Tema 41.- Medidas de seguridad en conectividad de redes: Cortafuegos, IDS, IPS, filtro de contenidos.

Transcripción

1 Tema 41.- Medidas de seguridad en conectividad de redes: Cortafuegos, IDS, IPS, filtro de contenidos. Introducción Cortafuegos Firewall Políticas de control de acceso Órganización de una LAN según el nivel de seguridad Sistemas de Detección de Intrusos IDS Sistema de Prevención de Intrusos IPS Filtro por contenidos Clasificación de Páginas Mediante Etiquetas PICS Plataforma para la Selección de Contenidos de Internet Servidores intermediarios... 9 Introducción Las comunicaciones a través de redes de ordenadores suponen un riesgo para los sistemas informáticos conectados a las mismas. El motivo es que las tecnologías de comunicaciones más usadas son inseguras, pues no se tuvieron en cuenta como prioritarios los requisitos de seguridad al diseñarlas. Esta inseguridad aumenta al conectar equipos o redes privadas a Internet dado el carácter público de este medio de comunicación. Es por ello, que se dotan a las conexiones entre redes de comunicaciones de medidas de seguridad para garantizar su seguridad. Los principios que se busca conseguir son: Garantizar la disponibilidad de sus servicios y La integridad y confidencialidad de sus datos El proceso de seguridad en un entorno de redes se puede dividir en tres partes: Prevención/Protección, Detección y Respuesta. Prevención - Protección Detección Reacción En la fase de Prevención/Protección, se implantan los mecanismos que protegen a los sistemas de la organización frente a ataques que puedan producirse. Se basa en una correcta identificación y análisis de riesgos de los activos a proteger. Tras el cual se definen las contramedidas a adoptar para protegerlos. Son las actividades pro-activas, que se realizan para minimizar las probabilidades de que se produzcan incidentes. (Aquí se clasificarían, por ejemplo, los firewall) Página 1 de 9

2 En la fase de Detección de ataques, se despliega las actividades para atajar el nivel de riesgo residual que no pueden rebajar las medidas de protección. Se toman medidas para detectar cuándo las medidas de protección no han sido efectivas. (Aquí se incluirían los IDS) La fase de Reacción, cuando se detecta un ataque se efectúa unas actividades de respuesta al mismo, pudiendo ser de forma automatizada o ser realizado con intervención humana, es decir, de forma manual. Son las actividades re-activas. (Aquí aparecerían los IPS, como un sistema de respuesta automatizada) La frontera entre los IDS e IPS no está clara, pues existen los denominados IDS reactivos que tienen capacidad de reacción. Se suelen diferenciar en que los IDS reactivo actúan tras detectar la intrusión, los IPS son capaces de actuar antes al detectar los indicios de los ataques y prevenir la amenaza. Página 2 de 9

3 1 Cortafuegos Firewall- Un cortafuego es un componente hardware o software de control de las comunicaciones dentro de una red. Impide que las comunicaciones inseguras circulen por la red. Los cortafuegos controlan el tráfico entre diferentes zonas de confianza. Típicamente, las zonas de confianza incluyen Internet, como zona insegura, y la Intranet, como zona segura. En una Intranet compleja, suelen aparecer diferentes subredes con diferentes niveles de seguridad. El conjunto de reglas que utiliza el cortafuegos a la hora de realizar el control de las comunicaciones constituyen las políticas de control de acceso a la red. Además, los cortafuegos pueden realizar actividades de monitorización de la red. Aportan una gran cantidad de información para el administrador del sistema como son el tipo de tráfico que pasa a través de él, su volumen, el número de intentos de conexión desde el exterior, etc. Los cortafuegos se pueden clasificar según el ámbito de uso en: Cortafuegos Personales, una aplicación software que filtra el tráfico que entra o sale de un ordenador. Consumen recursos del ordenador. Cortafuegos de red: Es un equipo localizado en la frontera entre dos o más redes. Controlan el tráfico que pasa a través de él. El cortafuegos puede ejecutarse en un dispositivo de red especializado o sobre un ordenador que haga de puente entre las red. En referencia a la capa TCP/IP donde el tráfico puede ser interceptado, existen dos categorías de cortafuegos. Cortafuegos a nivel de red: El control de tráfico a nivel de red consiste en analizar todos los paquetes que llegan a un interfaz de red, y decidir si se les deja pasar o no en base a la información de sus cabeceras: protocolo, dirección de origen y dirección de destino fundamentalmente. Puesto que analizar esta información es muy sencillo, este tipo de cortafuegos suelen ser muy rápidos. Cortafuegos a nivel de aplicación: el control se hace analizando las comunicaciones a nivel de su contenido. El cortafuego es por tanto mucho más inteligente y posee un control más fino de la comunicación, aunque esto supone una mayor carga de trabajo. Por ejemplo, si se filtra el protocolo smtp, se puede configurar para que impida todos los correos destinados a servidores de correos públicos como Hotmail o gmail. No puede analizar comunicaciones cifradas, como las comunicaciones HTTPS. Página 3 de 9

4 1.1 Políticas de control de acceso Para que el cortafuego sea una herramienta de seguridad eficaz se tiene que establecer una política de control de acceso adecuada a las necesidades del entorno protegido. Por un lado es necesario impedir todas las comunicaciones potencialmente peligrosas dentro de la red, pero un filtrado excesivo puede provocar que servicios de la red no sean operativos. Hay dos políticas básicas en la configuración de un cortafuegos y que cambian radicalmente el paradigma de la seguridad en la organización: Política restrictiva: Se deniega todo el tráfico excepto el que está explícitamente permitido. Se habilita expresamente los servicios que se necesiten. Política permisiva: Se permite todo el tráfico excepto el que esté explícitamente denegado. Cada servicio potencialmente peligroso necesitará ser aislado caso a caso, mientras que el resto del tráfico no será filtrado. La política restrictiva es la más segura, ya que es más difícil permitir por error tráfico potencialmente peligroso, aunque tiene el inconveniente de necesitar un mayor mantenimiento y aumenta la posibilidad de bloquear tráfico legítimo. 1.2 Órganización de una LAN según el nivel de seguridad Con el uso de cortafuegos, es habitual organizar una LAN en dos áreas de seguridad: Área DMZ - Zona Desmilitaritzada : Es una zona de la red que no es parte de la red interna ni de Internet. Típicamente, es un área entre el router de acceso a Internet y el principal firewall de la red que da acceso a la LAN interna. La zona DMZ es una parte de la subred con una política de control de acceso menos estricta. Su finalidad es situar los servidores que son accedidos desde Internet, por ejemplo los servidores web, servidores ftp... Área de la LAN interna: Es la red donde se conectan el resto de equipos de la organización (Equipos de los usuarios, servidores de BBDD, servidores de aplicaciones internas ) El control de acceso en esta parte de la red debe ser más estricto. La arquitectura DMZ más segura utiliza dos niveles de firewalls. El primer nivel realiza un filtrado de las comunicaciones poco estricto, que permita las comunicaciones desde Internet. El interno realiza un filtrado más estricto, evitando que se inicien las comunicaciones desde el exterior. Servidores con acceso desde Internet Equipos internos de la organización INTERNET Firewall Externo DMZ (Zona menos segura) Firewall Interno LAN (Zona segura) Se pueden establecer arquitecturas con un sólo firewall con tres puertos, al cual se conectan las tres redes y se establecen filtros diferentes para la red DMZ y la LAN Interna. Esta arquitectura es más simple, pero más insegura. Un error en la configuración podría permitir accesos inseguros a la LAN interna. Página 4 de 9

5 2 Sistemas de Detección de Intrusos IDS Un Sistema de detección de Intrusiones IDS, es cualquier sistema hardware o software encargado de detectar la intrusión o intento de intrusión en un sistema informático o red de comunicaciones. Una intrusión es una acceso no autorizado a un equipo o a una red de una organización que supone una amenaza a la seguridad. Funcionamiento Los IDS monitorean y analizan constantemente las comunicaciones de una red en busca de actividades sospechosas, como señales de rastreos de puertos abiertos o paquetes malformados, etc. Cuando se detecta una intrusión, el IDS reacciona. Generalmente la reacción es enviar una alerta a los administradores de la red y recoger la información más relevante sobre la intrusión. El funcionamiento de los IDS se basa en el análisis del tráfico de red. Los IDS se componen de sensores virtuales, como sniffers, que capturan el tráfico para analizarlo y compruebar el tipo de tráfico que es, su contenido y su comportamiento. Para detectar las intrusiones suelen disponer de una base de datos de firmas de ataques conocidos. Dichas firmas permiten al IDS distinguir entre el tráfico normal de la red y el tráfico que puede ser resultado de un ataque o intento del mismo. Existen tres tipos de sistemas de detección de intrusos: 1. HIDS (HostIDS): un IDS que vigila un único equipo y por tanto su interfaz corre en modo no promiscuo. La ventaja es que la carga de procesado es mucho menor. 2. NIDS (NetworkIDS): un IDS conectado a una red, detectando intrusiones en todo un segmento de la red. Su interfaz debe funcionar en modo promiscuo capturando así todo el tráfico de la red. Puede estar instalado en uno de los equipos del segmento de red o en un equipo de la red como un hub o switch. 3. DIDS (DistributedIDS): sistema basado en la arquitectura cliente-servidor compuesto por una serie de NIDS (IDS de redes) que actúan como sensores que envían la información de posibles ataques en una unidad central que controla toda la red de forma centralizada. La ventaja es que en cada NIDS se puede fijar unas reglas de control especializándose para cada segmento de red. Pueden vigilar toda una red LAN compleja de forma centralizada. Según su reacción ante la detección de una intrusión los IDS se clasifican en dos tipos: Reactivos: En un sistema reactivo, el IDS responde a la actividad sospechosa reprogramando el cortafuegos para que bloquee tráfico que proviene del atacante. Actualmente, los fabricantes IDS reactivos los suelen denominar IPS. Pasivos: Los IDS pasivos, al detectar una intrusión, almacena la información y manda una señal de alerta. Según el tipo de amenaza, se informa con más o menos urgencia a los administradores de la red. Página 5 de 9

6 El IDS es incapaz de detener los ataques por sí solo, excepto los que trabajan conjuntamente con un cortafuego. Los IDS suelen almacenar información de las intrusiones detectadas y copia de los paquetes afectados. Esto permite a los administradores de la red realizar un análisis forense del ataque. La implementación de un IDS puede ser hardware, software o una combinación de ambas. Los IDS hardware son equipos especializados conectados a la red, capaces de controlar una red con mucho tráfico. Los IDS software son aplicaciones ejecutados en un equipo de la red. Es una solución barata, pero tiene el inconveniente de que si tienen que analizar mucho tráfico, pueden sobrecargar el equipo donde se ejecutan. Un IDS conocido es la aplicación Snort (Software GPL). Consiste en un IDS de red (NIDS) que se compone de un sniffer para la captura de los paquetes de las comunicaciones, un núcleo capaz de analizar los paquetes buscando patrones de intrusiones, almacén de la información en log de texto o BBDD MySQL y posibilidad de integración con herramientas de generación de informes en tiempo real. Página 6 de 9

7 3 Sistema de Prevención de Intrusos IPS Los sistemas IPS se pueden considerar una evolución de los sistemas IDS. Su funcionamiento es similar y se diferencian en que tienen un comportamiento más proactivo. Los sistemas IDS reactivos sólo actúan cuando surge una intrusión, para minimizar su impacto. En cambio, los IPS, además de detectar intrusiones, analizan el comportamiento de las comunicaciones. Según su comportamiento van ajustando las restricciones y filtros de los sistemas de seguridad, como los cortafuegos, para prevenir las intrusiones. La mayoría de intrusiones se realizan utilizando programas que permiten automatizar las acciones necesarias para la intrusión en un sistema informático. Estos programas, previamente realizan actividades para obtener información del sistema a atacar. Los IPS son capaces de detectar las acciones de toma de información y reaccionar para prevenir el ataque. Los sistemas IPS realizan un análisis amplio de las comunicaciones, trabajan a nivel multicapa (Aplicación y red). Identifican el tipo de servicio al que acceden las comunicaciones y vigilan que estas sigan sus normas. Por ejemplo, son capaces de detectar un ataque DoS al detectar un volumen anormal de tráfico de un mismo origen sobre un equipo en particular. Los sistemas de IPS pueden combinan las funciones de seguridad preventiva, IDS, antivirus, filtrado de contenidos Sus objetivos son: Aumentar la capacidad de resistencia ante los ataques, actuando antes de que se produzcan (Actividades pro-activas) Actuar cuando detecte una intrusión. De dos formas: o Avisando a los administradores de la red o Activando automáticamente los mecanismos de defensa Reducir el número de alarmas falsas, frecuentes en los sistemas IDS. Evitar los falsos positivos, es decir, bloquear tráfico legítimo al confundirlo con tráfico de riesgo. Este es uno de sus principales inconvenientes de los IPS actuales. Como en el caso de IDS, podemos encontrar dos tipos de IPS según su localización en la red: Host IPS: IPS software localizado en los servidores u otros equipos críticos. Proveen una protección más específica y son capaces de analizar las comunicaciones cifradas. Como inconveniente tiene que consumen recursos del equipo al que protegen. (Por ejemplo, en un proxy de acceso a Internet) Network IPS y IPS distribuidos: Equipos hardware con funciones de IPS. Analizan el tráfico que circula por la red. Tiene problemas para analizar las comunicaciones cifradas. Como los IDS también hay IPS distribuidos que permiten una administración centralizada. Página 7 de 9

8 4 Filtro por contenidos El filtro de contenidos, o software de control de contenidos, es el software especializado en monitorizar y filtrar la información transmitida a través de la red, especialmente utilizando el servicio web. El filtro de contenidos determina que contenido estará disponible para una determinada máquina o red. La finalidad es prevenir la visualización de contenidos que el propietario del ordenador considera prohibidos. El uso común es el control de lo que ven los niños por Internet, en sus casas y colegios, o lo que ven empleados mientras trabajan. Frecuentemente se restringen las páginas web que contienen: Contenidos considerados ilegales Contenidos sexuales, pornografía y cualquier materia considerada no apta para menores. Materias no relacionadas con las funciones del estudiante o trabajador que utiliza el ordenador. El software de filtrado de contenidos puede estar localizado en: Cada ordenador personal. Filtra los contenidos que se visualizan en ese ordenador. Permite que las reglas de filtrados se personalicen para cada usuario o programa. En el servidor de enlace a Internet (router o proxy). Filtra los contenidos para toda la red. La capacidad de personalizar los filtros es menor, pero en cambio su mantenimiento es más sencillo. No puede analizar los contenidos encriptados. Los métodos de filtrado utilizado son: Listas positivas y negativas: Se basa en la creación de listas de páginas, normalmente se parte de una lista predeterminada de páginas prohibidas (el programa no permite el acceso a las páginas que están incluidas en esta lista) o de una lista positiva (sólo se permite el acceso a páginas que estén incluidas en esta lista). Bloqueo de palabras clave: utilizan ciertas palabras para bloquear el acceso a páginas que contengan dichas palabras. Puede dar lugar a bloquear páginas legítimas. Es muy usado en los sistemas anti-spam del correo electrónico. Control horario: El software impide el acceso a los contenidos de Internet en determinadas franjas horarias. Auditoría: recogen información sobre el tiempo que pasan los usuarios en Internet y las páginas que visitan. Página 8 de 9

9 4.1 Clasificación de Páginas Mediante Etiquetas PICS Plataforma para la Selección de Contenidos de Internet- El filtrado de contenidos tiene actualmente especial importancia en el control de los contenidos a los que acceden los menores de edad, a través de la web. Es por ello que la W3C ha desarrollado unas nuevas especificaciones de etiquetas de metadatos para clasificar el contenido web. Estas etiquetas pueden venir incluidas dentro del código xhtml o suministradas de forma externa por servidores independientes. El software de filtrado utiliza la información de las etiquetas para determinar si los contenidos son aceptables o no. Los principales navegadores web tienen la opción de filtrar las páginas web utilizando las etiquetas PICS. PICS describe dos métodos de clasificación de los contenidos: La autoclasificación por los propios creadores de las páginas web. Se insertan las etiquetas PIC como metadatos de la web. Clasificación por terceros, asociaciones de padres, profesores - la clasificación en estos casos se obtiene de forma externa, desde servidores independientes a los servidores origen de la web. Para que este método funcione, tiene que haber un gran porcentaje de páginas clasificadas, cosa que no ocurre actualmente. 5 Servidores intermediarios Los servidores intermediarios, también conocidos como Proxies, es un componente de la red que hace de enlace el tráfico entre una red privada e Internet. Proporciona un acceso indirecto a la red de Internet. Trabaja al nivel de aplicación según el modelo de comunicaciones OSI. Los proxies pueden realizar funciones de seguridad como: Funciones de autentificación. Los equipos de la red deben autentificarse ante el servidor proxy para poder acceder a Internet. Funciones de cortafuego, pueden configurarse para proporcionar mecanismos de seguridad específicos para cada protocolo. Por ejemplo, configurarlo para permitir conexiones FTP de entrada a la red pero no de salida. Existen Proxies que proporcionan sistemas de traducción de direcciones -NAT-. Los equipos disponen de direcciones IP locales que el proxy traduce al acceder a Internet. Esto permite que desde el exterior no se pueda realizar un acceso directo a estos equipos -Enmascaramiento de direcciones-. Página 9 de 9