Post on 23-Feb-2016
description
ESCUELA POLITECNICA DEL EJERCITO
MAESTRIA EN REDES DE INFORMACIÓN Y CONECTIVIDAD
«REPOTENCIACIÓN DE UN SISTEMA DE FIREWALL DE CÓDIGO ABIERTO BASADO EN
FUNCIONALIDADES DE PLATAFORMA PROPIETARIA»
REALIZADO POR:MARCO POLO SANCHEZ AGUAYO
PATRICIO XAVIER ZAMBRANO RODRIGUEZ
INTRODUCCIÓN
JUSTIFICACIÓN: Este proyecto pretende dar respuesta a un problema actual y
real que afecta a los servicios y prestaciones de las redes de información. Así mismo, dada la obligatoriedad de acogerse al mandato constitucional 1014, este proyecto, favorece la posibilidad de evaluar sí el firewall de software libre, es lo suficientemente robusto y tiene la efectividad requerida.
OBJETIVO GENERAL: Evaluar y repotenciar una plataforma de firewalling de código
abierto basado en las características distintivas de un sistema propietario y verificar su comportamiento en términos de performance y efectividad ante ataques informáticos, con el fin reforzar la detección, control y mitigación de ataques de seguridades informáticos en las instituciones gubernamentales.
DISEÑO DE FIREWALLS
FIREWALLS: Los Firewalls están insertados entre la red local y la Internet. Único punto de convergencia Protección de ataques internos y externos a la RED
DISEÑO DE FIREWALLS
WATCHWARD
APLICACIONES DE SEGURIDAD OPEN SOURCE Snort TCPDUMP Psad Nessus
DISEÑO DE FIREWALLS
Scanner / Attacker11.1.1.1
Internet
Webserver192.168.10.5
DNS server192.168.10.5
LAN192.168.10.0/24Scan / Attack
Iptables / Psad12.2.2.2
Scan / Attack
CLEAROS - REDHAT ZENTYAL – UBUNTU PFSENSE - FREEEBSD
EVALUACIÓN DE SISTEMADE FIREWALLING
DISEÑO E IMPLEMENTACIÓN DE LA TOPOLOGIA DE PRUEBA – AMBIENTE REAL
LAN INTERNA
FIREWALL
EQUIPO EXTERNO
INTERNET
SWITCH CORE
EQUIPO INTERNO3
PROGRAMASMALICIOSOS
BLOQUEO AUTOMATICO
EQUIPO INTERNO2
CLEAROS - SO REDHATZENTYAL - SO DEBIAN
PFSENSE - SO FREEBSD
ScriptExecuta 100 solicitudes de páginas WEB categorizadas
Almacena y procesa LOGS generados dentro del FIREWALL
SCRIPTS CAPTURA Y REGISTRO DE
EVENTOS
EQUIPO INTERNOEJECUTA SCRIPTS
1
AMBIENTE FÍSICO
ESCENARIOS AVALUADOS
NAT+ Filtrado de contenido
NAT+ Filtrado de contenido+ Antivirus
NAT+ Filtrado de contenido+Antivirus+ IPS
ATAQUES HERRAMIENTA
Escaneo de puertos ZenMap, nmap
Sniffing The dude
Denegación de Servicios Loic
EVALUACIÓN DE SISTEMADE FIREWALLING
EVALUACIÓN DE RESULTADOS DE PLATAFORMAS SELECCIONADAS
Equipo 1EJECUCION SCRIPT
Firewall ClearOS
Firewall WatchguardHD - SISTEMA OPERATIVO
Equipo 2EJECUCION SCRIPT – 100 conexiones
EVALUACIÓN DE SISTEMADE FIREWALLING
0
5
10
15
20
25
30
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25
PERFORMANCE - CPU WATCHGUARD
NATWATCHGUARD
NAT - AV WATCHGUARD
NAT - CF - AV WATCHGUARD
360500361000
361500362000
362500
363000
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29
PERFORMANCE - RAM WATCHGUARD
NAT NAT - AV NAT - CF - AV
EVALUACIÓN DE SISTEMADE FIREWALLING
05
101520253035
1 3 5 7 9 11 13 15 17 19 21 23 25 27 29 31 33 35 37 39 41 43 45 47 49 51 53 55 57 59
PERFORMANCE - CPU ZENTYAL
NAT NAT - CF NAT - CF - AV NAT - CF - AV SNIFFINGZENTYAL
NAT - CF - AV PORT SCANZENTYAL
NAT - CF - AV DoSZENTYAL
010203040506070
1 3 5 7 9 11 13 15 17 19 21 23 25 27 29 31 33 35 37 39 41 43 45 47 49 51 53 55 57 59
PERFORMANCE - CPU CLEAROS
NAT NAT - CF NAT - CF - AV NAT - CF - AV SNIFFINGCLEAR OS
NAT - CF - AV PORT SCANCLEAR OS
NAT - CF - AV DoSCLEAR OS
0.001.002.003.004.005.006.007.00
1 3 5 7 9 11 13 15 17 19 21 23 25 27 29 31 33 35 37 39 41 43 45 47 49 51 53 55 57 59
PERFORMANCE - CPU PFSENSE
NAT NAT - CF NAT - CF - AV NAT - CF - AV SNIFFINGPFSENSE
NAT - CF - AV PORT SCANPFSENSE
NAT - CF - AV DoSPFSENSE
EVALUACIÓN DE SISTEMADE FIREWALLING
1250000
1300000
1350000
1400000
1450000
1500000
1550000
1600000
1 3 5 7 9 11 13 15 17 19 21 23 25 27 29 31 33 35 37 39 41 43 45 47 49 51 53 55 57 59
PERFORMANCE - RAM ZENTYAL
NAT NAT - CF NAT - CF - AV NAT - CF - AV SNIFFING
NAT - CF - AV PORT SCAN
NAT - CF - AV DoS
0
200000
400000
600000
800000
1000000
1200000
1400000
1 3 5 7 9 11 13 15 17 19 21 23 25 27 29 31 33 35 37 39 41 43 45 47 49 51 53 55 57 59
PERFORMANCE - RAM CLEAROS
NAT NAT - CF NAT - CF - AV NAT - CF - AV SNIFFING
NAT - CF - AV PORT SCAN
NAT - CF - AV DoS
0
100000
200000
300000
400000
500000
600000
700000
800000
900000
1 3 5 7 9 11 13 15 17 19 21 23 25 27 29 31 33 35 37 39 41 43 45 47 49 51 53 55 57 59
PERFORMANCE - RAM PFSENSE
NAT NAT - CF NAT - CF - AV NAT - CF - AV SNIFFING
NAT - CF - AV PORT SCAN
NAT - CF - AV DoS
EVALUACIÓN DE SISTEMADE FIREWALLING
0
5
10
15
20
25
1 3 5 7 9 11 13 15 17 19 21 23 25 27 29 31 33 35 37 39 41 43 45 47 49 51 53 55 57 59
PROCESAMIENTO ANTE ATAQUESSNIFFING
NAT - CF - AV SNIFFINGZENTYAL
NAT - CF - AV SNIFFINGCLEAR OS
NAT - CF - AV SNIFFINGPFSENSE
0
2
4
6
8
10
12
1 3 5 7 9 11 13 15 17 19 21 23 25 27 29 31 33 35 37 39 41 43 45 47 49 51 53 55 57 59
PROCESAMIENTO ANTE ATAQUESPORTSCAN
NAT - CF - AV PORT SCANZENTYAL
NAT - CF - AV PORT SCANCLEAR OS
NAT - CF - AV PORT SCANPFSENSE
0
2
4
6
8
10
12
1 3 5 7 9 11 13 15 17 19 21 23 25 27 29 31 33 35 37 39 41 43 45 47 49 51 53 55 57 59
PROCESAMIENTO ANTE ATAQUESDDoS
NAT - CF - AV DoSZENTYAL
NAT - CF - AV DoSCLEAR OS
NAT - CF - AV DoSPFSENSE
REPOTENCIACIÓN DEFIREWALL SELECCIONADO
CLEAROS
ESCANEO ZENMAP
FIREWALLIPTABLES IPS IDS
SNORT
Ataque PORTSCANEXTERNO
LAN ESCANEO ZENMAP
Ataque PORTSCANINTERNO
WAN
IMPLEMENTACIÓN DE IPS (PSAD), TCPDUMP, P0F, Y NESSUS
REPOTENCIACIÓN DEFIREWALL SELECCIONADO
CLEAROSIMPLEMENTACIÓN DE IPS (PSAD), TCPDUMP, P0F, Y NESSUS
REPOTENCIACIÓN DEFIREWALL SELECCIONADO
CLEAROSDESARROLLO DE MÓDULO PSAD
REPOTENCIACIÓN DEFIREWALL SELECCIONADO
CLEAROSDESARROLLO DE MÓDULO PSAD
REPOTENCIACIÓN DEFIREWALL SELECCIONADO
CLEAROSDESARROLLO DE MÓDULO PSADEl desarrollo del módulo se lo realizo bajo el nombre de PSAD :
/usr/clearos/app/psad
Directorios: controllers (Clases de lógica del negocio) view (Vistas o Capa de presentación) deploy (Archivos de configuración e información del módulo) language (Archivos de idioma)
REPOTENCIACIÓN DEFIREWALL SELECCIONADO
CLEAROSCONTROLADORES Clase principal PSAD
REPOTENCIACIÓN DEFIREWALL SELECCIONADO
CLEAROSCONTROLADORES Clase controladora de vista Status
VISTAS/usr/clearos/apps/psad/views/status.php
REPOTENCIACIÓN DEFIREWALL SELECCIONADO
CLEAROS
REPOTENCIACIÓN DEFIREWALL SELECCIONADO
CLEAROSELIMINACIÓN DE IP BLOQUEADA/usr/clearos/apps/psad/libraries/Validation.php
REPOTENCIACIÓN DEFIREWALL SELECCIONADO
CLEAROSVISTA SERVER/usr/clearos/apps/psad/controllers/psad.php
REPOTENCIACIÓN DEFIREWALL SELECCIONADO
CLEAROSEVALUACIÓN DE RESULTADOS – FIREWALL REPOTENCIADO
0
10
20
30
40
1 3 5 7 9 11 13 15 17 19 21 23 25 27 29 31 33 35 37 39 41 43 45 47 49 51 53 55 57
PERFORMANCE CLEAROSCPU
CLEAR OS - REPOTENCIADO CLEAR OS
0
5
10
15
20
25
30
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29
% P
ORC
ENTA
JE
PERFORMANCE WATCHGUARDCPU
WATCHGUARD NAT
WATCHGUARD NAT + AV
WATCHGUARD NAT + AV +CF
REPOTENCIACIÓN DEFIREWALL SELECCIONADO
CLEAROSEVALUACIÓN DE RESULTADOS – FIREWALL REPOTENCIADO
10000001050000110000011500001200000125000013000001350000
1 3 5 7 9 11 13 15 17 19 21 23 25 27 29 31 33 35 37 39 41 43 45 47 49 51 53 55 57 59
PERFORMANCE CLEAR OSMEMORIA
CLEAR OS CLEAR OS - REPOTENCIADO
0
200000
400000
600000
800000
1000000
1200000
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30
MEM
ORI
A
PERFORMANCE WATCHGUARDUSO DE MEMORIA
WG NAT + AV +CF
WG NAT + AV
WG NAT
REPOTENCIACIÓN DEFIREWALL SELECCIONADO
CLEAROSEVALUACIÓN DE RESULTADOS – FIREWALL REPOTENCIADO
REPOTENCIACIÓN DEFIREWALL SELECCIONADO
CLEAROSEVALUACIÓN DE RESULTADOS – FIREWALL REPOTENCIADO
REPOTENCIACIÓN DEFIREWALL SELECCIONADO
CLEAROS
CONCLUSIONES Y RECOMENDACIONES
• Falta de mecanismos de mitigación ante ataques orientados a la obtención de información relevante, por parte de las herramientas OPENSOURCE.
• En la continua carrera entre fabricantes y desarrolladores de Firewalls OPENSOURCE, se evidencia una brecha muy marcada en aspectos de seguridad. La presente investigación coadyuvará en el desarrollo de las plataformas OPENSOURCE, haciéndolas más competitivas en aspectos de performance y confiabilidad.
• CLAROS como distribución especializada en seguridad bajo el sistema operativo RED HAT, demostró su amplia escalabilidad y soporte a la hora de mejorar sus prestaciones a diferencia de las herramientas no seleccionadas.
• Ante el ataque DDoS generado por la herramienta LOIC, WATCHGUARD demostró una potencial vulnerabilidad, misma que prueba que las plataformas propietarias también se enfrentan a retos de continua mejora.
CONCLUSIONES
• Con la configuración correcta cualquier sistema de FIREWALLING basado en GNU LINUX puede ser más seguro, pero más predominante aún es la selección del sistema base y su soporte.
• Al valorizar la información, es importante determinar si se desea orientar la data en un equipamiento propietario, apoyado por continuo desarrollo, estándares de calidad y seguridad o por medio de OPENSOURCE (software) que continuamente se encuentra en evolución, que es altamente personalizable y mejorable (repotenciar) a la medida de las necesidades.
• Sin adecuadas políticas de seguridad (normativas legales) y capacitación a los empleados mal se podría hablar de seguridad incluyente, misma que obliga a todas las persona a responsabilizarse de la información, ya que no depende únicamente de un equipamiento sino de un adecuado manejo de la información y el compromiso de los mismos por resguardarla.
RECOMENDACIONES
PUBLICACIONES INTERNACIONALES
Walter Fuertes, Patricio Zambrano, Marco Sánchez, and Pablo Gamboa, “Alternative Engine toDetect and Block Port Scan Attacks using Virtual Network Environments”, accepted for itsPublication inIJCSNS‐International Journal of Computer Science and Network Security”, Volumen 11, No.11,Special Issues: Communication Network & Security. Seul, Korea, Nov. 30, 2011. ISSN: 1738‐7906.
Walter Fuertes, Patricio Zambrano, Marco Sánchez y Mónica Santillán, “Repotenciación de unfirewall de Código abierto basado en una Evaluación Cuantitativa”, Publicación III EncuentroInternacional y VII Nacional de Ingeniería de Sistemas EIISI 2012 ‐ Universidad PedagógicaTecnológica de Colombia. ISSN 0121‐1129, Sogamoso, Colombia, 2012.
GRACIAS POR LA ATENCION