Академический Документы
Профессиональный Документы
Культура Документы
Tema 41.- Medidas de seguridad en conectividad de redes: Cortafuegos, IDS, IPS, filtro de contenidos.
Introduccin......................................................................................................................1 1 Cortafuegos Firewall-...................................................................................................3 1.1 Polticas de control de acceso..................................................................................4 1.2 rganizacin de una LAN segn el nivel de seguridad..........................................4 2 Sistemas de Deteccin de Intrusos IDS ....................................................................5 3 Sistema de Prevencin de Intrusos IPS ....................................................................7 4 Filtro por contenidos.......................................................................................................8 4.1 Clasificacin de Pginas Mediante Etiquetas PICS Plataforma para la Seleccin de Contenidos de Internet-.............................................................................................9 5 Servidores intermediarios ..............................................................................................9
Introduccin
Las comunicaciones a travs de redes de ordenadores suponen un riesgo para los sistemas informticos conectados a las mismas. El motivo es que las tecnologas de comunicaciones ms usadas son inseguras, pues no se tuvieron en cuenta como prioritarios los requisitos de seguridad al disearlas. Esta inseguridad aumenta al conectar equipos o redes privadas a Internet dado el carcter pblico de este medio de comunicacin. Es por ello, que se dotan a las conexiones entre redes de comunicaciones de medidas de seguridad para garantizar su seguridad. Los principios que se busca conseguir son: Garantizar la disponibilidad de sus servicios y La integridad y confidencialidad de sus datos
El proceso de seguridad en un entorno de redes se puede dividir en tres partes: Prevencin/Proteccin, Deteccin y Respuesta. Prevencin Proteccin
Deteccin
Reaccin En la fase de Prevencin/Proteccin, se implantan los mecanismos que protegen a los sistemas de la organizacin frente a ataques que puedan producirse. Se basa en una correcta identificacin y anlisis de riesgos de los activos a proteger. Tras el cual se definen las contramedidas a adoptar para protegerlos. Son las actividades pro-activas, que se realizan para minimizar las probabilidades de que se produzcan incidentes. (Aqu se clasificaran, por ejemplo, los firewall)
Pgina 1 de 9
En la fase de Deteccin de ataques, se despliega las actividades para atajar el nivel de riesgo residual que no pueden rebajar las medidas de proteccin. Se toman medidas para detectar cundo las medidas de proteccin no han sido efectivas. (Aqu se incluiran los IDS) La fase de Reaccin, cuando se detecta un ataque se efecta unas actividades de respuesta al mismo, pudiendo ser de forma automatizada o ser realizado con intervencin humana, es decir, de forma manual. Son las actividades re-activas. (Aqu apareceran los IPS, como un sistema de respuesta automatizada) La frontera entre los IDS e IPS no est clara, pues existen los denominados IDS reactivos que tienen capacidad de reaccin. Se suelen diferenciar en que los IDS reactivo actan tras detectar la intrusin, los IPS son capaces de actuar antes al detectar los indicios de los ataques y prevenir la amenaza.
Pgina 2 de 9
1 Cortafuegos FirewallUn cortafuego es un componente hardware o software de control de las comunicaciones dentro de una red. Impide que las comunicaciones inseguras circulen por la red. Los cortafuegos controlan el trfico entre diferentes zonas de confianza. Tpicamente, las zonas de confianza incluyen Internet, como zona insegura, y la Intranet, como zona segura. En una Intranet compleja, suelen aparecer diferentes subredes con diferentes niveles de seguridad. El conjunto de reglas que utiliza el cortafuegos a la hora de realizar el control de las comunicaciones constituyen las polticas de control de acceso a la red. Adems, los cortafuegos pueden realizar actividades de monitorizacin de la red. Aportan una gran cantidad de informacin para el administrador del sistema como son el tipo de trfico que pasa a travs de l, su volumen, el nmero de intentos de conexin desde el exterior, etc. Los cortafuegos se pueden clasificar segn el mbito de uso en: Cortafuegos Personales, una aplicacin software que filtra el trfico que entra o sale de un ordenador. Consumen recursos del ordenador. Cortafuegos de red: Es un equipo localizado en la frontera entre dos o ms redes. Controlan el trfico que pasa a travs de l. El cortafuegos puede ejecutarse en un dispositivo de red especializado o sobre un ordenador que haga de puente entre las red. En referencia a la capa TCP/IP donde el trfico puede ser interceptado, existen dos categoras de cortafuegos. Cortafuegos a nivel de red: El control de trfico a nivel de red consiste en analizar todos los paquetes que llegan a un interfaz de red, y decidir si se les deja pasar o no en base a la informacin de sus cabeceras: protocolo, direccin de origen y direccin de destino fundamentalmente. Puesto que analizar esta informacin es muy sencillo, este tipo de cortafuegos suelen ser muy rpidos. Cortafuegos a nivel de aplicacin: el control se hace analizando las comunicaciones a nivel de su contenido. El cortafuego es por tanto mucho ms inteligente y posee un control ms fino de la comunicacin, aunque esto supone una mayor carga de trabajo. Por ejemplo, si se filtra el protocolo smtp, se puede configurar para que impida todos los correos destinados a servidores de correos pblicos como Hotmail o gmail. No puede analizar comunicaciones cifradas, como las comunicaciones HTTPS.
Pgina 3 de 9
La arquitectura DMZ ms segura utiliza dos niveles de firewalls. El primer nivel realiza un filtrado de las comunicaciones poco estricto, que permita las comunicaciones desde Internet. El interno realiza un filtrado ms estricto, evitando que se inicien las comunicaciones desde el exterior.
Servidores con acceso desde Internet Firewall Externo Firewall Interno Equipos internos de la organizacin
INTERNET
Se pueden establecer arquitecturas con un slo firewall con tres puertos, al cual se conectan las tres redes y se establecen filtros diferentes para la red DMZ y la LAN Interna. Esta arquitectura es ms simple, pero ms insegura. Un error en la configuracin podra permitir accesos inseguros a la LAN interna.
Pgina 4 de 9
Pgina 5 de 9
El IDS es incapaz de detener los ataques por s solo, excepto los que trabajan conjuntamente con un cortafuego. Los IDS suelen almacenar informacin de las intrusiones detectadas y copia de los paquetes afectados. Esto permite a los administradores de la red realizar un anlisis forense del ataque. La implementacin de un IDS puede ser hardware, software o una combinacin de ambas. Los IDS hardware son equipos especializados conectados a la red, capaces de controlar una red con mucho trfico. Los IDS software son aplicaciones ejecutados en un equipo de la red. Es una solucin barata, pero tiene el inconveniente de que si tienen que analizar mucho trfico, pueden sobrecargar el equipo donde se ejecutan. Un IDS conocido es la aplicacin Snort (Software GPL). Consiste en un IDS de red (NIDS) que se compone de un sniffer para la captura de los paquetes de las comunicaciones, un ncleo capaz de analizar los paquetes buscando patrones de intrusiones, almacn de la informacin en log de texto o BBDD MySQL y posibilidad de integracin con herramientas de generacin de informes en tiempo real.
Pgina 6 de 9
Pgina 7 de 9
Los mtodos de filtrado utilizado son: Listas positivas y negativas: Se basa en la creacin de listas de pginas, normalmente se parte de una lista predeterminada de pginas prohibidas (el programa no permite el acceso a las pginas que estn incluidas en esta lista) o de una lista positiva (slo se permite el acceso a pginas que estn incluidas en esta lista). Bloqueo de palabras clave: utilizan ciertas palabras para bloquear el acceso a pginas que contengan dichas palabras. Puede dar lugar a bloquear pginas legtimas. Es muy usado en los sistemas anti-spam del correo electrnico. Control horario: El software impide el acceso a los contenidos de Internet en determinadas franjas horarias. Auditora: recogen informacin sobre el tiempo que pasan los usuarios en Internet y las pginas que visitan.
Pgina 8 de 9
4.1 Clasificacin de Pginas Mediante Etiquetas PICS Plataforma para la Seleccin de Contenidos de InternetEl filtrado de contenidos tiene actualmente especial importancia en el control de los contenidos a los que acceden los menores de edad, a travs de la web. Es por ello que la W3C ha desarrollado unas nuevas especificaciones de etiquetas de metadatos para clasificar el contenido web. Estas etiquetas pueden venir incluidas dentro del cdigo xhtml o suministradas de forma externa por servidores independientes. El software de filtrado utiliza la informacin de las etiquetas para determinar si los contenidos son aceptables o no. Los principales navegadores web tienen la opcin de filtrar las pginas web utilizando las etiquetas PICS. PICS describe dos mtodos de clasificacin de los contenidos: La autoclasificacin por los propios creadores de las pginas web. Se insertan las etiquetas PIC como metadatos de la web. Clasificacin por terceros, asociaciones de padres, profesores - la clasificacin en estos casos se obtiene de forma externa, desde servidores independientes a los servidores origen de la web. Para que este mtodo funcione, tiene que haber un gran porcentaje de pginas clasificadas, cosa que no ocurre actualmente.
5 Servidores intermediarios
Los servidores intermediarios, tambin conocidos como Proxies, es un componente de la red que hace de enlace el trfico entre una red privada e Internet. Proporciona un acceso indirecto a la red de Internet. Trabaja al nivel de aplicacin segn el modelo de comunicaciones OSI. Los proxies pueden realizar funciones de seguridad como:
Funciones de autentificacin. Los equipos de la red deben autentificarse ante el servidor proxy para poder acceder a Internet. Funciones de cortafuego, pueden configurarse para proporcionar mecanismos de seguridad especficos para cada protocolo. Por ejemplo, configurarlo para permitir conexiones FTP de entrada a la red pero no de salida.
Existen Proxies que proporcionan sistemas de traduccin de direcciones -NAT-. Los equipos disponen de direcciones IP locales que el proxy traduce al acceder a Internet. Esto permite que desde el exterior no se pueda realizar un acceso directo a estos equipos -Enmascaramiento de direcciones-.
Pgina 9 de 9