cortafuegos - segurtasuna.files.wordpress.com · cortafuegos, lo que se permite y lo que se deniega...
Post on 31-Jul-2020
8 Views
Preview:
TRANSCRIPT
Cortafuegos
Enrique Arias
Introduccion
Componentesde uncortafuegos
Arquitecturasde cortafuegos
Bibliografıa
Cortafuegos
Enrique Arias
Departamento de Sistemas InformaticosEscuela Superior de Ingenierıa Informatica
Universidad de Castilla-La Mancha
Auditorıa y Seguridad Informatica, 2009-10
1 / 21
Cortafuegos
Enrique Arias
Introduccion
Componentesde uncortafuegos
Arquitecturasde cortafuegos
Bibliografıa
Indice
1 Introduccion
2 Componentes de un cortafuegos
3 Arquitecturas de cortafuegos
4 Bibliografıa
3 / 21
Cortafuegos
Enrique Arias
Introduccion
Componentesde uncortafuegos
Arquitecturasde cortafuegos
Bibliografıa
Introduccion
¿Que es un cortafuegos?
4 / 21
Cortafuegos
Enrique Arias
Introduccion
Componentesde uncortafuegos
Arquitecturasde cortafuegos
Bibliografıa
Introduccion
¿Que es un cortafuegos?
Un firewall o cortafuegos ≡Fosa de un castillo medieval
5 / 21
Cortafuegos
Enrique Arias
Introduccion
Componentesde uncortafuegos
Arquitecturasde cortafuegos
Bibliografıa
Introduccion
¿Que es un cortafuegos?
Sistema o grupo de sistemas que hace cumplir una polıtica de controlde acceso entre dos redes
Cualquier sistema (desde un router hasta varias redes) utilizado paraseparar, en cuanto a seguridad se refiere, una maquina o subred delresto, protegiendola ası de servicios y protocolos que desde el exteriorpuedan suponer una amenaza a la seguridad.
6 / 21
Cortafuegos
Enrique Arias
Introduccion
Componentesde uncortafuegos
Arquitecturasde cortafuegos
Bibliografıa
Introduccion
Definiciones preliminares
El espacio protegido se denomina perımetro de seguridad.
Este perımetro de seguridad se protege de una red externa denominadazona de riesgo.
Maquina o host bastion (gates): Sistema especialmente asegurado, perovulnerable a ataques al estar abierto a Internet. Filtra el trafico deentrada y salida, y esconde la configuracion de la red hacia afuera.
Filtrado de paquetes (screening): Accion de denegar o permitir el flujode tramas entre dos redes de acuerdo a unas normas predefinidas. A losdispositivos que llevan a cabo la funcion de filtrado se les denominachokes (router).
Proxy: Programa que permite o niega el acceso a una aplicaciondeterminada entre dos redes. Los clientes proxy solo se comunican conlos servidores proxy. Estos autorizan las peticiones redireccionandolas alos servidores reales, o las deniegan devolviendo mensaje de error.
7 / 21
Cortafuegos
Enrique Arias
Introduccion
Componentesde uncortafuegos
Arquitecturasde cortafuegos
Bibliografıa
Introduccion
Objetivos de diseno de un cortafuegos
1 Todo el trafico de dentro a fuera de la organizacion, y viceversa, ha depasar a traves del cortafuegos.
2 Solo se permitira el paso al trafico autorizado por la polıtica deseguridad establecida
3 El cortafuegos ha de ser inmune a los ataques (utilizar un sistemafiable)
Problemas basicos de seguridad
1 Centralizacion de todas las medidas de seguridad en una maquina. Si unatacante logra vulnerar dicha maquina, tendra acceso a toda la subred
2 Sensacion falsa de seguridad. Al instalar un cortafuegos nos creemosseguros y se descuida la seguridad del resto de maquinas
3 No puede prevenir de ataques internos
4 No puede prevenir de transferencias de programas o ficheros infectadosde virus
8 / 21
Cortafuegos
Enrique Arias
Introduccion
Componentesde uncortafuegos
Arquitecturasde cortafuegos
Bibliografıa
Introduccion
Decisiones basicas
1 Polıtica de seguridad de la organizacion propietaria del cortafuegos2 Nivel de monitorizacion, redundancia y control deseado en la
organizacion. Es decir, hay que definir como implementar en elcortafuegos, lo que se permite y lo que se deniega
1 La mas restrictiva2 La mas permisiva
3 Economica. Cuanto se va a invertir en la instalacion, puesta a punto ymantenimiento de un cortafuegos para proteger lo que se quiereproteger
4 Donde se va a instalar el cortafuegosSi se aprovecha un elemento de la red (router) no hay mas remedio quedejarlo donde estaUna maquina UNIX con un cortafuegos brinda mas posibilidades
5 Que maquina actuara como maquina Bastion basandonos en losprincipios de mınima complejidad y maxima seguridad (servidor conUNIX).
6 Elegir la maquina que actuara como choke (router con capacidad defiltrado de paquetes)
9 / 21
Cortafuegos
Enrique Arias
Introduccion
Componentesde uncortafuegos
Arquitecturasde cortafuegos
Bibliografıa
Indice
1 Introduccion
2 Componentes de un cortafuegos
3 Arquitecturas de cortafuegos
4 Bibliografıa
10 / 21
Cortafuegos
Enrique Arias
Introduccion
Componentesde uncortafuegos
Arquitecturasde cortafuegos
Bibliografıa
Componentes de un cortafuegos
Filtrado de paquetes
Router IP utiliza reglas de filtrado para reducir la carga (descartarpaquetes cuyo TTL ha llegado a cero, paquetes con un control deerrores erroneos, o simplemente tramas de broadcast) analizando lascabeceras conforme a diferentes criterios
Origen Destino Tipo Puerto Accion
158.43.0.0 * * * Deny* 195.53.22.0 * * Deny
158.42.0.0 * * * Allow* 193.22.34.0 * * Deny* * * * Deny
El objetivo principal de todas las polıticas de seguridad implementadasmediante filtrado suele ser evitar el acceso no autorizado entre dosredes, pero manteniendo intactos los accesos autorizados
11 / 21
Cortafuegos
Enrique Arias
Introduccion
Componentesde uncortafuegos
Arquitecturasde cortafuegos
Bibliografıa
Componentes de un cortafuegos
Filtrado de paquetes
Ventajas
Simplicidad
Transparente al usuario
Rapidez
Inconvenientes
El filtrado de paquetes no examina datos de capa superiores, y por tantono puede prevenir ataques que emplea vulnerabilidades o funciones dela capa de aplicacion. Ataques por capas superiores de TCP/IP.
Funcionalidad de historico (generar ficheros log) es muy limitada por lolimitado de la informacion: direcciones fuente y destino, tipo de trafico
Complejidad en el establecimiento de reglas
12 / 21
Cortafuegos
Enrique Arias
Introduccion
Componentesde uncortafuegos
Arquitecturasde cortafuegos
Bibliografıa
Componentes de un cortafuegos
Proxy de aplicacion
Proxy de Aplicacion: Software capaz de filtrar (enviar o bloquear) lasconexiones a servicios (finger, telnet, etc.)
Los proxies de aplicacion se ejecutan en una maquina denominadapasarela de la aplicacion, gateways o servidor de proxies
13 / 21
Cortafuegos
Enrique Arias
Introduccion
Componentesde uncortafuegos
Arquitecturasde cortafuegos
Bibliografıa
Componentes de un cortafuegos
Proxy de aplicacion
Ventajas
Solo se permite la utilizacion de servicios para los que existe un proxy
Se pueden implementar mecanismos de filtrado mas potentes,simplificando las reglas de filtrado implementadas en el router
Inconvenientes
Se necesita un proxy por aplicacion
Es mas costoso que un simple filtro de paquetes
Rendimiento mucho menor limitando el ancho de banda efectivo de lared si resulta ser costoso el analisis de una trama
14 / 21
Cortafuegos
Enrique Arias
Introduccion
Componentesde uncortafuegos
Arquitecturasde cortafuegos
Bibliografıa
Indice
1 Introduccion
2 Componentes de un cortafuegos
3 Arquitecturas de cortafuegos
4 Bibliografıa
15 / 21
Cortafuegos
Enrique Arias
Introduccion
Componentesde uncortafuegos
Arquitecturasde cortafuegos
Bibliografıa
Arquitecturas de cortafuegos
Screening Router o de Filtrado de paquetes
Es la manera mas sencilla de implementar un cortafuegos
Se basa en aprovechar la capacidad de algunos routers para bloquear ofiltrar paquetes en funcion de su protocolo, su servicio o la direccion IP,de manera que el router actua como pasarela de la subred
Se aplica en entornos cuyos requerimientos de seguridad no sean muyexigentes (carece de mecanismos de monitorizacion y las reglas deacceso pueden ser difıciles de establecer)
¿Que problema general de seguridad puede presentar esta arquitectura?16 / 21
Cortafuegos
Enrique Arias
Introduccion
Componentesde uncortafuegos
Arquitecturasde cortafuegos
Bibliografıa
Arquitecturas de cortafuegos
Dual-Homed Host
Consiste en un host con dos tarjetas de red
El host no realiza tareas de encaminamiento aislando la red interna dela externa
Como se proporcionan serviciosMediante las mismas cuentas de los usuarios en el host. Presenta ungran problema de seguridad, ¿Por que?.Mediante servicios proxy
¿Que problema general de seguridad puede presentar esta arquitectura?17 / 21
Cortafuegos
Enrique Arias
Introduccion
Componentesde uncortafuegos
Arquitecturasde cortafuegos
Bibliografıa
Arquitecturas de cortafuegos
Screened Host
Consta de un router para el filtrado de paquetes y de host para filtradoen otras capas ISO/OSI
Se prestan servicios proxy en el host bastion o bien el router puedeenviar a host internos
¿Que problema general de seguridad puede presentar esta arquitectura?
18 / 21
Cortafuegos
Enrique Arias
Introduccion
Componentesde uncortafuegos
Arquitecturasde cortafuegos
Bibliografıa
Arquitecturas de cortafuegos
Screened Subnet o DMZ
Consta de dos routers y un host, delimitando red externa, redperimetral y red interna.
¿Que problema general de seguridad puede presentar esta arquitectura?
19 / 21
Cortafuegos
Enrique Arias
Introduccion
Componentesde uncortafuegos
Arquitecturasde cortafuegos
Bibliografıa
Indice
1 Introduccion
2 Componentes de un cortafuegos
3 Arquitecturas de cortafuegos
4 Bibliografıa
20 / 21
Cortafuegos
Enrique Arias
Introduccion
Componentesde uncortafuegos
Arquitecturasde cortafuegos
Bibliografıa
Bibliografıa
Antonio Villalon Huerta. ”Seguridad en UNIX y Redes”. Version 2.1,Julio-2002.
Brent Chapman and Elizabeth D. Zwicky. ”Construya Firewalls para
Internet”. O’Reilly and Associates, Inc, 1997.
William Stallings. ”Network Security Essentials”. Ed. Prentice-Hall,2003.
21 / 21
top related