Cortafuegos

Seguridad en Redes Telemáticas – CortafuegosSeguridad en Redes Telemáticas – Cortafuegos 1

CortafuegosCortafuegosSEGURIDAD EN REDES TELEMÁTICAS

Álvaro Torre Ruíz – CanalesEduardo de Frutos Salgado

Curso 2000/2001


IntroducciónIntroducción

Prevenir el acceso no-autorizado de usuarios a los recursos propios de la red privada,

Vigilar tráfico.Detección de ataques.


Conceptos Generales I Conceptos Generales I

Determina quien puede entrar para utilizar los recursos de red local.


Conceptos Generales IIConceptos Generales II

Facilita la labor al Administrador de la red.Concentra la Seguridad.Genera alarmas de seguridadMonitoriza y registra el uso de servicios de

Internet.Lugar lógico para desplegar un Traductor de

Direcciones de Red (NAT).


LimitacionesLimitaciones

No puede protegerse contra aquellos ataques que efectúen fuera de su punto de operación. Por ejemplo: conexiones cicunvecinas. Virus informático.

Son solucionables.


Diseño de Cortafuegos IDiseño de Cortafuegos I

Elegir la política del cortafuegos. “Todo lo que no está explícitamente permitido

está prohibido”. “Todo lo que no está explícitamente prohibido

está permitido”.

Política interna de seguridad de la organización. ¿Qué se protege?


Diseño de Cortafuegos IIDiseño de Cortafuegos II

Componentes: Router Filtra-paquetes. Gateway (pasarela) a Nivel-aplicación. Gateway a (pasarela) a Nivel-circuito.


Router filtra-paquetesRouter filtra-paquetes I I

Decisiones sobre el paso de paquetes.Las reglas de filtrado se basan en revisar la

información que poseen los datagramas en su cabecera.


Router filtra-paquetesRouter filtra-paquetes II II

Limitaciones: Definición del filtrado de paquetes compleja. Dificil monitorización y comprobación de los

routers. Muchas implementaciones se fian de la dirección

IP que puede ser falsificada con relativa facilidadAtaques

Por el direccionamiento IP. Agresiones originadas en el router. Agresiones por fragmentación.


Gateways a nivel de aplicación IGateways a nivel de aplicación I

Se instala un código de propósito especial (Proxy) para cada servicio que se desee proteger.

Más estricto, costoso y poco flexible.Bastion HostLa plataforma de hardware ejecuta una

versión ‘segura’ de su sistema operativo.Sólo se instalan proxys de los servicios

‘esenciales’


Gateways a nivel de aplicación IIGateways a nivel de aplicación II

Debe mantener la información detallada y auditada de todos los registros del tráfico de cada conexión.

Soporta únicamente un conjunto de comandos.

Cada proxy es independiente del resto de proxys del servidor de defensa.

Sin acceso al disco.


Gateways a nivel de aplicación IIGateways a nivel de aplicación IIII

Completo control de cada servicio.Soportan autenticaciones forzando al usuario

para proveer información. Las reglas de filtrado son más fáciles que en

un router filtra-paquetes.Limitación: Instalación de software

especializado en cada sistema, servicio que se quiera proteger.


Ejemplo: Gateway de Telnet Ejemplo: Gateway de Telnet

Outside-Client > telnet servidor_defensaUsername: Larry EmdChallenge Number "237936"Challenge Response: 723456Trying 200.43.67.17 ...

HostOS UNIX (servidor_defensa)

bh-telnet-proxy> helpValid commands are:connect hostnamehelp/?Quit/exitbh-telnet-proxy> connect servidor_interno

HostOS UNIX (servidor_interno)

login: Larry EmdPassword: ######Last login: Wendnesday June 15 11:17:15Welcome

Servidor_Interno >_


Gateways a nivel de circuito I

Función que puede ser perfeccionada en un Gateway a nivel aplicación.

Transmite las conexiones TCP sin cumplir cualquier proceso adicional en filtrado de paquetes.

Una vez establecida la conexión el cortafuegos actúa de forma independiente.


Gateways a nivel de circuito II


Arquitecturas de CortafuegosArquitecturas de Cortafuegos

Factores de evaluación de las arquitecturas: Control de daños en caso de vulneración del

cortafuegos. Zona de riesgo (número de sistemas que pueden

ser accedidos desde el exterior). Modo de fallo. Facilidad de uso Política empleada


Arquitecturas de cortafuegosArquitecturas de cortafuegos

Encaminadores de filtrado (I). Implementación formada únicamente por un

router de filtrado entre la red privada y la red externa.



Encaminadores de filtrado (II). La zona de riesgo es igual al número de

ordenadores de la red y el número y tipo de servicios hacia los que el router de filtrado permite el tráfico.

Si el router falla o es vulnerado se deja sin protección a la red interna.



Host de base dual Cortafuegos implementado situando un host

entre las redes interna y externa que bloquea el tráfico directo entre las dos redes.

Este host es un bastion host. Opciones de funcionamiento:

• Instalar en ese host gateways a nivel de aplicación

• Permitir login remoto en dicho host para, desde allí acceder al resto de host.



Ejemplo de host de base dual donde se ha instalado un gateway para el correo.

Facilidad para mantener los logs de las acciones que van aconteciendo



Screened host gateway I Una de las configuraciones más utilizadas que se

implementa utilizando un host bastion (donde se instalan los proxys) y un router de selección.

El bastion host está en la red privada siendo el único equipo alcanzable desde el exterior.

El router de selección permite que sólo los servicios que tienen instalado un proxy en el host bastion se comuniquen con él.



Screened host gateway II. Un ejemplo de esta arquitecura ligeramente

modificada es:



Subred de filtrado: Aisla la red interna del exterior usando routers de

selección con los que se pueden implementar varios niveles de filtrado (crear varias sub-redes).

El ataque es muy díficil porque requiere reconfigurar el enrutamiento en las seb-redes.


Cortafuegos comercialesCortafuegos comerciales

Algunos ejemplos de cortafuegos comerciales son: Tis Firewall Toolkit, de Trusted Information

System. (Libre distribución). Gauntlet Internet Firewall de Trusted

Information System. Firewall – 1, de CheckPoint. Firewall FreeBsd. (Libre distribución). PIX Firewall, de Cisco System.



Tis Firewall Toolkit Realiza un filtrado a nivel de aplicación. Pensado para plataformas UNIX. En la distribución oficial contiene:

• Proxys para ftp, smtp, http/gohper, telnet, rlogin• Herramientas para construir otros proxys• Servidor de autenticación, demonio de log

Lo usual es combinarlo con un router de selección (screened host gteway)

Sigue la política: “todo lo que no se permite expresamente está prohíbido”.



TIS – FWTK II. Proceso de configuración de un gateway:

• Establecer el servicio como tal dentro del servidor UNIX.

• Hacer que el demonio inetd escuche también del puerto asociado al servicio.

• Definir las reglas de acceso al servicio en cuestión utilizando el fichero de configuración del TIS-FWTK (netperm-table).



Gauntlet Internet Firewall. Basado en el TIS-FWTK (usa su misma política). Combina los gateways a nivel de aplicación con

técnicas de filtrado de paquetes incluídas en la propia herramienta.

Permite gestión remota (HP Openview, CA Unicenter)

Distingue dos grupos de servicios para peticiones desde redes reguras y para peticiones desde redes desconocidas.



Firewall – 1 Arquitectura modular, escalable Gestión centralizada. Disponible para varias plataformas Componentes:

• Interfaz gráfica de usuario.

• Servidor de gestión

• Módulo cortafuegos.



Firewall – 1 Módulo cortafuegos:

• Control de accesos.

• Autenticación de clientes y sesiones.

• Traducción de direcciones de red.

• Encriptación.

• Seguridad de contenidos.

Cortafuegos

Travel

Transcript of Cortafuegos