Ingeniera en Informtica

Semestre VII
Sede Rancagua.




SEGURIDAD DE REDES





Docente: Juan Francisco Mora Lienlaff
E-mail : jfranciscomora@hotmail.com Fecha: 16 de Abril de 2014









AGENDA
3
ELEMENTOS QUE COMPONEN LA SEGURIDAD PERIMETRAL

FIREWALLS

ELEMENTOS QUE COMPONEN UN FIREWALL

SOFTWARE v/s HARDWARE

CARACTERISTICAS O POLITICAS DE DISEO

TIPOLOGIAS DE FIREWALL





Elementos bsicos de la seguridad perimetral:



- Concepto de seguridad perimetral.
La seguridad perimetral es uno de los mtodos posibles de defensa de una red, basado
en el establecimiento de recursos de securizacin en el permetro externo de la red
y a diferentes niveles.

Esto nos permite definir niveles de confianza, permitiendo el acceso de determinados
usuarios internos o externos a determinados servicios, y denegando cualquier tipo
de acceso a otros.

- Objetivos de la seguridad perimetral.
Centralizar el control de acceso para mantener a los intrusos fuera, permitiendo que
la gente de dentro trabaje normalmente.
Rechazar conexiones a servicios comprometidos
Permitir slo ciertos tipos de trfico (p. ej. correo electrnico) o entre ciertos nodos.
Proporcionar un nico punto de interconexin con el exterior
Redirigir el trfico entrante a los sistemas adecuados dentro de la intranet
Ocultar sistemas o servicios vulnerables que no son fciles de proteger desde
Internet
Auditar el trfico entre el exterior y el interior
Ocultar informacin: nombres de sistemas, topologa de la red, tipos de dispositivos
de red, cuentas de usuarios internos...




- Permetro de la red:
Es La frontera fortificada de nuestra red e incluye:

Router frontera: El ltimo router que controlamos antes de Internet. Primera y ltima lnea
de defensa. Filtrado inicial y final.

Cortafuegos: El cortafuegos se encarga de controlar puertos y conexiones, es decir, de
permitir el paso y el flujo de datos entre los puertos, ya sean clientes o servidores.

Es como un semforo que, en funcin de la direccin IP y el puerto (entre otras opciones),
dejar establecer la conexin o no siguiendo unas reglas establecidas. De este modo, el
firewall controla qu combinaciones "IP Cliente:puerto + IP Servidor:puerto" son vlidas o
no.

Las comprobaciones del cortafuegos estn asociadas a unas reglas (que le indican qu
debe hacer con esas conexiones). Estas reglas son normalmente "bloquear", "permitir" o
"ignorar".


Sistemas de Deteccin de Intrusos
Un sistema de deteccin de intrusos es una aplicacin usada para detectar accesos no autorizados
a un ordenador/servidor o a una red.
Las funciones de un IDS son:
Deteccin de ataques en el momento que estn ocurriendo o poco despus.
Automatizacin de la bsqueda de nuevos patrones de ataque, gracias a herramientas
estadsticas de bsqueda, y al anlisis de trfico anmalo.
Monitorizacin y anlisis de las actividades de los usuarios. De este modo se pueden conocer
los servicios que usan los usuarios, y estudiar el contenido del trfico, en busca de elementos
anmalos.
Auditora de configuraciones y vulnerabilidades de determinados sistemas.
Descubrir sistemas con servicios habilitados que no deberan de tener, mediante el anlisis del
trfico y de los logs.
Anlisis de comportamiento anormal. Si se detecta una conexin fuera de hora, reintentos de
conexin fallidos y otros, existe la posibilidad de que se est en presencia de una intrusin. Un
anlisis detallado del trfico y los logs puede revelar una mquina comprometida o un usuario
con su contrasea al descubierto.
Automatizar tareas como la actualizacin de reglas, la obtencin y anlisis de logs, la
configuracin de cortafuegos y otros.

Un IDS puede compartir u obtener informacin de otros sistemas como firewalls, routers y switches,
lo que permite reconfigurar las caractersticas de la red de acuerdo a los eventos que se
generan .-












Tipos de IDS:
Network Intrusion Detection System (NIDS): Es el ms comn. Su misin principal es
vigilar la red (en realidad,el segmento de red que es capaz de ver). Bsicamente, pone
el interfaz en modo promiscuo y absorbe todo el trfico, analizndolo posteriormente o
en tiempo real.
Network Node Intrusion Detection System (NNIDS): Este es un IDS destinado a vigilar el
trfico destinado a un nico Host, y no a una subred entera. Por ejemplo, puede servir
como vigilante externo de un HoneyPot o para vigilar la actividad de una VPN (Virtual
Private Network). Dado que solo analiza un host, se puede permitir un anlisis mucho
ms exhaustivo de los paquetes.
Host Intrusion Detection System(HIDS): Permiten tomar una instantnea del sistema,
para comprobar ms adelante la integridad de la maquina. Entre las tcnicas ms
comunes estn las firmas MD5 de los archivos crticos y las copias del registro.

Redes Privadas Virtuales.
El trmino Red privada virtual (abreviado VPN) se utiliza para hacer referencia a la red
creada artificialmente de esta
manera(utilizar Internet como medio de transmisin con un protocolo de tnel, que significa
que los datos se encapsulan
antes de ser enviados de manera cifrada para crear la red privada virtual) . Se dice que esta
red es virtual porque conecta
dos redes "fsicas" (redes de rea local) a travs de una conexin poco fiable (Internet) y
privada porque slo los
equipos que pertenecen a una red de rea local de uno de los lados de la VPN pueden "ver"
los datos.









Funcionamiento:
En una VPN de dos equipos, el cliente de VPN es la parte que cifra y descifra los datos del lado
del usuario y el servidor VPN (comnmente llamado servidor de acceso remoto) es el
elemento que descifra los datos del lado de la organizacin.
De esta manera, cuando un usuario necesita acceder a la red privada virtual, su solicitud se
transmite sin cifrar al sistema de pasarela, que se conecta con la red remota mediante internet
como intermediaria; luego transmite la solicitud de manera cifrada. El equipo remoto le
proporciona los datos al servidor VPN en su red y ste enva la respuesta cifrada. Cuando el
cliente de VPN del usuario recibe los datos, los descifra y finalmente los enva al usuario.

Software y servicios. Host Bastion
Un bastion host es una aplicacin que se localiza en un servidor con el fin de ofrecer seguridad a
la red interna, por lo que ha sido especialmente configurado para la recepcin de ataques,
generalmente provee un solo servicio (como por ejemplo un servidor proxy).
A diferencia del filtro realizado a travs de un router, los bastin host permiten un flujo de
informacin pero no un flujo de paquetes, lo que permite una mayor seguridad de las
aplicaciones del host. El diseo del bastin consiste en decidir qu servicios ste incluir.





Tipos de bastion host :
Single-homed bastin host
Es un dispositivo con una interfaz nica de red, frecuentemente se utiliza para una puerta de
enlace en el nivel de aplicacin. El router externo est configurado para enviar los datos al
Bastin Host y los clientes internos enviar los datos de salida al host. Finalmente el host
evaluar los datos segn las directrices de seguridad.
Dual-homed bastin host
Es un dispositivo que tiene al menos dos interfaces de red. Sirve como puerta de enlace al nivel
de aplicacin y como filtro de paquetes. La ventaja de usar este host es crear un quiebre
entre las red externa e interna, lo que permite que todo el trfico de entrada y salida pase
por el host. Este host evitar que un hacker intent acceder a un dispositivo interno.
Multihomed bastin host

Un Bastin host interno puede ser clasificado como multihomed. Cuando la poltica de seguridad
requiere que todo trfico entrante y salida sea enviado a travs de un servidor proxy, un
nuevo servidor proxy debera ser creado para la nueva aplicacin streaming. Cuando se
utiliza un bastin host como interno, debe residir dentro de una organizacin de la red
interna, en general como puerta de acceso para recibir toda el trfico de un bastin host
externo. Lo que agrega un nivel mayor de seguridad.
El uso de bastin host puede ser extendible a variados sistemas y/o servicios:
o - Web server.
o - DNS (Domain Name System) server.
o - Email server.




Subredes controladas:

Screened subnet es la arquitectura ms segura, pero tambin la ms compleja; se utilizan
dos routers, denominados exterior e interior, conectados ambos a la red perimtrica. En
esta red perimtrica, que constituye el sistema cortafuegos, se incluye el host bastin y
tambin se podran incluir sistemas que requieran un acceso controlado, como bateras
de mdems o el servidor de correo, que sern los nicos elementos visibles desde fuera
de nuestra red.

El router exterior tiene como misin bloquear el trfico no deseado en ambos sentidos (hacia
la red perimtrica y hacia la red externa), mientras que el interior hace lo mismo pero
con el trfico entre la red interna y la perimtrica: as, un atacante habra de romper la
seguridad de ambos routers para acceder a la red protegida; incluso es posible
implementar una zona desmilitarizada con un nico router que posea tres o ms
interfaces de red, pero en este caso si se compromete este nico elemento se rompe
toda nuestra seguridad, frente al caso general en que hay que comprometer ambos,
tanto el externo como el interno. Tambin podemos, si necesitamos mayores niveles de
seguridad, definir varias redes perimtricas en serie, situando los servicios que
requieran de menor fiabilidad en las redes ms externas: as, el atacante habr de saltar
por todas y cada una de ellas para acceder a nuestros equipos; evidentemente, si en
cada red perimtrica se siguen las mismas reglas de filtrado, niveles adicionales no
proporcionan mayor seguridad.

SEGURIDAD PERIMETRAL
12
FIREWALL



Un Cortafuegos (o Firewall en ingls) es un
elemento de hardware o software cuya
ubicacin habitual es el punto de conexin de
la red interna de la organizacin con la red
exterior (Internet); de este modo se protege la
red interna de intentos de acceso no
autorizados desde Internet, que puedan
aprovechar vulnerabilidades en los sistemas de
red internos.
Esquema Firewall
Esquema Firewall
Objetivos
Puede consistir en distintos dispositivos, tendientes a
los siguientes objetivos:
Todo el trfico desde dentro hacia fuera y
viceversa, debe pasar a travs de l.
Slo el trfico autorizado, definido por la poltica
local de seguridad, es permitido.
Funciones
Firewall
Ventajas
Administra los accesos posibles
del Internet a la red privada.
Protege a los servidores propios
del sistema.
Permite al administrador de la
red un manteniendo al margen
los usuarios prohibiendo
potencialmente la entrada o
salida
Ofrece un punto donde la
seguridad puede ser
monitoreada.
Ofrece un punto de reunin para
la organizacin.

Desventajas
El firewall se convierte en un
cuello de botella de toda la
estructura.
Los firewall son tpicamente
implementados en un sistema
UNIX .
Son inapropiados para montajes
mixtos, este tipo de montaje seria
bastante costoso y difcil de
implementar.
Qu es un Firewall de hardware?
Los firewall de hardware
proporcionan una fuerte
proteccin contra la
mayora de las formas de
ataque que vienen del
mundo exterior y se
pueden comprar como
producto independiente
o en routers de banda
ancha.
Qu es un Firewall de software?
Para usuarios particulares, el
Firewall ms utilizado es un
Firewall de software. Un buen
Firewall de software proteger
tu ordenador contra intentos de
controlar o acceder a tu
ordenador desde el exterior, y
generalmente proporciona
proteccin adicional contra los
troyanos o gusanos de E-mail
ms comunes.
Firewall de hardware v/s software

El hardware no puede ser desactivado por un
virus o programa nocivo.
La integridad del software puede ser
comprometida.
El hardware suele ser ms potente y con ms
recursos.
Siempre es ms aconsejable
una opcin de hardware.
El hardware no consume recursos del sistema
(CPU y memoria) y no es dependiente del S.O.
Tipo de filtrado en los Firewall
Tipo de filtrado:
-A nivel de red, con direcciones IP y la interfaz por la
que llega el paquete, generalmente a travs de listas de
acceso (en los routers)
-A nivel de transporte, con los puertos y tipo de
conexin, a travs de listas de acceso (en los routers)
-A nivel de aplicacin, con los datos, a travs de
pasarelas para las aplicaciones permitidas analizando el
contenidos de los paquetes y los protocolos de
aplicacin (ejemplo servidor proxy o pasarela
multiaplicacin)

Requisitos claves que deben cumplir los Firewalls
Identificacin de aplicaciones, no de puertos. Identificar con
exactitud qu aplicacin es, en todos los puertos
independientemente del protocolo, la codificacin SSL o la
tctica evasiva.
Identificacin de usuarios y no slo de direcciones IP.
Aprovechar la informacin almacenada en los directorios de
empresa para la visibilidad, la creacin de polticas, la
generacin de informes y la investigacin forense.
Inspeccin del contenido en tiempo real. Proteger la red de
los ataques y el software malicioso incrustado en el trfico de
las aplicaciones con una latencia baja y velocidades altas de
rendimiento.
Simplificar la gestin de polticas. Restaurar la visibilidad
y el control con herramientas grficas fciles de usar y un
editor de polticas que vincula aplicaciones, usuarios y
contenido, todo ello combinado de manera unificada.
Proporcionar un rendimiento multi-gigabit. Combinar
hardware y software de alto rendimiento en una plataforma
construida especialmente para permitir un rendimiento
multi-gigabit con baja latencia que tiene todos los servicios
activados.
Polticas de Diseo de Firewalls
Generalmente se plantean
algunas preguntas
fundamentales que deben ser
respondidas en cualquier
poltica de seguridad:
Qu se debe proteger?
Se deberan proteger todos los
elementos de la red interna
(hardware, software, datos,
etc.).
Polticas de Diseo de Firewalls
De quin protegerse?
De cualquier intento de acceso no autorizado
desde el exterior. Sin embargo, podemos
definir niveles de confianza, permitiendo
selectivamente el acceso de determinados
usuarios externos a determinados servicios o
denegando cualquier tipo de acceso a otros.
Cmo protegerse?
Esta es la pregunta ms difcil y est orientada a establecer el nivel de
monitorizacin, control y respuesta deseado en la organizacin. Puede
optarse por alguno de los siguientes paradigmas o estrategias:
a. Paradigmas de seguridad
- Se permite cualquier servicio excepto aquellos expresamente
prohibidos.
- Se prohbe cualquier servicio excepto aquellos expresamente
permitidos.
b. Estrategias de seguridad
- Paranoica: se controla todo, no se permite nada.
- Prudente: se controla y se conoce todo lo que sucede.
- Permisiva: se controla pero se permite demasiado.
- Promiscua: no se controla (o se hace poco) y se permite todo.
Polticas de Diseo de Firewalls
Cunto costar?
Estimando en funcin de lo que se desea
proteger se debe decidir cuanto es
conveniente invertir.
Beneficios de un Firewall
El Firewall es el punto ideal para monitorear
la seguridad de la red y generar alarmas de
intentos de ataque, el administrador ser el
responsable de la revisin de estos
monitoreos.

Los Firewalls tambin son importantes desde el
punto de vista de llevar las estadsticas del ancho de
banda "consumido por el trafico de la red, y que
procesos han influido ms en ese trafico, de esta
manera el administrador de la red puede restringir el
uso de estos procesos.
Los Firewalls tambin tienen otros usos. Por ejemplo,
se pueden usar para dividir partes de un sitio que
tienen distintas necesidades de seguridad o para
albergar los servicios www y ftp.
Limitaciones de un Firewall
La limitacin ms grande que tiene un Firewall
sencillamente es el hueco que no se tapa y que
coincidentemente o no, es descubierto por un
intruso. Los Firewalls no son sistemas inteligentes,
ellos actan de acuerdo a parmetros introducidos
por su diseador, por ende si un paquete de
informacin no se encuentra dentro de estos
parmetros como una amenaza de peligro
simplemente lo deja pasar. Ms peligroso an es
que ese intruso deje Back Doors, abriendo un hueco
diferente y borre las pruebas o indicios del ataque
original.
Limitaciones de un Firewall
Otra limitacin es que el Firewall "NO es contra humanos",
es decir que si un intruso logra entrar a la organizacin y
descubrir passwords o los huecos del Firewall y difunde esta
informacin, el Firewall no se dar cuenta.
El Firewall tampoco provee de herramientas contra la
filtracin de software o archivos infectados con virus,
aunque es posible dotar a la mquina, donde se aloja el
Firewall, de algun antivirus.
Tipologas de Firewalls
1. Filtrado de Paquetes
Se utilizan Routers con filtros y reglas basadas en
polticas de control de acceso. El Router es el
encargado de filtrar los paquetes basados en
cualquiera de los siguientes criterios:
a. Protocolos utilizados.
b. Direccin IP de origen y de destino.
c. Puerto TCP-UDP de origen y de destino.
Tienen la ventaja de ser econmicos, tienen un alto
nivel de desempeo y son transparentes para los
usuarios conectados a la red.
Tipos de Firewalls
2. Proxy-Gateways de Aplicaciones
Para evitar las debilidades asociadas al filtrado
de paquetes, los desarrolladores crearon
software de aplicacin encargados de filtrar las
conexiones.
Estas aplicaciones son conocidas como
Servidores Proxy y la mquina donde se ejecuta
recibe el nombre de Gateway de Aplicacin o
Bastion Host.
2. Proxy-Gateways de Aplicaciones

Tipos de Firewalls
3. Dual-Homed Host
Son dispositivos que estn conectados a ambos
permetros (interior y exterior) y no dejan pasar
paquetes IP (como sucede en el caso del Filtrado de
Paquetes), por lo que se dice que actan con el "IP-
Forwarding desactivado".
Un usuario interior que desee hacer uso de un
servicio exterior, deber conectarse primero al
Firewall, donde el Proxy atender su peticin, y en
funcin de la configuracin impuesta en dicho
Firewall, se conectar al servicio exterior solicitado
y har de puente entre ste y el usuario interior.
Tipos de Firewalls
4. Screened Host
En este caso se combina un Router con un host
bastin y el principal nivel de seguridad
proviene del filtrado de paquetes. En el
bastin, el nico sistema accesible desde el
exterior, se ejecuta el Proxy de aplicaciones y
en el Choke se filtran los paquetes
considerados peligrosos y slo se permiten un
nmero reducido de servicios.
Tipos de Firewalls
5. Screened Subnet
En este diseo se intenta aislar la mquina ms atacada
y vulnerable del Firewall, el Nodo Bastin. Para ello se
establece una Zona Desmilitarizada (DMZ) de forma tal
que sin un intruso accede a esta mquina no consiga el
acceso total a la subred protegida.
En este esquema se utilizan dos Routers: uno exterior y
otro interior. El Router exterior tiene la misin de
bloquear el trfico no deseado en ambos sentidos:
hacia la red interna y hacia la red externa. El Router
interior hace lo mismo con la red interna y la DMZ
(zona entre el Router externo y el interno).
Tipos de Firewalls
6. Inspeccin de Paquetes
Este tipo de Firewalls se basa en el principio
de que cada paquete que circula por la red
es inspeccionado, as como tambin su
procedencia y destino.
Se aplican desde la capa de Red hasta la de
Aplicaciones. Generalmente son instalados
cuando se requiere seguridad sensible al
contexto y en aplicaciones muy complejas.
Tipos de Firewalls
7. Firewalls Personales
Estos Firewalls son aplicaciones disponibles
para usuarios finales que desean
conectarse a una red externa insegura y
mantener su computadora a salvo de
ataques que puedan ocasionarle desde un
simple "cuelgue" o infeccin de virus hasta
la prdida de toda su informacin
almacenada.
MUCHAS
GRACIAS