Tecnolgico de Estudios Superiores del Oriente del Estado de Mxico Asignatura: Seguridad de la Informacin Tema: Mecanismos de Prevencin de ataques

a redes IP Subtemas: Sistemas Cortafuegos Construccin de Sistemas cortafuegos Integrantes del Equipo: Palma Rocendiz Raymundo Javier Lima Lobato Surisadday Chvez Pealoza Daniel Barrera Erick Omar

Definicin de Firewall
Definicin

del Websters Dictionary: una pared construida para prevenir que el fuego en un lado de un edificio pase al otro. firewall de red tiene un propsito similar: evitar que los peligros de las redes exteriores (Internet) pasen a nuestra red. Punto de acceso controlado.

Un

Los Firewalls pueden:

Restringir el trfico entrante y saliente a partir de las direcciones IP, ports o usuarios. Bloquear paquetes invlidos. Proveer de un nico punto de choque. Proveer funciones de logueo y auditora. Los puntos anteriores tambin se aplican al interior al comunicarse con el exterior.

Conveniente

Dar informacin acerca del trfico gracias a la posibilidad de loguear. Network Address Translation (NAT). Encripcin.

Los Firewalls NO pueden proteger de: (1)

Trfico

que no pasa por ellos

por otro lado (ej: modems). interno.

Ruteado Trfico

Cuando estn mal configurados pueden ser intiles. Proteger (confidencialidad) los datos en Internet. Prevenir ataques activos
(session hijacking, routing, etc)

Manejar dispositivos de IP mvil. Queremos una solucin end-to-end.

Criptografa.

Los Firewalls NO pueden proteger de: (2)

Informacin exportada en CD ROM o diskette. Estupidez de los empleados que divulgan informacin confidencial por telfono. Virus, etc. que llegan via e-mail. Generalizando: cierto software malicioso es subido o copiado usando un canal legtimo y luego es ejecutado.

El mejor Firewall

electricidad

a la red

Funcionalidad: Muy Mala

De-Militarized Zone (DMZ)

DMZ zona desmilitarizada Area de red entre dos packet filters.

El filtro externo solo permite trfico desde el exterior. El filtro interno solo permite trfico desde el interior. Separa la red externa de la interna.
Contiene nodos que proveen

servicios externos (ej: webserver, DNS) y gateways (aplicaciones) para clientes internos.
Cuando los nodos estn comprometidos

El trfico interno no puede ser objeto de sniffing. Proteccin del filtro interno.

Control de Acceso
d Re a rn e t In

ALERTA!!

Internet

Requerimiento de Seguridad
DMZ Web Server Pool

Control de acceso a la red y a sus recursos. Proteger la red de posibles ataques.

Local Area Network DB server wkstn wkstn

Public Network/ Internet

Un firewall asegura nuestra LAN: - restringiendo las conexiones externas (entrantes y salientes) a las mquinas y servicios especificados.

wkstn

web server

fire wall wkstn

- analizando, logueando y filtrando todo el trfico - detectando y reportando intentos de entrar. - ocultando la estructura interna (direcciones) de la LAN de la Red Pblica.

wkstn

mail server

wkstn

Dos Tipos de Firewalls

Packet Filters
El control de acceso sobre la red se efecta analizando los paquetes entrantes y salientes. Se los deja pasar o se descartan segn la direccin IP de la mquina fuente y de la mquina destino. Puede ser un router, bridge o un host particular.

Application Proxy
El proxy es un programa que representa a todas las computadoras de la red interna, ocultando la LAN de la red pblica. El proxy toma todas las decisiones de forwarding, en los dos sentidos. El proxy har el forwarding para los clientes autorizados hacia servers del exterior y traer las respuestas a dichos clientes.

Firewall comprometid o

Local Area Network DB server wkstn wkstn

Public Network/ Internet

wkstn

Redes de Telefona Pblica

modem

web server

fire wall wkstn

wkstn

mail server

wkstn

Tipos de Firewall
filtro de paquetes Capa 3; A este nivel se pueden realizar filtros segn los distintos campos de los paquetes IP: direccin IP origen, direccin IP destino. Capa 4; filtro puerto origen y destino, Capa 2; direccin MAC de aplicacin Capa 7; por ejemplo, si se trata de trfico HTTP se pueden realizar filtrados segn la URL a la que se est intentando acceder. En este caso es denominado Proxy. personal Se instala en un computador personal, filtra las comunicaciones entre dicho el y el resto de la red

Implementacin

REGLAS
Todo lo que Todo lo que Todo lo que Todo lo que Todo lo que Todo lo que Todo lo que venga venga venga venga venga venga venga de la red local al Firewall : ACEPTAR de una IP domiciliaria al puerto TCP 22 = ACEPTAR de la IP domiciliaria del Gerente al puerto TCP 1723 = ACEPTAR de la red local al exterior = ENMASCARAR del exterior al puerto TCP 1 al 1024 = DENEGAR del exterior al puerto TCP 3389 = DENEGAR del exterior al puerto UDP 1 al 1024 = DENEGAR

ALTERNATIVA: implementar reglas por PROXY a nivel aplicacin

Filtro de paquetes
NAT (Network Address Translation) 10.0.0.1

10.0.0.2

Proxy

Cliente se conecta hacia un proxy

Limitaciones de proxies/cortafuegos

No protege de ataques fuera de su rea No protege de espas o usuarios inconscientes No protege de ataques de ingeniera social No protege contra ataques posibles en la transferencia de datos, cuando datos son enviados o copiados a un servidor interno y son ejecutados despachando un ataque.

Proxy

El proxy solicita las pginas en Internet

Proxy

Entrega lo solicitado, desde su cache

Gestin de Seguridad
2) ASEGURAR Cortafuegos Software fiable IPsec PKI

5) GESTIONAR y . MEJORAR Adminitraci n de recursos

1) POLITICA de SEGURIDAD

3) MONITORIZAR y REACCIONAR IDS

4) COMPROBAR Escaneo de vulnerabilidades

Peligros y modos de ataque (1/8) Sniffing : consiste en escuchar los datos que atraviesan la
red, sin interferir con la conexin a la que corresponden, principalmente para obtener passwords, y/o informacin confidencial. Proteccin: basta con emplear mecanismos de autenticacin y encriptacin, red conmutada Barrido de puertos: utilizado para la deteccin de servicios abiertos en mquina tanto TCP como UDP (por ejemplo un telnet que no est en el puerto 23, ..). Proteccin: filtrado de puertos permitidos y gestin de logs y alarmas. Bug de fragmentacin de paquetes IP: con longitudes ilegales (ms pequeas o ms grandes) de fragmentos, con solape entre ellos o saturacin con multitud de fragmentos pequeos ( ej. ping de la muerte) Proteccin: actualmente en los routers se limita el trfico ICMP, incluso se analiza la secuencia de fragmentacin, o bien parchear el SSOO

Peligros y modos de ataque (2/8) Explotar bugs del software: aprovechan errores del software, ya que

a la mayor parte del software se le ha aadido la seguridad demasiado tarde, cuando ya no era posible redisearlo todo y con ello puede adquirir privilegios en la ejecucin, por ejemplo buffers overflow (BOF o desbordamiento de pila[1]) Adems, muchos programas corren con demasiados privilegios. La cadena o secuencia de rdenes para explotar esta vulnerabilidad del software se conoce como exploit. Ataque: los hackers se hacen con una copia del software a explotar y lo someten a una batera de pruebas para detectar alguna debilidad que puedan aprovechar. Proteccin: correcta programacin o incluir parches actualizando los servicios instalados. [1] Desbordamiento de pila: sobre la entrada de datos en un programa privilegiado que no verifica la longitud de los argumentos a una funcin, y se sobreescribe la pila de ejecucin modificando la direccin de retorno (para que salte donde nos interese). Las funciones de C strcpy, strcat, gets, son potencialmente vulnerables.

Peligros y modos de ataque (3/8) Caballo de Troya : un programa que se enmascara como algo que

no es, normalmente con el propsito de conseguir acceso a una cuenta o ejecutar comandos con los privilegios de otro usuario . Ataque: el atacante por ejemplo sabotea algn paquete de instalacin o saboteando una mquina, modifica las aplicaciones, p.ej ls, ps, .. Proteccin: revisin peridica de compendios, firma digital, comprobacin del sistema de ficheros (ejemplo aplicacin tripware), etc Ataques dirigidos por datos : son ataques que tienen lugar en modo diferido, sin la participacin activa por parte del atacante en el momento en el que se producen. El atacante se limita a hacer llegar a la vctima una serie de datos que al ser interpretados (en ocasiones sirve la visualizacin previa tpica de MS. Windows) ejecutarn el ataque propiamente dicho, como por ejemplo un virus a travs del correo electrnico o cdigo JavaScript maligno. Proteccin: firma digital e informacin al usario (lecturas off-line, o en otro servidor o instalar antivirus en el servidor de correo)

Peligros y modos de ataque (4/8) Denegacin de servicios : estos ataques no buscan ninguna informacin si no a
impedir que sus usuarios legtimos puedan usarlas. Ejemplos:

SYN Flooding, realizando un nmero excesivo de conexiones a un puerto determinado, bloqueando dicho puerto. Un caso particular de este mtodo es la generacin masiva de conexiones a servidores http o ftp, a veces con direccin origen inexistente para que no pueda realizar un RST. Proteccin: en el servidor aumentar el lmite de conexiones simultneas, acelerar el proceso de desconexin tras inicio de sesin medio-abierta, limitar desde un cortafuegos el nmero de conexiones medio abiertas mail bombing, envio masivo de correos para saturar al servidor SMTP y su memoria. Proteccin : similar a SYN Flooding pings (o envo de paquetes UDP al puerto 7 de echo) a direcciones broadcast con direccin origen la mquina atacada. Estas tcnicas son conocidas como Smurf (si pings), Fraggle (si UDP echo). Proteccin : parchear el SSOO para que no realice pings broadcasts y que limite el procesado de paquetes ICMP en una red stub con conexin WAN al exterior lenta, agotar el ancho de banda del enlace, haciendo generar trfico innecesario. Proteccin : fijar QoS en el enlace

Peligros y modos de ataque (5/8) Ingeniera social: son ataques que aprovechan la buena voluntad de

los usuarios de los sistemas atacados. Un ejemplo de ataque de este tipo es el siguiente: se enva un correo con el remite "root" a un usuario con el mensaje "por favor, cambie su password a informatica". El atacante entonces entra con ese password. A partir de ah puede emplear otras tcnicas de ataque. O incitando a ver determinadas pginas web, descargar fotos, ...Proteccin: educar a los usuarios acerca de qu tareas no deben realizar jams, y qu informacin no deben suministrar a nadie, salvo al administrador en persona. Acceso fsico: a los recursos del sistema y pudiendo entrar en consola, adquirir informacin escrita, etc Proteccin: polticas de seguridad, dejar servidores bajo llave y guardia de seguridad, tal como se vigila alguna cosa de valor. Adivinacin de passwords: la mala eleccin de passwords por parte de los usuarios permiten que sean fciles de adivinar (o por fuerza bruta) o bien que el propio sistema operativo tenga passwords por defecto. Ejemplo: muchos administradores utilizan de password administrador ;-) Proteccin: polticas de seguridad

Spoofing : intento del atacante por ganar el acceso a un sistema hacindose pasar por otro, ejecutado en varios niveles, tanto a nivel MAC como a nivel IP: ARP Spoofing (que una IP suplantada tenga asociada la MAC del atacante). Ataque: el atacante falsifica paquetes ARP indicando gratuitamente su MAC con la IP de la mquina suplantada. Los hosts y los switches que escuchan estos mensajes cambiarn su tabla ARP apuntando al atacante IP Spoofing (suplanta la IP del atacante). Ataque: el atacante debe de estar en la misma LAN que el suplantado, y modifica su IP en combinacin con ARP spoofing, o simplemente sniffea todo el trfico en modo promiscuo. DNS Spoofing (el nombre del suplantado tenga la IP del atacante ), donde el intruso se hace pasar por un DNS. Ataque: el atacante puede entregar o bien informacin modificada al host, o bien engaar al DNS local para que registre informacin en su cache. P .ej, puede hacer resolver www.banesto.com a una IP que ser la del atacante, de forma que cuando un usurio de Banesto se conecta, lo har con el atacante. Proteccin ante Spoofing: introducir autenticacin y cifrado de las conexiones para ARP e IP Spoofing. Aunque la intrusin se realice en capa 2 3 se puede detectar en capa 7. En el caso de ARP, configurar que el host o switch aprenda MACs slo de paquetes ARP unicast. Para DNS Spoofing, utilizar certificados para comprobar fidedignamente la identidad del servidor.

Peligros y modos de ataque (6/8)

Peligros y modos de ataque (7/8)

Confianza transitiva : en sistemas Unix existen los conceptos de confianza entre hosts y entre usuarios (red de confianza), y por tanto pueden conectarse entre s diferentes sistemas o usuarios sin necesidad de autentificacin de forma oficial, utilizando slo como identificativo la IP (IP registrada de la cual se fa) . Son autorizaciones y permisos locales bien definidos entre usuarios y mquinas. Ejemplo en Linux las aplicaciones r* (rsh, rlogin, rcp,...), Xwindow, RPC, ... utilizan el fichero /etc/hosts.equiv o el fichero en $HOME/.rhost. Ataque: cualquier atacante que tome el control de una mquina o bien suplante la IP ( spoofing), podr conectarse a otra mquina gracias a la confianza entre hosts y/o entre usuarios sin necesidad de autenticacin. Proteccin: encriptacin del protocolo y exigir siempre autenticacin, evitar redes de confianza. Hijacking : consiste en robar una conexin despus de que el usuario (a suplantar) ha superado con xito el proceso de identificacin ante el sistema remoto . Para ello el intruso debe sniffear algn paquete de la conexin y averiguar las direcciones IP, los ISN y los puertos utilizados. Adems para realizar dicho ataque, el atacante deber utilizar la IP de la mquina suplantada.Ataque: en un momento determinado, el intruso se adelanta una respuesta en la conexin TCP (con los ISN correctos, lo cual lo obtiene por sniffing) y por tanto el que estaba conectado no cumple con los ISN debido a que el intruso mand informacin vlida y queda excluido de la conexin (su conexin TCP aparente se ha colgado), tomando el control el intruso. Otra accin adicional, sera inutilizar al suplantado con una ataque DoS. Proteccin: uso de encriptacin o uso de una red conmutada.

Enrutamiento fuente: los paquetes IP admiten opcionalmente el enrutamiento fuente, con el que la persona que inicia la conexin TCP puede especificar una ruta explcita hacia l. La mquina destino debe usar la inversa de esa ruta como ruta de retorno, tenga o no sentido, lo que significa que un atacante puede hacerse pasar (spoofing) por cualquier mquina en la que el destino confe (obligando a que la ruta hacia la mquina real pase por la del atacante). Proteccin: dado que el enrutamiento fuente es raramente usado, la forma ms fcil de defenderse contra sto es deshabilitar dicha opcin en el router. ICMP Redirect: con la opcin redirect, alguien puede alterar la ruta a un destino para que las conexiones en las que est interesado pasen por el atacante, de forma que pueda intervenirlas. Los mensajes redirect deben obedecerlos slo los hosts, no los routers, y slo cuando estos provengan de un router de una red directamente conectada. Proteccin: filtrado de paquetes. Modificacin de los protocolos de routing: RIP, BGP, ... de forma que redirecciona la informacin por otras rutas del atacante. Esta tcnica es poco habitual y compleja.Proteccin: utilizar rutas estticas o protocolos de routing con encriptacin.

Peligros y modos de ataque (8/8)

Redes y seguridad
Introduccin:

tipos de ataque y poltica de seguridad

Criptografa y privacidad de las comunicaciones Proteccin del permetro (cortafuegos) y deteccin de intrusos Proteccin del sistema centralizado

Protocolos TCP/IP seguros Protocolos de Red

Aumentando

el protocolo IP: IPSec, con tneles que permiten Cifrado y autentificacin. del protocolo de aplicacin: SSL, TLS (sobre los BSD Sockets), que permite Cifrado y autenticacin. del protocolo y la aplicacin

Libreras de programacin
Independientes

Pasarelas de Aplicacin
Dependientes

SSH (inicialmente, sobre Telnet) que permite Cifrado y autentificacin. SOCKS (sobre los BSD Sockets), que permite autentificacin y control de acceso localizado en los cortafuegos

Tneles: qu es un tnel?
Permiten

conectar un protocolo a travs de otro

Ejemplos:
Tnel

SNA para enviar paquetes IP tneles multicast sobre redes unicast tneles IPv6 sobre redes IPv4 IPv4 para hacer enrutamiento desde el origen

MBone: 6Bone:

Tneles

Tambin permiten crear redes privadas virtuales o VPNs (Virtual Private Networks)

Ejemplo de tnel
Encapsulador Encapsulador

Red SNA

Red TCP/IP Paquete SNA Datagrama IP

Red TCP/IP

Tnel SNA transportando datagramas IP Los datagramas IP viajan encapsulados en paquetes SNA

Tecnologas VPN
VPN en capa 7 (S/MIME), especfico de la aplicacin y capa 4 (SSL/TSL), que no es muy flexible

VPN en capa 3 con L2TP, GRE e IPSec que son independientes al medio. Mejor opcin!!

Tecnologas VPN en capa 3 1.- Layer 2 Tunneling Protocol (L2TP, RFC 2661))
L2TP es combinacion de Cisco L2F y Microsoft PPTP. L2TP no soporta cifrado 2.- Cisco Generic Routing Encapsulation (GRE, RFC 1701 and 2784) Es multiprotocolo y al igual que L2TP no soporta cifrado. Soporta trfico mulitcast. 3.- IP Security Protocol (IPSec, RFC 2401) Es un estndar abierto que consta de varios protocolos, que admite integridad y autenticacin (con protocolo AH), cifrado (con protocolo ESP), pero slo para trfico unicast. Veremos ms adelante con mayor detalle.

Redes privadas virtuales (VPN) (1/2)

VPN (Virtual Private Network) es la interconexin de un conjunto de ordenadores haciendo uso de una infraestructura pblica, normalmente compartida, para simular una infraestructura dedicada o privada. Las VPNs tienen la caracterstica de utilizar direccionamiento no integrado en la red del ISP.

Redes privadas virtuales (VPN) (2/2)

Utiliza encapsulado permitido en la red pblica, transportando paquetes de la red privada. Para ello utilizan el encapsulamiento IP-IP. El direccionamiento es independiente del de la red pblica.
Solucin

muy til actualmente para comunicar una empresa a travs de Internet. A menudo conllevan un requerimiento de seguridad (encriptacin con IPSec). Se basa en la creacin de tneles. Los tneles pueden conectar usuarios u oficinas remotas.

Funcionamiento de un tnel VPN para usuario remoto

Servidor con acceso restringido a usuarios de la red 199.1.1.0/24 199.1.1.69 Origen: 199.1.1.245 Destino: 199.1.1.69 Datos

ISP 2
199.1.1.245

199.1.1.10 Servidor de Tneles Rango 199.1.1.245-254 Origen: 200.1.1.20 Destino: 199.1.1.10 Origen: 199.1.1.245 Destino: 199.1.1.69 Datos Red 199.1.1.0/24

ISP 1

PN V l e Tn

200.1.1.20
Ping 199.1.1.69

POP (Point of Presence) Red 200.1.1.0/24

Puede ir encriptado (si se usa IPSec ESP)

Tnel VPN para una oficina remota

Origen: 199.1.1.245 Destino: 199.1.1.69 Datos 199.1.1.69

Ping 199.1.1.69

200.1.1.20 199.1.1.245

Tnel VPN

Internet
199.1.1.193 199.1.1.246 Subred 199.1.1.192/26

199.1.1.1 A 199.1.1.192/26 por 200.1.1.20

199.1.1.50

Subred 199.1.1.0/25 Origen: 200.1.1.20 Destino: 199.1.1.1 Origen: 199.1.1.245 Destino: 199.1.1.69 Datos

Red oficina remota

Red oficina principal

Puede ir encriptado (si se usa IPSec ESP)

Seguridad en Internet
RFC-1636 describe la seguridad en la arquitectura de Internet en IAB, donde se informa sobre los requisitos para hacer segura la infraestructura de Internet, para evitar la monitorizacin no autorizada. Con ello, se ha desarrollado IPSEC ofreciendo: -conectividad segura con redes privadas virtuales (VPN), a travs de tneles, que permitan el acceso remoto a travs de Internet o acceso telefnico -asegura la autenticacin y autentificacin

IPSec Introduccin Es una ampliacin de IP, diseada para funcionar de

modo transparente en redes existentes Usa criptografa para ocultar datos Independiente del los algoritmos de cifrado Aplicable en IPv4 y obligatorio en IPv6 Est formado por:
Una Un

Arquitectura (RFC 2401)

conjunto de protocolos

Una

serie de mecanismos de autenticacin y encriptado (DES, 3DES y mejor por hardware)

Se especifica en los RFCs 1826, 1827, 2401, 2402, 2406 y 2408.

Principales funcionalidades de IPSec AH (Autentication Header, RFC 2402): garantiza que el

datagrama fue enviado por el remitente y que no ha sido alterado durante su viaje. P.ej utilizando algoritmo MAC ESP (Encapsulating Security Payload, RFC 2406): garantiza que el contenido no pueda ser examinado por terceros (o que si lo es no pueda ser interpretado). Opcionalmente puede incluir la funcin de AH de autentificacin.

Ambos AH y ESP, definen una cabecera Ipsec incluida en el paquete a enviar.

ISAKMP (Internet Security Association and Key Management Protocol, RFC 2408): consiste en un mecanismo seguro (manual y automtico) de intercambio de claves utilizadas en las tareas de encriptado y autentificacin de AH y ESP. Incluye a IKE o Internet Key Exchange. Utiliza Diffie-Hellman.

Modos de funcionamiento de IPSec

Modo

transporte: comunicacin segura extremo a extremo. Requiere implementacin de IPSec en ambos hosts. No se cifra la cabecera IP. Modo tnel: comunicacin segura entre routers nicamente, que ejecutan pasarelas de seguridad. Permite incorporar IPSec sin tener que modificar los hosts. A los paquetes se aade otra cabecera. Se integra cmodamente con VPNs.

Host con IPSec

IPSec modo transporte

Internet

Host con IPSec

Router o cortafuego con IPSec

IPSec modo tnel

Internet Tnel IPSec

Router o cortafuego con IPSec

Encapsulado de IPSec
Modo transporte
Cabecera IP Datos

Cabecera IP

Cabecera IPSec

Datos

Encriptado si se usa ESP Modo tnel

Cabecera IP

Datos

Cabecera IP Tnel

Cabecera IPSec

Cabecera IP

Datos

Encriptado si se usa ESP

Protocolos TCP/IP seguros Protocolos de Red

Aumentando

el protocolo IP: IPSec, que permite Cifrado y autentificacin. del protocolo de aplicacin: SSL, TLS (sobre los BSD Sockets), que permite Cifrado y autentificacin. del protocolo y la aplicacin

Libreras de programacin
Independientes

Pasarelas de Aplicacin
Dependientes

SSH (inicialmente, sobre Telnet) que permite Cifrado y autentificacin. SOCKS (sobre los BSD Sockets), que permite autentificacin y control de acceso localizado en los cortafuegos

 Secure

SSH Introduccin (1/2)

Shell (SSH), por Tatu Ylonen (1.995) es una lnea de comandos segura de la capa de aplicacin Inicialmente pensado para evitar el paso de passwords en las conexiones de telnet Adicionalmente se puede emplear en modo tnel para cualquier protocolo TCP Especificado en drafts del IETF Sustituto de los protocolos r: rsh, rcp, rlogin, ... SSH es utilizado como protocolo de conexin desde el exterior del Dpto de Informtica

http://informatica.uv.es/~carlos/adm/comun/conexion_remota.html

SSH Introduccin (2/2) Utiliza diferentes mtodos de autentificacin (RSA,

Kerberos, ...)

Utiliza el puerto 22, autentificando en el momento de la conexin. El cliente guarda las claves pblicas de los sistemas que se conecta. Cuando se conecta por 1 vez me pide si fiarse de donde me conecto, para guardar su clave pblica, cuando lo hace sin certificado. Comprende los protocolos

Transport Layer Protocol (SSH-TRANS)

autentificacin del servidor y cliente, confidencialidad, integridad, compresin

User Authentication Protocol (SSH-USERAUTH) Connection Protocol (SSH-CONN)

Redes y seguridad
Introduccin:

tipos de ataque y poltica de seguridad

Criptografa y privacidad de las comunicaciones Proteccin del permetro (cortafuegos) y deteccin de intrusos Proteccin del sistema centralizado

Tendencias de seguridad
Todas las lneas actuales de investigacin en seguridad de redes comparten una idea: la concentracin de la seguridad en un punto, obligando a todo el trfico entrante y saliente pase por un mismo punto, que normalmente se conoce como cortafuegos o firewall, permitiendo concentrar todos los esfuerzos en el control de trfico a su paso por dicho punto

Metodologa de seguridad
La primera tarea a realizar en una red es redactar la poltica de seguridad. Tras ello, conocer la estructura (topologia, accesos) de la red y finalmente, auditar la red para ver su estado en bsqueda de deteccin de vulnerabilidades. Este proceso de deteccin de vulnerabilidades consiste en:

Examen de hosts y elementos de la red, por vulnerabilidades conocidas Puertos abiertos (observar servicios conocidos segn /etc/services) Chequeo de la estructura de ficheros e integridad del sistema en el caso de servidores (por ejemplo con herramientas como tripwire)

Cortafuegos (1/2)
Consiste en un dispositivo formado por uno o varios equipos que se sitan entre la red de la empresa y la red exterior (normalmente la Internet), que analiza todos los paquetes que transitan entre ambas redes y filtra los que no deben ser reenviados, de acuerdo con un criterio establecido de antemano, de forma simple. Para que no se convierta en cuello de botella en la red, deben de procesar los paquetes a una velocidad igual o superior al router.

Cortafuegos (2/2)
Crea un permetro de seguridad y defensa de la organizacin que protege. Su diseo ha de ser acorde con los servicios que se necesitan tanto privados como pblicos (WWW, FTP, Telnet,...) as como conexiones por remotas. Al definir un permetro, el cortafuegos opera tambin como NAT (Network Address Traslation) y Proxy (servidor multipasarela).

Tipo de filtrado en los cortafuegos

Tipo de filtrado: -a nivel de red, con direcciones IP y la interfaz por la
que llega el paquete, generalmente a travs de listas de acceso (en los routers) -a nivel de transporte, con los puertos y tipo de conexin, a travs de listas de acceso (en los routers) -a nivel de aplicacin, con los datos, a travs de pasarelas para las aplicaciones permitidas analizando el contenidos de los paquetes y los protocolos de aplicacin (ejemplo servidor proxy o pasarela multiaplicacin)

Listas de acceso (1/2) Son una tcnica de filtrado de paquetes, que

consiste en una lista de rdenes ejecutadas secuencialmente a la llegada/salida de cada paquete en las interfaces del router, con las opciones de permit o deny al cumplir la condicin especificada en la secuencia segn la informacin de la cabecera del paquete IP y de transporte . Al realizarse en el propio router, suelen ser rpidas frente a otra tcnica de filtrado.
Ejemplo:
permit

tcp 192.168.0.0 0.0.255.255 host 172.16.1.2 eq 443

deny any any

Listas de acceso (2/2)

Incoveniente: al procesarse los paquetes de forma independiente, no se guarda informacin de contexto (no se almacenan histricos de cada paquete), ni se puede analizar a nivel de capa de aplicacin, dado que est implementado en los routers. Adems, son difciles de seguir en ejecucin

Recomendaciones: -situar los filtros lo ms cerca posible del elemento a proteger -no filtrar el mismo trfico ms de una vez

Cortafuegos de inspeccin de estados: stateful

Si un cliente inicia una sesin TCP a un servicio externo, escoger un puerto no reservado (>1023), con lo cual cuando conteste el servidor al cliente utilizando su puerto, el cortafuegos pueda impedir (si slo permite la entrada a puertos conocidos) la entrada a dicho puerto desconocido (el que escogi el cliente). La inspeccin de estado se basa en la inspeccin de paquetes basado en contexto: tipo de protocolo y puertos asociados. Internamente se define una tabla de sesiones permitidas (tanto TCP como UDP), donde el paquete de conexin inicial (por ejemplo en TCP el primer segmento marcha con bit ACK=0 y SYN=1) se comprueba contra las reglas, y si est permitido se apunta en la tabla de sesiones y tras ello, los paquetes siguientes de la misma sesin se dejan pasar. Ejemplo: apertura de FTP en modo Activo Mode

Ejemplo: apertura de FTP en modo Passive Mode

Supongamos un escenario de un permetro que prohbe el establecimiento de conexiones desde el exterior.

FTP opera en los puertos 21 de control y 20 para transferencia de datos. Cuando el cliente se conecta al puerto 21 y realiza la conexin, el servidor a continuacin por el puerto 20 realiza la conexin con el cliente (Modo Activo). Si estn prohibidas la apertura de conexiones desde el exterior (cosa bastante habitual), el FTP nunca va a funcionar a no ser que se configure el cliente en modo Pasivo, es decir, de forma que el propio cliente tambin realice la apertura del puerto de datos o bien se haya configurado el permetro con inspeccin de estados y habilite la sesin establecida.

Configuraciones de cortafuegos
1.- un router separando la red Intranet de Internet, tambin conocido como Screened Host Firewall, que puede enviar el trfico de entrada slo al host bastin 2.- un host bastin o pasarela para las aplicaciones permitidas separando la red Intranet de Internet, tambin conocido como Dual Homed Gateway. Permite filtrado hasta la capa de aplicacin 3.- con dos routers separando la red Intranet e Internet y con el host bastin dentro de la red formada por ambos routers, tambin conocida como Screened Subnet, esta red interna es conocida como zona neutra de seguridad o zona desmilitarizada ( DMZ Demilitarized Zone)

Screened host (1)

Se

trata de un router que bloquea todo el trfico hacia la red interna, excepto al bastin Soporta servicios mediante proxy (bastin) Soporta filtrado de paquetes (router) No es complicada de implementar Si el atacante entra en el bastin, no hay ninguna seguridad

Screened host (2)

Bastin

Red Externa Router

Red Interna

Esta arquitectura permite mantener la conectividad transparente cuando est justificado, obligando a pasar por el bastion host el resto

Ejemplo: red de con servidor proxy/cache de uso obligatorio

147.156.1.18 Servidor web

Filtro en el router
Servidor Proxy/cache
permit tcp host 147.156.1.18 any eq www deny tcp 147.156.0.0 0.0.255.255 any eq www

Cliente web Router

Internet

Servidor web

Red interna 147.156.0.0/16

Los usuarios han de configurar su cliente web con el proxy 147.156.1.18 que slo l puede realizar conexiones al exterior por el puerto 80. Esto no afecta a los accesos a servidores web internos desde el exterior

Ejemplo de colocacin del host bastin (1/3)

Red interna

Red perimetral

Internet
Bastion host/ router exterior Router interior

Cortafuego Mantener el bastion fuera del router, implica mayor seguridad para la red interna, pero el bastin va a estar sometido a ms ataques que el router.

Ejemplo de colocacin del host bastin (2/3)

Red interna

Cortafuego Red perimetral

Internet
Router exterior Bastion host/ router interior

Configuracin no recomendada (un ataque al Bastion host comprometera la seguridad de la red interna)

Ejemplo de colocacin del host bastin (3/3)

Red interna

Cortafuego Red perimetral

Routers interiores

Bastion host

Internet
Router exterior

Configuracin no recomendada (con routing dinmico el trfico de la red interna podra usar la red perimetral como va de trnsito)

Dual-homed gateway (1)

Se

trata de un host (bastin) con dos tarjetas de red, conectadas a redes diferentes Son sistemas muy baratos y fciles de implementar Slo soportan servicios mediante proxy El filtrado de paquetes, puede realizarse en Linux a travs de iptables (http://www.linux-firewall-tools.com) que son sentencias:

En esta configuracin, el bastin puede filtrar hasta capa de aplicacin.

accept|deny con declaracin de puertos, direcciones IP, ...

Dual-homed gateway (2)

Red Externa

Red Interna

Bastin

Screened subnet (1)

Se

sita una red DMZ (DeMilitarized Zone) entre la interna y la externa, usando dos routers y que contiene el bastin Trfico sospechoso se enva hacia el bastin, si no puede pasar directamente. Soporta servicios mediante proxy (bastin) Soporta filtrado de paquetes (routers) Es complicada y cara de implementar Si el atacante entra en el bastin, todava tiene un router por delante (no puede hacer sniffing)

Screened subnet (2)

Configuracin: consistente en implementar un permetro con 2 routers y un host bastin, es la arquitectura ms segura y tiene las ventajas: -en ningn momento el exterior puede saturar la red interna, ya que estn separadas -en ningn momento se puede monitorizar (sniffer)la red interna en el caso de que el host bastin fuera saboteado

Screened subnet (3)

Bastin

Red Interna Router Red Externa Router

DMZ

Ejemplo cortafuego con Zona Desmilitarizada

Red interna Red perimetral

Internet

Router exterior Router interior

Bastion host DNS, Mail

Web

Zona desmilitarizada (DMZ) o Free Trade Zone (FTZ)

Cortafuego con DMZ conmutada

Red interna
Router exterior

Internet

Router interior

Red perimetral

DNS, Mail

Web Bastion host

Zona desmilitarizada (DMZ) o Free Trade Zone (FTZ)

Preparacin del router

Definir la access list para redirigir el trfico externo al bastin Rechazar los mensajes externos con direccin interna (anti-spoofing) Deshabilitar la respuesta a los mensajes ICMP redirect Quitar el soporte de acceso por telnet (al menos externamente) Separar trfico de gestin y de servicio, mediante asignacin de diferentes direcciones, o diferente localizacin

 Instalacin

Preparacin del bastin en UNIX segura del UNIX: Eliminar ejecutables con bit SUID y
GUID y conexiones a travs de SSH

Deshabilitar los servicios no requeridos

NFS, RPCs, ftpd, bootd, bootpd, rshd, rlogind, rexecd

Instalar las pasarelas para los servicios requeridos (proxies) Quitar los ejecutables y libreras no esenciales Instalar un sistema de anlisis de logs (swatch) en tiempo real Montar los file systems posibles de slo lectura Instalar un chequeador de integridad (tripwire) Realizar un backup completo del sistema limpio

Productos Comerciales
Comerciales
Firewall-1 IBM

(Check Point)

Firewall (International Bussines Machines) (Trusted Information Systems)

Gauntlet Private

Internet Exchange (PIX) de Cisco y/o CBACs Context Based Access Control

Libre Distribucin
FWTK

(Trusted Information Systems)

Comentarios de cortafuegos y seguridad

Pero estas configuraciones no son suficientes, en muchas ocasiones pueden aparecer agujeros por zonas no controladas, como accesos remotos por modem, etc Adems, las listas de acceso son difciles de definir y de testear, dado que se pueden producir muchos casos diferentes que hay que contemplar. Los cortafuegos, que incluyen capa de aplicacin e interfaz de usuario, son ms fciles de configurar que las listas de acceso. Adems permite aplicaciones adicionales como antivirus, filtra cdigo activo, ...pero disminuyen las prestaciones. Volvemos a insistir que adicionalmente debe de haber una buena poltica de seguridad, especificando tipo de aplicaciones a instalar, cosas permitidas y no permitidas, polticas de passwords, etc

Deteccin de intrusos: IDS

Las vulnerabilidades de los diferentes sistemas dentro de una red son los caminos para realizar los ataques. En muchas ocasiones, el atacante enmascara el ataque en trfico permitido por el cortafuegos y por tanto para delatarlo se necesita un IDS. Son complementarios. El aumento de este tipo de ataques ha justificado la creacin de equipos de respuestas de emergencia informtica (CERT: Computer Emergency Response Team), que obviamente tambin pueden ver los intrusos. Caractersticas deseables para un IDS son:

continuamente en ejecucin y debe poderse analizar l mismo y detectar si ha sido modificado por un atacante utilizar los mnimos recursos posibles debe de adaptarse fcilmente a los cambios de sistemas y usuarios, por lo que en ocasiones poseen inteligencia para adaptarse (aprender por su experiencia) y configurarse.

Tipos de IDS segn localizacin

NIDS

(Network Intrusion Detection System): detecta los paquetes armados maliciosamente y diseados para no ser detectados por los cortafuegos. Consta de un sensor situado en un segmento de la red y una consola. Ventaja: no se requiere instalar software adicional en ningn servidor. Inconveniente: es local al segmento, si la informacin cifrada no puede procesarla HIDS (Host Intrusion Detection System): analiza el trfico sobre un servidor. Ventajas: registra comandos utilizados, es ms fiable, mayor probabilidad de acierto que NIDS.

Tipos de IDS segn modelos de deteccin

Deteccin de mal uso: verifica sobre tipos ilegales de trfico, secuencias que previamente se sabe se utilizan para realizar ataques (conocidas como exploits) de uso anmalo: verifica diferencias estadsticas del comportamiento normal de una red, segn franjas horarias, segn la utilizacin de puertos (evitara el rastreo de puertos)

Deteccin

Tipos de IDS segn naturaleza

Pasivos: registran violacin y genearan una alerta Reactivos: responden ante la situacin, anulando sesin, rechazando conexin por el cortafuegos, etc

Ejemplo NIDS (1/2)

IDS Sensor
* Dispositivo *

IDS Administracin
* Software *

Comunicacin

Sistema Experto Base de Datos de tipos de ataques Detecin de ataques Generacin de Alarmas Respuestas Uno por segmento

Gestin de Sensores Remotos Manejo de Alarmas Control de Configuraciones Control de Ataques

Ejemplo NIDS (2/2) Arquitectura IDS

Sensor Sensor Sensor Sensor Sensor Sensor

Administracin IDS

Sensores observan ataques o problemas Sistema de administracin evita ataques corrientes

IDS Solutions
Active Defense System
Network

Sensors
network protection switch protection

Overlay

Switch Sensors
Integrated

Host Sensors
Server

& application protection router protection firewall protection

Router Sensors
Integrated

Firewall Sensors
Integrated

Comprehensive Management
Robust

system management and monitoring

Jarrn de miel (HONEY POT)

En ocasiones es interesante aprender de los propios atacantes. Para ello, en las redes se ubican servidores puestos adrede para que los intrusos los saboteen y son monitorizados por sistemas que actan como puentes a los servidores, registrando de forma transparente los paquetes que acceden a dichos servidores. Detectado un ataque (por modificacin de la estructura de archivos), se recompone la traza del atacante (secuencia de paquetes registrados en el monitor puente) y se pasa a un anlisis forense. Este anlisis forense concluye, en caso de detectar un nuevo ataque, en una nueva regla de deteccin. Ejemplo: proyecto Hades en http://www.rediris.es

Redes y seguridad
Introduccin:

tipos de ataque y poltica de seguridad

Criptografa y privacidad de las comunicaciones Proteccin del permetro (cortafuegos) y deteccin de intrusos Proteccin del sistema centralizado

En ocasiones no es fcil proteger un sistema, porque las combinaciones de ataque son mltiples y si los atacantes son hbiles, estos camuflan el ataque por eliminacin de huellas: 1.-Modificacin de la fecha de acceso a archivos 2.-Eliminando las entradas en los logs 3.-Invalidar mecanismos de registro, por ejemplo eliminar syslog por saturacin de buffer

Problemas en la proteccin

En estas situaciones, las medidas a tomar son: -realizar copias de seguridad -comprobar la integridad del sistema para ver posibles ataques -analizar los logs del sistema (guardndolos en diferentes localizaciones /etc/syslog.conf) -todas las vistas en la periferia, as como la deteccin de intrusos -utilizando parches adecuados as como envolventes (proxies) que eviten la vulnerabilidad conocidas de aplicaciones e implementen mecanimos de control de acceso (vistos a lo largo del tema)

Medidas a tomar

Proteccin de sistemas operativos, seguridad en sistemas centralizados

Los envolventes (o proxies) son programas (pasarelas) en nivel de aplicacin para dar seguridad al S.O. sin acceso al cdigo fuente de los servicios ofertados en la red. Su uso como herramienta de seguridad se ha extendido por numerosas razones:
La

lgica de seguridad se encapsula dentro de un programa sencillo y fcil de verificar. El programa envuelto permanece separado del envolvente, lo cual permite actualizar el envolvente o el programa envuelto de forma individual. Como los envolventes llaman al programa envuelto mediante la llamada al sistema exec(), un mismo envolvente puede utilizarse para controlar el acceso a un enorme grupo de programas envueltos.

Servidores proxy (envolventes)

Aplicaciones

para redirigir el trfico de aplicacin

El proxy intercepta la conexin cliente-servidor Para cada servicio se establece un proxy distinto Al cliente y al servidor se les presenta la ilusin de tratar directamente con el otro En muchos casos no es transparente al usuario: software especial o configuracin adicional (ej. Proxy cach) Ejemplos: proxy de SMTP, proxy FTP, proxy X11,

Envolvente de acceso: tcpwrappers (1/2) El envolvente de acceso ms conocido es tcpwrapper y permite un alto nivel de control sobre las conexiones TCP. El programa se inicia por el demonio inetd y realiza las siguientes acciones:
a.-enva un mensaje al cliente que se conecta, pudiendo hacerle advertencias legales y avisos. b.- ejecuta una consulta inversa de la direccin IP, asegurndose que la direccin y el nombre del ordenador remoto coinciden c.- compara el nombre del cliente y el servicio solicitado con una lista de control de acceso, comprobando si el cliente o el cliente y el servicio particular estn autorizados o denegados.

Envolvente de acceso: tcpwrappers (2/2)

El envolvente tcpwrapper posee dos ficheros de configuracin, /etc/hosts.allow y /etc/hosts.deny y cuando sucede una conexin:
1.- se examina el archivo /etc/hosts.allow para comprobar si el par (ordenador, servicio) estn permitidos. 2.- si no se encontr, se examina el archivo /etc/hosts.deny para comprobar si el par (ordenador, servicio) debe ser rechazado. 3.- si no se encontr el par (ordenador, servicio) en los ficheros anteriores, la conexin se permite.

Protocolos TCP/IP seguros Protocolos de Red

Aumentando

el protocolo IP: IPSec, que permite Cifrado y autenticacin. del protocolo de aplicacin: SSL, TLS (sobre los BSD Sockets), que permite Cifrado y autentificacin. del protocolo y la aplicacin

Libreras de programacin
Independientes

Pasarelas de Aplicacin
Dependientes

SSH (inicialmente, sobre Telnet) que permite Cifrado y autentificacin. SOCKS (sobre los BSD Sockets), que permite autenticacin y control de acceso localizado en los cortafuegos

Acta como representante local (apoderado) de un servidor remoto para atravesar cortafuegos. Permite controlar de forma rigurosa el acceso a Internet de las diferentes conexiones realizadas entre elementos en ambas partes de un cortafuegos. Para configurar SOCKS, hay que compilar las aplicaciones para modificar las llamadas a los sockets. Funcionamiento: cuando un cliente SOCKS conecta a un servidor de Internet, el servidor SOCKS intercepta la conexin y la filtra en base a nmero de puerto, origen, destino, clave de usuario, .... En el caso, que sea admisible, puentea la conexin directamente con el cliente, permaneciendo en el medio de la conexin. Ms informacin en http://www.socks.nec.com

SOCKs: SOCK-et-S

Bibliografa (1/2) Tarjetas:

Mike Hendry, et alt., Smart Card Security and Applications, Artech House Publishers, 1.997 Scott B. Guthery, Timothy M. Jurgensen, Smart Card Developers Kit, Macmillan Technical Publishing, 1.998 Uwe Hansmann, et alt., Smart Card Application Development using Java, Springer, 2.000 Richard Smith , Internet Cryptography, Addison-Wesley, 1.997 Alan A. O., Freier P., Kocher P. C., The SSL Protocol Protocol Version 3.0, Internet Draft, 1.996 Atkinson R., Security Architecture for the Internet Protocol, RFC 2401, Noviembre 1.998

Protocolos seguros:

Aplicaciones seguras

Bibliografa (2/2)

Cortafuegos:Vulnerabilidades y configuraciones http://www.robertgraham.com/pubs/firewall-seen.html http://www.insecure.org/nmap http://www.snort.org

IDS:

Certificaciones y seguridad:

http://www.cert.org http://www.securityfocus.com

Herramientas de consultora
herramienta

de exploracin de puertos, como NMAP http://www.insecure.org/nmap Firewall toolkit (FWTK) http://www.fwtk.org herramienta de deteccin de intrusos como el SNORT http://www.snort.org herramienta de auditora que podra ser NESSUS http://www.nessus.org