Seguridad y Alta Disponibilidad

Transcripción

1 Seguridad y Alta Disponibilidad Instalación y configuración de cortafuegos David Villa Alises Escuela Superior de Informática Universidad de Castilla-La Mancha Contenidos Introducción Tipos de cortafuegos. Características. Funciones principales. Introducción Diseño del sistema cortafuegos. netfilter /. Distribuciones libres para cortafuegos dedicados. Cortafuegos hardware. 2 Cortafuegos 3 Cortafuegos RAE: 2. m. Arq. Pared toda de fábrica, sin madera alguna, y de un grueso competente, que se eleva desde la parte inferior del edificio hasta más arriba del caballete, con el fin de que, si hay fuego en un lado, no se pueda este comunicar al otro. Wikipedia: es una parte de un sistema o una red que está diseñada para bloquear el acceso no autorizado, permitiendo al mismo tiempo comunicaciones autorizadas. Se trata de un dispositivo o conjunto de dispositivos configurados para permitir/limitar, cifrar/descifrar el tráfico entre los diferentes ámbitos sobre la base de un conjunto de normas y otros criterios. 4 Un cortafuegos es un dispositivo o sistema que controla el flujo de tráfico entre diferentes áreas de una red. [R.A. Deal, Cisco Router Firewall Security] 5

2 Para qué sirve? Para qué sirve? El objetivo de todo cortafuegos es proporcionar un medio para implementar la política de control de acceso. Control Ej: Los usuarios de mi red solo podrán acceder a ciertos sitios web, y no podrán usar IRC. Seguridad/Protección Ej: Solo los usuarios de cierta red pueden acceder a mi servidor SSH. red protegida red exterior Vigilancia Ej: Determinar qué máquina está haciendo constantemente intentos de acceso a mi servidor. router cortafuegos 6 7 Características habituales Ligados a un encaminador. Controla el tráfico. Protege los recursos sensibles. Oculta la estructura interna. Establece áreas con restricciones diferentes. Registra e informa de incidencias. Tipos de cortafuegos 8 Cortafuegos de filtrado de paquetes Tipos de cortafuegos De filtrado de paquetes (packet-filtering ó stateless) Con estado (stateful) Pasarela de aplicación (application gateway) Cortafuegos NAT (address-translation) Local o personal (host-based) Híbridos Sin estado (no tienen en cuenta el tráfico anterior). Dado un paquete y un conjunto de reglas decide: Reenviar: ACCEPT Descartar: DROP Rechazar: REJECT. Como DROP pero informando al remitente (con ICMP). 9 Dos políticas: Restrictiva: Todo lo que no esté explícitamente permitido, está prohibido. Permisiva: Todo lo que no esté explícitamente prohibido, está permitido Cortafuegos de filtrado de paquetes Inspección Inspección de paquetes Formato del paquete IP bytes Dirección de capa 3 (IP) origen o destino. Dirección de capa 4 (puerto) origen o destino. Carga útil de paquete (campo protocol). Flags de la cabecera: SYN, RST,... Paquete IP versión Interfaz de red, de entrada o salida El propietario del proceso que creó el paquete. etc... encabezado carga (payload) bytes bytes IHL tiempo de vida longitud total tipo de servicio D M F F identificación protocolo offset del fragmento checksum dirección del origen 0 40 B dirección del destino 12 opciones 13

3 Inspección Inspección Formato del segmento UDP Formato del segmento TCP puerto TCP origen puerto UDP destino (opcional) longitud del mensaje UDP número de acuse de recibo checksum (opcional) (completo) puerto TCP destino número de secuencia offset reservado URG ACK PSH RST SYN FIN puerto UDP origen checksum cuerpo del mensaje ventana puntero urgente opciones relleno cuerpo del mensaje 14 Cortafuegos de filtrado de paquetes Cortafuegos de filtrado de paquetes Un ejemplo Ventajas y limitaciones Ventajas: Rápido, como requisitos de CPU y memoria. Flexibles y muchos extensibles mediante módulos. Internet Limitaciones: Web: DNS: Pueden ser difíciles de configurar. No pueden manejar información de sesión o aplicación. No proporcionan soporte para autenticación. Las capacidades de registro de sucesos son limitadas Regla Origen Protocolo Puerto 1 Destino TCP 80 ALLOW UDP 53 ALLOW TCP 25 ALLOW 4 Other Acción DROP [Cisco Router Firewall Security, Fig 2.6] 16 Filtrado asimétrico Cortafuegos con estado B Hacen seguimiento de las conexiones. Internet Web server Impedir que tráfico externo llegue a B. Permitir a B abrir conexiones al exterior. Inicio, transferencia y terminación. Permite distinguir si la conexión fue iniciada desde la red interna o desde la externa. Crea reglas de filtrado dinámicamente cuando detecta una conexión y las elimina al terminar. Esa información se almacena en la tabla de estado. [Cisco Router Firewall Security, Fig 2.11] 18 Establecimiento de conexión de TCP Cortafuegos con estado Ventajas y limitaciones Cada extremo debe sincronizarse con el otro antes de transmitir datos. Hay un rol activo (cliente) y el otro pasivo (servidor). Ventajas: Triple apretón de manos : Conocen el estado de las conexiones. cliente Pueden detectar y prevenir ataques DoS. servidor SYN seq: 1200, ac ACK SYN + k: - 00, ack: seq: ACK seq: 1201, ac k: El cliente indica su ISN (Initial Sequence Number) y otros parámetros de conexión como el MSS Limitaciones: 2. El servidor confirma, indica su ISN y otros datos de conexión 3. El cliente confirma y puede enviar datos en ese segmento Pueden ser difíciles de configurar. No pueden manejar información de aplicación. No proporcionan soporte para autenticación. Existen protocolos sin estado: UDP, ICMP, etc. Aplicaciones con conexiones adicionales: FTP. La tabla de estado puede suponer un problema. 21

4 Pasarela de conexión También llamados «Cortafuegos de Pasarela de Aplicación». 1.El cliente externo intenta una conexión hacia un servidor interno. Permiten tratamiento específico por aplicación: DNS, FTP, LDAP, SMTP, etc. Soporte específico para autenticación. 2.El cortafuegos intercepta la conexión y solicita al usuario una autenticación. El cortafuegos abre una conexión hacía el servidor interno. Autentican usuarios en lugar de máquinas o conexiones. 3.El tráfico del cliente externo es procesado por el cortafuegos y redirigido al servidor interno. Tipos: de conexión (Connection Gateway Firewall) cut-throught 4.Cualquier nueva conexión es rechazada si no se proporciona la autenticación correspondiente. 22 Pasarela de conexión Cut-through 23 Realiza un proceso de autenticación como el cortafuegos de pasarela de conexión. Después añade temporalmente reglas de filtrado para permitir al usuario utilizar el recurso. Sólo la autenticación ocurre en la capa de aplicación. Es mucho más eficiente. [Cisco Router Firewall Security, Fig 2.17] 24 Cut-through Ventajas y limitaciones 25 Ventajas: Proporcionan una buena defensa ante ataques DoS y «spoofing». Total control a nivel de aplicación. Registros muy detallados. Mucha flexibilidad. Inconvenientes: Todo el procesamiento es software. Limitado a un conjunto de aplicaciones. [Cisco Router Firewall Security, Fig 2.18] 26 Cortafuegos NAT Cuando no es web, requiere software especial en el PC de los usuarios. 27 Cortafuegos NAT NAT permite exponer servicios de la red interna sin que los usuarios conozcan la estructura y esquema de direccionamiento. El administrador puede modificar completamente la organización de los servicios y la estructura de la red sin que sea percibido desde el exterior. [Cisco Router Firewall Security, Fig 2.20] 28 29

5 Cortafuegos «personal» Cortafuegos híbridos Es habitual que los cortafuegos comerciales (hardware) proporcionen otras funcionalidades: Se utiliza para proteger un solo computador (servidor o PC). Normalmente son cortafuegos de filtrado de paquetes. Servidor DHCP Ventajas: Concentrador VPN Detección de intrusos (IDS) Proxy/Caché Web Caché DNS etc. Sencillo y barato Seguridad y autenticación adicional. Inconvenientes: Poca escalabilidad Basados en software Pocas opciones de filtrado Guía de diseño Definir una política de seguridad Diseño del sistema cortafuegos El sistema es débil si solo hay una línea de defensa. Considerar las amenazas internas Cada equipo o programa está diseñada para un fin. Implementar varias líneas de defensa Como siempre, principio KISS. Usar los dispositivos adecuados Qué necesita ser protegido? A qué «precio»? Diseñar una solución sencilla ~70% de las violaciones de seguridad proceden de la red interna 32 Estructura de la red Diferentes partes de la red requieren niveles de seguridad diferente: La red externa (sobre la que no tenemos control). La red de servicios públicos () La red interna (no accesible desde el exterior). 33 (demilitarized zone) es la subred que contiene los servicios accesibles desde el exterior. red interna 34 Internet 35 Reglas y niveles de seguridad Reglas y niveles de seguridad Se asignan niveles de seguridad desde más bajo al más alto. Por defecto, el tráfico puede ir de los niveles altos a los bajo, pero no al revés. Las excepciones a esta regla deben se implementan como reglas de filtrado (lo más específicas posible). A nivel menor: ALLOW A nivel mayor o igual: DROP. [Cisco Router Firewall Security, Fig 2.28] 36 37

6 Tipos Sencillo Sencillo Segmento único Service leg múltiple interno Segmento único Service leg [Cisco Router Firewall Security, Fig ] [Cisco Router Firewall Security, Fig ] 38 Múltiple Interno 39 Medium Medium [Cisco Router Firewall Security, Fig 2.26] [Cisco Router Firewall Security, Fig 2.27] 40 Componentes del sistema cortafuegos 41 Componentes del sistema cortafuegos Encaminador perimetral Encaminamiento con la red externa Filtrado de paquetes y conexiones Traducción de direcciones Cortafuegos Separación entre subredes internas (s) Autenticación IDS (Intrusion Detection System) Vigilancia, detección e incluso medidas de contención Sistema Cortafuegos Consideraciones Filtrado de paquetes en la periferia. Todos los servidores públicos en una. Caso de estudio Linux netfilter / Servidores críticos deben tener su propio cortafuegos. Colocar el servidor BD en un nivel de seguridad mayor que el servidor web. Utilizar VPN para conectar con sitios remotos, y asumir que podrían estar comprometidos. Utilizar sistemas IDS en las redes sensibles

7 netfilter / netfilter / Cortafuegos software de filtrado de paquetes Seguimiento de conexiones: stateful NAT (masquerading) Packet mangling Control de tasa Registro de sucesos configurable 46 cadenas (chains) tablas prerouting (antes de saber dónde debe ir) red input (hacia el host) PREROUTING (DNAT) output (generados por el host, no encaminado aún) forward (reenviar a otro host) rutado postrouting (cuando se sabe el destino) POSTROUTING (SNAT) filter nat mangle FORWARD (filter) INPUT (filter) 47 Manipulación / etiquetado OUTPUT (filter, DNAT) aplicaciones en el host Filtrado de paquetes («filter») NAT (tabla «nat») IP: direcciones origen y destino, fragmentos ICMP: tipo y código UDP: puertos origen y destino 48 TCP: puertos origen y destino, flags, opciones, propietario del proceso. input y output son cadena para filtrado local. forward es para filtrado de tráfico remoto. Traducción de dirección origen (SNAT) Se hace en postrouting. También conocido como «masquerading». Traducción de dirección destino (DNAT) Se hace en prerouting o output. También conocido como «redirección». 50 Seguimiento de conexiones Control de tasa Cadenas prerouting y ouput. Previene ataques DoS. La tabla de estado contiene: Permite limitar: 49 Campo protocol de la cabecera IP Ráfaga máxima (IP,puerto) origen y destino Número máximo de coincidencias por segundo. Estado de la conexión (TCP) Temporizadores (TCP) Números de secuencia (TCP) 51 Estados: NEW, ESTABLISHED, RELATED, INVALID

8 Sintaxis de comandos Un router/firewall básico Iptables [-t tabla] comando cadena parámetros Comandos: web red interna -A: añadir (al final) -D: borrar (por regla o posición) -I: Insertar en la posición indicada -L: listar -F: borrar todas las reglas -Z: limpiar los contadores -P: definir la política Servidor SSH Un router/firewall básico Un router/firewall básico Política restrictiva para FORWARD. Aceptar todo el tráfico ICMP (desde cualquier parte). Aceptar todo el tráfico TCP (desde la red interna). Aceptar TCP de la red externa para conexiones establecidas. # -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT Permitir tráfico hacía y desde loopback. Permitir acceso al servidor web en el router. # -A INPUT -p tcp --dport http -j ACCEPT Aplicar SNAT para conexiones al exterior Redirigir un puerto (DNAT) hacia el servidor SSH. # -t nat -A PREROUTING -i eth0 -p tcp --dport 22 -j DNAT --todestination :22 # -t nat -A POSTROUTING -o eth0 -j MASQUERADE 55 # -A INPUT -p tcp -i eth1 -j ACCEPT # -A INPUT -i lo -j ACCEPT # -A OUTPUT -o lo -j ACCEPT Activar el reenvío de paquetes # echo 1 > /proc/sys/net/ipv4/ip_forward # -A INPUT -p ICMP -j ACCEPT eth # -P FORWARD DROP ó -A INPUT -j DROP como última regla Internet eth / Distribuciones para cortafuegos dedicados Distribuciones libres para implementar cortafuegos en máquinas dedicadas. Distribuciones de software libre para implementar cortafuegos en máquinas con pocas prestaciones. Basadas en: Basada en GNU/Linux Características: Cortafuegos con estado: IDS/IPS: SNORT VPN: PPTP, IPSec, OpenVPN Proxy Web: Squid Filtrado de contenido y antivirus: DansGuardian Informes y estadísticas: MRTG FreeBSD: m0n0wall, pfsense,... Suelen ofrecer una interfaz web para administración del router/cortafuegos GNU/Linux:, Gibraltar, IPCop, Zentyal, SmoothWall,... Interfaz web 60 61

9 Interfaz web Interfaz web 62 Interfaz web Interfaz web CISCO PIX (Private Internet exchange) Cortafuegos hardware CISCO PIX 66 CISCO PIX Gama de cortafuegos de alto rendimiento. SO específico: PIX OS Características NAT/PAT Filtrado de contenido (Java/ActiveX) IPsec VPN DHCP PPoE RADIUS 67 CISCO PIX Rendimiento: PIX 535: 1 Gbps, 95 Mbps 3DES VPN 2000 túneles Ipsec conexiones simultáneas PIX 525: 360 Mbps, 70 Mbps 3DES VPN PIX 501: 10 Mbps, 3 Mbps 3DES VPN conexiones

10 CISCO PIX Referencias ASA (Adaptive Security Appliance) es un módulo que aumenta las capacidades del PIX. Actualmente la serie ASA ha reemplazado a la gama PIX. Simulador PIX: Transmisión de datos y redes de comunicaciones, B.A. Forouzan. Mc Graw Hill. Router Firewall Security, R.A. Deal. CISCO Press. Firewall fundamentals, W.J. Noonan, CISCO Press. Prentice Hall. Guía Avanzada de Firewalls Linux, R.L. Ziegler. Firewalls and Internet Security, W.R. Cheswick. Linux 2.4 Packet Filtering HOWTO. Rusty Russell