de Departamento de Sistemas Informáticos Escuela Superior de Ingeniería Informática Universidad de Castilla-La Mancha Auditoría y Seguridad Informática, 2009-10 1 / 21
Índice de 1 2 3 de 4 3 / 21
Qué es un? de 4 / 21
de Qué es un? Un firewall o Fosa castillo medieval 5 / 21
de Qué es un? Sistema o grupo de sistemas que hace cumplir una poĺıtica de control de acceso entre dos redes Cualquier sistema (des router hasta varias redes) utilizado para separar, en cuanto a seguridad se refiere, una máquina o subred del resto, protegiéndola así de servicios y protocolos que desde el exterior puedan suponer una amenaza a la seguridad. 6 / 21
de Definiciones preliminares El espacio protegido se denomina perímetro de seguridad. Este perímetro de seguridad se protege a red externa denominada zona de riesgo. Máquina o host bastión (gates): Sistema especialmente asegurado, pero vulnerable a ataques al estar abierto a Internet. Filtra el tráfico de entrada y salida, y esconde la configuración de la red hacia afuera. Filtrado de paquetes (screening): Acción de denegar o permitir el flujo de tramas entre dos redes de acuerdo a unas normas predefinidas. A los dispositivos que llevan a cabo la función de filtrado se les denomina chokes (router). Proxy: Programa que permite o niega el acceso a una aplicación determinada entre dos redes. Los clientes proxy sólo se comunican con los servidores proxy. Éstos autorizan las peticiones redireccionándolas a los servidores reales, o las deniegan devolviendo mensaje de error. 7 / 21
de Objetivos de diseño 1 Todo el tráfico de dentro a fuera de la organización, y viceversa, ha de pasar a través del. 2 Sólo se permitirá el paso al tráfico autorizado por la poĺıtica de seguridad establecida 3 El ha de ser inmune a los ataques (utilizar un sistema fiable) Problemas básicos de seguridad 1 Centralización de todas las medidas de seguridad en una máquina. Si un atacante logra vulnerar dicha máquina, tendrá acceso a toda la subred 2 Sensación falsa de seguridad. Al instalar un nos creemos seguros y se descuida la seguridad del resto de máquinas 3 No puede prevenir de ataques internos 4 No puede prevenir de transferencias de programas o ficheros infectados de virus 8 / 21
de Decisiones básicas 1 Poĺıtica de seguridad de la organización propietaria del 2 Nivel de monitorización, redundancia y control deseado en la organización. Es decir, hay que definir cómo implementar en el, lo que se permite y lo que se deniega 1 La más restrictiva 2 La más permisiva 3 Económica. Cuánto se va a invertir en la instalación, puesta a punto y mantenimiento para proteger lo que se quiere proteger 4 Dónde se va a instalar el Si se aprovecha un elemento de la red (router) no hay más remedio que dejarlo donde está Una máquina UNIX con un brinda más posibilidades 5 Qué máquina actuará como máquina Bastión basándonos en los principios de mínima complejidad y máxima seguridad (servidor con UNIX). 6 Elegir la máquina que actuará como choke (router con capacidad de filtrado de paquetes) 9 / 21
Índice de 1 2 3 de 4 10 / 21
de Filtrado de paquetes Router IP utiliza reglas de filtrado para reducir la carga (descartar paquetes cuyo TTL ha llegado a cero, paquetes con un control de errores erróneos, o simplemente tramas de broadcast) analizando las cabeceras conforme a diferentes criterios Origen Destino Tipo Puerto Accion 158.43.0.0 * * * Deny * 195.53.22.0 * * Deny 158.42.0.0 * * * Allow * 193.22.34.0 * * Deny * * * * Deny El objetivo principal de todas las poĺıticas de seguridad implementadas mediante filtrado suele ser evitar el acceso no autorizado entre dos redes, pero manteniendo intactos los accesos autorizados 11 / 21
de Filtrado de paquetes Ventajas Simplicidad Transparente al usuario Rapidez Inconvenientes El filtrado de paquetes no examina datos de capa superiores, y por tanto no puede prevenir ataques que emplea vulnerabilidades o funciones de la capa de aplicación. Ataques por capas superiores de TCP/IP. Funcionalidad de histórico (generar ficheros log) es muy limitada por lo limitado de la información: direcciones fuente y destino, tipo de tráfico Complejidad en el establecimiento de reglas 12 / 21
de Proxy de aplicación Proxy de Aplicación: Software capaz de filtrar (enviar o bloquear) las conexiones a servicios (finger, telnet, etc.) Los proxies de aplicación se ejecutan en una máquina denominada pasarela de la aplicación, gateways o servidor de proxies 13 / 21
de Proxy de aplicación Ventajas Sólo se permite la utilización de servicios para los que existe un proxy Se pueden implementar mecanismos de filtrado más potentes, simplificando las reglas de filtrado implementadas en el router Inconvenientes Se necesita un proxy por aplicación Es más costoso que un simple filtro de paquetes Rendimiento mucho menor limitando el ancho de banda efectivo de la red si resulta ser costoso el análisis a trama 14 / 21
Índice de 1 2 3 de 4 15 / 21
de de Screening Router o de Filtrado de paquetes Es la manera más sencilla de implementar un Se basa en aprovechar la capacidad de algunos routers para bloquear o filtrar paquetes en función de su protocolo, su servicio o la dirección IP, de manera que el router actúa como pasarela de la subred Se aplica en entornos cuyos requerimientos de seguridad no sean muy exigentes (carece de mecanismos de monitorización y las reglas de acceso pueden ser difíciles de establecer) 16 / 21 Qué problema general de seguridad puede presentar esta arquitectura?
de de Dual-Homed Host Consiste en un host con dos tarjetas de red El host no realiza tareas de encaminamiento aislando la red interna de la externa Cómo se proporcionan servicios Mediante las mismas cuentas de los usuarios en el host. Presenta un gran problema de seguridad, Por qué?. Mediante servicios proxy 17 / 21 Qué problema general de seguridad puede presentar esta arquitectura?
de de Screened Host Consta router para el filtrado de paquetes y de host para filtrado en otras capas ISO/OSI Se prestan servicios proxy en el host bastión o bien el router puede enviar a host internos Qué problema general de seguridad puede presentar esta arquitectura? 18 / 21
de de Screened Subnet o DMZ Consta de dos routers y un host, delimitando red externa, red perimetral y red interna. Qué problema general de seguridad puede presentar esta arquitectura? 19 / 21
Índice de 1 2 3 de 4 20 / 21
de Antonio Villalón Huerta. Seguridad en UNIX y Redes. Versión 2.1, Julio-2002. Brent Chapman and Elizabeth D. Zwicky. Construya Firewalls para Internet. O Reilly and Associates, Inc, 1997. William Stallings. Network Security Essentials. Ed. Prentice-Hall, 2003. 21 / 21