2. SEGURIDAD EN REDES PRIVADAS.

Transcripción

1 2. SEGURIDAD EN REDES PRIVADAS. 1. Seguridad en Redes TCP/IP? 1.1. Las redes TCP/IP son redes abiertas Sistemas de protección de redes privadas Definiciones formales Resumiéndolo todo Cortafuegos 2.1. El concepto moderno de cortafuegos Definiciones formales Tipos de filtrado de paquetes Resumiéndolo todo Cortafuegos basado en un único choke. 4. Cortafuegos basado en un único bastión. 5. Arquitecturas Screend-Host. 6. Arquitecturas DMZ o Screened-Subnet DMZ situada entre la red interna e Internet DMZ situada en paralelo a la red interna, protegidas sólo por un router/choke DMZ situada en paralelo a la red interna, protegidas sólo por un bastión DMZ situada en paralelo a la red interna, protegidas por un bastión y un router/choke Otras arquitecturas basadas en DMZ. 7. Cortafuegos para Intranets. Página 1.

2 1. Seguridad en redes TCP/IP? 1.1. Las redes TCP/IP son redes abiertas... La familia de protocolos TCP/IP supuso una evolución en su día con respecto a otros protocolos. Su principal característica es que permite la creación de redes autogestionadas, es decir, redes en las que no es necesaria la existencia de un aparato que controle las comunicaciones... La gestión de la red se reparte entre los dispositivos de la propia red! protocolos: Esta ventaja ha hecho posible la creación de Internet, que posee unas características peculiares, heredadas de la funcionalidad de sus Internet es una red dinámica, que reacciona satisfactoriamente frente a los cambios de topología de ella misma. Internet es una red independiente, que no necesita aparatos centrales de control. Internet es una red sin propietario. Es simplemente un conjunto de redes interconectadas. Internet es una red abierta. Cualquiera puede adscribirse o separarse de ella libremente. Otra características de los protocolos TCP/IP es que nunca fueron pensados para que funcionaran sobre una red mundial. Al principio, los más ambiciosos sólo pensaban en interconectar unos cientos de redes de investigación o de enseñanza, tal vez miles... Actualmente Internet abarca casi todo el planeta, cubriendo todo el mundo desarrollado y expandiéndose por las zonas más deprimidas. La situación actual se resume en afirmar que la pila de protocolos TCP/IP no está preparada para realizar las tareas que hoy en día se le asignan. La situación empeora día a día, pues van apareciendo nuevas necesidades de mercado, que necesitan de un soporte técnico que TCP/IP no es capaz de darle. A muy grandes rasgos, podemos resumir diciendo que TCP/IP tiene estos inconvenientes: Direccionamiento IP insuficiente. Por este motivo, IP ha tenido que ser parcheado con técnicas tales como el subnetting, el resumen de rutas, VLSM y NAT. Los problemas derivados de esto desaparecen con IPv6. Seguridad insuficiente. Las redes TCP/IP son inseguras en sí mismas, necesitamos añadir seguridad a otros niveles, como a nivel de aplicación o a nivel de enlace de datos. IPSec es una interesante propuesta. Página 2.

3 No garantiza la Calidad del servicio. TCP/IP es una red de máximo esfuerzo, esto significa que hará el mayor esfuerzo posible por dar un servicio, pero que no garantiza dicho servicio. Esto es insuficiente para las necesidades multimedia, como los flujos de vídeo y de voz. Resumiendo todo esto, podemos afirmar que si la principal ventaja de las redes TCP/IP es que conforman una red abierta, no le podemos pedir también seguridad... Internet es terreno abonado para una completísima fauna de delincuentes informáticos de los que nos debemos proteger. Para ello habrá que dotar de seguridad a las redes TCP/IP, usando técnicas a todos los niveles: encriptación de datos, túneles privados, filtros, cortafuegos, etc... Figura 2.1: Internet es terreno abonado para los ciber delincuentes. Página 3.

4 1.2. Sistemas de protección de redes privadas. Hoy en día todas las redes privadas están conectadas al resto del mundo a través de Internet. Esto les da una gran capacidad de acceso a todo tipo de información, pero también las hace accesibles desde cualquier parte del mundo. Es decir, una red conectada a Internet es una red con una puerta a la calle... tendremos que asegurarnos de que la puerta tenga cerradura, que sea robusta y de que dejemos pasar sólo a quien queramos. Para colmo la cosa se complica cuando deseamos ofrecer algún servicio a Internet desde nuestra red. Entonces, tendremos dentro de nuestra casa servicios abiertos al público, bajo ciertas condiciones y zonas privadas donde no deseamos que entre nadie. Dentro de la Seguridad del Sistema Informático, una de las cuestiones de vital importancia es proteger nuestra red de ataques externos. Esto se consigue mediante el diseño y la implementación de complejas arquitecturas de red, que incluyen protección a diversos niveles. En este capítulo vamos a tratar este problema, describiendo las herramientas que tenemos a nuestro alcance: Filtrado de paquetes. Proxys. DMZs Conexiones seguras. Por ejemplo, en la Figura 2.2 se muestra una red privada, conectada a Internet, pero que no ofrece servicios al exterior, protegida por un Router que hace de Choke y por un Firewall. Figura 2.2: Red privada protegida por un Router y por un Firewall. Página 4.

5 2. Cortafuegos El concepto moderno de cortafuegos. Qué es un cortafuegos? Se puede definir como un ordenador cuya misión principal es regular el tráfico de la red. Suele incorporar funcionalidades añadidas, como el registro de bitácora, la monitorización y las estadísticas, el filtrado complejo y los servicios de proxy y/o de enrutamiento. En la Figura 2.2, se muestra un ejemplo del uso de un firewall. Si bien, esta filosofía está atrasada. Según las tendencias actuales de la seguridad de sistemas informáticos, se considera un cortafuegos al sistema completo, formado por diversas máquinas, cada una de las cuales ejecutan distintas tareas de seguridad. En este entorno, la máquina que se representa en la Figura 2.2 como firewall, se llama bastión. Veamos a continuación algunas definiciones modernas Definiciones formales... Vamos a empezar por dar algunas definiciones sobre el concepto de cortafuegos, que nos serán útiles para comprender este tema... Tres definiciones de cortafuegos: Un cortafuegos es un mecanismo de protección que se puede utilizar para controlar el acceso entre una red segura y una menos segura. Un cortafuegos (o firewall ) no es un único componente, es una estrategia diseñada para proteger los recursos de una organización que se pueden alcanzar a través de Internet. Dr. Javier Areitio Bertolin1. Un firewall o cortafuegos es un sistema o grupo de sistemas que hace cumplir una política de control de acceso entre dos redes. De una forma más clara, podemos definir un cortafuegos como cualquier sistema (desde un simple router hasta varias redes en serie) utilizado para separar en cuanto a seguridad se refiere una máquina o subred del resto, protegiéndola así de servicios y protocolos que desde el exterior puedan suponer una amenaza a la seguridad. El espacio protegido, denominado perímetro de seguridad, suele ser propiedad de la misma organización, y la protección se realiza contra una red externa, no confiable, llamada zona de riesgo. Marcus J. Ranum2. Firewalls Frequently Asked Questions, Un cortafuegos es un sistema para controlar el acceso hacia o desde una red protegida. Sirven para hacer una buena política de seguridad que de fina los servicios y accesos que serán permitidos. Un cortafuegos es una implementación 1 El Dr. Javier Areitio Bertolin es Doctor en Ciencias Físicas, Catedrático del Departamento de Telecomunicaciones, experto en seguridad y criptografía en TIC. Universidad de Deusto Facultad de Ingeniería ESIDE 2 Marcus J. Ranum es un reconocido experto mundial sobre seguridad en redes. Es uno de los padres de las arquitecturas de cortafuegos, incluso desarrolló el primer firewall comercial. Ha trabajado como consultor de seguridad para gobiernos y para las multinacionales más importantes. Página 5.

6 de esa política en la configuración de una red mediante uno o más sistemas host y Routers, así como medidas de seguridad tales como la Autentificación Avanzada (Advanced Authentication) en lugar de utilizar claves estáticas (passwords). US Department of Commerce. National Institute os Standars and Technology: Bastión: Es un sistema especialmente asegurado, pero en principio vulnerable a todo tipo de ataques por estar abierto a Internet, que tiene como función ser el punto de contacto de los usuarios de la red interna de una organización con otro tipo de redes. El host bastión filtra el tráfico de entrada y salida, y también esconde la configuración de la red hacia fuera. Filtrado de paquetes: Es la acción de denegar o permitir el flujo de tramas entre dos redes (por ejemplo la interna, protegida con el firewall, y el resto de Internet) de acuerdo a unas normas predefinidas; aunque el filtro más elemental puede ser un simple router, trabajando en el nivel de red del protocolo OSI, esta actividad puede realizarse además en un puente o en una máquina individual. Proxy: Es un programa que hace de intermediario para accesos a Internet. Se ejecuta en una máquina que tiene acceso a Internet y a una red privada. Recoge peticiones de acceso a Internet provenientes de los clientes de la red privada, realiza las peticiones a Internet en su lugar, y cuando recibe las respuestas, las reenvía a los clientes que las solicitaron. Además de este servicio de intermediario, suele incorporar otras funcionalidades, como caché, filtros de acceso, ficheros de bitácora y estadísticas, etc. Choke: Se suelen denominar así a los routers, u otros aparatos, que implementan filtrado de paquetes. Screening: También se le llama así al filtrado de paquetes Tipos de filtrado de paquetes No todos los sistemas de filtrado de paquetes son iguales. Todo depende del nivel en que trabaje Filtrado a nivel de red (nivel 3): Es el filtrado de paquetes más sencillo. Para decidir si un paquete pasa el filtro o no, se fijará en el nivel de red, es decir, en las direcciones IP de origen y destino. 2. Filtrado a nivel de transporte (nivel 4): Para decidir si un paquete pasa el filtro o no, se fijará en el nivel de transporte, es decir, en los puertos TCP o UDP y por lo tanto en los protocolos y servicios a los que corresponden los paquetes. 3. Filtrado a nivel de aplicación: Para decidir si un paquete pasa el filtro o no, se fijará en el mensaje de nivel de aplicación. Página 6.

7 Un filtro de paquetes, gana en funcionalidad y potencia cuanto mayor es el nivel al que es capaz de trabajar. Sin embargo, al mismo tiempo, también gana en complejidad, en necesidad de recursos hardware y en tiempo de filtrado. Por esto, los routers suelen incorporar filtrado de paquetes a niveles de red y de transporte, pero no de aplicación. Normalmente el filtrado a nivel de aplicación se realiza en ordenadores (bastiones), de mayor potencia que los routers. Además, en el mercado hay aparatos dedicados y optimizados para el filtrado de paquetes (a distintos niveles), como los PIX de CISCO Resumiéndolo todo... Bien, bien, muy interesante... pero quizás sea mejor resumir todo esto en un breve esquema: 1. Está claro que hay que proteger las redes, ya que al estar conectadas a Internet, son vulnerables a accesos no autorizados. 2. Para proteger las redes usaremos cortafuegos, que son arquitecturas de red en las que pueden estar involucrados varios aparatos y sistemas. 3. Un cortafuegos pretende regular el tráfico entre nuestras subredes e Internet, de forma selectiva. 4. Los aparatos más típicos que componen un cortafuegos son: 1. Routers Chokes: Ejecutan enrutamiento, NAT y filtrado de paquetes. 2. Bastiones: Son ordenadores, por lo que pueden ejecutar tareas más complejas: Filtrado de paquetes. Enrutamiento. Proxy. Monitorización y registros de bitácora. Página 7.

8 3. Cortafuegos basado en un único choke. La arquitectura más simple de cortafuegos consiste en una red con un choke que filtre los paquetes. Se trata del modelo de cortafuegos más antiguo, basado simplemente en aprovechar la capacidad de algunos routers para bloquear o filtrar paquetes en función de su protocolo, su servicio, o su dirección IP. Normalmente, el router implementará el protocolo NAT3, de forma que actuará como intermediario de la red privada frente a Internet. Podemos ver esta arquitectura de red en la Figura 2.3: Figura 2.3: Cortafuegos solo con un Choke. Esta arquitectura es la más simple de implementar y la más utilizada en organizaciones que no precisan grandes niveles de seguridad. No obstante, elegir un cortafuegos tan sencillo puede no ser recomendable en ciertas situaciones, o para organizaciones que requieren una mayor seguridad para su subred, ya que los chokes presentan determinadas carencias que citamos a continuación: 1. No disponen de un sistema de monitorización sofisticado, por lo que muchas veces el administrador no puede determinar si el router está siendo atacado o si su seguridad ha sido comprometida. 2. Las reglas de filtrado pueden llegar a ser complejas de establecer, y por tanto es difícil comprobar su corrección. Lo habitual es ajustarlas por el procedimiento de prueba y ensayo directo sobre la red, con los problemas de seguridad que esto conlleva. 3. Normalmente las reglas de filtrado de los choke no son lo suficientemente potentes como para dar toda la seguridad que necesita una red de determinada complejidad. 3 NAT: Network Address Translation. Es un protocolo que ejecuta un router, conectado a una red privada y a Internet. Consiste en que el router acepta peticiones de Internet de los clientes de la red privada y las realiza en Internet, facilitándole luego la respuesta. Página 8.

9 4. Cortafuegos basado en un único bastión. Los bastiones son ordenadores que tienen, al menos, dos tarjetas de red y se conectan directamente tanto a la red privada como a Internet. Marcan la frontera entre ambas redes y garantizan la seguridad regulando el tráfico entre las redes. Suelen llamarse también dual homed hosts, por estar presentes tanto en la red interna como en la externa. Se muestra un esquema de este tipo de redes, en la Figura 2.4. Figura 2.4: Cortafuegos sólo con un Bastión (Dual Homed Host). En esta arquitectura, el bastión se suele configurar con diversos servicios: 1. Servidor proxy para cada uno de los servicios que deseemos pasar a través del cortafuegos. 2. Para tener constancia de los accesos de los usuarios hacia el exterior, se suelen implementar servicios de log y de estadísticas de acceso a Internet. 3. Filtrado total de paquetes hacia el interior, salvo las respuestas al proxy. 4. Para controlar dónde acceden los usuarios, se suele implementar filtrado de paquetes hacia el exterior, a diversos niveles: 1. Filtros a nivel de red: Según las direcciones IP. 2. Filtros a nivel de transporte: Según los puertos (según el tipo de servicio o aplicación). 3. Filtros a nivel de aplicación: Según el contenido de los mensajes de cada aplicación. 5. Es necesario que el IP Forwarding4 esté deshabilitado en el equipo: aunque una máquina con dos tarjetas puede actuar como un router, para aislar el tráfico entre la red interna y la externa es necesario que el bastión no encamine paquetes entre ellas. 4 IP Forwarding: Reenvío por IP, es decir, enrutamiento entre redes. Página 9.

10 El caso más simple de uso de un bastión es el mostrado en la Figura 2.3: una red privada y una red externa o Internet. Sin embargo, el bastión puede utilizarse en casos en los que disponemos de varias subredes privadas e Internet. Entonces, el bastión tendrá una tarjeta de red por cada red y regulará el tráfico entre todas las redes. Hace las veces de un guardia de tráfico. El esquema de un bastión con tres tarjetas de red es el que mostramos en la Figura 2.5: Figura 2.5: Bastión con tres tarjetas de red. Página 10.

11 5. Arquitecturas Screened-Host. La arquitectura screened host combina un router con filtrado de paquetes y un bastión. 1. El bastión es el único sistema accesible desde el exterior,y actuará como servidor proxie para los clientes de la red interna. 2. El choke se encarga de filtrar los paquetes que se puedan considerar peligrosos para la seguridad de la red interna, permitiendo únicamente la comunicación con un reducido número de servicios. Hay dos formas de implementar esta arquitectura: con el router antes o después del bastión. Las dos opciones se representan en las figuras 2.6 y 2.7. Figura 2.6: Screened Host con el bastión detrás del choke. Figura 2.7: Screened Host con el bastión delante del choke. Página 11.

12 Cuál es el mejor lugar para situar el bastión? La mayoría de autores recomiendan situar el router entre la red exterior y el host bastión, pero otros defienden justo lo contrario: situar el bastión en la red exterior, ya que no provoca aparentemente una degradación de la seguridad, y además ayuda al administrador a comprender la necesidad de un elevado nivel de fiabilidad en esta máquina. Recomendaremos la opción mayoritaria entre los expertos en seguridad informática, es decir, colocar el bastión detrás del choke, dando este último la cara a Internet. Página 12.

13 6. Arquitecturas DMZ o Screened Subnet. Las arquitecturas de cortafuegos que hemos visto hasta ahora no están pensadas para ofrecer servicios a Internet. Si las revisamos, podemos observar que solo hay máquinas en el interior de la red privada, por lo que si deseáramos instalar un servidor web (por ejemplo), lo tendríamos que colocar dentro de nuestra red privada y permitir el acceso al mismo desde el exterior. Pero esto es muy peligroso, pues si alguien consiguiera hackear dicho servidor web, a través de él podría acceder a muchos otros lugares de nuestra red privada. Por lo tanto, es evidente que se hace aconsejable seguir la siguiente norma: Aquellas máquinas que vayan a dar servicio a Internet, desde nuestra red, deben estar en una red distinta a la red privada. Además, el tráfico entre la red privada y la red de servicios debe estar controlado. Para cumplir con esta norma se utilizan las arquitecturas DMZ. Pueden implementarse de diversas maneras, pero todas se basan en cumplir la norma anterior. La red privada se divide en dos zonas: 1. Zona Protegida: Es la parte privada de la red interna. Debe ser inaccesible desde el exterior. 2. Zona Desmilitarizada (DeMilitarized Zone), o DMZ: Es una subred que agrupa a todos los ordenadores de nuestra red que ofrecen algún servicio al exterior. A continuación vamos a ver varios casos de arquitecturas de red basadas en DMZ. Todas tienen en común la separación entre la red interna y la red de servicios a Internet, pero cada una aporta ciertas peculiaridades que las hacen distintas DMZ situada entre la red interna e Internet. En este caso, se colocará la red interna conectada a un bastión que lo unirá a la DMZ. La DMZ dispondrá de un router/choke que conectará todo a Internet. Veamos su esquema de conexión en la Figura 2.8: Figura 2.8: Arquitectura de red con DMZ entre la red interna e Internet. Habrá que configurar los aparatos de la siguiente manera: 1. Configuración del bastión: Página 13.

14 Servicio de proxy de Internet para los clientes de la red protegida. Si se da el caso, servicio de proxy de los servicios de la DMZ para los clientes de la red protegida. Filtrado de paquetes, impidiendo la entrada a la red privada de comunicaciones del exterior. Filtrado de paquetes, impidiendo la entrada a la red privada de comunicaciones de la DMZ. 2. Configuración del choke: Filtrado de los paquetes dirigidos a la red interna. Filtrado de los paquetes dirigidos a la DMZ, que no se correspondan con los servicios ofertados por ella DMZ situada en paralelo a la red interna, protegidas sólo por un router/choke. En este caso, se conectarán, tanto la red interna, como la DMZ, a un router con filtrado de paquetes. El esquema de conexión se muestra en la Figura 2.9: Figura 2.9: Arquitectura de red con una zona protegida y una DMZ, conectadas a un choke con acceso a Internet. Este caso aporta muy poca protección y es recomendable sólo para sistemas con necesidades de protección muy baja. El router se configurará de la siguiente manera: Servicio NAT para dar acceso a Internet a los clientes de la red protegida. Página 14.

15 Servicio NAT para traducir los servicios de la DMZ a Internet. Si los clientes de la red protegida pueden acceder a los servicios de la DMZ, debe realizar enrutamiento entre ambas redes. Filtrado total de paquetes desde Internet a la red protegida. Filtrado de paquetes desde Internet a la DMZ, permitiendo sólo los servicios ofrecidos por la DMZ. Filtrado de paquetes desde la red protegida a la Dmz, permitiendo sólo los servicios ofrecidos por la DMZ. Filtrado de paquetes desde la DMZ a la red protegida, permitiendo sólo las respuestas de los servicios ofrecidos por la DMZ DMZ situada en paralelo a la red interna, protegidas sólo por un bastión. En este caso, se conectarán, tanto la red interna, como la DMZ, a un bastión conectado directamente a Internet. El esquema de conexión se muestra en la Figura 2.10: Figura 2.10: Arquitectura de red con una zona protegida y una DMZ, protegidas sólo por un bastión. Aunque esta configuración no es óptima, aporta mucha más protección que el esquema anterior. La diferencia estriba en que un bastión puede ejecutar muchos más servicios que un router, por lo que podemos proteger mejor las redes, y a más niveles. Por ejemplo, al poder ejecutar servicios de proxy, se puede cancelar el enrutamiento entre las redes y se puede realizar un completo seguimiento de las comunicaciones mediante las herramientas de monitorización y estadísticas. En este caso, el bastión se configuraría de la siguiente manera: Página 15.

16 Servicio proxy para dar acceso a Internet a los clientes de la red protegida. Servicio de enrutamiento hacia la DMZ de las peticiones de los servicios que aporta a Internet. Si los clientes de la red protegida pueden acceder a los servicios de la DMZ, debe realizar servicio de proxy para esas peticiones. Filtrado de paquetes desde Internet a la DMZ, permitiendo sólo los servicios ofrecidos por la DMZ. Filtrado total de paquetes desde Internet a la red protegida. Filtrado total de paquetes desde la red protegida a la DMZ. Filtrado total de paquetes desde la DMZ a la red protegida DMZ situada en paralelo a la red interna, protegidas por un bastión y un router/choke. En este caso, se conectarán, tanto la red interna, como la DMZ, a un bastión, conectado a su vez a un router/choke conectado directamente a Internet. El esquema de conexión se muestra en la Figura 2.11: Figura 2.11: Arquitectura de red con una zona protegida y una DMZ, protegidas por un bastión y un choke. Este caso es muy similar al anterior, solo que la seguridad se ve reforzada por un choke exterior que realiza filtrado de paquetes y aporta una primera línea de protección. Este esquema es muy completo y aporta gran seguridad, suele ser suficiente para redes de tamaño medio/grande. El orden de colocación del bastión y del choke, puede cambiarse, poniendo el router más adentro que el bastión, tal y como se muestra en la Figura 2.12: Página 16.

17 Figura 2.12: Arquitectura de red con una zona protegida y una DMZ, protegidas por un choke y un bastión Otras arquitecturas basadas en DMZ. Bueno, no son solo válidas las arquitecturas que se han puesto aquí de ejemplo... según la problemática de cada caso particular y del presupuesto disponible, se pueden desarrollar diversos diseños que aporten mayor o menor protección. Todo depende de las redes que queramos proteger, de las necesidades más o menos exigentes de seguridad y de los sistemas que vayamos añadiendo. Basta con combinar chokes y bastiones con funcionalidades diversas para diseñar arquitecturas concretas con ciertas ventajas y desventajas. Página 17.

18 7. Cortafuegos para Intranets. Aunque los cortafuegos se utilizan normalmente para proteger las redes privadas de los accesos indeseados desde el exterior, no siempre es así. En redes de grandes corporaciones, donde existen multitud de subredes interconectadas en una red privada, surgen necesidades de seguridad interna. A las redes privadas, se les suele llamar también Intranets, en contraposición con Internet. Es fácil comprender que no todos los empleados de una multinacional deben tener acceso a la subred de nóminas, o de recursos humanos. Incluso se suelen dar situaciones en las que en determinadas subredes sólo deben acceder determinados usuarios de otras subredes para propósitos concretos y determinados. La manera de garantizar y supervisar estas limitaciones de acceso es disponiendo una arquitectura de cortafuegos en la red interna, de igual manera que hemos visto en los casos anteriores. Podemos ver un ejemplo de esta arquitectura en la Figura Figura 2.13: Arquitectura de red con tres subredes protegidas entre sí por un choke, una DMZ, y un bastión común. Los sistemas de cortafuegos pueden ser simples, como el mostrado en la figura anterior, que está regulado sólo por un choke. Pero también podríamos montar cortafuegos con bastiones, proxies, etc... de igual manera que hemos hecho antes para proteger a la red interna de los accesos desde Internet. Página 18.