Tema 41 Medidas de seguridad en conectividad a redes

Tema 41.- Medidas de seguridad en conectividad de redes: Cortafuegos, IDS, IPS, filtro de contenidos.
Introduccin......................................................................................................................1 1 Cortafuegos Firewall-...................................................................................................3 1.1 Polticas de control de acceso..................................................................................4 1.2 rganizacin de una LAN segn el nivel de seguridad..........................................4 2 Sistemas de Deteccin de Intrusos IDS ....................................................................5 3 Sistema de Prevencin de Intrusos IPS ....................................................................7 4 Filtro por contenidos.......................................................................................................8 4.1 Clasificacin de Pginas Mediante Etiquetas PICS Plataforma para la Seleccin de Contenidos de Internet-.............................................................................................9 5 Servidores intermediarios ..............................................................................................9

Introduccin
Las comunicaciones a travs de redes de ordenadores suponen un riesgo para los sistemas informticos conectados a las mismas. El motivo es que las tecnologas de comunicaciones ms usadas son inseguras, pues no se tuvieron en cuenta como prioritarios los requisitos de seguridad al disearlas. Esta inseguridad aumenta al conectar equipos o redes privadas a Internet dado el carcter pblico de este medio de comunicacin. Es por ello, que se dotan a las conexiones entre redes de comunicaciones de medidas de seguridad para garantizar su seguridad. Los principios que se busca conseguir son: Garantizar la disponibilidad de sus servicios y La integridad y confidencialidad de sus datos

El proceso de seguridad en un entorno de redes se puede dividir en tres partes: Prevencin/Proteccin, Deteccin y Respuesta. Prevencin Proteccin

Deteccin

Reaccin En la fase de Prevencin/Proteccin, se implantan los mecanismos que protegen a los sistemas de la organizacin frente a ataques que puedan producirse. Se basa en una correcta identificacin y anlisis de riesgos de los activos a proteger. Tras el cual se definen las contramedidas a adoptar para protegerlos. Son las actividades pro-activas, que se realizan para minimizar las probabilidades de que se produzcan incidentes. (Aqu se clasificaran, por ejemplo, los firewall)

Pgina 1 de 9

Tema 41 Medidas de seguridad en conectividad a redes

En la fase de Deteccin de ataques, se despliega las actividades para atajar el nivel de riesgo residual que no pueden rebajar las medidas de proteccin. Se toman medidas para detectar cundo las medidas de proteccin no han sido efectivas. (Aqu se incluiran los IDS) La fase de Reaccin, cuando se detecta un ataque se efecta unas actividades de respuesta al mismo, pudiendo ser de forma automatizada o ser realizado con intervencin humana, es decir, de forma manual. Son las actividades re-activas. (Aqu apareceran los IPS, como un sistema de respuesta automatizada) La frontera entre los IDS e IPS no est clara, pues existen los denominados IDS reactivos que tienen capacidad de reaccin. Se suelen diferenciar en que los IDS reactivo actan tras detectar la intrusin, los IPS son capaces de actuar antes al detectar los indicios de los ataques y prevenir la amenaza.

Pgina 2 de 9

Tema 41 Medidas de seguridad en conectividad a redes

1 Cortafuegos FirewallUn cortafuego es un componente hardware o software de control de las comunicaciones dentro de una red. Impide que las comunicaciones inseguras circulen por la red. Los cortafuegos controlan el trfico entre diferentes zonas de confianza. Tpicamente, las zonas de confianza incluyen Internet, como zona insegura, y la Intranet, como zona segura. En una Intranet compleja, suelen aparecer diferentes subredes con diferentes niveles de seguridad. El conjunto de reglas que utiliza el cortafuegos a la hora de realizar el control de las comunicaciones constituyen las polticas de control de acceso a la red. Adems, los cortafuegos pueden realizar actividades de monitorizacin de la red. Aportan una gran cantidad de informacin para el administrador del sistema como son el tipo de trfico que pasa a travs de l, su volumen, el nmero de intentos de conexin desde el exterior, etc. Los cortafuegos se pueden clasificar segn el mbito de uso en: Cortafuegos Personales, una aplicacin software que filtra el trfico que entra o sale de un ordenador. Consumen recursos del ordenador. Cortafuegos de red: Es un equipo localizado en la frontera entre dos o ms redes. Controlan el trfico que pasa a travs de l. El cortafuegos puede ejecutarse en un dispositivo de red especializado o sobre un ordenador que haga de puente entre las red. En referencia a la capa TCP/IP donde el trfico puede ser interceptado, existen dos categoras de cortafuegos. Cortafuegos a nivel de red: El control de trfico a nivel de red consiste en analizar todos los paquetes que llegan a un interfaz de red, y decidir si se les deja pasar o no en base a la informacin de sus cabeceras: protocolo, direccin de origen y direccin de destino fundamentalmente. Puesto que analizar esta informacin es muy sencillo, este tipo de cortafuegos suelen ser muy rpidos. Cortafuegos a nivel de aplicacin: el control se hace analizando las comunicaciones a nivel de su contenido. El cortafuego es por tanto mucho ms inteligente y posee un control ms fino de la comunicacin, aunque esto supone una mayor carga de trabajo. Por ejemplo, si se filtra el protocolo smtp, se puede configurar para que impida todos los correos destinados a servidores de correos pblicos como Hotmail o gmail. No puede analizar comunicaciones cifradas, como las comunicaciones HTTPS.

Pgina 3 de 9

Tema 41 Medidas de seguridad en conectividad a redes

1.1 Polticas de control de acceso

Para que el cortafuego sea una herramienta de seguridad eficaz se tiene que establecer una poltica de control de acceso adecuada a las necesidades del entorno protegido. Por un lado es necesario impedir todas las comunicaciones potencialmente peligrosas dentro de la red, pero un filtrado excesivo puede provocar que servicios de la red no sean operativos. Hay dos polticas bsicas en la configuracin de un cortafuegos y que cambian radicalmente el paradigma de la seguridad en la organizacin: Poltica restrictiva: Se deniega todo el trfico excepto el que est explcitamente permitido. Se habilita expresamente los servicios que se necesiten. Poltica permisiva: Se permite todo el trfico excepto el que est explcitamente denegado. Cada servicio potencialmente peligroso necesitar ser aislado caso a caso, mientras que el resto del trfico no ser filtrado. La poltica restrictiva es la ms segura, ya que es ms difcil permitir por error trfico potencialmente peligroso, aunque tiene el inconveniente de necesitar un mayor mantenimiento y aumenta la posibilidad de bloquear trfico legtimo.

1.2 rganizacin de una LAN segn el nivel de seguridad

Con el uso de cortafuegos, es habitual organizar una LAN en dos reas de seguridad: rea DMZ - Zona Desmilitaritzada: Es una zona de la red que no es parte de la red interna ni de Internet. Tpicamente, es un rea entre el router de acceso a Internet y el principal firewall de la red que da acceso a la LAN interna. La zona DMZ es una parte de la subred con una poltica de control de acceso menos estricta. Su finalidad es situar los servidores que son accedidos desde Internet, por ejemplo los servidores web, servidores ftp... rea de la LAN interna: Es la red donde se conectan el resto de equipos de la organizacin (Equipos de los usuarios, servidores de BBDD, servidores de aplicaciones internas) El control de acceso en esta parte de la red debe ser ms estricto.

La arquitectura DMZ ms segura utiliza dos niveles de firewalls. El primer nivel realiza un filtrado de las comunicaciones poco estricto, que permita las comunicaciones desde Internet. El interno realiza un filtrado ms estricto, evitando que se inicien las comunicaciones desde el exterior.
Servidores con acceso desde Internet Firewall Externo Firewall Interno Equipos internos de la organizacin

INTERNET

DMZ (Zona menos segura)

LAN (Zona segura)

Se pueden establecer arquitecturas con un slo firewall con tres puertos, al cual se conectan las tres redes y se establecen filtros diferentes para la red DMZ y la LAN Interna. Esta arquitectura es ms simple, pero ms insegura. Un error en la configuracin podra permitir accesos inseguros a la LAN interna.

Pgina 4 de 9

Tema 41 Medidas de seguridad en conectividad a redes

2 Sistemas de Deteccin de Intrusos IDS

Un Sistema de deteccin de Intrusiones IDS , es cualquier sistema hardware o software encargado de detectar la intrusin o intento de intrusin en un sistema informtico o red de comunicaciones. Una intrusin es una acceso no autorizado a un equipo o a una red de una organizacin que supone una amenaza a la seguridad. Funcionamiento Los IDS monitorean y analizan constantemente las comunicaciones de una red en busca de actividades sospechosas, como seales de rastreos de puertos abiertos o paquetes malformados, etc. Cuando se detecta una intrusin, el IDS reacciona. Generalmente la reaccin es enviar una alerta a los administradores de la red y recoger la informacin ms relevante sobre la intrusin. El funcionamiento de los IDS se basa en el anlisis del trfico de red. Los IDS se componen de sensores virtuales, como sniffers, que capturan el trfico para analizarlo y compruebar el tipo de trfico que es, su contenido y su comportamiento. Para detectar las intrusiones suelen disponer de una base de datos de firmas de ataques conocidos. Dichas firmas permiten al IDS distinguir entre el trfico normal de la red y el trfico que puede ser resultado de un ataque o intento del mismo. Existen tres tipos de sistemas de deteccin de intrusos: 1. HIDS (HostIDS): un IDS que vigila un nico equipo y por tanto su interfaz corre en modo no promiscuo. La ventaja es que la carga de procesado es mucho menor. 2. NIDS (NetworkIDS): un IDS conectado a una red, detectando intrusiones en todo un segmento de la red. Su interfaz debe funcionar en modo promiscuo capturando as todo el trfico de la red. Puede estar instalado en uno de los equipos del segmento de red o en un equipo de la red como un hub o switch. 3. DIDS (DistributedIDS): sistema basado en la arquitectura cliente-servidor compuesto por una serie de NIDS (IDS de redes) que actan como sensores que envan la informacin de posibles ataques en una unidad central que controla toda la red de forma centralizada. La ventaja es que en cada NIDS se puede fijar unas reglas de control especializndose para cada segmento de red. Pueden vigilar toda una red LAN compleja de forma centralizada. Segn su reaccin ante la deteccin de una intrusin los IDS se clasifican en dos tipos: Reactivos: En un sistema reactivo, el IDS responde a la actividad sospechosa reprogramando el cortafuegos para que bloquee trfico que proviene del atacante. Actualmente, los fabricantes IDS reactivos los suelen denominar IPS. Pasivos: Los IDS pasivos, al detectar una intrusin, almacena la informacin y manda una seal de alerta. Segn el tipo de amenaza, se informa con ms o menos urgencia a los administradores de la red.

Pgina 5 de 9

Tema 41 Medidas de seguridad en conectividad a redes

El IDS es incapaz de detener los ataques por s solo, excepto los que trabajan conjuntamente con un cortafuego. Los IDS suelen almacenar informacin de las intrusiones detectadas y copia de los paquetes afectados. Esto permite a los administradores de la red realizar un anlisis forense del ataque. La implementacin de un IDS puede ser hardware, software o una combinacin de ambas. Los IDS hardware son equipos especializados conectados a la red, capaces de controlar una red con mucho trfico. Los IDS software son aplicaciones ejecutados en un equipo de la red. Es una solucin barata, pero tiene el inconveniente de que si tienen que analizar mucho trfico, pueden sobrecargar el equipo donde se ejecutan. Un IDS conocido es la aplicacin Snort (Software GPL). Consiste en un IDS de red (NIDS) que se compone de un sniffer para la captura de los paquetes de las comunicaciones, un ncleo capaz de analizar los paquetes buscando patrones de intrusiones, almacn de la informacin en log de texto o BBDD MySQL y posibilidad de integracin con herramientas de generacin de informes en tiempo real.

Pgina 6 de 9

Tema 41 Medidas de seguridad en conectividad a redes

3 Sistema de Prevencin de Intrusos IPS

Los sistemas IPS se pueden considerar una evolucin de los sistemas IDS. Su funcionamiento es similar y se diferencian en que tienen un comportamiento ms proactivo. Los sistemas IDS reactivos slo actan cuando surge una intrusin, para minimizar su impacto. En cambio, los IPS, adems de detectar intrusiones, analizan el comportamiento de las comunicaciones. Segn su comportamiento van ajustando las restricciones y filtros de los sistemas de seguridad, como los cortafuegos, para prevenir las intrusiones. La mayora de intrusiones se realizan utilizando programas que permiten automatizar las acciones necesarias para la intrusin en un sistema informtico. Estos programas, previamente realizan actividades para obtener informacin del sistema a atacar. Los IPS son capaces de detectar las acciones de toma de informacin y reaccionar para prevenir el ataque. Los sistemas IPS realizan un anlisis amplio de las comunicaciones, trabajan a nivel multicapa (Aplicacin y red). Identifican el tipo de servicio al que acceden las comunicaciones y vigilan que estas sigan sus normas. Por ejemplo, son capaces de detectar un ataque DoS al detectar un volumen anormal de trfico de un mismo origen sobre un equipo en particular . Los sistemas de IPS pueden combinan las funciones de seguridad preventiva, IDS, antivirus, filtrado de contenidos Sus objetivos son: Aumentar la capacidad de resistencia ante los ataques, actuando antes de que se produzcan (Actividades pro-activas) Actuar cuando detecte una intrusin. De dos formas: o Avisando a los administradores de la red o Activando automticamente los mecanismos de defensa Reducir el nmero de alarmas falsas, frecuentes en los sistemas IDS. Evitar los falsos positivos, es decir, bloquear trfico legtimo al confundirlo con trfico de riesgo. Este es uno de sus principales inconvenientes de los IPS actuales. Como en el caso de IDS, podemos encontrar dos tipos de IPS segn su localizacin en la red: Host IPS: IPS software localizado en los servidores u otros equipos crticos. Proveen una proteccin ms especfica y son capaces de analizar las comunicaciones cifradas. Como inconveniente tiene que consumen recursos del equipo al que protegen. (Por ejemplo, en un proxy de acceso a Internet) Network IPS y IPS distribuidos: Equipos hardware con funciones de IPS. Analizan el trfico que circula por la red. Tiene problemas para analizar las comunicaciones cifradas. Como los IDS tambin hay IPS distribuidos que permiten una administracin centralizada.

Pgina 7 de 9

Tema 41 Medidas de seguridad en conectividad a redes

4 Filtro por contenidos

El filtro de contenidos, o software de control de contenidos, es el software especializado en monitorizar y filtrar la informacin transmitida a travs de la red, especialmente utilizando el servicio web. El filtro de contenidos determina que contenido estar disponible para una determinada mquina o red. La finalidad es prevenir la visualizacin de contenidos que el propietario del ordenador considera prohibidos. El uso comn es el control de lo que ven los nios por Internet, en sus casas y colegios, o lo que ven empleados mientras trabajan. Frecuentemente se restringen las pginas web que contienen: Contenidos considerados ilegales Contenidos sexuales, pornografa y cualquier materia considerada no apta para menores. Materias no relacionadas con las funciones del estudiante o trabajador que utiliza el ordenador. Cada ordenador personal. Filtra los contenidos que se visualizan en ese ordenador. Permite que las reglas de filtrados se personalicen para cada usuario o programa. En el servidor de enlace a Internet (router o proxy). Filtra los contenidos para toda la red. La capacidad de personalizar los filtros es menor, pero en cambio su mantenimiento es ms sencillo. No puede analizar los contenidos encriptados.

El software de filtrado de contenidos puede estar localizado en:

Los mtodos de filtrado utilizado son: Listas positivas y negativas: Se basa en la creacin de listas de pginas, normalmente se parte de una lista predeterminada de pginas prohibidas (el programa no permite el acceso a las pginas que estn incluidas en esta lista) o de una lista positiva (slo se permite el acceso a pginas que estn incluidas en esta lista). Bloqueo de palabras clave: utilizan ciertas palabras para bloquear el acceso a pginas que contengan dichas palabras. Puede dar lugar a bloquear pginas legtimas. Es muy usado en los sistemas anti-spam del correo electrnico. Control horario: El software impide el acceso a los contenidos de Internet en determinadas franjas horarias. Auditora: recogen informacin sobre el tiempo que pasan los usuarios en Internet y las pginas que visitan.

Pgina 8 de 9

Tema 41 Medidas de seguridad en conectividad a redes

4.1 Clasificacin de Pginas Mediante Etiquetas PICS Plataforma para la Seleccin de Contenidos de InternetEl filtrado de contenidos tiene actualmente especial importancia en el control de los contenidos a los que acceden los menores de edad, a travs de la web. Es por ello que la W3C ha desarrollado unas nuevas especificaciones de etiquetas de metadatos para clasificar el contenido web. Estas etiquetas pueden venir incluidas dentro del cdigo xhtml o suministradas de forma externa por servidores independientes. El software de filtrado utiliza la informacin de las etiquetas para determinar si los contenidos son aceptables o no. Los principales navegadores web tienen la opcin de filtrar las pginas web utilizando las etiquetas PICS. PICS describe dos mtodos de clasificacin de los contenidos: La autoclasificacin por los propios creadores de las pginas web. Se insertan las etiquetas PIC como metadatos de la web. Clasificacin por terceros, asociaciones de padres, profesores - la clasificacin en estos casos se obtiene de forma externa, desde servidores independientes a los servidores origen de la web. Para que este mtodo funcione, tiene que haber un gran porcentaje de pginas clasificadas, cosa que no ocurre actualmente.

5 Servidores intermediarios
Los servidores intermediarios, tambin conocidos como Proxies, es un componente de la red que hace de enlace el trfico entre una red privada e Internet. Proporciona un acceso indirecto a la red de Internet. Trabaja al nivel de aplicacin segn el modelo de comunicaciones OSI. Los proxies pueden realizar funciones de seguridad como:

Funciones de autentificacin. Los equipos de la red deben autentificarse ante el servidor proxy para poder acceder a Internet. Funciones de cortafuego, pueden configurarse para proporcionar mecanismos de seguridad especficos para cada protocolo. Por ejemplo, configurarlo para permitir conexiones FTP de entrada a la red pero no de salida.

Existen Proxies que proporcionan sistemas de traduccin de direcciones -NAT-. Los equipos disponen de direcciones IP locales que el proxy traduce al acceder a Internet. Esto permite que desde el exterior no se pueda realizar un acceso directo a estos equipos -Enmascaramiento de direcciones-.

Pgina 9 de 9