Trabajando con servidores proxy y firewalls con nivel de aplicación
Nivel de Aplicación
Transcript of Nivel de Aplicación
![Page 1: Nivel de Aplicación](https://reader030.fdocuments.es/reader030/viewer/2022013110/5870a4a21a28ab02618b7dba/html5/thumbnails/1.jpg)
Seguridad Informática:Capítulo 10: Seguridad Perimetral
Titulación: Ingeniero en InformáticaCurso 5º - Cuatrimestral (2005-2006)
Javier Jarauta SánchezRafael Palacios HielscherJose María Sierra
![Page 2: Nivel de Aplicación](https://reader030.fdocuments.es/reader030/viewer/2022013110/5870a4a21a28ab02618b7dba/html5/thumbnails/2.jpg)
2Capítulo 6
Presentación
![Page 3: Nivel de Aplicación](https://reader030.fdocuments.es/reader030/viewer/2022013110/5870a4a21a28ab02618b7dba/html5/thumbnails/3.jpg)
3Capítulo 6
Capítulo 10: Seguridad Perimetral
Cortafuegos (Firewall) y ProxyRedes Privadas Virtuales (VPN)IDS, IPS
![Page 4: Nivel de Aplicación](https://reader030.fdocuments.es/reader030/viewer/2022013110/5870a4a21a28ab02618b7dba/html5/thumbnails/4.jpg)
4Capítulo 6
Cortafuegos y Proxy
![Page 5: Nivel de Aplicación](https://reader030.fdocuments.es/reader030/viewer/2022013110/5870a4a21a28ab02618b7dba/html5/thumbnails/5.jpg)
5Capítulo 6
Funcionamiento general del Firewall
• Bloqueo de conexiones externas
![Page 6: Nivel de Aplicación](https://reader030.fdocuments.es/reader030/viewer/2022013110/5870a4a21a28ab02618b7dba/html5/thumbnails/6.jpg)
6Capítulo 6
Definiciones y conceptos básicos
• Cortafuegos o Firewall: – Sistema que implanta una política de control de accesos
entre dos redes (p.e. Internet-LAN)
• Mecanismos que utiliza:– Bloquea o Permite él tráfico entre redes– Hay que tener muy claro lo que se quiere permitir o
denegar
• ¿Por qué necesito un Firewall?– Permitir acceso a Internet de usuarios internos– Permitir acceso desde Internet a usuarios autorizados– Prohibir acceso desde Internet a los no autorizados
![Page 7: Nivel de Aplicación](https://reader030.fdocuments.es/reader030/viewer/2022013110/5870a4a21a28ab02618b7dba/html5/thumbnails/7.jpg)
7Capítulo 6
Contra qué protege un Cortafuegos
• Contra accesos no autenticados del exterior.• Contra tráfico no autorizado del exterior• Permitiendo salida desde el interior• Proporciona un único punto para implantar una
política de seguridad y auditoría.• Ha de protegerse a si mismo
¡PUERTA BLINDADA!
![Page 8: Nivel de Aplicación](https://reader030.fdocuments.es/reader030/viewer/2022013110/5870a4a21a28ab02618b7dba/html5/thumbnails/8.jpg)
8Capítulo 6
Contra qué NO protege un Cortafuegos
• Contra accesos externos que no van por el cortafuegos (modems,...).
• Contra ataques desde el interior• Contra virus, troyanos, túneles• Contra salida de info por otro medio (disketes, etc.)• Debe ser parte de una política global
¡NO VALE UNA PUERTA BLINDADA EN UNA CASA DE MADERA!
![Page 9: Nivel de Aplicación](https://reader030.fdocuments.es/reader030/viewer/2022013110/5870a4a21a28ab02618b7dba/html5/thumbnails/9.jpg)
9Capítulo 6
Arquitectura general - Cortafuegos corporativo
LANLAN
InternetInternet
OficinasOficinas
UsuariosUsuarios ServidoresServidores
BBDDBBDD
![Page 10: Nivel de Aplicación](https://reader030.fdocuments.es/reader030/viewer/2022013110/5870a4a21a28ab02618b7dba/html5/thumbnails/10.jpg)
10Capítulo 6
Tipos de cortafuegos
• Clasificación por tecnología: – Filtros de paquetes– Proxy de aplicación– Inspección de estados (statefull inspection)– Hibridos
• Clasificación por ubicación:– Cortafuegos personales (para PC)– Cortafuegos para pequeñas oficinas (SOHO)– Equipos hardware específicos (Appliances)– Cortafuegos corporativos
![Page 11: Nivel de Aplicación](https://reader030.fdocuments.es/reader030/viewer/2022013110/5870a4a21a28ab02618b7dba/html5/thumbnails/11.jpg)
11Capítulo 6
Tipos de Cortafuegos (1)
• Filtros de Paquetes (nivel de red): – Trabajan a nivel de red (IP)– Filtran paquetes IP según sus cabeceras y basados en los
siguientes criterios:• Direcciones IP origen y destino• Puertos TCP/UDP origen y destino
– Un router es un cortafuegos básico a nivel de red– Pueden utilizar filtros estáticos o dinámicos– PROS:
• Independencia de las aplicaciones• Son muy rápidos y escalables
– CONS:• Menor nivel de seguridad• No examinan el tráfico ni entienden el contexto
![Page 12: Nivel de Aplicación](https://reader030.fdocuments.es/reader030/viewer/2022013110/5870a4a21a28ab02618b7dba/html5/thumbnails/12.jpg)
12Capítulo 6
Tipos de Cortafuegos (2)
• Gateways de aplicación (nivel aplicación):– No permiten tráfico entre las dos redes, si no es mediante
un proxy a nivel de aplicación.– Existe una conexión entre el exterior y el cortafuegos y
otra entre el cortafuegos y el interior– Servidores proxy– PROS:
• Alto nivel de seguridad• Examinan información a nivel de aplicación• Toman decisiones basadas en datos de cada aplicación
– CONS:• Menor rendimiento y escalabilidad• Rompe el modelo cliente/servidor (requiere dos conexiones)• Requiere implantar un proxy por cada aplicación
![Page 13: Nivel de Aplicación](https://reader030.fdocuments.es/reader030/viewer/2022013110/5870a4a21a28ab02618b7dba/html5/thumbnails/13.jpg)
13Capítulo 6
Tipos de Cortafuegos (3)
• Inspección de estados (varios niveles)– Realizan filtros en base a las cabeceras, el paquete se
intercepta a nivel de red, pero extrae información de los datos para analizar en función de la aplicación.
– Mantiene una tabla dinámica de estados con información para las decisiones de seguridad
– No rompe el modelo cliente/servidor– PROS:
• Alta seguridad, velocidad y escalabilidad• Inspecciona los datos a nivel aplicación
– CONS:• No se rompe la conexión totalmente
![Page 14: Nivel de Aplicación](https://reader030.fdocuments.es/reader030/viewer/2022013110/5870a4a21a28ab02618b7dba/html5/thumbnails/14.jpg)
14Capítulo 6
Tipos de Cortafuegos (4)
• Cortafuegos híbridos– La mayoría de los productos comerciales actuales– Incorporan mezcla de varias tecnologías– Pueden definirse reglas de filtros para tráfico que requiere
alta velocidad, y proxy para alta seguridad– Adaptativos (proxy durante el establecimiento y filtro de
paquetes durante la transferencia de datos)
![Page 15: Nivel de Aplicación](https://reader030.fdocuments.es/reader030/viewer/2022013110/5870a4a21a28ab02618b7dba/html5/thumbnails/15.jpg)
15Capítulo 6
Tipos de cortafuegos por ubicación
• Cortafuegos personales (PC): – Novedad en el mercado. Protegen el PC controlando el
stack IP e inspeccionando las aplicaciones más comunes– Permiten filtros de entrada y salida.– Utilizables en PC en LAN, Modem, ADSL...
• Cortafuegos para pequeñas oficinas:– Small Office Home Office (SOHO)– Protegen a varios usuarios en pequeñas oficinas
(típicamente entre 2 y 50)– Suelen ser pequeños equipos instalados antes del router,
o incluso integrados– Muy utilizable para el acceso con ADSL
![Page 16: Nivel de Aplicación](https://reader030.fdocuments.es/reader030/viewer/2022013110/5870a4a21a28ab02618b7dba/html5/thumbnails/16.jpg)
16Capítulo 6
Tipos de cortafuegos por ubicación
• Equipos hardware (Appliances): – Utilizados en oficinas medias y sucursales– Fáciles de configurar, con funcionalidades básicas y
gestionados centralizadamente– Utilizan sistemas operativos propios del hardware en el
que están implantados
• Cortafuegos corporativos:– El punto central de accesos a Internet de una empresa.– Punto central donde se implanta la política de seguridad
de la empresa– Puede conectar múltiples redes– Software que se instala en grandes servidores con
configuraciones tolerantes a fallos
![Page 17: Nivel de Aplicación](https://reader030.fdocuments.es/reader030/viewer/2022013110/5870a4a21a28ab02618b7dba/html5/thumbnails/17.jpg)
17Capítulo 6
Arquitecturas de cortafuegos
• Arquitectura hardware: – Servidores estándar Windows o Unix con S.O. Seguros o
reforzados– Hardware específico
• Arquitectura de red, Múltiples interfaces: • Interface Externo: Internet• Interface Interno: LAN, Intranet• Zona Desmilitarizada (DMZ): Servidores públicos
• Alta disponibilidad:– Arquitecturas tolerantes a fallos al ser un punto crítico de
acceso
![Page 18: Nivel de Aplicación](https://reader030.fdocuments.es/reader030/viewer/2022013110/5870a4a21a28ab02618b7dba/html5/thumbnails/18.jpg)
18Capítulo 6
Concepto de zona desmilitarizada-DMZ
• Zona desmilitarizada DMZ: – Subred intermedia entre Internet y la Intranet– Se instalan los servidores de acceso público como Web, eMail, FTP– Los accesos a la Intranet pasan previamente por la DMZ, dando paso
a la LAN solo lo imprescindible– Se instalan sistemas de filtrado y detección antivirus previo al envío a
la Intranet– Se pueden establecer zonas de cuarentena– Los servidores de la DMZ se robustecen
![Page 19: Nivel de Aplicación](https://reader030.fdocuments.es/reader030/viewer/2022013110/5870a4a21a28ab02618b7dba/html5/thumbnails/19.jpg)
19Capítulo 6
Arquitectura general - Cortafuegos corporativo
LANLAN
DMZDMZ
InternetInternet
OficinasOficinas
UsuariosUsuarios ServidoresServidores
BBDDBBDD
eMaileMail ServerServerWeb ServerWeb Server
![Page 20: Nivel de Aplicación](https://reader030.fdocuments.es/reader030/viewer/2022013110/5870a4a21a28ab02618b7dba/html5/thumbnails/20.jpg)
20Capítulo 6
Ejemplo pantalla de configuración
Servicio, Puerto o Rango de Puertos
Opciones para modificar la
configuración por defecto
Nombres del Host, Red, Interface o Dirección
Permite, Intercepta o Deniega la Transmisión
de Datos
Defensas contra IP
Spoofing y TCP SYN
Flood
![Page 21: Nivel de Aplicación](https://reader030.fdocuments.es/reader030/viewer/2022013110/5870a4a21a28ab02618b7dba/html5/thumbnails/21.jpg)
21Capítulo 6
Ejemplo pantalla de configuración
![Page 22: Nivel de Aplicación](https://reader030.fdocuments.es/reader030/viewer/2022013110/5870a4a21a28ab02618b7dba/html5/thumbnails/22.jpg)
22Capítulo 6
Ejemplo pantalla de configuración
![Page 23: Nivel de Aplicación](https://reader030.fdocuments.es/reader030/viewer/2022013110/5870a4a21a28ab02618b7dba/html5/thumbnails/23.jpg)
23Capítulo 6
Integración con otras tecnologías• Autenticación de usuarios externos
– Mediante usuario/password, mediante certificados digitales, tarjetas, acceso al directorio
• Sistemas antivirus:– Sistemas adjuntos en la DMZ
• Filtro de contenidos:– Filtrado de URL y navegación hacia el exterior– Filtro para control de la información que sale
• Sistemas de detección de intrusión (IDS)– Detectan y previenen ataques
• Redes privadas virtuales– Túneles cifrados para acceso remoto desde el exterior para teletrabajo
![Page 24: Nivel de Aplicación](https://reader030.fdocuments.es/reader030/viewer/2022013110/5870a4a21a28ab02618b7dba/html5/thumbnails/24.jpg)
24Capítulo 6
Posibilidades de bloqueo de un Fw
STOP
STOP
FTP, HTTP, SMTP: Viruses
Inappropriate Sites
STOPActiveX, Java, JavaScript, VBScript
File Transfers, Web, E-Mail, News, etc.Aceptables
![Page 25: Nivel de Aplicación](https://reader030.fdocuments.es/reader030/viewer/2022013110/5870a4a21a28ab02618b7dba/html5/thumbnails/25.jpg)
25Capítulo 6
Fallos comunes al implantar un firewall
• Implantar un Fw sin política de seguridad• Añadir reglas y servicios sin distinguir entre
“necesidades” y “deseos”• Concentrarse en el Fw ignorando otras medidas de
seguridad• Ignorar las alarmas y logs que da el Fw• Anular las alarmas de bajo nivel y repetitivas• Permitir a demasiado personal acceder e incluso
administrar parámetros del Fw• Permitir el uso de modems independientes
![Page 26: Nivel de Aplicación](https://reader030.fdocuments.es/reader030/viewer/2022013110/5870a4a21a28ab02618b7dba/html5/thumbnails/26.jpg)
26Capítulo 6
Clases de ataques• Averiguación y robo de passwords
– No es dificil hacerse Administrador o Root
• Aprovechar bugs y puertas traseras:– De los SO, software de base o aplicaciones propias
• Fallos en los mecanismos de autenticación:– Por la utilización de mecanismos débiles
• Fallos en los protocolos de comunicaciones• Obtención de información transmitida o almacenada
en claro• Denegación de servicio (DoS)• Ingeniería social
![Page 27: Nivel de Aplicación](https://reader030.fdocuments.es/reader030/viewer/2022013110/5870a4a21a28ab02618b7dba/html5/thumbnails/27.jpg)
27Capítulo 6
Fabricantes existentes en el mercado
www.icsalabs.netProductos firewall certificados por ICSA
• Checkpoint Firewall-1• StoneGate• Cisco PIX• CyberGuard• NetScreen• Gaunlet
![Page 28: Nivel de Aplicación](https://reader030.fdocuments.es/reader030/viewer/2022013110/5870a4a21a28ab02618b7dba/html5/thumbnails/28.jpg)
28Capítulo 6
Redes Privadas Virtuales (VPN)
![Page 29: Nivel de Aplicación](https://reader030.fdocuments.es/reader030/viewer/2022013110/5870a4a21a28ab02618b7dba/html5/thumbnails/29.jpg)
29Capítulo 6
Redes Privadas Virtuales : VPN-IPSec
Redes Privadas Virtuales VPN-IPSecIntroducciónDefiniciones y conceptos básicosPara que sirveEl estándar IPSecAplicaciones reales
![Page 30: Nivel de Aplicación](https://reader030.fdocuments.es/reader030/viewer/2022013110/5870a4a21a28ab02618b7dba/html5/thumbnails/30.jpg)
30Capítulo 6
Para que sirve una VPN
• Las Redes Privadas Virtuales proporcionan confidencialidad en redes IP reduciendo costes de comunicaciones
• Tipos de VPN según tecnología:– VPN – IPSec– VPN – SSL– MPLS
• Ventajas de las VPN:– Utilizan estándares de seguridad fuerte IPSec, SSL– Interoperabilidad entre fabricantes– Vale para cualquier aplicación y cualquier modo de acceso; RTB,
RDSI, LAN,– Integración con otras tecnologías como PKI, IDS– Accesos remotos seguros desde cualquier punto como si estuviera en
la oficina– Reducción drástica de costes en comunicaciones
![Page 31: Nivel de Aplicación](https://reader030.fdocuments.es/reader030/viewer/2022013110/5870a4a21a28ab02618b7dba/html5/thumbnails/31.jpg)
31Capítulo 6
Ejemplos reales de uso
• Accesos remotos– Para explotación remota de sistemas– Acceso a información corporativa desde Internet
• Comunicaciones seguras entre oficinas– Utilización de redes públicas IP para comunicaciones
seguras internas• Teletrabajo
– Sistemas de teletrabajo seguro con RDSI, ADSL, Cable-modem, etc
![Page 32: Nivel de Aplicación](https://reader030.fdocuments.es/reader030/viewer/2022013110/5870a4a21a28ab02618b7dba/html5/thumbnails/32.jpg)
32Capítulo 6
Red no seguraRed no segura
aplicacionesTCP / UDP
IP
Ethernet / PPP
IPSec
IP
aplicacionesTCP / UDP
IP
Ethernet / PPP
IPSec
IP
1ISAKMP/Oakley
2
ESP/AH
3
4
Autenticación y cifrado de datos extremo a extremo
IPSec en la realidad
![Page 33: Nivel de Aplicación](https://reader030.fdocuments.es/reader030/viewer/2022013110/5870a4a21a28ab02618b7dba/html5/thumbnails/33.jpg)
33Capítulo 6
Nivel de Aplicación(ficheros/email: PGP, S/MIME)Nivel de Aplicación(ficheros/email: PGP, S/MIME) AplicacionesAplicaciones
especificasespecificas
Nivel de Sesión(Web browser: SSL, SET)Nivel de Sesión(Web browser: SSL, SET)
ComercioComercioelectronicoelectronico
Nivel de red(VPN seguras: IPSec)Nivel de red(VPN seguras: IPSec)
Aplicaciones existentesAplicaciones existentesTransparente a las redes LANTransparente a las redes LAN--WANWAN
Comunicaciones seguras integradasComunicaciones seguras integradas
Tecnologías de cifrado y niveles
![Page 34: Nivel de Aplicación](https://reader030.fdocuments.es/reader030/viewer/2022013110/5870a4a21a28ab02618b7dba/html5/thumbnails/34.jpg)
34Capítulo 6
• Encapsulation Security Payload (ESP)– Confidencialidad:
• DES, 3-DES, RC5, CAST, BLOWFISH, IDEA
• Autenticación de la Cabecera (AH)– Integridad y Autenticación de datos
• HMAC, MD5, SHA1
Estructura IPSec: ESP/AH
![Page 35: Nivel de Aplicación](https://reader030.fdocuments.es/reader030/viewer/2022013110/5870a4a21a28ab02618b7dba/html5/thumbnails/35.jpg)
35Capítulo 6
• Establece un contexto de seguridad entre dos partes
• Tres tareas primarias para la interoperabilidad:– Negociar la política de seguridad– Intercambio Diffie-Hellman de claves– Autenticar el intercambio Diffie-Hellman
Estructura IPSec: IKE (ISAKMP/Oakley)
![Page 36: Nivel de Aplicación](https://reader030.fdocuments.es/reader030/viewer/2022013110/5870a4a21a28ab02618b7dba/html5/thumbnails/36.jpg)
36Capítulo 6
Consola gestiConsola gestióón n VPNVPN
Autoridad deAutoridad deCertificaciCertificacióónn
PKIPKIDirectorioDirectorio
X.500 X.500
Cliente IPSec en software
OpciónTarjeta Inteligente
Gateways
VPN IPSec de 5 túneles
VPN IPSec de 2000 túneles
Arquitectura de productos VPN
![Page 37: Nivel de Aplicación](https://reader030.fdocuments.es/reader030/viewer/2022013110/5870a4a21a28ab02618b7dba/html5/thumbnails/37.jpg)
37Capítulo 6
Arquitectura general de una VPN
NB-232 (TS-1520)
Red IP deun
OperadorNB-237 (TS-7520)Firewall
InternetPOP
Teletrabajo FIjo
LAN Oficina Principal
InternetPOP
PPP Teletrabajo móvilAgente Ventas
Cable modem
LAN Oficina Regional oEmpresa Externa
xDSL
CifradoClaro
Sistema de Gestión:Entrust/PKIP/ConfigP/Director
DirectorioX.500-LDAP
NB-130 (TS-Client) Cliente VPN
Gateway VPN
NB-233 (TS-2520)Gateway VPN
Gateway VPN
Internet
![Page 38: Nivel de Aplicación](https://reader030.fdocuments.es/reader030/viewer/2022013110/5870a4a21a28ab02618b7dba/html5/thumbnails/38.jpg)
38Capítulo 6
Fabricantes VPN IPSec
• Nortel (Modelos Contivity)• Nokia• Cisco• Netscreen• Checkpoint
Siempre consultar www.icsalabs.net para certificacion
![Page 39: Nivel de Aplicación](https://reader030.fdocuments.es/reader030/viewer/2022013110/5870a4a21a28ab02618b7dba/html5/thumbnails/39.jpg)
39Capítulo 6
Sistemas de detección deintrusiones: IDS, IPS
![Page 40: Nivel de Aplicación](https://reader030.fdocuments.es/reader030/viewer/2022013110/5870a4a21a28ab02618b7dba/html5/thumbnails/40.jpg)
40Capítulo 6
Sistema Detección Intrusiones
Sistema de detección y prevención de Intrusiones (IDS-IPS)IntroducciónDefiniciones y conceptos básicosPara que sirven los IDS/IPSArquitecturas de implantaciónAplicaciones reales
![Page 41: Nivel de Aplicación](https://reader030.fdocuments.es/reader030/viewer/2022013110/5870a4a21a28ab02618b7dba/html5/thumbnails/41.jpg)
41Capítulo 6
Para que sirve un sistema IDS
• Protección y detección en tiempo real de ataques: DoS, Caballos de Troya, Escaner de puertos, etc.
• Existen productos software y dispositivoshardware (appliance)
• Tecnología basada en análisis de protocolo(sniffer) o en patern-matching
• Detecta ataques externos e internos• Se integra con otras tecnologías: Firewall
![Page 42: Nivel de Aplicación](https://reader030.fdocuments.es/reader030/viewer/2022013110/5870a4a21a28ab02618b7dba/html5/thumbnails/42.jpg)
42Capítulo 6
Diferencias entre IDS e IPS
• IDS: Sistema de Detección de Intrusiones– Solo detecta intrusiones, da alarmas pero no actúa– Se conecta como una sonda en la red o en un equipo,
sin interferir el tráfico– Utiliza solamente un interface Ethernet, no corta la red
• IPS: Sistema de Prevención de Intrusiones– Ademas de detectar, previene contra intrusiones
actuando de forma proactiva– Se conecta en medio de la red, cortando la conexión – Utiliza dos interfaces Ethernet– Puede actuar conjuntamente con el Cortafuegos
![Page 43: Nivel de Aplicación](https://reader030.fdocuments.es/reader030/viewer/2022013110/5870a4a21a28ab02618b7dba/html5/thumbnails/43.jpg)
43Capítulo 6
Tipos de sistemas IDS / IPS
• Sondas de red (Network IDS)– Existen sistemas software o equipos appliance– Se conectan en una subred y analizan todo el tráfico que
pasa• Software para servidores (Host IDS)
– Software que se instala en los servidores y detecta intrusiones al equipo
• Software para puesto de trabajo (Personal IDS)– Software que se instala en el PC y detecta intrusiones al
equipo– Se combina con el software antivirus y firewall del PC
![Page 44: Nivel de Aplicación](https://reader030.fdocuments.es/reader030/viewer/2022013110/5870a4a21a28ab02618b7dba/html5/thumbnails/44.jpg)
44Capítulo 6
Sistema IDS / IPS
FireWall –Blocking Engine
IDS
Control-Channel
Intrusion DetectionEngine
• Detecta
• Detecta Intrusiones en tiempo real en el objetivo del ataque
• Protege
• Bloquea en tiempo real el lugar que está siendo atacado
• Identifica
• Identifica automáticamente el lugar de donde viene el ataque
![Page 45: Nivel de Aplicación](https://reader030.fdocuments.es/reader030/viewer/2022013110/5870a4a21a28ab02618b7dba/html5/thumbnails/45.jpg)
45Capítulo 6
DMZ
Win9x WinNTLinux Server
WinNT Server
EthernetSwitch
Mainfram
MAINFRAMEUNIXServer
Sonda IDS
InteriorFirewall
ExteriorFirewall
Win2000
Sonda IDS
EthernetSwitch
Intranet
GigabitN x 100 Mbps
60+% de los intentos de Hacking son internos
Detección externa e interna