Seguridad perimetral

Firewalls Javier de Pedro Carracedo

Universidad de Alcal

Aplicaciones Telemticas
Curso 2010/11

UAH

Contenidos
1

Principios de diseo de Firewalls Introduccin Objetivos de diseo Limitaciones de los rewalls Tcnicas de control de acceso Tipos de rewalls Clasicacin Tipos segn la implementacin Tipos segn la capa en la que operan Conguraciones de Firewalls Host bastin o zona desmilitarizada (DMZ) Screened host rewall, single-homed bastion Screened Host Firewall, Dual-Homed Bastion Host Screened-Subnet Firewall Gestin unicada de las amenazas (UTM)

UAH

Esbozo
1

Principios de diseo de Firewalls Introduccin Objetivos de diseo Limitaciones de los rewalls Tcnicas de control de acceso Tipos de rewalls Clasicacin Tipos segn la implementacin Tipos segn la capa en la que operan Conguraciones de Firewalls Host bastin o zona desmilitarizada (DMZ) Screened host rewall, single-homed bastion Screened Host Firewall, Dual-Homed Bastion Host Screened-Subnet Firewall Gestin unicada de las amenazas (UTM)

UAH

Introduccin

Cortafuegos/Firewalls. Mecanismos de control de acceso a la red y los recursos informticos de una organizacin.
Componentes hardware y/o software. Separan la red interna (equipos de conanza) de los equipos externos (potencialmente hostiles) mediante un adecuado control de trco. Deniegan intentos de conexin no autorizados (en ambos sentidos).

Finalidad. Prevencin frente a ataques perpetrados desde la red externa hacia la red interna.
Opcionalmente: control del uso de la red por parte de los equipos internos. Proteccin de los propios equipos: rewalls personales.

UAH

Introduccin

Los rewalls se insertan entre la red interna e Internet (red no conable).

UAH

Esbozo
1

Principios de diseo de Firewalls Introduccin Objetivos de diseo Limitaciones de los rewalls Tcnicas de control de acceso Tipos de rewalls Clasicacin Tipos segn la implementacin Tipos segn la capa en la que operan Conguraciones de Firewalls Host bastin o zona desmilitarizada (DMZ) Screened host rewall, single-homed bastion Screened Host Firewall, Dual-Homed Bastion Host Screened-Subnet Firewall Gestin unicada de las amenazas (UTM)

UAH

Objetivos de diseo
Todo el trco interno hacia el exterior debe pasar por el rewall. nicamente el trco autorizado (poltica de seguridad local) tendr acceso ltros y gateways. El rewall, por s solo, ha de ser inmune a penetraciones (sistema conable con sistema operativo seguro). Importante Punto nico de resistencia. Emplazamiento en el que efectuar supervisin de eventos de seguridad.
Registro de accesos, intentos de intrusin, gestin de alarmas de seguridad, auditoras, etc.

Emplazamiento en el que implementar elementos de gestin de red.

Servicio NAT, pasarelas IPSec o similares (VPN), sistema de deteccin de intrusiones (SNORT), plataformas de ltrado a nivel de aplicacin (antivirus, SPAM), etc.

UAH

Esbozo
1

Principios de diseo de Firewalls Introduccin Objetivos de diseo Limitaciones de los rewalls Tcnicas de control de acceso Tipos de rewalls Clasicacin Tipos segn la implementacin Tipos segn la capa en la que operan Conguraciones de Firewalls Host bastin o zona desmilitarizada (DMZ) Screened host rewall, single-homed bastion Screened Host Firewall, Dual-Homed Bastion Host Screened-Subnet Firewall Gestin unicada de las amenazas (UTM)

UAH

Limitaciones de los rewalls

Conforme a las estrategias de seguridad polticas proactivas (minimizar vulnerabilidades). No protegen frente a ataques que no atraviesen los rewalls. No protegen contra amenazas internas. Pueden despertar una sensacin de falsa seguridad.
Si el rewall falla, deja la puerta abierta. Los rewalls comportan un elemento ms de seguridad.

UAH

Esbozo
1

Principios de diseo de Firewalls Introduccin Objetivos de diseo Limitaciones de los rewalls Tcnicas de control de acceso Tipos de rewalls Clasicacin Tipos segn la implementacin Tipos segn la capa en la que operan Conguraciones de Firewalls Host bastin o zona desmilitarizada (DMZ) Screened host rewall, single-homed bastion Screened Host Firewall, Dual-Homed Bastion Host Screened-Subnet Firewall Gestin unicada de las amenazas (UTM)

UAH

Tcnicas de control de acceso

Control de servicios. Servicios de Internet accesibles (internos y externos). Alternativas:

Cortafuegos ltra el acceso a los servicios conforme a la direccin IP y los nmeros de puerto. Cortafuegos proporciona un software intermediario (Proxy) para cada servicio controlado.

Control de usuarios. Control de acceso a servicios, de acuerdo a los permisos de usuarios. Control de comportamiento. Cmo usar servicios particulares (p. ej., ltrado de correo electrnico).

UAH

Esbozo
1

Principios de diseo de Firewalls Introduccin Objetivos de diseo Limitaciones de los rewalls Tcnicas de control de acceso Tipos de rewalls Clasicacin Tipos segn la implementacin Tipos segn la capa en la que operan Conguraciones de Firewalls Host bastin o zona desmilitarizada (DMZ) Screened host rewall, single-homed bastion Screened Host Firewall, Dual-Homed Bastion Host Screened-Subnet Firewall Gestin unicada de las amenazas (UTM)

UAH

Clasicacin

Por su implementacin.
Firewalls hardware. Firewalls software.

Por la capa o nivel en la que operan.

Routers con ltrado de paquetes. Gateways a nivel de aplicacin. Gateways a nivel de circuitos (con estado). Stateful Inspection Firewalls.

UAH

Esbozo
1

Principios de diseo de Firewalls Introduccin Objetivos de diseo Limitaciones de los rewalls Tcnicas de control de acceso Tipos de rewalls Clasicacin Tipos segn la implementacin Tipos segn la capa en la que operan Conguraciones de Firewalls Host bastin o zona desmilitarizada (DMZ) Screened host rewall, single-homed bastion Screened Host Firewall, Dual-Homed Bastion Host Screened-Subnet Firewall Gestin unicada de las amenazas (UTM)

UAH

Firewalls hardware

Firewalls basados en hardware.

UAH

Pix Firewall. CheckPoint.

Firewalls software

Firewalls basados en software.

UAH

Zone Alarm. WinXP Firewall.

Esbozo
1

Principios de diseo de Firewalls Introduccin Objetivos de diseo Limitaciones de los rewalls Tcnicas de control de acceso Tipos de rewalls Clasicacin Tipos segn la implementacin Tipos segn la capa en la que operan Conguraciones de Firewalls Host bastin o zona desmilitarizada (DMZ) Screened host rewall, single-homed bastion Screened Host Firewall, Dual-Homed Bastion Host Screened-Subnet Firewall Gestin unicada de las amenazas (UTM)

UAH

Routers con ltrado de paquetes

Niveles de red y transporte (protocolos IP, TCP, UDP, ICMP). Filtrado basado en la informacin contenida en cada paquete recibido o enviado. Inspeccionar los paquetes y comprobar si se cumplen las reglas (criterios de ltrado) listas de control de acceso (ACL).
Direcciones origen y/o destino, puertos origen y/o destino, tipo de paquete, interfaces de entrada y/o salida.

UAH

Routers con ltrado de paquetes

Cada paquete se inspecciona de forma aislada. Filtrado sin estado. No se considera si el paquete forma parte de una conexin. Polticas por defecto: discard/deny y forward/allow.
Recomendacin. Poltica restrictiva por defecto: discard/deny.

Puertos estndar para bloquear servicios concretos. Integrados en routers o equipos dedicados. Notacin especca segn el fabricante.

UAH

P. ej., GNU/Linux: NETFILTER/iptables bsico.

Routers con ltrado de paquetes

Ventajas Simplicidad. Control centralizado del acceso. Transparencia. No se requiere la cooperacin del usuario. Altas velocidades. Desventajas Ausencia de exibilidad. nicamente permitir o rechazar. Falta de autenticacin. Dicultad en la especicacin de las reglas de ltrado. Si un ltro falla, la red queda desprotegida.

UAH

Routers con ltrado de paquetes

Posibles ataques y medidas adoptadas IP Address Spoong. Suplantacin de direccin IP.

Descartar paquetes con direccin IP interna procedente del exterior.

Ataques Source Routing. Paquete IP con opcin de encaminamiento fuente.

Descartar paquetes que se sirvan de esta opcin.

Ataques Tiny Fragment. Paquete IP inusualmente pequeo.

Descartar paquetes con TCP, como tipo de protocolo, y offset del fragmento igual a 1.

UAH

Gateways a nivel de aplicacin

Conocidos como Servidores Proxy. Nivel de aplicacin (conmutador de trco a nivel de aplicacin). Evitar trco directo entre redes. Control de contenidos (incluso Antivirus).

UAH

Gateways a nivel de aplicacin

Interceptar mensajes entre aplicaciones.

Bloquear aplicaciones no permitidas (sin Proxy). Control del trco en aplicaciones permitidas.

Un Proxy comprende el protocolo de una aplicacin determinada.

Prevenir abusos. Limitar acciones concretas del protocolo. Detectar uso de protocolos no permitidos en puertos estndar.

UAH

Gateways a nivel de aplicacin

Proxy de aplicacin. Programa que representa a toda la red interna, ocultndola de la red pblica. Decisiones de forwarding en ambos sentidos. Ofrece servicios de valor aadido (cach web). P. ej., GNU/Linux: Proxy-cache web SQUID. Ventajas Mayor seguridad que el ltrado de paquetes. Discriminacin selectiva del trco (aplicaciones permitidas). Facilidad en los registros (logs) y auditoras del trco entrante. Desventajas Procesamiento adicional en cada conexin (conexiones divididas). El gateway acta como un splice, examinando y reenviando todo el trco.

UAH

Gateways a nivel de circuitos

Niveles de red, transporte y aplicacin.

Combinar las capacidades de ltrado de paquetes y ltrado de contenido segn la aplicacin (control ms no).

Sistema dedicado o funcin especca desempeada por un gateway a nivel de aplicacin. Se establecen dos conexiones TCP.
Tpicamente se conmutan segmentos TCP entre conexiones, sin examinar su contenido.

UAH

Gateways a nivel de circuitos

Registro de las conexiones que atraviesan el gateway. Poltica de seguridad. Determinar qu conexiones son permitidas.
Paquetes que inician o nalizan una conexin. Paquetes que forman parte de conexiones establecidas. Paquetes relacionados con conexiones previas.

UAH

Situaciones en las que el administrador confa en los usuarios internos. P. ej., GNU/Linux: NETFILTER/iptables con mdulos de seguimiento de conexiones (connection tracking).

Esbozo
1

Principios de diseo de Firewalls Introduccin Objetivos de diseo Limitaciones de los rewalls Tcnicas de control de acceso Tipos de rewalls Clasicacin Tipos segn la implementacin Tipos segn la capa en la que operan Conguraciones de Firewalls Host bastin o zona desmilitarizada (DMZ) Screened host rewall, single-homed bastion Screened Host Firewall, Dual-Homed Bastion Host Screened-Subnet Firewall Gestin unicada de las amenazas (UTM)

UAH

Host bastin o zona desmilitarizada (DMZ)

Sistema identicado por el administrador del rewall como punto crtico en la seguridad de la red.
nico punto de entrada y salida a Internet desde la red interna y viceversa (interfaz de acceso).

Plataforma hardware soporte para gateways de nivel de aplicacin o de circuitos.

Ejecuta una versin segura de Sistema Operativo (sistemas conables). El administrador de la red instala servicios esenciales (mdulos proxies) Telnet, DNS, FTP, SMTP y autenticacin de usuarios. Cada mdulo proxy precisa autenticacin adicional, previo acceso del usuario al servicio (auditora del trco de cada conexin). Cada mdulo proxy (paquete software) generalmente no efecta accesos a disco, salvo la lectura de la conguracin inicial, de forma que se diculte la instalacin de troyanos y sniffers.

UAH

Esbozo
1

Principios de diseo de Firewalls Introduccin Objetivos de diseo Limitaciones de los rewalls Tcnicas de control de acceso Tipos de rewalls Clasicacin Tipos segn la implementacin Tipos segn la capa en la que operan Conguraciones de Firewalls Host bastin o zona desmilitarizada (DMZ) Screened host rewall, single-homed bastion Screened Host Firewall, Dual-Homed Bastion Host Screened-Subnet Firewall Gestin unicada de las amenazas (UTM)

UAH

Screened host rewall, single-homed bastion

Sistema rewall con host apantallado y conectado a una sola red.

UAH

Screened host rewall, single-homed bastion

Firewall consta de dos sistemas: router con ltrado de paquetes y host bastin (proxy y autenticacin).
Router con ltrado de paquetes nicamente permite acceso al o desde el host bastin. Paquetes IP desde Internet nicamente a travs del host bastin. Paquetes IP hacia Internet nicamente a travs del host bastin. Dos niveles de seguridad (versatilidad en la denicin de la poltica de seguridad): ltrado a nivel de paquete y aplicacin.

Mejor seguridad. Un intruso debe atravesar ambas barreras (sistemas separados). Flexibilidad. Proveer acceso directo a Internet, con servidores de informacin pblica, como servidores web.

UAH

Esbozo
1

Principios de diseo de Firewalls Introduccin Objetivos de diseo Limitaciones de los rewalls Tcnicas de control de acceso Tipos de rewalls Clasicacin Tipos segn la implementacin Tipos segn la capa en la que operan Conguraciones de Firewalls Host bastin o zona desmilitarizada (DMZ) Screened host rewall, single-homed bastion Screened Host Firewall, Dual-Homed Bastion Host Screened-Subnet Firewall Gestin unicada de las amenazas (UTM)

UAH

Screened Host Firewall, Dual-Homed Bastion Host

Sistema rewall con host apantallado y conectado con dos interfaces de red.

UAH

Screened Host Firewall, Dual-Homed Bastion Host

Dos interfaces de red en el host bastin.

Dos subredes separadas.

Dos niveles de defensa: router y host bastin. Proteccin de los equipos internos, si se compromete la seguridad del router con ltrado de paquetes. Caractersticas similares a la conguracin previa.

UAH

Esbozo
1

Principios de diseo de Firewalls Introduccin Objetivos de diseo Limitaciones de los rewalls Tcnicas de control de acceso Tipos de rewalls Clasicacin Tipos segn la implementacin Tipos segn la capa en la que operan Conguraciones de Firewalls Host bastin o zona desmilitarizada (DMZ) Screened host rewall, single-homed bastion Screened Host Firewall, Dual-Homed Bastion Host Screened-Subnet Firewall Gestin unicada de las amenazas (UTM)

UAH

Screened-Subnet Firewall

Sistema rewall con subred apantallada o zona desmilitarizada (DMZ).

UAH

Screened-Subnet Firewall

Dos routers con ltrado de paquetes.

Tres niveles de defensa (conguracin ms segura): dos routers y un host bastin. Los routers nicamente permiten trco hacia o desde la zona desmilitarizada. El router externo nicamente declara a Internet la existencia de la subred protegida (red interna invisible para Internet). El router interno declara a la red interna la existencia de la subred protegida (red interna no puede construir rutas directas hacia Internet).

Creacin de una subred aislada (DMZ, con NAT), que puede consistir de un simple host bastin o de ms servidores pblicos.

UAH

Esbozo
1

Principios de diseo de Firewalls Introduccin Objetivos de diseo Limitaciones de los rewalls Tcnicas de control de acceso Tipos de rewalls Clasicacin Tipos segn la implementacin Tipos segn la capa en la que operan Conguraciones de Firewalls Host bastin o zona desmilitarizada (DMZ) Screened host rewall, single-homed bastion Screened Host Firewall, Dual-Homed Bastion Host Screened-Subnet Firewall Gestin unicada de las amenazas (UTM)

UAH

Unied Threat Management (UTM)

Realidad de la seguridad. Solucin para cada problema. Demasiado hardware (appliances). Ventajas Administracin claramente identicada. Puesta en marcha ms rpida. Desventajas Integracin limitada o nula. Gestin dispersa.

UAH

Unied Threat Management (UTM) Sndwiches de equipos

UAH

Unied Threat Management (UTM)

Consolidacin en un nico mdulo (box)

Firewall. IDPS. Antivirus de pasarela. VPN y SSLVPN. AntiX (antispyware, antispam, etc.). Filtrado de URL. Gateway a nivel de aplicacin.

UAH

Unied Threat Management (UTM) Tendencia actual de la industria

Ventajas Unicacin y simplicacin de la gestin. Facilidad de despliegue (localizacin). Reaccin rpida ante nuevos retos. Altsimo rendimiento. Desventajas Simplicar la seguridad (consola nica). Desechar fabricantes. Reutilizar lo existente (convivencia y/o compatibilidad). Problema de competencias.

UAH

Unied Threat Management (UTM)

Fabricantes

UAH

Lecturas recomendadas

William R. Cheswick, Steven M. Bellovin, Aviel D. Rubin. Firewalls and Internet security: repelling the wily hacker. Second edition, Addison-Wesley, 2003. Marcus Gonalves. Firewalls: a complete guide. Second edition, McGraw-Hill, 2000. John R. Vacca, Scott Ellis, Scott Raymond Ellis. Firewalls: jumpstart for network and systems administrators. Elsevier, 2005.

UAH