Arquitectura de Seguridad

Manuel Casal Peteiro

Indice

Introducción Fundamentos de seguridad perimetral Fundamentos de diseño

Introducción

El objetivo de este trabajo es el diseño, utilización y mantenimiento de una arquitectura de red confiable Proteger una red no es una tarea fácil; esta requiere del conocimiento de distintas tecnologías y como se relacionan unas con otras. Es por ello que comenza-remos la exposición breve de los diferentes compo-nentes que configuran una arquitectura de red luego veremos como integrar estos dispositivos uno con otro para proporcionar un todo unificado.

Fundamentos Seguridad Perimetral

El perimetro

Es la frontera fortificada de nuestra red e incluye:

Routers Firewalls IDS VPN Arquitectura Software DMZ y screened subnets

Border router

Los routers son los policías de tráfico. Ellos dirigen el trafico hacia dentro hacia fuera o en el interior de nuestras propias redes. El border router es el último router que tu controlas antes de internet. Debido a que todo el tráfico interno va a través de este router este funciona como el principio de una red y la ultima linea de defensa a través del filtro inicial y final.

Firewall

Es un dispositivo que tiene un conjunto de reglas especificas que determina cual tráfico se permite y cual se deniega. Un firewall recoge todo lo que el border router abandona y hace una pasada mas minuciosa para filtrar el tráfico. Existen diferentes tipos de firewall tales como: static packet filter, stateful firewalls y Proxy firewalls

IDS

Un IDS es como un sistema de alarmas de ladrones para tu red que es usado para detectar una alerta sobre eventos maliciosos. El sistema puede estar compuesto de muchos y diferentes sensores posicionados en puntos estratégicos en tu red. Existen dos tipos de sensores: basados en red (NIDS ) y basados en hosts (HIDS). Frecuentemente residen en subredes que esta conectadas directamente al firewall, así como en puntos críticos de la red interna.

VPN

Una VPN ( Red Privada Virtual ) es una sesión de red protegida formada a través de canales no protegidos, tale como Internet. Frecuentemente nos referimos a un VPN en términos del dispositivo sobre el perímetro que permite la sesión encriptada. Una VPN permite a un usuario participar en la red interna como si estuviera conectado directamente a esta. Muchas organizaciones, tienen un falso sentido de la seguridad en cuanto a su acceso remoto debido a que ellos tiene una VPN. Si un agresor compromete la máquina de un usuario legitimo una VPN puede dar a este agresor un canal encriptado dentro de la red.

DMZ y Screened Subnets

Nosotros usamos los términos DMZ y screened subnet en referencia a una red pequeña conteniendo servicios públicos que son conectados directamente a y desde la protección ofrecida por el firewall u otro dispositivo de filtrado. Una DMZ y una screened subnet son diferentes aunque mucha gente utiliza estos términos intercambiablemente

DMZ y Screened Subnets

El término DMZ se origino en la guerra de corea cuando una franja de tierra en el paralelo 38 esta fuera de los limites militarmente hablando. Una DMZ es un area insegura entre areas seguras. Justo como la DMZ en Corea estaba enfrente de cualesquiera defensas, la DMZ cuando es aplicada a redes esta fuera del firewall

DMZ y Screened Subnets

Un firewall o un dispositivo comparable protegido del tráfico protege a una screened subnet que es conectada directamente a este. Recuerde: Una DMZ esta enfrente de un firewall, mientras una screened subnet esta detrás de un firewall. Note la diferencia en la siguiente figura

Una screened subnet es un red aislada que esta conectada a un interface dedicado de un firewall u otro dispositivo de filtrado. La screened subnet es frecuentemente usada para segregar servidores que necesitan ser accesibles desde internet de sistemas que son usados unícamente por usuarios de la organización.

DMZ y Screened subnets

DMZ y Screened Subnets

En la Screened subnet tipícamente residen servicios públicos incluyendo DNS, mail y la web. A nosotros nos gustaría pensar estos servidores como bastion Hosts Una bastion es una posición bien fortificada. Cuando es aplicada a hosts dentro de la red, fortificación envuelve fortalecer el sistema operativo y las aplicaciones de acuerdo a buenas practicas.

Defensa en profundidad

La seguridad de la red es como una cebolla. Cuando tu desconchas la capa superior algo permanece bajo esta. La defensa en profundidad ayuda a proteger recursos de la red aun si una de las capas esta protegida.Nosotros operamos en un mundo real de desconfiguraciones, software bugs, empleados disgustados y sobrecarga de administradores de sistemas. Además cualquier diseño de seguridad practico necesita acomodarse a las necesidades del negocio.

Defensa en profundidad

Esto quizá requiera de nosotros abrir ciertos puertos firewall, dejar servicios adicionales ejecutandose en el servidor o prevenirnos de aplicar el último parche de seguridadQue exactamente una defensa en profundidad supone? La repuesta es:

El perimetro La red Interna El factor humano

Proxy firewall

Un servidor proxy se ejecuta sobre un dual-homed bastion host y soporta uno a mas protocolos de internet ( ver figura en pagina siguiente ). Bastion hosts son sistemas fortalecidos que son configurados para funciones de accesabilidad en Internet. Una compuerta dual-homed consiste de un sistema de hosts con dos interfaces de red una para la red interna protegida y otra para la red externa.Estos hosts no permiten el tráfico directo entre redes y pueden ser usados para realizar logging y funciones de auditoría sobre el tráfico.

Proxy Firewall

Proxy Firewalls

Este tipo de servicios/servidores proveen funcionalidad para usuarios internos y externos mientras están fuera del perímetro de la red Interna. La figura de la página siguiente provee una ilustración de servidores múltiples fuera de una red protegida.

Idealmente un bastion host sería usado para direccionar un servicio proxy, el principio de separación de la seguridad. Ninguna cuenta de usuario compilador o programas deben estar en los bastion host. Ademas cualquier servicio no usado debe ser deshabilitado.

Proxy firewalls

Fundamentos de diseño

El diseño consiste en a partir de una red desde cero valorando la resistencia de una infraestructura existente, determinando donde pones un dispositivo de seguridad o decidir si emplear uno despues de todo. Esta parte se concentra en los pros y contras del diseño del perimetro de seguridad.

Para cumplir tal objetivo tu necesitas determinar: Que recursos deben ser protegidos Contra quien tu te estas protegiendo Cuales son las necesidades de tu negocio Cuales son tus necesidades politicas

Fundamentos de diseño

Decidirnos por una arquitectura de defensa en particular es una tarea complicada y gratificante que requiere tomar decisiones difíciles donde la funcionalidad y la seguridad tienden a estar reñidas una con la otra.

Tomar decisiones de diseño de seguridad envuelve resolver conflictos que incorporan aspectos de la red y de la infraestructura de aplicaciones tales como utilidad, confiabilidad, manejabilidad y coste.

Firewall y Router

El firewall y el router son dos de los componentes de seguridad perimetral mas comunes. A continuación nos concentraremos sobre la relación entre el router y el firewall y veremos varias configuraciones.

En la página siguiente ilustra una de las formas mas comunes de emplear un router y un firewall juntos. La subnet corporativa hosts “Sistemas Privados” usados por los usuarios internos y la Screened Subnet “Servidores publicos” que necesitan ser accesibles desde internet

Firewall y router

Firewall y VPN

Firewalls son generalmente responsables de controlar el acceso a los recursos y dispositivos VPN son responsables de asegurar enlaces de comunicación entre hosts o redes.

Examinar como VPNs interactuan con firewall es importante por varias razones:

Traducción de direcciones de red NAT podría ser incompatible con algunas implementaciones VPN dependiendo de la arquitectura de red.

Firewall y VPN

VPNs podrían crear tuneles a través de tu perimetro lo que haría dificil para el firewall asegurar restricciones de acceso sobre trafico encriptado

Puntos finales VPN tienen acceso a datos con texto claro debido a que dispositivos VPN son los unicos que decriptan o autentican este

VPNs protegiendo la confidencialidad de datos encriptados pueden ser usados para pasar por IDS sin ser detectados.

Firewalls Multiples

Algunos diseños reclaman el uso de múltiples firewalls para proteger la red. Esto tiene sentido cuando tu quieres proveer diferentes niveles de protección para recursos con diferentes necesidades de seguridad. Tales escenarios podrían ser firewalls en línea, uno de tras de otro para segmentar recursos con diferentes requerimientos de seguridad o en paralelo una al lado del otro y equidistantes de Internet.Los costos de configurar y mantener la red aumentan dramáticamente cuando se añaden mas firewalls

Firewalls en linea

Este tipo de arquitectura no es poco común en una configuración. Considere la arquitectura típica en la cual un simple firewall esta situado detrás del border

router. Si tu utilizas la funcionalidad de las listas de acceso del router para controlar el acceso a los recursos en lugar del filtrado de paquetes básico, el router esta actuando de forma parecida a un firewall.Si la localización de un dispositivo parecido a un firewall parece un desperdicio. Otra configuración en línea presentada en la figura de la pagina siguiente tiene mas sentido.

Firewalls en linea

Firewalls en paralelo

Muchas veces se podría estar obligado a configurar firewalls en paralelo uno con el otro. En esta configuración, los firewalls protegen recursos con diferentes necesidades de seguridad. Cuando los firewalls son configurados en linea los paquetes que son destinados a los hosts dentro de la organización podrían ser retrasados debido a que necesitan ir a través de varios dispositivos de control de acceso. Con firewalls paralelos, esto no es un asunto significante debido a que los firewalls estan equidistantes de Internet.

Firewalls en paralelo

En una configuración paralela nosotros podemos emplear firewalls que son tuneados cada uno especifícamente para recursos que ellos estan protegiendo. Uno de tales escenarios se muestra en la página siguiente. Aquí mostramos una compuerta de aplicación y un stateful firewall cada uno protegiendo un conjunto diferente de sistemas.

Firewalls en paralelo

Firewalls en paralelo

En este ejemplo nosotros asumimos que nuestro negocio requiere el uso de robustas capacidades a nivel proxy de una compuerta de aplicación para proteger sistemas accesibles a Internet tales como servidores web, SMTP y DNS. Al mismo tiempo nosotros necesitamos la flexibilidad de un stateful firewall para la red corporativa, constituida por estaciones de trabajo y servidores.