Funciones Avanzadas de los Firewalls. Ing. Camilo Zapata Universidad de Antioquia

Transcripción

1 Funciones Avanzadas de los Firewalls. Ing. Camilo Zapata Universidad de Antioquia

2 Con el tiempo a los firewalls se les ha agregado mas características: Autenticación de Usuarios VPN Protección Antivirus/AntiSpam NAT Alta Disponibilidad (HA) Antes, estas características las proporcionaban dispositivos adicionales conectados en serie o en paralelo

3 Autenticación y Autorización El proceso de controlar de forma segura y realizar un seguimiento del acceso a los recursos se conoce como AAA. Autenticación Autorización Accounting

4 La autenticación es el proceso de validar la identidad de un usuario determinado. Existen tres métodos para autenticar a las personas: Por lo que saben Por lo que poseen Por lo que son Se pueden combinar con el fin de aumentar la seguridad!

5 Hay varios métodos para controlar la información de la autenticación: Base de Datos Local Base de Datos Común

6 Una vez autenticados, los usuarios han de ser autorizados para tener acceso a los recursos. En los firewalls, la autorización incluiría el acceso a ciertos host, servicios o recursos. La autorización se controla mediante unas reglas de seguridad o listas de control de acceso: Son una lista que identifica los diferentes tipos de tráfico y como se debería proceder con este.

7 Traducción de Direcciones de Red NAT está diseñada para conservar las direcciones IP y permitir que las redes utilicen direcciones IP privadas en las redes internas. Estas direcciones privadas e internas se convierten en direcciones públicas enrutables. Un dispositivo con características NAT opera habitualmente en el BORDE de una red de CONEXION UNICA.

8 NAT es el proceso de manipulación de direcciones en la cabecera IP para que alguna(s) de su(s) direccion(es) se sustituya por otra dirección IP. Este proceso incrementa la privacidad de la Red ocultando las direcciones IP internas de las Redes externas.

9 Direccionamiento Privado. CLASE A INTERVALO PREFIJO /8 B /12 C /16

10 Características NAT puede funcionar de forma estática y dinámica. LA Estática está diseñada para permitir asignación de direcciones uno a uno. La Dinámica está diseñada para asignar una dirección IP No Registrada a otra que si lo está de un grupo de direcciones IP.

11 Ventajas. Protege la seguridad de la red. Elimina la reasignación de una nueva dirección IP a cada host cuando se cambia a un nuevo ISP. Conserva las direcciones mediante la multiplexión a nivel de puerto de la aplicación.

12 Desventajas. Pérdida en la funcionalidad. NAT aumenta el retardo. Es posible que se comprometa el desempeño. Pérdida de la posibilidad de rastreo IP de extremo a extremo.

13 Configuracion NAT. Existen tres modos de configuración NAT: Estática. Dinámica. Sobrecarga (PAT).

14 NAT Estático. La conversión estática se produce cuando se configuran direcciones IP específicamente en una tabla de búsqueda.

15 Servidor Web LAN /8 Router Router

16 Servidor Web < > < > < > LAN /8 Router Router

17 Servidor Web < > < > < > LAN /8 Router Router IP_O: IP_D:

18 Servidor Web < > < > < > IP_O: IP_D: LAN /8 Router Router

19 NAT Dinámico. Con la NAT dinámica NO EXISTEN conversiones en la tabla NAT hasta que el router recibe el tráfico que necesita de la conversión.

20 Servidor Web LAN /8 Router Router Servidor Web

21 Servidor Web LAN /8 Router Router Servidor Web IP_O: IP_D:

22 Servidor Web < > LAN /8 Router Router Servidor Web

23 Servidor Web < > IP_O: IP_D: LAN /8 Router Router Servidor Web

24 Sobrecarga NAT. Es la sobrecarga de una dirección IP, el router NAT mantiene el control de las diferentes conversaciones asociando números de puertos en la tabla de conversión.

25 Servidor Web Servidor Web LAN /8 Router Router

26 Servidor Web Servidor Web LAN /8 IP_O: :2000 IP_D: :80 Router Router

27 Servidor Web Servidor Web LAN /8 IP_O: :3000 IP_D: :80 Router Router

28 Servidor Web :2000 < > : :3000 < > :3000 Servidor Web LAN /8 Router Router

29 Servidor Web :2000 < > : :3000 < > :3000 IP_O: :3000 IP_D: :80 Servidor Web LAN /8 Router Router IP_O: :2000 IP_D: :80 2 4

30 Cifrado Un método de comunicación secreto es necesario si se pretende que el mensaje sea privado. Esto implica un proceso de descifrado del mensaje con información pre establecida, conocida como clave (key). Solo quien conozca la clave podrá codificar y/o descodificar el mensaje.

31 El cifrado (criptografía) es el proceso de codificación de datos: Para proteger la identidad de un usuario o impedir que se lean los datos. Para impedir que se modifiquen los datos. Para comprobar que los datos proceden de un usuario en particular. El cifrado(criptografía) puede ser: Simétrico. Asimétrico.

32 Cifrado Simétrico. Un esquema de cifrado simétrico tiene cinco componentes: Texto claro. Algoritmo de cifrado. Clave secreta. Texto cifrado. Algoritmo de descrifrado.

33 Cifrado Simétrico. Clave Secreta: K Clave Secreta: K Texto plano: m Texto cifrado: K(m) Texto cifrado Texto plano: m Algoritmo de Cifrado Algoritmo de Descifrado

34 Cifrado Simétrico. Es rápido y eficiente. Utiliza una clave para: Cifrar los datos. Descifrar los datos.

35 Algoritmos de cifrado simétrico. DES 3DES AES

36 Cifrado Asimétrico Un esquema de cifrado de clave pública tiene 6 componentes: Texto claro. Algoritmo de cifrado. Clave pública Clave privada. Texto cifrado Algoritmo de descifrado.

37 Cifrado Asimétrico. CLAVE PUBLICA DE ANA: K + A CLAVE PRIVADA DE ANA: K A

38 Cifrado Asimétrico Clave Pública de Ana Clave Privada de Ana Texto plano Texto plano Texto cifrado Algoritmo de Cifrado Algoritmo de Descifrado

39 Cifrado Asimétrico Es más seguro que el cifrado simétrico. Es más lento que el cifrado simétrico. Utiliza dos claves relacionadas matemáticamente. Clave pública para cifrar los datos. Clave privada para descifrar los datos.

40 Algoritmos de cifrado asimétrico. RSA Diffie Hellman

41 Un esquema de cifrado es computacionalmente seguro si el texto cifrado generado cumple uno o los dos criterios siguientes: El coste de romper el cifrado excede el valor de la información cifrada. El tiempo necesario para romper el cifrado excede el tiempo de vida útil de la información.

42 Aplicaciones Certificados Digitales. Firmas Digitales. Correo Electronico: PGP. S/MIME Aplicaciones de autenticacion: Kerberos. X.509

43 Autenticación. Es el proceso de probar la identidad propia ante otra persona. Se autentica a una parte viva en el instante de tiempo en el que se esta produciendo la comunicación. Un protocolo autenticacion debe ejecutarse antes de que las partes en comunicación ejecuten cualquier otro protocolo. El protocolo de autenticación establece antes que nada las identidades de las dos partes!!!

44 Ana Jose Soy Ana!! Intrusa Ana Jose Soy Ana!! Intrusa

45 Ana Jose Soy Ana!! R K A (R) Jose calcula K + A (K (R)) = R. A Jose autentico a Ana!!!

46 Firmas Digitales En un mundo digital, a veces se desea indicar quién es el autor o creador de un documento o para estar de acuerdo con el contenido de un documento. Para esto se utilizan las firmas digitales.

47 Firmas Digitales Clave Pública de Ana: K + A Clave Privada de Ana: K A Texto plano: m Texto cifrado: K A (m) Texto cifrado Texto plano: m Algoritmo de Descifrado Algoritmo de Cifrado Ana simplemente utiliza su clave privada!!!

48 Certificados Digitales Es posible el siguiente escenario? Intrusa Jose Soy Ana!! R K I (R) Jose calcula K + I (K (R)) = R. I Jose autentico a Ana!!!

49 Certificados Digitales. Se necesita un intermediario de confianza Dicho intermediario se conoce como Autoridad Certificadora (CA). Una de las principales características de la criptografía de clave pública es que resulta posible que dos entidades intercambien mensajes secretos sin haber intercambiado previamente sus claves secretas.

50 Clave Privada de CA: K CA Jose (K + J Jose) Autoridad Certificadora Certificado de Jose firmado por la CA, el cual contiene la clave publica de Jose, K + J

51 Redes Privadas Virtuales Hasta hace poco las empresas arrendaban enlaces punto a punto o Frame Relay para conectarse a lugares remotos. Una VPN proporciona un método para crear una conexión virtual segura entre diferentes sitios. Los firewalls que implementan la VPN pueden proteger el trafico entre sitios utilizando algoritmos hash para autenticar el trafico y el cifrado para evitar las escuchas

52 Modos VPN Modo Tunel: El paquete original esta cifrado y encapsulado con un nuevo encabezado IP que contiene las direcciones IP de los firewalls Modo Transporte: Preserva el encabezado original Solo cifra la carga util

53 Modos de Empleo: Modo Transporte: Proporciona una protección a los protocolos de nivel superior. Utilizado para comunicaciones host to host Modo Tunel: Proporciona protección a todo el paquete IP. El paquete IP original es encapsulado y el paquete nuevo tiene diferentes direcciones IP origen y destino Utilizado para comunicaciones: Host to Lan Lan to Lan

54 Tipos de VPN's. De acceso remoto. Host to Lan Host to Host Lan to Lan Intranet. Extranet.

55 Ventajas. Privacidad a múltiples aplicaciones TCP/IP. Reducción de costos. Control. Seguridad. Velocidad.

56 Antes de permitir a un usuario acceder a la red privada es necesario tomar precauciones para asegurar: autenticidad. integridad de los datos. cifrado.

57 Para la Autenticación: MAC HMAC Para la integridad de los datos: MD5 SHA Para la cifrado se puede utilizar: Clave Secreta. Clave Pública

58 IPSec Es una familia de protocolos, algoritmos de cifrado y técnicas de hash utilizado para implementar VPN. Para que IPSec establezca comunicaciones tiene que existir una Asociación de Seguridad (AS): Direcciones Protocolos Parámetros de Seguridad Método de creación e intercambio de claves

59 IPSec ofrece una versión segura de IP. La seguridad significa dos cosas: Autenticación. Cifrado. IPSec utiliza ESP para cifrar y AH para autenticar. Tanto ESP y AH dependen de SA.

60 SA y SP Las Asociaciones de Seguridad dependen de: Origen Destino Instrucción Las Asociaciones de Seguridad son SIMETRICAS. Las Asociaciones de Seguridad definen el cómo Las Politicas de Seguridad definen el qué

61 Administración de las claves. Intercambio manual de claves. Intercambio de clave secreto. Diffie Hellman Intercambio de clave público. CA

62 IKE. Es un protocolo utilizado por IPSec para el intercambio de claves. Elimina la necesidad de especificar manualmente todos los parámetros de seguridad IPSec. Permite que los administradores especifiquen un tiempo de vida para las asociaciones de seguridad.

63 IPSec ESTRUCTURA IPSec Posibilidades Protocolo IPSec ESP ESP +AH Encripcion DES 3DES AES Autenticacion MD5 SHA Diffie Hellman DH1 DH2 DH5

64 Supervisión de la Red Accounting La mayoría de los fabricantes tienen algún método para recopilar la información. Antes de Habilitar el Accounting deberá tener en cuenta: Cómo se recopilan los datos? Donde se almacenan? Durante cuanto tiempo se almacenan? Que información recopila? Quien tiene acceso a esta información?

65 Protección contra Virus y Spam En la actualidad, se implementa como un módulo que se conecta a un proveedor de software de Seguridad (Antivirus y AntiSpam) para actualizar los motores de escaneo de virus y spam.

66 Disponibilidad Antes de hacer una instalación de cualquier firewall se debería hacer un análisis de costo para determinar las pérdidas reales si los firewalls fallan. La disponibilidad hace referencia a: Información de Estado Alta Disponibilidad Balanceo de Carga

67 Información de Estado Los Routers son dispositivos de Capa 3. Las ACL s pueden examinar la información de capas superiores, pero este no esta siguiendo las sesiones de nivel superior. Los firewalls siguen la información de la sesión que deriva de los niveles superiores del modelo OSI.

68 Cuando se implanta un cluster de firewall que controlaran un mismo conjunto de tráfico, ya sea por migración tras error (Activo Pasivo) o balanceo de carga (Activo Activo) la información de estado debe distribuirse entre estos!

69 Alta Disponibilidad Los firewalls basados en software dependen normalmente de las características de los Sistemas Operativos para proporcionar redundancia. En general los fabricantes tienen su propia solución (protocolo) para implementar esquemas de alta disponibilidad!

70 Balanceo de Carga Los paquetes de una sesión dada, pueden atravesar de forma alternativa diferentes firewalls Se notifica a cada firewall del cluster cuando el primer paquete SYN llega a establecer una sesión y también cuando un paquete FIN llega a cerrarlo

71 Gracias!!!