Redes Internas Corporativas Seguras

Transcripción

1 La seguridad ha llegado a ser uno de los aspectos primarios cuando una organización conecta sured privada ait Internet. t Un número creciente de usuarios en redes privadas demandan acceder a servicios de Internet tales como pagina web, correo electrónico, acceso a servicios en la nube. Además, las organizaciones quieren ofrecer páginas web y servidores para el acceso público desde Internet donde ofrecer sus productos. Los Administradores de Red han incrementado las medidas relativas a la seguridad de sus redes cuando exponen los datos privados de su organización y la infraestructura de red a Internet. Para proporcionar el nivel de protección adecuado, una organización necesita una política de seguridad para evitar usuarios no autorizados del acceso a recursos en la red privada y proteger frente la explotación no autorizada de información privada. Incluso si una organización no está conectada a Internet, puede todavía establecer una política interna de seguridad para manejar los accesos de usuario a partes de la red y proteger la información sensible o secreta. Pág.1 30/03/2016

2 Como objetivos de esta presentación son la presentación del concepto de cortafuegos como elemento esencial ildeuna red corporativa, analizar las decisiones i básicas dldi del diseño de un sistema de cortafuegos basadas en la política de seguridad de una Organización, estudiar los ejemplo de sistemas de cortafuegos más utilizados y finalmente presentar el sinkhole router como solución a los ataques por denegación de servicios (Denial of Service, DoS). Pág.2 30/03/2016

3 El índice que vamos a seguir comienza con la definición del concepto de cortafuegos, beneficios y limitaciones de los cortafuegos, tf elementos básicos a tener en cuenta para el diseño de cortafuegos, ejemplos de los sistemas de cortafuegos mas utilizados y, finalmente, se analizará cómo evitar ataques por denegación de servicios en nuestra red corporativa. Pág.3 30/03/2016

4 Un cortafuegos es un sistema o grupo de sistemas que pone implementa una política de seguridad d entre la red de una organización ió y la Internet. t El cortafuegos tf determina que servicios de dentro de la organización pueden ser accesibles desde fuera, qué usuarios de fuera se permite acceder a los servicios de dentro de la organización y, finalmente, qué servicios de fuera se les permite acceder a los usuarios de dentro de la organización. Para que un cortafuegos sea efectivo obviamente todo el tráfico hacia y desde la Internet debe pasar a través del cortafuegos. Elcortafuegos debe de permitir solo que pase el tráfico autorizado, y en sí mismo debe de ser inmune a la penetración. Desafortunadamente un cortafuegos no puede ofrecer protección una vez que un ataque ha atravesado el cortafuegos. Es importante notar que un cortafuegos no es un encaminador, o una pasarela de nivel de aplicación o una combinación de dispositivos que proporciona seguridad para una red. Un cortafuegos es parte de una política de seguridad que crea un perímetro de defensa diseñado a proteger los recursos de información de una organización. Esta política de seguridad debe de incluir unas líneas básicas para informar a los usuarios de sus responsabilidades; políticas corporativas definiendo el acceso a red; acceso al servicio, ii autenticación ti ió locally remota de usuarios, encriptación it ió de dt datos y medidas de protección frente a virus etc. Todos los potenciales puntos de ataques de la red deben de ser protegidos con el mismo nivel de seguridad de red. Configurar un cortafuegos sin una política de seguridad comprensible es como situar una puerta blindada en una tienda de campaña. Pág.4 30/03/2016

5 Los cortafuegos controlan el acceso entre Internet y la red interna de una organización privada. Sin uncortafuegos, tf cada sistema it de lared privada está expuesto aataques de otros sistemas de Internet. Esto significa que la seguridad de la red privada dependería de la seguridad individual de cada máquina. Los cortafuegos permiten definir al Administrador de Red un punto centralizado que permite proteger a la red corporativa, de diferentes ataques. Un cortafuegos simplifica la gestión de seguridad ya que queda centralizada en él. Los cortafuegos ofrecen un punto donde puede ser monitorizada la seguridad de internet y las alarmas generadas. Para las organizaciones conectadas a Internet, la cuestión no es si es posible sino cuando se producirá un ataque. Los administradores deben auditar todos los logs del tráfico de un cortafuegos. Si al administrador no le da tiempo en responder a cada alarma y examinar los log de forma regular, no tiene sentido el cortafuegos, ya que el administrador de red nunca sabrá si el cortafuegos ha sido atacado. Un cortafuegos es el punto perfecto para una auditoría. Durante los últimos años la Internet ha experimentado una crisis en el espacio de direcciones. Esto significa que las organizaciones que esperan conectarse a Internet pueden no poder obtener suficientes direcciones IP para sus usuarios. Un cortafuegos es el lugar lógico donde situar un Network Address Translator (NAT) que puede ayudar a aliviar el espacio de direcciones y eliminar la necesidad de reenumerar cuando una organización cambia de Proveedor de servicios de Internet. Un cortafuegos puede ofrecer también un punto central de contacto para ofrecer servicios a los clientes. Un cortafuegos es el punto ideal para desarrollar servidores WWW y FTP. El cortafuegos puede ser configurado para permitir el acceso a Internet a estos servicios, mientras prohíbeel acceso externo a otros sistemas it de lared protegida. Pág.5 30/03/2016

6 Un cortafuegos no puede proteger frente a los ataques que no atraviesan el cortafuegos. Por ejemplo, si se permiten llamadas RTC desded dentro de la red privada, los usuarios pueden hacer una conexión SLIP o PPP directa a Internet. Ya que la mayoría este tipo de conexiones no pasan por los cortafuegos, ellas crean un significativo agujero en la seguridad. Los usuarios deben de ser conscientes de que este tipo de conexiones no están permitidas como parte de la arquitectura de seguridad de una organización. Los cortafuegos no pueden proteger frente a las amenazas ocasionadas por usuarios descuidados. Los cortafuegos no prohíben a los espías corporativos copiar información sensible en discos duros o borrarlos. Los cortafuegos no protegen frente a ataques donde el hacker pretende ser un supervisor o un nuevo empleado. Los empleados deben de ser aleccionados en la necesidad de guardar y cambiar periódicamente la passwords. Los cortafuegos no pueden proteger frente a la transferencia de ficheros o software con virus. Ya que hay muchos diferentes clases de virus y muchas formas diferentes de codificar y comprimir ficheros binarios, no se puede esperar que un cortafuegos escanee todos los ficheros que recibe. Las organizaciones deberían desplegar antivirus en sus sistemas para proteger de este tipo de ataques. Finalmente, los cortafuegos no pueden proteger frente a ataques conducidos por datos. Uno de estos ataques ocurren cuando datos aparentemente inofensivos son retransmitidos por mail o copiados a un host interno y ejecutados dando lugar a un ataque. Por ejemplo uno de estos ataques puede ocasionar que un sistema modifique los ficheros relativos de seguridad, haciendo más fácil que un intruso entre en el sistema. Como veremos el desarrollo de servidores proxy en un sistema es un excelente medio de prohibir conexiones directas desde fuera y reducir las amenazas de ataques conducidos por datos. Pág.6 30/03/2016

7 Cuando se diseña un cortafuegos para una Organización hay un número de decisiones que db deben de ser tenidas en cuenta por el administrador i d de red: el comportamiento t dl del cortafuegos, la política de seguridad de la organización, el coste financiero del cortafuegos y los componentes o elementos del sistema de cortafuegos. El comportamiento del cortafuegos describe la filosofía fundamental de la organización. Un cortafuegos puede tener dos posiciones diametralmente opuestas: Todo lo no específicamente permitido es denegado. Esta posición asume que un cortafuegos debería bloquear todo el tráfico y que cada servicio deseado o aplicación debería ser implementado caso a caso. Este el modelo recomendado. El cortafuegos crea un entorno muy seguro, ya que solo servicios cuidadosamente seleccionados son soportados. La desventaja es que sitúa la seguridad por delante de la facilidad de uso, limitando el número de opciones disponibles a la comunidad de usuarios. Todo lo no específicamente denegado es permitido. Esta posición asume que un cortafuegos debería retransmitir todo el tráfico y que cada servicio potencialmente dañino debería ser cerrado. Este modelo crea un entorno más flexible con más servicios disponibles a la comunidad. La desventaja es que pone la facilidad de uso por delante de la seguridad, poniendo al administrador de red en un modo reactivo e incrementando la dificultad para proporcionar seguridad. Como ya se ha comentado un cortafuegos es parte de la Política de Seguridad de la Organización, que define todos los aspectos de su perímetro de defensa. Para tener éxito las organizaciones deben conocer que están protegiendo. La política de seguridad debe de estar basada en un cuidadoso análisis de las necesidades de negocio y evaluación de riesgos. Si una organización no tiene una detallada política de seguridad, un cortafuegos puede ser vulnerable y exponer la red privada a un ataque. Pág.7 30/03/2016

8 El coste económico de la implementación de un sistema de cortafuegos es un aspecto fundamental para el éxito de laplanificaciónl ió de una política de seguridad d Un simple cortafuegos con filtrado de paquetes puede tener un mínimo coste ya que la organización necesita un encaminador para conectarse a Internet y el filtrado de paquetes está incluido como parte del sofware de cualquier encaminador estándar. Si una organización tiene personal experto un cortafuegos se puede construir a partir de software de dominio público, pero lleva un tiempo en desarrollo. Finalmente todos los cortafuegos necesitan soporte continuado para administración, mantenimiento general, actualización de software, etc. Después de tomar decisiones acerca del comportamiento de un cortafuegos, la política de seguridad y del presupuesto disponible, la organización puede determinar los componentes específicos de su sistema de cortafuegos. Un típico cortafuegos está compuesto por uno o más de los siguientes elementos: Encaminador de filtrado de paquetes Pasarela de nivel de aplicación (o servidor proxy) Pasarela de nivel de circuito. Pág.8 30/03/2016

9 Un encaminador de filtrado de paquetes toma una decisión de permitir o denegar cada paquete que recibe. El encaminador examina cada paquete para determinar si coinciden los campos cabecera de dicho paquete con alguna de las reglas de filtrado que tiene el cortafuegos configuradas. Las reglas de filtrado están basadas en la información de la cabecera del paquete que está disponible en el proceso de retransmisión de los paquetes IP. La información consta de dirección IP fuente/destino, protocolo encapsulado (TCP,UDP, ICMP o IP túnel), puerto TCP/UDP fuente, puerto TCP/UDP destino, tipo de mensaje ICMP, interfaz entrante y saliente del paquete etc. Si se encuentra una coincidencia y las reglas permiten el paquete, éste es retransmitido de acuerdo a la información de la tabla de rutas. Si se encuentra una coincidencia y la regla deniega el paquete, éste es descartado. Si no hay coincidencia un parámetro configurable determina si el paquete es o no descartado. Las reglas de filtrado de paquete permiten a un encaminador permitir o denegar tráfico basado en un servicio específico, ya que la mayoría de los servidores conocidos están a la escucha en un puerto determinado TCP/UDP. Hay ciertos tipos de ataques que son difíciles de identificar usando la información básica de cabecera de un paquete debido a que los ataques son independientes del servicio. Los encaminadores pueden ser configurados para proteger frente a este tipo de ataques pero son más difíciles de especificar ya que las reglas de filtrado requiere información adicional que puede solo ser conocida examinando la tabla de rutas, inspeccionando las opciones especificas IP, chequeando fragmentos etc. Ejemplos de estos ataques incluyen: Ataques por suplantacion de Dirección IP origen: Para este tipo de ataques, el intruso transmite paquetes desde fuera que pretende que parezca que tienen el origen en una maquina de la red privada: los paquetes falsamente contienen una dirección IP de un sistema de dentro de la red privada. El intruso piensa que el uso de un dirección IP de dentro de la organización le permitirá entrar en sistema en los cuales su seguridad se basa en chequear la dirección origen de los paquetes, considerando seguros aquellos que vienen de máquinas internas de la red. Este tipo de ataque puede ser evitado simplemente descartando cada paquete con dirección origen de dentro de la organización si dicho paquete llega desde un interfaz externo de la red Ataques por fragmentación de paquetes: Para este tipo de ataque, el intruso usa el aspecto de fragmentación para crear fragmentos IP extremadamente pequeños. Los ataques por fragmentos son diseñados para engañar a las reglas de filtrado definidas por el usuario; el intruso espera que un encaminador de filtrado examinará solo el primer fragmento y permitirá al resto pasar. Un ataque de este estilo puede ser evitado descartando todos los paquetes donde el tipo de protocolo es TCP/UDP y el offset del fragmento es igual a 1. Pág.9 30/03/2016

10 Un encaminado de filtrado de paquetes es aquel dispositivo que estando conectado a ambos perímetros (interior i yexterior) dj deja pasar a su través paquetes IP en función de determinadas reglas. Estos cortafuegos conceptualmente trabajan a nivel de red, y son capaces de filtrar tráfico en función de las direcciones IP, protocolos y números de puerto TCP o UDP. Normalmente esta misión la pueden realizar tanto sistemas con dos tarjetas de red como encaminadores. En el caso de los cortafuegos basados en encaminadores de filtrado de paquetes los dispositivos de la red interna han de configurarse con la ruta por defecto apuntando a ese dispositivo, que en función de sus reglas, dejará pasar los paquetes o los rechazará. El principal problema de este tipo de cortafuegos es la limitación a la hora de configurar reglas complejas y su falta de flexibilidad. Otra limitación fundamental es la imposibilidad de filtrar tráfico en función de la información contenida en niveles superiores como por ejemplo la información contenida en protocolos de autenticación, URL,s etc. Pág.10 30/03/2016

11 Beneficios de los Encaminadores de filtrado de paquetes: La mayor parte de los cortafuegos tf son desarrollados d usando solo unencaminador de filtrado de paquetes. Sería el elemento más simple de un sistema de cortafuegos. Realmente hay poco o ningún coste en implementar un filtro de paquetes ya que este aspecto está incluido como parte del software estándar de los encaminador. Otra cosa es el tiempo empleado en planificar los filtros y configurar el encaminador. Limitaciones de los Encaminadores de filtrado de paquetes: Definir filtros para los paquetes puede ser una tarea compleja ya que los Administradores de Red necesitan tener una detallada comprensión de los servicios de Internet formatos de las cabeceras de paquetes y los valores específicos que se esperan en cada campo. Si los requisitos de filtrado son complejos, las reglas de filtrado llegan a ser complejas y complicadas haciendo difícil comprender y manejar. Cualquier paquete que pasa directamente a través de un encaminador podría ser potencialmente usado para generar un ataque conducido por datos. Recordemos que un ataque de este estilo ocurre cuando datos aparentemente inofensivos son retransmitidos a un sistema interno. Generalmente el rendimiento de un encaminador se degrada a medida que se incrementa el número de filtros. Los encaminadores pueden ser optimizados para extraer la dirección IP destino de cada paquete, hacer una simple mirada a la tabla de rutas y luego retransmitir el paquete al interfaz adecuado para la transmisión. Si el filtrado es permitido, el encaminador debe no solo tomar una decisión de retransmisión por cada paquete sino también aplicar todas las reglas a cada paquete individual. Los filtros de paquetes puede que no proporcionen suficiente control sobre el tráfico. Un encaminador de filtrado de paquetes puede permitir o denegar un servicio particular, pero no es capaz de comprender el contexto/datos de un servicio particular. Por ejemplo, un administrador de red. Por ejemplo un administrador de red puede necesitar filtrar tráfico en el nivel de aplicación. Pág.11 30/03/2016

12 Un Pasarela de Nivel de Aplicación permite al administrador de red implementar una más estricta política de seguridad que un encaminador de filtrado de paquetes. En lugar de dejar que una herramienta genérica de filtrado de paquetes maneje el flujo de los servicios a través del cortafuegos un código de propósito especial (un servicio proxy) es instalado en la pasarela para cada aplicación deseada. Si el administrador no instala el código proxy para una aplicación particular, el servicio no es soportado y no puede ser retransmitido a través del cortafuegos. También el código proxy puede ser configurado para soportar solo aquellos aspectos de una aplicación que el administrador de red considera aceptables mientras deniega todos los otros aspectos. Esta mejora de seguridad implica un incremento del coste en términos de la plataforma hardware del cortafuegos, las aplicaciones del servicio proxy, el tiempo y el reconocimiento requerido para configurar la pasarela, un decremento en el nivel de servicio que puede ser proporcionado a los usuarios, y una pérdida de transparencia resultado de un sistema menos amigable. Como siempre el administrador de red se requiere para balancear las necesidades de la organización para la seguridad con la demanda de la comunidad para facilitar el uso. Es importante notar que a los usuarios se les permite acceder a los servicios proxy, pero a ellos no se les permite acceder a la pasarela de nivel de aplicación. Si a los usuarios se les permite acceder al sistema de cortafuegos, la seguridad del cortafuegos está amenazada, ya que un intruso podría potencialmente realizar alguna actividad que comprometiera la efectividad del cortafuegos. A diferencia de los encaminadores de filtrado de paquetes, que permiten el flujo directo de paquetes desde los sistemas externo y los internos, la pasarela de nivel de aplicación permite que la información fluya entre los sistemas pares peno no permite el intercambio directo de paquetes. El principal riesgo de permitir que los paquetes sean intercambiados entre los sistemas internos y los externos es que las aplicaciones de usuario residiendo en los sistemas protegidos de la red deben de ser seguras frente a cualquier amenaza. Una pasarela de nivel de aplicación es denominado Bastion host debido a que es un diseñado que es especialmente blindado y protegido frente a los ataques. Pág.12 30/03/2016

13 Cortafuegos basados en proxies son aquellos dispositivos que estando conectados a ambos perímetros (interior y eterior)no exterior) dejan pasar a su través paquetes IP. La comunicación se produce por medio de programas denominados proxies que se ejecutan en el cortafuegos. Desde el punto de vista conceptual este tipo de cortafuegos funciona a nivel de aplicación. Un usuario interior que desee hacer uso de un servicio exterior, deberá conectarse primero al cortafuegos donde el proxy atenderá su petición, y en función de la configuración de dicho cortafuegos, se conectará al servicio exterior solicitado y hará de puente entre el servicio ii exterior yel usuario interior. i Es importante notar que para la utilización ió de un servicio externo han de establecerse dos sockets (conexiones): uno desde la máquina interior hasta el cortafuegos, y otro desde el cortafuegos hasta la máquina que albergue el servicio exterior. En el caso de este tipo de cortafuegos los programas cliente deben de estar configurados para redirigir las peticiones al cortafuegos en lugar del sistema final. Información típica registrada con estos sistemas va desde el nombre de usuario que ha conseguido autentificarse satisfactoriamente, hasta los nombres y tamaños de ficheros transmitidos, pasando por los URL s solicitados a través del proxy HTTP. Pág.13 30/03/2016

14 Hay varios aspectos de diseño que son utilizados para proporcionar seguridad a un Bastion host (BH): La plataforma hardware de la pasarela de Nivel de aplicación o Bastion Host (BH) db debe de ejecutar una versión segura de su sistema operativo. Es decir, debe de estar especialmente diseñada para proteger frente a las vulnerabilidades del SO y asegurar la integridad del cortafuegos. Sólo los servicios que el Administrador de la Red considera esenciales son instalados en el BH. La razón es que si un servicio no está instalado, no puede ser atacado. Generalmente, un conjunto limitado de aplicaciones tales como Telnet, DNS, FTP, SMTP y servicios de autenticación de usuario son instaladas en un BH. El BH puede requerir autenticación adicional antes de que a un usuario se le permita acceder a los servicios proxy. El BH es la localización ideal para implementar un protocolo de seguridad para garantizar la identidad de usuario e implementar servicios de confidencialidad e integridad en el transporte de la información. Cada proxy es un pequeño y poco complicado programa específicamente diseñado para la seguridad de la red. Se permite que el código fuente de la aplicación proxy sea chequeada para potenciales bugs y agujeros de seguridad. Cada proxy mantiene información auditada detallada haciendo logs de todo el tráfico, cada conexión y la duración de cada conexión. La auditoría es una herramienta esencial para descubrir y terminar los ataques de los intrusos. Cada proxy es independiente de los otros proxies en el BH. Si hay un problema con la operación de un proxy, o si una futura vulnerabilidad es descubierta, puede ser desinstalado sin afectar las operaciones de los otros proxies. También si el perfil de usuarios requiere soportar un nuevo servicio el administrador de red puede fácilmente instalar el proxy requerido en el BH. Un proxy no realiza acceso a disco, lo único que hace es leer un fichero de configuración. Esto hace difícil para un intruso instalar un troyano u otros ficheros peligrosos en el BH. Cd Cada proxy corre como un usuariosin i privilegios il i en un directorio i privado y seguro dlbh del BH. Pág.14 30/03/2016

15 Beneficios de la Pasarela de nivel de aplicación (PNA): La PSN permite al Administrador de Red completo control sobre qué servicios están permitidos, ya que la ausencia de un proxy para un servicio particular significa que el servicio está completamente bloqueado. La PNA tiene la capacidad de soportar autenticación fuerte y proporcionan detallada información de log. Finalmente, las reglas de filtrado para la PNA son mucho más fáciles de configurar y testear que un encaminador de filtrado de paquetes. Limitaciones de la Pasarela de nivel de aplicación (PNA): La mayor limitación de la PNA es que requiere que el usuario modifique su conducta o que un software especializado sea cargado en cada sistema del cliente para que acceda a los servicios proxy. Pág.15 30/03/2016

16 La Pasarela de Nivel de Circuito sería una simplificación teórica de la Pasarela de Nivel de Aplicación. Consistiría en una pasarela que sólo se encargara de concatenar dos conexiones una interna y otra externa. Al operar sólo a nivel de transporte se renuncia a incluir funcionalidades de nivel de aplicación como puede ser un protocolo de seguridad para la autenticación de usuarios. En la practica no se suelen utilizar. Pág.16 30/03/2016

17 El sistema de Cortafuegos más simple estaría formado por un solo elemento que sería un encaminador de filtrado de paquetes. Este elemento sería único punto de salida de los sistema s de la red interna a Internet y el único punto de entrada de los usuarios externo a la red interna. Pág.17 30/03/2016

18 Este sistema de cortafuegos es el más simple y consta de un encaminador de filtrado de paquetes situado entre la red privada e Internet. encaminador de filtrado de paquetes ejecuta las funciones típicas de retransmisión de tráfico entre redes usando reglas para permitir o denegar tráfico. Típicamente las reglas de filtrado están definidas de modo que los sistemas en la red privada tienen acceso directo a Internet, mientras que los sistemas externos tienen limitado el acceso a sistemas de la red interna. El comportamiento típico de estos cortafuegos es que todo lo no específicamente permitido es denegado. Pág.18 30/03/2016

19 Aunque este sistema de cortafuegos tiene el beneficio de ser económico y transparente al usuario, posee todas las limitaciones de un encaminador de filtrado de paquetes tales como exposición a ataques por filtros mal configurados y ataques que son canalizados a través de los servicios permitidos. Ya que el intercambio directo de paquetes está permitido entre los sistemas de fuera y los de dentro, la potencial extensión de un ataque está determinado por el número de sistemas y servicios a los cuales el encaminador de filtrado de paquetes permite el tráfico. Esto significa que cada sistema directamente accesible desde la Internet necesita soportar sofisticada autenticación de usuarios y necesita regularmente ser examinado por el Administrador de la Red en busca de indicios de un posible ataque. También si alguien entra en el encaminador de filtrado de paquetes cada sistema de la red corporativa se puede ver comprometido. Pág.19 30/03/2016

20 En la figura aparece un segundo ejemplo de sistema de cortafuegos. Este sistema esta formado por dos elementos: Un encaminador de filtrado de paquetes y una pasarela de nivel de aplicación. Pág.20 30/03/2016

21 Este segundo sistema de cortafuegos proporciona un mayor nivel de seguridad que el del ejemplo anterior debido a que implementa tanto seguridad de nivel de red (filtrado de paquetes), como de nivel de aplicación (servicios proxy). Además un intruso tiene que penetrar en dos sistemas separados para comprometer la seguridad de la red corporativa. Pág.21 30/03/2016

22 En este sistema de cortafuegos la Pasarela de Nivel de Aplicación (PNA) esta configurada en la red privada de acuerdo al encaminador de filtrado de paquetes entre la Internet. Las reglas de filtrado del encaminador están configuradas de tal forma que los sistemas de Internet solo pueden acceder a la PNA; el tráfico dirigido a otras máquinas de la red interna está bloqueado. Ya que los sistemas internos residen en la misma red que la PNA, la política de seguridad de la organización determina si los sistemas de dentro se les permite acceder directamente a Internet, o si se les requiere usar los servicios proxies la PNA. Los usuarios de dentro pueden ser forzados a usar los servicios proxies configurando las reglas del encaminador a que acepten solo el tráfico interno proveniente sólo de la PNA. Pág.22 30/03/2016

23 Uno de los beneficios de este sistema de cortafuegos es que un servidor de información pública proporcionando servicios WEB puede ser situado en el segmento compartido por el encaminador ylapna. Si se requiere más seguridad la PNA puede implementar servicios proxies que requieran que tanto los usuarios externos como los internos accedan a la PNA antes de comunicarse con el Servidor de Información. Si la política de seguridad permitiera un nivel de seguridad más bajo el encaminador de filtrado de paquetes puede ser configurado para permitir a los usuarios que accedan directamente al servidor público de información. Pág.23 30/03/2016

24 Un sistema de seguridad adicional puede ser construido utilizando una PNA dual. La PNA dual tiene dos interfaces, pero la capacidad de retransmitir directamente el tráfico entre los dos interfaces sin pasar por los servicios proxies está deshabilitado. La topología física fuerza a que todo el tráfico destinado para la red privada pase a través de la PNA y proporciona seguridad adicional si los usuarios externos han conseguido acceso directo al Servidor de Información. Ya que la PNA es el único sistema interno que puede ser accedido directamente desde Internet, el conjunto potencial de sistemas abiertos al ataque se limita a la PNA. Sin embargo, si a los usuarios se les permite conectarse a la PNA, el conjunto potencial de sistemas amenazados se expande para incluir la red entera privada. Es crítico que la PNA sea robusta y que a los usuarios no se les permita conectarse a la PNA. Pág.24 30/03/2016

25 El sistema de cortafuegos más utilizado emplea dos encaminadores de filtrado de paquetes y una Pasarela de Nivel de Aplicación. ió Pág.25 30/03/2016

26 Este sistema de cortafuegos es el más seguro ya que soporta tanto seguridad de red, de aplicación y además define una zona de la red como zona desmilitarizada DMZ (Desmilitarized Zone). El administrador de la red sitúa la PNA, los servidores de información, la pila de módems y otros servidores públicos en la red DMZ. Pág.26 30/03/2016

27 La red DMZ funciona como una red pequeña y aislada posicionada entre la internet y la red corporativa. Típicamente la DMZ está configurada de modo que los sistemas en la Internet y los sistemas internos puedan acceder solo a un número limitado de los sistemas de la DMZ, pero la transmisión directa de tráfico a través de la DMZ está prohibida. Un intruso debe de ser capaz de entrar en tres dispositivos diferentes (sin ser detectado) para entrar en la red privada; el encaminador externo, la PNA yelencaminador interno. Ya que el encaminador externo sólo permite la entrada a la red DMZ desde Internet, los sistemas externos no tienen forma de acceder a la red privada. Esto permite asegurar al Administrador de la Red que la red privada es invisible y que solo los sistemas seleccionados en la DMZ son conocidos a la Internet a través de la tabla de rutas y los intercambios DNS. Pág.27 30/03/2016

28 Para el tráfico de entrada, el encaminador externo protege a la red frente a los ataques estándar (y maneja el acceso de Internet a la red DMZ). Este encaminador permite que los sistemas externos accedan solo a la PNA (y posiblemente al Servidor de Información). El encaminador interno proporciona una segunda línea de defensa, manejando el acceso de la DMZ a la red privada aceptando sólo el tráfico que venga de la PNA. Para el tráfico de salida desde la organización, el encaminador interno maneja el acceso de la red interna a la DMZ. Elencaminador interno permite que los sistemas accedan sólo a la PNA (y posiblemente al Servidor de Información). Las reglas de filtrado en el encaminador externo requieren el uso de servidores proxy para aceptar solo el tráfico proveniente de la PNA. Pág.28 30/03/2016

29 Son varios los beneficios de este sistema de Cortafuegos: El encaminador interno sólo deja acceder a la DMZ desde la red privada, los sistemas de la red privada no tienen rutas a Internet. Esto garantiza que los usuarios de la red interna deben de acceder a Internet a través de los servicios proxy residentes en la PNA. Los encaminadores de filtrado de paquetes envían el tráfico a sistemas específicos de la red DMZ eliminando la necesidad de que la PNA sea dual. El encaminador interno soporta mejor rendimiento i que la PNA dual cuando funciona como sistema final entre la red privada y la Internet. Ya que la red DMZ es una red diferente a la red privada, un NAT puede instalarse en la PNA para eliminar la necesidad de renombrar la red privada. Pág.29 30/03/2016

30 No hay una única solución para el diseño e implementación de un sistema de cortafuegos. tf Cada decisión de una organizaciónación será influenciada por muchos diferentes factores tales como su política de seguridad, el coste o las potenciales amenazas a la red corporativa. Ya que los beneficios de conectar a la Internet global exceden su coste, los gestores de red deberían actuar con su conocimiento de las potenciales amenazas y comprender que, con las adecuadas precauciones, sus redes pueden ser tan seguras como ellos las necesiten. Pág.30 30/03/2016

31 Los ataques que afectan a la disponibilidad de un sistema en Internet son los más fáciles de implementar. Es relativamenteamente sencillo desbordar el funcionamiento de un sistema por el envío masivo de tráfico. Ataques bien conocidos pueden afectar al mismo protocolo TCP con el envío masivo de intentos de conexión no finalizados o, por ejemplo, al protocolo ICMP con el envió masivo de paquetes ICMP fragmentados. En la figura se muestra como un sistema intruso intenta inyectar trafico al sistema de una organización intentando provocar un ataque por denegación de servicio. Este ataque ocasiona el incremento de uso de ancho de banda de la Organización. Pág.31 30/03/2016

32 En la figura se muestra como se puede responder al ataque anterior. El encaminador del Proveedor de Servicios i de Internet t(internet t service provider, ISP) puede examinar el trafico que le llega y consultado a alguna Base de Datos determinar que ese trafico puede ser malicioso. En ese momento deshabilita temporalmente el tráfico a la Organización redirigiéndolo hacia a una dirección IP donde se encuentra el sinkhole router donde el tráfico es estudiado en detalle. Pág.32 30/03/2016

33 Herramientas de análisis y captura en tiempo real reciben el trafico del sinkhole evalúan quetipo de ataque se trata y gestionan alertas de seguridad y logs para uso posterior. Pág.33 30/03/2016

34 En la figura vemos como los sinkholes se pueden localizar no solo en la propia red del proveedor de servicios sino también en distintos lugares de la propia red corporativaa de una Organización. Así por ejemplo se podrían situar en la zona desmilitarizada de un sistema de cortafuegos DMZ o en la propia red interna como muestra la figura. Pág.34 30/03/2016