Seguridad Perimetral

Juan Manuel Espinoza Marquez

juanmanuel.espinoza@gmail.com

CFT San Agustín – Linares -2012

Introducción

La mayoría de las empresas sufren la problemática de seguridad debido a sus necesidades de acceso y conectividad con:

➲ Internet.➲ Conectividad mundial.➲ Red corporativa.➲ Acceso Remoto.➲ Proveedores.

Introducción

¿Qué elementos deberían protegerse?

Se deberían proteger todos los elementos de la red interna, incluyendo hardware, software e información, no solo de cualquier intento de acceso no autorizado desde el exterior sino también de ciertos ataques desde el interior que puedan preveerse y prevenirse.

¿Cómo protegerlos?

Paradigmas de seguridad:

➲ Lo que no se prohíbe expresamente está permitido.

➲ Lo que no se permite expresamente está prohibido.

Métodos de defensa:➲ En profundidad.➲ Perimetral.

Seguridad Perimetral

La seguridad perimetral es uno de los métodos posibles de defensa de una red, basado en el establecimiento de recursos de securización en el perímetro externo de la red y a diferentes niveles.

Esto nos permite definir niveles de confianza, permitiendo el acceso de determinados usuarios internos o externos a determinados servicios, y denegando cualquier tipo de acceso a otros.

Infraestructura típica

Infraestructura típica

➲ Red plana sin segmentar.

➲ Publicación de servicio internos: base de datos.

➲ No hay elementos de monitorización.

➲ No se filtra tráfico de entrada ni salida.

➲ No se verifica malware o spam en el correo

electrónico.

➲ Cliente remoto accede directamente a los

servicios.

Alternativas de Implantación

Uso de FirewallsUn Firewall puede ser un sistema (software o hardware), es decir, un dispositivo físico que se conecta entre la red y el cable de la conexión a Internet, como en el caso del CISCO PIX, o bien un programa que se instala en el sistema que tiene la interfase que conecta con Internet, como el Firewall-1 de CheckPoint.Incluso podemos encontrar PCs muy potentes y con paquetes software específicos que lo único que hacen es monitorear en tiempo real las comunicaciones entre redes.

Tipos de Cortafuegos

Circuito a nivel de pasarelaFunciona para aplicaciones específicas.

Cortafuegos de capa de redFiltra en capa de red (IP origen/destino) o de

transporte (puerto origen/destino).

Cortafuegos de capa de aplicaciónFunciona según el protocolo a filtrar, por ejemplo

HTTP o SQL.

Cortafuegos personalAplicación para sistemas como PC o móviles.

Ubicación de los recursos públicos

Zona Desmilitarizada (DMZ)

Diseño de una red local ubicada entre red interna y red externa (p. ej. Internet).

Utilizada para servicios públicos: correo electrónico, DNS, web, ftp, que serán expuestos a los riesgos

de seguridad.

Creada mediante uno o dos cortafuegos que restringe el tráfico entre las tres redes.

Desde la DMZ no se permiten conexiones a la red interna.

Zona Desmilitarizada (DMZ)

Zona Desmilitarizada (DMZ)

Construcciones de "Muro Doble"

Algunos firewalls se construyen con la técnica de "muro doble", en este caso el firewall consta de dos sistemas separados físicamente (muro exterior e interior) conectados por una red semi-privada, si alguien es capaz de comprometer el muro exterior, el muro interior protege la red impidiendo el acceso desde la red semi-privada y aislando la red interior.

Zona Desmilitarizada (DMZ)

El muro exterior sólo permite el tráfico hacia los servidores semi-públicos alojados en la DMZ.

El muro interior se rige por el "pesimismo", esto es, solo acepta paquetes si responden a una petición originada en el interior de la red o que provienen de uno de los servidores alojados en la DMZ (por defecto guarda toda la información sobre las transacciones).

Esquema de “muro doble”

Alternativas de Implantación

Uso de proxys

Los servicios proxy poseen una serie de ventajas tendientes a incrementar la seguridad; en primer lugar, permiten únicamente la utilización de servicios para los que existe un proxy, por lo que si en la organización el "gateway de aplicación" contiene únicamente proxies para telnet, HTTP y FTP, el resto de servicios no estarán disponibles para nadie.

Uso de Proxy

Sistemas de Detección y Prevención de Intrusos (IDS/IDPS) (Intrusion Detection System)

Dispositivo que monitoriza y genera alarmas si se producen alertas de seguridad.

Los IDPS (Intrusion Detection and Prevention Systems) bloquean el ataque evitando que tenga Efecto.

Sus principales funciones:

1. Identificación de posibles ataques2. Registro de Eventos3. Bloqueo del Ataque4. Reporte a administradores y personal de

Seguridad.

Sistemas de Detección y Prevención de Intrusos (IDS/IDPS) (Intrusion Detection System)

1. Dos tipos de IDS:

HIDS: Host IDS, monitoriza cambios en el sistema operativo y aplicaciones.

NIDS: Network IDS, monitoriza el tráfico de la red.

1. Dos métodos de detección:

Firmas.Patrones de comportamiento.

Honeypots

Sistema configurado con vulnerabilidades usado para recoger ataques y estudiar nuevas técnicas.

Dos tipos principales de honeypots: De baja interacción: aplicación que simula

vulnerabilidad y sistema operativo. De alta interacción: el sistema operativo no es

simulado. También se usan para recoger muestras de virus

o spam. Han de permanecer especialmente controlados y

desconectados de cualquier red.

Pasarelas Antivirus y AntiSpam

Sistemas intermedios que filtran Contenido malicioso en canales de entrada a la red.

Detección de Malware en pasarelas web y servidores de correo.

Ej: Ironport

Redes Virtuales Privadas (VPN)

Es un tipo de red que utiliza una infraestructura pública (y por lo tanto no segura) para acceder a una red privada de forma confiable.

Es comúnmente utilizada para conectar usuariosremotos, sucursales u oficinas con su intranet

(punto a punto).

Redes Virtuales Privadas (VPN)

Autenticación y autorización: Mediante gestión de usuarios y roles y permisos.

Integridad: Con el uso de funciones hash.

Confidencialidad: La información es cifrada con DES (Data Encryption Estándar), 3DES ( triple cifrado del DES), AES (Advanced Encryption Standard), etc.

No repudio: Los datos transmiten firmados.

Conclusiones - Gestión Unificada de Amenazas / UTM (Unified Threat Management)

Equipos que integran en un único dispositivo un conjunto de soluciones de seguridad perimetral:1. Cortafuegos.2. Sistemas de detección y prevención de intrusos.3. Pasarelas antivirus/antispam.4. Redes privadas virtuales.

Conclusiones - Ejemplo de arquitectura con seguridad perimetral

Instalación de cortafuegos. DMZ y Red Interna• Política restrictiva.• Instalación de antispam y antivirus.• Instalación de NIDS (Sistema dedetección de intrusos en una Red)en las tres interfaces.• Segmentación de servicios públicos:web y pasarela antivirus/antispam.• Servicios internos movidos: base dedatos y correo.• Clientes remotos usan VPN.