UNIDAD 04

Tecnologas y Protocolos de Seguridad

El equipo Docente del curso
TEMA 05 : Arquitecturas de Seguridad 01
Logros de la Unidad de Aprendizaje
Al trmino de la unidad de aprendizaje, el alumno disea arquitecturas de
seguridad de redes mediante el uso de componentes de seguridad como los
firewall, IDS, IPS y VPN para el control de los accesos a la red local (LAN) y
control de las salidas a la red Internet (WAN).

Firewall
Son dispositivos fsicos y/o lgicos
que controlan el trfico de una
organizacin.
Dispositivo o un conjunto de
dispositivos con dos interfaces de
red, diseados para permitir, limitar,
bloquear, cifrar y, descifrar el
acceso autorizado y no autorizado a
las redes sobre la base de un
conjunto de normas y criterios.
Se implementan en software,
hardware o una combinacin de
ambos
Firewall
Se utilizan para evitar que usuarios de Internet no autorizados tengan
acceso a redes privadas conectadas a Internet (Intranets).
Todos los mensajes que entren o salgan de la intranet pasan por el
firewall, que examina cada mensaje y bloquea aquellos que no
cumplen los criterios de seguridad especificados.
Tambin se utiliza para conectarse a una tercera red llamada DMZ en
la que se ubican los servidores de la organizacin que deben
permanecer accesibles desde la red exterior.
Firewall
Ventajas de un Firewall
Establece permetros confiables.
Protege de intrusiones.- El acceso a ciertos segmentos de la red
de una organizacin slo se permite desde mquinas autorizadas
de otros segmentos de la organizacin o de Internet.
Proteccin de informacin privada.- Permite definir niveles de
acceso a la informacin. Cada grupo de usuarios tiene acceso slo
a los servicios e informacin que le son necesarios.
Optimizacin de acceso.- Identifica los elementos de la red
internos y permite que la comunicacin entre ellos sea ms directa.
Limitaciones del Firewall
No protege contra aquellos
ataques cuyo trfico no pase a
travs de l.
No protege de ataques internos
o usuarios negligentes.
No protege contra los ataques
de ingeniera social.
No protege contra virus
informticos a travs de
archivos y software.
No protege de los fallos de
seguridad de los servicios y
protocolos cuyo trfico est
permitido.
Tipos de Firewall
De Filtro de paquetes.
De Nivel de aplicacin.
De Inspeccin de paquetes.
De Filtro de paquetes dinmicos.
De Proxy.
Firewall de Filtro de Paquetes
Conocido tambin como screening router.
Filtra paquetes basados en direcciones IP, puertos utilizados y
direcciones MAC (capa 2, 3 y 4)
No realiza anlisis de contenido, ni seguimiento de la conexin.
Son implementados dentro de los routers y trabajan con Listas de
Control de Acceso (ACL).
Es difcil de configurar y mantener actualizado.
Firewall de Nivel de Aplicacin
Son firewalls de segunda generacin.
Trabajan en capa 7.
Como hardware, es una PC que ejecuta un
software Proxy que la hace trabajar como
servidor Proxy.
Trabaja enmascarando las verdaderas
direcciones IP de origen.
El filtrado de datos se puede adaptar a
caractersticas propias de los protocolos de
aplicacin.
Permite controlar qu servicios son
utilizados por los host y protege a la red de
usuarios externos.
Su desventaja es que reduce el
rendimiento de la red, ya que debe analizar
cada paquete en todos los niveles.
Firewall de Inspeccin de Paquetes
Son firewalls de tercera
generacin.
Trabaja en todos los niveles del
modelo OSI.
En este firewall, los paquetes
son capturados por un motor de
inspeccin que est operando a
la velocidad de la red.
Permite un mayor anlisis de los
datos al examinar el estado y
contexto de los paquetes de
datos entrantes.
Permite seguir el rastro a las
aplicaciones no confiables (que
trabajan con UDP).
Firewall de Filtro de Paquetes Dinmico
Son de cuarta generacin.
Permite habilitar la
modificacin de las reglas del
firewall.
Se utiliza generalmente para
proveer soporte UDP, ya que
el firewall recuerda, por un
periodo corto de tiempo, los
paquetes UDP que han
cruzado el permetro y decide
si los habilita en la red
Firewall de Proxy Kernel
Son de quinta generacin
Permite la evaluacin de sesiones multicapa de manera modular
basada en Kernel.
A diferencia del stack TCP/IP convencional, este stack es construido
fuera del nivel del kernel.
Se ejecuta en el Windows 2000 y 2003.
Arquitectura de Firewalls
Arquitectura Screening Router
Arquitectura Screened Host
Arquitectura Dual Homed Host
Arquitectura Screened Subnet
Arquitectura Defense In-depth
Arquitectura Screening Router
Llamados tambin Packet
Filtering Router (PFR).
Es el firewall ms bsico.
Este dispositivo se coloca entre
la red confiable (privada) y la no
confiable (pblica).
El router posee dos tarjetas de
red (redes pblica y privada)
Toda la seguridad recae en las
reglas de filtrado de paquetes del
router
Trabaja con listas de control de
acceso (ACL).
Su dificultad es que las ACL son
difciles de mantener y no oculta
las direcciones IP.
Arquitectura Screened Host
Llamado tambin Screened-Host Firewall Systems.
Esta arquitectura posee un PFR(router de filtrado de paquetes) hacia la
red pblica y un Bastion Host (filtrado con proxy de aplicaciones) hacia
la red privada.
Acta en capa de red (PFR) y en capa de aplicacin (Proxy).
El PFR se coloca entre la red pblica y el Bastion host.
El router dirige todo el trafico proveniente de la red externa al host
bastin por lo que es el nico que puede ser accedido directamente
desde fuera de la red local
Arquitectura Dual Homed Host
Posee un host con dos interfaces
de red, una hacia la red privada y
la otra hacia la red pblica.
Filtra parte del trafico que va de
una red a otra.
Todo el trfico debe pasar por un
mecanismo de inspeccin de
seguridad.
La capacidad de ruteo esta
deshabilitada para evitar que el
trfico pase transparentemente
por el router
Su funcin es la de trasladar
trfico entre redes diferentes. Por
ejemplo Ethernet con Token Ring.
Arquitectura Screened Subnet
Se consigue implementado
una red de permetro
llamada DMZ. Es uno de los
mecanismos de seguridad
perimetral ms eficientes.
Se coloca PFR entre el
Bastion Host y la red interna,
por lo que el host bastin se
encontrar entre los dos
routers.
Permite aislar la red local de
Internet, ocultando su trfico.
Soporta seguridad a nivel de
red y de aplicacin y provee
un sitio seguro para conectar
servidores pblicos.
Arquitectura Screened Subnet
El Router externo solo permite el paso de los protocolos que
provienen del Bastion Host y administra el acceso a internet.
El router interno filtra la mayor cantidad de paquetes y oculta el
trfico interno.
El Bastion Host acta como Proxy, contiene a los IDS y los
servidores de acceso externo.
El Bastion Host puede dividir la red fsica en dos subredes (dual-
homed) para aadir un nivel de seguridad adicional.
Arquitectura Defense In-Depth
No es una arquitectura
propiamente dicha, sino un
concepto de seguridad de
informacin.
La seguridad de una red se
implementa por capas para
maximizar la proteccin.
Se combinan diferentes
tipos de firewall que
protegen diferentes sectores
de la red permitiendo que no
se comprometa toda la red
cuando un sistema es
atacado exitosamente.
Qu arquitectura es?
Qu arquitectura es?
Qu arquitectura es?
Qu arquitectura es?
Qu arquitectura es?
Qu arquitectura es?
Network Address Translation - NAT
Mecanismo utilizado en firewalls por el cual se evita que atacantes y/o
visitantes externos no sepan cual es el rango de direcciones internas
utilizadas.
NAT convierte una direccin IP privada en una IP pblica.
Existen dos mtodos de NAT: esttico y dinmico.
NAT Esttico: Relaciona una IP pblica con una IP privada.
NAT Dinmico: Relaciona una IP pblica con varias IP privadas.
Se conoce como PAT (Port Address Traslation), ya que la
traslacin se realiza a traves de puertos de servicios.
Funcionamiento del NAT
Firewall por Software
Son ms econmicos que los
firewall basados en Hardware
Requiere un SO bastante estable
y robusto.
Su implementacin es ms
rpida que los firewall de
hardware pero es ms compleja.
Si no es configurado
adecuadamente, el firewall puede
ejecutar servicios que no son
requeridos por la red.
Algunos ejemplos son: IPTables;
Microsoft Internet Security &
Aceleration Server; Untangle;
SmoothWall; Engarde Secure
Linux
Firewall por Hardware
Son mquinas optimizadas y diseadas
para realizar trabajos exclusivos de
firewall, especialmente de PFR
Poseen SO desarrollado para reducir y
anular ataques.
Tienen mayor desempeo que los
firewalls basados en software; pero
toman mayor tiempo en su
implementacin.
El HW, SO y PFR viene configurado,
simplificado y optimizado en un solo
paquete.
Algunos ejemplos son: Astaro; Cisco PIX
(Private Internet Exchange); Juniper
NetScreen; SonicWall; Checkpoint
Demilitarized Zone (DMZ)
Es una red local (una subred)
que se ubica entre la red interna
de una organizacin y una red
externa, generalmente Internet.
En una DMZ las conexiones,
desde la red interna y la externa
a la DMZ, estn permitidas;
mientras que las conexiones
desde la DMZ solo se permitan
a la red externa.
Los equipos en la DMZ no se
pueden conectar con la red
interna.
La DMZ se usa para ubicar
servidores, que se pueden
accesar desde la internet (Web,
DNS, e-mail, etc.)
Caractersticas del DMZ
Proporciona Filtrado de
Paquetes por IP y por
contenidos
Brinda servicios de NAT
Poseen mapeo bidireccional
Permite monitoreo de trafico en
interfaces
Mantienen colas de trfico y
prioridad
Permite configurar salidas
redundantes salidas
redundantes
Balanceo de carga a servicios
Polticas de seguridad en DMZ
El trfico de la red externa a la
DMZ est autorizado
El trfico de la red externa a la
red interna est prohibido
El trfico de la red interna a la
DMZ est autorizado
El trfico de la red interna a la
red externa est autorizado
El trfico de la DMZ a la red
interna est prohibido
El trfico de la DMZ a la red
externa est denegado
Configuraciones DMZ
Configuraciones de Firewall