Cort A Fuegos

Seguridad y Alta Disponibilidad
Instalacin y configuracin de cortafuegos
David Villa Alises

Escuela Superior de Informtica Universidad de Castilla-La Mancha
Contenidos

Introduccin Tipos de cortafuegos.

Caractersticas. Funciones principales. DMZ
Diseo del sistema cortafuegos.
netfilter / iptables. Distribuciones libres para cortafuegos dedicados. Cortafuegos hardware.

http://www.esi.uclm.es
Introduccin
Cortafuegos
RAE: 2. m. Arq. Pared toda de fbrica, sin madera alguna, y de
un grueso competente, que se eleva desde la parte inferior del edificio hasta ms arriba del caballete, con el fin de que, si hay fuego en un lado, no se pueda este comunicar al otro.
Wikipedia: es una parte de un sistema o una red que est

diseada para bloquear el acceso no autorizado, permitiendo al mismo tiempo comunicaciones autorizadas. Se trata de un dispositivo o conjunto de dispositivos configurados para permitir/limitar, cifrar/descifrar el trfico entre los diferentes mbitos sobre la base de un conjunto de normas y otros criterios.
Cortafuegos
Un cortafuegos es un dispositivo o sistema que controla el flujo de trfico entre diferentes reas de una red.
[R.A. Deal, Cisco Router Firewall Security]
Para qu sirve?
El objetivo de todo cortafuegos es proporcionar un medio para implementar la poltica de control de acceso.
red protegida
red exterior
router
cortafuegos
Para qu sirve?
Control
Ej: Los usuarios de mi red solo podrn acceder a ciertos sitios web, y no podrn usar IRC. Ej: Solo los usuarios de cierta red pueden acceder a mi servidor SSH. Ej: Determinar qu mquina est haciendo constantemente intentos de acceso a mi servidor.
Seguridad/Proteccin
Vigilancia
Caractersticas habituales

Ligados a un encaminador. Controla el trfico. Protege los recursos sensibles. Oculta la estructura interna. Establece reas con restricciones diferentes. Registra e informa de incidencias.
Tipos de cortafuegos
Tipos de cortafuegos
De filtrado de paquetes (packet-filtering stateless)
Con estado (stateful)
Pasarela de aplicacin (application gateway) Cortafuegos NAT (address-translation) Local o personal (host-based) Hbridos
10
Cortafuegos de filtrado de paquetes
Sin estado (no tienen en cuenta el trfico anterior). Dado un paquete y un conjunto de reglas decide:

Reenviar: ACCEPT Descartar: DROP Rechazar: REJECT. Como DROP pero informando al remitente
(con ICMP).
Dos polticas:
Restrictiva: Todo lo que no est explcitamente permitido, est prohibido. Permisiva: Todo lo que no est explcitamente prohibido, est permitido.
11
Inspeccin de paquetes

Direccin de capa 3 (IP) origen o destino. Direccin de capa 4 (puerto) origen o destino. Carga til de paquete (campo protocol). Flags de la cabecera: SYN, RST, ... Interfaz de red, de entrada o salida El propietario del proceso que cre el paquete. etc...
12
Inspeccin
Formato del paquete IP

20 65536 bytes 20 60 bytes
Paquete IP
encabezado
carga (payload)
0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
versin
IHL
tipo de servicio D M F F
longitud total offset del fragmento checksum
20 bytes
identificacin tiempo de vida protocolo
direccin del origen direccin del destino
0 40 B
opciones
13
Inspeccin
Formato del segmento UDP
2 3 0 1 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
puerto UDP origen longitud del mensaje UDP

(completo) (opcional)
puerto UDP destino checksum (opcional)
cuerpo del mensaje
14
Inspeccin
Formato del segmento TCP

1 2 3 0 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
puerto TCP origen
puerto TCP destino
nmero de secuencia nmero de acuse de recibo

offset reservado
URG ACK PSH RST SYN FIN
ventana puntero urgente relleno
checksum opciones
cuerpo del mensaje
15
Un ejemplo
200.1.1.10 200.1.1.11
Internet
Web:200.1.1.2
DNS:200.1.1.3
e-mail:200.1.1.4
Regla 1 2 3 4
Origen Any Any Any Any
Destino 200.1.1.2 200.1.1.3 200.1.1.4 Other
Protocolo TCP UDP TCP Any
Puerto 80 53 25 Any
Accin ALLOW ALLOW ALLOW DROP

16
[Cisco Router Firewall Security, Fig 2.6]
Ventajas y limitaciones
Ventajas:
Rpido, como requisitos de CPU y memoria. Flexibles y muchos extensibles mediante mdulos. Pueden ser difciles de configurar. No pueden manejar informacin de sesin o aplicacin. No proporcionan soporte para autenticacin. Las capacidades de registro de sucesos son limitadas.
Limitaciones:

17
Filtrado asimtrico
200.1.1.10 200.1.1.11
Internet
Web server 200.1.1.2

170.1.1.1
Impedir que trfico externo llegue a B. Permitir a B abrir conexiones al exterior.

18
Cortafuegos con estado
Hacen seguimiento de las conexiones.
Inicio, transferencia y terminacin.
Permite distinguir si la conexin fue iniciada desde la red interna o desde la externa. Crea reglas de filtrado dinmicamente cuando detecta una conexin y las elimina al terminar. Esa informacin se almacena en la tabla de estado.
19
Establecimiento de conexin de TCP
Cada extremo debe sincronizarse con el otro antes de transmitir datos. Hay un rol activo (cliente) y el otro pasivo (servidor). Triple apretn de manos:
cliente servidor
seq: 1200 , a ck : ACK SYN +
SYN
1. El cliente indica su ISN (Initial Sequence Number) y otros parmetros de conexin como el MSS 2. El servidor confirma, indica su ISN y otros datos de conexin 3. El cliente confirma y puede enviar datos en ese segmento
00, se q : 4 8
01 a ck : 1 2
seq: 1201 ,a
ACK
ck: 4801
20
Cortafuegos con estado
Ventajas:

Conocen el estado de las conexiones. Pueden detectar y prevenir ataques DoS. Pueden ser difciles de configurar. No pueden manejar informacin de aplicacin. No proporcionan soporte para autenticacin. Existen protocolos sin estado: UDP, ICMP, etc. Aplicaciones con conexiones adicionales: FTP. La tabla de estado puede suponer un problema.
Limitaciones:

21
Cortafuegos Proxy
Tambin llamados Cortafuegos de Pasarela de Aplicacin. Permiten tratamiento especfico por aplicacin: DNS, FTP, LDAP, SMTP, etc. Soporte especfico para autenticacin. Autentican usuarios en lugar de mquinas o conexiones. Tipos:

de conexin (Connection Gateway Firewall) cut-throught

22
Cortafuegos Proxy
Pasarela de conexin
1.El cliente externo intenta una conexin hacia un servidor interno. 2.El cortafuegos intercepta la conexin y solicita al usuario una autenticacin. El cortafuegos abre una conexin haca el servidor interno. 3.El trfico del cliente externo es procesado por el cortafuegos y redirigido al servidor interno. 4.Cualquier nueva conexin es rechazada si no se proporciona la autenticacin correspondiente.
23
Cortafuegos Proxy
Pasarela de conexin
24
Cortafuegos Proxy
Cut-through
Realiza un proceso de autenticacin como el cortafuegos de pasarela de conexin. Despus aade temporalmente reglas de filtrado para permitir al usuario utilizar el recurso. Slo la autenticacin ocurre en la capa de aplicacin. Es mucho ms eficiente.
25
Cortafuegos Proxy
Cut-through
26
Cortafuegos Proxy
Ventajas:
Proporcionan una buena defensa ante ataques DoS y spoofing. Total control a nivel de aplicacin. Registros muy detallados. Mucha flexibilidad. Todo el procesamiento es software. Limitado a un conjunto de aplicaciones. Cuando no es web, requiere software especial en el PC de los usuarios.
Inconvenientes:

27
Cortafuegos NAT
NAT permite exponer servicios de la red interna sin que los usuarios conozcan la estructura y esquema de direccionamiento. El administrador puede modificar completamente la organizacin de los servicios y la estructura de la red sin que sea percibido desde el exterior.
28
Cortafuegos NAT
29
Cortafuegos personal
Se utiliza para proteger un solo computador (servidor o PC). Normalmente son cortafuegos de filtrado de paquetes. Ventajas:

Sencillo y barato Seguridad y autenticacin adicional. Poca escalabilidad Basados en software Pocas opciones de filtrado
Inconvenientes:

30
Cortafuegos hbridos
Es habitual que los cortafuegos comerciales (hardware) proporcionen otras funcionalidades:

Servidor DHCP Concentrador VPN Deteccin de intrusos (IDS) Proxy/Cach Web Cach DNS etc.
31
Diseo del sistema cortafuegos
32
Gua de diseo
Definir una poltica de seguridad
Qu necesita ser protegido?A qu precio? Como siempre, principio KISS. Cada equipo o programa est diseada para un fin. El sistema es dbil si solo hay una lnea de defensa. ~70% de las violaciones de seguridad proceden de la red interna
Disear una solucin sencilla
Usar los dispositivos adecuados
Implementar varias lneas de defensa
Considerar las amenazas internas
33
Estructura de la red
Diferentes partes de la red requieren niveles de seguridad diferente:

La red externa (sobre la que no tenemos control). La red de servicios pblicos (DMZ) La red interna (no accesible desde el exterior).
34
DMZ
DMZ (demilitarized zone) es la subred que contiene los servicios accesibles desde el exterior.
red interna
DMZ
Internet
35
DMZ
Reglas y niveles de seguridad
Se asignan niveles de seguridad desde ms bajo al ms alto. Por defecto, el trfico puede ir de los niveles altos a los bajo, pero no al revs.
Las excepciones a esta regla deben se implementan como reglas de filtrado (lo ms especficas posible).
36
DMZ
Reglas y niveles de seguridad
A nivel menor: ALLOW A nivel mayor o igual: DROP.
37
DMZ
Tipos
Sencillo

Segmento nico Service leg
DMZ mltiple DMZ interno
[Cisco Router Firewall Security, Fig 2.24-25]
38
DMZ
Sencillo
Segmento nico
Service leg
[Cisco Router Firewall Security, Fig 2.24-25]
39
DMZ
Mltiple
40
DMZ
Interno
Medium
Medium
41
Componentes del sistema cortafuegos
Encaminador perimetral

Encaminamiento con la red externa Filtrado de paquetes y conexiones Traduccin de direcciones Separacin entre subredes internas (DMZs) Autenticacin Vigilancia, deteccin e incluso medidas de contencin.
Cortafuegos

IDS (Intrusion Detection System)
42
Componentes del sistema cortafuegos
43
Sistema Cortafuegos
Consideraciones
Filtrado de paquetes en la periferia. Todos los servidores pblicos en una DMZ. Servidores crticos deben tener su propio cortafuegos. Colocar el servidor BD en un nivel de seguridad mayor que el servidor web. Utilizar VPN para conectar con sitios remotos, y asumir que podran estar comprometidos. Utilizar sistemas IDS en las redes sensibles.
44
Caso de estudio Linux netfilter / iptables
45
netfilter / iptables

Cortafuegos software de filtrado de paquetes Seguimiento de conexiones: stateful NAT (masquerading) Packet mangling Control de tasa Registro de sucesos configurable
46
netfilter / iptables
47
iptables
cadenas (chains)
prerouting (antes de saber dnde debe ir) input (hacia el host) output (generados por el host, no encaminado an) forward (reenviar a otro host) postrouting (cuando se sabe el destino)
PREROUTING (DNAT)
red
POSTROUTING (SNAT) FORWARD (filter)
rutado
INPUT (filter)
OUTPUT (filter, DNAT)
aplicaciones en el host
48
iptables
tablas

filter nat mangle
Manipulacin / etiquetado
49
iptables
Filtrado de paquetes (filter)

IP: direcciones origen y destino, fragmentos ICMP: tipo y cdigo UDP: puertos origen y destino TCP: puertos origen y destino, flags, opciones, propietario del proceso. input y output son cadena para filtrado local. forward es para filtrado de trfico remoto.
50
iptables
NAT (tabla nat)
Traduccin de direccin origen (SNAT)

Se hace en postrouting. Tambin conocido como masquerading. Se hace en prerouting o output. Tambin conocido como redireccin.
Traduccin de direccin destino (DNAT)

51
iptables
Seguimiento de conexiones

Cadenas prerouting y ouput. La tabla de estado contiene:

Campo protocol de la cabecera IP (IP,puerto) origen y destino Estado de la conexin (TCP) Temporizadores (TCP) Nmeros de secuencia (TCP)
Estados: NEW, ESTABLISHED, RELATED, INVALID.

52
iptables
Control de tasa

Previene ataques DoS. Permite limitar:

Rfaga mxima Nmero mximo de coincidencias por segundo.
53
iptables
Sintaxis de comandos

Iptables [-t tabla] comando cadena parmetros Comandos:

-A: aadir (al final) -D: borrar (por regla o posicin) -I: Insertar en la posicin indicada -L: listar -F: borrar todas las reglas -Z: limpiar los contadores -P: definir la poltica
54
iptables
Un router/firewall bsico
192.168.1.0/24
web
red interna eth0

192.168.1.1
Internet eth1
Servidor SSH
192.168.1.2
Activar el reenvo de paquetes

# echo 1 > /proc/sys/net/ipv4/ip_forward
55
iptables
Poltica restrictiva para FORWARD.

# iptables -P FORWARD DROP iptables -A INPUT -j DROP como ltima regla
Aceptar todo el trfico ICMP (desde cualquier parte).

# iptables -A INPUT -p ICMP -j ACCEPT
Permitir trfico haca y desde loopback.

# iptables -A INPUT -i lo -j ACCEPT # iptables -A OUTPUT -o lo -j ACCEPT
Aplicar SNAT para conexiones al exterior

# iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
56
iptables
Aceptar todo el trfico TCP (desde la red interna).

# iptables -A INPUT -p tcp -i eth1 -j ACCEPT
Aceptar TCP de la red externa para conexiones establecidas.

# iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
Permitir acceso al servidor web en el router.

# iptables -A INPUT -p tcp --dport http -j ACCEPT
Redirigir un puerto (DNAT) hacia el servidor SSH.

# iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 22 -j DNAT --todestination 192.168.1.2:22
57
Distribuciones libres para implementar cortafuegos en mquinas dedicadas.
58
Distribuciones para cortafuegos dedicados
Distribuciones de software libre para implementar cortafuegos en mquinas con pocas prestaciones. Basadas en:
GNU/Linux: ClearOS, Gibraltar, IPCop, Zentyal, SmoothWall,... FreeBSD: m0n0wall, pfSense,...
Suelen ofrecer una interfaz web para administracin del router/cortafuegos
59
ClearOS

Basada en GNU/Linux Caractersticas:

Cortafuegos con estado: iptables IDS/IPS: SNORT VPN: PPTP, IPSec, OpenVPN Proxy Web: Squid Filtrado de contenido y antivirus: DansGuardian Informes y estadsticas: MRTG
60
ClearOS
Interfaz web
61
ClearOS
Interfaz web
62
ClearOS
Interfaz web
63
ClearOS
Interfaz web
64
ClearOS
Interfaz web
65
Cortafuegos hardware CISCO PIX
66
CISCO PIX (Private Internet eXchange)
Gama de cortafuegos de alto rendimiento. SO especfico: PIX OS Caractersticas

NAT/PAT Filtrado de contenido (Java/ActiveX) IPsec VPN DHCP PPoE RADIUS

67
CISCO PIX
Rendimiento:
PIX 535:

1 Gbps, 95 Mbps 3DES VPN 2000 tneles Ipsec 500.000 conexiones simultneas 280.000 conexiones
PIX 525: 360 Mbps, 70 Mbps 3DES VPN
PIX 501: 10 Mbps, 3 Mbps 3DES VPN
68
CISCO PIX
http://www.netcraftsmen.net/resources/archived-articles/369-cisco-pix-firewall-basics.html
69
CISCO PIX
ASA (Adaptive Security Appliance) es un mdulo que aumenta las capacidades del PIX. Actualmente la serie ASA ha reemplazado a la gama PIX. Simulador PIX: http://networksims.com/pix.html
70
Referencias
Transmisin de datos y redes de comunicaciones, B.A. Forouzan. Mc Graw Hill. Router Firewall Security, R.A. Deal. CISCO Press. Firewall fundamentals, W.J. Noonan, CISCO Press. Prentice Hall. Gua Avanzada de Firewalls Linux, R.L. Ziegler. Firewalls and Internet Security, W.R. Cheswick. Linux 2.4 Packet Filtering HOWTO. Rusty Russell.
71

Cort A Fuegos

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Cort A Fuegos

Transféré par

Droits d'auteur :

Formats disponibles

Seguridad y Alta Disponibilidad

Instalacin y configuracin de cortafuegos

David Villa Alises

Introduccin Tipos de cortafuegos.

Caractersticas. Funciones principales. DMZ

Diseo del sistema cortafuegos.

netfilter / iptables. Distribuciones libres para cortafuegos dedicados. Cortafuegos hardware.

Wikipedia: es una parte de un sistema o una red que est

De filtrado de paquetes (packet-filtering stateless)

Con estado (stateful)

Cortafuegos de filtrado de paquetes

Cortafuegos de filtrado de paquetes

Formato del paquete IP

longitud total offset del fragmento checksum

identificacin tiempo de vida protocolo

direccin del origen direccin del destino

Formato del segmento UDP

puerto UDP origen longitud del mensaje UDP

puerto UDP destino checksum (opcional)

cuerpo del mensaje

Formato del segmento TCP

puerto TCP origen

puerto TCP destino

nmero de secuencia nmero de acuse de recibo

ventana puntero urgente relleno

cuerpo del mensaje

Cortafuegos de filtrado de paquetes

Origen Any Any Any Any

Destino 200.1.1.2 200.1.1.3 200.1.1.4 Other

Protocolo TCP UDP TCP Any

Accin ALLOW ALLOW ALLOW DROP

[Cisco Router Firewall Security, Fig 2.6]

Cortafuegos de filtrado de paquetes

Web server 200.1.1.2

Impedir que trfico externo llegue a B. Permitir a B abrir conexiones al exterior.

Cortafuegos con estado

Hacen seguimiento de las conexiones.

Inicio, transferencia y terminacin.

Establecimiento de conexin de TCP

seq: 1200 , a ck : ACK SYN +

Cortafuegos con estado

de conexin (Connection Gateway Firewall) cut-throught

[Cisco Router Firewall Security, Fig 2.17]

[Cisco Router Firewall Security, Fig 2.18]

[Cisco Router Firewall Security, Fig 2.20]

Diseo del sistema cortafuegos

Definir una poltica de seguridad

Disear una solucin sencilla

Usar los dispositivos adecuados

Implementar varias lneas de defensa

Considerar las amenazas internas

Reglas y niveles de seguridad

Reglas y niveles de seguridad

A nivel menor: ALLOW A nivel mayor o igual: DROP.

[Cisco Router Firewall Security, Fig 2.28]

Segmento nico Service leg

DMZ mltiple DMZ interno

[Cisco Router Firewall Security, Fig 2.24-25]

[Cisco Router Firewall Security, Fig 2.24-25]

[Cisco Router Firewall Security, Fig 2.26]

[Cisco Router Firewall Security, Fig 2.27]

Componentes del sistema cortafuegos

IDS (Intrusion Detection System)