Seguridad en Sistemas: Firewalls 1 Origen de los Riesgos en la Seguridad: – Interno (el 70% de los...

Seguridad en Sistemas: FirewallsSeguridad en Sistemas: Firewalls

1

• Origen de los Riesgos en la Seguridad:– Interno (el 70% de los incidentes de seguridad reportados):

– Externo:

• Seguridad perimetral para prevenir accesos no autorizados a la red privada desde el mundo externo (Internet o dial-in).

• Vulnerabilidades en la Red:– Protocolos de red.– Software.– Configuración.

RiesgosRiesgos


2

• No existe un sistema de protección efectivo sin una política de seguridad sensata.

• La política es la base de la seguridad. – especifica que cosas son importantes de proteger dentro de una organización y que acciones amenazan estas cosas.

• La política de seguridad de red define:– ¿Quién puede hacer qué, cuándo, desde dónde y con qué tipo de autentificación?– ¿Qué actividades son consideradas amenazas a la seguridad?– ¿Quién tiene autoridad/responsabilidad de implementar esta política?

Especificación de la Política de SeguridadEspecificación de la Política de Seguridad


3

• IP Address spoofing (suplantación de identidad)

• UDP Spoofing

• TCP Sequence Number Attacks

• Internet Routing Attacks

• ICMP Redirect

• Ping of Death (PoD)

• ARP attacks

• TCP SYN Flood Attack

• IP Fragmentation Attack

• UDP Port Denial-of-Service y bombas UDP

• Random Port Scanning

• Packet sniffers (Eavesdropping)

• Man-in-the-Middle (connection hijacking)

• TCP Connection Spoofing

Ataques vía Protocolos de ComunicaciónAtaques vía Protocolos de Comunicación

Nombres en inglés dado su uso popular


4

• Passwords débiles

• Password Sniffers

• Troyanos

• Apropiación de conexiones (connection hijacking)

• Ingeniería social

• Ataques a DNS, SMTP, NFS, NTP, Remote-login, X-Window

• Fuga de información (finger, whois, echo, ping, traceroute)

• URL y Web Spoofing

• Código Java y ActiveX applets maliciosos, virus

• Buffer overflow

• Ataques CGI

Ataques vía Autentificación y AplicacionesAtaques vía Autentificación y Aplicaciones


5

Máquina A

Ejemplo

SYN (A, SNA)

Máquina BSYN (A, SNA)SYN (B, SNB)

ACK (B, SNB)

Connection

Negociación de Conexión en TCP/IPNegociación de Conexión en TCP/IP


6

• ftp://info.cert.org/pub/tech_tips/denial-of-service

• SYN Flooding

• Ping of Death (Win95 target, pruebe “ping -l 65510 target”)

• Smurfing

– spoofing de paquetes ICMP echo (ping) con la dirección de la víctima como la dirección fuente y la dirección de broadcast como destino.

• Ataques mediante paquetes maliciosos (aplique los patches provistos por el proveedor)

– Land Drop (Win95)

– Latierra (Win NT y Win95)

– Tear Drop (Linux, Win NT y Win95)

Denegación de Servicio (DoS) vía RedDenegación de Servicio (DoS) vía Red


7

Atacante A

Víctima BSYN(C)

ACK(C), SYN(B)

SYN(C)

1

10

2SYN(C)

ACK(C), SYN(B)

DoS: SYN FloodingDoS: SYN Flooding


8

• Falta de autentificación en protocolos.

• Seguridad limitada en routers.

• Eavesdropping.

• Confianza en control de acceso basado en passwords.

• Suposición de números bajos de ports

• Sistemas mal configurados

– confianza explícita en el mundo (Everybody/FullControl ), cuentas

no cerradas, NFS y FTP no restringidos, etc.

• Errores de software y backdoors– sendmail, finger, etc.

Debilidades de Seguridad en InternetDebilidades de Seguridad en Internet


9

• La gente externa a nuestra máquina/red quiere acceder a recursos internos sin nuestro permiso.– Contacta a un compañero (doble agente) en

nuestro sistema o a un programa legítimo.

• Los programas dentro de nuestra red/computadora quieren acceder a Internet sin nuestro permiso.– Un caballo de troya en nuestro sistema

contacta a alguien (atacante) del exterior.

Los ProblemasLos Problemas


10

• Debemos decidir como controlar el tráfico a través del firewall

• Lo que no está explícitamente prohibido está permitido

– Amigable al usuario.

– Aparecen constantemente nuevos servicios.

– Mayor potencial de ser víctima de nuevos agujeros de seguridad.

– Sin sentido hoy en día.

• Lo que no está explícitamente permitido está prohibido– Más seguro.

– Menos amigable al usuario.

Desarrollo de una PolíticaDesarrollo de una Política


11

• Desconectarse de Internet– los usuarios se hacen “dependientes” de sus servicios rapidamente.

– los negocios/educación requieren conectividad Internet.

– NO PRÁCTICO.

• Mejorar la seguridad en los Hosts

– Pros• No trae inconvenientes a los usuarios legítimos.

• Provee protección intra-organización.

• El software puede ayudar a automatizar la seguridad.

– Contras• Muchas máquinas – es difícil implementar seguridad en todas!

• No hay herramientas de auditoría centralizada - ¿quién está entrando?

• Bastante bien… pero no es suficiente.

Conectividad en InternetConectividad en Internet


12

Internet

Fortificación del Perímetro de la RedFortificación del Perímetro de la Red


13

• Pros:– El acceso a la red interna se dirige a un único a hacia un pequeño conjunto de sistemas.

– Más fácil para el administrador.

– Más fácil de auditar el tráfico entrante y saliente.

• Contras:– Es difícil determinar el perímetro de la red.

– Los firewalls pueden ser difíciles de configurar y mantener.

– Son muchas las técnicas a considerar.

• FIREWALLFIREWALL– Un sistema de software o hardware que regula las comunicaciones

entre redes:• Entre red interna y externa. Entre subredes internas.

Fortificación del Perímetro de la Red (2)Fortificación del Perímetro de la Red (2)


14

• Proveer conectividad segura entre redes (posiblemente varios niveles de confianza).

• Implementar y hacer cumplir una política de seguridad entre redes.

Redes Confiables

Redes y Servers no ConfiablesFirewall

Router

Internet

Intranet

DMZ Servers y Redes accesibles desde el exterior (públicos) Usuarios

Confiables

Usuarios no Confiables

Funciones de un FirewallFunciones de un Firewall


15

• Definición del Webster’s Dictionary: una pared construida para prevenir que el fuego en un lado de un edificio pase al otro.

• Un firewall de red tiene un propósito similar: evitar que los peligros de las redes exteriores (Internet) pasen a nuestra red.

• Punto de acceso controlado.

Definición de FirewallDefinición de Firewall


16

• Restringir el tráfico entrante y saliente a partir de las direcciones IP, ports o usuarios.

• Bloquear paquetes inválidos.

• Proveer de un único “punto de choque”.

• Proveer funciones de “logueo” y auditoría.

• Los puntos anteriores también se aplican al interior al comunicarse con el exterior.

Los Firewalls pueden:Los Firewalls pueden:


17

• Dar información acerca del tráfico gracias a la posibilidad de loguear.

• Network Address Translation (NAT).

• Encriptación.

ConvenienteConveniente


18

• Tráfico que no pasa por ellos– Ruteado por otro lado (ej: modems).– Tráfico interno.

• Cuando están mal configurados pueden ser inútiles.

• Proteger (confidencialidad) los datos en Internet.

• Prevenir ataques activos (session hijacking, routing, etc)

• Manejar dispositivos de IP móvil.• Queremos una solución end-to-end.

– Criptografía.

Los Firewalls NO pueden proteger de: (1)Los Firewalls NO pueden proteger de: (1)


19

• Información exportada en CD ROM o diskette.

• Estupidez de los empleados que divulgan información confidencial por teléfono.

• Virus, etc. que llegan via e-mail.

Generalizando: cierto software malicioso es subido o copiado usando un canal legítimo y luego es ejecutado.

Los Firewalls NO pueden proteger de: (2)Los Firewalls NO pueden proteger de: (2)


20

a la red

electricidad

Funcionalidad: Muy Mala

El mejor FirewallEl mejor Firewall


21

• DMZ – zona desmilitarizada

– Area de red entre dos packet filters.• El filtro externo solo permite tráfico desde el exterior.

• El filtro interno solo permite tráfico desde el interior.

• Separa la red externa de la interna.

– Contiene nodos que proveen• servicios externos (ej: webserver, DNS) y

• gateways (aplicaciones) para clientes internos.

– Cuando los nodos están comprometidos• El tráfico interno no puede ser objeto de sniffing.

• Protección del filtro interno.

De-Militarized Zone (DMZ)De-Militarized Zone (DMZ)


22

InternetInternet

DMZWeb Server Pool

Red Interna

ALERTA!!

ALERTA!!ALERT!A!

Requerimiento de Seguridad• Control de acceso a la red y a sus recursos.• Proteger la red de posibles ataques.

Control de AccesoControl de Acceso


23

firewall

DBserver

webserver

wkstn

wkstn

wkstn

mailserver

wkstn wkstn

wkstn

Local Area Network Public Network/ Internet Un firewall asegura

nuestra LAN:

- restringiendo las conexiones externas (entrantes y salientes) a las máquinas y servicios especificados.

- analizando, logueando y filtrando todo el tráfico

- detectando y reportando intentos de “entrar”.

- ocultando la estructura interna (direcciones) de la LAN de la Red Pública.


24

• Packet Filters– El control de acceso sobre la red se efectúa analizando los

paquetes entrantes y salientes. Se los deja pasar o se descartan según la dirección IP de la máquina fuente y de la máquina destino.

– Puede ser un router, bridge o un host particular.

• Application Proxy– El proxy es un programa que representa a todas las

computadoras de la red interna, ocultando la LAN de la red pública. El proxy toma todas las decisiones de forwarding, en los dos sentidos.

– El proxy hará el forwarding para los clientes autorizados hacia servers del exterior y traerá las respuestas a dichos clientes.

Dos Tipos de FirewallsDos Tipos de Firewalls

Seguridad en Sistemas: Firewalls 1 Origen de los Riesgos en la Seguridad: – Interno (el 70% de los...

Documents

Transcript of Seguridad en Sistemas: Firewalls 1 Origen de los Riesgos en la Seguridad: – Interno (el 70% de los...