Sie sind auf Seite 1von 44

Seguridad (4/4) redes y seguridad

Proteccin de datos en una red

Agenda de seguridad
1.- Secretos: criptografa 2.- Protocolos de seguridad 3.- Aplicaciones y seguridad 4.- Redes y seguridad

Redes y seguridad
Introduccin: tipos de ataque y poltica de seguridad Proteccin del permetro (cortafuegos) y deteccin de intrusos

De quin nos protegemos?


Ataque Interno
Ataque Acceso Remoto

Internet

Soluciones
Firewalls (cortafuegos) Proxies (o pasarelas) Control de Acceso Cifrado (protocolos seguros) Seguridad del edificio Hosts, Servidores Routers/Switches

Intrusin Externa

Intrusin Interna

Deteccin de Intrusiones
5

Diseo de un sistema de seguridad


El proceso de disear un sistema de seguridad podra decirse que es el encaminado a cerrar las posibles vas de ataque, lo cual hace imprescindible un profundo conocimiento acerca de las debilidades que los atacantes aprovechan, y del modo en que lo hacen. 1 administrador, infinitos atacantes expertos con diferentes tcnicas y herramientas Adems, existe una gran variedad de ataques posibles a vulnerabilidades pero en la prctica se utiliza una combinacin de stas. Los intrusos, antes de poder atacar una red, deben obtener la mayor informacin posible acerca de esta; intentan obtener la topologa, el rango de IPs de la red, los S.O, los usuarios, etc. El administrador debe saber, que existen organismos que informan de forma actualizada, las tcnicas de ataque utilizadas y novedades, ej CERT/CC (Computer Emergency Response Team Coordination Center) http://www.cert.org
6

Soluciones de seguridad
Conectividad Permetro Deteccin de intruso Identidad Administracin de Seguridad

Autenficacin

VPN

Cortafuegos

Control de acceso PKI

Poltica de seguridad

Herramientas de seguridad: protocolos seguros (IPSec, SSL, SSH) almacenamiento de claves (tarjetas inteligentes) certificados (X.509, PGP)

10

TENER EN CUENTA
A qu nivel se gestiona la seguridad?
1. Sistema operativo: contraseas, permisos de archivos, criptografa 2. Protocolos y aplicaciones de red: permisos de acceso, filtrado de datos, criptografa 3. Identificacin de personal: dispositivos de identificacin personal, criptografa

Todo ello se deber reflejar en el BOLETIN DE POLITICA DE SEGURIDAD

11

Gestin de Seguridad
2) ASEGURAR Cortafuegos Software fiable IPSec PKI

5) GESTIONAR y . MEJORAR Adminitracin de recursos

1) POLITICA de SEGURIDAD

3) MONITORIZAR y REACCIONAR IDS

4) COMPROBAR Escaneo de vulnerabilidades


12

Peligros y modos de ataque (1/8)

Muchos!

13

Ejemplo de bsqueda de informacin

14

Puertos abiertos
Starting nmap 3.70 ( http://www.insecure.org/nmap/ ) at 2004-10-14 11:36 CEST Interesting ports on laetitia.irobot.uv.es (147.156.222.45): (The 1654 ports scanned but not shown below are in state: filtered) PORT STATE SERVICE 25/tcp open smtp 80/tcp open http 111/tcp closed rpcbind 443/tcp open https 3456/tcp closed vat 44334/tcp open tinyfw

SO
Device type: general purpose Running: FreeBSD 2.X|3.X|4.X, Microsoft Windows 95/98/ME|NT/2K/XP OS details: FreeBSD 2.2.1 - 4.1, Microsoft Windows Millennium Edition (Me), Windows 2000 Professional or Advanced Server, or Windows XP Nmap run completed -- 1 IP address (1 host up) 15 scanned in 22.486 seconds

Telnet a puertos abiertos


telnet al puerto 25: Microsoft ESMTP versin 5.0.21

telnet al puerto 80:

Server: Microsoft IIS/5.0

Microsoft Internet Information Service/5.0 : Coladero!!!!!!

16

Redes y seguridad
Introduccin: tipos de ataque y poltica de seguridad Proteccin del permetro (cortafuegos) y deteccin de intrusos

17

Tendencias de seguridad
Todas las lneas actuales de investigacin en seguridad de redes comparten una idea: la concentracin de la seguridad en un punto, obligando a todo el trfico entrante y saliente pase por un mismo punto, que normalmente se conoce como cortafuegos o firewall, permitiendo concentrar todos los esfuerzos en el control de trfico a su paso por dicho punto

18

Cortafuegos (1/2)
Consiste en un dispositivo formado por uno o varios equipos que se sitan entre la red de la empresa y la red exterior (normalmente la Internet), que analiza todos los paquetes que transitan entre ambas redes y filtra los que no deben ser reenviados, de acuerdo con un criterio establecido de antemano, de forma simple.
Para que no se convierta en cuello de botella en la red, deben de procesar los paquetes a una velocidad igual o superior al router.
19

Cortafuegos (2/2)
Crea un permetro de seguridad y defensa de la organizacin que protege.
Su diseo ha de ser acorde con los servicios que se necesitan tanto privados como pblicos (WWW, FTP, Telnet,...) as como conexiones por remotas.

Al definir un permetro, el cortafuegos opera tambin como NAT (Network Address Traslation) y Proxy (servidor multipasarela).

20

Tipo de filtrado en los cortafuegos


a nivel de red, con direcciones IP y la interfaz por la que llega el paquete, generalmente a travs de listas de acceso (en los routers) a nivel de transporte, con los puertos y tipo de conexin, a travs de listas de acceso (en los routers) a nivel de aplicacin, con los datos, a travs de pasarelas para las aplicaciones permitidas analizando el contenidos de los paquetes y los protocolos de aplicacin (ejemplo servidor proxy o pasarela multiaplicacin)
21

Configuraciones de cortafuegos
1.- un router separando la red Intranet de Internet, tambin conocido como Screened Host Firewall, que puede enviar el trfico de entrada slo al host bastin 2.- un host bastin o pasarela para las aplicaciones permitidas separando la red Intranet de Internet, tambin conocido como Dual Homed Gateway 3.- con dos routers separando la red Intranet e Internet y con el host bastin dentro de la red formada por ambos routers, tambin conocida como Screened Subnet, esta red interna es conocida como zona neutra de seguridad o zona desmilitarizada (DMZ Demilitarized Zone)

22

Screened host
Router bloquea todo el trfico hacia la red interna, excepto al bastin Servicios va proxy desde el bastin Filtrado desde router Si el atacante entra en bastin se acab la seguridad!

Bastin

Red Externa

Router

Red Interna

Esta arquitectura permite mantener la conectividad transparente cuando est justificado, obligando a pasar por el bastion host el resto 23

Ejemplo: red de la Universitat con servidor proxy/cache de uso obligatorio


147.156.1.18 Servidor web

Filtro en el router
Servidor Proxy/cache
permit tcp host 147.156.1.18 any eq www deny tcp 147.156.0.0 0.0.255.255 any eq www

Cliente web Router

Internet

Servidor web

Red interna 147.156.0.0/16

Los usuarios han de configurar su cliente web con el proxy 147.156.1.18 que slo l puede realizar conexiones al exterior por el puerto 80. Esto no afecta a los accesos a servidores web internos desde el exterior 24

Ejemplo de colocacin del host bastin


Red interna

Red perimetral

Internet
Bastion host/ router exterior Router interior

Cortafuego Mantener el bastin fuera del router, implica mayor seguridad para la red 25 interna, pero el bastin va a estar sometido a ms ataques que el router.

Dual-homed gateway (1/2)


Un host (bastin) con dos tarjetas de red, conectadas a redes diferentes
En esta configuracin, el bastin puede filtrar hasta capa de aplicacin.

Son sistemas muy baratos y fciles de implementar Slo soportan servicios mediante proxy El filtrado de paquetes, puede realizarse en Linux a travs de iptables
26

Dual-homed gateway (2/2)

Red Externa Bastin

Red Interna

Bastin con dos tarjetas de red, conectadas a redes diferentes


27

Screened subnet (1)


Se sita una red DMZ (DeMilitarized Zone) entre la interna y la externa, usando dos routers y que contiene el bastin Trfico sospechoso se enva hacia el bastin, si no puede pasar directamente. Soporta servicios mediante proxy (bastin) Soporta filtrado de paquetes (routers) Es complicada y cara de implementar Si el atacante entra en el bastin, todava tiene un router por delante (no puede hacer sniffing)
28

Screened subnet (2)


Configuracin: consistente en implementar un permetro con 2 routers y un host bastin. Es la arquitectura ms segura y tiene las ventajas: en ningn momento el exterior puede saturar la red interna, ya que estn separadas en ningn momento se puede monitorizar (sniffer) la red interna en el caso de que el host bastin fuera saboteado

29

Screened subnet (3)


Bastin
Red Interna

Router Red Externa Router DMZ

30

Ejemplo cortafuego con Zona Desmilitarizada


Red perimetral
Internet
Router exterior Router interior

Red interna

Bastion host DNS, Mail

Web

Zona desmilitarizada (DMZ) o Free Trade Zone (FTZ)

31

Cortafuego con DMZ conmutada


Red interna
Router exterior

Internet

Router interior

Red perimetral

DNS, Mail

Web Bastion host

Zona desmilitarizada (DMZ) o Free Trade Zone (FTZ)

32

Preparacin del router


Definir la access list para redirigir el trfico externo al bastin Rechazar los mensajes externos con direccin interna (anti-spoofing) Deshabilitar la respuesta a los mensajes ICMP redirect Quitar el soporte de acceso por telnet (al menos externamente) Separar trfico de gestin y de servicio, mediante asignacin de diferentes direcciones, o diferente localizacin
33

Comentarios de cortafuegos y seguridad


Pero estas configuraciones no son suficientes, en muchas ocasiones pueden aparecer agujeros por zonas no controladas, como accesos remotos por modem, etc Adems, las listas de acceso son difciles de definir y de testear, dado que se pueden producir muchos casos diferentes que hay que contemplar. Los cortafuegos, que incluyen capa de aplicacin e interfaz de usuario, son ms fciles de configurar que las listas de acceso. Adems permite aplicaciones adicionales como antivirus, filtra cdigo activo, ...pero disminuyen las prestaciones. Volvemos a insistir que adicionalmente debe de haber una buena poltica de seguridad, especificando tipo de aplicaciones a instalar, cosas permitidas y no permitidas, polticas de passwords, etc
34

Deteccin de intrusos: IDS


Las vulnerabilidades de los diferentes sistemas dentro de una red son los caminos para realizar los ataques. En muchas ocasiones, el atacante enmascara el ataque en trfico permitido por el cortafuegos y por tanto para delatarlo se necesita un IDS. Son complementarios. Caractersticas deseables para un IDS son: continuamente en ejecucin y debe poderse analizar l mismo y detectar si ha sido modificado por un atacante utilizar los mnimos recursos posibles debe de adaptarse fcilmente a los cambios de sistemas y usuarios, por lo que en ocasiones poseen inteligencia para adaptarse (aprender por su experiencia) y configurarse.

35

Tipos de IDS segn localizacin


NIDS (Network Intrusion Detection System): detecta los paquetes armados maliciosamente y diseados para no ser detectados por los cortafuegos. Consta de un sensor situado en un segmento de la red y una consola.
Ventaja: no se requiere instalar software adicional en ningn servidor Inconveniente: es local al segmento, si la informacin cifrada no puede procesarla

HIDS (Host Intrusion Detection System): analiza el trfico sobre un servidor.


Ventajas: registra comandos utilizados, es ms fiable, mayor probabilidad de acierto que NIDS.

36

Tipos de IDS segn modelos de deteccin


Deteccin de mal uso: verifica sobre tipos ilegales de trfico, secuencias que previamente se sabe se utilizan para realizar ataques (conocidas como exploits) Deteccin de uso anmalo: verifica diferencias estadsticas del comportamiento normal de una red, segn franjas horarias, segn la utilizacin de puertos (evitara el rastreo de puertos)

Tipos de IDS segn naturaleza


Pasivos: registran violacin y genearan una alerta Reactivos: responden ante la situacin, anulando sesin, rechazando conexin por el cortafuegos, etc
37

Jarrn de miel (HONEY POT)


En ocasiones es interesante aprender de los propios atacantes. Para ello, en las redes se ubican servidores puestos adrede para que los intrusos los saboteen y son monitorizados por sistemas que actan como puentes a los servidores, registrando de forma transparente los paquetes que acceden a dichos servidores. Detectado un ataque (por modificacin de la estructura de archivos), se recompone la traza del atacante (secuencia de paquetes registrados en el monitor puente) y se pasa a un anlisis forense. Este anlisis forense concluye, en caso de detectar un nuevo ataque, en una nueva regla de deteccin. Ejemplo: proyecto Hades en http://www.rediris.es
38

Problemas de seguridad del DNS (1/2)


DNS original no incluye seguridad Datos pblicos No hay control de acceso Ejemplo de posibles problemas
Suplantacin de servidores DNS
Entre servidores primarios y secundarios Cuando se hacen copias

Modificacin informacin en cach


Cuando PC busca en cach de DNS local informacin de otro dominio

Posible Solucin: medidas de seguridad + DNSSec

39

Problemas de seguridad del DNS (2/2)


Obtencin y divulgacin de informacin sensible La operacin de transferencia de zona permite la actualizacin de los secundarios mediante descarga de informacin de zona desde el servidor primario. Pero la lista de una zona permite identificar objetivos (servidores de correo, DNS, mquinas no protegidas, ) Cmo proteger esto? Restringir transferencias de zona Filtrar el trfico TCP al puerto 53 Esconder el DNS
40

Ejemplo de modificacin de cach


3
almacena QueryID# x.malos.com?

DNS Atacado
2 1 7 4 6 8
www.banco.com?

www.banco.com?

DNS

5
almacena en cache www.banco.com=147.156.222.65

DNS

www.malos.com (147.156.222.65)

147.156.222.65

www.banco.com

10

bueno
41

Ejemplo:

www.google.com?

gong.ci.uv.es lab3inf04.uv.es www.google.com ?

Mi PC

resolver

42

Ejemplo:

www.google.com?

www.google.com ? gong.ci.uv.es lab3inf04.uv.es www.google.com ?

Pregunta al DNS .com Firmado (ip y clave pblica de .com)

Mi PC

resolver

43

Ejemplo:

www.google.com?

www.google.com ? gong.ci.uv.es lab3inf04.uv.es www.google.com ?

Mi PC

209.85.135.99

resolver

Pregunta al DNS .com Firma (ip y clave pblica de .com)


www.google.com ? Pregunta al DNS google.com

.com

Firmado (ip y clave pblica de google.com)


Aadir a Cache www.google.com ?

Firmado (209.85.135.99)

www.google.com

google.com
44

Das könnte Ihnen auch gefallen