Firewalls de Internet. Ricardo D. Pantazis

Transcripción

1 Firewalls de Internet Ricardo D. Pantazis

2 Introducción Firewall: sistema que restringe el acceso entre una red protegida e Internet. Nociones de seguridad. Conceptos para construcción de firewalls. 13-nov-03 UCEMA 2

3 Agenda Nociones de seguridad en redes Tecnologías de Firewall Arquitecturas de Firewall Filtrado de paquetes en LINUX Herramientas Referencias 13-nov-03 UCEMA 3

4 Concepto Los firewalls son parte de una estrategia efectiva para resolver el problema de la seguridad en Internet. La mejor solución es a menudo una combinación de tecnologías y depende mucho de las políticas y de los servicios que deben implementarse. 13-nov-03 UCEMA 4

5 Motivación Tratamos de proteger Datos. Recursos. Reputación. Contra ataques de Intrusión. Negación de servicio. Robo de información. 13-nov-03 UCEMA 5

6 Modelos de Seguridad Seguridad por Secreto (oscuridad) Seguridad de Máquinas Seguridad de Redes Por lo general es necesaria una combinación de estos modelos. 13-nov-03 UCEMA 6

7 Etimología En construcción, la palabra firewall denota una pared que evita que el fuego (los peligros de Internet) se propague dentro del edificio (nuestra red interna). En la práctica un firewall es más similar al foso que rodeaba a los castillos medievales: Restringe entradas y salidas a un punto bien controlado. Evita que los atacantes se acerquen a otras defensas. 13-nov-03 UCEMA 7

8 Que puede hacer un Firewall? Foco para decisiones de seguridad. Imponer una política de seguridad. Registrar eficientemente la actividad de Internet. Limitar la exposición ante ataques. 13-nov-03 UCEMA 8

9 Que no puede hacer un Firewall? Proteger contra usuarios maliciosos. Proteger contra conexiones que no pasan por el firewall. Proteger contra nuevas amenazas. Proteger completamente contra virus. Autoconfigurarse correctamente. 13-nov-03 UCEMA 9

10 Desventajas de los Firewalls Interfieren con el uso de Internet. Los problemas que los firewalls no pueden resolver (amenazas internas y conexiones externas que no pasan por el firewall) son más importantes que los problemas que los firewalls pueden resolver. 13-nov-03 UCEMA 10

11 Servicios de Internet World Wide Web (HTTP). Correo Electrónico (SMTP). Transferencia de Archivos (FTP). Acceso remoto (Telnet, SSH). Búsqueda de nombres y direcciones (DNS). Los servicios tienen distintos niveles de seguridad. Pero se pueden usar servicios seguros de manera insegura y viceversa. 13-nov-03 UCEMA 11

12 Estrategias de Seguridad Mínimo privilegio. Defensa en profundidad. Cuello de botella. Eslabón más débil. Política para el caso de fallas. Participación universal. Diversidad de defensas. Simplicidad. 13-nov-03 UCEMA 12

13 Paquetes y Protocolos Para transferir eficientemente la información, la misma debe dividirse en pequeños trozos llamados paquetes. Cada paquete consta de: encabezado cuerpo La comunicación se establece mediante protocolos que se agrupan en capas. 13-nov-03 UCEMA 13

14 Paquetes y Protocolos Las capas de TCP/IP sobre las que se basa Internet son: Capa de Aplicaciones (HTTP, SMTP, FTP) Capa de Transporte (TCP, UDP) Capa de Internet (IP) Capa de Acceso a la Red (Ethernet, ATM) Las capas inferiores encapsulan los paquetes de las capas superiores. 13-nov-03 UCEMA 14

15 Paquetes y Protocolos Encapsulado 13-nov-03 UCEMA 15

16 Paquetes y Protocolos Anatomía de un paquete IP v4 13-nov-03 UCEMA 16

17 Paquetes y Protocolos Fragmentación 13-nov-03 UCEMA 17

18 Paquetes y Protocolos Fragmentación 13-nov-03 UCEMA 18

19 Paquetes y Protocolos TCP TCP es el protocolo más utilizado para brindar servicios de Internet. Provee conexión confiable y bidireccional. Confiable, significa que el destino recibe la información enviada: Completamente. Sin duplicaciones. En el mismo orden en que fue enviada. 13-nov-03 UCEMA 19

20 Paquetes y Protocolos TCP Bidireccional: la misma conexión se usa para pedidos al servidor y para respuestas a los clientes. TCP implica costos de establecimiento y de operación de la conexión. TCP usa números secuenciales para garantizar que los paquetes lleguen en el orden correcto. Opciones TCP (flags) ACK (reconocimiento) SYN (sincronización) URG (urgente) PSH (empujar) RST (restablecer) FIN (terminar) 13-nov-03 UCEMA 20

21 Paquetes y Protocolos TCP - Conexión 13-nov-03 UCEMA 21

22 Paquetes y Protocolos TCP De interés para un firewall son las opciones: ACK: porque permite determinar el inicio de una conexión. RST porque permite interrumpir una conexión sin devolver un mensaje útil al agente externo. 13-nov-03 UCEMA 22

23 Paquetes y Protocolos UDP Mayor eficiencia que TCP porque no garantiza orden de los paquetes. Puede haber paquetes duplicados. La aplicación es responsable de implementar las garantías que UDP no ofrece. 13-nov-03 UCEMA 23

24 Paquetes y Protocolos ICMP Protocolo utilizado para estado de IP y para enviar mensajes de control. Mensajes típicos: Pedido de eco (echo request) Respuesta a eco (echo response) Tiempo excedido Destino no alcanzable. Redirección 13-nov-03 UCEMA 24

25 Ataques basados en detalles de bajo nivel de los protocolos Análisis de puertos (port scanning). Debilidades de la implementación. Intercepción de paquetes. 13-nov-03 UCEMA 25

26 Vocabulario Enrutador (router): dispositivo que permite interconectar distintas redes IP. Máquina (host): computadora conectada a una red. Máquina bastión: computadora altamente segura. PROXY: programa intermediario que comunica a clientes internos con servidores externos. 13-nov-03 UCEMA 26

27 Tecnologías de Firewall 13-nov-03 UCEMA 27

28 Tecnologías de Firewall Filtrado de paquetes. Servicios proxy. Traducción de direcciones (NAT). Redes privadas virtuales (VPN). 13-nov-03 UCEMA 28

29 Tecnologías de Firewall Filtrado de Paquetes Operan en capa IP o de acceso a la red. Por lo general, el enrutador debe decidir en base a la dirección IP de destino. Tablas de ruteo, fijas o protocolo de ruteo. Enrutador: cómo enviar el paquete? Filtro de paquetes: debo enviar el paquete? 13-nov-03 UCEMA 29

30 Tecnologías de Firewall Ventajas: Filtrado de Paquetes Un solo enrutador con filtrado puede proteger toda una red completa. El filtrado simple es muy eficiente. Desventajas: El filtrado reduce la performance del enrutador. Algunas políticas no son fáciles de implementar por enrutadores comunes. 13-nov-03 UCEMA 30

31 Tecnologías de Firewall Sistemas PROXY Idea: proveer acceso a Internet a un gran número de máquinas, a través de pocas máquinas conectadas a Internet. Las máquinas conectadas a Internet actúan como intermediarias (PROXY) para las que no tienen conexión. Operan en la capa de aplicaciones. 13-nov-03 UCEMA 31

32 Tecnologías de Firewall Sistemas PROXY 13-nov-03 UCEMA 32

33 Tecnologías de Firewall Sistemas PROXY Ventajas: Registro eficiente de conexiones Capacidad de filtrado inteligente/caching. Autenticación de usuarios. Protección automática para debilidades en la implementación Desventajas: Demora en disponer del proxy para nuevas aplicaciones. A menudo implican modificaciones a los clientes y las aplicaciones. 13-nov-03 UCEMA 33

34 Tecnologías de Firewall Traducción de direcciones (NAT) 13-nov-03 UCEMA 34

35 Tecnologías de Firewall Traducción de puertos (PAT) 13-nov-03 UCEMA 35

36 Tecnologías de Firewall Traducción de direcciones Ventajas: Impone control sobre conexiones salientes. Oculta la configuración de la red interna. Desventajas: Problemas con direcciones IP embebidas. Interferencia con registro, filtrado de paquetes, sistemas de encriptación y autenticación. 13-nov-03 UCEMA 36

37 Redes Privadas Virtuales VPN Idea: uso de encriptación y control de integridad para poder usar una red pública (Internet) como si fuera privada. Combinar el bajo costo de las redes públicas con la seguridad de las redes privadas. 13-nov-03 UCEMA 37

38 Redes Privadas Virtuales VPN Ventajas: Proveen encriptación global. Permiten utilizar protocolos difíciles de segurizar. Costo Desventajas: Implican conexiones riesgosas a red pública. Extienden la red que debemos proteger. 13-nov-03 UCEMA 38

39 Arquitecturas de Firewall 13-nov-03 UCEMA 39

40 Arquitecturas de Firewall Enrutador con filtrado 13-nov-03 UCEMA 40

41 Arquitecturas de Firewall Máquina con dos interfases 13-nov-03 UCEMA 41

42 Arquitecturas de Firewall Máquina Filtrada 13-nov-03 UCEMA 42

43 Arquitecturas de Firewall Red Filtrada 13-nov-03 UCEMA 43

44 Arquitecturas de Firewall Red Filtrada Separada 13-nov-03 UCEMA 44

45 Diseño de Firewall 13-nov-03 UCEMA 45

46 Diseño de Firewalls Proceso Definir requerimientos. Evaluar productos disponibles Integrar productos seleccionados Requerimientos Servicios que deben ofrecerse. Nivel relativo de seguridad. Nivel de utilización. Confiabilidad 13-nov-03 UCEMA 46

47 Diseño de Firewalls Evaluación de productos disponibles Escalabilidad. Confiabilidad y redundancia. Auditabilidad. Herramientas de manejo y configuración. Flexibilidad. 13-nov-03 UCEMA 47

48 Diseño de Firewalls Integración de productos seleccionados. Implementación de registros (log). Copias de respaldo. Servicios de soporte requeridos (DNS, NTP). Manejo de alarmas. Informes de rutina. 13-nov-03 UCEMA 48

49 Tecnologías de Firewall 13-nov-03 UCEMA 49

50 Filtrado de Paquetes Enrutadores deciden como transmitir los paquetes basados en la dirección de destino y tablas de ruteo. Enrutadores son un cuello de botella. Proteger toda una red desde un único punto. 13-nov-03 UCEMA 50

51 Filtrado de Paquetes Dinámico o con estado 13-nov-03 UCEMA 51

52 Filtrado de Paquetes Configuración Protocolos usualmente bidireccionales. Distinguir entrante y saliente para paquetes y para servicios. Definir postura por omisión (default). Filtrado por interfase. 13-nov-03 UCEMA 52

53 Tecnologías de Firewall Filtrado de Paquetes Características de un filtro de paquetes Performance adecuada. Simple especificación de reglas. Permitir reglas basadas en la información contenida en el paquete y en otra información (por que interfase entra o sale el paquete). Aplicar las reglas en el orden especificado. Capacidad para registrar paquetes aceptados y rechazados. Capacidad de prueba y validación. 13-nov-03 UCEMA 53

54 Filtrado de Paquetes en LINUX 13-nov-03 UCEMA 54

55 netfilter/iptables netfilter: interfase con el núcleo (kernel) del sistema operativo a través de la cual módulos pueden modificar paquetes. iptables: Módulos de núcleo: NAT, registro (log), monitoreo de conexiones. Herramientas de usuario 13-nov-03 UCEMA 55

56 iptables - Reglas Sintaxis: iptables <descripción> <acción> iptables <criteria> <target> Regla: aplicar la acción a los paquetes que se ajustan a la descripción. Paquetes TCP y UDP contienen información de puertos de origen y destino. Paquetes Ethernet contienen direcciones de origen y destino (MAC address). 13-nov-03 UCEMA 56

57 iptables: descripciones (criteria) Interfase de entrada: -i (--in-interface). Interfase de salida: -o (--out-interface). Protocolo: -p (--protocol). Origen: -s (--source) Destino: -d (--destination) Fragmento: -f (--fragment) Puerto de origen: -sport (--source-port) Puerto de destino: -sport (--destination-port) 13-nov-03 UCEMA 57

58 iptables: descripciones (criteria) Opción SYN: --syn. Tipo ICMP: --icmp-type. Dirección MAC: --mac-source. Estado: --state (NEW, ESTABLISHED, RELATED, INVALID) Límite: --limit frecuencia (n/second, n/minute, n/hour). --limit-burst Inversión: signo de admiración! 13-nov-03 UCEMA 58

59 iptables: acciones (targets) ACCEPT: paquete aceptado. DROP: paquete rechazado. QUEUE RETURN: regresar a tabla anterior LOG: registrar paquete MASQUERADE: cambiar dirección 13-nov-03 UCEMA 59

60 iptables esquema simplificado 13-nov-03 UCEMA 60

61 iptables tablas y cadenas 13-nov-03 UCEMA 61

62 iptables políticas La política de una cadena es la acción que debe tomarse cuando ninguna de las otras reglas de la cadena se satisface. Implementa la acción por defecto. iptables P FORWARD DROP indica que los paquetes que no hayan cumplido ninguna de las reglas de la cadena FORWARD deben descartarse. 13-nov-03 UCEMA 62

63 iptables ejemplos de reglas iptables A FORWARD p UDP -sport 137:139 j DROP iptables A FORWARD --in-interface wlan0 \ -m mac mac-source! 1a:2b:3c:4d:5e:6f -j DROP 13-nov-03 UCEMA 63

64 iptables seguimiento de conexiones Una conexión TCP se establece a través de las opciones SYN y ACK (3-way handshake). Pedido de sincronización del cliente. Confirmación y pedido de sincronización del servidor. Confirmación del cliente. Existe un módulo del núcleo que registra estos intercambios y que mantiene el estado de la conexión: NEW, ESTABLISHED, RELATED, INVALID. 13-nov-03 UCEMA 64

65 iptables seguimiento de conexiones Ejemplos Suponiendo de PUB=ppp0 es la interfase de Internet y PRI=eth0 la privada, las siguientes reglas permiten establecer conexiones desde la red privada, pero no desde Internet. Permite además pasar a paquetes que forman parte de conexiones establecidas o relacionadas, y descarta todos los paquetes que no corresponden a conexiones establecidas. iptables A FORWARD m state - state NEW i $PRI j ACCEPT iptables A FORWARD m state - state NEW i $PUB j DROP iptables A FORWARD m state state ESTABLISHED,RELATED -j ACCEPT iptables A FORWARD m state - state INVALID -j DROP 13-nov-03 UCEMA 65

66 iptables - limites Para limitar los paquetes que nuestro servidor de web recibe iptables A INPUT p TCP dport 80 m limit --limit 1/second \ --limit-burst 5 j ACCEPT limita a 5 paquetes durante el primer segundo y luego a 1 paquete por segundo. Para proteger al servidor de excesivos pedidos de sincronización (SYN) iptables A INPUT p TCP syn m! limit --limit 1/second \ --limit-burst 4 j DROP 13-nov-03 UCEMA 66

67 iptables otras cadenas iptables N TCP_CHAIN iptables A FORWARD p tcp j TCP_CHAINS iptables A TCP_CHAIN dport 22 j RETURN iptables A TCP_CHAIN dport 21 j ACCEPT iptables A TCP_CHAIN dport 25 j ACCEPT iptables A TCP_CHAIN dport 80 j ACCEPT iptables A TCP_CHAIN j DROP 13-nov-03 UCEMA 67

68 iptables otras cadenas iptables N SYN_FLOOD iptables A FORWARD p tcp j SYN_FLOODS iptables A SYN_FLOOD m! limit --limit 1/s\ --limit-burst 4 j RETURN iptables A SYN_FLOOD j LOG \ --log-prefix ** SYN FLOOD ** iptables A SYN_FLOOD j DROP 13-nov-03 UCEMA 68

69 iptables - NAT Existen dos tipos de traducciones, Direcciones de origen (SNAT). Direcciones de destino (DNAT). Tabla de NAT tiene tres cadenas: PREROUTING (DNAT) OUTPUT (DNAT) POSTROUTING (SNAT) SNAT: Traducción de direcciones privadas a direcciones públicas de Internet. DNAT: Redirección. 13-nov-03 UCEMA 69

70 iptables SNAT Direcciones IP estáticas iptables t nat A POSTROUTING o $PUB j SNAT to Direcciones IP dinámicas iptables t nat A POSTROUTING o $PUB j MASQUERADE 13-nov-03 UCEMA 70

71 iptables - DNAT iptables t nat A PREROUTING i $PUB \ p tcp d dport 80 \ j DNAT --to # HTTP iptables t nat A PREROUTING i $PUB \ p tcp d dport 25 \ j DNAT --to # SMTP iptables t nat A PREROUTING i $PUB \ p tcp d dport 53 \ j DNAT --to # DNS 13-nov-03 UCEMA 71

72 iptables manejo de reglas Luego del arduo trabajo de configurar correctamente un filtro de paquetes es conveniente almacenar las reglas en un archivo #/sbin/iptables-save > firewall_rules.save #/sbin/iptables -F #/sbin/iptables-restore < firewall_rules.save 13-nov-03 UCEMA 72

73 Herramientas Dada la dificultad en producir un conjunto de reglas coherentes con la política a implementar se recurre a herramientas que facilitan la generación de las reglas. Existen numerosas herramientas con interfases gráficas o de texto. Presentamos algunas a modo de ejemplo. 13-nov-03 UCEMA 73

74 Herramientas nov-03 UCEMA 74

75 Conclusión Fundamentos para construir firewalls de Internet. Entender al firewall como parte de la estrategia de seguridad. Filtros de paquetes en LINUX. Herramientas. 13-nov-03 UCEMA 75

76 Referencias Libros Building Internet Firewalls, Zwicky, Cooper & Chapman, 2nd edition, O Reilly, Firewalls and Internet Security, Cheswick & Bellovin, Addison-Wesley, Internetworking with TCP/IP Volume I: Principles, Protocols and Architecture, 3rd edition, Prentice Hall, Practical UNIX & Internet Security, Garfinkel & Spafford, O Reilly, nov-03 UCEMA 76

77 Referencias Sitios nov-03 UCEMA 77

78 FIN Favor llenar la encuesta. Preguntas? 13-nov-03 UCEMA 78