global

¡NO VALE UNA PUERTA BLINDADA EN UNA CASA

DE MADERA!

8
Capítulo 6

Arquitectura general - Cortafuegos
corporativo

Usuarios
Usuarios

Servidores
Servidores

Internet
Internet

LANLAN

BBDD
BBDD

Oficinas
Oficinas

9
Capítulo 6

Tipos de cortafuegos

• Clasificación por tecnología:

– Filtros de paquetes
– Proxy de aplicación
– Inspección de estados (statefull inspection)
– Hibridos

• Clasificación por ubicación:
– Cortafuegos personales (para PC)
– Cortafuegos para pequeñas oficinas (SOHO)
– Equipos hardware específicos (Appliances)
– Cortafuegos corporativos

10
Capítulo 6

Tipos de Cortafuegos (1)

• Filtros de Paquetes (nivel de red):

– Trabajan a nivel de red (IP)
– Filtran paquetes IP según sus cabeceras y basados en los

siguientes criterios:
• Direcciones IP origen y destino
• Puertos TCP/UDP origen y destino

– Un router es un cortafuegos básico a nivel de red
– Pueden utilizar filtros estáticos o dinámicos
– PROS:

• Independencia de las aplicaciones
• Son muy rápidos y escalables

– CONS:

• Menor nivel de seguridad
• No examinan el tráfico ni entienden el contexto

11
Capítulo 6

Tipos de Cortafuegos (2)

• Gateways de aplicación (nivel aplicación):

– No permiten tráfico entre las dos redes, si no es mediante

un proxy a nivel de aplicación.

– Existe una conexión entre el exterior y el cortafuegos y

otra entre el cortafuegos y el interior

– Servidores proxy
– PROS:

• Alto nivel de seguridad
• Examinan información a nivel de aplicación
• Toman decisiones basadas en datos de cada aplicación

– CONS:

• Menor rendimiento y escalabilidad
• Rompe el modelo cliente/servidor (requiere dos conexiones)
• Requiere implantar un proxy por cada aplicación

12
Capítulo 6

Tipos de Cortafuegos (3)

• Inspección de estados (varios niveles)

– Realizan filtros en base a las cabeceras, el paquete se
intercepta a nivel de red, pero extrae información de los
datos para analizar en función de la aplicación.

– Mantiene una tabla dinámica de estados con información

para las decisiones de seguridad

– No rompe el modelo cliente/servidor
– PROS:

• Alta seguridad, velocidad y escalabilidad
• Inspecciona los datos a nivel aplicación

– CONS:

• No se rompe la conexión totalmente

13
Capítulo 6

Tipos de Cortafuegos (4)

• Cortafuegos híbridos

– La mayoría de los productos comerciales actuales
– Incorporan mezcla de varias tecnologías
– Pueden definirse reglas de filtros para tráfico que requiere

alta velocidad, y proxy para alta seguridad

– Adaptativos (proxy durante el establecimiento y filtro de

paquetes durante la transferencia de datos)

14
Capítulo 6

Tipos de cortafuegos por ubicación

• Cortafuegos personales (PC):

– Novedad en el mercado. Protegen el PC controlando el
stack IP e inspeccionando las aplicaciones más comunes

– Permiten filtros de entrada y salida.
– Utilizables en PC en LAN, Modem, ADSL...

• Cortafuegos para pequeñas oficinas:

– Small Office Home Office (SOHO)
– Protegen a varios usuarios en pequeñas oficinas

(típicamente entre 2 y 50)

– Suelen ser pequeños equipos instalados antes del router,

o incluso integrados

– Muy utilizable para el acceso con ADSL

15
Capítulo 6

Tipos de cortafuegos por ubicación

• Equipos hardware (Appliances):
– Utilizados en oficinas medias y sucursales
– Fáciles de configurar, con funcionalidades básicas y

gestionados centralizadamente

– Utilizan sistemas operativos propios del hardware en el

que están implantados

• Cortafuegos corporativos:

– El punto central de accesos a Internet de una empresa.
– Punto central donde se implanta la política de seguridad

de la empresa

– Puede conectar múltiples redes
– Software que se instala en grandes servidores con

configuraciones tolerantes a fallos

16
Capítulo 6

Arquitecturas de cortafuegos

• Arquitectura hardware:

– Servidores estándar Windows o Unix con S.O. Seguros o

reforzados

– Hardware específico

• Arquitectura de red, Múltiples interfaces:

• Interface Externo: Internet
• Interface Interno: LAN, Intranet
• Zona Desmilitarizada (DMZ): Servidores públicos

• Alta disponibilidad:

– Arquitecturas tolerantes a fallos al ser un punto crítico de

acceso

17
Capítulo 6

Concepto de zona desmilitarizada-DMZ

• Zona desmilitarizada DMZ:

– Subred intermedia entre Internet y la Intranet
– Se instalan los servidores de acceso público como Web, eMail, FTP
– Los accesos a la Intranet pasan previamente por la DMZ, dando paso

a la LAN solo lo imprescindible

– Se instalan sistemas de filtrado y detección antivirus previo al envío a

la Intranet

– Se pueden establecer zonas de cuarentena
– Los servidores de la DMZ se robustecen

18
Capítulo 6

Arquitectura general - Cortafuegos
corporativo

Usuarios
Usuarios

Servidores
Servidores

Internet
Internet

LANLAN

BBDD
BBDD

DMZDMZ

Oficinas
Oficinas

Web Server
Web Server

eMail Server
Server
eMail

19
Capítulo 6

Ejemplo pantalla de configuración

Servicio, Puerto o
Rango de Puertos

Nombres del Host, Red,

Interface o Dirección

Defensas
contra IP
Spoofing y
TCP SYN

Flood

20
Capítulo 6

Permite, Intercepta o
Deniega la Transmisión

de Datos

Opciones para
modificar la

configuración por

defecto

Ejemplo pantalla de configuración

21
Capítulo 6

Ejemplo pantalla de configuración

22
Capítulo 6

Integración con otras tecnologías

• Autenticación de usuarios externos

– Mediante usuario/password, mediante certificados digitales, tarjetas,

acceso al directorio
• Sistemas antivirus:

– Sistemas adjuntos en la DMZ

• Filtro de contenidos:

– Filtrado de URL y navegación hacia el exterior
– Filtro para control de la información que sale
• Sistemas de detección de intrusión (IDS)

– Detectan y previenen ataques

• Redes privadas virtuales

– Túneles cifrados para acceso remoto desde el exterior para teletrabajo

23
Capítulo 6

Posibilidades de bloqueo de un Fw

FTP, HTTP, SMTP: Viruses

File Transfers, Web, E-Mail, News, etc.Aceptables

ActiveX, Java, JavaScript, VBScript

Inappropriate Sites

STOP

STOP

STOP

24
Capítulo 6

Fallos comunes al implantar un firewall

• Implantar un Fw sin política de seguridad
• Añadir reglas y servicios sin distinguir entre

“necesidades” y “deseos”

• Concentrarse en el Fw ignorando otras medidas de

seguridad

• Ignorar las alarmas y logs que da el Fw
• Anular las alarmas de bajo nivel y repetitivas
• Permitir a demasiado personal acceder e incluso

administrar parámetros del Fw

• Permitir el uso de modems independientes

25
Capítulo 6

Clases de ataques

• Averiguación y robo de passwords

– No es dificil hacerse Administrador o Root

• Aprovechar bugs y puertas traseras:

– De los SO, software de base o aplicaciones propias

• Fallos en los mecanismos de autenticación:

– Por la utilización de mecanismos débiles

• Fallos en los protocolos de comunicaciones
• Obtención de información transmitida o almacenada

en claro

• Denegación de servicio (DoS)
• Ingeniería social

26
Capítulo 6

Fabricantes existentes en el mercado

www.icsalabs.net

Productos firewall certificados por ICSA

• Checkpoint Firewall-1
• StoneGate
• Cisco PIX
• CyberGuard
• NetScreen
• Gaunlet

27
Capítulo 6

Redes Privadas Virtuales (VPN)

28
Capítulo 6

Redes Privadas Virtuales : VPN-IPSec

Redes Privadas Virtuales VPN-IPSec
Introducción
Definiciones y conceptos básicos
Para que sirve
El estándar IPSec
Aplicaciones reales

29
Capítulo 6

Para que sirve una VPN

• Las Redes Privadas Virtuales proporcionan confidencialidad en

redes IP reduciendo costes de comunicaciones

• Tipos de VPN según tecnología:

– VPN – IPSec
– VPN – SSL
– MPLS

• Ventajas de las VPN:

– Utilizan estándares de seguridad fuerte IPSec, SSL
– Interoperabilidad entre fabricantes
– Vale para cualquier aplicación y cualquier modo de acceso; RTB,

RDSI, LAN,

– Integración con otras tecnologías como PKI, IDS
– Accesos remotos seguros desde cualquier punto como si estuviera en

la oficina

– Reducción drástica de costes en comunicaciones

30
Capítulo 6

Ejemplos reales de uso

• Accesos remotos

– Para explotación remota de sistemas
– Acceso a información corporativa desde Internet

• Comunicaciones seguras entre oficinas

– Utilización de redes públicas IP para comunicaciones

seguras internas

• Teletrabajo

– Sistemas de teletrabajo seguro con RDSI, ADSL, Cable-

modem, etc

31
Capítul