miércoles 7 de septiembre de 2011 Protección perimetral

Transcripción

1 Protección perimetral

2 Contenido. Cortafuegos. Tipos. Filtrado de paquetes. Reglas de Filtrado. NETFILTER/iptables. Arquitectura de NETFILTER/iptables. Módulos NETFILTER/iptables. Interfaces, herramientas e información. Topologías de cortafuegos. Topologías básicas. Zonas desmilitarizadas.

3 Cortafuegos. Cortafuegos/Firewall: Mecanismos de control de acceso a la red y a los recursos informáticos de una organización. Hardware y software. Red interna(confianza), Externos(potencialmente hostil). Deniega intentos de conexión no autorizados.

4 Cortafuegos. Finalidad: Prevención de ataques desde exterior hacia equipos internos. Opcionalmente: Control de uso de la red. Protección del propio equipo.

5 Tipos de controles. Control de servicios. (accesibilidad) Filtrado según dirección y puerto. Software intermediario (Proxy). Control de Usuarios. Control de Comportamiento.

6 Utilidad. Punto único de resistencia frente ataques. Usuarios no autorizados. Prohibe E/S de servicios potencialmente vulnerables. Suplantación de IP (IP spoofing). Simplificar la administración. (Punto único de entrada).

7 Limitaciones. No protegen contra ataques que no pasen por el cortafuegos. No protegen contra amenazas internas. Sensación de falsa seguridad. El cortafuegos no basta por si solo. Seguridad en redes afecta a muchos aspectos

8 Filtrado de paquetes. Inspeccionan los paquetes recibidos/enviados comprueban si encajan en las reglas. Información contenida. Filtro sin estado. Inspección de forma aislada y la decisión de forma aislada. Trabajan en los niveles de RED y TRANSPORTE de la pila TCP/IP. Uso de puertos estándar para bloquear servicios concretos. Integrados en routers o en equipos dedicados.

9 Filtros con estado. Llevan registro de las conexiones que pasan a través del cortafuegos. Estudian y reconocen los paquetes. Que inician/finalizan las conexiones. Que forman parte de conexiones establecidas. Que están relacionadas con conexiones previas. Permiten un control mas fino que los filtros sin estado. Gnu/linux Netfilter/iptables con módulos de seguimiento.

10 Filtros a nivel de aplicación Cortafuegos basados en el uso de Proxies. Interceptan los mensajes entre aplicaciones. Bloqueo de aplicaciones no permitidas. Control de trafico. Proxy comprende el protocolo de una aplicación concreta. Previene abusos. Detectan uso de protocolos no permitidos en puertos estándar. Mayor Conocimiento sobre el tráfico. Ofrecer servicios de valor añadido.

11 Filtros a nivel de aplicación Trabaja en las capas de red(ip) y/o transporte (tcp,udp). Suele implementarse como un elemento añadido a un router o como equipo dedicado. Análisis antes del enrutado. cabeceras si encajan en las listas de reglas. Decisión: aceptación/rechazo. Filtrado basado en la información contenida en cada paquete.

12 Reglas de Filtrado. Información contenida en cada paquete. Direcciones IP origen y destino. Puertos de origen y destino (TCP/UDP). Tipo de protocolo: TCP, UDP, ICMP. Interfaz de entrada y salida. Otros: Tamaño, TTL, Indicadores específicos

13 !"#$%&'()'*)+&,-*$*.)/001 #$%&!"#$%&'("')*$+!%(,&'()*'$+&*$&,+-./($0,1+&0.+2'+,3$&'+& 0$3$&)$45'2'&3'&/'3&$+$*,6$3. 3,/'00,.+'%&78&3'&./,9'+&:&3'%2,+. Se basa en el filtrado de los puertos estándar 0.+'E,.+'%&3'&/'3A.2/$&,+-./($0,1+B& Control de servicios. 2$($F.&3'*&)$45'2'>&2,'().&3'*&G,3$&3'*&)$45'2'>&,+3,0$3./'%&'%)'0H-,0.%&3'&)/.2.0.*.%&3'&2/$+%)./2' I*&0.+2/.*&3'&%'/G,0,.%&%'&J$%$&'+&'*&-,*2/$3.&3'&*.%&)5'/2.%& '%2D+3$/&;K22)BLLMMMN,$+$N./9L$%%,9+('+2%L)./2O+5(J'/%A!"#$$$$%&'"(#$$)*+$$$$,-'"(#.,-'/)#$$0#($$$&&&'"(#.&&&'/)# ++1$$$$%%'"(#$$!2*340$56'"(#$$$$$$$$$7)8#$$-96'"(# "47*4"$%-'"(#$$1""#$$$9:'"(#$$$$$$$$$1""#+$;;-'"(# 89:!0;:92<!"#$%&'()/01

14 Reglas de filtrado.

15 Funcionamiento General. Filtrado de paquetes se configura mediante listas de reglas estáticas. Condiciones: Basadas en campos de cabeceras ip y/o tcp. Acciones: Descartar, Rechazar, Retransmitir. Secuencialmente comprobadas (el orden importa). Cuando hay una correspondencia se invoca la acción. Si ninguna regla encaja se aplica accón predeterminada.

16 Acción predeterminada. Denegar por defecto: Lo que no esta expresamente permitido, esta prohibido. Indicar explícitamente que servicios se dejan pasar. Aceptar por defecto: Lo que no esta expresamente prohibido, esta permitido. Servicios vulnerables/peligrosos deben bloquearse explícitamente. Política mas permisible, nivel de protección más bajo.

17 TOPOLOGÍAS Topologías básicas, zonas desmilitarizadas.

18 Básico de borde. Un equipo actúa como cortafuegos, conectando la red interna con la externa. Ofrece funcionalidad de cortafuego + todos los servicios adicionales. Si se ve comprometido, todo el sistema se compromete.

19 Básico de borde. OPCION 1: Router con filtrado de paquetes. Opción mas simple, pero menos potente. Escasas posibilidades de monitorizacion. OPCION 2: Equipo dedicado. Sistema estándar con 2 interfaces de red con la posibilidad de encaminamiento (IP FORWARD). Todas las conexiones pasan a través de el. Puede integrar los Proxies precisos.

20 Básico de borde. Organización típica dual homed host. Idealmente, todos los servicios al exterior se ofrecerán únicamente desde el dual home host. Equipos de la red interna y externa no deberían poder entrar en contacto directamente, sino a través de un intermediario (Proxy)

21 Host Oculto (Screened Host). Ofrecer servicios (internos y externos) en una única maquina ubicada en el interior. Unica maquina accesible desde el exterior (host bastión).