Firewalls. Contenido. Principios acerca del diseño de Firewalls. Sistemas Confiables. Características Tipos Configuraciones

Tamaño: px

Comenzar la demostración a partir de la página:

Download "Firewalls. Contenido. Principios acerca del diseño de Firewalls. Sistemas Confiables. Características Tipos Configuraciones"

Josefina Gallego Juárez
hace 8 años
Vistas:

1 Firewalls 1 Contenido Principios acerca del diseño de Firewalls Características Tipos Configuraciones Sistemas Confiables Control de Acceso a Datos El Concepto de Sistemas Confiables Defensa de Caballos de Troya 2 1

Sistemas Confiables Control de Acceso a Datos El

2 Firewalls Son un medio efectivo de protección de sistemas o redes locales contra amenazas de sistemas de redes amplias como WAN s o el InterNet. 3 Principios del Diseño o de Firewalls Los sistemas de información han evolucionado considerablemente (de redes locales pequeñas a la interconectividad con InterNet) La Seguridad eficiente no ha sido implementeda para todas las estaciones de trabajo ni servidores. 4 2

3 Principios del Diseño o de Firewalls Los sistemas de información han evolucionado considerablemente

3 Principios del Diseño o de Firewalls El Firewall es colocado entre la red local y el InterNet. Finalidades: Establecer un enlace controlado Proteger las redes locales de ataques generados en el InterNet Proveer de un solo punto de protección 5 Características de los Firewall Metas de Diseño: Todo el tráfico de adentro hacia afuera debe pasar por el firewall (bloqueando físicamente todo el acceso al exterior según el firewall) Solo al tráfico autorizado (definido por una política de seguridad local) se le permitirá pasar 6 3

de protección 5 Características de los Firewall Metas de Diseño: Todo el tráfico de adentro hacia afuera debe pasar por el firewall

4 Características de los Firewall Metas de Diseño: El firewall por si mismo es inmune a penetración (el uso de un sistema confiable con un sistema operativo seguro) 7 Características de los Firewall Cuatro Técnicas Generales: Control de Servicios Determina el tipo de servicios de InterNet que pueden ser accesados hacia adentro o hacia afuera Control de dirección Determina en que dirección a cada servicio en particular se le permite circular 8 4

Control de Servicios Determina el tipo de servicios de InterNet que pueden ser accesados hacia adentro o hacia

5 Características de los Firewall Control de Usuarios Se implementan controles de acceso a un servicio de acuerdo al usuario que esta tratando de accesarlo Control de comportamiento Controla como son utilizados cada servicio en particular (por ejemplo: filtrado de correo electrónico) 9 Tipos de Firewalls Existen tres tipos comunes de Firewalls: Ruteadores filtradores de paquetes Gateways a nivel de aplicación Gateways a nivel de circuitería 10 5

en particular (por ejemplo: filtrado de correo electrónico) 9 Tipos de Firewalls Existen tres tipos comunes de

6 Tipos de Firewalls Ruteadores filtradores de paquetes 11 Tipos de Firewalls Ruteadores filtradores de paquetes Aplican un conjunto de reglas a cada paquete IP entrante y luego lo reenvia o lo descarta según las reglas Filtra los paquetes que viajan en ambas direcciones El Filtrode paquetesesconfiguradotipicamentecomo una lista de reglas basadas en campos del encabezado IP o del encabezado TCP Dos políticas por omisión (descartar o reenviar) 12 6

Filtra los paquetes que viajan en ambas direcciones El Filtrode paquetesesconfiguradotipicamentecomo una lista

7 Tipos de Firewalls Ventajas: Simplicidad Transparente a los usuarios Alta velocidad Desventajas: Dificultad para configurar las reglas de filtrado de paquetes Falta de autentificación 13 Tipos de Firewalls Posibles ataques y medidas para prevenirlos Espionaje de direcciones IP Ataques a la fuente de ruteo Ataques en pequeños fragmentos 14 7

autentificación 13 Tipos de Firewalls Posibles ataques y medidas para prevenirlos

8 Tipos de Firewalls Gateway a nivel de aplicación 15 Tipos de Firewalls Gateway a nivel de aplicación Mejores conocidos como servidores Proxy Actua como un repetidor de trafico a nivel de aplicación 16 8

como un repetidor de trafico a nivel de aplicación

9 Tipos de Firewalls Ventajas: Mayor seguridad que los filtros de paquetes Solo necesitan revisar algunas aplicaciones permisibles Facil de registrar y auditar todo el trafico entrante Desventajas: Agregan encabezado adicional a cada conexión 17 Tipos de Firewalls Gateway a nivel de circuitería 18 9

y auditar todo el trafico entrante Desventajas: Agregan encabezado

10 Tipos de Firewalls Gateways a nivel de circuitería Sistema dedicado o Función especializada desempeñada por un Gateway a nivel de aplicación Establece dos conexiones TCP El gateway típicamente conmuta segmentos de una conexión hacia otra sin examinar su contenido. 19 Tipos de Firewalls Gateways a nivel de circuitería La función se seguridad consiste en determinar que conexiones serán permitidas Se utiliza típicamente en situaciones donde el administrador confía en los usuarios internos 20 10

11 Tipos de Firewalls Host Bastión Un sistema identificado por el administrador del firewall como un punto crítico en la seguridad de la red El host bastión sirve como plataforma para un gateway de nivel de aplicación o de nivel de circuitería 21 Configuraciones de Firewalls Adicionalmente al uso de una configuración simple utilizando un solo sistema (un solo ruteador filtrador de paquetes o un solo gateway), existen configuraciones más complejas Tres tipos de configuraciones 22 11

circuitería 21 Configuraciones de Firewalls Adicionalmente al uso de una configuración simple utilizando un solo sistema

12 Configuraciones de Firewalls Sistema Firewall con un Host Bastión 23 Configuraciones de Firewalls Consta de dos sistemas: Un ruteador filtrador de paquetes Un host Bastión 24 12

13 Configuraciones de Firewalls Configuración para el ruteador filtrador de paquetes: Solo a los paquetes desde o hacia el Host Bastión se les permite pasar a través del ruteador El Host Bastión desempeña funciones de autentificación y de proxy 25 Configuraciones de Firewalls Mayor seguridad que en configuraciones simples por dos razones: Esta configuración implementa tanto filtrado a nivel de paquetes como a nivel de aplicación (permitiendo flexibilidad para definir políticas de seguridad) Se obliga al intruso a penetrar dos sistemas separados 26 13

Mayor seguridad que en configuraciones simples por dos razones: Esta configuración implementa tanto filtrado a nivel de paquetes como a

14 Configuraciones de Firewalls Esta configuración tambien permite la posibilidad de proveer acceso directo a InterNet (servidores públicos de información, por ejemplo: servidor Web) 27 Configuraciones de Firewalls Sistema Firewall de Host Bastión dual 28 14

públicos de información, por ejemplo: servidor Web) 27

15 Configuraciones de Firewalls Sistema Firewall de Host Bastión dual El ruteador filtrador de paquetes no se encuentra comprometido en su totalidad. El Tráfico entre el Internet y la estaciones en la red privada tiene que fluir a través del host bastión. 29 Configuraciones de Firewalls Sistema Firewall para filtrado de subred 30 15

El Tráfico entre el Internet y la estaciones en la red privada tiene que fluir a

16 Configuraciones de Firewalls Sistema Firewall para filtrado de subred La configuración más segura de las tres Se utilizan dos ruteadores filtradores de paquetes Se crea una subred aislada 31 Configuraciones de Firewalls Ventajas: Tres niveles de defensa contra intrusos El ruteador externo unicamente informa de la existencia de una red protegida al InterNet (la red interna es invisible para el InterNet) 32 16

Configuraciones de Firewalls Ventajas: Tres niveles de defensa contra intrusos El ruteador externo

17 Configuraciones de Firewalls Ventajas: El ruteador interno informa acerca de la existencia de la red protegida a la red interna (los sistemas en la red interna no pueden contruir rutas directas hacia el InterNet) 33 Sistemas Confiables (Trusted Systems) Una manera de mejorar la capacidad que tiene un sistema de defenderse contra intrusos y programas maliciosos es el implementar la tecnología de sistemas confiables 34 17

InterNet) 33 Sistemas Confiables (Trusted Systems) Una manera de mejorar la capacidad que tiene un

18 Control de Acceso a Datos Por medio del procedimiento de control de acceso de usuarios (login) un usuario puede ser identificado por el sistema Asociado a cada usuario, puede haber un perfil que especifique las operaciones permitidas y los accesos a archivos El sistema operativo puede aplicar reglas basadas en el perfil de usuario 35 Control de Acceso a Datos Modelos generales de control de accesos: Matriz de accesos Lista de control de accesos Lista de capacidades 36 18

y los accesos a archivos El sistema operativo puede aplicar reglas basadas en el perfil de usuario 35 Control de

19 Control de Acceso a Datos Matriz de accesos 37 Control de Acceso a Datos Matriz de accesos: Elementos básicos del modelo Sujeto: Una entidad capaz de accesar objetos, el concepto de sujeto corresponde al de proceso Objeto: Cualquier cosa que tiene acceso controlado (por ejemplo: archivos, programas) Derechos: La manera en la cual un objeto es accesado por un sujeto (por ejemplo: lectura, escritura y ejecución) 38 19

proceso Objeto: Cualquier cosa que tiene acceso controlado (por ejemplo: archivos, programas) Derechos:

20 Control de Acceso a Datos Lista de control de accesos: Descomposición de la matriz en columnas 39 Control de Acceso a Datos Lista de control de accesos Una lista de control de accesos enlista a los usuarios y sus derechos permitidos La lista puede contener derechos por omisión 40 20

de accesos Una lista de control de accesos enlista a los usuarios y

21 Control de Acceso a Datos Lista de capacidades: Descomposición de la matriz en renglones 41 Control de Acceso a Datos Lista de capacidades Un boleto de capacidad especifica objetos y operaciones autorizadas para un usuario Cada usuario tienen un número de boletos 42 21

22 Concepto de Sistemas Confiables Sistemas Confiables Protección de información y recursos basándose en niveles de seguridad A losusuariosse les puedeconceder accesoa ciertas categorias de la información 43 Concepto de Sistemas Confiables Seguridad multinivel Definición de categorías múltiples de información Un sistema de seguridad multinivel debe de asegurarse que: Un sujeto solo pueda leer un objeto de menor o igual nivel de seguridad Un sujeto solo puede escribir a un objeto de mayor o igual nivel de seguridad 44 22

23 Concepto de Sistemas Confiables Monitor de Referencia: Seguridad Multinivel para un sistema de Procesamiento de Datos 45 Concepto de Sistemas Confiables 46 23

24 Concepto de Sistemas Confiables Monitor de Referencia Elemento de Control en el hardware y en el Sistema Operativo de una computadora que regula el acceso de sujetos hacia objetos en base a parámetros El monitor tiene acceso a un archivo (kernel de la base de datos de seguridad) El monitor aplica las reglas de seguridad 47 Concepto de Sistemas Confiables Propiedades del Monitor de Referencia Mediación Completa: Las reglas de seguridad son aplicadasen todosy cadaunode los accesos Aislamiento: El monitor de refecencia y la base de datos son protegidos de modificaciones no autorizadas Verificabilidad: La veracidad del monitor de referencia debe de ser comprobable matemáticamente 48 24

25 Concepto de Sistemas Confiables A un sistema que puede proveer de tales verificaciones se le conoce como Sistema Confiable 49 Protección n contra Caballos de Troya Secure, trusted operating systems are one way to secure against Trojan Horse attacks 50 25

26 Trojan Horse Defense 51 Trojan Horse Defense 52 26

27 Recommended Reading Chapman, D., and Zwicky, E. Building Internet Firewalls. O Reilly, 1995 Cheswick, W., and Bellovin, S. Firewalls and Internet Security: Repelling the Wily Hacker. Addison-Wesley, 2000 Gasser, M. Building a Secure Computer System. Reinhold, 1988 Pfleeger, C. Security in Computing. Prentice Hall,

Documentos relacionados

Criptografía y Seguridad de Datos Protección de redes: Cortafuegos

Criptografía y Seguridad de Datos Protección de redes: Cortafuegos Carlos Figueira. Carlos Figueira. Universidad Simón Bolívar Basado en láminas del Profesor Henric Johnson (http://www.its.bth.se/staff/hjo/