Seguretat en xarxes. Tallafocs, IDS, IPS, filtrat de continguts

Transcripción

1 Seguretat en xarxes. Tallafocs, IDS, IPS, filtrat de continguts Índice de contenido Seguretat en xarxes. Tallafocs, IDS, IPS, filtrat de continguts...1 Licencia...1 Cortafuegos...1 Sin estado...2 Con estado (stateful)...2 De aplicación...3 DMZ...4 Firewall único...4 Doble firewall...5 Intrusion Detection System (IDS)...5 Tipos...6 Network IDS (NIDS)...6 IDS basado en protocolo (PIDS)...6 PIDS de aplicación (APIDS)...7 IDS basado en host (HIDS)...7 IDS híbrido...7 Problemas de los IDS...7 Ataques a los IDS...8 IDS reactivos: IPS...8 Otras medidas de seguridad...9 NAT...9 Kerberos...9 Licencia Este obra de Jesús Jiménez Herranz está bajo una licencia Creative Commons Atribución- LicenciarIgual 3.0 España. Basada en una obra en oposcaib.wikispaces.com. Cortafuegos Un cortafuegos o firewall es un elemento hardware o software utilizado en redes para controlar las comunicaciones, permitiéndolas o prohibiéndolas en función de una serie de políticas de seguridad establecidas previamente. Generalmente se ubica entre la red de la organización y el exterior, de manera que la red interna quede protegida frente a accesos no autorizados. Generalmente, en una red se definen diferentes zonas, cada una de ellas con diferentes restricciones de seguridad. Así, iría desde la más interna y restrictiva, hasta la más externa y con menos restricciones (p. ej. Internet). Ventajas del uso de cortafuegos: Protege de intrusiones Protección de la información privada Limitaciones: Sólo protegen el tráfico que pasa a través suyo No protege de ataques internos o negligencias de los propios usuarios Jesús Jiménez Herranz, 1

2 No protege contra ingeniería social No protege contra fallos en el tráfico permitido. El funcionamiento de un firewall se define como un conjunto de reglas que dicen, en función de diferentes parámetros del tráfico monitorizado (dirección origen o destino, contenido, etc.) si se debe dejar pasar la información o si se debe filtrar. Un cortafuegos puede tener dos políticas de seguridad: Restrictiva: No se deja pasar nada salvo que se configure explícitamente. Es una política más segura, pero no siempre es factible porque requiere un conocimiento exacto del funcionamiento de toda la red y sus aplicaciones, lo que hace que en ocasiones sea difícil de implementar (p. ej. si no se sabe muy bien qué puertos usa una aplicación). Permisiva: Todo funciona salvo que se filtre. Fácil de implementar pero potencialmente insegura ya que puede dejar pasar tráfico peligroso que no se haya tenido en cuenta a la hora de definir las políticas de red. A continuación se muestran las principales tipologías de firewall. Sin estado Filtran el tráfico a nivel de red (nivel 3 OSI), y por tanto filtran a nivel de la información contenida en las cabeceras de red de los paquetes. En el caso de IP, eso permite filtrar teniendo en cuenta únicamente aspectos como dirección origen y destino. Con estado (stateful) Trabajan en la capa de transporte (nivel 4 OSI) y tienen en cuenta los parámetros de los protocolos de transporte TCP y UDP, por lo que son capaces de identificar a qué flujo de datos pertenece cada paquete IP (generalmente por su puerto). Así, identifica los diferentes flujos de información y los trata por separado, por lo que se les conoce también como firewalls de flujo, de circuitos, o con estado. Un firewall de estado almacena la siguiente información relativa a una conexión: Direcciones origen y destino Puertos origen y destino Números de secuencia de los paquetes: Permite conocer la posición de los paquetes en la conversación TCP, si son inicio/final de trama, etc. Un firewall de estado también detecta los establecimientos y finalizaciones de conexión, permitiendo averiguar los extremos de la comunicación. Esto permite una gestión más eficiente ya que, una vez identificado el inicio de conexión y determinadas las políticas de red a aplicar, en sucesivos paquetes se pueden eliminar muchas comprobaciones. Aunque este funcionamiento es aplicable a conexiones TCP (orientado a conexión), generalmente los firewalls también implementan este tipo de funcionalidad para UDP (sin conexión), detectando los inicios de conexión. Jesús Jiménez Herranz, 2

3 De aplicación Seguretat en xarxes. Tallafocs, IDS, IPS, filtrat de continguts Un firewall de aplicación trabaja sobre la capa 7 OSI, y permite realizar filtrado según características de protocolos de aplicación. Así, un firewall de este tipo es capaz de monitorizar el tráfico y determinar si la conexión usa, por ejemplo, HTTP, permitiendo el filtrado sobre parámetros específicos del protocolo en concreto (p. ej. a nivel de URL en el caso de HTTP). La detección del protocolo permite el filtrado aunque se estén utilizando puertos no estándar. Jesús Jiménez Herranz, 3

4 DMZ Seguretat en xarxes. Tallafocs, IDS, IPS, filtrat de continguts Una DMZ (De-Militarized Zone) es un segmento de la red que se interpone entre la red interna y el exterior, de manera que las máquinas que componen la DMZ hacen de intermediarias y todo tráfico entre el interior y el exterior de la red debe pasar por ellas. También se conoce como red perimetral. Su función es proteger a la red interior de ataques externos. Características: La red interior no puede conectar al exterior, sólo a la DMZ Desde el exterior sólo es posible conectarse a la DMZ Desde la DMZ sólo es posible conectarse al exterior, no a la red interna. De esta forma, un atacante que consiguiese acceso a la DMZ no podría pasar de ahí, ya que no se permite el acceso desde la DMZ a la red interna en ese sentido. La sincronización entre la DMZ y la red interna se haría en dos formas: Conexiones desde la red interna Conexiones entre servicios puntuales DMZ y servidores internos: P. ej., si en la DMZ hay un servidor web que necesita acceder a una BD, no es recomendable incluir la BD en la DMZ, es mejor ubicar la BD en la red interna y permitir el acceso del servidor web usando una regla del firewall concreta para esa aplicación. Hay dos formas de implementar una DMZ: Firewall único Hay un firewall único entre la red interna, la DMZ y el exterior, por lo que se conoce como modelo de las 3 patas. En este caso, un único firewall se encarga de controlar todo el tráfico entre DMZ, red interna y exterior. El firewall es un punto único de fallo. Jesús Jiménez Herranz, 4

5 Doble firewall En este caso se establecen dos firewalls: uno para controlar el tráfico entre el exterior y la DMZ, y otro para el tráfico entre DMZ y red interior. De esta forma, se tienen diferentes ventajas: Se compartimenta la gestión, simplificándola y haciendo más difícil un error de configuración que pudiese provocar vulnerabilidades. Se aumenta la seguridad en caso de ataque externo, ya que es necesario comprometer los dos firewalls para llegar a la red interior. Esto es aún más cierto si los dos firewalls son de fabricantes/tecnologías diferentes. Intrusion Detection System (IDS) Un IDS es un sistema hardware o software diseñado para detectar intentos no solicitados de acceso, manipulación o sabotaje de un sistema, ejecutados a través de una red. En general la idea es detectar cualquier tipo de comportamiento que pueda comprometer la seguridad del sistema. Entre otros, un IDS tiene como objetivo detectar: Ataques desde la red a servicios vulnerables. Ataques a aplicaciones usando vulnerabilidades relacionadas con los datos (buffer overflows) Escalado de privilegios: Sucede cuando un usuario de pocos privilegios aprovecha vulnerabilidades del sistema operativo para aumentar sus propios privilegios. Generalmente implica utilizar algún fallo en procesos de mayor prioridad para ejecutar comandos con su nivel de acceso. Logins no autorizados Acceso a ficheros confidenciales Un IDS está formado por tres tipos de componentes: Sensores: Monitorizan determinados puntos del sistema en busca de patrones sospechosos y generan eventos. Consola: Coordina los sensores y monitoriza los diferentes eventos Motor central: Almacena los eventos y, siguiendo determinadas reglas, genera alertas de más alto nivel a partir de los eventos de seguridad. Jesús Jiménez Herranz, 5

6 Según su funcionamiento, un IDS puede ser: Pasivo: Se limita a monitorizar y, en todo caso, generar eventos. Reactivo: Además de monitorizar, un IDS reactivo actúa para hacer frente a la amenaza potencial, por ejemplo cerrando una conexión en la que se haya detectado un posible ataque. En realidad, un IDS reactivo es un IPS. Un IDS puede funcionar según dos tipos de técnicas: Basado en firmas: Se buscan patrones predefinidos que se sabe previamente corresponden a amenazas. Por ejemplo, un NIDS podría buscar intercambios de paquetes que se sepa corresponden a un ataque de denegación de servicio. Tienen el problema de que es necesario tener constantemente actualizada la base de datos de firmas. Heurístico o basado en anomalías: Monitoriza diferentes medidas del sistema a medir, y establece unos umbrales para los mismos a partir de los cuales se considera que se está produciendo un evento estadísticamente anómalo. En función de sus objetivos y forma de funcionamiento, se pueden clasificar los IDS en diferentes tipos: Tipos Network IDS (NIDS) Es un IDS independiente de ningún sistema, que se ubica en puntos concretos de la red, monitorizando el tráfico y los diferentes sistemas en busca de actividades sospechosas. Generalmente se conectan directamente a un hub/switch como un elemento más de la red, o bien duplicando uno de los puertos. Ejemplo: Snort. Tipos de ataque que detecta: Denegación de servicio: Intento de saturar un servidor sobrecargándolo con un gran número de peticiones Escaneo de puertos: Intento de averiguar los servicios disponibles en el servidor, como forma de detectar puntos vulnerables de entrada (por ejemplo detectando servicios activados por error que pudieran no estar correctamente configurados) Entrada no autorizada Un NIDS examina generalmente el tráfico de entrada, si bien también puede analizar el tráfico de salida como forma de detectar actividades sospechosas como, por ejemplo, ataques a terceros sistemas provenientes de software malicioso instalado en el servidor. IDS basado en protocolo (PIDS) Es un IDS generalmente ubicado en un servidor, y que se encarga de monitorizar todo el tráfico de un protocolo concreto entre ese servidor y el resto de la red. De esta manera, un PIDS tiene un conocimiento sobre el protocolo concreto que monitoriza, lo cual le permite detectar situaciones más complejas/sutiles que un NIDS convencional. Jesús Jiménez Herranz, 6

7 Un uso típico es la monitorización del tráfico HTTP en un servidor web. Como el PIDS entiende el protocolo HTTP, es capaz de tener en cuenta el estado de la comunicación, y tener en cuenta parámetros internos del protocolo (como la URL a acceder) que no tendría en cuenta un NIDS. PIDS de aplicación (APIDS) Similar a un PIDS, pero se situaría junto a un grupo de sistemas, monitorizando uno o más protocolos de aplicación. Un APIDS tiene conocimiento de las máquinas involucradas en el intercambio de información, y así monitoriza el estado de la comunicación, detectando, por ejemplo, si se une al proceso una tercera máquina no autorizada. Un APIDS también aprende del tráfico que monitoriza, de manera que registra los patrones de comunicación y alerta cuando se produce un patrón atípico, aunque sea entre máquinas de confianza y mediante protocolos/puertos conocidos. IDS basado en host (HIDS) IDS situado dentro de un sistema, que monitoriza su actividad interna: llamadas a sistema, logs, acceso a ficheros, etc. Ejemplo: OSSEC. Un HIDS monitoriza el comportamiento dinámico de un sistema, analizando cómo interactúan sus diferentes componentes en busca de comportamientos sospechosos. En general, un HIDS mantiene una base de datos de objetos de sistema a monitorizar. Estos objetos de sistema pueden ser ficheros, directorios, zonas de la memoria, recursos E/S, etc. Para cada objeto se almacenan sus atributos (permisos, tamaño, fechas de modificación, etc.). Una vez creada la base de datos, se monitoriza cualquier acceso a los diferentes objetos, analizando si ha sido legítimo y generando una alerta si no es así. Debido a que la BD del HIDS es un punto vulnerable a ataques, se suele certificar su integridad mediante hashes criptográficos que permitan detectar modificaciones no autorizadas. IDS híbrido Combina diferentes tipos en uno. Por ejemplo, se podría combinar un NIDS con características de un HIDS para hacer una monitorización de la red con información detallada de cada host. Problemas de los IDS Falsas alarmas: Es común que se generen alertas por eventos que no suponen ninguna amenaza. Por ejemplo: Bugs en los protocolos que generan paquetes incorrectos Paquetes corruptos por errores de transmisión Errores de los usuarios Baja frecuencia de ataques reales: El hecho de que las falsas alarmas generalmente son más frecuentes que los ataques reales hace que, cuando se produce un ataque verdadero, se tenga la tendencia a descartarlo. Actualización de BD de firmas: Es necesario mantener constantemente actualizada la BD de firmas de ataques. Jesús Jiménez Herranz, 7

8 Ataques a los IDS Seguretat en xarxes. Tallafocs, IDS, IPS, filtrat de continguts Ofuscación del tráfico: Hacer confuso el tráfico de manera que el IDS no pueda detectar los posibles ataques. Hay diferentes maneras: Cifrando parte de la información Usando código polimórfico, que se modifica a sí mismo en cada ejecución, aunque manteniendo su funcionalidad, y que evita la detección por parte de IDS basados en firmas. Fragmentación de la información: Dividiendo la información en diferentes paquetes pequeños, es posible evadir la detección en IDS simples que sólo analicen paquetes individuales. Usar características ambiguas de los protocolos: Algunas funciones de los protocolos están implementadas de forma diferente en distintos sistemas. Así, es posible encontrar algún aspecto que los IDSs implementen de forma diferente que los sistemas a atacar, y aprovecharlo para pasar desapercibido. Ataques DoS al propio IDS: Mediante múltiples ataques sencillos que se sepa que requeiren muchos recursos en el IDS puede ser posible saturarlo, atacando al sistema objetivo una vez saturado el IDS. IDS reactivos: IPS Un sistema de prevención de intrusiones (IPS: Intrusion Prevention System) es un dispositivo hardware o software que ejerce el control de acceso en una red informática, con el objetivo de protegerla de ataques y abusos. Se podría considerar una extensión de los sistemas IDS, si bien por sus características está más cercanp a medidas activas como los cortafuegos. Un IPS podría considerarse una extensión lógica de los cortafuegos, ya que su esquema de funcionamiento es similar: filtrar el tráfico en función de diferentes criterios. La diferencia es que, si un cortafuegos filtra generalmente basándose en direcciones IP y puertos, un IPS permite realizar filtrados en función de parámetros mucho más sutiles y complejos. En este aspecto se nota que los IPS surgieron como extensión de los IDS, ya que comparten las mismas técnicas de detección y funcionamiento, si bien cambiando en el modo de actuar ante las amenazas. Es común que un mismo producto implemente características de IDS e IPS simultáneamente. La principal diferencia entre un IPS de red y un firewall es que el IPS es invisible a la red, de manera que no tiene asignada una dirección. Los IPS se clasifican en dos grandes tipos: IPS de red: Controla el tráfico en la red, monitorizando y filtrando el tráfico, bloqueando conexiones y actuando directamente sobre la información (p. ej. para arreglar errores de protocolo o situaciones peligrosas) si es necesario. IPS de sistema: Se encuentra instalado en un sistema, y se encarga de evitar situaciones peligrosas. Entre otros aspectos, controla: Virus: Un software antivirus es un tipo de IPS de sistema Malware y software malicioso Accesos a los ficheros de sistema Uso de los recursos en general Jesús Jiménez Herranz, 8

9 Otras medidas de seguridad NAT NAT (Network Address Translation) es un mecanismo de red, implementado generalmente en los routers, que traduce en tiempo real las direcciones de un datagrama, traduciendo de un espacio de direcciones a otro. El objetivo inicial de NAT era aprovechar mejor el espacio de direcciones IP, permitiendo que un grupo de máquinas utilizase internamente IPs privadas, y saliese al exterior mediante una única dirección IP pública. Los routers son los encargados de ir traduciendo las direcciones públicas en privadas, así como de identificar las conversaciones entre sistemas para poder distinguir a unos sistemas de otros, para lo cual mantienen una serie de tablas de conversión. NAT puede funcionar sobre IP (traduciendo direcciones IP) aunque también sobre TCP/UDP (traduciendo puertos). Pese al objetivo inicial de ahorrar direcciones IP, NAT también se presenta útil como técnica de control de seguridad en la red, ya que permite: Anonimizar la red: Desde el exterior sólo se ve la dirección IP del router, sin ningún tipo de conocimiento sobre el esquema interno de la red. Controlar los accesos: Sólo se permiten las conexiones salientes, pero no las entrantes si no han sido iniciadas previamente por un equipo interno. Si bien esta característica añade seguridad, también impide algunos tipos de comunicación (p. ej. un equipo interno no puede actuar como servidor). Existen diferentes esquemas NAT: Estático: Todos los sistemas salen al exterior con una misma dirección IP pública. Dinámico: Existen diferentes IPs públicas con las que salir al exterior. El router se encarga de seleccionar una IP libre para cada conexión saliente. Este esquema añade más seguridad, ya que conexiones sucesivas de una misma máquina pueden salir con diferentes IPs, y se dificulta así la identificación de máquinas concretas desde el exterior. Kerberos Kerberos es un protocolo de autenticación de red, que permite a sistemas comunicándose en una red insegura certificar sus identidades de una forma segura. Se basa en el uso de un servidor de autenticación, que mediante cifrado simétrico emite tokens de autorización (tickets) que autentifican al sistema ante el resto de servidores de la red. En Kerberos se distinguen los siguientes participantes: Clientes Servidores Servidor de autenticación (AS: Authentication Server) Servidor dispensador de tickets (TGS: Ticket Granting Server) Los clientes se encuentran previamente registrados en el servidor de autenticación, que guarda una clave secreta. El proceso tiene dos fases: Jesús Jiménez Herranz, 9

10 Autenticación con la red: 1. El cliente comunica al AS que un usuario quiere servicios de la red 2. El AS consulta su BD de usuarios, y si está le envía, cifrada con la clave secreta del usuario, una clave de sesión, y un ticket general necesario para comunicarse con el TGS. 3. El cliente descifra las dos informaciones con la clave secreta del usuario. En ningún momento se envía la clave por la red. Acceso a los servidores: 1. El cliente envía al TGS la solicitud del servicio que requiere, autenticada con el ticket general obtenido previamente 2. El TGS verifica que todo está en orden, y envía un ticket para el servidor solicitado. 3. El cliente se comunica con el servidor correspondiente, autenticándose con el ticket proporcionado por el TGS. Problemas de Kerberos: El servidor Kerberos es un punto único de fallo. Si cae, no es posible el funcionamiento de la red. El servidor Kerberos guarda todas las contraseñas, por lo que también es un objetivo claro de ataques. Es necesario tener sincronizado el reloj de todos los sistemas de la red Jesús Jiménez Herranz, 10