Arquitectura de Seguridad

Transcripción

1 Realizado por: Manuel Casal Peteiro

2 Página 2 de 41

3 Indice 1. Introducción 4 2. Fundamentos de Seguridad perimetral Términos empleados El Perímetro Border Router Firewall IDS VPN Arquitectura de Software DMZ y Screened Subnets Defensa en profundidad Componentes El Perímetro La red interna El Factor Humano Filtrado de paquetes Principios de TCP/IP: como funciona filtro de paquetes Puertos TCP y UDP TCP three-way handshake Stateful Firewalls Como funciona un Stateful Firewall Proxy Firewalls Fundamentos Fundamentos de diseño Elementos de diseño Firewall y router Filtrado básico Control de acceso Router bajo control de ISP Router sin firewall Firewall y VPN Firewall con VPN como dispositivo externo Firewall and VPN en un único sistema Firewalls multilples Firewalls en linea Firewalls en paralelo Caso de estudio: empresa de comercio electrónico Internet La DMZ La Capa Proxy La Red Interna La seguridad de la red Bibliografia 41 Página 3 de 41

4 1. Introducción El objetivo de este trabajo es crear una guía practica para diseñar, utilizar y mantener un perímetro de seguridad de red confiable. Proteger la red no es una tarea facil; esta requiere el conocimiento de diferentes tipos de tecnologías y entender como se relacionan unas con otras. Es por ello que comenzamos el trabajo con una exposición breve de los diferentes componentes que configuran una arquitectura de red tales como firewalls, VPN, routers y sistemas de detección de intrusiones. Nosotros tambien explicamos como integrar estos dispositivos uno con otro para proporcionar un todo unificado. No hay ningún dispositivo por si solo que pueda proteger nuestra red contra todas las amenazas; esta es la razon por la que nosotros enfocamos la arquitectura de seguridad por capas. Página 4 de 41

5 2. Fundamentos de Seguridad perimetral La seguridad de la red es evaluada diariamente. Una pregunta que nos hacemos es Somos los únicos haciendo esto? La respuesta es que tu no estas solo. Ordenadores con una dirección IP que pueden ser alcanzados desde Internet reciben entra siete y miles de intentos de ataque cada dia. Muchos de estos so examenes y sondeos de los cuales nosotros sabemos como defendernos, pero otros nos cogen por sorpresa y la proxima cosa que nosotros sabemos es que nosotros estamos en modo limpieza. Tiene tu organización acceso a experiencia en todos los aspectos de la seguridad de red, incluyendo networking, firewalls, Sistema de detección de intrusiones (IDS), redes privadas virtuales ( VPN ), anti-virus, seguridad UNIX, seguridad Windows? En las paginas siguientes vamos a ver como todos estos componentes trabajan juntos. Puedes tu cuan segura o insegura estu red? Uno de los principales desarrollos en el 2001 y el 2002 ha sido la normativa desarrollada por el Centro para la Seguridad en Internet. 2.1 Términos empleados Nosotros necesitamos un marco común de referencia acerca de los terminos usados en este trabajo debido a que las definiciones de una persona pueden no ser iguales a las de cualquier otra El Perímetro Un perímetro es la frontera fortificada de nuestra red que incluye lo siguiente: Routers Firewalls IDS VPN Software DMZ y screened subnets Border Router Routers son los policias de trafico ( o malvados de las redes ) Ellos dirigen el trafico adentro, afuera de o dentro de nuestras redes. El border router es el último router que tu controlas antes de Internet. Debido a que todo el trafico interno va a través de este router, este funciona como el principio de una red y la última linea de defensa a través del filtro inicial y final. Página 5 de 41

6 2.1.3 Firewall Un firewall es un dispositivo que tiene un conjunto de reglas especificando que tráfico este permite o deniega. Un firewall recoge donde el border router abandona y hace una pasada mas minuciosa al filtrar el trafico. Existen diferentes tipos de firewalls incluyendo static packet filter, stateful firewalls y Proxy firewalls IDS Un IDS es como un sistema de alarma de ladrones para tu red que es usado para detectar una alerta sobre eventos maliciosos. El sistema puede comprender muchos diferentes sensores IDS posicionados en puntos estratégicos en tu red. Existen dos tipos básicos de IDS: IDS basado en red (NIDS) y IDS basado en host (HIDS). Sensores IDS frecuentemente residen en subredes que están conectadas directamente al firewall, así como en puntos críticos de la red interna. Sensores HIDS residen y monitorizan un host individual. En general, sensores IDS examinan firmas de eventos maliciosos predefinidas, y pueden realizar análisis estadístico y de anomalias. Cuando sensores IDS detectan eventos maliciosos, ellos pueden alertar en varias formas diferentes incluyendo , paginando o registrando la ocurrencia. Sensores IDS pueden reportar a una base de datos central que relaciona su información para visualizar la red desde puntos multiples VPN Una VPN es una sesión de red protegida formada a través de canales no protegidos, tales como Internet. Frecuentemente nosotros nos referimos un VPN en términos del dispositivo sobre el perímetro que permite la sesión encriptada. Una VPN permite a un usuario participar en la red interna como si estuviera conectado directamente a esta. Muchas organizaciones tienen un falso sentido de la seguridad en cuanto a su acceso remoto debido a que ellos tienen una VPN. Si un agresor compromete la maquina de un usuario legítimo, una VPN puede dar a este agresor un canal encriptado dentro de tu red. Tu podrás confiar en la seguridad de tu perímetro, pero tu confiaras en la seguridad de uno de los usuarios remotos sobre un cable modem en el hogar o conectado en una habitación en un hotel? Aun si tu confías en ellos y su seguridad, puedes tu confiar la seguridad de usuarios de acceso remoto tales como proveedores de negocio conectados a una VPN? Arquitectura de Software La arquitectura de software se refiere a aplicaciones que son hosted sobre la red de la organización, y define como ellas son estructuradas. Por ejemplo nosotros quizá estructuramos una aplicación de comercio electrónico dividiendo esta en tres capas distintas: Página 6 de 41

7 The web front end que es responsable para como la aplicación es presentada al usuario. El código de la aplicación que implementa la lógica de negocio de la aplicación La base de datos que almacenan los datos de la aplicación. La arquitectura de software juega un rol significativo en la discusión de una infraestructura de seguridad debido al propósito principal de una arquitectura de red es proteger los datos de aplicaciones y los servicios. Asegure que la arquitectura del software y la red están armonizadas DMZ y Screened Subnets Nosotros típicamente usamos los términos DMZ y screened subnet en referencia a una red pequeña conteniendo servicios públicos que son conectados directamente a y protección ofrecida por el firewall u otro dispositivo de filtrado. Una DMZ y una screened subnet son diferentes aunque mucha gente usa los elementos intercambiablemente. El término DMZ se origino durante la guerra de Corea cuando una franja de tierra en el paralelo 38 estaba fuera de limites militarmente. Una DMZ es una área insegura entre áreas seguras. Justo como la DMZ en Corea estaba enfrente de cualesquiera defensas, la DMZ cuando es aplicada a redes esta localizada fuera del firewall. Un firewall o una comparable dipositivo protegido del tráfico protege a una screened subnet que es conectada directamente a este. Recuerde esto: Una DMZ esta enfrente de un firewall, mientras una screened subnet esta detrás de un firewall. Note la diferencia en la siguiente figura: Página 7 de 41

8 Una screened subnet es una red aislada que es conectada a un interface dedicado de un firewall u otro dispositivo de filtrado. La screened subnet es frecuentemente usada para segregar servidores que necesitan ser accesibles desde Internet de sistemas que son usados únicamente por los usuarios internos de la organización. En la screened subnet típicamente residen servicios publicos incluyendo DNS, mail y la web. A nosotros nos gustaria pensar estos servidores como bastion hosts. Un bastion es una posición bien fortificada. Cuando es aplicada a hosts dentro de la red, fortificación envuelve fortalecer el sistema operativo y las aplicaciones de acuerdo a buenas practicas. Como ataques sobre el tiempo han demostrado, estos servidores no están siempre bien fortificados; en efecto, ellos son algunas veces vulnerables a pesar de ser protegidos por un firewall. Como profesionales de la seguridad nosotros debemos fotificar estos hosts debido a que ellos son el destino de la mayoria de los ataques y puede ser el metodo por el cual el mundo mira nuestra organización. 2.2 Defensa en profundidad Piense en la seguridad de tu red como una cebolla. Cuando tu desconchas la capa mas superior, mucho permanece bajo esta. Ningún concepto tiene mas importancia cuando discutimos seguridad de red que su defensa en profundidad y tu veras esta usada como el principio guiado detrás de los diseños e implementaciones a través de este trabajo. La defensa en profundidad te ayudara a proteger recursos de red aun si una de las capas de seguridad esta comprometida. Después de todo ninguna capa de seguridad puede garantizar resistencia a cada ataque que este necesita enfrentar. Nosotros operamos en un mundo real de desconfiguraciones, software bugs, empleados disgustados y sobrecarga de administradores de sistemas. Además cualquier diseño de seguridad practico necesita acomodarse a las necesidades del negocio que quizá requiera de nosotros abrir ciertos puertos del firewall, dejar servicios adicionales ejecutandose en el servidor, o prevenirnos de aplicar el ultimo parche de seguridad debido a que este rompe una aplicación critica del negocio. Tratar componentes de seguridad perimetral como parte de una defensa coherente en profundidad infraestructura nos permitira emplear ellas en una forma que explica las fortalezas y debilidades de cada componente individual. Por supuesto dados los requerimientos de tu organización tu podrás elegir no tener cada componente que es descrito en este trabajo. La extensión para la cual tu necesitas aplicar capas de seguridad de red dependeran de las necesidades y capacidades de tu negocio. Página 8 de 41

9 2.2.1 Componentes Que exactamente una defensa en profundidad supone? La respuesta es simple: el perímetro, la red interna y el factor humano. Cada uno de estos factores comprenden muchos componentes los cuales no son suficientes independientemente para asegurar una red. La clave lies en cada componente complementando los otros para formar un plan completo de seguridad El Perímetro Cuando nosotros pensamos en la seguridad de una red, nosotros mas frecuentemente pensamos en el perímetro. El perímetro podra contener cualquier o todos de los siguientes componentes: Filtro de paquetes estático Stateful firewall Proxy firewall IDS VPN Además de estos componentes nosotros debemos de considerar el diseño de la red. Típicamente un filtro de paquetes estático, tal como un border router, es el primer dispositivo perimetral que el tráfico entrante en una red encuentra y el último dispositivo perimetral que el tráfico saliente de una red encuentra. El filtro de paquetes estático inspecciona información basica dentro de cada paquete. Filtros de paquetes estático pueden ser o routers ( Cisco router ) o firewalls (Linux IPchains ). El dispositivo border el cual es frecuentemente un router es la primera capa por donde se entra y la ultima por donde se sale de tu red de seguridad. Esto contribuye a la defensa en profundidad filtrando el tráfico antes de que este entre o salga de tu red. Demasiado frecuente, nosotros solo consideramos filtrar el tráfico entrante, pero entonces nosotros no obtenemos la utilidad completa de nuestro border router. Impropiamente tráfico destinado podrían ser direcciones internas que golpean tu interface externo o viceversa, y ellas pueden ser direccionadas con filtro de ingreso y egreso. Border routers pueden también bloquear tráfico que puede ser considerado de alto riesgo de entrar en tu red, tal como el tráfico sobre la lista top 20 de SANS ( ). ICMP es un favorito de los atacantes ambos para ataques DoS y reconocimiento,así bloqueando este en todo o en parte es una función común del border router. Bloquee paquetes fuentes ruteados en el border router porque ellos pueden burlar las defensas. El border router puede también bloquear paquetes fuera de banda tales como paquetes SYN-FIN. El 9 de febrero del 2000 web sites tale como Yahoo! y CNN fueron DDoSed fuera de Internet, principalmente por información falsa en la cabecera IP( Página 9 de 41

10 spoofed smurf attacks ). Un ataque smurf envolvía enviar un requerimiento echo ICMP (ping) a la dirección broadcast, resultando en una repuesta de cada host. En este caso spoofing permitía a los atacantes dirigir el gran número de respuestas a una red victima. Filtro de ingreso y egreso habría bloqueado el trafico spoofed y permitido a ellos desgastar la tormenta DDoS. Cada red debería haber ingresado y egresado filtro en el border router para permitir solamente tráfico que es destinado para entrar en la red interna y trafico que es destinado para salir de la red externa. Filtros de paquetes estáticos, talescomo routers, son mas rapidos en trafico screening que stateful o proxie firewalls. Esta rapidez viene muy bien cuando tu estas bajo ataque o cuando el firewall esta ya bajo una carga pesada. Que si tu no tienes un border router bajo tu control exclusivo? Dada tu situación esto puede ser apropiado. Si tu conexión a Internet es relativamente pequeña ( T1 o menos ), entonces un firewall podría ser suficiente. Firewalls toman una mucho mas cuidadosa mirada a los paquetes, pero ellas cubren la misma funcionalidad que un border router. En adición a filtros de paquetes estáticos, stateful firewalls mantienen un registro de conexiones en la tabla de estado y son el tipo mas común de firewall. Este registro de conexiones es útil para defensa en profundidad debido a que un stateful firewall bloquea el trafico que no esta en su tabla de conexiones establecidas. La normas base de un firewall determina la IP fuente y el destino y números de puerto que son permitidos para establecer la conexión. Tu deberías considerar cualquier reconocimiento que tu detectes a ser una indicación fuerte de un ataque pendiente. Bloqueando conexiones no establecidas o no permitidas un stateful firewall ayuda a bloquear el reconocimiento. Stateful firewalls son posibles de reconocer y bloquear tráfico que es parte de una conexión no establecida, no permitida tales como intentos en reconocimiento. La habilidad de bloquear reconocimiento tales como el Nmap ACK examina que golpea tu firewall hace stateful firewalls una parte valuable de defensa en profundidad añadiendo otra capa de seguridad a tu red. Una alternativa y algunas veces un complemento a un stateful firewall es un proxy firewall. Proxy firewalls son los mas avanzados y menos comunes tipos de firewall. Proxy firewalls son también stateful, ya que ellos bloquean cualquier conexión no establecida o no permitida. Como con stateful firewalls el firewall basado en normas determina las IP fuente y destino y números de puerto que son permitidos para establecer conexiones. Proxy firewalls ofrecen un alto nivel de seguridad debido a que hosts internos o externos nunca se comunican directamente. Además, el firewall actúa como un intermediario entre hosts. Proxy firewalls examinan el paquete entero para asegurar conformidad con el protocolo que es indicado por el número de puerto destino. Asegurando que solamente tráfico protocol-compliant pasa a través del firewall ayuda en la defensa en profundidad disminuyendo la posibilidad de tráfico malicioso entrando o saliendo de tu red. Página 10 de 41

11 El proceso para un usuario detrás de un Proxy firewall con el fin de conectar a un web site externo es como sigue: 1. Un cliente interno envía al Proxy una petición de un URL 2. El Proxy requiere la URL desde el site externo 3. El site externo responde al Proxy 4. El Proxy envía la respuesta al cliente interno. Uso de Proxy firewalls disminuye la posibilidad de tráfico malicioso que esta entrando o saliendo de tu red asegurando que solamente tráfico de protocolo confirmado pasa a través. Que sucede si trafico malicioso parece ser el material apropiado y se adhiere al protocolo? Un IDS representa los ojos y oídos de una red monitorizando la red y los hosts de puntos críticos para actividad maliciosa. Tipicamente localización de sensores IDS de red incluyen cada segmento de red conectado directamente al firewall, así como puntos críticos dentro de la red. Si tráfico malicioso entra en tu red, tu IDS de red debe poder detectar este así como comunicar que este ve. Este es precisamente como un IDS ayuda en la defensa en profundidad. Por ejemplo un IDS de red podría identificar y alertar sobre lo siguiente: Peticiones de Transferencia de zona DNS desde host no autorizados Ataques Unicote dirigidos a un servidor web Ataque de buffer overflow Propagacion de gusanos. Nosotros hemos visto varios gusanos sucesivos derribando grandes redes internacionales. Si estas compañías hubieran podido identificar y aislar las maquinas infectadas rapidamete cada vez que un nuevo gusano ataque ellos podrían mantener sus redes funcionando. Un IDS con la firma correcta facilitaría esta identificación. Un IDS puede ayudar a identificar trafico malicioso que podría de otra forma aparecer como normal a un ojo no entrenado. Por ejemplo una zona de transferencia de zona DNS es una operación legitima y común para servidores de DNS coetaneos dedicados. Sin embargo nosotros deberíamos considerar transferencias de zona fuera de los host peligrosos. Un IDS es extremadamente valorable para defensa en profundidad detectando y reportando trafico malicioso. Nosotros no podemos subestimar el valor de información que un IDS provee. Aunque un IDS representa los ojos y oídos de una red, nosotros no estamos completamente ciegos sin uno. Correlación de router, firewall, VPN y logs del sistema puede producir alguna información acerca de actividad sospechosa sobre la red. Estos logs no son un medio de Página 11 de 41

12 reemplazar la granularidad y extensividad de logs IDS, pero para aumentar ellas. Logs desde componentes perimetrales no-ids pueden ayudar significativamente cuando los log de IDS de red están fuera de uso, tal como cuando el tráfico esta encriptado en ruta a un dispositivo VPN. VPNs protegen comunicaciones sobre redes no protegidas, tales como Internet. Ellas protegen ofreciendo confidencialidad, integridad y no repudio. Claramente ellas pueden hacer seguro que si un colega te envia un , ningún otro puede leer este, la información no ha cambiado y es realmente de el. VPN son apropiadas para un extenso rango de aplicaciones, y son frecuentemente utilizadas cuando líneas privadas dedicadas son demasiado caras o poco practicas para conectar nodos de red. Protección de comunicaciones sobre redes no protegidas nos ayuda a defender nuestras redes en profundidad. VPNs son herramientas o armas maravillosas dependiendo quien estan usando ellas. Proveyendo comunicaciones protegidas sobre canales no protegidos, una VPN es una herramienta para usuarios legítimos. Si, sin embargo los puntos finales de una conexión VPN no son seguros, un atacante podria ganar un canal no protegido dentro de tu red interna, dandole a el un arma formidable. Recuerda la gran red internacional que nosotros discutimos que fue inutilizada por gusanos? Cada vez que un gusano ataca, el culpable era el mismo: un usario VPN que estaba trabajando desde casa. Usuarios navegarían por la web usando su conexión de banda ancha en la noche antes de registrarse e la red interna el siguiente día via VPN. Un gusano infectaba sus maquinas cuando ellas estaban conectadas a Internet en la noche. Cuando ellos se conectaban el siguiente día, el gusano se propagaba a la red interna y se ejecutaba desenfrenado. VPNs ofrece un significante ahorro de costes sobre la alternativa previa de frame relay. Nosotros podemos usar una VPN para proteger todo el trafico de una red a otra ( red a red ), entre dos hosts ( host to host ) o desde un simple host a una red ( host to red ). Conociendo esto, la forma en la cual nosotros configuramos nuestras redes llega a ser cada vez mas importante. Demasiado frecuente, seguridad no es una preocupación primaria para un negocio cuando ponemos una red a funcionar. Una arquitectura segura es vital para una defensa en profundidad debido a que este segrega recursos y tiene en cuenta rendimiento y redundancia. Nosotros necesitamos hacer lo siguiente cuando evaluamos una arquitectura: Determinar que recursos necesitamos proteger Determinar el riesgo Determinar requerimientos de negocio Página 12 de 41

13 Con esta información, nosotros podemos tomar decisiones educadas tomando en cuenta nuestras defensas de red. Una arquitectura de red sólida creada con seguridad en mente segregara recursos y proveera rendimiento y redundancia. Segregar recursos es vital para defensa en profundidad y nosotros ampliaremos mas en el tema Separando recursos. Nosotros debemos mantener en mente que no importa cuan segregadoun host esta desde un punto de vista de la red, su configuración debe también ser fortalecida. Nosotros hemos discutido como varias piezas de el perímetro contribuyen a la seguridad total de nuestra red a través de defensa en profundidad. Mientras que es vital el perímetro es solamente es unicamente una pieza de la defensa en profundidad. A continuación nosotros examinamos una pieza que muchas organizaciones descuidan a dirigir propiamente: La red interna La red interna La red interna es la red que esta protegida por el perímetro que contiene todos los servidores, estaciones de trabajo, y la infraestructura con la cual una compañía dirige su negocio. Frecuentemente administradores de varios tipos dicen Nosotros podemos confiar en nuestra propia gente. Organizaciones frecuentemente descuidan la seguridad de la red interna debido a que ellos no consideran un ataque interno un riesgo. Un ataque interno no tiene porque partir de un empleado malicioso; este puede partir también de un empleado descuidado. Como organizaciones estan aprendiendo cada vez que un nuevo gusano sale a la luz, ellos no pueden permitirse pasar por alto la seguridad de una red interna. En la red interna nosotros podemos tener los siguientes dispositivos perimetrales: Filtros de ingreso y egreso sobre cada router Firewalls internos para separar recursos Proxies para mejorar rendimiento y seguridad Sensores IDS para funcionar como canarios en una mina de carbon y monitorizar la red interna Internamente nosotros podemos utilizar lo siguiente: Firewalls personales Software anti-virus Fortalezas del sistema operativo Gestión de la configuración Auditorias Firewalls personales son generalmente implementados como módulos de software que ejecutan maquinas individuales, tráfico de red emitido según este Página 13 de 41

14 entra o sale del sistema. La mayoría son configurables sobre una base por aplicación, significando que el usuario determina cuales aplicaciones tienen derecho a accesar Internet o funcionar como servidores ( aceptando conexiones entrantes ). Firewalls personales son efectivos en costo, alcazando desde gratis a baratos. Ellos ayudan a defensa en profundidad aumentando el perímetro sobre cada host. Tu te preguntarías Porque yo necesito un firewall personal si yo estoy detrás de un firewall en el trabajo?. Un firewall personal en el trabajo puede protegerte de programas maliciosos, tales como troyanos, y otros host internos, como es el caso de usuarios internos maliciosos. Si tu no tienes un firewall personal y te conectas a Internet fuera del trabajo ( habitación de hotel mientras viajas o trabajos desde casa ) tu no puedes asumir que tu estas siendo protegido Firewalls personales son piezas maravillosas de software que aumentan el perímetro. Si un firewall no puede ser empleado en el punto de entrada de una red. Firewalls personales son alternativas efectivas en coste especialmente si la red tiene un pequeño número de sistemas. Firewalls personales son también útiles para usuarios móviles que se conectan a una red fuera del trabajo. Casi todas las redes necesitan tecnología de firewall de alguna clase sean estos filtros de paquetes estáticos, stateful firewalls o Proxy firewalls sobre el perímetro o las maquinas individuales. La mayoría de las redes con estaciones de trabajo a nivel de usuario también necesitan capacidad anti-virus. En muchos aspectos, anti-virus software y IDS de red son similares en que ellos frecuentemente operan examinando datos para registrar intentos maliciosos conocidos. Software anti-virus software tipicamente mira los datos sobre el sistema de ficheros mientras que un IDS de red examina datos sobre la red. La mayoría de los vendedores empaquetan anti-virus, firewall personal y tecnología IDS dentro de un producto simple, la línea distinguiendo las tres llega a ser cada vez mas vaga. El rol de antivirus es claro este protege contra codigo malicioso. Recuerde mi co-trabajador no tecnico que estaba chequeando su correo personal a través de dial-up? Su firewall personal la salvo. Que sucedería si ella no hubiera instalado un firewall personal? Dependiendo del ataque, un antivirus actualizado podría haber prevenido a su maquina de ser infectada. Nosotros podemos aumentar nuestra capacidad anti-virus en nuestro ordenador personal a través de productos que se acoplan con componentes perimetrales tales como firewalls y servidores de correo. La efectividad del software anti-virus decrece drásticamente si este no es actualizado regularmente o si este no tiene un registro para identificar el último virus o gusano. Host Hardening es el proceso de tensar la configuración de el Sistema Operativo del host y aplicaciones con el proposito de asegurar cualquier aperura innecesaria sobre el sistema. Esto tipicamente envuelve aplicar cualquier parche al Sistema operativo o la aplicación, configurar permisos del sistema de ficheros, deshabilitar servicios innecesarios, y asegurar Página 14 de 41

15 restricciones del password. Si cualquier cosa fallara, Host Hardening es la última capa protegiendo un sistema individual. Que pasaría si el trabajador no técnico que estaba chequeando su correo electrónico a través de dial-up no ha instalado un firewall personal o software anti-virus? Si hardening basico ha sido realizado, ella habría tenido un rieso muy reducido no presentando una vulnerabilidad que un atacante podría explotar. Es demasiado fácil olvidar acerca host hardening cuando multiples capas de defensa estan rodeando el sistema. Los hechos manifiestan que estas defensas no son perfectas y nosotros necesitamos esta última capa. La pregunta de cómo mantenerse encima de host hardening surge naturalmente. Gestión de la configuración es el proceso de establecer y mantener una configuración conocida para sistemas y dispositivos que estan sobre la red. Grandes empresas podrían tener un medio automatizado de manipular la configuración de todos los hosts, mientras pequeñas empresas podrían realizar el proceso manualmente. Gestion de la configuración puede hacer respetar lo siguiente Que todas las maquinas Windows tiene Service Pack x instalado Que todas las maquinas Linux tienen el kernel x.x.x ejecutandose Que todos los usuarios con cuentas de acceso remoto tiene un firewall personal Que cada maquina tiene anti-virus actualizado diariamente. Que todos los usuarios aceptan la politica de uso admisible cuando ellos entran en el sistema. La gestión de la configuración es la mejor forma de establecer una configuración Standard y segura tal que el daño producido por incidentes este limitado. Este también puede habilitar a tu organización a controlar la instalación de software no autorizado. Gestión de la configuración es una fuente de defensa importante porque esta asegura una configuración Standard. Como podemos verificar que una configuración permanece sin alterar? Auditoria es el proceso de resolver percepción de la realidad y mejorar sobre esta. Staff interno o consultores externos pueden realizar auditorías. La información que es presentada aquí es se aplica a cualquier situación Una auditoría abanza tipicamente de la siguiente manera: 1. Una reunión informal es mantenida para planear la auditoría. En la primera reunión nosotros descubrimos lo que el cliente quiere y espera y establece riesgos, costos, cooperación, entregas, marcos de tiempo y autorización. Página 15 de 41

16 2. Comienzo del trabajo de campo ( implementar la auditoría ) cuando el cliente esta listo nosotros realizamos la auditoría en linea con lo que nosotros establecimos en la sesión de planeamiento. 3. El informe de auditoría inicial ( informe técnico ) toma lugar. Tu podrías preferir dar un informe de auditoría inicial a los representantes técnicos de un cliente antes de que su dirección vea elinforme final. Tu puedes darle a ellos uno o dos dias para arreglar cualquier cosa que ellos puedan antes de que el informe final vaya a la dirección. Esto también asegura que los representantes técnico saben lo que vera su dirección y puede ofrecer clarificación sobre cualquier asunto. 4. El informe de auditoría final ( informe no técnico con informe técnico final ) toma lugar. El informe de auditoría final contiene un resumen ejecutivo, el enfoque general usado, la metodología especifica usada y el informe técnico final. 5. Continuación ocurre ( verificación de las recomendaciones es realizada) Cuando el cliente esta listo, nosotros volvemos para verificar que asuntos han sido resueltos. Justo como cuando tu vas a un doctor sobre una base regular para que tu estas saludable como tu piensas que tu estas tu debes chequear tu red regularmente para asegurar que tu percepción y la realidad de la seguridad coinciden. Asegurar la red interna con firewalls personales, software anti-virus, y blindado de host no es una tarea trivial. Gestión de la configuración y auditoría pueden ayudar a llevar a cabo esto. Direcciónar seguridad sobre el perímetro y la red interna no es suficiente. A continuación nosotros completaremos el tema discutiendo el factor humano El Factor Humano Frecuentemente, nosotros estamos ensimismados en el aspecto técnico de la seguridad de la red sin considerar el aspecto no técnico. Cosas como optimización basada en reglas, leer un paquete en hexadecimal, y generación de ACL s son ciertamente importantes para seguridad de la red. Lo que nosotros típicamente olvidamos es el fin humano de las cosas,como las políticas y conocimientos que acompañan la solución tecnica. Politica determina que medidas de seguridad tu organización debe implementar. Comoun resultado, la política de seguridad guia tus decisiones cuando implementas seguridad de la red. Una infraestructura de defensa efectiva en seguridad requiere una comprensiva y realista politica de seguridad. Página 16 de 41

17 Rango distintivos de una buena politica incluye lo siguiente: Autoridad ( quien es el responsable ) Alcance ( a quien afecta ) Caducidad ( cuando finaliza ) Especifidad ( que es requerido ) Claridad ( puede todo el mundo entender esta ) Conocimiento del usuario es como educación del conductor. Tu puedes pasar sin esta pero cosas serán mucho mas fáciles con esta. Usuarios pueden reducir riesgos y ayudar a la defensa en profundidad si ellos son conscientes de la politica y siguen esta. Para aumentar conocimiento del usuario tu puedes requerir lo siguiente: Tener para cada usuario una política de uso aceptable anualmente. Configurar una página web de seguridad con políticas, recomendaciones y noticias. Enviar un Consejo de seguridad de la semana a cada usuario Un beneficio directo de usuarios enterados viene cuando consideramos ataques de ingenieria social. Por ejemplo, si usuarios saben que no dar su password a otras personas, un ataque potencial podría ser fustrado. Cuando usuarios son conscientes de políticas, tiende a haber menos violaciones de la política y usuarios se sienten mas envueltos en la seguridad. Además en el caso de violación de la política, si ellos son formados, ellos no pueden reclamar falta de conocimiento. Recuerda: Defensa en profundidad depende sobre el factor humano, de la política y conocimiento del usuario. Política determina que medidas de seguridad tu organización debería implementar. Estas medidas de seguridad deben reflejar la política. Defensa en profundidad es el medio para la implementación de políitcas. Nosotros hemos examinado los componentes de una defensa en profundidad y como ellas contribuyen a la seguridad de la red. Defensa en profundidad es un concepto flexible que te permite crear una infraestructura de refleje los requerimientos de tu organización. Página 17 de 41

18 3. Filtrado de paquetes El filtrado de paquetes es uno de los mas antiguos y el medio mas extensamente disponible para controlar acceso a la redes. El concepto es simple: determinar si un paquete es permitido a entrar o salir de la red comparando algunas piezas de identificación básicas que estan localizadas en la cabecera del paquete. Tecnología de filtrado de paquetes puede ser encontrada en sistemas operativos, software y hardware firewalls, y como una caraceristica de seguridad de la mayoría de los routers. El objetivo de este capitulo es explorar las fortalezas y debilidades de la tecnología de filtrado de paquetes y como implementarla exitosamente. Nosotros discutimos la base de TCP/IP y como este se aplica a filtrado de paquetes. 3.1 Principios de TCP/IP: como funciona filtro de paquetes Cuando sistemas sobre una red se comunican, ellos necesitan hablar el mismo lenguaje, o protocolo. Uno de tales protocolos es TCP/IP, el principal lenguaje de comunicación de Internet. Para facilitar tal comunicación, la información que tu envias necesita ser dividida en piezas manejables llamadas paquetes. Cabeceras de paquete son pequeños segmentos de información que son pegados al comienzo de un paquete para identificar este. Paquetes son dirigidos o ruteados por los valores que estan localizados en la cabecera del paquete. Estos identificadores tienen información acerca de donde los paquetes vienen ( source address ), donde ellos estan yendo ( dirección destino ), el número de puerto de el protocolo con el cual ellos se estan comunicando, también como otra información describiendo el tipo de servicio que el paquete puede soportar, entre otras cosas. Cuando un paquete TCP/IP llega a un router, el router chequea su destino para ver si este sabe como obtener el lugar donde el paquete quiere ir. Si esto es así, este pasa el paquete al segmento de red apropiado. El hecho que un router pase cualquier paquete cuyo destino del cual el es consciente es llamado permiso implicito. Como tu puedes imaginar, esto no sería una forma efectiva para proteger tu red debido a que todo el tráfico entrar también como salir. Tu necesitas un metodo para controlar la información que esta entrando y saliendo de los interfaces del router Puertos TCP y UDP La parte TCP de TCP/IP significa Protocolo de control de transmisión y esta es una forma confiable orientada a transporte para que la información sea comunicada. Protocolo de datagrama de usuario ( UDP ) es un protocolo de transporte no confiable que trabaja bien con programas que no confían en el protocolo para hacer seguro que su carga obtiene donde esta yendo. Ambos TCP y UDP utilizan puertos para registrar sesiones de comunicación. Ciertos puertos son puestos aparte como el puerto particular para contactar un servidor Página 18 de 41

19 a través de la ejecución de un servicio dado tales como HTTP ( puerto 80 ), FTP ( puerto 21 ), Telnet ( puerto 23 ), DNS ( puerto 53 ) y SMTP ( puerto 25 ). Estos servicios y como asegurar ellos son discutidos en mas detalle mas tarde) Para una lista informativa actualizada de todos puertos del lado del servidor y los servicios a los cuales ellos están asignados informese en el RFC Cuando un cliente contacta un servidor, este aleatoriamente un puerto arriva de 1023 para atravesarlo. Entonces el cliente contacta el servidor sobre un puerto fijo tal como el puerto 23 para Telnet. Cuando el servidor contesta la información deja el puerto 23 y retorna al cliente en el puerto aleatorio > Esta es la unica forma que un filtro de paquetes puede determinar el servicio que este esta filtrando. Por ejemplo, tu podrías querer filtrar fuera todo el tráfico Telnet; tu haces esto bloqueando todo el tráfico que es dirigido al puerto TCP 23. Tu quizás tambien querías permitir todo el tráfico HTTP que esta viniendo al puerto 80. Sin embargo si alguien esta ejecutando un servidor telnet sobre el puerto 80 en algún lugar de tu red, y todo lo que tienes para protección es el filtro de paquetes antedicho, el trafico pasa. Sistemas de filtrado de paquetes no tienen la inteligencia para mas alla del número de puerto para determinar que servicio se esta ejecutando en la capa de aplicación. Por esta razon, si tu quieres bloquear el acceso a un servicio particular que estas ejecutando en puertos alternativos, tu necesitas mantener esto en mente cuando construyes las reglas de filtrado. Algunas veces servidores web se ejecutan sobre puertos alternativos, tales como 8000, 8080 o parecidos; si tu quieres permitir el acceso a dichos servidores web, entonces crear una norma de filtro de paquetes que permita trafico en el puerto 80 no sería suficiente TCP three-way handshake Para comenzar la comunicación el protocolo TCP orientado a conexión usa lo que es conocido como apretón de manos tres vias. Cuando host A quiere conectarse al host B para transferir datos, este tiene que dejar que el host B sepa que quiere conectarse. Host A hace esto enviando un paquete al host B con la SYN o bandera de sincronización fijada significando Yo quiero iniciar una nueva conversación Si host B puede y quiere conversar devuelve al host A, este retorna un paquete con el SYN y ACK o bandera de confirmación establecida, significando OK vamos a hablar.finalmente host A retorna la tercera parte del apretón de manos, un paquete con exactamente la bandera ACK establecida significando Yo estoy alegre tu quieres hablar, vamos a comenzar a hablar. Con esto los datos comienzan a transferirse. Las banderas antedichas representan si este es un intento inicial de comunicación, una respuesta o una respuesta a una repuesta. Sistemas de filtro de paquetes pueden usar estas banderas para determinar en que estado esta el trafico de apretón de mano de tres vías actualmente. Por ejemplo, si tu no quieres permitir nuevas conexiones desde el exterior, tu Página 19 de 41

20 podrias elegir solamente permitir trafico con la bandera ACK; los paquetes comenzando una nueva conexión contienen la bandera SYN solamente. Página 20 de 41