Seguridad Perimetral. Juan Manuel Espinoza Marquez CFT San Agustín Linares -2012

Tamaño: px

Comenzar la demostración a partir de la página:

Download "Seguridad Perimetral. Juan Manuel Espinoza Marquez juanmanuel.espinoza@gmail.com CFT San Agustín Linares -2012"

María Nieves Olivera Jiménez
hace 8 años
Vistas:

1 Seguridad Perimetral Juan Manuel Espinoza Marquez CFT San Agustín Linares -2012

2 Introducción La mayoría de las empresas sufren la problemática de seguridad debido a sus necesidades de acceso y conectividad con: Internet. Conectividad mundial. Red corporativa. Acceso Remoto. Proveedores.

3 Introducción Qué elementos deberían protegerse? Se deberían proteger todos los elementos de la red interna, incluyendo hardware, software e información, no solo de cualquier intento de acceso no autorizado desde el exterior sino también de ciertos ataques desde el interior que puedan preveerse y prevenirse.

hardware, software e información, no solo de cualquier intento de acceso no

4 Cómo protegerlos? Paradigmas de seguridad: Lo que no se prohíbe expresamente está permitido. Lo que no se permite expresamente está prohibido. Métodos de defensa: En profundidad. Perimetral.

5 Seguridad Perimetral La seguridad perimetral es uno de los métodos posibles de defensa de una red, basado en el establecimiento de recursos de securización en el perímetro externo de la red y a diferentes niveles. Esto nos permite definir niveles de confianza, permitiendo el acceso de determinados usuarios internos o externos a determinados servicios, y denegando cualquier tipo de acceso a otros.

6 Infraestructura típica

7 Infraestructura típica Red plana sin segmentar. Publicación de servicio internos: base de datos. No hay elementos de monitorización. No se filtra tráfico de entrada ni salida. No se verifica malware o spam en el correo electrónico. Cliente remoto accede directamente a los servicios.

8 Alternativas de Implantación Uso de Firewalls Un Firewall puede ser un sistema (software o hardware), es decir, un dispositivo físico que se conecta entre la red y el cable de la conexión a Internet, como en el caso del CISCO PIX, o bien un programa que se instala en el sistema que tiene la interfase que conecta con Internet, como el Firewall-1 de CheckPoint. Incluso podemos encontrar PCs muy potentes y con paquetes software específicos que lo único que hacen es monitorear en tiempo real las comunicaciones entre redes.

instala en el sistema que tiene la interfase que conecta con Internet, como el Firewall-1 de CheckPoint.

9 Tipos de Cortafuegos Circuito a nivel de pasarela Funciona para aplicaciones específicas. Cortafuegos de capa de red Filtra en capa de red (IP origen/destino) o de transporte (puerto origen/destino). Cortafuegos de capa de aplicación Funciona según el protocolo a filtrar, por ejemplo HTTP o SQL. Cortafuegos personal Aplicación para sistemas como PC o móviles.

10 Ubicación de los recursos públicos

11 Zona Desmilitarizada (DMZ) Diseño de una red local ubicada entre red interna y red externa (p. ej. Internet). Utilizada para servicios públicos: correo electrónico, DNS, web, ftp, que serán expuestos a los riesgos de seguridad. Creada mediante uno o dos cortafuegos que restringe el tráfico entre las tres redes. Desde la DMZ no se permiten conexiones a la red interna.

Utilizada para servicios públicos: correo electrónico, DNS, web, ftp, que serán expuestos a

12 Zona Desmilitarizada (DMZ)

13 Zona Desmilitarizada (DMZ) Construcciones de "Muro Doble" Algunos firewalls se construyen con la técnica de "muro doble", en este caso el firewall consta de dos sistemas separados físicamente (muro exterior e interior) conectados por una red semi-privada, si alguien es capaz de comprometer el muro exterior, el muro interior protege la red impidiendo el acceso desde la red semi-privada y aislando la red interior.

exterior e interior) conectados por una red semi-privada, si alguien es capaz de comprometer el muro

14 Zona Desmilitarizada (DMZ) El muro exterior sólo permite el tráfico hacia los servidores semi-públicos alojados en la DMZ. El muro interior se rige por el "pesimismo", esto es, solo acepta paquetes si responden a una petición originada en el interior de la red o que provienen de uno de los servidores alojados en la DMZ (por defecto guarda toda la información sobre las transacciones).

El muro interior se rige por el "pesimismo", esto es, solo acepta paquetes si responden a una

15 Esquema de muro doble

16 Alternativas de Implantación Uso de proxys Los servicios proxy poseen una serie de ventajas tendientes a incrementar la seguridad; en primer lugar, permiten únicamente la utilización de servicios para los que existe un proxy, por lo que si en la organización el "gateway de aplicación" contiene únicamente proxies para telnet, HTTP y FTP, el resto de servicios no estarán disponibles para nadie.

servicios para los que existe un proxy, por lo que si en la organización el "gateway de

17 Uso de Proxy

18 Sistemas de Detección y Prevención de Intrusos (IDS/IDPS) (Intrusion Detection System) Dispositivo que monitoriza y genera alarmas si se producen alertas de seguridad. Los IDPS (Intrusion Detection and Prevention Systems) bloquean el ataque evitando que tenga Efecto. Sus principales funciones: 1. Identificación de posibles ataques 2. Registro de Eventos 3. Bloqueo del Ataque 4. Reporte a administradores y personal de Seguridad.

Los IDPS (Intrusion Detection and Prevention Systems) bloquean el ataque evitando que tenga Efecto.

19 Sistemas de Detección y Prevención de Intrusos (IDS/IDPS) (Intrusion Detection System) 1. Dos tipos de IDS: HIDS: Host IDS, monitoriza cambios en el sistema operativo y aplicaciones. NIDS: Network IDS, monitoriza el tráfico de la red. 1. Dos métodos de detección: Firmas. Patrones de comportamiento.

Dos tipos de IDS: HIDS: Host IDS, monitoriza cambios en el sistema

20 Honeypots Sistema configurado con vulnerabilidades usado para recoger ataques y estudiar nuevas técnicas. Dos tipos principales de honeypots: De baja interacción: aplicación que simula vulnerabilidad y sistema operativo. De alta interacción: el sistema operativo no es simulado. También se usan para recoger muestras de virus o spam. Han de permanecer especialmente controlados y desconectados de cualquier red.

Dos tipos principales de honeypots: De baja interacción: aplicación que simula vulnerabilidad y

21 Pasarelas Antivirus y AntiSpam Sistemas intermedios que filtran Contenido malicioso en canales de entrada a la red. Detección de Malware en pasarelas web y servidores de correo. Ej: Ironport

22 Redes Virtuales Privadas (VPN) Es un tipo de red que utiliza una infraestructura pública (y por lo tanto no segura) para acceder a una red privada de forma confiable. Es comúnmente utilizada para conectar usuarios remotos, sucursales u oficinas con su intranet (punto a punto).

23 Redes Virtuales Privadas (VPN) Autenticación y autorización: Mediante gestión de usuarios y roles y permisos. Integridad: Con el uso de funciones hash. Confidencialidad: La información es cifrada con DES (Data Encryption Estándar), 3DES ( triple cifrado del DES), AES (Advanced Encryption Standard), etc. No repudio: Los datos transmiten firmados.

24 Conclusiones - Gestión Unificada de Amenazas / UTM (Unified Threat Management) Equipos que integran en un único dispositivo un conjunto de soluciones de seguridad perimetral: 1. Cortafuegos. 2. Sistemas de detección y prevención de intrusos. 3. Pasarelas antivirus/antispam. 4. Redes privadas virtuales.

25 Conclusiones - Ejemplo de arquitectura con seguridad perimetral Instalación de cortafuegos. DMZ y Red Interna Política restrictiva. Instalación de antispam y antivirus. Instalación de NIDS (Sistema de detección de intrusos en una Red) en las tres interfaces. Segmentación de servicios públicos: web y pasarela antivirus/antispam. Servicios internos movidos: base de datos y correo. Clientes remotos usan VPN.

Documentos relacionados

Lección 5: Seguridad Perimetral

Lección 5: Seguridad Perimetral Alejandro Ramos Fraile aramosf@sia.es Tiger Team Manager (SIA company) Security Consulting (CISSP, CISA) Madrid, España, febrero 2011 Video intypedia005es intypedia 2011