Académique Documents
Professionnel Documents
Culture Documents
Contenidos
Introduccin
http://www.esi.uclm.es
Cortafuegos
RAE: 2. m. Arq. Pared toda de fbrica, sin madera alguna, y de
un grueso competente, que se eleva desde la parte inferior del edificio hasta ms arriba del caballete, con el fin de que, si hay fuego en un lado, no se pueda este comunicar al otro.
http://www.esi.uclm.es
Cortafuegos
Un cortafuegos es un dispositivo o sistema que controla el flujo de trfico entre diferentes reas de una red.
[R.A. Deal, Cisco Router Firewall Security]
http://www.esi.uclm.es
Para qu sirve?
El objetivo de todo cortafuegos es proporcionar un medio para implementar la poltica de control de acceso.
red protegida
red exterior
router
cortafuegos
http://www.esi.uclm.es
Para qu sirve?
Control
Ej: Los usuarios de mi red solo podrn acceder a ciertos sitios web, y no podrn usar IRC. Ej: Solo los usuarios de cierta red pueden acceder a mi servidor SSH. Ej: Determinar qu mquina est haciendo constantemente intentos de acceso a mi servidor.
http://www.esi.uclm.es
Seguridad/Proteccin
Vigilancia
Caractersticas habituales
Ligados a un encaminador. Controla el trfico. Protege los recursos sensibles. Oculta la estructura interna. Establece reas con restricciones diferentes. Registra e informa de incidencias.
http://www.esi.uclm.es
Tipos de cortafuegos
http://www.esi.uclm.es
Tipos de cortafuegos
Pasarela de aplicacin (application gateway) Cortafuegos NAT (address-translation) Local o personal (host-based) Hbridos
http://www.esi.uclm.es
10
Sin estado (no tienen en cuenta el trfico anterior). Dado un paquete y un conjunto de reglas decide:
Reenviar: ACCEPT Descartar: DROP Rechazar: REJECT. Como DROP pero informando al remitente
(con ICMP).
Dos polticas:
Restrictiva: Todo lo que no est explcitamente permitido, est prohibido. Permisiva: Todo lo que no est explcitamente prohibido, est permitido.
http://www.esi.uclm.es
11
Inspeccin de paquetes
Direccin de capa 3 (IP) origen o destino. Direccin de capa 4 (puerto) origen o destino. Carga til de paquete (campo protocol). Flags de la cabecera: SYN, RST, ... Interfaz de red, de entrada o salida El propietario del proceso que cre el paquete. etc...
http://www.esi.uclm.es
12
Inspeccin
Paquete IP
encabezado
carga (payload)
0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
versin
IHL
tipo de servicio D M F F
20 bytes
0 40 B
opciones
http://www.esi.uclm.es
13
Inspeccin
2 3 0 1 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
http://www.esi.uclm.es
14
Inspeccin
checksum opciones
http://www.esi.uclm.es
15
Un ejemplo
200.1.1.10 200.1.1.11
Internet
Web:200.1.1.2
DNS:200.1.1.3
e-mail:200.1.1.4
Regla 1 2 3 4
Puerto 80 53 25 Any
http://www.esi.uclm.es
Ventajas y limitaciones
Ventajas:
Rpido, como requisitos de CPU y memoria. Flexibles y muchos extensibles mediante mdulos. Pueden ser difciles de configurar. No pueden manejar informacin de sesin o aplicacin. No proporcionan soporte para autenticacin. Las capacidades de registro de sucesos son limitadas.
Limitaciones:
http://www.esi.uclm.es
17
Filtrado asimtrico
200.1.1.10 200.1.1.11
Internet
170.1.1.1
http://www.esi.uclm.es
18
Permite distinguir si la conexin fue iniciada desde la red interna o desde la externa. Crea reglas de filtrado dinmicamente cuando detecta una conexin y las elimina al terminar. Esa informacin se almacena en la tabla de estado.
http://www.esi.uclm.es
19
Cada extremo debe sincronizarse con el otro antes de transmitir datos. Hay un rol activo (cliente) y el otro pasivo (servidor). Triple apretn de manos:
cliente servidor
SYN
1. El cliente indica su ISN (Initial Sequence Number) y otros parmetros de conexin como el MSS 2. El servidor confirma, indica su ISN y otros datos de conexin 3. El cliente confirma y puede enviar datos en ese segmento
00, se q : 4 8
01 a ck : 1 2
seq: 1201 ,a
ACK
ck: 4801
http://www.esi.uclm.es
20
Ventajas y limitaciones
Ventajas:
Conocen el estado de las conexiones. Pueden detectar y prevenir ataques DoS. Pueden ser difciles de configurar. No pueden manejar informacin de aplicacin. No proporcionan soporte para autenticacin. Existen protocolos sin estado: UDP, ICMP, etc. Aplicaciones con conexiones adicionales: FTP. La tabla de estado puede suponer un problema.
http://www.esi.uclm.es
Limitaciones:
21
Cortafuegos Proxy
Tambin llamados Cortafuegos de Pasarela de Aplicacin. Permiten tratamiento especfico por aplicacin: DNS, FTP, LDAP, SMTP, etc. Soporte especfico para autenticacin. Autentican usuarios en lugar de mquinas o conexiones. Tipos:
22
Cortafuegos Proxy
Pasarela de conexin
1.El cliente externo intenta una conexin hacia un servidor interno. 2.El cortafuegos intercepta la conexin y solicita al usuario una autenticacin. El cortafuegos abre una conexin haca el servidor interno. 3.El trfico del cliente externo es procesado por el cortafuegos y redirigido al servidor interno. 4.Cualquier nueva conexin es rechazada si no se proporciona la autenticacin correspondiente.
http://www.esi.uclm.es
23
Cortafuegos Proxy
Pasarela de conexin
http://www.esi.uclm.es
24
Cortafuegos Proxy
Cut-through
Realiza un proceso de autenticacin como el cortafuegos de pasarela de conexin. Despus aade temporalmente reglas de filtrado para permitir al usuario utilizar el recurso. Slo la autenticacin ocurre en la capa de aplicacin. Es mucho ms eficiente.
http://www.esi.uclm.es
25
Cortafuegos Proxy
Cut-through
http://www.esi.uclm.es
26
Cortafuegos Proxy
Ventajas y limitaciones
Ventajas:
Proporcionan una buena defensa ante ataques DoS y spoofing. Total control a nivel de aplicacin. Registros muy detallados. Mucha flexibilidad. Todo el procesamiento es software. Limitado a un conjunto de aplicaciones. Cuando no es web, requiere software especial en el PC de los usuarios.
http://www.esi.uclm.es
Inconvenientes:
27
Cortafuegos NAT
NAT permite exponer servicios de la red interna sin que los usuarios conozcan la estructura y esquema de direccionamiento. El administrador puede modificar completamente la organizacin de los servicios y la estructura de la red sin que sea percibido desde el exterior.
http://www.esi.uclm.es
28
Cortafuegos NAT
http://www.esi.uclm.es
29
Cortafuegos personal
Se utiliza para proteger un solo computador (servidor o PC). Normalmente son cortafuegos de filtrado de paquetes. Ventajas:
Sencillo y barato Seguridad y autenticacin adicional. Poca escalabilidad Basados en software Pocas opciones de filtrado
http://www.esi.uclm.es
Inconvenientes:
30
Cortafuegos hbridos
Es habitual que los cortafuegos comerciales (hardware) proporcionen otras funcionalidades:
Servidor DHCP Concentrador VPN Deteccin de intrusos (IDS) Proxy/Cach Web Cach DNS etc.
http://www.esi.uclm.es
31
http://www.esi.uclm.es
32
Gua de diseo
Qu necesita ser protegido?A qu precio? Como siempre, principio KISS. Cada equipo o programa est diseada para un fin. El sistema es dbil si solo hay una lnea de defensa. ~70% de las violaciones de seguridad proceden de la red interna
http://www.esi.uclm.es
33
Estructura de la red
Diferentes partes de la red requieren niveles de seguridad diferente:
La red externa (sobre la que no tenemos control). La red de servicios pblicos (DMZ) La red interna (no accesible desde el exterior).
http://www.esi.uclm.es
34
DMZ
DMZ (demilitarized zone) es la subred que contiene los servicios accesibles desde el exterior.
red interna
DMZ
Internet
http://www.esi.uclm.es
35
DMZ
Se asignan niveles de seguridad desde ms bajo al ms alto. Por defecto, el trfico puede ir de los niveles altos a los bajo, pero no al revs.
Las excepciones a esta regla deben se implementan como reglas de filtrado (lo ms especficas posible).
http://www.esi.uclm.es
36
DMZ
http://www.esi.uclm.es
37
DMZ
Tipos
Sencillo
http://www.esi.uclm.es
38
DMZ
Sencillo
Segmento nico
Service leg
http://www.esi.uclm.es
39
DMZ
Mltiple
http://www.esi.uclm.es
40
DMZ
Interno
Medium
Medium
http://www.esi.uclm.es
41
Encaminador perimetral
Encaminamiento con la red externa Filtrado de paquetes y conexiones Traduccin de direcciones Separacin entre subredes internas (DMZs) Autenticacin Vigilancia, deteccin e incluso medidas de contencin.
http://www.esi.uclm.es
Cortafuegos
42
http://www.esi.uclm.es
43
Sistema Cortafuegos
Consideraciones
Filtrado de paquetes en la periferia. Todos los servidores pblicos en una DMZ. Servidores crticos deben tener su propio cortafuegos. Colocar el servidor BD en un nivel de seguridad mayor que el servidor web. Utilizar VPN para conectar con sitios remotos, y asumir que podran estar comprometidos. Utilizar sistemas IDS en las redes sensibles.
http://www.esi.uclm.es
44
http://www.esi.uclm.es
45
netfilter / iptables
Cortafuegos software de filtrado de paquetes Seguimiento de conexiones: stateful NAT (masquerading) Packet mangling Control de tasa Registro de sucesos configurable
http://www.esi.uclm.es
46
netfilter / iptables
http://www.esi.uclm.es
47
iptables
cadenas (chains)
prerouting (antes de saber dnde debe ir) input (hacia el host) output (generados por el host, no encaminado an) forward (reenviar a otro host) postrouting (cuando se sabe el destino)
PREROUTING (DNAT)
red
rutado
INPUT (filter)
aplicaciones en el host
http://www.esi.uclm.es
48
iptables
tablas
Manipulacin / etiquetado
http://www.esi.uclm.es
49
iptables
IP: direcciones origen y destino, fragmentos ICMP: tipo y cdigo UDP: puertos origen y destino TCP: puertos origen y destino, flags, opciones, propietario del proceso. input y output son cadena para filtrado local. forward es para filtrado de trfico remoto.
http://www.esi.uclm.es
50
iptables
Se hace en postrouting. Tambin conocido como masquerading. Se hace en prerouting o output. Tambin conocido como redireccin.
http://www.esi.uclm.es
51
iptables
Seguimiento de conexiones
Campo protocol de la cabecera IP (IP,puerto) origen y destino Estado de la conexin (TCP) Temporizadores (TCP) Nmeros de secuencia (TCP)
52
iptables
Control de tasa
http://www.esi.uclm.es
53
iptables
Sintaxis de comandos
-A: aadir (al final) -D: borrar (por regla o posicin) -I: Insertar en la posicin indicada -L: listar -F: borrar todas las reglas -Z: limpiar los contadores -P: definir la poltica
http://www.esi.uclm.es
54
iptables
Un router/firewall bsico
192.168.1.0/24
web
Internet eth1
Servidor SSH
192.168.1.2
http://www.esi.uclm.es
55
iptables
Un router/firewall bsico
http://www.esi.uclm.es
56
iptables
Un router/firewall bsico
http://www.esi.uclm.es
57
http://www.esi.uclm.es
58
Distribuciones de software libre para implementar cortafuegos en mquinas con pocas prestaciones. Basadas en:
http://www.esi.uclm.es
59
ClearOS
Cortafuegos con estado: iptables IDS/IPS: SNORT VPN: PPTP, IPSec, OpenVPN Proxy Web: Squid Filtrado de contenido y antivirus: DansGuardian Informes y estadsticas: MRTG
http://www.esi.uclm.es
60
ClearOS
Interfaz web
http://www.esi.uclm.es
61
ClearOS
Interfaz web
http://www.esi.uclm.es
62
ClearOS
Interfaz web
http://www.esi.uclm.es
63
ClearOS
Interfaz web
http://www.esi.uclm.es
64
ClearOS
Interfaz web
http://www.esi.uclm.es
65
http://www.esi.uclm.es
66
67
CISCO PIX
Rendimiento:
PIX 535:
1 Gbps, 95 Mbps 3DES VPN 2000 tneles Ipsec 500.000 conexiones simultneas 280.000 conexiones
http://www.esi.uclm.es
68
CISCO PIX
http://www.netcraftsmen.net/resources/archived-articles/369-cisco-pix-firewall-basics.html
http://www.esi.uclm.es
69
CISCO PIX
ASA (Adaptive Security Appliance) es un mdulo que aumenta las capacidades del PIX. Actualmente la serie ASA ha reemplazado a la gama PIX. Simulador PIX: http://networksims.com/pix.html
http://www.esi.uclm.es
70
Referencias
Transmisin de datos y redes de comunicaciones, B.A. Forouzan. Mc Graw Hill. Router Firewall Security, R.A. Deal. CISCO Press. Firewall fundamentals, W.J. Noonan, CISCO Press. Prentice Hall. Gua Avanzada de Firewalls Linux, R.L. Ziegler. Firewalls and Internet Security, W.R. Cheswick. Linux 2.4 Packet Filtering HOWTO. Rusty Russell.
http://www.esi.uclm.es
71