REDES INTERNAS CORPORATIVAS SEGURAS

Transcripción

1 REDES INTERNAS CORPORATIVAS SEGURAS

2 Redes Internas Corporativas Objetivos: Introducir el concepto de cortafuegos como elemento esencial de seguridad en un red corporativa Analizar las decisiones básicas de diseño de un cortafuegos Estudiar varios ejemplos de cortafuegos ampliamente utilizados Presentar un Sink Hole Router como solución a los ataques por denegación de servicio (DoS*) *DoS: Denial of service)

3 Redes Internas Corporativas Índice: Concepto de Cortafuegos Beneficios y limitaciones de los Cortafuegos Diseño de un Cortafuegos. Ejemplos de Cortafuegos: Encaminador con filtrado de paquetes Encaminador de filtrado de paquetes+pasarela de Nivel de Aplicación Encaminador Externo+pasarela de Nivel de Aplicación+encaminador Interno Ataques por Denegación de servicio (Sink Hole Routers)

4 CORTAFUEGOS DE INTERNET (Internet Firewalls) INTERNET SISTEMA DE CORTAFUEGOS PERÍMETRO DE SEGURIDAD RED CORPORATIVA LÍNEAS DEDICADA OFICINAS REMOTAS MODEMS FRAME RELAY OFICINAS REMOTAS Un cortafuegos es un sistema o conjunto de sistemas que implementa una política de seguridad entre la red de una organización e Internet

5 BENEFICIOS DE LOS CORTAFUEGOS Protege a los sistemas internos de los ataques de otros sistemas de Internet Protege servicios vulnerables Filtra paquetes Es un lugar ideal para: La monitorización del tráfico Situar un NAT (Network Address Translator) Localizar servidores WWW y FTP

6 LIMITACIONES DE LOS CORTAFUEGOS No puede proteger de conexiones a Internet desde dentro de la organización ajenas al propio cortafuegos No pueden proteger de usuarios legítimos o descuidados de la red corporativa No pueden proteger de la transferencia de software o ficheros infectados con virus No puede proteger frente a ataques conducidos por datos

7 DECISIONES DE DISEÑO DE UN CORTAFUEGOS (I) Comportamiento del Cortafuegos Todo lo no específicamente permitido es denegado Todo lo no específicamente denegado es permitido La política de seguridad de la Organización Análisis de las necesidades del negocio y evaluación de riesgos

8 DECISIONES DE DISEÑO DE UN CORTAFUEGOS (II) Coste financiero Sistemas componentes del cortafuegos (uno o más de uno): Encaminador con filtrado de paquetes Pasarela de nivel de aplicación (o servidor proxy) Pasarela de nivel de circuito

9 ENCAMINADOR CON FILTRADO DE PAQUETES (I) El encaminador toma la decisión de permitir o denegar cada datagrama recibido Hay flujo directo de paquetes entre sistemas internos y externos a la organización El encaminador examina la cabecera de cada datagrama y aplica sus reglas de filtrado Las reglas de filtrado se basan en: Las direcciones IP origen y destino Protocolo de encapsulado (TCP, UDP, ICMP..) Puerto TCP/UDP Interfaz entrante /saliente

10 ENCAMINADOR DE FILTRADO DE PAQUETES (II) IP ORIGEN:A.B.C.1 IP DEST.:H.J.K.1 DATOS IP ORIGEN:A.B.C.1 IP DEST.:H.J.K.1 DATOS CONEXIÓN DIRECTA ENCAMINADOR FILTRADO PAQUETES ip:a.b.c.1 ip:a.b.c.3 ip:h.j.k.3 ip:h.j.k.1 IP ORIGEN:H.J.K.1 IP DEST.:A.B.C.1 DATOS IP ORIGEN:H.J.K.1 IP DEST.:A.B.C.1 DATOS

11 BENEFICIOS Y LIMITACIONES DE LOS ENCAMINADORES CON FILTRADO DE PAQUETES VENTAJAS: Transparentes a usuarios y aplicaciones No requiere ni usuarios especializados ni software específico en cada sistema LIMITACIONES: El configurar los filtros puede ser una tarea compleja El rendimiento de un encaminador se degrada al aumentar el número de filtros No proporciona suficiente control sobre el tráfico

12 PASARELA DE NIVEL DE APLICACIÓN ( BASTION HOST ) (I) Permite implantar una política de seguridad más estricta No hay flujo directo de paquetes entre sistemas internos y externos a la organización Un código de propósito especial (servidor Proxy) se encuentra instalado por cada aplicación Cualquier usuario que quiera acceder a un servicio se tiene que conectar primero al servidor proxy Este código es configurado por el Administrador de Red para permitir aquellos aspectos aceptables mientras deniega otros

13 PASARELA DE NIVEL DE APLICACIÓN ( BASTION HOST ) (II) IP ORIGEN:A.B.C.1 IP DEST.:A.B.C.3 DATOS IP ORIGEN:H.J.K.3 IP DEST.:H.J.K.1 DATOS CONEXIÓN INDIRECTA 2 SOCKETS SERVIDOR PROXY ip:a.b.c.1 ip:a.b.c.3 ip:h.j.k.3 ip:h.j.k.1 GATEWAY DE NIVEL DE APLICACIÓN IP ORIGEN:A.B.C.3 IP DEST.:A.B.C.1 DATOS IP ORIGEN:H.J.K.1 IP DEST.:H.J.K.3 DATOS

14 PASARELA DE NIVEL DE APLICACIÓN ( BASTION HOST ) (III) La mejora de seguridad implica: Un incremento en el coste de la plataforma hardware Coste del código del servidor Proxy Decremento del nivel de servicio proporcionado a los usuarios Pérdida de transparencia

15 BENEFICIOS Y LIMITACIONES DE LA PASARELA DE NIVEL DE APLICACIÓN VENTAJAS: El administrador de Red tiene completo control sobre cada servicio Soportan autenticación de usuario Proporcionan log detallados Las reglas de filtrado a nivel de aplicación son más fáciles de configurar y chequear que a nivel de paquete LIMITACIONES: Un software especializado tiene que cargarse en cada sistema para que acceda a los servicios proxy Se establecen dos conexiones hasta llegar al sistema final

16 PASARELA DE NIVEL DE CIRCUITO Es una función especializada que puede ser realizada por una pasarela de nivel de aplicación Simplemente retransmite conexiones TCP sin realizar ningún procesamiento adicional de paquete o filtrado La conexión parece que se origina desde el cortafuegos ocultándose la información de la red protegida

17 Ejemplo 1 Cortafuegos: (I) ENCAMINADOR DE FILTRADO DE PAQUETES SISTEMAS INTERNOS DE LA ORGANIZACIÓN ROUTER DE FILTRADO DE PAQUETES INTERNET RED PRIVADA CORPORATIVA

18 Ejemplo 1 Cortafuegos: (II) ENCAMINADOR DE FILTRADO DE PAQUETES Se trata de un simple encaminador situado entre la red privada y la Internet Reglas de filtrado: Los sistemas de la red Interna tiene acceso a Internet Los sistemas externos tienen limitado el acceso a los sistemas de la red Interna El comportamiento de estos encaminadores es típicamente: todo lo no específicamente permitido es denegado

19 Ejemplo 1 Cortafuegos: (III) ENCAMINADOR DE FILTRADO DE PAQUETES Beneficios Coste reducido Transparente al usuario Limitaciones Exposición a ataques por filtros mal configurados Ataques canalizados a través de servicios permitidos Cada sistema individual de la red privada necesita una sofisticada autenticación de usuarios

20 Ejemplo 2 Cortafuegos: (I) ENCAMINADOR DE FILTRADO DE PAQUETES+PASARELA DE NIVEL DE APLICACIÓN SERVIDORES PROXY SISTEMAS INTERNOS DE LA ORGANIZACIÓN ENCAMINADOR CON FILTRADO DE PAQUETES PASARELA DE NIVEL DE APLICACIÓN INTERNET SERVIDOR DE INFORMACIÓN RED PRIVADA CORPORATIVA

21 Ejemplo 2 Cortafuegos: (II) ENCAMINADOR DE FILTRADO DE PAQUETES+PASARELA DE NIVEL DE APLICACIÓN Mayor nivel de seguridad: Implementa la seguridad a nivel de red (filtrado de paquetes) y a nivel de aplicación (servicios proxy) Un intruso tiene que entrar en dos sistemas para comprometer la seguridad

22 Ejemplo 2 Cortafuegos: (III) ENCAMINADOR DE FILTRADO DE PAQUETES+PASARELA DE NIVEL DE APLICACIÓN Las reglas de filtrado del encaminador están configuradas de modo que: Los sistemas de Internet solo pueden acceder a la P.N.A (Pasarela de Nivel de Aplicación).El tráfico dirigido a otras máquinas está bloqueado Respecto a los sistemas internos: La política de seguridad de la organización determina si se les permite acceder directamente a la Internet o si tienen que usar los servidores proxy de la P.N.A El encaminador puede ser forzado a aceptar solo el tráfico que venga del P.N.A

23 Ejemplo 2 Cortafuegos: (IV) ENCAMINADOR DE FILTRADO DE PAQUETES+PASARELA DE NIVEL DE APLICACIÓN Un servidor público de información puede ser situado en el segmento compartido entre el encaminador y la P.N.A. Si se requiere un nivel moderado de seguridad el router puede ser configurado para permitir acceder a los usuarios externos directamente Si se requiere un mayor de seguridad la P.N.A. puede implementar servicios proxy para que los usuarios externos accedan a la P.N.A. antes de acceder al Servidor de Información

24 Ejemplo 2 Cortafuegos: (V) ENCAMINADOR DE FILTRADO DE PAQUETES+PASARELA DE NIVEL DE APLICACIÓN SERVIDORES PROXY SISTEMAS INTERNOS DE LA ORGANIZACIÓN ENCAMINADOR DE FILTRADO DE PAQUETES PASARELA DE NIVEL DE APLICACIÓN INTERNET SERVIDOR DE INFORMACIÓN RED PRIVADA CORPORATIVA Se puede conseguir un nivel adicional de seguridad usando una PSN dual La topología física fuerza a que todo el tráfico destinado a la red privada pase por la PNA

25 Ejemplo 3 Cortafuegos: (I) ENCAMINADOR EXTERNO+PASARELA DE NIVEL DE APLICACIÓN+ENCAMINADOR INTERNO SERVIDORES PROXY BASE DATOS CORPORATIVA PASARELA DE NIVEL DE APLICACIÓN INTERNET ENCAMINADOR EXTERNO ENCAMINADOR INTERNO RED PRIVADA CORPORATIVA MODEMS SERVIDOR DE INFORMACIÓN ZONA DESMILITARIZADA DMZ (DEMILITARIZED ZONE)

26 Ejemplo 3 Cortafuegos: (II) ENCAMINADOR EXTERNO+PASARELA DE NIVEL DE APLICACIÓN+ENCAMINADOR INTERNO Es el cortafuegos más seguro Soporta seguridad a nivel de red, de aplicación y además protege los sistemas internos de forma más eficiente Se define una zona de la red (DMZ, Demilitarized Zone) donde el Administrador sitúa: La pasarela de Nivel de Aplicación La pila de módems Los servidores de información

27 Ejemplo 3 Cortafuegos: (III) ENCAMINADOR EXTERNO+PASARELA DE NIVEL DE APLICACIÓN+ENCAMINADOR INTERNO La red DMZ es una red pequeña y aislada situada entre la red privada e Internet La red DMZ está configurada de modo que: Los sistemas de Internet y de la red privada pueden acceder a un número limitado de sistemas de la red DMZ La transmisión directa de tráfico a través de la red DMZ está prohibido

28 Ejemplo 3 Cortafuegos: (IV) ENCAMINADOR EXTERNO+PASARELA DE NIVEL DE APLICACIÓN+ENCAMINADOR INTERNO El encaminador externo: Protege de los ataques estándar Está configurado de modo que: Permite que los sistemas externos solo accedan a la P.N.A. (y al Servidor de Información) Respecto al tráfico de salida solo acepta aquél que le llega del PNA El encaminador interno proporciona una segunda línea de defensa: Solo acepta tráfico externo que venga de la P.N.A. Está configurado de modo que: Permite que los sistemas internos solo accedan a la P.N.A. (y al Servidor de Información)

29 Ejemplo 3 Cortafuegos: (V) ENCAMINADOR EXTERNO+PASARELA DE NIVEL DE APLICACIÓN+ENCAMINADOR INTERNO BENEFICIOS Un intruso debe acceder a tres sistemas para entrar en la red privada Los sistemas privados son invisibles a Internet Solo son accesibles los sistemas de la DMZ Los sistemas internos acceden a Internet siempre a través de la P.N.A. Se evita tener una P.N.A. dual

30 CONCLUSIONES No hay una solución única para el diseño e implementación de un cortafuegos La decisión de una organización estará motivada por: La política de seguridad, el coste, las potenciales amenazas etc

31 Ataque por Denegación de Servicio SINK HOLE ROUTERS (I) Tráfico DoS* Tráfico Normal Host Atacante Internet ISP s Edge Router Objetivo Ataque /24 *Denial-Of-Service attack

32 Ataque por Denegación de Servicio SINK HOLE ROUTERS (II) Tráfico DoS* Tráfico Normal Sink Hole Router Host Atacante Internet Objetivo Ataque ISP s Edge Router /24 *Denial-Of-Service attack

33 Ataque por Denegación de Servicio SINK HOLE ROUTERS (III) Sink Hole Network Sink Hole Router Collector Sniffers and Anayzers

34 Ataque por Denegación de Servicio SHINK HOLE ROUTERS (IV)