Cortafuegos
-
Upload
juana-rotted -
Category
Travel
-
view
1.471 -
download
0
Transcript of Cortafuegos
Seguridad en Redes Telemáticas – CortafuegosSeguridad en Redes Telemáticas – Cortafuegos 1
CortafuegosCortafuegosSEGURIDAD EN REDES TELEMÁTICAS
Álvaro Torre Ruíz – CanalesEduardo de Frutos Salgado
Curso 2000/2001
Seguridad en Redes Telemáticas – CortafuegosSeguridad en Redes Telemáticas – Cortafuegos 2
IntroducciónIntroducción
Prevenir el acceso no-autorizado de usuarios a los recursos propios de la red privada,
Vigilar tráfico.Detección de ataques.
Seguridad en Redes Telemáticas – CortafuegosSeguridad en Redes Telemáticas – Cortafuegos 3
Conceptos Generales I Conceptos Generales I
Determina quien puede entrar para utilizar los recursos de red local.
Seguridad en Redes Telemáticas – CortafuegosSeguridad en Redes Telemáticas – Cortafuegos 4
Conceptos Generales IIConceptos Generales II
Facilita la labor al Administrador de la red.Concentra la Seguridad.Genera alarmas de seguridadMonitoriza y registra el uso de servicios de
Internet.Lugar lógico para desplegar un Traductor de
Direcciones de Red (NAT).
Seguridad en Redes Telemáticas – CortafuegosSeguridad en Redes Telemáticas – Cortafuegos 5
LimitacionesLimitaciones
No puede protegerse contra aquellos ataques que efectúen fuera de su punto de operación. Por ejemplo: conexiones cicunvecinas. Virus informático.
Son solucionables.
Seguridad en Redes Telemáticas – CortafuegosSeguridad en Redes Telemáticas – Cortafuegos 6
Diseño de Cortafuegos IDiseño de Cortafuegos I
Elegir la política del cortafuegos. “Todo lo que no está explícitamente permitido
está prohibido”. “Todo lo que no está explícitamente prohibido
está permitido”.
Política interna de seguridad de la organización. ¿Qué se protege?
Seguridad en Redes Telemáticas – CortafuegosSeguridad en Redes Telemáticas – Cortafuegos 7
Diseño de Cortafuegos IIDiseño de Cortafuegos II
Componentes: Router Filtra-paquetes. Gateway (pasarela) a Nivel-aplicación. Gateway a (pasarela) a Nivel-circuito.
Seguridad en Redes Telemáticas – CortafuegosSeguridad en Redes Telemáticas – Cortafuegos 8
Router filtra-paquetesRouter filtra-paquetes I I
Decisiones sobre el paso de paquetes.Las reglas de filtrado se basan en revisar la
información que poseen los datagramas en su cabecera.
Seguridad en Redes Telemáticas – CortafuegosSeguridad en Redes Telemáticas – Cortafuegos 9
Router filtra-paquetesRouter filtra-paquetes II II
Limitaciones: Definición del filtrado de paquetes compleja. Dificil monitorización y comprobación de los
routers. Muchas implementaciones se fian de la dirección
IP que puede ser falsificada con relativa facilidadAtaques
Por el direccionamiento IP. Agresiones originadas en el router. Agresiones por fragmentación.
Seguridad en Redes Telemáticas – CortafuegosSeguridad en Redes Telemáticas – Cortafuegos 10
Gateways a nivel de aplicación IGateways a nivel de aplicación I
Se instala un código de propósito especial (Proxy) para cada servicio que se desee proteger.
Más estricto, costoso y poco flexible.Bastion HostLa plataforma de hardware ejecuta una
versión ‘segura’ de su sistema operativo.Sólo se instalan proxys de los servicios
‘esenciales’
Seguridad en Redes Telemáticas – CortafuegosSeguridad en Redes Telemáticas – Cortafuegos 11
Gateways a nivel de aplicación IIGateways a nivel de aplicación II
Debe mantener la información detallada y auditada de todos los registros del tráfico de cada conexión.
Soporta únicamente un conjunto de comandos.
Cada proxy es independiente del resto de proxys del servidor de defensa.
Sin acceso al disco.
Seguridad en Redes Telemáticas – CortafuegosSeguridad en Redes Telemáticas – Cortafuegos 12
Gateways a nivel de aplicación IIGateways a nivel de aplicación IIII
Completo control de cada servicio.Soportan autenticaciones forzando al usuario
para proveer información. Las reglas de filtrado son más fáciles que en
un router filtra-paquetes.Limitación: Instalación de software
especializado en cada sistema, servicio que se quiera proteger.
Seguridad en Redes Telemáticas – CortafuegosSeguridad en Redes Telemáticas – Cortafuegos 13
Ejemplo: Gateway de Telnet Ejemplo: Gateway de Telnet
Outside-Client > telnet servidor_defensaUsername: Larry EmdChallenge Number "237936"Challenge Response: 723456Trying 200.43.67.17 ...
HostOS UNIX (servidor_defensa)
bh-telnet-proxy> helpValid commands are:connect hostnamehelp/?Quit/exitbh-telnet-proxy> connect servidor_interno
HostOS UNIX (servidor_interno)
login: Larry EmdPassword: ######Last login: Wendnesday June 15 11:17:15Welcome
Servidor_Interno >_
Seguridad en Redes Telemáticas – CortafuegosSeguridad en Redes Telemáticas – Cortafuegos 14
Gateways a nivel de circuito I
Función que puede ser perfeccionada en un Gateway a nivel aplicación.
Transmite las conexiones TCP sin cumplir cualquier proceso adicional en filtrado de paquetes.
Una vez establecida la conexión el cortafuegos actúa de forma independiente.
Seguridad en Redes Telemáticas – CortafuegosSeguridad en Redes Telemáticas – Cortafuegos 15
Gateways a nivel de circuito II
Seguridad en Redes Telemáticas – CortafuegosSeguridad en Redes Telemáticas – Cortafuegos 16
Arquitecturas de CortafuegosArquitecturas de Cortafuegos
Factores de evaluación de las arquitecturas: Control de daños en caso de vulneración del
cortafuegos. Zona de riesgo (número de sistemas que pueden
ser accedidos desde el exterior). Modo de fallo. Facilidad de uso Política empleada
Seguridad en Redes Telemáticas – CortafuegosSeguridad en Redes Telemáticas – Cortafuegos 17
Arquitecturas de cortafuegosArquitecturas de cortafuegos
Encaminadores de filtrado (I). Implementación formada únicamente por un
router de filtrado entre la red privada y la red externa.
Seguridad en Redes Telemáticas – CortafuegosSeguridad en Redes Telemáticas – Cortafuegos 18
Arquitecturas de cortafuegosArquitecturas de cortafuegos
Encaminadores de filtrado (II). La zona de riesgo es igual al número de
ordenadores de la red y el número y tipo de servicios hacia los que el router de filtrado permite el tráfico.
Si el router falla o es vulnerado se deja sin protección a la red interna.
Seguridad en Redes Telemáticas – CortafuegosSeguridad en Redes Telemáticas – Cortafuegos 19
Arquitecturas de cortafuegosArquitecturas de cortafuegos
Host de base dual Cortafuegos implementado situando un host
entre las redes interna y externa que bloquea el tráfico directo entre las dos redes.
Este host es un bastion host. Opciones de funcionamiento:
• Instalar en ese host gateways a nivel de aplicación
• Permitir login remoto en dicho host para, desde allí acceder al resto de host.
Seguridad en Redes Telemáticas – CortafuegosSeguridad en Redes Telemáticas – Cortafuegos 20
Arquitecturas de cortafuegosArquitecturas de cortafuegos
Ejemplo de host de base dual donde se ha instalado un gateway para el correo.
Facilidad para mantener los logs de las acciones que van aconteciendo
Seguridad en Redes Telemáticas – CortafuegosSeguridad en Redes Telemáticas – Cortafuegos 21
Arquitecturas de cortafuegosArquitecturas de cortafuegos
Screened host gateway I Una de las configuraciones más utilizadas que se
implementa utilizando un host bastion (donde se instalan los proxys) y un router de selección.
El bastion host está en la red privada siendo el único equipo alcanzable desde el exterior.
El router de selección permite que sólo los servicios que tienen instalado un proxy en el host bastion se comuniquen con él.
Seguridad en Redes Telemáticas – CortafuegosSeguridad en Redes Telemáticas – Cortafuegos 22
Arquitecturas de cortafuegosArquitecturas de cortafuegos
Screened host gateway II. Un ejemplo de esta arquitecura ligeramente
modificada es:
Seguridad en Redes Telemáticas – CortafuegosSeguridad en Redes Telemáticas – Cortafuegos 23
Arquitecturas de cortafuegosArquitecturas de cortafuegos
Subred de filtrado: Aisla la red interna del exterior usando routers de
selección con los que se pueden implementar varios niveles de filtrado (crear varias sub-redes).
El ataque es muy díficil porque requiere reconfigurar el enrutamiento en las seb-redes.
Seguridad en Redes Telemáticas – CortafuegosSeguridad en Redes Telemáticas – Cortafuegos 24
Cortafuegos comercialesCortafuegos comerciales
Algunos ejemplos de cortafuegos comerciales son: Tis Firewall Toolkit, de Trusted Information
System. (Libre distribución). Gauntlet Internet Firewall de Trusted
Information System. Firewall – 1, de CheckPoint. Firewall FreeBsd. (Libre distribución). PIX Firewall, de Cisco System.
Seguridad en Redes Telemáticas – CortafuegosSeguridad en Redes Telemáticas – Cortafuegos 25
Cortafuegos comercialesCortafuegos comerciales
Tis Firewall Toolkit Realiza un filtrado a nivel de aplicación. Pensado para plataformas UNIX. En la distribución oficial contiene:
• Proxys para ftp, smtp, http/gohper, telnet, rlogin• Herramientas para construir otros proxys• Servidor de autenticación, demonio de log
Lo usual es combinarlo con un router de selección (screened host gteway)
Sigue la política: “todo lo que no se permite expresamente está prohíbido”.
Seguridad en Redes Telemáticas – CortafuegosSeguridad en Redes Telemáticas – Cortafuegos 26
Cortafuegos comercialesCortafuegos comerciales
TIS – FWTK II. Proceso de configuración de un gateway:
• Establecer el servicio como tal dentro del servidor UNIX.
• Hacer que el demonio inetd escuche también del puerto asociado al servicio.
• Definir las reglas de acceso al servicio en cuestión utilizando el fichero de configuración del TIS-FWTK (netperm-table).
Seguridad en Redes Telemáticas – CortafuegosSeguridad en Redes Telemáticas – Cortafuegos 27
Cortafuegos comercialesCortafuegos comerciales
Gauntlet Internet Firewall. Basado en el TIS-FWTK (usa su misma política). Combina los gateways a nivel de aplicación con
técnicas de filtrado de paquetes incluídas en la propia herramienta.
Permite gestión remota (HP Openview, CA Unicenter)
Distingue dos grupos de servicios para peticiones desde redes reguras y para peticiones desde redes desconocidas.
Seguridad en Redes Telemáticas – CortafuegosSeguridad en Redes Telemáticas – Cortafuegos 28
Cortafuegos comercialesCortafuegos comerciales
Firewall – 1 Arquitectura modular, escalable Gestión centralizada. Disponible para varias plataformas Componentes:
• Interfaz gráfica de usuario.
• Servidor de gestión
• Módulo cortafuegos.
Seguridad en Redes Telemáticas – CortafuegosSeguridad en Redes Telemáticas – Cortafuegos 29
Cortafuegos comercialesCortafuegos comerciales
Firewall – 1 Módulo cortafuegos:
• Control de accesos.
• Autenticación de clientes y sesiones.
• Traducción de direcciones de red.
• Encriptación.
• Seguridad de contenidos.