SEGURIDAD EN REDES SEGURIDAD- FIREWALLS 1. Principios ...
SEGURIDAD EN REDES SEGURIDAD- FIREWALLS 1. Principios ...
SEGURIDAD EN REDES SEGURIDAD- FIREWALLS 1. Principios ...
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
<strong>SEGURIDAD</strong> <strong>EN</strong> <strong>REDES</strong><br />
_________________________________________________<br />
<strong>FIREWALLS</strong><br />
Ing. José I. Gallardo Univ.Nac.Patagonia "S.J.Bosco" 1<br />
<strong>SEGURIDAD</strong>- <strong>FIREWALLS</strong><br />
TEMAS<br />
<strong>1.</strong> <strong>Principios</strong> diseño de firewalls<br />
<strong>1.</strong><strong>1.</strong> Características de firewalls<br />
<strong>1.</strong>2. Tipos de firewalls<br />
<strong>1.</strong>3. Configuraciones de firewalls<br />
2. Sistemas Confiables (trusted)<br />
2.<strong>1.</strong> Control de acceso a datos<br />
2.2. El concepto de sistemas confiables<br />
2.3. Defensa de troyanos.<br />
JIG © 2<br />
1
Introducción a Firewalls (Muros Cortafuegos)<br />
________________________________________________<br />
• FIREWALL: Es un sistema ó grupo de sistemas que refuerza la<br />
política de control de acceso entre dos redes.<br />
• En principio provee dos servicios básicos:<br />
� Bloquea tráfico indeseado<br />
� Permite tráfico deseable<br />
• Los Sistemas de Información tuvieron una sostenida evolución<br />
de pequeñas LANs a la conectividad de Internet, pero no se<br />
establecieron medidas acordes de seguridad para todas la WS y<br />
servidores. Presiones operativas:1ºConectividad y 2º Seguridad.<br />
• Dentro de las Estrategias de Seguridad de una organización, un<br />
Firewall pertenece al grupo de Proactivas, para minimizar<br />
vulnerabilidades. ( Fig.1)<br />
JIG © 3<br />
Introducción a Firewalls<br />
________________________________________________<br />
Fig.1: Estrategia de Seguridad (Benson) [Ref.2]<br />
← Firewalls<br />
JIG © 4<br />
2
<strong>1.</strong> <strong>Principios</strong> de Diseño de Firewalls<br />
________________________________________________<br />
• Los Firewalls están insertados entre la red local y la Internet<br />
(red no confiable) → Objetivos:<br />
� Establecer un enlace controlado<br />
� Proteger la red local de ataques basados en la Internet<br />
� Proveer un único punto de choque.<br />
Router+ Firewall<br />
JIG © 5<br />
<strong>1.</strong><strong>1.</strong> Características de Firewalls<br />
________________________________________________<br />
Objetivos de Diseño:<br />
� Todo el tráfico interno hacia el exterior debe pasar a través del FW.<br />
� Sólo el tráfico autorizado (definido por política de seguridad local)<br />
será permitido pasar, a través de filtros y gateways.<br />
� El FW en sí mismo es inmune a penetraciones (usando sistema<br />
confiable con sistema operativo seguro).<br />
4 Técnicas generales para Control Accesos:<br />
a. Control de Servicios: determina tipo servicios de Internet que<br />
pueden ser accedidos.<br />
b. Control de Dirección: determina la dirección en que se permiten<br />
fluir requerimientos de servicios particulares.<br />
c. Control de Usuarios: controla acceso a servicio acorde a permisos<br />
de usuarios<br />
d. Control de Comportamiento: controla cómo se usan servicios<br />
particulares (Ejplo: filtros de email).<br />
JIG © 6<br />
3
<strong>1.</strong>2. Tipos de Firewalls<br />
________________________________________________<br />
• Tres tipos comunes de Firewalls :<br />
1) Router con Filtrado de Paquetes<br />
2) Gateway a Nivel de Aplicación<br />
3) Gateway a Nivel de Circuitos<br />
+ (Host Bastión)<br />
Router con Filtrado de Paquetes<br />
JIG © 7<br />
<strong>1.</strong>2.<strong>1.</strong> Router con Filtrado Paquetes<br />
________________________________________________<br />
• Aplica un set de reglas para cada paquete entrante y luego lo<br />
reenvía ó descarta. Filtra paquetes en ambas direcciones.<br />
• El filtrado de paquetes se setea típicamente como una lista de<br />
reglas (ACL: Access Control List) basadas en “matches” de<br />
campos de cabeceras IP ó TCP/UDP.<br />
• Dos políticas por default: discard/deny ó forward/allow<br />
• Mejor habilitar explícitamente (default= deny)<br />
• Se implementa con notación específica de cada router.<br />
Ventajas:<br />
� Simplicidad<br />
� Transparencia hacia usuarios<br />
� Alta velocidad<br />
Desventajas:<br />
� Dificultad en el seteo de reglas de filtrado<br />
� Falta de Autenticación<br />
JIG © 8<br />
4
<strong>1.</strong>2.<strong>1.</strong> Router con Filtrado Paquetes<br />
________________________________________________<br />
Posibles ataques y Contramedidas apropiadas:<br />
� IP Address Spoofing (mentir dirección IP)<br />
⇒ Descartar paquetes con dir IP interna que arribe del<br />
exterior.<br />
� Ataques Source Routing (paquete IP con opción ruteo<br />
fuente) ⇒ Descartar todos los paquetes que usen esta<br />
opción.<br />
� Ataques por Tiny Fragments (fragmentos muy pequeños)<br />
⇒ Descartar todos paquetes donde tipo protocolo sea TCP<br />
y Offset de Fragmento=1 en Header_IP.<br />
JIG © 9<br />
<strong>1.</strong>2.2. Sistema de FW con GW a Nivel Aplicación<br />
____________________________________________________<br />
• Gateway a Nivel Aplicación (ó Proxy Server)<br />
• Son hosts corriendo Proxy servers, que evitan tráfico directo entre redes.<br />
• Actúa como un relay(conmutador) de tráfico a nivel de aplicación.<br />
• Más eficiente y posible control de contenidos.<br />
• Puede ponerse un AV en el gateway.<br />
JIG © 10<br />
5
<strong>1.</strong>2.2. Sistema de FW con GW a Nivel Aplicación<br />
____________________________________________________<br />
Proxy de Aplicación: programa que representa a toda la red<br />
interna, ocultando la LAN de la red pública. Toma decisiones de<br />
forwarding en los 2 sentidos.<br />
� Hará el forward de clientes autorizados a servers del exterior y<br />
traerá las respuestas a dichos clientes.<br />
� Proxy HTTP puede mantener páginas web en caché.<br />
• Ventajas:<br />
� Más seguros que filtros de paquetes.<br />
� Sólo necesita discriminar una pocas aplicaciones permitidas<br />
(Telnet, HTTP, etc), no a nivel de IP ó TCP.<br />
� Fácil control de log y auditar todo el tráfico entrante<br />
• Desventajas:<br />
� Overhead de procesamiento adicional en cada conexión, ya<br />
que hay dos conexiones divididas y el Gateway que actúa<br />
como splice, debe examinar y reenviar todo el tráfico.<br />
JIG © 11<br />
<strong>1.</strong>2.3. Sistema de FW con GW a Nivel Circuitos<br />
__________________________________________________<br />
• Gateway a Nivel de Circuitos:<br />
• Puede ser un sistema stand-alone ó una función especializada<br />
realizada por un GW de nivel aplicación.<br />
• No permite conexiones TCP end-to-end, sino que GW setea 2<br />
conexiones TCP entre usuarios TCP externo e interno con él.<br />
• GW hace conmutación de segmentos TCP de una conexión a<br />
otra sin examinar contenido.<br />
JIG © 12<br />
6
<strong>1.</strong>2.3. Sistema de FW con GW a Nivel Circuitos<br />
__________________________________________________<br />
• La función de seguridad consiste en determinar qué<br />
conexiones serán permitidas.<br />
• Usado típicamente en situaciones donde el administrador del<br />
sistema confía en los usuarios internos.<br />
• Un ejemplo de implementación es el paquete SOCKS (v.5 en<br />
RFC 1928)<br />
� Capa entre niveles de Transporte y Aplicación<br />
� No provee servicios de GW a capa de red, como el forwarding de<br />
mensajes ICMP.<br />
� Consiste de Server Socks, Librerías de clientes socks y Programas<br />
clientes sock-ificados de las aplicaciones estándares.<br />
JIG © 13<br />
<strong>1.</strong>2.4. Bastion Host<br />
__________________________________________________<br />
� Es un sistema identificado por el administrador del firewall como<br />
un punto crítico en la seguridad de la red.<br />
� Host bastión sirve como una plataforma para un gateway a nivel<br />
de aplicación ó de circuito.<br />
� Su plataforma de hardware corre versión segura de S.O. ⇒<br />
Sistema Confiable.<br />
� Administrador de red instala sólo servicios esenciales en él, como<br />
aplicaciones proxies como Telnet, DNS, FTP, SMTP y<br />
Autenticación usuarios.<br />
� Cada proxy se configura para requerir autenticación adicional, antes<br />
de permitir a usuario acceder a servicios. C/u mantiene info auditoría<br />
por logging de todo el tráfico de c/conexión.<br />
� Cada módulo proxy es un pequeño paquete SW diseñado para<br />
seguridad en red, e independiente de los otros proxies.<br />
� Proxy gralmente no realiza accesos a disco, salvo leer configuración<br />
inicial, tal de dificultar instalación de troyanos ó sniffers.<br />
JIG © 14<br />
7
<strong>1.</strong>3. Configuraciones de Firewalls<br />
________________________________________________<br />
• Además del uso de configuraciones simples de un<br />
sistema único , como router con filtrado de paquetes ó<br />
gateway único, son posibles configuraciones más<br />
complejas, siendo las tres más comunes:<br />
1) Sistema FW con screened host (single-homed bastion host)<br />
(FW con host apantallado y conectado a una sola red)<br />
2) Sistema FW con screened host (dual-homed bastion host)<br />
(FW con host apantallado y conectado con 2 placas red)<br />
3) Sistema FW con screened subnet (con DMZ)<br />
(FW con subred apantallada ó De-Militarized Zone)<br />
JIG © 15<br />
<strong>1.</strong>3.<strong>1.</strong> Sistema FW con screened host<br />
(single-homed bastion host)<br />
_____________________________________________<br />
• El firewall consiste de dos sistemas: Un router con filtrado de<br />
paquetes y un host bastión.<br />
• Configuración para el router con filtrado paquetes:<br />
– Router sólo permite pasar paquetes desde ó hacia el hostbastión.<br />
• El Host Bastión realiza funciones de proxy y autenticación.<br />
JIG © 16<br />
8
<strong>1.</strong>3.<strong>1.</strong> Sistema FW con screened host<br />
(single-homed bastion host)<br />
_____________________________________________<br />
• Mejor seguridad que configuraciones simples por dos motivos:<br />
– Esta configuración implementa ambos filtrados, a nivel de<br />
paquetes y de aplicación, permitiendo flexibilidad en la definición<br />
de política de seguridad.<br />
– Un intruso debería atravesar ambas barreras (dos sistemas<br />
separados)<br />
• Esta configuración también permite la posibilidad de proveer acceso<br />
directo a Internet, con servidores de información pública como web<br />
servers.<br />
JIG © 17<br />
<strong>1.</strong>3.2. Sistema FW con screened host<br />
(dual-homed bastion host)<br />
_____________________________________________<br />
• Con 2 placas de red, evita que si el router con filtrado de paquetes<br />
está comprometido, el tráfico pase directamente a la red interna.<br />
• El tráfico entre Internet y los hosts de la red interna privada tiene<br />
que pasar através del host bastión.<br />
• Mantiene las dos capas de seguridad, y pueden conectarse servers<br />
con el router, según la política de seguridad.<br />
JIG © 18<br />
9
<strong>1.</strong>3.3. Sistema FW con Screened-Subnet (DMZ)<br />
_________________________________________________<br />
• Configuración más segura de las tres, con 2 Routers interno y<br />
externo con filtrado de paquetes.<br />
• Crea una subred aislada, DMZ (De Militarized Zone) que puede<br />
consistir de un simple host bastión, ó de más servers públicos.<br />
• Los routers sólo permiten tráfico hacia ó desde la subred DMZ.<br />
JIG © 19<br />
<strong>1.</strong>3.3. Sistema FW con Screened-Subnet (DMZ)<br />
_________________________________________________<br />
• Ventajas:<br />
� Tres niveles de defensa ante intrusos.<br />
� El Router Externo sólo declara hacia la Internet la existencia de la<br />
subred protegida →La red interna es invisible para la Internet.<br />
� El Router Interno sólo declara hacia la red interna la existencia de<br />
la subred protegida → Los sistemas de la red interna no pueden<br />
construir rutas directas hacia Internet.<br />
⇒ Los routers sólo permiten tráfico a/desde la red DMZ.<br />
• Zona DMZ: se tiene cierto control, deja que algunas<br />
aplicaciones puedan ser accedidas como servicios externos de<br />
servers Web ó DNS y GW de aplicación para clientes internos.<br />
• Normalmente se implementa NAT (Network Address Translation),<br />
que oculta las direcciones reales y dificulta ó impide accesos.<br />
• NAT útil si no se poseen suficientes dir IP válidas. Solamente se<br />
necesitan dir IP reales si queremos salir de nuestra red interna, para<br />
acceder a servers externos.<br />
• Mapeo muchos-a-1 ó 1-a-1; Los proxies proveen muchos-a-<strong>1.</strong><br />
JIG © 20<br />
10
2. Sistemas Confiables<br />
________________________________________________<br />
• Una forma de mejorar la habilidad de un sistema de defensa<br />
contra intrusos y programas maliciosos, es implementar<br />
tecnología de Sistemas Confiables. (Trusted Systems)<br />
2.<strong>1.</strong> Control de Acceso a Datos<br />
• A través de procedimientos de control de accesos de usuarios<br />
(log on), un usuario puede ser identificado por el sistema.<br />
• Asociado a cada usuario puede existir un Perfil que especifica<br />
sus operaciones y accesos a archivos permitidos.<br />
• El sistema operativo puede aplicar reglas basadas en el perfil de<br />
usuario.<br />
• Los Modelos generales de control de Acceso pueden ser:<br />
– Matriz de Accesos<br />
– Lista de Control de Accesos<br />
– Lista de Capacidades<br />
JIG © 21<br />
2.<strong>1.</strong> Control de Acceso a Datos<br />
________________________________________________<br />
• Matriz de Accesos<br />
• Los Elementos básicos del modelo son:<br />
– Sujeto (ó Subject): una entidad capaz acceder objetos.<br />
Concepto equivalente al de proceso.<br />
– Objeto: algo al que su acceso se controla (Ejplo: archivos,<br />
programas y segmentos de memoria).<br />
– Derechos de Acceso: el modo en que un objeto es<br />
accedido por un sujeto (Ejplo: read, write, execute).<br />
JIG © 22<br />
11
2.<strong>1.</strong> Control de Acceso a Datos<br />
________________________________________________<br />
– Un eje de la Matriz (Y) consiste de los sujetos identificados que<br />
pueden intentar acceder a los datos.<br />
– El otro eje (X) lista los objetos que pueden ser accedidos.<br />
– Cada entrada en la matriz indica los derechos de acceso de cada<br />
sujeto para cada objeto.<br />
• Lista de Control de Accesos: descomposición de la matriz<br />
por columnas. Lista los usuarios y sus derechos de accesos<br />
permitidos. La lista puede contener una entrada pública ó por<br />
default.<br />
Lista Ctrl Accesos Programa1<br />
Proceso1 (Read, Execute)<br />
JIG © 23<br />
2.<strong>1.</strong> Control de Acceso a Datos<br />
________________________________________________<br />
• Lista de Capacidades: descomposición de la matriz por filas.<br />
• Un ticket de capacidad especifica objetos autorizados y<br />
operaciones para un usuario. Cada usuario tiene un número de<br />
tickets.<br />
Lista Capacidades p´Proceso1<br />
Programa1 (Read, Execute)<br />
SegmentoA (Read, Write)<br />
JIG © 24<br />
12
2.2. El concepto de Sistemas Confiables<br />
________________________________________________<br />
Sistemas Confiables (Trusted):<br />
• Protección de datos y recursos en base a niveles de seguridad,<br />
como en lo militar, donde la información se categoriza como U<br />
(unclassified), C (confidential), S (secret) y TS (top secret).<br />
• Los usuarios pueden obtener permisos para acceder a ciertas<br />
categorías de datos.<br />
• Seguridad Multinivel: definición cuando hay múltiples categorías<br />
ó niveles de datos.<br />
• Un sistema de seguridad multinivel debe aplicar las siguientes<br />
reglas:<br />
� No Read Up: un sujeto sólo puede leer un objeto de nivel de<br />
seguridad igual ó menor (Simple Security Property)<br />
� No Write Down: un sujeto sólo puede escribir en un objeto de<br />
nivel de seguridad igual ó mayor (*.Property)<br />
JIG © 25<br />
2.2. El concepto de Sistemas Confiables<br />
________________________________________________<br />
• Concepto de Monitor de Referencia: aproximación de<br />
seguridad multinivel para un sistema de procesamiento de<br />
datos.<br />
JIG © 26<br />
13
2.2. El concepto de Sistemas Confiables<br />
________________________________________________<br />
• Monitor de Referencia:<br />
� Elemento de control en el hardware y sistema operativo de<br />
una computadora que regula el acceso de sujetos a objetos<br />
en base a parámetros de seguridad.<br />
� El Monitor tiene acceso a un archivo (Security Kernel<br />
Database)<br />
� Aplica las reglas de seguridad (no read up, no write down).<br />
• Propiedades del Monitor:<br />
� Mediación Completa: reglas seguridad se aplican en todo<br />
acceso.<br />
� Aislación: el monitor de referencia y la DB están protegidos<br />
de modificaciones no autorizadas.<br />
� Correctitud: la exactitud del monitor de referencia debe ser<br />
comprobable (matemáticamente).<br />
• Un sistema que pueda proveer tales verificaciones (ó<br />
propiedades), se puede referir como un Sistema Confiable.<br />
JIG © 27<br />
2.3. Defensa de Troyanos<br />
________________________________________________<br />
• Troyanos: programa malicioso que aparentando hacer algo<br />
normal, hará algo inesperado, a través de trapdoor ó un ataque<br />
(acceder a una cuenta ó ejecutar comandos con privilegios de<br />
otro usuario).<br />
• Secuencia a y b muestra ataque de troyano de usuario A, que<br />
consigue acceso legítimo al sistema e instala un troyano y un<br />
arch.privado a ser usado en el ataque como un “back pocket”.<br />
Arch Back Pocket<br />
JIG © 28<br />
14
2.3. Defensa de Troyanos<br />
________________________________________________<br />
• Sistemas Operativos confiables y seguros, constituyen un modo<br />
de defensa contra ataques de troyanos (Trojan Horse Attacks).<br />
• Secuencias c y d con S.O.Seguro, donde Monitor no permite a B<br />
escribir (no W down) el string en un arch público (back pocket).<br />
Si B tiene nivel seguridad sensitivo, y A nivel público, cuando B<br />
invoca al troyano, este programa adquiere nivel seg de B.<br />
Programa<br />
Programa<br />
Monitor<br />
Referencia<br />
Arch Data Programa<br />
Monitor<br />
Referencia<br />
Arch Data<br />
Arch Back Pocket Programa Arch Back Pocket<br />
JIG © 29<br />
Bibliografía<br />
Fuentes:<br />
<strong>1.</strong> Network Security Essentials- W. STALLINGS- Prentice Hall- Cap.10.<br />
2. Security Strategy- Christopher B<strong>EN</strong>SON.<br />
http://www.microsoft.com/technet/security/bestprac/secstrat.asp<br />
3. Building Internet Firewalls - CHAPMAN & ZWICKY- O´Reilly.<br />
4. Web Security Basics- S.BASHIN- Premier Press-2003- Chap.8.<br />
JIG © 30<br />
15